DESAFÍOS ANTIL AVADO
la aplicación. Los formularios de autenticación de firmas electrónicas requieren una atención
detallada al dispositivo y otros identificadores en línea, como lo demuestra la política de priva-
cidad de DocuSign. 35
A medida que los servicios financieros evolucionan hacia una mayor accesibilidad de dispositi-
vos móviles y en línea, los ciberdelincuentes tratan de evadir la detección de fraudes manipu-
lando identificadores en línea. 36
Las empresas de transferencia de dinero, como PayPal, dirigen el dispositivo y otros identifica-
dores en línea directamente en los términos y condiciones de su sitio web de la UE. Se abordan
diversas políticas relacionadas con la privacidad, las cookies, el fraude, el antilavado de dinero
y la notificación necesaria a las agencias de control legal y las autoridades reguladoras. 37
Indicadores de Compromiso
Durante al menos 10 años, los IOC han sido utilizados por empresas de seguridad informática,
como IBM, para referirse a la evidencia digital forense de ataque cibernético. Dichas pruebas
digitales forenses pueden reportar anomalías, como direcciones IP, dominios, archivos y pistas
digitales que parecen conectar la red atacada cibernéticamente con el presunto atacante
cibernético, 38 con herramientas de administración de punto final que pueden detectar inciden-
tes de seguridad y remediar el entorno. 39
Los IOC pueden capturar detalles de acceso a la red inesperados, basados en direcciones IP
asociadas con determinadas geolocalizaciones. 40 Las empresas de ciberseguridad, como Kasper-
sky Lab, pueden dar a conocer los IOC, para que las organizaciones identifiquen en sus redes
rastros de grupos financieros de ataque cibernético, como Metel, GCMAN y Carbanak 2.0. 41
En contraste, en los últimos años, el término Indicadores de Ataque (IoA) ha sido utilizado por
empresas de seguridad informática, como IBM, 42 Intel 43 y CrowdStrike, para referirse a la evi-
dencia digital forense de que un ataque cibernético está ocurriendo o probablemente ocurrirá
en el futuro, junto con herramientas de protección de destino final que detectarían incidentes
de seguridad y remediarían el entorno.
Para CrowdStrike, los IOC hacen referencia a malware, firmas, explotaciones, vulnerabilidades
y direcciones IP, ejecución de código de referencia, persistencia, sigilo, control de comandos y
movimiento lateral de IoA. 44
La presentación de Crowdstrike sobre IoA se hace eco de la estructura Cyber Kill
Chain ® , 45 que
Lockheed Martin, el mayor contratista de defensa de los EE.UU., desarrolló para identificar y
prevenir la actividad de intrusión cibernética por medio de siete pasos: reconocimiento, arma-
mento, entrega, explotación , instalación, mando y control, y movimiento lateral. 46
La importancia de los IOC para la industria de la seguridad informática se hace hincapié en
una evaluación reciente sobre los inconvenientes de la representación de IoA como las mejores
herramientas de generación de informes para la detección y la remediación de ataques ciber-
néticos. 47 Las organizaciones comerciales y
sin ánimo de lucro pueden hacer referencia
a las IoA más, a medida que sopesan el
marco Cyber Kill Chain ®48 para disuadir los
ataques cibernéticos, incluidos los atribui-
bles a los estados nacionales. 49
En conclusión, esta oportuna revisión de
los desafíos relacionados con las direccio-
nes IP, otros identificadores en línea y los
IOC debería mejorar la preparación de ROS
al plantear cuestiones operativas pertinen-
tes, como la preparación de IPv6, la evalua-
ción y corroboración correctas de los datos
de direcciones IP y el tratamiento de direc-
ciones IP e identificadores en línea como
datos personales.
Las actualizaciones de los avisos y términos
y condiciones de privacidad del sitio web
también pueden ser oportunas, junto con la
puesta en práctica de requisitos internacio-
nales más estrictos de protección de datos
como el GDPR de la UE.
La educación puede dirigirse a temas como
la forma en que los ciberdelincuentes tratan
de evadir la detección de fraudes mediante
la manipulación de direcciones IP y otros
identificadores en línea, junto con la utiliza-
ción de las herramientas Tor, VPN y proxy
para evitar la verificación de identidad y las
restricciones geográficas. Además de los
datos del IOC, la consideración de los datos
de IoA también puede mejorar la prepara-
ción de ROS de conformidad con el asesora-
miento de FinCEN.
Miguel Alcántar, CAMS-FCI, asesor
de cumplimiento, Oakland, CA, USA,
alcantar@aya.yale.edu
“Privacy Policy,” DocuSign, 15 de diciembre del 2016, https://www.docusign.com/company/privacy-policy
“Mobile Fraud Gone in a (Device) Flash,” DataVisor, 5 de julio del 2016, https://www.datavisor.com/threat-blogs/mobile-fraudsters-gone-in-a-device-flash/
37
“Privacy Policy for PayPal Services,” PayPal, 27 de enero del 2017, https://www.paypal.com/uk/webapps/mpp/ua/privacy-full
38
“Indicators of compromise,” IBM, 2015, https://pcatt.org/techblog/wp-content/uploads/2015/10/IndicatorsOfCompromise.pdf
39
“How BigFix Helps Investigate a Threat in Forensic Activities,” IBM, https://www.ibm.com/developerworks/community/wikis/form/anonymous/api/wiki/90553c0b-
42eb-4df0-9556-d3c2e0ac4c52/page/2a87e237-39ca-4489-81c5-c81124f91a48/attachment/446c7dd5-8737-4342-9acb-3712b0c57556/media/Investigating_threats_
with_Bigfix.pdf
40
Jason Andress, “Working with Indicators of Compromise,” ISSA Journal, mayo de 2015,
https://c.ymcdn.com/sites/www.issa.org/resource/resmgr/journalpdfs/feature0515.pdf
41
“APT-style bank robberies increase with Metel, GCMAN and Carbanak 2.0 attacks,” Kaspersky Lab, 8 de febrero del 2016,
https://securelist.com/blog/research/73638/apt-style-bank-robberies-increase-with-metel-gcman-and-carbanak-2-0-attacks/
42
IBM BigFix Detect, IBM, https://www.ibm.com/us-en/marketplace/bigfix-detect#product-header-top
43
“Indicators of Attack (IoA),” Intel, http://www.mcafee.com/us/resources/solution-briefs/sb-indicators-of-attack.pdf
44
Jessica DeCianno, “Indicators of Attack versus Indicators of Compromise,” CrowdStrike, 9 de diciembre del 2014,
https://www.crowdstrike.com/blog/indicators-attack-vs-indicators-compromise/
45
“Cyber Kill Chain ® ,” Lockheed Martin, http://www.lockheedmartin.com/us/what-we-do/aerospace-defense/cyber/cyber-kill-chain.html
46
Lysa Myers, “Cyber Kill Chain is a Great Idea, But is It Something Your Company Can Implement?,” Infosec Institute, 31 de mayo del 2013,
http://resources.infosecinstitute.com/cyber-kill-chain-is-a-great-idea-but-is-it-something-your-company-can-implement/#gref
47
Dave Dittrich, Katherine Carpenter, “Misunderstanding Indicators of Compromise,” Threatpost Op-Ed, 21 de abril del 2016,
https://threatpost.com/misunderstanding-indicators-of-compromise/117560/
48
Lysa Myers, “The practicality of the Cyber Kill Chain approach to security,” CSO, 4 de octubre del 2016,
http://www.csoonline.com/article/2134037/strategic-planning-erm/the-practicality-of-the-cyber-kill-chain-approach-to-security.html
49
Dave Dittrich, Katherine Carpenter, “Misuse of Language: ‘Cyber’; When War is Not a War, and a Weapon is Not a Weapon,” Threatpost Op-Ed, 9 de agosto del 2016,
https://threatpost.com/misuse-of-language-cyber-when-war-is-not-a-war-and-a-weapon-is-not-a-weapon/119740/
35
36
43