En ciberataques de ransomware, Los piratas informáticos roban los datos confidenciales de una víctima y amenazan con publicarlos o bloquear el acceso a ellos a menos que se pague un rescate. En todo el mundo cada año, millones de ataques de ransomware se llevan a cabo en empresas, ciudades y organizaciones, con un costo total de miles de millones de dólares en pagos y daños. Muchas tecnologías pueden frustrar estos ciberataques, pero los investigadores del Laboratorio de Ciencias de la Computación e Inteligencia Artificial del MIT (CSAIL) y del Departamento de Estudios y Planificación Urbanos (DUSP) creen que hay más para resolver el problema que implementar el software más reciente.

Basado en estrategias de negociación empresarial, los investigadores diseñaron un marco de "negociación cibernética", publicado recientemente en el Journal of Cyber ​​Policy, que detalla un proceso paso a paso sobre qué hacer antes, durante, y después de un ataque. Gregory Falco, autor principal e investigador de CSAIL y DUSP, quien fundó la startup de ciberseguridad de infraestructura crítica NeuroMesh, habló con MIT News sobre el plan. En el artículo se le unieron los coautores Alicia Noriega SM '18, una alumna de DUSP; y Lawrence Susskind, el Profesor Ford de Planificación Ambiental y Urbana e investigador de la Iniciativa de Investigación de Políticas de Internet y del MIT Science Impact Collaborative.

P:¿Qué son las ciudades? especialmente, en contra de los ataques de ransomware, y ¿por qué no simplemente inventar mejores tecnologías para defenderse de estos ataques?

R:Si piensa en infraestructura crítica, como los sistemas de transporte o las redes de servicios de agua, estos a menudo son administrados por agencias de la ciudad o del metro que no tienen decenas de millones de dólares para pagar a expertos o empresas para disuadir o combatir ataques. Dado que las ciudades han acumulado todo tipo de datos sobre la actividad de los residentes o las operaciones de infraestructura, Los piratas informáticos apuntan a estos tesoros de datos para venderlos en el mercado negro. Interrumpen la infraestructura urbana crítica de forma regular en los Estados Unidos. Si alguien piratea un semáforo y cambia las señales que se supone deben enviarse a un vehículo autónomo, o si alguien piratea contadores inteligentes e interfiere con nuestro sistema energético, la salud y la seguridad públicas estarán en riesgo.

Las ciudades tienen personal, generalmente un individuo o un pequeño equipo, a cargo de proteger la infraestructura crítica. Pero, necesitan mucha más ayuda. El ransomware es uno de los raros casos en los que pueden tener comunicación directa con un pirata informático y posiblemente recuperar el control de sus datos. Necesitan estar preparados para hacer esto.

La mayor parte de mi investigación se ha centrado en el uso de herramientas de piratas informáticos contra piratas informáticos, y una de las herramientas de piratería más eficaces es la ingeniería social. Con ese fin, creamos "Ingeniería Social Defensiva, "una caja de herramientas de estrategias de ingeniería social que emplean capacidades de negociación para alterar la forma en que se desarrollan los ataques de ransomware. El cifrado y otras herramientas de alta tecnología no ayudarán una vez que haya comenzado un ataque. Hemos diseñado un marco de negociación cibernética que puede ayudar a las organizaciones a reducir su riesgos y reforzar su ciberresiliencia.

P:¿Qué métodos utilizó para diseñar su marco de negociación cibernética? ¿Cuáles son algunos ejemplos de estrategias en el plan?

R:Larry [Susskind] es el cofundador del Programa interuniversitario de Negociación en la Facultad de Derecho de Harvard. Hemos aplicado las mejores prácticas de negociación para defender la infraestructura urbana crítica del ciberataque. La patología de la mayoría de los ataques de ransomware coincide muy bien con lo que sucede en otros tipos de negociaciones:Primero, evalúas a tu oponente, luego intercambias mensajes, y finalmente intentas llegar a algún tipo de acuerdo. Nos centramos en las tres etapas de la negociación cibernética:antes, durante, y después de un ataque.

Para prepararse antes de un ataque, es necesario crear conciencia en toda la organización sobre cómo manejar un ataque si ocurre. Las agencias públicas necesitan planes de respuesta a ataques. Durante un ataque, las agencias tienen que calcular los costos de cumplir o no cumplir con las demandas de un atacante, y consultar a su equipo legal sobre sus responsabilidades. Luego, si las circunstancias son las adecuadas, necesitan negociar con el hacker, si es posible. Después de un ataque, es importante repasar lo que pasó, compartir información con las autoridades correspondientes, documentar lo aprendido, y participar en el control de daños. La negociación cibernética no requiere necesariamente el pago de un rescate. En lugar de, se centra en ser flexible y saber manipular la situación antes, durante, y después de un ataque. Este enfoque de la negociación es una forma de gestión de riesgos.

Para validar nuestro marco, entrevistamos a una muestra de operadores de infraestructura para comprender qué harían en el caso de un hipotético ataque de ransomware. Descubrimos que su proceso existente podría integrarse bien con nuestro plan de negociación cibernética, como asegurarse de que tengan buenos protocolos de respuesta listos y listos, y tener redes de comunicación abiertas en toda su organización interna para garantizar que las personas sepan lo que está sucediendo. La razón por la que nuestra estrategia de negociación es valiosa es porque todos estos operadores manejan diferentes piezas del rompecabezas de la ciberseguridad, pero no el rompecabezas completo. Es fundamental analizar todo el problema.

Si bien descubrimos que nadie quiere negociar con un atacante, en determinadas circunstancias, la negociación es el paso correcto, especialmente cuando las agencias no cuentan con sistemas de respaldo en tiempo real. Un caso clásico fue el año pasado en Atlanta, donde los piratas informáticos cortan los servicios digitales, incluida la utilidad, estacionamiento, y servicios judiciales. La ciudad no pagó el rescate de aproximadamente $ 50, 000, y ahora han pagado más de $ 15 millones en honorarios tratando de averiguar qué salió mal. Esa no es una gran ecuación.

P:En el periódico, aplica retroactivamente su marco a dos ataques de ransomware reales:cuando los piratas informáticos bloquearon los registros de pacientes del Servicio Nacional de Salud de Inglaterra en 2017, y un incidente de 2016 en el que piratas informáticos robaron datos de millones de usuarios de Uber, que pagó un rescate. ¿Qué conocimientos extrajo de estos estudios de caso?

R:Para aquellos, preguntamos, "¿Qué podría haber salido mejor si se hubieran preparado y utilizado nuestro marco de negociación?" Concluimos que hubo una serie de acciones específicas que podrían haber tomado que bien podrían haber limitado el daño que enfrentaron. NHS, por ejemplo, necesitaba una mayor conciencia entre sus empleados sobre los peligros de los ciberataques y comunicaciones más explícitas sobre cómo prevenir tales ataques y limitar su propagación. (Para que el ransomware se instale correctamente, un empleado necesitaba hacer clic en un enlace infectado.) En el caso de Uber, la empresa no involucró a las autoridades y nunca realizó un control de daños. Eso en parte llevó a que Uber perdiera su licencia para operar en Londres.

Los ciberataques son inevitables, e incluso si las agencias están preparadas, van a experimentar pérdidas. Entonces, lidiar con los ataques y aprender de ellos es más inteligente que cubrir el daño. Una idea principal de todo nuestro trabajo es no atascarse en la instalación de costosas soluciones técnicas cuando sus acciones defensivas de ingeniería social pueden reducir el alcance y los costos de los ciberataques. Ayuda a ser interdisciplinario y mezclar y combinar métodos para lidiar con problemas de ciberseguridad como el ransomware.

Esta historia se vuelve a publicar por cortesía de MIT News (web.mit.edu/newsoffice/), un sitio popular que cubre noticias sobre la investigación del MIT, innovación y docencia.