Los artículos sobre ciberseguridad son una suerte de déjà vu, de volver al pasado, en los que si bien se habla de técnicas de ataque que evolucionan constantemente y de sistemas de defensa han dado pasos importantes de la reacción a la proactividad, el factor humano sigue siendo una puerta entreabierta que requiere dedicación, paciencia y una gran dosis de educación.
En el panel sobre retos y acciones para lograr entornos empresariales más seguros realizado durante el foro Ciberseguridad: tendencias 2021 (organizado por Impacto TIC y BeyondTrust), la experta en seguridad y cofundadora de la firma Bittin SAS, Sandra Patricia Bonilla, habló de la importancia de empoderar a las personas –los usuarios finales– para que se deje de hablar de ellas como el eslabón más débil de la cadena de ciberseguridad y se conviertan, más bien, en la primera barrera de defensa en las organizaciones.
Pero en un año en el que el COVID-19 se convirtió no solo en una amenaza de salud pública, sino en una herramienta para los ciberdelincuentes, la tarea fue todavía más complicada, pues el miedo y la incertidumbre se pusieron de parte de quienes utilizan estas emociones para sacar ventaja de las personas. Y si bien el trabajo remoto y la educación virtual resolvieron parcialmente muchos de los problemas que trajo consigo la pandemia, también ampliaron de forma masiva los perímetros de las empresas a las casas de sus empleados, y los de los centros educativos a las de sus estudiantes y maestros.
Las proyecciones para 2021 nos hablan de un panorama todavía más complejo, en el que los atacantes seguirán aprovechando las tecnologías para cumplir su propósito. Un reto de gran envergadura si se tiene en cuenta que entre marzo y noviembre de 2020 se presentó un incremento superior al 98 %, con más de 32.000 reportes de acciones criminales presentadas ante la Fiscalía General de la Nación, en Colombia, según cifras del Programa de Seguridad Aplicada al Fortalecimiento Empresarial (Safe).
El informe señala que el delito que más se cometió –o, al menos, del que más denuncias se hicieron– fue la suplantación de sitios web para capturar datos de personas, con un crecimiento de 372 % frente a 2019. El segundo delito con mayor número de denuncias fue la violación de datos personales, con 6.159 casos que representaron un incremento de 190 %. El factor común en este breve listado, y prácticamente en todos los items que siguen, es que se utilizan mensajes engañosos para persuadir a las personas de que hagan clic en enlaces o documentos que los llevan a sitios o que activan herramientas maliciosas a través de las cuales se lleva a cabo el ataque propiamente dicho.
Dichas estrategias basadas en engaños son lo que se conoce como ingeniería social, una práctica que resulta tan efectiva que, según un informe de Fluid Attacks, compañía dedicada a realizar pruebas de seguridad a herramientas y sistemas de tecnología, fue la base del 84% de los ataques realizados en 2020. “Además, como resultado de la transformación digital acelerada, los delincuentes han logrado explotar diversas vulnerabilidades conocidas públicamente en redes. Los empleados han sido vistos como un blanco preliminar en los ataques de ingeniería social a las empresas, especialmente en el mercado medio, siendo un gran error en este mercado creer que la ciberseguridad suele ser un problema exclusivo de las grandes organizaciones, como bancos y gobiernos, cuando la realidad no es así”, concluye Felipe Gómez, gerente para América Latina de la compañía.
Frente al trabajo y la educación remotos, Jon Clay, director de comunicaciones de amenazas globales de Trend Micro, señala los riesgo que implican estas prácticas, que seguramente se extenderán al mundo pospandemia: “Predecimos ataques más agresivos para apuntar a redes y datos corporativos. […] Los equipos de seguridad necesitarán redoblar la capacitación de los usuarios, la detección y respuesta extendidas y los controles de acceso adaptativos. El año pasado se trató de sobrevivir: ahora es el momento de que las empresas prosperen, con una seguridad integral en la nube como base”.
En el informe Turnig the Tide, desarrollado por Trend Micro, se advierte que los usuarios finales que acceden regularmente a datos confidenciales (por ejemplo, profesionales de recursos humanos que acceden a datos de empleados, gerentes de ventas que trabajan con información confidencial de clientes o altos ejecutivos que administran números confidenciales de la empresa) estarán en mayor riesgo. “Es probable que los atacantes aprovechen las vulnerabilidades conocidas en el software de productividad y colaboración en línea, para realizar poco después su divulgación, en lugar de los Zero Days”.
