Las Listas de Bloqueo de Reputación (RBL) sirven como defensa común contra el contenido dañino y no deseado de Internet. Estas listas contienen las direcciones de Protocolo de Internet, los nombres de dominio o los localizadores uniformes de recursos completos de fuentes conocidas de spam, páginas de phishing, sitios maliciosos u otros contenidos no deseados. Utilizamos estas fuentes de datos para producir métricas en sistemas como el sistema de Informes de Actividades de Uso Indebido de Dominios de la ICANN para investigación, y como conjuntos de entrenamiento para modelos de aprendizaje automático, entre otros usos. Las organizaciones pueden utilizar las RBL para bloquear el acceso entrante o saliente a nombres de dominio, filtrar el spam, advertir sobre phishing u otras actividades, todo lo cual protege a los usuarios de las amenazas en línea.
Existen diversos proveedores de estas listas, muchos de los cuales tienen enfoques, métodos de recopilación, mecanismos de entrega, etc. que son dispares y específicos. Esto hace que los proveedores de RBL tengan distintos puntos fuertes. Además, los datos de RBL tienen una amplia gama de casos de uso, y podemos ver que no todos ellos se adaptarán idealmente a todos los usuarios. La reciente publicación de la Oficina del Director de Tecnologías (OCTO), así como nuestro nuevo documento, presentado y publicado en la cumbre técnica del Grupo de Trabajo Anti-Phishing 2023, exploran este tema de forma exhaustiva.
Para ayudar a evaluar si las características de una RBL son adecuadas para el uso que proponemos, primero tenemos que armonizar todos los datos y metadatos entrantes, y luego almacenarlos en un formato único y coherente. Solo entonces podremos empezar a medir y comparar el volumen de datos y los tipos de amenaza abordados, identificar datos duplicados en los informes, etc. Además, también podemos empezar a analizar métricas menos tangibles, como los posibles falsos positivos. Con el tiempo, este proceso de armonización de datos nos ha permitido crear conjuntos de métricas que pueden utilizarse para ayudar a evaluar las RBL, tanto de forma aislada como combinadas entre sí.
Como resultado, vemos que no existe una única RBL que satisfaga las necesidades de todos los casos de uso. Combinar las RBL en una única fuente de datos resulta ser excepcionalmente importante, dado que los puntos fuertes de una compensarán a menudo los puntos débiles de otra, y viceversa. De hecho, hemos observado sistemáticamente que el solapamiento entre las RBL es pequeño (menos del cinco por ciento en la mayoría de los casos). Esto significa que los beneficios secundarios suelen ser significativos.
En nuestro nuevo documento, sostenemos que comprender los puntos fuertes y débiles de cualquier RBL, o combinación de múltiples RBL, es clave para conseguir un buen ajuste para un caso de uso concreto. Para maximizar los beneficios de las RBL, sugerimos combinar dos o más. Esto proporciona una visión más completa y contextualmente rica de lo que está ocurriendo, en lugar de depender de una sola RBL. Incluimos aquí el resumen de nuestro aporte en esta publicación:
- Propusimos una metodología sistemática para evaluar las RBL, proporcionando un enfoque estructurado para valorar su eficacia e idoneidad.
- Llevamos a cabo un examen matizado de las características de las RBL, que abarca aspectos como el volumen, el solapamiento, la puntualidad, la rotación, el dinamismo, la pureza y la precisión.
- Demostramos la aplicación práctica de nuestras métricas propuestas mediante visualizaciones, ofreciendo una guía tangible y accesible para investigadores, profesionales y responsables de la toma de decisiones en el ámbito de la ciberseguridad.
Para obtener más detalles sobre nuestros métodos y conclusiones, consulte la Publicación 037 de la OCTO.
