El fin del malware tradicional: Germán Patiño explica cómo la IA y el sigilo están cambiando las reglas del juego

El fin del malware tradicional: Germán Patiño explica cómo la IA y el sigilo están cambiando las reglas del juego

Por Jorge González , director de www.globalbuenosaires. com.ar 

Fue corresponsal acreditado en Casa Rosada, por las agencias Noticias Argentinas , Télam y editor de www.ciberseguridadlatam.com .  En 2024 recibió la distinción de APeRA(Asociación de Periodistas de la República Argentina) «por su brillante trayectoria periodística».

Buenos Aires.- En un escenario donde los ciberatacantes  han alcanzado niveles de sigilo sin precedentes, la defensa digital ya no puede limitarse a buscar «virus» o malware conocidos. Germán Patiño, vicepresidente sénior de Lumu para América Latina, advierte que la tendencia actual es el Living-off-the-Land: el uso de herramientas corporativas legítimas para moverse lateralmente por las redes sin levantar sospechas.

«Hoy la clave no es la herramienta que se utiliza, sino el comportamiento», explica Patiño. Según el directivo, la red sigue siendo el «lugar más honesto» para encontrar la verdad sobre un compromiso, ya que, sin importar qué tan sofisticada sea la IA del atacante, este siempre necesitará establecer conexiones y canales de control que dejen una huella en el tráfico.

 Se  menciona que los atacantes están dejando de usar malware visible para emplear herramientas legítimas y tácticas sigilosas. ¿Cómo logra Lumu Defender diferenciar un uso administrativo legítimo de un «movimiento lateral» malicioso en tiempo real?

Hoy el cambio más importante en ciberseguridad es que el atacante ha alcanzado un nivel de sigilo nunca antes visto, hoy la mejor forma de identificar a tiempo un actor de amenazas es analizando el comportamiento de la red. Durante muchos años, las defensas tradicionales han estado enfocadas  detectar malware, pero hoy los actores maliciosos operan bajo esquemas de Living-off-the-Land, utilizando herramientas corporativas legítimas para moverse dentro de la red sin levantar sospechas.

En Lumu sabemos que perseguir herramientas ya no es suficiente y es por eso que Lumu Defender se enfoca en validar comportamiento en tiempo real. Analizamos la actividad de red y la contrastamos continuamente contra infraestructuras maliciosas conocidas y, a partir de ahí, correlacionamos esa información con identidades, endpoints y entornos cloud.

Cuando un activo comienza a interactuar de forma inusual (por ejemplo, accediendo a sistemas que no le corresponden o generando patrones de comunicación atípicos) podemos actuar de inmediato e identificar movimientos maliciosos en cualquier dirección. La clave está en entender el contexto completo del comportamiento, no en la herramienta que se está utilizando.

Con el auge de los AI-driven attacks, los criminales son más rápidos. ¿De qué manera las nuevas actualizaciones de Lumu utilizan la propia Inteligencia Artificial para no solo detectar, sino anticiparse a estas ráfagas de ataques automatizados?

Lo que estamos viendo hoy en día es que los ataques no solo son más rápidos, sino fácilmente adaptables, ya que el uso de inteligencia artificial por parte de los atacantes les permite cambiar su comportamiento en tiempo real y evadir controles tradicionales con mucha mayor facilidad.

Frente a eso, en Lumu utilizamos inteligencia artificial para observar y correlacionar comportamiento a través de toda la infraestructura –red, endpoints, identidades y cloud– y detectar desviaciones desde etapas tempranas. Esto permite identificar actividad sospechosa antes de que escale y tomar acción de forma oportuna.

Las operaciones de seguridad verdaderamente impulsadas por IA requieren ir más allá de la simple priorización de alertas, incorporando capacidades de investigación autónoma y razonamiento contextual; en este escenario, Lumu Autopilot, actúa como una capa de ejecución basada en inteligencia artificial que determina si los incidentes deben cerrarse, escalarse o remediarse, y orquesta flujos de respuesta con trazabilidad y capacidad de auditoría, reduciendo las tareas repetitivas de triage manual y habilitando una operación 24/7; al enfocarse en compromisos confirmados y no en el volumen de alertas, asegura que cada decisión esté basada en evidencia, disminuyendo el ruido, fortaleciendo la confianza en la ejecución de la seguridad, y algo muy importante, manteniendo al humano en el loop para tomar control cuando es necesario

Ricardo Villadiego menciona que las «defensas divididas generan visibilidad fragmentada». ¿Cuál es el error más común que cometen las empresas al gestionar sus silos de seguridad (EDR, red, nube) por separado?

