14 noviembre 2016

Una herramienta que detecta webs maliciosas antes de que causen daños


Investigadores de la Universidad de Princeton en Estados Unidos han desarrollado un sistema llamado Predator que tiene la capacidad de detectar los sitios web maliciosos antes de que causen daños.

Para perpetrar sus ataques, los ciberdelincuentes utilizan páginas fraudulentas que tienen el objetivo de estafar a las víctimas, distribuir malware y robar datos personales y credenciales. Aunque los investigadores de seguridad elaboran una lista negra de webs falsas para bloquearlas, al poco de ser eliminadas los criminales establecen nuevos nombres de dominio para continuar con sus actividades malintencionadas.

Sin embargo, esta práctica podría tener los días contados gracias a Predator, una herramienta que dificulta el registro de dominios nuevos con fines maliciosos. Este sistema es capaz de distinguir entre los compradores legítimos de dominios y los criminales, ya que puede identificar un comportamiento online sospechoso incluso antes de que se haya llevado a cabo ninguna acción malintencionada. Gracias a las pistas que proporciona la plataforma, los profesionales de la seguridad pueden tomar medidas preventivas para anticiparse a la comisión de un delito informático.

«La intuición nos decía que los actores maliciosos utilizan los recursos online de una forma diferente a como lo hacen los usuarios legítimos», explica Nick Freamster, uno de los desarrolladores de Predator. «Estábamos buscando esas señales: ¿qué parte de un nombre de dominio puede identificarlo como malicioso de forma automática?».

El método que utilizan los investigadores se basa en la suposición de que los usuarios maliciosos tendrán un comportamiento diferente al de los usuarios normales en el proceso de registro del dominio. Entre ellas, por ejemplo, podríamos encontrar la compra de muchos dominios a la vez para conseguir descuentos y disponer de varios sitios web para responder en caso de que los vayan bloqueando. Otra característica que los diferencia de los compradores normales es que suelen registrar varias páginas empleando ligeras variaciones en los nombres.

Mediante la identificación de estos patrones, los científicos de Princeton empezaron a filtrar los más de 80.000 dominios nuevos registrados cada día para localizar a los sitios web fraudulentos. En las pruebas, Predator fue capaz de reconocer el 70% de las páginas maliciosas basándose únicamente en la información conocida en el momento de la compra. La tasa de falsos positivos fue de solo el 0,35%.

No hay comentarios:

Publicar un comentario en la entrada