Publicado originalmente en The Marker, Cyber Magazine.
En una época en la que los hackers ocultan código malicioso entre píxeles y metadatos, OPSWAT la tecnología Deep CDR™, que descompone cada archivo en sus elementos básicos y reconstruye una versión completamente limpia. Noam Gavish, arquitecto de ciberseguridad, explica los fundamentos de esta tecnología y cómo, en conjunto, conforman un sistema de defensa multicapa.
En una de las organizaciones de seguridad de Israel, el equipo interno de ciberseguridad comenzó a inquietarse ante una amenaza procedente de una dirección inesperada. Su preocupación no se centraba en la infiltración —la amenaza cibernética habitual—, sino más bien en lo que pudiera filtrarse sin que nadie se diera cuenta. Temían que información confidencial —como nombres en clave, ubicaciones e identidades— pudiera estar oculta en archivos aparentemente inocentes: documentos de Word, metadatos de imágenes o incluso dentro de los propios píxeles. Los sistemas DLP no lograban detectarlo, los expertos no sabían qué buscar y la situación parecía una amenaza invisible sin solución. Esa brecha fue salvada por la tecnología Deep CDR™ OPSWAT, que descompone el archivo en sus componentes esenciales y lo reconstruye a partir únicamente de los objetos necesarios.
«La idea es sencilla y se basa en el supuesto de que todos los archivos son sospechosos, siguiendo el enfoque Zero Trust», afirma Noam Gavish, arquitecto de ciberseguridad de OPSWAT. «El sistema Deep CDR™ Technology descompone cada archivo, conserva solo los elementos necesarios para su funcionamiento y lo reconstruye —idéntico al original, pero completamente limpio—. La capacidad del usuario final para utilizar el archivo sigue siendo la misma, y el sistema permite adaptar el comportamiento del módulo en función del tipo de archivo y del canal específico. No intentamos determinar si algo del archivo es bueno o malo. Si no es esencial, no se incluye».
Para ilustrar este razonamiento, Gavish se refiere al ataque con ántrax de septiembre de 2001 —una semana después del 11-S—, durante el cual se enviaron cartas que contenían esporas de ántrax a varios medios de comunicación estadounidenses y a dos senadores, lo que provocó la muerte de cinco personas y contagió a otras 17. «Aplicado a nuestra tecnología: si un cliente recibe una carta por correo, nuestro sistema la reescribe palabra por palabra en una nueva página, sin incluir el polvo blanco sospechoso que alguien pudiera haber espolvoreado en su interior».
Entonces, ¿en lugar de comprobar si un archivo es peligroso, das por hecho que lo es y no lo dejas entrar en absoluto?
«Exactamente. Cualquier cosa innecesaria —aunque no podamos explicar por qué— simplemente no pasa. No hay necesidad de determinar si es maliciosa. Si no es necesaria, se excluye», subraya Gavish. «El objetivo no es la detección, sino reducir la superficie de ataque al mínimo absoluto. Aunque una amenaza no sea visible, no tiene ninguna oportunidad. Esto se basa en una profunda percepción psicológica: la gente teme lo que no entiende, y nosotros tratamos los archivos de la misma manera. Es una especie de mecanismo de supervivencia».
Equilibrio entre la ciberseguridad y la disponibilidad de la información
La tecnología que describe Gavish —Content Disarm and Reconstruction, o CDR — no es nueva en el mercado, pero OPSWAT la OPSWAT mejorado para que pueda gestionar archivos muy complejos, como archivos comprimidos, archivos multimedia y documentos con macros activas. Esta capacidad ampliada le ha valido el nombre de tecnología Deep CDR™.
No obstante, Gavish destaca que la tecnología Deep CDR™ es solo uno de los componentes de una plataforma completa diseñada para proteger a las organizaciones —especialmente a las infraestructuras críticas— en todos los canales de intercambio de información. Esto abarca desde los sistemas de correo electrónico hasta USB conectados a los terminales, pasando por las interfaces de los sistemas internos. Cada archivo, independientemente de su origen, se somete a un análisis de seguridad en múltiples capas.
Esto cobra cada vez más importancia a medida que se amplían las superficies de ataque, especialmente en el caso de los ataques a la cadena de suministro, en los que los piratas informáticos se dirigen a terceros para acceder a una organización. Los piratas informáticos también identifican los puntos débiles de las organizaciones; por ejemplo, los departamentos de recursos humanos, que reciben a diario decenas de currículos, a menudo en formato PDF o como imágenes, tras los cuales se esconden sistemas operativos completos. Los equipos de recursos humanos suelen ser los que más archivos de Office reciben, pero a menudo son los que tienen un menor nivel de concienciación en materia de ciberseguridad. Otro punto débil: los soportes extraíbles, que pueden contener malware.
«No nos basamos únicamente en la tecnología Deep CDR™, ya que ningún módulo por sí solo puede hacer frente a todos los retos», explica Gavish. «Antes de que un archivo llegue a CDR, pasa por múltiples motores antivirus —más de 30, dependiendo del paquete—. A continuación, pasa por la tecnología Deep CDR™ y, después, por Sandbox OPSWAT, que descodifica el archivo, analiza el código y determina qué hace —o qué haría— con una entrada específica».
El principio fundamental no consiste en confiar en un único mecanismo de detección, sino en una seguridad por capas: si el antivirus pasa algo por alto, la tecnología Deep CDR™ reconstruye el archivo. Si la tecnología Deep CDR™ no elimina nada sospechoso o se necesita más claridad, Sandbox su comportamiento. Solo si no se considera que haya nada sospechoso se permite la entrada del archivo en la organización.
