Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe

¿Experimentó una violación?

|
Contáctenos
|
+1 855 426 3983
A logo with accompanying text "Listen on Spotify"A logo with accompanying text "Listen on Apple Podcasts"
La percepción de la realidad
Season Three
· Episodio
4

La percepción de la realidad

En este episodio desvelador de The Segment, damos la bienvenida a Brett Johnson, una vez conocido como el “Padrino Original de Internet” y ex cibercriminal más buscado de Estados Unidos. Ahora un experto reformado, Brett trabaja para ayudar a las fuerzas del orden y a las organizaciones a mantenerse a la vanguardia de las amenazas digitales.

Transcripción

Raghu Nandakumara 00:12

Estimados oyentes de Segment, bienvenidos de nuevo a otro episodio de nuestro querido podcast, The Segment: A Zero Trust Leadership Podcast. Hoy, estoy muy emocionado de que me acompañe el legendario Brett Johnson. Si no sabes quién es Brett, entonces solo buscarlo en Google probablemente te dará un puñado de resultados para darte sus antecedentes. Pero digamos esto, es una leyenda en la comunidad del cibercrimen. Yo diría que ahora es un cibercriminal reformado, educando y ayudando a las fuerzas del orden a atrapar a los criminales. Pero en un momento, le gustaba ser conocido como el “Padrino del Cibercrimen”. Entonces, con eso, le doy la bienvenida a este programa, la primera vez que presentamos a alguien que ha estado en la lista de los más buscados de Estados Unidos, Brett Johnson, ¡Bienvenido a The Segment!

Brett Johnson 01:11

Muchas gracias. Se lo agradezco. No sé si soy legendario, diría más notorio.

Raghu Nandakumara 01:17

Bueno, la notoriedad de una persona es la leyenda de otra persona, así que creo que es un poco de ambas cosas. Entonces, Brett, es genial tenerte, y estoy muy emocionada de hablar contigo. Tu historia de fondo es realmente interesante, pero lo has cubierto en muchos podcasts y una especie de TEDTalks, etc., que has hecho. Pero un tema constante con el que voy a empezar, y repites esto, y lo tengo escrito aquí abajo, dices que la percepción de la realidad es más importante que la realidad misma. Empecemos por ahí. Explicar.

Brett Johnson 01:47

Claro, no importa cuál sea la verdad. Imparte de lo que pueda convencerte, ¿de acuerdo? Y vemos que lo interesante es, es que vemos eso ahora más que nunca, más que nunca. ¿De verdad importa? ¿Realmente importa lo que el equipo DOGE esté haciendo, o importa lo que te estén convenciendo de que están haciendo y ese es el punto? Ahora, cuando era delincuente, lo que eso realmente significaba era, oye, no importa si en realidad soy dueño de esa cuenta bancaria. Lo que realmente importa es si puedo convencer al servicio al cliente de tu banco de que soy tú y que soy dueño de la cuenta, eso es lo que realmente importa. La verdad no importa en absoluto. De eso hablaba en su día. En estos días, eso ha cambiado, sin embargo, y si lo piensas bien, si estás viendo un ataque en línea, realmente solo hay tres motivaciones de por qué sucede eso: es estatus, es efectivo, o es ideología. Es estatus, estoy tratando de impresionar a mis compañeros criminales. Es efectivo, estoy tratando de ganar dinero. O me has enfurecido, y estoy tratando de costearte. Si piensas en esas motivaciones, y piensas en esa afirmación, “La percepción de la realidad es más importante que la realidad misma”. Eso importa, porque ahora no se trata solo de efectivo. Ahora se trata de diferentes ideologías. Se trata de agendas políticas. Se trata de convencer a una población de que algo está bien o mal, sea o no, esa afirmación tiene, caray, hombre, desde que empecé a decir que allá en los días de Shadow Crew hasta hoy, esa declaración, creo que ahora es más importante que nunca.

Raghu Nandakumara 03:28

Sí, absolutamente correcto. Y creo que ahí has dado en el clavo en el clavo con particular tipo de militarización de internet, ¿verdad? Y todo tipo de plataformas mediáticas, la militarización de la IA, particularmente en esa área, ¿verdad? Para poder crear una percepción más creíble que la realidad que se suma a la incertidumbre del mundo digital. Esa es mi percepción, ¿cuál es tu opinión?

Brett Johnson 03:56

Me alegra que hayas sacado a colación la IA. Entonces, la percepción de la IA desde su implementación real, en el último par de años, ha sido, oye, los delincuentes la están utilizando en masa. Y realmente esa no ha sido la verdad. Ha habido mucha charla en el lado criminal, pero en cuanto a casos de uso reales, no ha habido muchos. Pero ahora que dicho eso, aquí está lo interesante que mencioné hace apenas un par de momentos, que las motivaciones para los ataques en línea: status, ideología en efectivo. Piense en los negocios, el compromiso del correo electrónico. Eso es un ataque basado en efectivo. Eso es algo que estoy buscando sacar provecho. Es yo tratando de convencer a esa empresa de que me envíe un pago en lugar del beneficiario existente en su sistema. Ahora una de las formas de hacerlo, la forma más popular, la forma más exitosa de hacerlo, es usar un dominio Unicode y convencer de que la nueva dirección de correo electrónico es la dirección de correo electrónico real. Sin embargo, una de las cosas que es realmente efectiva es usar falsificaciones profundas, ya sea que la falsificación profunda sea audio o video. Ahora, es muy exitoso y muy si lo piensas, y siento estar un poco, algo así como dando vueltas en esto, para que yo pueda defraudarte, tengo que llegar a esa víctima potencial, ya sea en una empresa o en un individuo. Tengo que conseguir que esa víctima potencial confíe en mí. ¿Cómo funciona la confianza en un entorno en línea? Bueno, funciona a través de herramientas, a través de la tecnología, y luego finalmente, de la ingeniería social. Entonces, la tecnología, confiamos inherentemente en esos celulares, confiamos en nuestras computadoras portátiles, nuestras computadoras de escritorio, confiamos en los sitios web a los que vamos, el software que usamos, el hardware que usamos. Realmente no entendemos que los atacantes usan una variedad de herramientas para manipular esa tecnología, de manera que no vemos el número de teléfono desde el que están llamando. Vemos el número de teléfono de un cliente. Vemos el número de teléfono de una institución financiera. Utilizan llamadas telefónicas de suplantación. Ellos usan proxies SOCKS5 para que no sepamos que vienen de Ghana o Nigeria o Alabama, como yo. Los vemos venir de Europa o de Nueva York o de Brasil. Entonces, utilizan esas herramientas para manipular la tecnología y eso tiende a abrir la puerta de la confianza. Una vez que esa puerta está abierta, vemos lo bueno que es un estafador un mentiroso, o si estás en tecnología, lo bueno que es un ingeniero social ese atacante al manipularte para que renuncies a información, acceso, datos o dinero en efectivo. Y aquí es donde entran las falsificaciones profundas. Entonces, confiamos inherentemente en esa tecnología. Confiamos inherentemente en ese llamado de Zoom a ser la persona que se supone que debe estar ahí. Y nuestros ojos nos están engañando para que pensemos que, sí, ese es el CEO de la compañía. Eso establece esa confianza, esa capa de confianza. Y eso convence a esa persona de nómina de enviar ese pago a quien ahora donde realmente se encuentra AI está empezando a jugar un papel en esto. Y la IA está siendo utilizada por delincuentes hasta cierto grado, la estamos viendo capas de confianza y cosas así. Donde es donde se está volviendo realmente efectivo es en el profundo proceso de creación falsa. Debido a que las falsificaciones profundas han sido históricamente, no han sido en tiempo real. Ha sido algo que se había grabado y luego se había presentado hacia esa víctima. Pero a medida que las falsificaciones profundas continúan progresando y evolucionando, estamos llegando al punto en que las falsificaciones profundas van a ser en tiempo real. Entonces, para un ataque basado en efectivo, tienes al CEO de tu empresa que está teniendo una conversación en tiempo real, sin demora alguna, teniendo conversación en tiempo real con nómina, “Necesito que envíes este pago a esta nueva cuenta bancaria. Han cambiado de dirección, y lo hacen ahora”, bueno, eso es muy efectivo, y eso va a funcionar de un encanto. Esa es solo una motivación para una falsificación profunda, sin embargo, piensa en esa falsificación profunda que, ya sabes, vimos Estados Unidos. Vimos a Estados Unidos explotar durante COVID porque evidentemente, a las fuerzas del orden les gusta disparar a hombres negros desarmados. Entonces, el país explotó. Tuvimos motines. Tuvimos saqueos. ¿Qué sucede cuando vemos un video en el futuro de las fuerzas del orden que disparan a un individuo desarmado? La ciudad explota, luego un par de días después, sale, oye, resulta que fue una profunda falsificación. Resulta que el agresor sí tenía arma de fuego. El agresor estaba disparando contra las fuerzas del orden, pero la inteligencia artificial fue capaz de eliminar y editar ese video y crear un nuevo video donde parecía que las fuerzas del orden solo estaban asesinando de manera desmedida a este individuo. El daño ya está hecho en ese momento. Entonces, esto es lo que vamos a ver en lo que respecta a Deep Face y AI. Se va a hacer de verdad. Aquí está mi preocupación. En este momento, estamos viendo la creación de falsificaciones profundas y la detección de falsificaciones profundas. Es una especie de gato y ratón. Entonces, ya ves, los atacantes salen con una profunda falsificación, tal vez, o tal vez no, la compañía de seguridad puede reconocerlo como eso. Si la compañía no lo hace, modifican su algoritmo donde ahora identifica a los atacantes falsos profundos que salen y modifican el suyo de ida y vuelta, de ida y vuelta. Realmente creo que llegamos al punto, potencialmente, donde la IA es capaz de hacer falsificaciones profundas tan buenas que los buenos no son capaces de detectar el tiempo de finalización del daño que se está haciendo. Y por eso, realmente creo que tenemos una muy buena oportunidad como sociedad de llegar a ese punto en el que realmente no somos capaces de confiar ni creer en nada. La percepción de la realidad es más importante que la realidad misma. Ya no importa. Imparte de lo que puedas convencer a alguien.

Raghu Nandakumara 09:42

Quiero decir, ese tipo de progresión a ese estado futuro que describías es enormemente, enormemente preocupante, porque creo que la confianza es tan fundamental para todo lo que hacemos en una medida u otra. Si. Ya sea en el mundo real o en el mundo digital, ¿verdad? Ponemos algún tipo de ahí hay un nivel de confianza implícita del que dependemos. Entonces, a medida que esa dependencia, o nuestra capacidad de depender de eso, se reduce, ¿cómo combatimos eso, verdad? Entonces, ¿cómo podríamos seguir funcionando con confianza en un mundo donde no somos capaces de diferenciar entre realidad y ficción?

Brett Johnson 10:29

Para mí, se reduce a relaciones personales reales. ¿Cómo se derrota el compromiso del correo electrónico empresarial? Bueno, lo derrotas al tener una relación personal con ese CEO, no solo en línea, sino “Oye, ¿podemos hablar? ¿Puedo levantar el teléfono y devolverte la llamada?” ¿Puedo tener eso? ¿Tenemos esto, esta frase secreta de la vieja escuela que no se ha discutido en ningún otro lugar excepto entre tú y yo personalmente? ¿Tenemos eso? Entonces, se convierte en esto, se convierte en volver a las formas de seguridad de la vieja escuela. Es más que eso, sin embargo, hay que darse cuenta de que a las redes sociales nos gusta ponernos en nuestras propias pequeñas cámaras de eco. No le gusta que seamos objetivos. Le gusta que seamos subjetivos. Le gusta que discutamos entre nosotros. Entonces, se convierte en esta idea de que tienes que esforzarte por ser objetivo, ser de mente abierta, aceptar, comprender y admitir cuando te equivocas. Lo cual es muy difícil si estás en Twitter, porque una vez que admites que te equivocas, los tiburones van a entrar y te van a comer vivo. Pero hay que entender que ese no es el mundo real. Sabes, hoy vivimos en una sociedad, que a lo largo de las últimas generaciones, nos han entrenado que, oye, cuídate de A, número uno. Ese eres tú. Sabes, tienes que velar por ti, porque nadie más va a hacerlo pero esa no es la forma en que funciona una sociedad adecuada y que funcione. Una sociedad es solo eso: una sociedad. No son individuos; son todos cuidándose unos a otros. Porque cuando nos cuidemos los unos a los otros, todos se vuelven mejores al final del día, más exitosos al final del día, y más rentables al final del día. Esa es la cosa y cuando nos estamos cuidando a nosotros mismos, al final las cosas caen esa es la cosa. Cuando era criminal, ya sabes, y todavía me llamo criminal, pero cuando estaba violando activamente la ley, una de las razones por las que entré en una vida delictiva, y he pensado mucho en esto. Una de las razones por las que entré en una vida de crimen es que quería poder controlar mi propio destino. No quería tener que depender de nadie más en absoluto. Y te voy a decir, cuando estás cometiendo un crimen y es exitoso, esa ilusión funciona de un encanto. Es absolutamente, ese es el 100% del caso. Pero cuando todo cae, y lo hace, cuando todo cae, vienes estrellándote al suelo, descuentras que esa vida real depende de que trabajes con todos los demás y dependas de otras personas. Ya sabes, muchos hombres, no nos gusta pedirle cosas a otras personas. No nos gusta confiar en otras personas. Pero la verdad del asunto es, cuando yo, cuando pude, cuando se me dio la oportunidad de darle un giro a mi vida, y aproveché esa oportunidad. La forma en que pude hacer eso, sí, fue mi elección. Pero al mismo tiempo, si no tuviera una comunidad, la comunidad de ciberseguridad, el FBI, mis amigos, familiares, asociados, si no estuvieran ahí para apoyarme y llamarme por mis porquerías cuando las tuve, y todavía tengo algunas porquerías. Si no estuvieran haciendo eso, nunca hubiera podido estar donde estoy hoy. Yo estaría de vuelta en prisión por 20 años. Estoy absolutamente convencido de eso, y es algo que nosotros como sociedad tenemos que entender eso, que no es solo la persona soltera, es el grupo lo que importa, y lo que importa es ayudarse unos a otros, porque eso es lo que, eso es lo que se supone que debemos estar haciendo.

Raghu Nandakumara 14:12

Entonces, hablando de ese concepto de sociedad cuando se establece o se dirige Shadow Crew, hubo muchas de esas propiedades de una sociedad civil que entraron en cómo una especie de Shadow Crew operaba así colectivamente, la gente se ayudaba mutuamente para, quiero decir, sí, por supuesto que era para apoyar el cibercrimen, pero ¿había mucha de ese tipo de confianza implícita dentro de esa comunidad?

