Hoy día, los términos lista negra (del inglés blacklist) y lista blanca (del inglés whitelist) se han convertido en pilares fundamentales para la gestión de accesos y la protección contra amenazas. En la sección Código de Seguro de Cubadebate encontramos información muy interesante al respecto.
Estas listas son herramientas esenciales que permiten a los administradores de sistemas y a los usuarios finales controlar el flujo de información y el acceso a recursos específicos. Pero, ¿qué son exactamente y cómo afectan la experiencia en línea de millones de usuarios interconectados?
Por su parte las listas negras, constituyen una primera barrera contra un determinado atacante. Estas actúan como verdaderos guardianes de la red, bloqueando el acceso a sitios web y direcciones IP conocidos por albergar programas malignos, ataques de ingeniería social y otras formas de ciberdelincuencia. Estas listas son mantenidas por organizaciones de seguridad y actualizadas constantemente para reflejar las nuevas amenazas que surgen cada día.
En el ámbito académico también conocidos como DNSBL (DNS blacklists). Estos constituyen, en cierta medida, un conjunto de bases de datos que recopilan direcciones IP o dominios conocidos por estar asociados con actividades maliciosas, como pudiera ser el envío de correo electrónico no deseado o un ataque de suplantación de identidad. Estas listas son utilizadas por administradores de sistemas y proveedores de servicios de correo electrónico para filtrar y bloquear tráfico potencialmente dañino.
Las listas blancas por el contrario constituyen entonces el Círculo de Confianza. Estas operan bajo el principio de exclusión, permitiendo solo aquellos elementos que han sido verificados y considerados seguros. En el contexto empresarial, estas listas aseguran que solo el software autorizado se ejecute en los sistemas, minimizando así el riesgo de infecciones inadvertidas.
Mientras que las listas negras protegen proactivamente contra lo conocido, las listas blancas ofrecen una capa adicional de seguridad al restringir lo desconocido. Sin embargo, este equilibrio es delicado. Un enfoque demasiado restrictivo puede limitar la funcionalidad y la libertad de los usuarios, mientras que una política más proactiva puede dejar abiertas puertas traseras para futuros atacantes. El uso de estas listas no está exento de controversias. Por ejemplo, la inclusión errónea en una lista negra puede tener consecuencias devastadoras para un negocio legítimo, mientras que las listas blancas pueden ser percibidas como una forma de censura o control excesivo.
Aunque existe un número considerablemente grande de organizaciones que proporcionan listas negras, según la literatura científica hay poca información sobre cómo se relacionan las distintas listas y cómo las organizaciones elaboran realmente estas a partir del aprendizaje que van adquiriendo tras enfrentarse a las diferentes ciberamenazas. La mayoría de los proveedores de listas negras están inmersos esencialmente en una batalla de ingenio con adversarios, y los proveedores no pueden revelar razonablemente el procedimiento exacto de generación de las listas sin riesgo de comprometer la calidad de las mismas.
Desde un punto de vista operativo, la cuestión es bastante práctica. Los defensores de la red necesitan saber qué lista o listas deben utilizar para defender sus redes. Si las listas son costosas y éstas se solapan, entonces el análisis coste-beneficio de qué listas obtener se ve alterado. También es posible que varias docenas de listas proporcionen valor, y que los defensores de la red sin un acceso sólido a todas esas listas carezcan de información valiosa para defender su propia red.
No obstante, en diversas investigaciones relacionadas con la ciberseguridad se han aplicado estas tecnologías también. Seguro recordarán al ransomware, aquel enemigo invisible que siempre nos agasaja con su siempre entrada triunfal, cifrando a su paso todos los archivos personales y privados de un usuario en un dispositivo determinado y luego le exige este que pague costosos rescates para recuperar los archivos dañados. Seguro estoy que lo recordarán pues en ediciones pasadas de la columna le he comentado al respecto. Bueno resulta ser que la cantidad de ransomware continua creciendo tan rápidamente que constituyó más del 70% del malware encontrado en los últimos 5 años. Aunque se han desarrollado muchas soluciones de ransomware, similares a las soluciones antimalware tradicionales, la mayoría de las soluciones están diseñadas sobre la base de una lista negra que incluye las firmas de su código malicioso conocido.
Sin embargo, estas soluciones basadas en listas negras no pueden evitar el ransomware desconocido, que puede ser nuevo o una variación de uno ya existente. Otra solución consiste en vigilar continuamente el comportamiento anómalo de cada programa de software que se ejecuta en el dispositivo del usuario. Para ello, algunas soluciones supervisan los programas en ejecución que acceden a los archivos almacenados en un dispositivo, mientras que otras soluciones especifican una carpeta como segura y controlan los programas en ejecución cuando acceden a los objetos de la carpeta. Sin embargo, estas soluciones pueden degradar el rendimiento de los dispositivos o incomodar muchas veces a los usuarios, de ahí que se sigue investigando sobre este tema.
En otro orden, existen varias herramientas en línea que permiten a los usuarios verificar si su dirección IP o dominio ha sido incluido en alguna lista negra. Algunas de estas herramientas que te recomendamos hoy son:
MXToolbox: Proporciona una verificación de listas negras que prueba la dirección IP de un servidor de correo contra más de 100 listas negras basadas en DNS.
ZeroBounce: Permite a los usuarios aprovechar su verificador gratuito de listas negras para mantenerse al día con la prevención del spam de correo electrónico. Aunque lamentablemente se encuentra su acceso bloqueado desde Cuba, brinda mucha información al respecto.
Geekflare: Ofrece una lista de las mejores herramientas de verificación de listas negras de dominios para aumentar la seguridad en línea. Actualmente incluye soluciones vinculadas a la inteligencia artificial.
Entre sus principales beneficios del uso de estas se encuentra que en primer lugar contribuyen a la prevención de correos spam o ataques de phishing, ya que ayudan a reducir la cantidad de correos electrónicos no deseados que llegan a los buzones de los usuarios. Brindan siempre protección contra los programas malignos, bloqueando comunicaciones de direcciones IP o dominios conocidos por distribuir este tipo de software. Además, mejoran la reputación en línea de la organización, asegurando que los correos electrónicos legítimos no sean incluidos de forma incorrecta en dichas listas.
Las listas negras y blancas seguirán siendo herramientas vitales en la defensa de nuestros sistemas informáticos. Sin embargo, es crucial que su implementación se haga con cuidado, asegurando que la seguridad no se convierta en sinónimo de restricción. La ciberseguridad es una responsabilidad compartida. Mientras navegamos por la red, es importante estar conscientes de las medidas que nos protegen y cómo podemos contribuir a un entorno digital más seguro para todos.