Para demostrar el potencial de OPSWAT plataforma integral, Gavish compara la arquitectura de seguridad de la empresa con los castillos medievales, que utilizaban defensas en capas para agotar a los atacantes. «En ciberseguridad, todo gira en torno a las capas. Como un castillo: primero un foso, luego una puerta de hierro, arqueros y aceite hirviendo vertido desde lo alto. La tecnología Deep CDR™ no es magia: es otro ladrillo en la muralla. Y un castillo sin murallas no es un castillo».
¿Entonces se trata tanto de una combinación tecnológica como de una serie de procesos?
«Sí, porque la tecnología Deep CDR™ es eficaz para algunas cosas y el entorno Sandbox otras; juntas ofrecen una cobertura completa. Por separado, no pueden hacer frente a todos los escenarios. Por ejemplo, combinamos la tecnología Deep CDR™ con análisis antivirus y Sandbox detectar ataques sofisticados que cada capa por sí sola podría pasar por alto. No ofrecemos solo una solución de seguridad puntual, sino una plataforma multicapa. Hemos creado una plataforma de seguridad circular, no barreras aisladas: análisis con múltiples motores, análisis de comportamiento y el núcleo: la tecnología Deep CDR™, que reconstruye cada archivo de forma limpia, sin hacer preguntas».
Actualmente, la plataforma es compatible con 190 tipos de archivos —DOC, PDF, ZIP, imágenes, audio, vídeo y muchos más—, el doble de lo que marca el estándar del sector. Además, adapta los niveles de seguridad a la ruta, la configuración y el destino del archivo.
«La protección abarca todo el panorama de amenazas, pero cada amenaza tiene su propia naturaleza», afirma Gavish. «Tampoco queremos detener el flujo de datos ni retrasar las operaciones. La idea no es bloquear el mundo, sino reintroducirlo de forma limpia, equilibrando la seguridad y la disponibilidad. Es como beber de un arroyo potencialmente contaminado: se utiliza una pastilla purificadora y, en el proceso, se pierden minerales. Pero si la pastilla fuera más inteligente, podría purificar el agua y conservar los minerales. Ese es nuestro objetivo: entregar los datos en su estructura original, sin el contenido malicioso oculto, y siempre adaptables a sus necesidades».
Proteger todos los puntos de acceso de la organización
Fundada en 2002 con el objetivo de proteger las infraestructuras críticas frente a las amenazas cibernéticas, OPSWAT presta OPSWAT sus servicios a unos 2.000 clientes en más de 80 países. La empresa cuenta con oficinas en América del Norte, Europa (incluidos el Reino Unido, Alemania, Hungría, Suiza, Rumanía, Francia y España), Asia (India, Japón, Taiwán, Vietnam, Singapur y los Emiratos Árabes Unidos), entre otros lugares.
En Israel, OPSWAT soluciones de ciberseguridad a cientos de organizaciones líderes.
El propio Gavish lleva dedicado al mundo de la ciberseguridad desde 2007, alternando entre la ofensiva y la defensiva. Comenzó en el sector de la defensa y, posteriormente, desempeñó funciones tanto en el «equipo rojo» como en el «equipo azul» en empresas de ciberseguridad. OPSWAT conocida por su labor de protección de infraestructuras críticas —agua, electricidad, transporte y defensa—, pero, de hecho, su plataforma de ciberseguridad es adecuada para cualquier organización.
«Propongo ampliar la definición de “infraestructura crítica”. Toda organización tiene algo que es crítico. Si un periódico no puede imprimir porque un malware apaga las rotativas, eso es un desastre. Para ellos, las rotativas son infraestructura crítica. Si una aseguradora sanitaria filtra datos confidenciales de sus clientes, eso es devastador. En ese caso, los datos son la infraestructura crítica. Si un hacker altera el controlador de un ascensor —una situación muy real—, el controlador se convierte en crítico. Cualquier punto de contacto con los datos —ya sea de entrada o de salida— es un riesgo potencial, y estamos preparados para protegerlo. Siempre digo: a la hora de defender sistemas críticos, no pienses solo en Internet, piensa en todas las puertas de acceso posibles. A veces no se trata de un servidor o un puerto, sino de una puerta trasera en la planta 30. En un mundo en el que puedes ser atacado a través de un correo electrónico o un archivo aparentemente inocente, solo aquellos que piensan desde todos los ángulos están verdaderamente preparados. El sistema OPSWATestá diseñado para eso: proteger terminales, servidores de correo electrónico, quioscos para conectar dispositivos externos e incluso sistemas de transferencia de archivos unidireccionales (Data Diode). En un mundo en el que incluso un simple archivo de imagen puede contener código de ataque incrustado, descomponerlo y reconstruirlo limpio tiene todo el sentido del mundo —no es paranoia.»
En consonancia con los tiempos que corren, ¿en qué medida utilizas la IA?
«La IA se ha convertido en una palabra de moda, pero OPSWAT la utilizamos solo por aparentar, sino únicamente cuando realmente resulta útil. El 99 % de los motores antivirus que afirman utilizar IA en realidad utilizan ML, es decir, aprendizaje automático. Dicho esto, la IA es excelente a la hora de desarrollar nuevas técnicas de ataque, por lo que es fundamental contar con defensas en capas. No nos basamos únicamente en firmas conocidas».
Sin embargo, ni siquiera un sistema de seguridad por capas es infalible. En materia de ciberseguridad, no existe la protección al 100 %.
«Exacto, y en OPSWAT lo entendemos. Por eso nuestro enfoque neutraliza las amenazas independientemente de si se han detectado, se conocen o figuran en alguna base de datos. El juego del gato y el ratón entre atacantes y defensores nunca terminará, así que no intentamos ganarlo con una sola herramienta. Construimos murallas, puertas, puentes y colocamos arqueros. No hay nada 100 % seguro, pero sí hay una plataforma en la que puedes confiar».
