Cuando el SOC se equivoca dos veces: el caso del DHS que debería asustarte

Cuando el SOC se equivoca dos veces: el caso del DHS que debería asustarte

Cuando el SOC se equivoca dos veces: el caso del DHS que debería asustarte

Esto me parece uno de los casos más vergonzosos de ciberseguridad que han salido a la luz este año, y al mismo tiempo de los más educativos. Resulta que el Departamento de Seguridad Nacional de Estados Unidos fue notificado dos veces de actividad sospechosa dentro de su propia red, y en ambas oportunidades los analistas la descartaron como un falso positivo. Cuando finalmente se dieron cuenta del problema, los atacantes ya habían robado credenciales y mantenido acceso por semanas.

La red comprometida se llama Homeland Security Information Network (HSIN). No es cualquier sistema: es el lugar donde agencias federales, estatales, locales, socios internacionales e incluso empresas comparten información no clasificada pero sensible. Y como si el timing fuera incómodo, esta red se está usando justo ahora para coordinar la seguridad de los partidos del Mundial que se juegan en distintas ciudades de Estados Unidos.

Cómo se desarrollaron los hechos

La cronología que reveló Nextgov/FCW es bastante detallada. Entre el 15 y el 24 de mayo, analistas de FEMA detectaron que alguien había modificado archivos en servidores de testing y de producción, había usado un programa legítimo del servidor web para ejecutar código malicioso y había borrado los logs de actividad. Lo más lógico hubiera sido tratarlo como incidente. Se cerró como falso positivo.

Entre el 25 de mayo y el 3 de junio, los atacantes repitieron las mismas técnicas, dejando mínimas huellas. Saltaron más alertas. Otra vez se descartaron como benignas. Recién el 4 de junio, cuando ya habían instalado backdoors y exfiltrado archivos de credenciales, alguien declaró que había un breach activo. O sea: dos avisos, cero acción, y los atacantes tuvieron un dwell time enorme para profundizar su acceso.

Lo que esto significa para cualquiera que opere infraestructura

Esto no es un problema del DHS, es un problema universal. El sesgo del falso positivo es uno de los patrones más peligrosos en cualquier SOC. Cuando el volumen de alertas es alto y los analistas están cansados, la tentación de cerrar tickets «porque no se ve nada raro» es enorme. Y los atacantes lo saben. Por eso afinan sus técnicas para que su actividad parezca tráfico normal.

Mi opinión, después de leer este caso: la única defensa real es asumir que cualquier alerta que combine modificaciones de archivos, ejecución de procesos anómalos y eliminación de logs merece investigación forense de inmediato, aunque sea las tres de la mañana. Un falso positivo que se investiga cuesta horas de trabajo de un analista. Un compromiso real que se ignora cuesta la organización entera.

Otro punto que me dejó pensando: si la red que coordina la seguridad del Mundial en suelo estadounidense estuvo comprometida durante semanas, cabe preguntarse qué información sobre planos de estadios, dispositivos de seguridad y coordinación interagencial quedó expuesta. El DHS dice que las redes clasificadas no fueron afectadas, pero el problema es que HSIN es justamente donde vive la información operativa que un atacante con Inteligencia puede aprovechar.

Lecciones para Chile

En Chile tenemos la ANI, tenemos el CSIRT de Gobierno, tenemos equipos decentes. Pero el presupuesto es finito y el talento es escaso. Casos como este deberían servir como recordatorio de que la seguridad no se mide en cuántos firewalls compraste, sino en cuántas veces tuviste el valor de abrir un ticket a las dos de la mañana y no cerrarlo hasta estar seguro. El próximo breach de un organismo crítico no va a venir de un exploit de día cero. Va a venir de una alerta que alguien cerró un lunes cualquiera pensando que ya iba a pasar.

Si eres de los que opera un SOC, mi consejo honesto: afina tus reglas, pero desconfía de tus reglas. El próximo atacante que te toque va a haberlas leído antes que tú.

Fuente de inspiración: Doc: DHS analysts twice dismissed signs of intruders inside the DHS’ network as harmless activity before confirming a breach

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *