Únete a la Comunidad de Directivos de Tecnología, Ciberseguridad e Innovación Byte TI

Encontrarás un espacio diseñado para líderes como tú.

ransomware ciberseguridad establecer un entorno ciberseguridad brecha en datos de clientes dark web protección de datos

¿Se puede establecer un entorno ciberseguro?

Lo que antes eran casos puntuales ahora se han vuelto cotidianos. Basta darse una vuelta por cualquier periódico no especializado de todo el mundo para descubrir que grandes empresas, multinacionales y organismos públicos supuestamente diseñados a prueba de cualquier ciberataque como el Pentágono, están sufriendo constantes amenazas. Según la ONU, cada 39 segundos se produce un ataque exitoso, lo que da cuenta del problema al que nos enfrentamos. Por eso no es de extrañar, que como se afirma en un estudio realizado por Byte TI, tres de cada cuatro responsables de tecnología y CIOs de grandes empresas consideren que las mayores inversiones que deben hacer sus empresas han de estar relacionadas con la ciberseguridad. Y no es para menos, los ataques son cada vez más sofisticados y peligrosos y como asegura Miguel López, director general de Barracuda Networks, “el riesgo es grave y evidente. Todos los días asistimos a ataques que se suceden tanto en el sector público como privado y en todo tipo y tamaño de organismos. Los ciberdelincuentes se rigen simplemente por un criterio de optimización del beneficio y atacan en todos aquellos sectores en los que les es posible hacerlo”.

La situación es preocupante, toda vez que además de los tradicionales ciberdelincuentes, cada vez hay más grupos extorsionadores, bandas terroristas o incluso estados detrás de cada uno de esos ciberataques. La realidad es que las empresas, organismos públicos y la población en general están expuestas a más riesgos que hace unos años, pues la superficie de ataque se ha ampliado. A esto han contribuido avances tecnológicos como la nube o el IoT, así como prácticas tales como el teletrabajo, que han permitido que los límites del perímetro de la empresa se difuminen.

Guillermo Fernández, Manager Sales Engineering de WatchGuard es tajante: “Por supuesto que los riesgos se han incrementado, ya que el trabajador tiene que hacer frente a más peligros y en muchos casos no cuenta con herramientas de defensa. Pensemos por ejemplo, en que algunos teletrabajadores se conectan desde sus ordenadores personales y la organización/administración pública no tiene forma de saber si ese equipo cuenta con una solución de protección del endpoint instalada. Puede darse el caso de que ese empleado se conecte a la red corporativa y su equipo esté infectado… las consecuencias pueden ser terribles para la empresa u organismo. Pensemos en los últimos casos de ataques de ransomware a entidades como el SEPE, la Universidad de Castilla La Mancha, empresas como The Phone House, etc.”.

La situación es preocupante y, cada vez más, establecer un entorno ciberseguro es muy difícil

El coronavirus que ha afectado a todo el mundo tiene su homólogo en el mundo virtual, aunque en este caso, el número de cepas, variantes y mutaciones es infinitamente mayor. Estamos en una situación en la que ni siquiera el Pentágono está seguro, con ciberdelincuentes que ya no sólo quieren obtener dinero, sino que atacan para hacer daño o noquear al enemigo, como en el caso de SolarWinds. Las empresas y organismos no tienen más remedio que incrementar su inversión en ciberseguridad, una inversión que, además, tiene que ser constante. Esto ya no va de comprar una determinada solución. Son necesarias la inversión, la formación continua y las actualizaciones constantes. Porque los ataques, además, ya no van al corazón. Pueden aparecer por cualquier parte, y sobre todo, desde los dispositivos móviles. “Debido a la creciente movilidad en las empresas, cada vez existe una mayor penetración de dispositivos móviles y, por tanto, mayores riesgos. Las compañías se encuentran ante el gran reto de proteger el hardware y software de sus terminales, y cada vez es más necesario tener una única solución integral que ofrezca la máxima seguridad: desde la etapa de producción con la implementación de la seguridad en el hardware, hasta la integridad del software y las aplicaciones. Por lo tanto, son necesarias soluciones de seguridad que realicen las comprobaciones necesarias desde que se inicia el sistema y durante su tiempo de ejecución”, señala Isabel López, B2B Solutions&Services Manager de Samsung.

Los principales riesgos

Son muchos. La variedad de ataques es cada vez mayor. Las técnicas también son múltiples y el número de ciberdelicuentes se incrementa. Ataques de denegación de servicio, phishing, rasonware, troyanos, suplantación de identidad… pueden añadir todos los que se le ocurran. Seguro que le salen más de diez. Los expertos, de hecho, no se ponen de acuerdo en dónde se encuentran los principales riesgos, lo que da una idea de la peligrosidad del momento. Por ejemplo, Aitor Jerez Director Comercial de Sarenet cree que “la mayor pesadilla sigue siendo el secuestro de datos, pero no son los únicos riesgos que afrontan. En un entorno en el que todo se conecta con todo, las superficies de ataque han crecido exponencialmente. Los últimos años se han desarrollado medidas para minimizar los riesgos a sufrir un ciberataque pero casi siempre atendiendo a entornos de IT. En la parte de OT aún hay mucho que hacer para alcanzar el mismo nivel. Las plantas de fabricación se han convertido en entornos muy críticos con la interconexión de sus activos y deben remodelarse para minimizar riesgos y permitir habilitar de forma segura nuevas tecnologías en su camino de la digitalización”.

En lo que coinciden la mayoría es que el mundo ha cambiado de tal forma que las técnicas defensivas de hace unos años ya no valen. El tradicional perímetro ha caído y las conexiones desde diferentes ubicaciones y desde distintos dispositivos hace que la ciberdefensa sea cada vez más compleja. En este sentido, Jose Luis Laguna, Director Systems Engineering de Fortinet afirma que al no existir un perímetro definido, la superficie del ataque se ha expandido, lo que complica la protección de todos los puntos de entrada a la red. En el último año, el teletrabajo ha supuesto una ventana de oportunidad para los ciberatacantes, al acceder a la red corporativa desde dispositivos que muchas veces no están contemplados dentro de las políticas de seguridad de las organizaciones, lo que les ha convertido en un blanco perfecto”.

Y es que, esta nueva forma de trabajar con la que nos ha obsequiado el coronavirus ha traído consigo un incremento de los riesgos. Sobre todo al inicio de la pandemia, cuando millones de trabajadores tuvieron que adoptar la fórmula del teletrabajo para que la productividad empresarial se viera lo menos afectada posible. En ese momento, las conexiones externas se dispararon y muchas de ellas, no contaban con las mínimas garantías de seguridad. ¿Que sucedía si un portátil particular, de los que se utilizaron muchos al principio del confinamiento, estaba infectado y accedía a la red empresarial? En realidad se puede asegurar que bastante poco ha sucedido, posiblemente porque a los ciberdelicuentes el Covid también les pilló con el paso cambiado porque los desastres podían haber sido muy numerosos, sobre todo si se tiene en cuenta que la mayoría del personal no ha sido debidamente formado para, al menos, detectar un correo malicioso. Para Chester Wisniewski, investigador principal de Sophos, este es uno de los principales riesgos que están corriendo las empresas: “El mayor riesgo a la que se enfrentan las empresas en la mayoría de las ocasiones es la fata de preparación y previsión en cuanto a su seguridad. Cada vez se le está prestando más atención a la seguridad porque estamos viendo más ataques que son cada vez más dañinos también, pero sigue habiendo muchas compañías que tienen una protección precaria que nos les protege 100% en el caso de un ciberataque importante real. Contar con la tecnología y con equipos que la administran de forma generalizada desde las TI de las empresas ya no es suficiente, dado que el nivel de sofisticación y las herramientas que usan actualmente los ciberdelincuentes requieren que haya equipos y expertos en ciberseguridad rastreando las redes para identificar comportamientos sospechosos y evitar realmente un ataque”.

El uso masivo de herramientas de colaboración y de reuniones también representa un hándicap respecto a la ciberseguridad

Es casi la misma opinión de Antonio Martínez, Head of GRC and Cibersecurity de Audea pare quien “la apertura de las redes y/o las aplicaciones, por ejemplo, para dar acceso a los empleados a los sistemas y servicios corporativos, o el desarrollo del trabajo en redes domésticas o inseguras, no controladas por la organización, son uno de los principales riesgos. El uso masivo de herramientas de colaboración y de reuniones también representa un hándicap respecto a la ciberseguridad. Adicionalmente, los ataques de ingeniería social y suplantación de identidad, principalmente Phishing (Correo), aunque existen otros por ejemplo Smishing (SMS) o Vishing (Llamada de voz) representan algunas de las mayores preocupaciones para una organización, por las peligrosas consecuencias en forma de fuga y/o cifrado de la información”.

SolarWinds rompió esquemas

Ataques como el de SolarWinds, han cambiado la forma en la que se entiende la ciberseguridad por el modus operandi. La técnica empleada en este caso ya era conocida, pero con Solarwinds se dio un paso más. Antes de Solarwinds ya existían ataques a la cadena de suministro. Lo que hace distinto a este ciberataque se encuentra en la sofisticación. Y es que, los ciberdelincuentes lograron entrar en la red interna de SolarWinds y alteraron varias versiones de su solución Orion para añadir el malware Sunburst. Ese malware se encontraba en todas las actualizaciones publicadas entre marzo y junio de 2020, y lo que es más grave, ningún cliente de SolarWinds se dio cuenta (o al menos no informó) de su existencia hasta que no transcurrieron nueve meses. De hecho, no fue hasta el 15 de diciembre cuando SolarWinds lanzó una nueva versión de Orion que pudiera hacer frente al ataque. El problema es que no sólo estaba Sunburst. Este malware no es complejo ni particularmente agresivo, pero fue el encargado de recopilar la información que permitía a los atacantes seleccionar los clientes objetivos que consideraban más interesantes: organismos gubernamentales norteamericanos y empresas como Microsoft o FireEye.

La clave se encuentra en que Sunburst permitía escalar las infecciones a una segunda etapa, en la que se despliega otra cepa de malware llamada Teardrop que a su vez se emplea para desplegar balizas Cobalt Strike que permiten acceso remoto persistente a los dispositivos comprometidos y que pueden ser empleadas para implementar todo tipo de cargas útiles, como ransomware o keylogger, en la red comprometida. Este es el ataque y este ha cambiado la estrategia de seguridad de las compañías y de las AAPP. Pero lo que es más grave es que para lanzar un ataque de tal sofisticación se necesita algo: dinero, mucho dinero y personal, mucho personal. Así que todo apunta a que un estado está detrás de un ataque como éste. En este caso, la Rusia de Putin. Tal y como afirma uno de los mayores especialistas en ciberseguridad como Luis Corrons, Security Evangelist de Avast, “del mismo modo que las tecnologías de seguridad evolucionan, también lo hacen los ciberataques, especialmente en el caso de los ataques promovidos por un Estado, como el de Solarwinds. Estos atacantes tienen más recursos a su disposición, lo que significa que sus métodos de ataque son mucho más avanzados, lo que crea nuevas olas de interrupción masiva”.

Este ciberataque representa el paradigma de lo que está por venir. Y no pinta nada bien: un ciberataque puede bastar para destruirnos a todos. Daniel González, Senior Sales Manager de Ivanti, cree que “es obligatorio tomar este caso como uno de los primeros por el modus operandi, pero,desde luego no será el último. De hecho, ha sido clasificado como “el mayor y más sofisticado de la historia”. Los ciberdelincuentes cada vez son mejores a la hora de encontrar la mejor vía para controlar cualquier sistema. En este caso, la actualización de un software muy utilizado, donde se “coló” el software atacante, que permite a los ciberdelincuentes tomar el control del sistema. Este tipo de ataque podría ocurrir a cualquier fabricante que no controle al más alto nivel sus procesos de producción, actualización o renovación de sus productos”.

En quién confiar

En nadie. El malware se puede encontrar en cualquier lugar, incluso en aquellas actualizaciones que parecen confiables. Así que, mejor dudar de todo. Es lo que se pretende con la filosofía Zero Trust, un término de principios de la década pasada y que, establece que hay que dudar de cualquier intento de acceso a la red que se produce. Zero-Trust asume que los usuarios y los datos pueden estar ubicados en cualquier lugar, en el servidor empresarial o en la nube. Y todos ellos, tanto los que están dentro del perímetro como los que se encuentran fuera, son susceptibles de realizar un ataque y por tanto, no se puede confiar en ellos de una manera predeterminada. La ventaja de esta estrategia es que, en principio, el departamento de ciberseguridad tiene el control sobre los datos de la organización lo que hace que en el supuesto de que aparezca una brecha se puede detectar con precisión cuándo se ha accedido a esos datos y saber si han sido manipulados. El portavoz de Ivanti considera que “esta filosofía se debería aplicar a todo el proceso de creación y actualización: desde el uso de micro-códigos, las API, los lenguajes de programación por objetos, etc. Nunca debemos confiar por defecto en nada. Siempre hay que comprobar todo, varias veces, por diferentes equipos. De esta forma, tendremos más garantías”.

En teoría debería solucionar el problema, pero Miguel López de Barracuda afirma además que, “a día de hoy, la única herramienta viable para sortear este tipo de ataques es la de implementar soluciones tecnológicas capaces de verificar la integridad y seguridad de la cadena de suministro de software de manera continua como las incorporadas en Barracuda WAF CAP 2.0. Las aplicaciones web son muy complejas y cada vez más requieren utilizar fragmentos o piezas de software externo para poder desarrollarse con las prestaciones y funcionalidades requeridas. Incluso si comprobamos la cadena de suministro de software en un día concreto, ello no implica que, en un momento dado, horas o días después esas piezas de software no puedan haber sido comprometidas. Así se hace ineludible establecer medidas de seguridad que comprueben la integridad y seguridad de nuestras aplicaciones web incluso en el lado cliente de forma exhaustiva, automática y continuada”.

La seguridad de la nube

Y este inicio de año ha puesto de manifiesto la mejor seguridad que proporciona la nube frente al modelo tradicional de tener los datos en el data center propio. El ataque a los servidores Exchange lo ha dejado claro. Microsoft, lleva años insistiendo a sus clientes en las ventajas que proporciona la migración a la nube. También en materia de ciberseguridad. Pero todavía son muchas las compañías reticentes a mover sus cargas a un entorno cloud. Reticentes, claro, hasta que son atacados. En este caso, los atacantes comenzaron su labor el pasado mes de Enero y pasaron dos meses hasta que Microsoft se dio cuenta y empezó a parchear. Porque no fue un único ciberataque, sino que fueron cuatro que aprovecharon vulnerabilidades encontradas en Exchange Server 2013, Exchange Server 2016 y Exchange Server 2019. Alrededor de 30.000 clientes, entre los que se encontraban organismos gubernamentales, utilities o entidades bancarias se vieron afectados. Todos ellos con versiones on-premise. Nadie que trabajaba con Exchange en modo cloud fue atacado. Para Daniel Varela, experto en ciberseguridad de F5, con este ciberataque, lo que se pone de manifiesto es que “los servicios SaaS deben garantizar las mayores medidas de seguridad como parte del servicio. Los modelos on-premise no gestionados parten con desventaja en caso de que no se sigan las recomendaciones de seguridad. Por otro lado, modelos on-premise donde las empresas cuentan con equipos de seguridad con un alto expertise pueden proporcionar servicios similares a los que vemos en SaaS”.

Pero el ciberataque a Exchange no quiere decir que la nube sea 100% segura, aunque como afirma José de la Cruz, director técnico de Trend Micro, “lo cierto es que este ataque en un entorno cloud, habría sido más complicado de ejecutar (siempre y cuando el proveedor cloud haya tomado las precauciones necesarias). Cada entorno implica unos riesgos y estos deben ser identificados y protegidos adecuadamente siempre. Tenemos que concienciarnos de que la seguridad debe estar en la base de toda actividad, proyecto, aplicación, etc.”. Para el portavoz de Sarenet, “en este caso varias vulnerabilidades del servidor de Exchange instalado en la red del usuario, si se explotaban de forma encadenada, podían poner en peligro la red del que lo albergaba posibilitando el robo de información, cifrado de datos o destrucción de los mismos. Si el Exchange está en la nube estará mejor actualizado y protegido por Microsoft pero hay que tener en cuenta que no son infalibles y además mañana puede ser cualquier servidor instalado en la red local con aplicaciones de todo tipo o una máquina virtual en la nube la que tenga vulnerabilidades susceptibles de ser explotadas”.

Lo cierto es que las vulnerabilidades están en cualquier aplicación y entorno, aunque la nube empieza a ser mucho más segura que el modelo on-premise y consume menos recursos. En este sentido, Antonio Martínez de Audea considera que “las vulnerabilidades seguirán existiendo, ya sea en la nube o en modelos on-premise, porque el desarrollo del software no es perfecto, aunque en los últimos años se han incorporado nuevas técnicas y herramientas y una mejora sustancial de la concienciación de los fabricantes de software acerca de la ciberseguridad, que hacen que el software sea más seguro. Lo que ocurre es que en la actualidad existen más ciberdelincuentes y existe una mayor exposición de cualquier aplicación a los riesgos de redes abiertas como Internet, por lo que el mínimo fallo puede transformarse en una brecha de seguridad grave”. La clave del ataque a Exchange según Guillermo Fernández de Watchguard “es que los ciberdelincuentes se aprovechan de la explotación de vulnerabilidades a sistemas no parcheados debidamente. De hecho, la explotación de las vulnerabilidades de los programas informáticos es una de las principales causas de las violaciones de la seguridad informática, muchas de ellas son fallos que podrían haberse solucionado con un parche, pero que nunca se aplicó. Si una empresa actualiza su parque de software debidamente y lo mantiene al día, no tiene por qué ser inseguro. De la misma manera que si el proveedor de servicio en la nube no actualiza su software también es vulnerable en un momento dado. Lo importante aquí es que las empresas cuenten con herramientas capaces de automatizar todo el mantenimiento de lo que es la actualización de software y despliegue de parches. En caso de que esto no sea posible, lo lógico es delegar en un tercero todo este trabajo de mantenimiento para tener los sistemas al día. Aquí conviene subrayar que las dos alternativas son seguras, siempre y cuando se mantengan las actualizaciones y se se aplique un procedimiento que garantice la gestión y despliegue correcto de parches a todos los dispositivos pertinentes tan pronto como estén disponible”.

La estrella

Ahora mismo la principal amenaza sigue siendo de la misma estrella que brilla en el mundo de la ciberdelincuencia. En este caso, el objetivo es sacar la máxima cantidad de dinero posible. La ciberextornsión tiene nombre y apellidos: Ransomware. Es evitable: sí. Normalmente viene adjunto en un correo, un whatsapp, un SMS,… Y lo que hace falta es, sobre todo, formación. Hay que enseñar al usuario a distinguir los mensajes que pueden tener contenido malicioso. El problema es que no todos saben hacerlo y en el momento que entra el Ransomware son muchas las empresas que optan por pagar el rescate, que casi nunca asegura la recuperación completa de todos los datos.

El portavoz de Trend Micro, José de la Cruz insiste en que la formación es la mejor prevención contra el ransomware, pero aún así cree que “dado que el ransomware no es un ataque en sí, sino un conjunto de ataques ejecutados de manera coordinada la estrategia más adecuada consiste en cubrir todos los vectores de ataque (correo, red, servidores, endpoint, etc); compartir inteligencia entre dichos vectores para que un ataque no consiga encontrar un punto débil de la cadena y proveer de herramientas que proporcionen visibilidad sobre lo acontecido en nuestra infraestructura”.

Sophos es una compañía que lleva años insistiendo también en la formación de los usuarios como principal medida para combatir el ransomware. Según esta multinacional de la cibersguridad el número de empresas que han sido víctimas de ataques de ransomware ha descendido a nivel global, sin embargo, la gravedad de estos ataques ha sido mayor, por lo que se convierte en una amenaza más preocupante si cabe. Según su estudio “El Estado del Ransomware 2021”, un 37% de las empresas fueron atacadas por un ataque de ransomware importante en 2020, una cifra que se eleva al 44% en el caso de las empresas españolas. De estos ataques, en el 54% de los casos llegaron a cifrar los datos y las empresas pagaron de media un rescate de 170.000 dólares, a pesar de que solo en el 65% de los casos las empresas recuperaron sus datos aun habiendo pagado el rescate. Para Chester Wisniewski, investigador principal de la firma, “la mejor manera de defenderse de un ataque de ransomware es estar preparado y asumir que seremos atacados. Eso significa invertir en tecnologías de protección y establecer una cultura de seguridad. Es importante instrumentar el entorno de manera que los eventos aparentemente sin importancia y sin relación sean visibles, desde un malware en un servidor hasta un email de phishing denunciado por un usuario. Otras herramientas que pueden ser útiles es contar con backups para poder recuperar los datos en el caso de ser atacados, incluso realizar backups offline por métodos tradicionales, así como protegerse por capas. Por último, es necesario contar con un plan para cuando las cosas van mal. Tener un plan de recuperación significa que la empresa puede contener el problema, investigar la causa y recuperarse de un ataque mucho más rápido y con menos daños. En resumen, proteger, detectar y responder”.

Josep Albors, responsable de concienciación de ESET cree que “el ransomware es una de las principales preocupaciones debido al impacto directo que tiene en la continuidad del negocio. Las herramientas y conocimientos para detectar una intrusión en una red corporativa de un ransomware o cualquier otra amenaza existen y tan solo deben ser implementadas, empezando con una autenticación segura de todos los usuarios, limitando sus permisos y accesos a sistemas o información crítica, segmentando redes para impedir que un atacante realice movimientos laterales buscando su objetivo, poniendo en marcha soluciones de seguridad y monitorización que permitan detectar acciones maliciosas aunque se estén utilizando herramientas legítimas y contando con un equipo de profesionales internos o externos que sea capaz de detectar este tipo de incidentes a tiempo y de revisar ataques anteriores para determinar cómo se produjeron y aplicar las medidas necesarias, entre otros puntos a tener en cuenta”.

La movilidad

Es otro de los puntos. Hace no mucho tiempo los dispositivos móviles no entraban dentro de la estrategia de ciberseguridad de una empresa. Ya no. Se trata de un vector muy importante desde el que cada vez se dan más ciberataques. Samsung lleva años invirtiendo en ciberseguridad, un elemento que siempre ha considerado prioritario. Casi desde que desarrolló su primer smartphone. La firma surcoreana es de los pocos fabricante que apuesta por dispositivos seguros de principio a fin, que incluyen una solución de seguridad que permite la gestión de todo el ciclo de vida del equipo. Tal y como indica su portavoz, “nosotros comenzamos la protección del dispositivo y de la información en la etapa de producción del smartphone, con la implementación de la seguridad en el hardware, y continúa con una serie de comprobaciones que se activan desde que se inicia el sistema e incluso cuando el dispositivo está apagado, monitorizándolo tanto si se utiliza como si no. Todo ello gracias a tecnologías de vanguardia como el chip de seguridad más fuerte de la industria, el elemento seguro integrado (eSE), un procesador seguro para proteger contra ataques físicos; Samsung Knox -nuestra plataforma de seguridad de extremo a extremo- que encripta los datos y los aísla para evitar intromisiones en el caso de pérdida o robo del dispositivo, además de Knox Vault, que agrega otra capa de seguridad”.

Así que el hardware es importante. Un teléfono seguro en manos de un empleado tendrá menos posibilidades de ser atacado y éste es un factor en el que la mayoría de fabricantes de smartphones fallan de forma importante. En este aspecto, las empresas deben afrontar una serie de medidas para mitigar el riesgo en un mundo cada vez más hiperconectado, como poseer un hardware validado y comprobado, redes seguras y contar con una infraestructura para la gestión de la seguridad que soporte una gestión de parámetros unificados y la defensa ante cualquier tipo de amenaza. Por ello deben escoger dispositivos que ofrezcan la máxima productividad en todo tipo de escenarios y que también incluyan una plataforma para la gestión multidispositivo, la seguridad y la personalización de las aplicaciones de negocio.

Deja un comentario

Scroll al inicio