La ciberseguridad se ha convertido en todo un reto para las empresas. Desde que comenzó la pandemia por Covid-19, la velocidad de la migración a la nube se ha disparado y la tendencia a trabajar desde cualquier lugar está provocando que las estrategias tradicionales de infraestructura informática queden prácticamente obsoletas, dejando a la luz grandes brechas de seguridad.
Un estudio de Kaspersky reveló que solo el 53% de los empleados usaba una VPN para conectarse a las redes corporativas y que únicamente un tercio de las empresas había proporcionado a su personal una solución de seguridad para usar en dispositivos personales con fines de trabajo desde que comenzó la transición hacia el trabajo en remoto.
“La pandemia y la adopción masiva del teletrabajo ha puesto de manifiesto en ciertas empresas o sectores importantes carencias en materia de seguridad. Todo ello ha reforzado la idea de que no tener una protección adecuada puede suponer importantes pérdidas económicas y de reputación y por ello las empresas están considerando la seguridad TI en una inversión prioritaria”, explica Alfonso Ramírez, director general Kaspersky Iberia.
Ransomware y rescates
1 de cada 5 empresas ha sufrido un ataque de ransomware. De estos, el 15.9% no dispone de un plan de recuperación. Las grandes compañías ya están adoptando medidas preventivas para afrontar los diferentes tipos de ataques que se están produciendo en la red. Sin embargo, las pymes aún cuentan con importantes debilidades que suponen la vulnerabilidad de los negocios.
Como bien explica Gonzalo Echeverria, Country Manager de Zyxel Iberia, las pequeñas empresas son un tesoro de datos que pueden explotarse para el fraude de identidad y delitos similares, “es imprescindible proteger la seguridad de la red desde diferentes ángulos, con una protección multicapa dentro y fuera, con tecnologías de filtrado y autentificación que detengan las crecientes amenazas externas. Una VPN es una de las mejores formas de eliminar los ataques RDP, pero el phishing de correo electrónico o sitio web requiere capas de protección más sofisticadas, como detección de IP y URL, antivirus de punto final y análisis de correo electrónico”.
A pesar de que, disponer de unas medidas de seguridad eficaces es el punto principal en materia de ciberseguridad, la concienciación y el estudio comienzan a ser prioritarios en las compañías para poder estar preparados y reconocer cuáles son los vectores de ataque y así poder tomar las medidas adecuadas.
Sobre este punto, Josep Albors, director de investigación y concienciación en ESET España incide en que los atacantes utilizan vulnerabilidades y se aprovechan de una pobre gestión de credenciales para acceder a redes corporativas, por lo que es indispensable fortalecer estos puntos para evitar ponerles las cosas fáciles. “Es necesario limitar los permisos con los que cuentan los usuarios, así como su acceso a los recursos más importantes de la empresa. También debemos segmentar las redes para evitar movimientos laterales indeseados y contar con una política de copias de seguridad, actualizaciones, cifrado de la información y soluciones de seguridad que proporcionen prevención y visibilidad frente a acciones sospechosas dentro de nuestra red, aunque estas se realicen con herramientas legítimas”.
Las empresas afrontan el reto de la ciberseguridad sabiendo, por ejemplo, que un 25% de empresas se vio afectada por un ataque de ransomware
Una de las incógnitas que más usuarios se preguntan en relación al ransomware es si deben pagar un rescate. Y es que, el precio se eleva hasta los 10 millones de dólares en más de la mitad de los ataques. Ante esto, ¿sale rentable pagar el rescate?, ¿qué deben hacer las empresas en esta situación?.
Los expertos lo tienen claro, NO. Aunque en ocasiones muchas compañías se ven prácticamente obligadas a pagar un rescate, si no quieren tener que cerrar su negocio, en la práctica esta es una operación mucho más costosa que un simple pago. Hay que tener en cuenta que no solo se trata del precio del rescate por recuperar los datos, sino también de los recursos que harán falta para recuperar el servicio, el tiempo que este permanecerá caído, el coste reputacional.
En respuesta, Iván Mateos, Sales Engineer de Sophos Iberia incide en que no debemos olvidar que se está tratando con criminales que pueden devolvernos o no lo que prometen, pero que, además, nos incluirán en su lista de “buenos clientes” para la próxima vez, “de hecho, es muy común que las compañías que son atacadas una vez, vuelvan a serlo en un corto espacio de tiempo. ¿Qué se debe hacer? Contar con soluciones y servicios de protección y reacción que sean capaces de actuar de manera muy efectiva con el fin de evitar llegar a esas situaciones”.
Pero entonces, ¿qué soluciones debemos emplear? Borja Pérez, Country Manager Stormshield Iberia explica que los sistemas de backup y recuperación frente a desastres son muy importantes, los cuales, además deben estar actualizados. “No sería la primera vez que, al ir a recuperar un backup, la empresa descubre que no funciona correctamente. Además, hay que tener en cuenta que, ahora, los ciberdelincuentes están intentando atacar en primer lugar las posibles copias de seguridad. En el caso de sufrir un incidente de ransomware, es importante contactar con INCIBE y CCN, y, a ser posible, con un perito que pueda ayudar a recuperar la máxima información posible, y a investigar si los ciberdelincuentes siguen dentro de los sistemas corporativos”.
Dispositivos móviles
Con la pandemia, el teletrabajo sigue siendo un ámbito donde los administradores de TI se encuentran con algunos desafíos en términos de seguridad. Los empleados pueden recibir correos electrónicos por parte de contactos de confianza, que en realidad son un engaño por parte de un tercero y que pueden provocar la descarga involuntaria de un virus. Ahora es mucho más difícil vigilar todas estas amenazas, que cada vez son más sofisticadas y complejas.
Sobre esto, la adopción de la arquitectura SASE se ha visto acelerada estos últimos años. Si se hace correctamente, un modelo SASE elimina los dispositivos físicos del perímetro y las soluciones tradicionales. Es decir, es como una filosofía de trabajo, un compendio de muchas piezas separadas y que están agrupadas para este término: el perímetro de servicio de acceso seguro.
¿Esto quiere decir que en 2022 todas las empresas van a volcarse hacia el modelo SASE? Como bien explica Guillermo Fernández, Manager Sales Engineering Iberia en WatchGuard Technologies, la respuesta es no, “a pesar de ello, el escenario que encontramos con los nuevos modelos de trabajo es un acelerador. Antes había mucha inversión específica en lo que es la seguridad de red y de seguridad del perímetro de las oficinas y ahora el concepto se ha ampliado. Ahora, cuando las empresas hablan de seguridad se refieren también a MFA, a seguridad endpoint, de EDR. Aquí el papel clave es que el cliente trabaje con un MSP y que los fabricantes con los que trabaje ese MSP también tengan servicios muy pensados y enfocados a esta figura”.
Dejando a un lado los modelos de seguridad, para Isabel López, responsable de soluciones y servicios B2B de Samsung España, lo crucial para salvar la brecha es que los empleados tengan dispositivos seguros, “desde portátiles hasta teléfonos inteligentes o tablets, incluso terminales rugerizados. Nuestros dispositivos Samsung Galaxy poseen Samsung Knox, lo que les permite trabajar dentro de un ecosistema conectado que les permite ser más productivos, trabajar con flexibilidad y con seguridad”.
Además de dispositivos seguros, desde Samsung apelan a la concienciación, entre empleados, proveedores y clientes. Y es que, está en nuestra mano analizar qué tipo de mensaje recibimos, si esa web a la que debemos acceder es de confianza o es una URL desconocida o chequear con el propio remitente si ese mensaje ha sido enviado por él. “Todo eso supone un esfuerzo por parte de las empresas para formar a sus plantillas en qué tipo de amenazas son las más comunes y cómo pueden afrontarlas. La digitalización no sólo implica la adquisición de herramientas tecnológicas, sino también la formación en habilidades digitales”, comenta López.
Por su parte, desde Sophos opinan que la concienciación y formación de los trabajadores es una de las medidas de seguridad más efectivas, “las compañías desconocen que realmente contamos con tecnologías de protección de nueva generación que les podría permitir dormir mucho más tranquilos. Dentro de la estrategia de Sophos, está conseguir que estos dispositivos entrañen menos riesgos para los usuarios, por lo que hemos incluido capacidades de detección y respuesta también en la protección Sophos Mobile. Una de las estrategias que más éxito obtiene es la de la concienciación y formación continua a los usuarios. Si dejamos de considerarles como el eslabón débil y convertimos a nuestros usuarios en una pieza más del puzle de ciberseguridad veremos como el número de ocasiones en las que las soluciones tienen que intervenir se reduce drásticamente y por tanto minimizamos la estadística de oportunidad”, añade Mateos.
Incremento del phishing
El phishing continúa siendo una de las principales amenazas. La cantidad de ataques crece constantemente y adopta nuevos disfraces: servicios online, nuevas series de televisión, grandes eventos deportivos o musicales, inversiones en criptomonedas, y, por supuesto, la pandemia. Además, los textos y los encabezados son más variables, las páginas de phishing pueden utilizar el protocolo seguro https, y los correos pueden enviarse mediante redes de bots. Todo ello hace más difícil su detección y bloqueo.
Desde Kaspersky resaltan la importancia de la formación de los usuarios para evitar caer en este tipo de ataques. “Las empresas deben reforzar sus medidas de concienciación y hacer un llamamiento a sus empleados para que sean prudentes, comprueben siempre las direcciones online de los mensajes desconocidos o inesperados para asegurarse de que sean auténticas y de que el enlace del mensaje no oculte otro hipervínculo o para que, ante cualquier mínima sospecha, no introduzcan sus credenciales. Es importante también utilizar una solución de seguridad que incorpore tecnologías antiphishing basadas en el comportamiento, que le avisarán si está intentando acceder a una página web de phishing”, explica Alfonso Ramírez.
De acuerdo con su compañero, José de la Cruz, director técnico de Trend Micro Iberia repite que la concienciación, formación y evaluación del usuario es fundamental, “con planes de formación y simulaciones que ayuden al usuario a identificar este tipo de ataques a tiempo. Y por otro, implementando tecnología que sea capaz de detectar este tipo de ataques tanto en tiempo real como de manera retroactiva”.
Para la compañía Barracuda, el incremento del Phishing que estamos viendo actualmente se debe fundamentalmente a dos factores. “Por un lado la creciente profesionalización de la industria del malware que afina cada vez más en sus ataques y persigue claramente incrementar sus beneficios. El segundo factor clave es la adopción masiva del teletrabajo. La utilización de dispositivos que en muchas ocasiones no estaban correctamente plataformados y securizados por usuarios que no estaban habituados a tele-trabajar y que, en muchas ocasiones, carecían de la formación en ciberseguridad necesaria para ello, ha dado lugar a una especie de tormenta perfecta en la que los ciber delincuentes han percibido una gran oportunidad”, comenta Miguel López.
Teletrabajo
Los ciberataques aumentaron un 300% debido al teletrabajo. Y es que, a medida que el mundo deja atrás las medidas provisionales de trabajo remoto, las empresas encuentran una solución a largo plazo: el trabajo híbrido. Pero, ¿qué riesgos promueve esta modalidad?. En el centro de los desafíos que enfrentan las empresas hay algunas cuestiones clave como la ciberseguridad basada en la nube y el trabajo móvil.
Brindar a los usuarios remotos el mismo software corporativo que se usa en la oficina es exorbitantemente ineficiente y los firewalls gratuitos son inadecuados. Por eso las empresas deben sentarse e identificar cada característica que necesitan, ya sea conectividad WiFi segura, contenido web y control de aplicaciones, o detección y respuesta colaborativa avanzada impulsada por IA.
En respuesta a esto, Zyxel recomienda utilizar dispositivos de seguridad completos que puedan ofrecer soporte fácilmente tanto al personal en la oficina como a los que están en remoto. “Existe una necesidad continua de conexiones seguras entre los hogares de los empleados y las redes de la oficina central. Zyxel proporciona esto a través de los dispositivos ZyWALL VPN que se usan en la oficina central y nuestro SecuExtender IPSec VPN Client, que se instala en el portátil o PC que se usa en el hogar”, comenta Gonzalo Echeverria.
Según los datos del informe de Palo Alto «Segundo Informe Anual de Seguridad del IoT», el 77% de las empresas españolas considera que el teletrabajo durante la crisis de Covid-19 ha provocado un aumento del número de incidentes de seguridad relacionados con el IoT. La transformación hacia un nuevo modelo de trabajo híbrido ha hecho que las empresas identifiquen un aumento en el número de dispositivos IoT no comerciales conectados a su red durante el último año.
A su vez, la adopción de la nube también se ha convertido en un importante vector de ataque, porque como las cargas de trabajo están ahora en la nube, existe la necesidad de proteger los datos corporativos en la nube pública. “Y también está el riesgo de no tener políticas consistentes en entornos multicloud: muchas empresas tienen proveedores como Azure, AWS o Google, que hacen balanceo de carga en varias nubes, por lo que es un riesgo no tener visibilidad de todo y no tener políticas de seguridad consistentes en todas las nubes. Otro riesgo es el de los usuarios que acceden desde fuera de la red corporativa, ya que necesitan autenticarse, este tráfico debe estar asegurado, los sistemas deben ser capaces de soportar esta demanda y también es importante que tengan el mismo nivel de control y seguridad en la nube que en los sistemas corporativos centrales. Esto representa una oportunidad para extender la seguridad de los sistemas corporativos centrales a la nube pública, como hacemos en Palo Alto Networks con Prisma Access”, afirma Raphaël Marichez, CISO SEUR de Palo Alto Networks.
Una vez analizados los riesgos que promueve esta modalidad, muchas empresas se preguntan cuales son los servicios más contratados por las compañías que comienzan el proceso de transformación digital. En respuesta a esto, Guillermo Fernández de WatchGuard resume estos servicios en:
MFA: para garantizar el acceso de los empleados.
EDR: aumentar la protección ante software malicioso no conocido.
Sistemas de filtrado de navegación en el puesto de trabajo.
Sistemas de gestión de actualización de parches centralizado.
Herramientas de mitigación de phishing y cursos de concienciación
Movilidad
La Movilidad es un trabajo continuo para las empresas. Los ciberataques actuales son tan sofisticados que eluden la seguridad de las redes móviles, por ello, no basta con hacer que la seguridad heredada funcione más rápido. Los enfoques heredados que se basan en elementos de seguridad dispares no escalan ni impiden adecuadamente los ataques exitosos en las redes 5G.
Los despliegues de redes de 5G incluyen expansiones significativas de células pequeñas que se conectan a través de redes no fiables, comunicaciones de dispositivo a dispositivo y dispositivos que se conectan a múltiples células a la vez. Esta evolución amplía el panorama de las amenazas al aumentar el número de puntos de intrusión. Con millones de dispositivos conectados y aplicaciones críticas para el negocio que dependen de las redes 5G, los ORM no pueden abordar los ataques e incidentes de seguridad después de que se hayan producido, sino que deben adoptar una estrategia de seguridad integral.
Según un reciente informe de Palo Alto sobre IoT, deben tomarse medidas importantes para evitar que los dispositivos móviles se utilicen para hackear empresas. Como explica Raphaël Marichez, “de forma abrumadora, los encuestados informan de un aumento en el número de dispositivos IoT que se conectan a sus redes durante el último año. Ante esta afluencia de dispositivos conectados, el 41% de los encuestados reconoce que debe realizar muchas mejoras en su forma de abordar la seguridad del IoT, y el 17% afirma que es necesaria una revisión completa. Solo el 21% declaró haber seguido las mejores prácticas en el uso de la microsegmentación para contener los dispositivos IoT en sus propias zonas de seguridad estrechamente controladas”.
Profundizando en la brecha de seguridad que surge con la movilidad, el Country Manager de Zyxel pone de manifiesto que de forma habitual, las empresas no disponen de una estrategia de seguridad adecuada en movilidad. “Una conectividad fiable «siempre activa» se ha convertido en una parte esencial del negocio diario y eso es algo que no todas disponen. Hoy ya no tienen solamente que salvaguardar un único punto de red sino que la superficie de ataque se ha expandido y mucho más con la movilidad y el trabajo híbrido”.
Por su parte, la responsable de soluciones y servicios B2B de Samsung España explica que la adopción de dispositivos móviles durante la pandemia ha permitido que muchos negocios pudieran seguir siendo operativos, y que sus empleados trabajaran con flexibilidad y, en muchas ocasiones, aumentando su productividad. A pesar de ello, cada vez existen un mayor número de ataques y muchos negocios se están cuestionando si disponen de una estrategia de seguridad adecuada. “Desde Samsung queremos concienciar a las empresas de que proteger los datos empresariales es sencillo escogiendo a un socio tecnológico de confianza. Ante una nueva era móvil, es necesario estar acompañado de un partner que apueste por la innovación y que pueda afrontar cualquier tipo de amenazas de seguridad, independientemente de lo rápido que evolucionen o lo complejas que sean”, concluye.
Cadena de Suministros
Uno de los principios que rige la seguridad, es que el nivel de seguridad de una organización, una arquitectura o un sistema lo marca el nivel de seguridad de su eslabón más débil. Esto queda aún más evidente en ámbitos como el de la cadena de suministro del software, y es que el riesgo puede estar presente en cualquier elemento de dicha cadena, y sobre el que no siempre tenemos control desde nuestro departamento de ciberseguridad.
Un ejemplo del riesgo que supone la cadena de suministro de software lo tenemos con el impacto reciente de la vulnerabilidad Zero Day, Log4Shell, detectada recientemente en la librería log4j y que tanto impacto ha tenido dado su uso extensivo en soluciones tanto comerciales como desarrolladas por las propias organizaciones. Pero entonces, ¿cómo se puede prevenir un ataque de estas características?
La cadena de suministro se está convirtiendo en uno de los principales objetivos de ataque
José Andrés Felix de Sande, Director de Security & Privacy en Viewnext lo tiene claro, el objetivo es invertir en una estrategia que defina un procedimiento de evaluación de riesgos y cumplimiento tanto de los elementos adquiridos como de los proveedores de los mismos. “Algunas de las recomendaciones a tener en cuenta para minimizar los riesgos a la hora de adquirir software de terceros son: Mantener un inventario de todos los elementos software de terceros que estemos utilizando en nuestros sistemas; Definir una estrategia de gestión de vulnerabilidades del software de terceros, atendiendo y respondiendo adecuadamente a la publicación de vulnerabilidades conocidas y estableciendo mecanismos para la actualización y parcheado continuo de las versiones utilizadas; Tener mecanismos para la alerta temprana de brechas que afecten al software de terceros que estemos utilizando y Definir requisitos, normativas y políticas de seguridad de obligado cumplimiento para los proveedores de software”.
Por su parte, José de la Cruz, director técnico de Trend Micro Iberia piensa que es fundamental identificar cuáles son las empresas que conforman nuestra cadena de suministro, qué información compartimos con ellas y cómo. “De esta manera podremos implementar los mecanismos de seguridad adecuados para proteger y monitorizar las interacciones de nuestra compañía con terceros. Adicionalmente de los controles que implementemos sería conveniente requerir unos estándares mínimos antes de establecer una relación comercial con un tercero”.
