En un avance pionero para la ciberseguridad, la investigadora Silvia Sebastián, asesorada por el profesor Juan Caballero, dio a conocer en la defensa de su tesis un novedoso enfoque automatizado para la atribución, transformando significativamente el proceso de identificación de entidades responsables de ciberataques. Silvia contó con el apoyo de compañeros, familiares y amigos para defender su tesis titulada: “An Automated Framework for Cybersecurity Attribution and Artifact Relationship Identification”, que fue presentada en la ETSIINF UPM.
La atribución, la tarea crucial de responder a la pregunta “¿Quién lo hizo?” en el ámbito de la ciberseguridad, se ha visto obstaculizada durante mucho tiempo por retos como la información anonimizada, los procesos manuales y los elevados costes.
El enfoque propuesto se centra en la creación de un gráfico de atribución, en el que los nodos representan artefactos digitales (como direcciones IP y dominios) o identidades (como nombres de personas y nombres de organizaciones), y los bordes capturan las conexiones entre estos indicadores. El gráfico de atribución ofrece transparencia, documentando la cadena de inferencias que lleva desde los artefactos iniciales hasta la identidad del propietario.
Al automatizar la construcción del gráfico de atribución, los investigadores pretenden reducir el coste y el tiempo asociados al proceso de atribución. Este enfoque innovador permite a los analistas de ciberseguridad centrarse en otras tareas críticas, como la adquisición de fuentes de datos, el diseño de nuevas técnicas de atribución y la realización de inferencias más creativas.
Se han desarrollado dos herramientas basadas en este enfoque. La primera herramienta, Retriever, está diseñada para identificar cuentas de desarrolladores en mercados de aplicaciones móviles pertenecientes a la misma identidad. En evaluaciones realizadas con 17 operaciones comunicadas por proveedores de seguridad, Retriever descubrió con éxito cuentas de desarrolladores previamente desconocidas en el 94% de los casos.
La segunda herramienta, WhoseDomain, va más allá de las limitaciones del protocolo WHOIS al identificar al propietario de dominios y sitios web mediante el análisis de fuentes de datos adicionales, como certificados TLS, DNS pasivo y contenido de sitios web. WhoseDomain obtiene una alta precisión con una puntuación F1 de 0,94, que supera con creces la precisión de WHOIS con una puntuación F1 de 0,54.
Además, los investigadores presentaron AVClass2, una herramienta capaz de extraer etiquetas de las etiquetas antivirus de las muestras de malware. Estas etiquetas recogen diversas características, como la clase de malware, la familia, el comportamiento y las propiedades de los archivos. AVClass2 permite a los analistas realizar búsquedas exhaustivas en conjuntos de datos de malware, lo que demuestra su eficacia en el análisis de malware a gran escala.
Este enfoque de atribución automatizada supone un avance significativo en el campo de la ciberseguridad, ya que ofrece un método automático para la atribución cibernética. A medida que estas herramientas vayan ganando terreno, se espera mejorar el panorama general de la seguridad agilizando el proceso de atribución y permitiendo a los profesionales de la ciberseguridad ir un paso por delante de las amenazas en evolución.