En un movimiento estratégico que promete redefinir la forma en que la industria de la ciberseguridad rastrea y clasifica a los actores de amenazas, Microsoft y CrowdStrike han anunciado una colaboración clave para alinear sus taxonomías individuales de actores de amenazas. Esta iniciativa busca facilitar el trabajo de analistas de ciberseguridad, investigadores y defensores de redes a nivel global mediante la publicación de un mapeo conjunto de actores de amenazas, un paso significativo hacia una inteligencia de amenazas más coherente y efectiva.
El reto de múltiples alias para un mismo actor
Uno de los mayores desafíos en el campo de la ciberseguridad es la falta de uniformidad en los nombres asignados a los grupos de amenazas persistentes avanzadas (APT). Diferentes empresas y organizaciones de seguridad otorgan nombres distintos a los mismos grupos, lo que genera confusión, complica el análisis y ralentiza la capacidad de respuesta ante incidentes.
Por ejemplo, el actor de amenazas patrocinado por el Estado ruso que Microsoft denomina Midnight Blizzard (anteriormente conocido como Nobelium) también es conocido como:
-
APT29
-
BlueBravo
-
Cloaked Ursa
-
Cozy Bear
-
Iron Hemlock
-
The Dukes
Otro caso representativo es Forest Blizzard (anteriormente Strontium), que ha sido identificado por otros proveedores bajo los nombres:
-
Blue Athena
-
BlueDelta
-
Fancy Bear
-
Fighting Ursa
-
FROZENLAKE
-
Iron Twilight
-
Pawn Storm
-
Sednit
-
Sofacy
-
TA422
Este mosaico de apodos y etiquetas genera un entorno fragmentado que afecta tanto la coordinación entre equipos de seguridad como la confianza en las atribuciones.
Una «Piedra de Rosetta» para la ciberseguridad
El objetivo principal de esta colaboración entre Microsoft y CrowdStrike es crear un glosario común que funcione como una “Piedra de Rosetta” moderna para la inteligencia de amenazas. Este glosario busca correlacionar los distintos nombres que recibe un mismo grupo de actores maliciosos en los sistemas de cada proveedor, sin imponer un estándar único de nomenclatura.
Según CrowdStrike, la alineación de taxonomías ha permitido resolver conflictos en la identificación de más de 80 adversarios conocidos, lo que mejora la precisión del análisis y fortalece la capacidad de las organizaciones para detectar y responder ante campañas maliciosas.
Un esfuerzo colaborativo que trasciende a Microsoft y CrowdStrike
Aunque el proyecto fue iniciado por Microsoft y CrowdStrike, se espera que otras organizaciones líderes del sector se unan al esfuerzo. Entre ellas:
-
Google y su filial Mandiant, especialistas en respuesta a incidentes.
-
Unidad 42 de Palo Alto Networks, reconocida por su trabajo en inteligencia de amenazas.
Esta colaboración abierta no pretende crear un estándar universal de nombres, sino más bien fomentar una interoperabilidad efectiva entre diferentes marcos de análisis. Como destacó Vasu Jakkal, vicepresidente corporativo de Microsoft Security:
“Al mapear dónde se alinea nuestro conocimiento de estos actores, proporcionaremos a los profesionales de seguridad la capacidad de conectar información más rápido y tomar decisiones con mayor confianza”.
Por su parte, Adam Meyers, vicepresidente de inteligencia en CrowdStrike, subrayó la importancia de la colaboración de datos:
“Cuando la telemetría se complementa entre sí, existe la oportunidad de extender la atribución a más planos y vectores, construyendo una visión más rica y precisa de las campañas de los adversarios que beneficie a toda la comunidad”.
Ventajas para los profesionales de ciberseguridad
Esta iniciativa marca un antes y un después en la inteligencia de amenazas cibernéticas, ofreciendo beneficios directos para las organizaciones que deben defenderse de campañas cada vez más sofisticadas:
-
Mejor correlación de datos entre herramientas de seguridad.
-
Reducción de ambigüedades en los informes de amenazas.
-
Mayor agilidad en la toma de decisiones gracias a información unificada.
-
Fortalecimiento del análisis de atribución, clave para identificar el origen de los ataques.
-
Fomento de la colaboración interorganizacional, con un lenguaje común que reduce malentendidos.
Hacia una ciberseguridad global más cohesionada
El panorama actual de amenazas cibernéticas está dominado por actores estatales, grupos motivados financieramente, operaciones de influencia y firmas de espionaje privado. Ante este escenario, la unificación de taxonomías no solo representa una mejora técnica, sino también una estrategia de defensa colaborativa frente a un enemigo común.
Además, este esfuerzo sienta las bases para futuros desarrollos en inteligencia de amenazas compartida, donde la colaboración entre gigantes tecnológicos, proveedores de ciberseguridad y organizaciones gubernamentales puede convertirse en el factor diferenciador frente a ataques de gran escala.
En resumen, la alianza entre Microsoft y CrowdStrike para alinear la nomenclatura de actores de amenazas representa un avance clave en la lucha contra la desinformación y la fragmentación en la ciberinteligencia. Esta iniciativa no solo simplifica el seguimiento de actores maliciosos, sino que también promueve una respuesta más eficaz y coordinada ante las amenazas digitales globales.