El error más común es no saber si los controles de seguridad están funcionando como deberían, es decir, no probarlos intencionalmente contra el fallo. Adicionalmente tener herramientas que no se hablan entre sí, impide correlacionar señales y entender el contexto completo del ataque, mientras que el atacante puede moverse entre esos entornos sin ser detectado, especialmente cuando utiliza técnicas más sigilosas o herramientas legítimas.

La capacidad de conectar esas señales y tener una visión unificada es lo que permite identificar el compromiso de forma efectiva.

El informe destaca la detección de anomalías en inicios de sesión. ¿Cómo ayuda Lumu a los equipos de seguridad a detener una intrusión antes de que el atacante logre la escalación de privilegios?

La diferencia entre un incidente menor y una brecha crítica está en el momento en que logras detectarlo. Por eso, en Lumu, nos enfocamos en las señales tempranas del compromiso, especialmente en el comportamiento de las identidades y las redes.

Lumu Defender perfila el comportamiento normal de los usuarios y detecta anomalías como inicios de sesión en horarios atípicos, cambios en la frecuencia de acceso o intentos masivos de autenticación. Estas desviaciones son muchas veces el primer indicio de que una cuenta ha sido comprometida.

Al identificar estas señales en una etapa temprana, los equipos de seguridad pueden actuar antes de que el atacante escale privilegios o se mueva lateralmente dentro de la organización. En ciberseguridad, detectar antes de que se escale es lo que permite contener el ataque antes de que tenga impacto real.

La mejora del Lumu Endpoint Agent permite el aislamiento automático del host sin intervención manual. ¿Cómo garantizan que esta respuesta automatizada no interrumpa la continuidad del negocio por un «falso positivo»?

Esta funcionalidad muy solicitada por nuestros clientes en realidad bloquea la comunicación del host con la infraestructura controlada por atacantes. Así permitimos que el host continúe siendo utilizado por el usuario y se bloquee el contacto con los atacantes. 

De esta forma, se puede ejecutar una respuesta automática sin necesidad de intervención manual, manteniendo un alto nivel de precisión y reduciendo el riesgo de afectar la operación innecesariamente.

Los atacantes ahora usan tráfico SaaS normal para exfiltrar datos. ¿Qué patrones específicos busca Lumu en la nube para identificar que un intercambio de información aparentemente normal es, en realidad, un robo de datos?

Lo que estamos viendo es que la exfiltración ya no ocurre a través de canales claramente sospechosos, sino dentro de servicios legítimos, lo cual cambia completamente la lógica de detección.

En lugar de buscar anomalías evidentes, analizamos el contexto, como volúmenes de transferencia, nubs de destino, horarios y comportamiento de las cuentas, ya que un flujo de datos puede parecer normal en forma, pero no en intención.

Cuando ese comportamiento se desvía de lo esperado para ese usuario o ese sistema, es donde podemos identificar el riesgo. La clave ya no es detectar lo anómalo en sí, sino entender cuándo lo aparentemente normal deja de ser coherente.

Lumu nació con un fuerte ADN en red. ¿Qué tan complejo fue extender el modelo de Continuous Compromise Assessment hacia las identidades y los entornos cloud sin perder la precisión que los caracteriza?

Nuestra misión siempre ha sido brindar la mayor capacidad de visibilidad, detección y de respuesta a nuestros clientes, esto manteniendo coherencia en la forma de analizar y monitorear continuamente la red y los compromisos. Bajo esa premisa, extender el modelo de  Continuous Compromise Assessment más allá de la red para incluir endpoints, identidades y entornos cloud fue un paso natural, pero siempre bajo el mismo principio: correlacionar la actividad en tiempo real para validar compromisos, lo que permite que la visibilidad no se limite a un punto específico, sino que abarque toda la infraestructura, manteniendo una lectura consistente del riesgo.

Chris Kissel de IDC menciona que el NDR es el ancla de las operaciones modernas. ¿Por qué la red sigue siendo el lugar más honesto para encontrar la verdad sobre un compromiso, incluso cuando el ataque ocurre en un endpoint o en la nube?

La red sigue siendo el punto más confiable porque es donde se puede observar la comunicación real del atacante, pero más allá de dónde ocurra el ataque (sea endpoint, identidad o nube), el atacante necesita establecer conexiones, mantener comunicación y, en muchos casos, sostener canales de Command and Control.