La situación es tal que las empresas especializadas en seguridad informática están recomendando, ahora más que antes, tomar un seguro contra delitos informáticos. “Durante los últimos meses ha sido necesario comunicarnos diferente. Actualmente, existe la ventaja de trabajar con las herramientas de la Revolución 4.0. No obstante, con ello también incrementó el riesgo cibernético”, advierte Nelson Suárez, director de Suscripción del Centro Técnico HDI Seguros, que ofrece dicho servicio, no porque la tecnología no resulte eficiente para enfrentar este flagelo, sino porque siempre es mejor tener un plan B o C.
El plan A, de cualquier manera, sigue estando orientado al usos de sistemas de protección y la implantación de políticas de seguridad claras, que presentan algunas variaciones según los niveles de especialización de los proveedores.
Una investigación llevada a cabo por Cisco, llamada Security Outcomes Studio, afirma que el cambio es un factor primordial para el éxito de la ciberseguridad: “En promedio, los programas que incluyen una estrategia proactiva de actualización tecnológica tienen 12,7 % más posibilidades de reportar éxito de seguridad general, el más alto de cualquier práctica. Desafortunadamente, no todas las empresas tienen el presupuesto o la experiencia para hacer que suceda esto, que también es conocido como el ‘Resultado Final de Seguridad’. Una estrategia para migrar a soluciones de seguridad en la nube y SaaS puede ayudar a cerrar esta brecha. Las soluciones basadas en suscripción son asequibles, fáciles de desplegar e integrar, mientras que las actualizaciones automáticas garantizan que la tecnología se modernice continuamente sin costos o esfuerzos adicionales.
Lo que nos dejó 2020; lo que traerá 2021
Y si bien el hecho de que los artículos de seguridad se sigan pareciendo tanto unos a otros a pesar del paso del tiempo tiene que ver con que las lecciones no se aprenden –o con que los aprendizajes no se aplican–, es importante mirar hacia atrás (no muy atrás) para tener claras algunas de las conclusiones que nos deja 2020. Para Fluid Attacks, entre las más importantes se encuentran –además de algunas que ya hemos mencionado– las siguientes:
- La ciberseguridad como necesidad y responsabilidad: Algunas empresas ignoran la función de los requisitos de cumplimiento de ciberseguridad, y buscan únicamente evitar cualquier penalización de un estándar o regulación, dejando de lado la incorporación de estrategias sólidas de ciberseguridad.
- La tecnología avanza, pero las mejores prácticas permanecen: Los atacantes se mantienen al día con los avances tecnológicos, tal como lo hacen los sectores de prevención y defensa. De tal manera, actualmente se cuenta con todo el conocimiento necesario para identificar y reparar casi todas las vulnerabilidades existentes de las que se aprovechan los atacantes. Los problemas surgen cuando hay descuidos a partir de los equipos de desarrollo, cuando no se emplean las herramientas adecuadas, o cuando el personal capacitado en ciberseguridad no se encuentra disponible. Prácticas como el manejo apropiado de contraseñas, los procesos de autenticación multifactor y la pertinente administración de privilegios dentro de los sistemas de una empresa se mantienen como recomendaciones fundamentales en favor de la ciberseguridad.
- Falta talento en ciberseguridad: El denominador común para muchas empresas con problemas de ciberseguridad es la escasez de talento humano capacitado y preparado. “Hay quienes piensan que para contrarrestar esta escasez, las herramientas automáticas pueden realizar las operaciones que están habitualmente destinadas a los profesionales de la seguridad; sin embargo, esto también puede representar una gran dificultad”, comenta Felipe Gómez, de Fluid Attacks.
- La automatización no sustituye a los profesionales de TI: Las herramientas automáticas deben ser vistas como un complemento del ejercicio humano. Existe evidencia de que las evaluaciones de ciberseguridad realizadas por herramientas automatizadas arrojan altas tasas de falsos positivos y falsos negativos.
Sobre lo que nos depara el nuevo año, en este enlace aparecen algunas de las proyecciones de empresas como BeyondTrust, Forcepoint y Kaspersky que ya publicamos en Impacto TIC. Al listado podemos agregar la visión de Eset, empresa reconocida en la detección proactiva de amenazas, que señala importantes giros en la manera como operan los ciberdelincuentes.
“Las empresas se están volviendo más inteligentes, implementan tecnologías que frustran los ataques y crean procesos de copia de seguridad y restauración resistentes, por lo que los atacantes necesitan un ‘plan B’ para ser doblemente amenazantes. Es posible que los ataques frustrados o los procesos de copia de seguridad y restauración ya no sean suficientes para defenderse de un ciberdelincuente que exige el pago de un rescate. El éxito en la monetización debido a un cambio de técnica ofrece a los ciberdelincuentes una mayor posibilidad de obtener un retorno de la inversión. Esta es una tendencia de la que, lamentablemente, estoy seguro de que veremos más en 2021”, afirma Tony Anscombe, chief security evangelist de Eset.
