Entender por qué un usuario realiza determinada acción y obtener un análisis sobre su comportamiento, para predecir en el futuro posibles acciones, es esencial para prevenir ciberataques. En este blog exploraremos cómo se analiza el comportamiento de los usuarios con UEBA.
Este tema para mí es apasionante y no es nuevo. Sé que también lo es para aquellas personas que tienen una mente preventiva, que les gusta observar y conocer cómo se comportan otros. A aquellos que no les da miedo mirar al otro directamente al rostro, para leer entre líneas y analizar su comportamiento.
Conocer cómo se comporta el ser humano, para poder predecir y analizar sus movimientos y entender el porqué lo podría hacer, es un tema fascinante. No solo desde el ámbito de la psicología, también desde la tecnología.
Y ver cómo ha evolucionado a la virtualidad con UEBA (análisis del comportamiento de usuarios y entidades) es sorprendente. Antes de entrar en materia de TI, quiero ir un poco a las raíces.
Del lado tradicional del análisis del ser humano encontramos diversas teorías que señalan la posibilidad de analizar, por ejemplo, todo aquello que nos dice el lenguaje no verbal (corporal) y lo que nos puede mostrar el comportamiento de una persona, así como su personalidad.
Por ejemplo, hablemos de las macroexpresiones y microexpresiones. Un ejemplo sencillo de macro expresiones podrían ser los movimientos apaciguadores o tranquilizantes como limpiarse las piernas, como cepillándolas o quitando el polvo.
Lo que podría indicar que una persona está intentando calmarse a sí misma en momentos estresantes.
¿Ha visto como los perritos liberan estrés bostezando o sacudiéndose?, este comportamiento también se ve en los seres humanos, como una manera inesperada de liberar el estrés, por ejemplo. Cuando me percaté de que esto pasa con mi mascota y con las personas, se me quitó parte de la venda.
La microexpresión de disgusto o desacuerdo es muy sencilla de detectar, por ejemplo. Se puede manifestar al fruncir los labios con fuerza, poner los ojos en blanco, mover los parpados brevemente o arrugar la nariz. Notar esta, me resulta fascinante.
Sin embargo, cada una de estas formas de análisis del comportamiento humano no son lo suficientemente exactas y eficaces si no se usan como un todo. Lo no verbal no es lo único que debe observarse, también lo comportamental como las líneas base de expresión individual y la personalidad. Debe verse el comportamiento como un todo.
Ahora, las técnicas para leer a las personas en tiempo real precisan de una aptitud básica, la capacidad para procesar una gran cantidad de información en tiempo récord.
Cuando hablamos desde el lado de la tecnología, se ha encontrado precisamente esa manera de leer el comportamiento de los usuarios, procesando grandes cantidades de información en tiempo récord a través de una herramienta: UEBA.
Leyendo a los usuarios con UEBA
En el ámbito de la tecnología tenemos el análisis del comportamiento de usuarios y entidades (UEBA). Pero para estar claros, lo primero que vamos a responder es ¿qué es UEBA?
UEBA quiere decir análisis del comportamiento de los usuarios y entidades. Sus siglas provienen del inglés y significan User & Entity Behavior Analytics.
En términos generales, de acuerdo con IBM, el UEBA es un tipo de software de seguridad que “utiliza análisis de comportamiento, algoritmos de machine learning y automatización para identificar comportamientos anómalos y potencialmente peligrosos de usuarios y dispositivos”.
Una de las finalidades de los software de UEBA es proporcionar a los equipos de TI mejor visibilidad de la seguridad del ecosistema y fortalecer las políticas de zero trust.
Es muy útil si se usa para identificar amenazas internas, por ejemplo. Además es usado en los centros de operaciones de seguridad (SOC).
Se incluye como una funcionalidad en soluciones de seguridad empresarial de gestión de eventos e información de seguridad (SIEM), detección y respuesta de endpoints (UEM) y gestión de identidades y accesos (IAM).
UEBA nació de la UBA
Ojo, no es un error gramatical. UBA (User Behavior Analytics) es el análisis del comportamiento de los usuarios y se trata de una tecnología que se usa para detectar anomalías en los patrones de comportamiento del usuario e identificar amenazas en la red.
Las herramientas de UBA usan el análisis de datos y algoritmos de machine learning (ML) para crear una línea de base de comportamiento específica para cada usuario. Detectan las “desviaciones de esta línea de base, por lo que ayudan a detectar las posibles amenazas a la seguridad en una etapa temprana”, según IBM.
La gran diferencia radica en que UBA solo rastrea los patrones de comportamiento de los usuarios finales. Mientras que UEBA realiza el monitoreo de las entidades que no son usuarias.
Las entidades no usuarias vendrían siendo los servidores, enrutadores y dispositivos de Internet de las cosas (IoT). UEBA también busca comportamientos “anómalos o actividades sospechosas que puedan indicar amenazas o ataques a la seguridad”, de acuerdo con lo que explica IBM.
Dato curioso: Gartner fue el primero en acuñar el término de UEBA en 2015, que es una evolución de UBA.
Descubra los casos de uso de UEBA
Para que pueda comprender de manera sencilla cómo funciona UEBA, le contaré a través de casos reales de ciberseguridad cómo funcionan los casos de uso tácticos de UEBA que explica IBM.
Pero antes le quiero introducir cuáles son los casos de uso tácticos:
-
Usuarios internos maliciosos
-
Usuarios internos comprometidos
-
Entidades comprometidas
-
Exfiltración de datos
Usuarios internos maliciosos, los que buscan venganza o son negligentes
Este caso táctico se da cuando personas de una compañía que cuentan con accesos autorizados o privilegiados intentan realizar ciberataques.