Brett Johnson 14:42

Entonces, yo estaba en Dubai, y voy a regresar a Dubai en un par de meses, pero estaba marcando la parte de seguridad de la conferencia GITEX en Dubai, y estaba en un panel, y estaba escuchando a todos los demás en el panel, y estaba sentado ahí yendo, ya sabes, están diciendo muchas cosas bonitas. Y finalmente me tocó hablar, y me hicieron una pregunta, y yo ignoré la pregunta por completo, y dije: “Oye”, y miré al público, yo estaba como, “Oye, ¿quieres saber por qué los malos están ganando y ustedes están perdiendo todos los días?” Y la respuesta es, y sigue siendo la respuesta hoy. Nosotros los malos, somos mejores para compartir y colaborar que ustedes chicos. Somos más una, como acabas de mencionar, más de una sociedad que ustedes. Ustedes están preocupados por las regulaciones. Te preocupan las ventajas competitivas, y te preocupas por ti mismo. Entendimos con Shadow Crew, y no es que nos sentáramos y como que lo tramamos. No lo hicimos. Lo que hicimos fue, ¿ahí está la génesis del cibercrimen moderno? En realidad son tres sitios web. Es la Biblioteca Falsificada, Shadow Crew y Carter Planet. Yo dirigía falsificación y Shadow Crew, un socio ucraniano mío, Dmitri Golov, él inició Carter Planet, esos tres sitios. No era alguien sentado y tramando las cosas. Hubo problemas que surgieron a medida que estas cosas crecían, y resolvimos los problemas. Y así es como pasan estas cosas. Una de las cosas que hemos entendido rápidamente con Falseit y Shadow Crew es que es importante compartir e intercambiar información. Es importante estar pendiente de tu compañero criminal. Y la razón por la que entendimos eso es que también rápidamente entendimos que, oye, estamos cometiendo delitos, y si no nos cuidamos unos a otros, vamos a tener muchos tipos de seguridad, y lo más importante, vamos a tener muchos policías aquí que nos van a arrestar y enviarnos a prisión para siempre. Entonces, se volvió muy importante cuidar a tu prójimo. Sí, a pesar de que éramos criminales, absolutamente nos cuidábamos el uno al otro. Nos ayudamos mutuamente a violar la ley. Nos ayudamos a cada uno, nos ayudamos a educarnos unos a otros. Si tuviéramos, si tuviéramos problemas personales, por lo general los manejaríamos entre nosotros. Se convirtió en una verdadera comunidad. Y esa es una de las cosas interesantes que ya no vemos tanto. Ya sabes, vivimos en barrios en estos días donde típicamente no conocemos a nuestro vecino de al lado, no hablamos con ellos. Mantenemos nuestras persianas dibujadas en el frente para que no podamos ver hacia afuera y nadie más pueda ver dentro; seguimos aislándonos y viviendo más de nuestras vidas en línea, en nuestras propias pequeñas cámaras de eco, donde nos negamos incluso a entretener la opinión opuesta de otra persona. Si alguien más tiene una visión contraria de nosotros, de repente se convierte en nuestro enemigo. Y esa no es la manera de crecer como personas. No es la manera de expandir tu conocimiento o tu horizonte o tu Outlook o perspicacia a nada en absoluto. Pero ciertamente incluso hoy en día, si miras a las comunidades criminales, ya sea en telegrama o en la web oscura o incluso en la web superficial, si miras esas comunidades criminales, ves ese núcleo de colaborar, de ayudar, de cuidarnos unos a otros, y es lamentable que eso esté más vivo en el mundo criminal que en el mundo de los buenos.

Raghu Nandakumara 18:15

Eso es fascinante. Es preocupante, porque creo que lo que luego tocas es, es que algunos de esos valores que históricamente, hemos sentido como importantes para la sociedad, para una sociedad productiva, en realidad estamos olvidando en lo que llamamos una suerte de mundo legal, derecho, o no criminal. Pero mientras que en el mundo criminal, algunas de esas cualidades clave, en realidad se conservan y, de hecho, se practican muy, muy rigurosamente para tener éxito. Creo que hay una lección en sí misma, particularmente en torno al intercambio de información y al intercambio de conocimientos. Creo que eso es muy importante. Sólo así es como nos desarrollamos. Entonces, quiero volver a las motivaciones que insistes repetidamente en torno al cibercrimen, ¿verdad? Estatus, ideología, dinero. Y creo que nosotros, todos entendemos como que la pieza de dinero. Nosotros, hasta cierto punto, entendemos la pieza ideológica. Pero me encantaría tener tu perspectiva sobre el estatus, o, como diría, bien, cuando tú, como cibercriminal, solo quieres flexionar un poco tus músculos, ¿verdad? Solo muestra, solo muestra las armas, y solo demuestra que has estado trabajando. Entonces, ¿cómo harías eso?

Brett Johnson 19:28

Entonces, entiende de lo que estoy hablando es, y ves esto, ya sabes, veo todo el tiempo en LinkedIn o en Twitter, algún tipo de seguridad o de aplicación de la ley, va a publicar un video de algún chico que está en Facebook o en telegrama agitando montones de dinero, o algún artista de rap hablando de todo el fraude que están cometiendo. Y normalmente dirán que ese tipo es un idiota. Y la respuesta es, sí, ese tipo es un idiota, pero realmente no estás entendiendo o apreciando lo que realmente está pasando ahí. Tienes que entender que a pesar de que esas comunidades criminales se tratan de asegurarse de que todos tengan éxito, esas comunidades criminales también son perros grandes y perritos pequeños; eso es exactamente lo que son. Entonces, es perro grande se come perrito, y si tienes un estatus más alto, eso significa que eres más respetado por cada miembro de esa comunidad, y ese respeto, al final del día, sí equivale a ganancias. Entonces, piénsalo y entiende que no todos los delincuentes son buenos, y con eso quiero decir hábil. Entonces, yo de ellos absolutamente no sé nada en absoluto. Están comprando todo de la estantería porque en estos días, no importa cuál sea el delito. Puedes comprar cada componente de cometer ese delito de la estantería, listo para usar. Puedes llevar puedes comprar tutoriales. Puedes tomar clases de instrucción en vivo. No tienes que entender ninguna dinámica del delito que estás cometiendo, y aun así puedes tener éxito. Entonces, si eres uno de estos tipos que no entiende el crimen que estás cometiendo, pero eres capaz de robar mucho dinero, ¿cómo te ganas el respeto de los miembros dentro de esa comunidad? Bueno, lo único que te queda es poder demostrar que soy capaz de robar 30 PS5s, soy capaz de ganar $30,000 a la semana haciendo reclamos de seguro de desempleo, y tú renuncias al efectivo. Y eso absolutamente importa al final del día. Entonces, cuando hablo de eso, ¿puedes hacer algo que nadie más dentro de esa comunidad puede hacer? ¿Puedes crear ransomware? ¿Puede implementar ransomware? Porque eso es lo que realmente importa. ¿Se pueden lanzar ataques exitosos de ingeniería social? ¿Puedes lanzar campañas de phishing? ¿Puedes hacer ataques de hombre y medio? ¿Puede crear e implementar botnets? ¿Puedes usar datos robados de tarjetas de crédito para defraudar a Amazon o Apple cuando nadie en el planeta puede hacer eso? Si puedes, entonces te ganas el respeto de todos dentro de esa comunidad, y ese respeto importa. Lo que eso realmente significa es que vas a tener miembros acudiendo a ti pidiéndote tu consejo. Ellos compartirán más información contigo. “Oye, me acabo de enterar que esto está funcionando en mi área, este tipo específico de delito, y es, es trabajar en contra de esta empresa”, y entonces puedes tenerlos fuera de línea, en señal o lo que sea, teniendo una conversación con ellos. “Bien, ¿cómo está funcionando esto? ¿Qué herramientas estás usando?” Pero significa que eres más rentable, más conocedor al final del día. Entonces, una vez que ese respeto comienza a construirse, obtienes más gente que entra, compartiendo más información contigo. Luego puedes compartir eso con otras personas, primero de manera privada, y luego más públicamente después de eso, y eso aumenta tu estatus general, hasta que finalmente, comienzas a convertirte en lo más alto de la cadena alimentaria. Porque de nuevo, es perro grande versus perrito pequeño, y eso es lo que importa. Entonces, el estatus es una de esas cosas que absolutamente importa que nadie realmente aprecia o entiende del lado del tipo bueno, y a medida que vamos avanzando, si lo piensas bien, si el cibercrimen fuera un país hoy en día, tendría la tercera economía más grande del planeta. Eso es enorme, eso es enorme. Y desechar o no entender la importancia del estatus dentro de ese tipo de grupos es realmente faltar todo el punto de por qué se cometen muchos de estos delitos.