Nuestro Compromise Report muestra precisamente ese cambio hacia ataques más persistentes, donde mantener ese canal de comunicación es clave. Al analizar esa actividad de red y validarla contra infraestructura maliciosa, es posible identificar el compromiso incluso cuando otros elementos parecen normales.

Muchos equipos de seguridad están desbordados por el «ruido» de las alertas. ¿Cómo ayuda la visibilidad unificada de Lumu a reducir la fatiga de alertas y acelerar el tiempo de respuesta (MTTR)?

Nuestro modelo de Continuous Compromise Assessment ha demostrado poder reducir la fatiga que presentan las personas que están a cargo de las operaciones de seguridad. Lo que las herramientas tradicionales muestran como ruido y falsos positivos al usuario, nosotros lo integramos a nuestro proceso de iluminación para que los equipos defensa únicamente reciban compromisos confirmados. Este cambio permite contar con una visibilidad unificada en la que esas señales pueden correlacionarse y entenderse dentro de un mismo contexto permitiendo a los equipos enfocarse en lo que realmente representa un riesgo.

Para un director de seguridad que ya invirtió en antivirus y EDR tradicionales, ¿cuál es el argumento principal para sumar una capa de evaluación continua de compromiso como la que propone Lumu hoy?

El argumento principal es que el modelo de seguridad cambió y ya no es suficiente con prevenir o detectar eventos puntuales, sino que hoy es necesario entender de forma continua si la organización está comprometida y adicionalmente orquestar de forma efectiva la respuesta con los controles existentes en el stack de seguridad.

Los equipos de seguridad enfrentan una realidad en la que los ciberataques son cada vez más sigilosos, persistentes y orientados a la evasión, lo cual significa que pueden coexistir con las herramientas tradicionales sin ser detectados.

Por eso Continuous Compromise Assessment no reemplaza lo que ya existe, sino que lo complementa, al agregar una capa de visibilidad continua que permite validar compromiso en tiempo real y actuar antes de que el impacto sea crítico. En términos simples, es pasar de reaccionar a eventos a operar la seguridad de forma permanente.

                                                           El lado humano de la ciberseguridad 

  • Germán, pasás gran parte del año recorriendo las capitales de Latinoamérica, desde México hasta Buenos Aires. Si tuvieras que elegir un plato que represente tu ‘lugar en el mundo’, ¿Cuál sería y en qué ciudad lo encontraríamos? 

Elegir una sola entre tantas delicias es una tarea difícil. Me quedaría entre el rib eye de Monterrey que después de más de 15 años me hizo regresar del vegetarianismo o el mote de queso que hace mi mamá.

  • Como buen conocedor de la región, y estando nosotros en Argentina. ¿Tenés algún varietal de vino preferido? ¿Eres  más del Malbec clásico o te permitís explorar un ensamble más complejo después de una semana intensa de lanzamientos? 

Realmente me gusta probar; aunque tuve un jefe que me decía que me gustaban los vinos “señoriteros”, así que ¡juzguen ustedes! 

  • En un mundo donde todo es digital y ‘siempre encendido’, ¿Cuál es tu deporte o actividad física de cabecera para desconectarte de las pantallas? ¿Eres  de los que madrugan para correr o preferís el despliegue de un deporte de equipo? 

No es actividad física, pero si realmente necesito desconectarme, me subo a una moto y recorro algunos cientos de kilómetros.

  • Si no estuvieras liderando una de las empresas de ciberseguridad más innovadoras del mundo, ¿a qué otra pasión creés que le habrías dedicado tu vida? ¿Hay algún hobby ‘analógico’ que poca gente conozca? 

Uff… tal vez criar cabras y ovejas o sanar a la gente. 

  • Finalmente, para los jóvenes que hoy te ven como un referente en la industria tech: ¿Cuál es ese libro, película o hábito diario que cambió tu forma de ver el mundo y que siempre recomendás? 

Asimov, y ahora sus obras vuelven a estar más vigentes que nunca, justo ahora con todo lo que estamos viviendo de AI es materia obligatoria leer  sus novelas del ciclo de los robots. El sol desnudo, robots e Imperio, etcétera y Fundación, también un imperdible.

Noticias relacionadas

Huawei lanza los FreeClip 2: los auriculares que cuidan la salud auditiva con diseño de «oído abierto»

Huawei lanza los FreeClip 2: los auriculares que cuidan la salud auditiva con diseño de «oído abierto»

Alerta tecnológica: por qué los discos SSD están subiendo de precio y cuándo conviene comprar

Alerta tecnológica: por qué los discos SSD están subiendo de precio y cuándo conviene comprar

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *