Un enemigo, decenas de nombres, miles de informes: Cómo la confusión de nombres perjudica a los investigadores
La industria pasó años debatiendo sobre cómo llamar a los hackers, hasta que Microsoft puso fin al caos.
En la industria de la ciberseguridad, cada gran actor utiliza sus propias denominaciones para los grupos que llevan a cabo ataques contra empresas y organismos gubernamentales. Esto siempre ha generado problemas: los analistas podían estar hablando del mismo adversario, pero llamarlo con nombres completamente distintos. Como resultado, las investigaciones se retrasaban y las discusiones entre especialistas se asemejaban a un juego del teléfono descompuesto.
En este contexto, Microsoft y CrowdStrike anunciaron una iniciativa conjunta: han unificado sus sistemas de denominación de grupos y publicado un directorio actualizado, donde cada actor de amenazas está correlacionado según múltiples taxonomías. Este enfoque no convierte al mercado en un pantano informativo único, pero permite a los especialistas encontrar puntos en común más rápidamente y hablar un mismo lenguaje, incluso si se trata de distintos nombres para el mismo grupo de hackers.
Según el director del área de seguridad de Microsoft, la nueva base se ha convertido en un punto de partida para identificar rápidamente a los atacantes y aumentar la eficacia de las investigaciones. Ahora, en situaciones donde una organización cuenta con informes de varios proveedores, ya no será necesario perder tiempo analizando coincidencias manualmente: todo está recopilado en un único y claro directorio.
Entre los futuros participantes del proyecto se mencionan Google/Mandiant y Unit 42 de Palo Alto Networks, quienes también aportarán sus datos para acelerar la identificación. Microsoft espera que otros grandes actores se unan a esta iniciativa, lo que permitiría aumentar significativamente la transparencia del mercado de ciberinteligencia y agilizar la respuesta ante ataques.
La compañía destacó que el objetivo principal no es establecer un estándar rígido, sino ofrecer a los especialistas una herramienta para sincronizarse rápidamente entre sí. Ya se ha logrado eliminar la confusión en los nombres de más de 80 grupos activos, considerados entre los más peligrosos y técnicamente avanzados del mundo.
A futuro, la alianza promete seguir desarrollándose: las bases se actualizarán regularmente con nuevos nombres y se prevé un intercambio automático de telemetría entre los participantes. Esto facilitará mucho el trabajo y hará que los informes de las empresas sean más compatibles entre sí.
Microsoft y CrowdStrike están convencidos de que la industria necesita precisamente colaboración conjunta y sincronización voluntaria, y no intentos de imponer una única fórmula. La iniciativa está abierta a nuevos participantes y tiene como objetivo eliminar el caos en los nombres y librar a los defensores de la molestia de tener que descifrar quién está realmente detrás de un ataque.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!