Un caso real en el que se ejemplifica esta modalidad fue el de Vodafone, en Alemania (2013). Un exempleado de la compañía robó los datos e información personal de más de 2 millones de clientes y luego intentó venderlos en línea.
De acuerdo con Vodafone, este empleado tenía “conocimiento interno de sus sistemas más seguros” y se ejecutó como un ataque de alta complejidad.
Detectar a este tipo de insiders requiere más que el tener acceso a los datos de registros de archivos o de eventos. Se necesita de un análisis avanzado y UEBA puede ayudar en esto.
Lo anterior porque UEBA le permite”identificar de manera individual los usuarios que infringen las políticas de seguridad.
Contenido relacionado: Threat hunting: detecte las amenazas y vulnerabilidades de su empresa
Usuario interno comprometido, aquí el phishing es el rey
Un usuario interno se puede ver comprometido cuando los ciberdelincuentes obtienen acceso a sus credenciales de usuario o dispositivos autorizados. Esto lo logran por medio del phishing y ataques de fuerza bruta, entre otros.
Identificar el uso de claves y credenciales que son legítimas, pero que han sido robadas, no es una tarea tan simple. En apariencia el ciberdelincuente podría estar autorizado, lo que le permitiría moverse dentro de la red sin ser detectado.
Solo durante el 2024 los ataques de phishing aumentaron en un 140 % en Latinoamérica. Y su canal favorito de ejecución fue el correo electrónico. También sabemos que el 91 % de los delitos cibernéticos comienzan allí, según Ciberseguridad Latam.
Un ejemplo reciente de phishing podría ser el ataque que sufrió el Banco Santander y que afectó a los clientes y empleados del banco en España, Chile y Uruguay. Este ataque se ejecutó el 14 de mayo del 2024 y se trató de un acceso no autorizado a sus bases de datos.
También se puede presentar a través del phishing el robo de credenciales. El cual puede incluir el dumping de credenciales, que aprovecha vulnerabilidades de la memoria RAM para robar y copiar las credenciales.
UEBA en estos casos de credenciales comprometidas podría ayudar a detectar el comportamiento anómalo de los usuarios afectados por un robo de credenciales, por ejemplo.
Entidades comprometidas, ¿están a salvo los dispositivos IoT de los ciberataques?
Si bien en general las empresas pueden ser blanco de un ciberataque, hoy en día las organizaciones del sector saludsufren, desde el 2023, un incremento en los ciberataques que reciben.
Este tipo de organizaciones en especial, manejan una gran cantidad de dispositivos interconectados IoT. Pero, tienden a tener una protección de seguridad digital pobre. Esto las hace objetivos ideales para los hackers, que podrían apropiarse de sus dispositivos.
¿Las consecuencias?, que las organizaciones y compañías terminen con sus dispositivos secuestrados, facilitando el acceso a las fuentes de datos confidenciales, la interrupción de las operaciones y hasta ser objetivo de ataques de denegación de servicio distribuido (DDoS).
El uso de UEBA permite identificar comportamientos que indican que estas entidades se han visto comprometidas. Esto para implementar métodos proactivos de prevención en lugar de reactivos y enfrentar a las amenazas antes de que se intensifiquen.
Exfiltración de datos, una amenaza latente
La exfiltración de datos se da cuando las amenazas internas y actores malintencionados tienen como objetivo robar los datos personales, la propiedad intelectual y documentos relacionados con la estrategia comercial, el robo de datos de servidores y ordenadores, entre otros dispositivos.
Un caso real de una situación así fue la que le ocurrió a Microsoft en mayo del 2023 cuando unos hackers utilizaron la pulverización de contraseñas o password spray attack con el fin de robar correos y documentos en general.
En un caso como este, UEBA ayuda a los equipos de seguridad a detectar violaciones de datos en tiempo real, alertando a los equipos sobre los patrones inusuales de descarga y acceso a datos.
Dos usos de UEBA en las estrategias de ciberseguridad
UEBA puede ser útil en dos estrategias: en la implementación de la seguridad de zero Trust y en ayudar al cumplimiento del reglamento RGDP.
En el caso de la estrategia de zero trust, UEBA puede darle a los analistas de seguridad mayor visibilidad -en tiempo real- sobre la actividad de los usuarios finales. Le permitirá ver qué dispositivos buscan conectarse a la red y qué usuarios están tratando de exceder sus privilegios.
En el caso del cumplimiento de la RGPD, las herramientas de UEBA pueden ayudar a las empresas a cumplir con este reglamento porque permiten monitorear el comportamiento de los usuarios, incluso saber a qué datos confidenciales acceden.
Conclusión
UEBA es una herramienta que le permitirá a las organizaciones generar estrategias preventivas y actuar en el momento oportuno. Es hora de que se olvide de ser reactivo y empiece a prevenir.
Poder leer el comportamiento de personas y usuarios, tanto para la vida como en el ámbito tech, nos prevendrá de las amenazas externas. Sobre todo, nos permitirá implementar estrategias para moldear el comportamiento propio y saber cómo responder ante el comportamiento sospechoso.
Usar una herramienta de UEBA le facilitará la identificación de las señales que indican que existe una amenaza interna, cuentas comprometidas y el suceso o intento de un robo de datos.
Fuentes adicionales
Lee a las personas como un libro, Patrick King.
