En los últimos años, las empresas y los responsables de seguridad se han centrado en cómo gestionar y proteger mejor la infraestructura de la nube en medio de una ola de cambios a medida que los ciberataques empresariales evolucionan y aumentan.
Estudios recientes revelan que el 71% de las empresas españolas sufrieron un ataque de ransomware durante 2021, frente al 44% en 2020. Según un estudio realizado por Vectra AI, el 72% de los encuestados en España creen que es posible o probable que hayan sido atacados sin ser conscientes de ello, el 83% ha experimentado un evento de seguridad significativo que requirió un esfuerzo de respuesta a incidentes, y el 48% no confía plenamente en que sus herramientas de seguridad les protejan contra ataques sofisticados.
Como CTO (Chief Technology Officer – Director de Tecnología), gran parte de mi atención se centra en el futuro, creando «experimentos mentales» para determinar las mejores formas de proteger nuestros datos y sistemas críticos.
El ransomware sigue siendo un importante tema de debate entre los profesionales de la ciberseguridad en todo el mundo. El otro tema constante está relacionado con los ataques a la cadena de suministro, incluidos los productos tradicionales in situ y los servicios prestados a través de la nube.
La migración a la nube y al SaaS, así como la incapacidad de encontrar talentos experimentados que comprendan las implicaciones de la seguridad en las nubes, son también problemas relacionados. Existe una tensión entre las empresas que quieren ser ágiles mediante la adopción de la nube y los equipos de seguridad que intentan ganar visibilidad e implementar la seguridad en esos entornos. En un mundo perfecto, esa tensión se resuelve de forma equilibrada, pero no vivimos en un mundo perfecto y, a menudo, el imperativo empresarial de desplegar rápidamente nuevos servicios supera la capacidad de las organizaciones para hacerlo de forma segura.
El problema con la nube
No hace mucho tiempo, las redes locales estaban muy abiertas a los atacantes, por lo que este ha sido nuestro objetivo. Ahora, el tráfico de los empleados accede predominantemente a las aplicaciones a través de Internet. Esto significa que tenemos que examinar los registros en plataformas en la nube como Amazon Web Services (AWS), Azure y Google Cloud Platform (GCP), sistemas de identidad en la nube como Azure AD y Okta y aplicaciones de colaboración como Microsoft 365 y Google Workspace.
INCIBE ha gestionado más de 109.122 incidentes de ciberseguridad durante 2021. Del total de esta cifra, 90.168 afectaron a ciudadanos y empresas, 680 a operadores estratégicos y 18.278 a la Red Académica y de Investigación Española (RedIRIS). En cuanto a su tipología, el 29,88% correspondió a malware o software malicioso, seguido de las distintas variantes de fraude con un 28,60%. En tercer lugar, destacan los ataques a sistemas vulnerables, con un 18,89%, ya que el trabajo desde casa durante la pandemia hizo que más personas fueran vulnerables a los ataques en línea.
Una historia común es que la pandemia impulsó a las empresas a pasar a configuraciones de nube múltiple o híbrida, no por una gran estrategia sino por una necesidad apremiante. Como resultado, servicios como Microsoft 365 o las plataformas de comercio electrónico se implementaron rápidamente, sin tener en cuenta el impacto en la infraestructura o la seguridad. Además, las diferentes unidades de negocio o departamentos a menudo evolucionaban en diferentes direcciones, añadiendo capas de complejidad.
Ahora nos encontramos en un punto de ajuste de cuentas en el que debemos comprender la realidad de la situación y cómo solucionarla.
Ransomware en la nube
El paso a la nube ha dejado puertas de entrada para que los atacantes las aprovechen y tengan un punto de entrada, y están empezando a sacar el máximo provecho de ello. En las instalaciones, si un ciberdelincuente quiere cifrar los datos de una empresa, debe pasar por el laborioso ejercicio de conectarse a un servidor, extraer todos los datos a través de la red, cifrarlos y escribirlos de nuevo en el servidor, y finalmente borrar la copia original.
Para tener éxito, los operadores de ransomware intentan introducir sus ganchos en tantos lugares como sea posible y cifrar la mayor cantidad de datos posible. En la nube, los operadores de ransomware pueden aprovechar el cifrado del lado del servidor proporcionado en las plataformas de la nube, lo que les permite cifrar los datos mucho más rápido y sin necesidad de hacer un gran esfuerzo.
Así está el futuro de las amenazas de ransomware
En Vectra, consideramos que una nube como AWS o Azure tiene dos superficies de ataque diferentes. Está la superficie de ataque tradicional, en la que los atacantes pasan por la red para atacar una carga de trabajo que se ejecuta en la nube, escapan de la carga de trabajo y luego roban datos. Y está el plano de gestión o el plano de control de una plataforma en la nube, que representa un conjunto de controles más potente y menos conocido.
Reconociendo esto, Vectra tiene soluciones para cubrir ambas superficies de ataque. Trabajamos para proteger a los clientes que son atacados desde la red, y trabajamos para proteger a las empresas de ser atacadas en el plano de control de su tenant en la nube. El vector inicial de entrada puede ser increíblemente complejo y variado, pero una vez que aterriza y establece algún punto de apoyo en el entorno, ayudamos a la empresa a encontrar y detener la incursión antes de que cause un daño real.
Mirando al futuro
A medida que los valiosos datos de los clientes se trasladan a la nube, también lo hará el ransomware. Por eso nos planteamos preguntas como: ¿qué aspecto tiene la combinación de la nube y el ransomware, con qué rapidez los atacantes se convertirán en compatibles con la nube y qué medidas debemos tomar ahora?
Hay que analizar cómo podemos protegernos contra el ransomware en los sistemas en la nube y por qué esto es sustancialmente diferente a las medidas defensivas requeridas para los lugares de trabajo físicos.
Al debatir estas cuestiones, espero animar a los responsables de la seguridad (CISOs) a tender un puente entre el mundo de la seguridad y el de la empresa para que se pueda dar prioridad a las inversiones y se pueda proteger nuestra infraestructura.