En resumen, los atacantes ya no se conforman con pedir rescates para devolver la información secuestrada mediante un ataque con ransomware, por ejemplo, sino que cada vez es más común que amenacen con publicar dicha información en caso de no recibir su recompensa.
La empresa también destaca los ataques de fileless malware, que se aprovechan de las herramientas y procesos del sistema operativo con fines maliciosos, además de cargarse directamente en la memoria de los sistemas. Estas técnicas han ganado más tracción recientemente, y son utilizadas en varias campañas de ciberespionaje y por diversos actores maliciosos, principalmente para atacar objetivos de alto perfil, como entidades gubernamentales.
Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de Eset Latinoamérica, señaló: “Las amenazas sin archivos han evolucionado rápidamente y se espera que en 2021 estos métodos se utilicen en ataques cada vez más complejos y de mayor escala. Esta situación destaca la necesidad de que los equipos de seguridad desarrollen procesos que aprovechen herramientas y tecnologías que no solo eviten que el código malicioso comprometa los sistemas informáticos, sino que también tengan capacidades de detección y respuesta, incluso antes de que estos ataques cumplan su misión”.
Hasta los juguetes sexuales resultan peligrosos
Cuando se habla de que los ataques no solamente están dirigidos a las grandes empresas, parece que el límite inferior lo pone la imaginación. Según Eset, una de las tendencias fuertes para 2021 será explotar las fallas de seguridad en los juguetes sexuales inteligentes. Con una pandemia que promueve el distanciamiento social, no es extraño que los atacantes vayan detrás de los ‘mejores nuevos amigos’ de algunas personas a las que las medidas las tomaron solas.
“La era de los juguetes sexuales inteligentes apenas está comenzando, los últimos avances en la industria incluyen modelos con capacidades de realidad virtual (VR) y robots sexuales con tecnología de inteligencia artificial que cuentan con cámaras, micrófonos y capacidades de análisis de voz. Muchas de las fallas que tienen estos juguetes inteligentes son habituales en dispositivos IoT y lo que aumenta el riesgo es el tipo de información que manejan estos dispositivos, mucho más sensible. Además, el hecho de que un atacante pueda tomar control de los mismos lo hacen particularmente peligrosos para la integridad física del usuario. Como se ha demostrado una y otra vez, el desarrollo seguro y la conciencia pública serán clave para garantizar la protección de los datos confidenciales. Mientras capacitamos a los usuarios para que se conviertan en consumidores que puedan exigir mejores prácticas a los proveedores para mantener el control de su intimidad y datos digitales en los próximos años“, señala Cecilia Pastorino, investigadora de seguridad de Eset Latinoamérica.
En la industria ha corrido con fuerza la máxima de que todos somos potenciales víctimas de un ciberataque y que la pregunta no es si vamos a sufrirlo, sino cuándo. En una entrevista previa con Impacto TIC, Diego Samuel Espitia (embajador e investigador en ciberseguridad de ElevenPaths, la unidad de ciberseguridad de Telefónica) aseguró que la pregunta no es esa, sino: ¿Ya se dio cuenta de que sufrió un ataque?
El panorama no es alentador… pero la respuesta no es bajar los brazos, sino mantener la guardia arriba y tener en cuenta que, aunque los expertos en el tema y los principales promotores de las políticas y el uso de la tecnología para mantener la seguridad de las empresas son los departamentos de tecnología y seguridad de la información, estos no son una pieza aislada del rompecabezas, sino que necesitan de la participación de todos los empleados, colaboradores y proveedores.
[su_box title=”Recomendaciones de Trend Micro para mitigar las amenazas de ciberseguridad” style=”default” box_color=”#d32b40″ title_color=”#FFFFFF” radius=”3″]
- Fomentar la educación y capacitación de los usuarios para extender las mejores prácticas de seguridad corporativa al hogar, incluyendo el asesoramiento contra el uso de dispositivos personales.
- Mantener estrictos controles de acceso tanto para las redes corporativas como para la oficina en casa, incluida la confianza cero.
- Duplicar los programas de administración de parches y seguridad de mejores prácticas.
- Aumentar la detección de amenazas con experiencia en seguridad para proteger las cargas de trabajo en la nube, los correos electrónicos, los puntos finales, las redes y los servidores las 24 horas.
[/su_box]