Raghu Nandakumara 23:24

Quiero decir, eso es fascinante. Y quiero preguntarte, así que si eres capaz de compartir, cuáles son algunas de las cosas clave que hiciste para lograr ese perro grande, ese estatus de Padrino en la comunidad,

Brett Johnson 23:37

Bien, entonces, caray, hombre, por donde empezar, ¿por dónde empezar? Entonces, cuando el cibercrimen, como saben hoy, cuando comienza por primera vez, realmente estaba en la planta baja de eso. El sitio era Biblioteca Falsificada, y ya era un sitio existente. Tenían un foro ahí que estaba extinto. De verdad, nadie lo estaba usando. Yo fui uno de los primeros miembros de ese foro. Y la razón por la que fui miembro de ese foro es que me habían estafado. No sabía nada en absoluto. Quiero decir, sabía cómo hacer fraude de eBay y fraude de PayPal. No sabía que realmente entendía la dinámica de muchos delitos cibernéticos en ellos. Y yo estaba buscando una identificación falsa, un tipo me estafó. Gran sorpresa. Me enloqueé. Todavía necesitaba una identificación falsa y encontré esta Biblioteca Falsificada, que lo que estaban tratando eran títulos y certificados falsificados, y eso era lo más parecido que pude encontrar a un canal de cibercrimen en ese momento. Entonces, me metí en su foro. Nadie lo estaba usando, y literalmente lo único que hice fue una perra gemir y quejarme todos los días por ser estafada. Y más o menos al mismo tiempo que yo estaba ahí. Estos otros dos individuos también estaban allí. Uno era por el nombre de pantalla del señor X, él estaba fuera de Los Ángeles. El otro iba por el nombre de pantalla de Beelzebub, estaba fuera de Moose Jaw, Saskatchewan, de todos los lugares. Entonces, nos convertimos en este tipo de, ya sabes, grupo de amigos. Y un día solíamos usar ICQ. Para enviar mensajes unos a otros. Y un día, Beelzebub me consigue en ICQ me manda un mensaje. Pasé por el nombre de pantalla de Gollum. Estaba como, “¡Gollum!” Yo estaba como, “Sí, hombre”. Él estaba como: “Puedo hacerte una licencia de conducir falsa”. Y yo estaba como, “Bueno, tipo, hazlo”. Y él estaba como, “No, te voy a cobrar por ello”. Bueno, en ese momento, me había quejado, gimido, y me había quejado tanto que los verdaderos dueños de Biblioteca Falsificada, les caía bien, y yo lo conocía, y nos llevábamos muy bien. Él es como, “yo lo habría cargado”. Yo estaba como, “Sí, como un infierno que eres”. Él dice: “No, te voy a cobrar, hombre”. Dijo: “La razón por la que quiero cobrar es, si vas a estar en este negocio, tienes que poder confiar en alguien en algún momento”. Bueno, yo estaba como, bien, así se lo dije. Yo estaba como, “Amigo, te voy a enviar 200 dólares y cuando me estafas, voy a tener tu culo prohibido de este sitio, y ya no tengo que preocuparme por ti”. Él es como, “Apuesta”. Yo estaba como, “Bien”, así que le mandé 200 dólares le mandé mi foto. Un par de semanas después, obtengo una licencia de conducir falsa a nombre de Stephen Schwake. Chico real trabaja hasta el día de hoy, trabaja en ADP nómina, y no sabía lo que estaba viendo. Para mí, era la mejor licencia de conducir falsa del planeta. Resulta que no lo fue. Era pasable, pero solo necesitas pasable para cometer fraude, y yo uso esa licencia de conducir para abrir cuentas bancarias, para retirar cheques, todas estas otras cosas. El trato se convirtió, el señor X hizo una tarjeta de seguridad social muy buena o transitable. Beelzebub hizo una licencia de conducir transitable de Ohio. No sabía nada en ese momento. Sabía cómo hacer fraude en eBay y PayPal. Entonces, el trato era que Beelzebub quería vender licencias de conducir. El señor X's quería vender tarjetas de seguridad social. No tenía ninguna habilidad, Beelzebub propuso que me convirtiera en el revisor, y ellos venderían los productos. Yo sería esto afuera, revisor independiente. Cualquiera que quisiera vender algo, tendría que enviarme una copia del mismo. Yo aprendería a usarlo, aprendería lo que era bueno y lo que no lo era. Y eso construiría esta comunidad. Y eso es exactamente lo que pasó. Se convirtió en esto, casi un campo de sueños, si lo construyes, ellos vendrán, por actividad delictiva. Me convertí en este revisor. Cada producto y servicio pasó por mí, y en un momento dado, eso es exactamente lo que pasó. Cada acuerdo comercial pasó por Johnson. Entonces, me convertí en esto, este Dios de si es si di una aprobación, la gente ganaba dinero. Si no lo hacía, la gente se iba a la bancarrota. Entonces, eso está, que yo soy el tipo que construyó el mecanismo de confianza inicial que usan los delincuentes, ese proceso de revisión, de aval para la gente, y lo que eso significa de los canales de Escrow. Yo soy el tipo que inicialmente construyó eso. Soy el primer tipo que vendió cuentas bancarias robadas, o no robadas pero, pero creó volcar cuentas bancarias en línea. Empecé a crear declaración de impuestos robo de identidad. Entonces, la razón por la que la declaración de impuestos de todos se retrasa cada año es este SOB que te está hablando ahora mismo. Hay, hay un anfitrión. Yo soy el tipo que trajo a todos los ucranianos a Estados Unidos. Ese asociado que mencioné de Carter, planeta, Dmitri Golov. Vio el éxito que estábamos teniendo con la Biblioteca Falseit. Quiere que fuera un spammer. Estaba recibiendo todos estos datos de tarjetas de crédito. Y él estaba como, me pregunto si la gente compraría datos robados de tarjetas de crédito. Resulta que lo harán. Entonces, él coge el teléfono. Llama a sus amigos. Ellos llaman a los suyos. Tienen una conferencia física en Odessa. 150 de estos delincuentes se presentan, y lanzan Carter Planet, que es la génesis del robo moderno de tarjetas de crédito, como lo llamamos. El problema con ellos, lo tenían, habían hecho tanto fraude en el lado oriental de Europa que todas las tarjetas estaban cerradas. Entonces, Dimitri viene a mí, y él estaba como, “oye, necesitamos poder sacar dinero”. Entonces, yo soy el tipo que se encargó de tender un puente entre los ciberdelincuentes de habla ucraniana que eso duró. Bueno, duró varios años. Sigue ahí hasta cierto punto, pero el número de primicias criminales de las que soy responsable es, Jesús hombre, es, es, es mucho. Quiero decir, podría dedicarle mucho tiempo a eso. Hay una razón por la que el Servicio Secreto me llamó el Padrino de Internet original, y no es un buen término. Y hay una razón por la que estaba en la lista de los más buscados de Estados Unidos. Te lo diré, chicos y chicas, cualquiera que esté en la lista de Estados Unidos más buscados. No eres un buen tipo en ese momento. Quiero decir, eres, eres, eres un tipo peligroso. Es, es, no es nada de lo que estar orgulloso en absoluto.

Raghu Nandakumara 29:30

No están ahí para darte una medalla, eso seguro.

Brett Johnson 29:33

No, oh bueno, están ahí para ponerte en metal.

Raghu Nandakumara 29:38

Entonces, cambiemos, porque has proporcionado mucha perspectiva allí sobre esencialmente el cibercriminal y hasta cierto punto la mentalidad del atacante, ¿verdad? Y creo que, volviendo atrás, algo que dijiste es, ¿es así? El cibercrimen simplemente va como, está aumentando en volumen, está aumentando en valor. Como, ¿qué es? Desde si ahora pones algo así del lado del defensor, bien, ¿cuáles son los errores que están cometiendo los defensores de tal manera que se siente que en realidad no estamos mejorando en la prevención del cibercrimen?

Brett Johnson 30:13

Amigo mío, publicó ayer en LinkedIn, y lo que dijo, es realmente algo así, es algo que abre los ojos. Y he estado aludiendo a esto desde hace un par de años. Una de las razones por las que los ciberdelincuentes son extremadamente exitosos es que cuando actuamos, cuando hacemos algo, lo hacemos porque así es como comemos. Si no tienes éxito, no comes ese día. Entonces, esos ataques de ingeniería social que están ahí afuera, hay una diferencia entre cómo un tipo malo hace un ataque de ingeniería social y un buen tipo lo hace. Ya sabes, un buen tipo, si vas a DEFCON o Black Hat, tienes ahí la granja de ingeniería social, y todos están robando las computadoras portátiles de todos y todas estas otras estupideces. No es así como realmente funciona la ingeniería social. Como ingeniero social, si lo estás haciendo realmente para obtener ganancias o para lo que sea la motivación del ataque, estás tratando de hacer algo de la manera más pequeña posible que haga que esa víctima potencial piense que simplemente está eligiendo hacer eso, y no quieres que se entere nunca. Porque cuando se enteran, los gigas arriba. Entonces, solo tienes ese espacio para actuar. Entonces, quieres que ese espacio de ellos desconociendo sea lo más largo posible. Entonces, por la forma en que los buenos hacen algo, yo también hago el chiste de que, oye, DEFCON existe para que la gente pueda ir a hablar de hazañas y métodos de ataque que ningún criminal real jamás hará. Muy bien, eso es una broma, pero hay mucha verdad en eso también. Y veo esto todo el tiempo, que la gente asume que entiende cómo piensan los delincuentes, que puedo pensar como un criminal. Bueno, no, no puedes. Si pudieras, serías un criminal. Esa es una de las cosas que creo que la gente realmente se pierde. Eso no quiere decir que no puedas anticipar lo que pueda hacer yo. Puedes, pero tienes que ser de mente abierta. Tienes que ser objetivo y no pensar que lo sabes todo. Y uno de los problemas, también pienso, es que muchas de estas empresas tienen presupuestos extremadamente grandes para la seguridad. No creo que tengas que tener un presupuesto realmente grande. Creo que un presupuesto realmente grande significa que tenemos que encontrar algo que ver con todo ese dinero. Y a veces funciona y a veces no, pero vamos a gastar mucho dinero de todos modos. Creo que todo eso en conjunto, creo que es una ciberseguridad adecuada y la protección no es realmente de cara al público. No es realmente romántico, son solo las tuercas y tuercas de hacer las cosas que necesitas hacer. Tenemos más de 8500+ empresas de seguridad ahí fuera. Tenemos muchos medios de comunicación que pintan a los atacantes como hackers, como genios de la informática. Es capaz de irrumpir en cualquier tipo de sistema informático que deseen. Ese no es realmente el caso. Los ataques ocurren porque más del 90% de todos los ataques utilizan exploits conocidos. Sí, no son genios informáticos. Son cosas de las que nos han hablado desde hace años, de las que no estamos haciendo nada. Eso causa el panorama de amenazas que existe. Más del 90% de los ataques son estrella de las brechas comienzan con ataques de phishing. Entonces, está comprometiendo al humano. Está buscando vulnerabilidades conocidas. Es entender estas cosas. Es entender a un atacante. La mayoría de los ataques se basan en efectivo y la mayoría de los ataques son ataques oportunistas. Busco el acceso más fácil que me dé el mayor retorno de esa inversión criminal. Si entiendes eso, y solo pones un poco de seguridad, vas a estar bien. Pero tienes que hacer eso. No puedes tener sólo mil millones de dólares. Entonces, yo de estos bancos tengo un presupuesto de seguridad de mil millones de dólares, y no te voy a decir cuál banco, pero estaba hablando con su VP de amenazas. Y le pregunté, yo estaba como, “Oye, ¿por qué todavía no han sido golpeados con ransomware?” Y ella estaba como: “No lo sé. Voy a preguntar”. Entonces, unas tres semanas después, ella regresa y dice: “Bueno, me metí con mi jefe. Finalmente me responde, y dice: “Bueno, tenemos un presupuesto de seguridad de mil millones de dólares”. Y yo estaba como, “diablos, eso es mucho”. Y ella dice: “Sí”, y luego dijo: “Entonces él hizo una pausa, y me miró, y dijo, y tenemos mucha suerte”. Y yo estaba como, Santo infierno, la suerte es una estrategia.

Brett Johnson 34:38

Ya sabes, si, si eres de una mano, estás diciendo que estás gastando mil millones de dólares en seguridad, y en el siguiente instante, estás diciendo, y tenemos suerte, probablemente algo no esté bien.

Raghu Nandakumara 34:50

Eso es brillante, y estoy bastante seguro de que si hubieran ahorrado esos mil millones de dólares y solo dependieran de la suerte, el resultado probablemente seguiría siendo bastante similar, probablemente similar.

Brett Johnson 35:02

Eso es lo interesante. Entonces, es, ya sabes, es, realmente es una de esas cosas de simplemente abrocharse el cinturón y no, ya sabes, no pensar que eres una superestrella, sí, no pensar que es un trabajo realmente romántico. Realmente se trata de las tuercas y tuercas de las cosas. Sabes, vi a un tipo el otro día. Cuando empecé a hablar, eran dos. En realidad solo había dos verdaderos criminales ahí afuera que estaban hablando, Frank Avenue y yo. Ahora hay varios más, y algunos de ellos saben de lo que están hablando. Entonces, yo de ellos no. Esta. Este, este tipo publicó sobre concientización sobre fraude y capacitación en concientización sobre seguridad, y dio las cifras de ya sabes, “empresas que hacen capacitación de concientización en seguridad que encuentran una disminución del 63%, y en un impuesto y ahorran 50% de dinero”. Y no sabía de lo que hablaba, porque concientización de seguridad, capacitación en concientización sobre fraude, funciona siempre y cuando la capacitación sea continua. No es algo que hagas desde hace un par de semanas, y es efectivo. Para esas dos semanas, es efectivo, y luego los números vuelven directamente a lo que eran. Entonces, es entender que tienes que hacer las cosas de la manera correcta. No es solo un espectáculo de perros y ponis. Cuando estaba en prisión, teníamos espectáculos de perros y ponis todo el tiempo. Es algo en lo que tienes que continuar y asegurarte de que estás haciendo las cosas correctamente al mismo tiempo.

Raghu Nandakumara 36:20

Creo que todo eso es tan puntual, y al venir de tus antecedentes, creo que refuerza mucho de lo que se sigue diciendo, pero siento que no se le toma suficiente nota, ¿verdad? Porque lo que dijiste fue, esto no es como los ciberatacantes, los ciberdelincuentes son como vivir de la tierra, ¿verdad? Es el mismo conjunto de exploits que ellos porque todos los kits de herramientas existen para exploits conocidos. Entonces, ¿por qué iría y tendría que crear un nuevo kit de herramientas para un posible nuevo exploit cuando puede reutilizar lo que hay ahí afuera, verdad? Cuesta menos, es menos de tu esfuerzo. Y de nuevo, bien, con la suerte suficiente, vas a, vas a obtener ese resultado, vas a sacar dinero, y vas a poder seguir adelante. Entonces, cuando dijiste, bien, es, no es hacer necesariamente las cosas nuevas sexys, verdad, sino poder ser brillante en lo más básico, los fundamentos de la ciberseguridad, ¿verdad? Ahí es esencialmente donde radica la mayor oportunidad para los defensores. ¿Se está escuchando esa lección?

Brett Johnson 37:32

Ya sabes, son algunos lugares. Se trata de algunos lugares. Creo que cada vez se escucha más, cuanto más públicas se vuelven muchas de estas brechas. Toma, por ejemplo, Colonial Pipeline. Tubería Colonial. ¿Por qué sucedió eso? Bueno, sucedió porque Colonial Pipeline sabía que una de sus contraseñas VPN estaba disponible en un canal de la web oscura. Ellos lo sabían, y no hicieron nada al respecto. No cambiaron la contraseña. Por eso sucede. Sucede porque sabes que tu contraseña es solarwinds123, o esa es una de las razones por las que sucede.

Brett Johnson 38:07

Entonces, es si, ya sabes, como eso, a medida que esas cosas se vuelven más públicas, y como entendemos eso, ya sabes, Colonial Pipeline intentó y Experian trató de posponerlo en una pasante. Ya sabes, evidentemente, se sigue contratando al mismo pasante en todas estas empresas que experimentan brechas, para escucharlas contarlo. Creo que a medida que más de esa información se hace pública, y como vemos cómo son estos ataques, no suelen ser ataques sofisticados, sino solo ataques oportunistas. Creo que el entendimiento que, y mientras seguimos teniendo conversaciones como esta, creo que la comprensión de la conciencia sale ahí, oye, no son estas cosas sexys, no son estos genios informáticos los que operan en las sombras que nadie puede captar. No lo es. Son estos tipos los que están escaneando estas cosas. Están leyendo libros blancos. Están siendo diligentes en la búsqueda de acceso. Están entendiendo que si están en una vertical y son capaces de comprometer a una empresa en esa vertical con este ataque que oye, probablemente este mismo ataque funcionará en estas otras empresas en la misma vertical. Entonces, es entender estas cosas. Es entender, es compartir y colaborar. Si soy una empresa en una vertical específica, como infraestructura, financiera, o lo que sea, y estoy viendo a mi empresa golpeada con este ataque específico. Si estoy compartiendo y colaborando con otras empresas en esa misma vertical, entonces eso significa que esas otras empresas pueden protegerse antes de que ocurra ese ataque. Si no estoy haciendo eso, entonces eso significa que estoy tratando de trabajar una ventaja competitiva que, ya sabes, implementaré seguridad aquí y dejaré que mis otros competidores sean devorados vivos. Es, está debajo, es ser de mente abierta. Es ser objetivo. Es entender como empezamos con eso de que tenemos que velar el uno por el otro. Es, es más que solo cuidarnos a nosotros mismos.

Raghu Nandakumara 39:56

En esa medida. ¿Piensas con mucho de lo que es? Regulaciones, etc., que están evolucionando con el tiempo, y se está dando una gran importancia a la presentación de informes, la notificación de incidentes, la notificación de impacto, etc. ¿Crees que eso está impulsando una cultura mucho más transparente? ¿Cree que las organizaciones se sienten más cómodas al reportar ataques cibernéticos?

Brett Johnson 40:19

No estoy seguro si son más cómodos. El tema, tome regulaciones, tendemos a tener personas que ponen regulaciones que no tienen comprensión de la industria que están tratando de regular. Toma algunas de esas audiencias de criptomonedas que estaban pasando, ¿se podían ver los ojos de cristal de los senadores y representantes que estaban como y van a regular las cosas? ¡Oh, Dios mío! Entonces, ese es uno de los problemas. Otro problema es, es que el reportaje, si bien estoy a favor de que se haga público, también estoy por dar una oportunidad a esas otras posibles víctimas para que se aseguren antes de que se haga público. Porque ¿por qué fue golpeado Equifax? Equifax fue golpeado porque Apache anunció un parche. Equifax no lo pone; dentro de 24 horas, se comen vivos. Creo que hay que dar tiempo antes de que se haga público para que estas otras empresas pongan seguridad en su lugar, porque una actualización es solo una transmisión a cada criminal del planeta diciéndoles a qué puerta llamar. Sí, creo que tiene que haber algún tipo de regulación ahí dentro de que una empresa que está violada necesita primero poder compartir eso con otras empresas en su vertical, esas otras empresas necesitan actuar de inmediato sobre eso, implementar una seguridad adecuada. Y en ese momento, entonces podría hacerse público para que esas otras empresas no sean victimizadas por ese anuncio de una brecha.

Raghu Nandakumara 41:51

Creo que es un punto realmente bueno porque, y como que hablaste de ello antes, bien también, es que cuando una organización, una vertical en particular, es víctima de un ciberataque en particular que está explotando una vulnerabilidad particular o así, la mayoría de las veces, ese mismo tipo de conjunto de tecnologías está siendo utilizado por la gran mayoría del grupo de pares. Entonces, tienes razón. Entonces, como en el caso del intercambio de información, debería ser una especie de prioridad de compartir dentro de tu grupo de pares, pero también es casi como las reglas de Chatham House, ¿verdad? Que lo compartan, pero no lo hagan público hasta que hayamos tenido tiempo suficiente para hacer nuestra propia diligencia debida y asegurarnos de que al menos estemos protegidos, ¿verdad? Porque la próxima vez, uno de nosotros va a estar aquí y vamos a compartirlo con ustedes, y ustedes también van a beneficiarse de la misma manera. Entonces, justo antes de pasar a lo siguiente, ¿verdad? Entonces, vemos mucho enfoque en este momento, y en realidad los últimos años, ya que, una especie de MITRE codificó el marco de ataque, y vemos mucho enfoque en tácticas, técnicas y procedimientos similares. Y mi perspectiva sobre esto es que las tácticas del atacante realmente no cambian, ¿verdad? Es el mismo conjunto de tácticas que se ejecutan repetidamente, las técnicas y procedimientos pueden alterar en base a la tecnología, en función de la madurez de la organización que están tratando de atacar. Como, creo que ese tipo de comprensión de los TTP es importante. ¿Cree que estamos demasiado enfocados en los TTP versus similares?, volver a lo que dijo es abordar la causa raíz de por qué esos TTP son accesibles, que es la falta de lo básico. ¿Cuál es tu perspectiva?

Brett Johnson 43:27

Creo que primero y ante todo, es necesario abordar esas causas de raíz, absolutamente. Al mismo tiempo, ya sabes, como la charla de IA, ya sabes, tenemos, todas las empresas quieren tener algún tipo de componente de IA, y todas las empresas quieren decir que los delincuentes están usando IA. Puede que hagas un muy buen punto, y esto es lo que digo, digo que un criminal o un atacante no va a cambiar la forma en que están atacando a menos que algo los obligue a cambiar eso. Sí, ya sabes, ¿por qué lo haría yo? ¿Por qué comenzaría a usar IA si ya soy salvaje, tremendamente exitoso con lo que estoy haciendo? Yo no lo haría, no lo haría. Tiene que haber algo que me obligue a cambiar. Sabes, para responder a tu pregunta, creo que necesitas ahí absolutamente, por todos los medios, continuar con el TTP, eso. No creo que eso sea algo malo en absoluto. Pero entienda que hay mucha charla ajena por ahí que está tratando de vender un producto de seguridad. Ya sabes, por eso necesitaría usar IA. De hecho tengo un caso de uso para eso antes de que empieces a hacer ese argumento. Como dije ahora, es, está siendo utilizado hasta cierto grado por delincuentes. Sin embargo, hay mucho más parloteo que uso. Entender que la idea de lo que está obligando a un atacante a cambiar ahora y luego, entonces, jugar con el TTP desde ahí, pero a toda costa hacer los tuercos y tornillos de una seguridad adecuada. Sabes que no puedes exagerar ese 90% más de ataques utilizados en exploits, no puedes tú. Eso no es Petya en pocas palabras. Ya sabes, enchufa eso y vas a estar más seguro que no.

Raghu Nandakumara 45:06

Sí, totalmente. Y creo que eso es tal, no se puede repetir lo suficiente. Y creo que en realidad combinar esos dos, dos puntos que hiciste, si abordas ese 90% automáticamente vas a forzar un cambio en el comportamiento de los atacantes, porque esas cosas que viven de la tierra, como que no has usado estas palabras aquí, pero que tienes en conversaciones anteriores es, no hay sofisticación técnica significativa en la mayoría de impuestos ¿verdad? Están viviendo de la tierra. Pero si les damos, si limitamos o minimizamos la cantidad de tierra de la que pueden vivir, ¿verdad? Eso va a forzar una mayor sofisticación técnica, que entonces va a hacerlo más difícil o nos va a dar más formas de detectar y responder.

Brett Johnson 45:54

Tienes razón. Realmente no he abordado eso específicamente. No somos genios de la informática. Bien, algunos de nosotros somos muy buenos. Entonces, yo de nosotros incluso lo somos. Pero no tienes que ser un hacker, no tienes que ser un niño genio de las computadoras para victimizar a una empresa o a un individuo, para tener éxito, no tienes que hacer eso. Lo que sí tengo que hacer es compartir, intercambiar y colaborar entre nosotros. Eso es lo único que tengo que hacer para tener un tremendo éxito. Entiende que, si puedes sacarte de la cabeza que estos atacantes son sofisticados y genios informáticos, ese punto que prácticamente nidila el campo de juego, que abierto, eso te permite tener la mente lo suficientemente abierta como para decir, oye, estos tipos no son genios. No lo son, no son realmente brillantes. Es decir, algunos de ellos lo son, algunos de ellos no. Pero una vez que abres tu mente a eso, eso permite que tu mente comience a ser capaz de decir: “Oye, puedo solucionar estos problemas”. Yo puedo. Son solo las tuercas y los pernos. Es, está escaneando el paisaje y diciendo: Oye, resulta que tengo estos puertos abiertos de los que llevan años gritando, que necesito cerrar cosas así. Resulta que estoy, estoy, estoy permitiendo el acceso remoto. Sí, sí, son cosas así. Entonces, arreglas eso y vas a estar bien. Honestamente, no lo es, no es realmente complicado. No lo es.

Raghu Nandakumara 47:17

Me gusta mucho cómo lo expresas, porque es pensar como un atacante, pero en realidad recuerda que el atacante está tratando de hacer lo más sencillo posible. Entonces, piensa en cuáles son las cosas simples que necesitas abordar, y eso te va a dar mucho más beneficio por tu parte. Creo que eso es lo que dices.

Brett Johnson 47:36

Sí, empiezas ahí. Empiezas ahí. No lo estoy, no estoy buscando si la mayoría de los ataques están basados en efectivo, y lo están, estoy buscando el acceso más fácil, y por eso, es por eso que viene con ese enfoque en capas de seguridad. Entendiendo que si te estoy atacando por una razón ideológica, no me importa cuanta seguridad tengas, estoy buscando atravesar cada cosa que tienes. Y eso es un problema, porque cada componente de seguridad que tienes que está en su lugar, puedo eludirlo si pongo suficiente esfuerzo en ello. Pero los ataques ideológicos son un tipo diferente de ataque. La mayoría de los ataques se basan en efectivo o en el estado. Entonces, eso significa que ese enfoque por capas de seguridad, estás tratando de poner tantas capas ahí que no vale la pena mi tiempo o esfuerzo para pasar por ellas. Voy a encontrar otra víctima. Sí, y eso es lo que importa.

Raghu Nandakumara 48:27

Sí, absolutamente. Entonces, cambiemos la pista un poco, no masivamente. Cuando las organizaciones te piden tu consejo sobre cómo deben mejorar su estrategia de ciberseguridad, ¿verdad? ¿Qué es lo que normalmente les ofreces como esas perlas de sabiduría como ex cibercriminal?

Brett Johnson 48:47

Bueno, estamos hablando de eso ahora mismo. Es compartir, intercambiar información, y esa es una de las razones por las que me gusta mucho las conferencias. Al menos en las conferencias, puedes conocer a otras personas que están en la misma vertical en la que estás, que trabajan en el mismo tipo de puestos en los que trabajas, que aunque haya reglas que se supone que no debes compartir y colaborar, puedes levantar el teléfono y decir: “Oye, Bill, esto es lo que estamos viendo aquí. Tal vez, tal vez quieras hacer algo al respecto”. Entonces, al menos tienes esa capacidad de hacer esas conexiones y esa red ahí que importa al final del día. La otra cosa es entender, como dije hace un momento, no me importa cuál sea el producto tour del Servicio de Seguridad que tengas en su lugar. La hay, no hay bala de plata. No hay. Tendrás empresas de seguridad que están ahí afuera que dirán: “Solo necesitas mi producto. Va a curarlo todo”. Eso es lo que llamamos charla de almohada de ciberseguridad. Eso es lo mismo de decir, te seguiré respetando por la mañana. No, no lo van a hacer. Entonces, comprenda, comprenda que se necesita ese enfoque por capas, pero también comprenda que usted. Si sabes por qué te están atacando, estatus, dinero, ideología, si sabes quién te está atacando, y solo hay siete tipos diferentes de atacantes, tienes criminales, tienes hacktivistas, tienes terroristas, tienes estados nacionales, tienes insiders, tienes hackers contratados, tienes guion kiddies. Esos son los siete. Sabes quién te está atacando. Puedes averiguar por qué te están atacando. A partir de eso, ¿qué buscan? Bueno, solo están buscando información, datos de acceso o efectivo. Entonces, si puedes entender esas cosas, quiénes son, por qué están atacando lo que buscan, y diseñar seguridad en torno a eso, ¿qué busca ese individuo? Es, es que no vas a tratar de diseñar seguridad para algo que nadie te va a atacar nunca, absolutamente así. Entonces, concéntrese en lo que buscan, quiénes son, por qué están atacando la seguridad del diseño. Es entender tu lugar en ese espectro del cibercrimen, porque tienes uno. Y la forma en que te voy a atacar, depende absolutamente de quién seas y de lo que hagas. Averigüe eso. Diseñar seguridad, hacer las tuercas y pernos. Sabes, no soy el tipo con el que hablé un tipo, caray lo ha sido, probablemente ha sido hace cinco años. Trabajó en una institución financiera, y dice: “Oye, tenemos Splunk”. Yo estaba como, “sí”. Él es como, “No sé cómo usar Splunk”. Yo estaba como, “Sí, es su propio idioma, ¿no?” Él está como, “Sí, es realmente difícil”. Yo estaba como, “Entonces, ¿qué haces con él?” “Bueno, lo tenemos conectado a una computadora, y no está conectado a nada”. Ese es el tipo que tiene más presupuesto del que necesitas, ya sabes, y eso es lo malo del gobierno federal. De dar presupuestos y lo que sea que la agencia no use tiene que regresar, entonces esa agencia trata de encontrar cosas en las que gastar ese dinero. Muchas empresas son así. Ya sabes, es si no usamos el presupuesto, van a recortar nuestro presupuesto el próximo año. Esa es la manera equivocada de pensar, es que necesita superar esa mentalidad y comprender que su función es asegurar el entorno para usted y sus clientes o sus clientes. Y aún no estamos ahí. Absolutamente no estamos ahí. Pero de eso hablo, es de eso, ya sabes, hablo de, si los tipos de componentes, ya sabes, si estás en, si estás en lo financiero, tienes eso, ese componente de verificación de identificación, ¿entiendes cómo los atacantes pueden superar eso? Entonces, entonces también necesita estos otros componentes allí para asegurarse de que está viendo las cosas, es decir, está mirando los datos en general. Al igual que yo, trabajé para la empresa hace un par de años, y ellos hicieron, me hicieron su Chief Criminal Officer. Fue un truco. Fue absolutamente un truco. Ellos lo niegan hasta el día de hoy que, “oh, no, vamos en serio. Tú no, fue un truco”. Entonces, mientras trabajaba ahí, empezamos a ver esto, a este hombre en medio del ataque, y es porque los atacantes leen white papers. Y también han estado leyendo libros blancos durante años, y han entendido que, oye, hay este empujón para deshacerse de las contraseñas, así que ahora estás viendo muchos tokens de sesión robados, muchos ataques de inyección de cookies. Fue ese ataque, y aún hasta el día de hoy, ese ataque, que es muy exitoso contra muchas instituciones financieras. Y la razón por la que funciona es porque esa institución financiera simplemente está confiando en esa cookie. Si tienes la galleta, tienes que ser la persona adecuada. Pero si se tomaran el tiempo de mirar todos los datos disponibles para esa cuenta, entonces verían un cambio en el dispositivo, o verían un cambio en la IP, o verían aparecer estas diferentes anomalías. Entonces, de lo que también hablo es de mirar los datos, porque eso importa. Los datos le dirán la verdad del entorno y la transacción que está sucediendo. Si no está mirando los datos, o simplemente está mirando pequeñas partes de los datos generales, se está haciendo un mal servicio y a sus clientes un mal servicio. Entonces, también está mirando los datos.

Raghu Nandakumara 53:45

Entonces, ¿ofrece algún consejo sobre, como, estrategias clave que las organizaciones deberían adoptar, como, una especie de la parte superior, la parte superior de la conversación que estábamos discutiendo, algún tipo de confianza y lo que significa la confianza? Y en el último tipo de 10-15 años, toda la estrategia Zero Trust se ha convertido en una especie de frente y centro, como, ¿cuáles son sus perspectivas sobre la estrategia correcta para que las organizaciones tomen Zero Trust, etc.?

Brett Johnson 54:10

Creo que absolutamente lo estoy teniendo para Zero Trust. Yo creo que, y hablo de esto hasta cierto punto, es, es, mencioné que antes, para que yo te victimice, tengo que establecer un grado de confianza. Y realmente creo esto, cada nuevo compromiso entre el cliente y la organización debe ser desde un punto de vista de confianza cero. Sabes, no es algo que, “Oye, hemos confiado en ti antes. Sabemos que este inicio de sesión o esta cookie fue válido desde la última sesión. Entonces, vuelve a entrar. Estás listo para ir”. No, no debería ser así. Es entender que como atacante, es muy fácil para mí robar una galleta. Es muy fácil para mí robar una identidad o un número de tarjeta de crédito o fingir una huella digital del navegador, y entrar así. Entonces, es asegurarse de que cada nueva interacción sea verificada. Y eso es lo que vuelve a Reagan, ¿verdad? Confía, pero verifica. Ya sabes, sí, voy a confiar en ti, pero voy a verificar cada una de las cosas que dices. Eso es, eso es lo que importa. Al mismo tiempo y esto es, esto es, esta es una de las cosas que me sigue costando apreciar. No quieres causar tanta fricción en ese entorno que el cliente vaya a otro lugar. Sí, eso se convierte en un gran problema. Y, sí, puedes detener todo el fraude del mundo. Lo único que tienes que hacer es cerrar el sitio web, lo detendrá. Es que no quieres para ti. Quieres tener ese equilibrio entre seguridad y fricción, pero ese equilibrio absolutamente tiene que pesar más hacia el lado de la seguridad. Tiene que. Entonces, en segundo plano, se trata de poner cosas en su lugar para que puedas anticipar cuánta verificación necesita ser lanzada en cada interacción que entra ahí. ¿Sabe? ¿Viene de una propiedad intelectual diferente a la habitual? ¿Se ve como si viniera de un proxy potencial o se redirecciona de algún lugar? ¿Qué está pasando? ¿Es un dispositivo nuevo? ¿Es un dispositivo viejo el que está entrando? ¿Tiene el mismo dispositivo o el mismo rango de IP acceso a otras cuentas? ¿Cuántas veces se perdieron la contraseña? ¿Es una contraseña antigua que se está utilizando como una solicitud de cambio de contraseña? Es decir, todas estas cosas se pueden hacer en segundo plano antes de que el cliente sea golpeado con cualquier cosa que cause fricción adicional por su parte. Entonces, esas son las cosas que necesitas estar haciendo. Esté haciendo, haga todo lo que pueda en segundo plano para anticipar el potencial de fraude y luego actuar en ese punto. Eso es lo que se vuelve importante. Ya sabes, se hizo un estudio el otro día sobre CAPTCHA, básicamente que, quiero decir, martillaron con fuerza a los CAPTCHA. Y seamos honestos, muchos CAPTCHA, están ahí fuera. No hay nada más que fricción para los buenos. Y eso, eso es, eso es algo de lo que hay que tener cuidado, bien. Entonces, es hacer las cosas en segundo plano para que no tengas que retrasar a ese cliente.

Raghu Nandakumara 57:14

¿Cuál de estas imágenes tiene un ciclo en ella? Sí, terminas, solo estábamos hablando de ello, luego terminas seleccionando todo, porque de repente todo parece que tiene alguna parte de un ciclo de ello, y luego dice el mal intento de nuevo, ¿verdad? Y es y luego estás 40 minutos después. Sí, sí, exactamente, exactamente. Muy bien. Hoy nos has dado mucho de tu tiempo, y podríamos continuar para siempre. Brett, antes de terminar, ¿por qué no nos dejas con una anécdota divertida de la que todos podríamos aprender?

Brett Johnson 57:45

¿Una anécdota divertida? Bien, sí, sí. Ya sabes, hablé sobre la confianza y el primer crimen real en línea que cometí. Y es posible que la gente me haya escuchado hablar de esto antes, pero es una especie de microcosmos por la forma en que funcionan la mayoría de las estafas. Yo estaba, estaba en Lexington, Kentucky. No me iba muy bien con las estafas callejeras. Encontré eBay, me gustó muchísimo fuera de eBay. No sabía cómo ganar dinero. Y una noche, estaba viendo a Bill O'Riley como el presentador de la edición interior. Estaban perfilando Beanie Babies, y el Beanie Baby del que hablaban era Peanut, el elefante azul real, que se vendía por $1,500. Entonces, empecé a buscar Peanut. No lo puedo encontrar. Terminé comprando un Gorro Baby Elephant gris por $8 pasé y compré un poco de tinte azul, me fui a casa, intenté teñir al pequeño. Resulta que estaba hecho de poliéster. No aguantaría muy bien el tinte. Saqualo y parece que tiene la mange. Pero le arranqué a la señora de $1,500. Encontré una foto de una real en la mía. Lo publicó. Ella pensó que yo tenía lo real. Ella gana la oferta. La estafé de 1.500 dólares, y fue entonces cuando aprendí la primera lección del cibercrimen. Ella sabía quién era yo, pero si demoras a una víctima lo suficiente, simplemente sigues postergándolas. A muchos de ellos, se exasperan, tiran las manos al aire, se van, y no denuncian el delito. Entonces, esa es realmente la primera lección. La mayoría de la gente no denuncia el delito. La mayoría de la gente se rinde. Bien, entonces esa es la primera lección. Pero también, es entender que una cosa es también un microcosmos de la mayoría de estas estafas. Tienes una víctima, ahí, una víctima potencial que tiene un deseo de algo. Están queriendo algo. Bueno, ese deseo me permite, como criminal, ganarme más fácilmente la confianza de esa víctima, para asegurarme de que están reaccionando emocionalmente, no racional o lógicamente. Entonces, ella confió en la plataforma eBay. Ella confió en la tecnología. Ella no entendía que yo estaba usando una herramienta, una imagen de una real, para ganar confianza, para abrir esa puerta de confianza. Una vez que esa puerta estuvo abierta, ¿qué tan bueno es un ingeniero social? ¿Qué tan buena mentirosa soy al manipularla para que me dé dinero? Que es lo que hice. Entonces, el deseo de la víctima, la tecnología, herramientas, ingeniería social para establecer confianza en línea, y luego finalmente, esa persona renunciando, alejándose y nunca reportando el delito a las fuerzas del orden. Todo eso es una especie de microcosmos por la forma en que la mayoría de estas estafas, ya sea en cripto o eBay o PlayStation 5 o lo que tengas. Todas estas estafas funcionan en línea. Entiende eso. Entiende que es un deseo. Estás queriendo algo que desear significa que vas a reaccionar de manera más emocional que lógica o racionalmente. Es entender que mientras la plataforma esté ahí, no hay razón por la que debas confiar inherentemente en ella. Lo mismo para la tecnología Zero Trust. Sabes, ¿por qué debería confiar en él? Hay atacantes y hay depredadores por todas partes. Esa es la anécdota que usaría. Es entender estas cosas en el mundo real, tendemos a tener una conciencia situacional que es bastante buena. Sabemos cuando estamos en un mal barrio, cuando las cosas están a punto de estallar o qué te pasa. Eso no se traduce muy bien a un entorno en línea, pero tenemos que entender que los depredadores están en todas partes. Y si entendemos eso, eso no es para llevar tu vida paranoica, pero eso es apreciar eso, oye, los atacantes están por todas partes. Y si entendemos eso, nuestro nivel de conciencia aumentará y automáticamente será más seguro debido a eso.

Raghu Nandakumara 1:01:19

Fantástico, quiero decir, creo que ese es un lugar perfecto para envolver esta conversación en particular. Brett, ha sido un privilegio y una alegría hablar contigo. Entonces, muchas gracias por su tiempo. No gracias y tu y tu honestidad.

Brett Johnson 1:01:35

Se lo agradezco. Muchas gracias, y me ha encantado platicar contigo, de verdad. Muchas gracias.

Raghu Nandakumara 1:01:39

Gracias por sintonizar el episodio del segmento de esta semana para aún más información y recursos de confianza cero, echa un vistazo a nuestro sitio web en illumio.com también puedes conectarte con nosotros en LinkedIn y Twitter en Illumio, y si te gusta la conversación de hoy, puedes encontrar nuestros otros episodios donde sea que consigas tus podcasts. Soy tu anfitrión, Raghu Nandakumara, y volveremos pronto.

Volver arriba
Leer más