Mientras que para Miguel López, Country Manager de Barracuda Networks, el elemento básico e indispensable que debemos considerar a la hora de prevenir este tipo de ataques es el del despliegue de una solución de Web Application Firewall o WAF, “que monitorice y proteja todas las comunicaciones corporativas y las APIs Impidiendo así que este tipo de ataques puedan tener éxito en nuestro entorno. Para ello el WAF no solo debe contar con certificación OWASP Top 10 si no que debe incluir sistemas de detección inteligente de bots basados en inteligencia artificial, sandbox en la subida de ficheros, protección frente a ataques DDoS y todo ello con capacidad para ser desplegado tanto en un entorno “on premises”, de nube (pública o privada) o incluso como servicio SaaS”.
Seguridad cloud
Aunque las empresas españolas están aprovechando cada vez más el poder de la adopción de la computación en la nube, les cuesta desplegar la seguridad en la nube al mismo ritmo que se adoptan estas nuevas prácticas. La ciberseguridad apenas se pone al día con la innovación digital potenciada por la adopción masiva de la nube.
En palabras de Raphaël Marichez esto se debe principalmente a que, los CISO y los equipos de DevOps no trabajan históricamente al mismo ritmo y en las mismas maniobras. “Otra razón por la que la ciberseguridad suele llegar tarde cuando la empresa adopta prácticas en la nube es la falta de buenas prácticas de seguridad en la nube debido a la forma ágil de proceder. En las prácticas DevOps, la ciberseguridad no puede ser prerrogativa de una sola persona. Ya no es suficiente que el CISO se asocie con el departamento de TI para definir los marcos de seguridad y las políticas de TI antes de los proyectos”.
A lo que añade que la ciberseguridad necesita un cambio cultural, no sólo una buena tecnología. “El primer paso sería habilitar un líder de ciberseguridad dentro de los equipos DevOps, que apoye y empodere a sus compañeros. La cooperación entre organizaciones es absolutamente necesaria. Esa asociación empieza por compartir los mismos objetivos como equipos. Y ahí es donde la tecnología viene a apoyar la cultura de la empresa: la asociación pasa por compartir el uso de las mismas herramientas de seguridad para alcanzar los objetivos comunes, y no por utilizar herramientas diferentes dentro de cada equipo”, concluye.
Queda claro que la seguridad en las nuevas plataformas cloud es una de las asignaturas que más está costando superar para muchas compañías. Los nuevos conceptos como microservicios, kubernetes, infraestructura como código y todas estas nuevas herramientas que ofrece el mundo cloud, a menudo no vienen acompañadas de suficiente visibilidad y facilidad de manejo.
Sobre esto, desde Sophos comentan que muchas compañías aun retrasan su migración al cloud por la dificultad que les supone securizar estos entornos o migrar a ellos con garantías. “Las soluciones de seguridad en el cloud deben comenzar por devolver la visibilidad de una manera sencilla a los administradores, permitiéndole recuperar el control e identificar los riesgos a los que se exponen sus activos en casos de errores de configuración. Además, debemos hablar de soluciones puramente orientadas al mundo cloud y que permitan incluso centralizar la gestión de los diferentes proveedores de cloud públicas en un único punto facilitando aún más su eficiencia”.
La seguridad en el cloud despierta gran interés, al igual que muestra diferentes puntos de vista sobre qué soluciones deben facilitar dicha seguridad. Y es que, mientras que unos hablan de DevOps, otros de Zero Trust o de un cambio cultural… Desde Trend Micro explican que el principal problema del cloud radica en su heterogeneidad y la solución para solventar esta problemática es el CSPM (Cloud Security Posture Management), tecnología que aporta a nuestros entornos cloud: visibilidad, seguridad, optimización de costes, cumplimiento normativo, entre otros beneficios.