A falta de 15 horas para el Black Friday, Contoso de México, una importante corporación dedicada al mercado minorista de tecnología, sufre lo que parece ser un ciberataque de ransomware que pone en peligro, no solo sus ventas y su futuro financiero, sino también los datos de miles de sus compradores en todo el país.
Una vez detectado el incidente de seguridad, la CEO de Contoso convoca a los encargados del área de sistemas, comunicaciones y finanzas con el objetivo de resolver la crisis con el menor costo económico y reputacional para la compañía. El objetivo del comité de crisis es salvar las ventas del Black Friday, pero sin generar pánico entre los usuarios de sus tiendas que ya empiezan a ver comprometidos sus datos personales.
El primer gran reto para los ejecutivos de Contoso, que no habían sido preparados para una situación de ciberataque, es decidir entre frenar las ventas e informar a la opinión pública y las autoridades, con el daño reputacional que esto implica, o resolver la crisis de manera privada cediendo a la extorsión de los ciberdelincuentes.
Aunque la decisión ética parecería evidente y lógica, Marcelo Felman, director de ciberseguridad para América Latina de Microsoft, asegura que en muchos casos las compañías toman malas decisiones por no estar preparadas para manejar un ciberataque de ransomware y terminan por ceder y pagar para recuperar los datos, incentivando así el crecimiento del cibercrimen en todo el mundo.
Y es que, aunque el caso de Contoso es completamente ficticio, Felman asegura que diariamente cientos de compañías de todo el mundo afrontan situaciones similares con resultados que varían según hayan tomado las medidas preventivas para enfrentar la cada vez más creciente amenaza de ciberseguridad.
“El panorama digital se amplío después de la pandemia porque millones de empleados que respondían a ciertas medidas de ciberseguridad se llevaron sus equipos y trabajo a casa. Esto generó un aumento significativo de lo que en ciberseguridad se llama la ‘superficie de ataque’ que en palabras sencillas significa que ahora somos mucho más vulnerables a los ciberdelincuentes”, aseguró Felman, quien agregó que la ciberdelincuencia post pandemia se incrementó en 600 %.
“Los ciberdelincuentes reales no operan de manera solitaria en un cuarto oscuro como lo muestran las películas de Hollywood. Al contrario, son organizaciones altamente especializadas, sofisticadas y articuladas que aprovechan cualquier debilidad en la ciberseguridad de las empresas. Es un ecosistema delictivo que aprovecha un click errado de un empleado para robar la información, eliminar respaldos e introducir el ransomware a las empresas”, dijo el director de ciberseguridad para América Latina de Microsoft.
¿Qué hacer ante este panorama?
Según información de Microsoft, tan solo en 2022, hubo un incremento de 230 % de ataques de password spray (un tipo de ataque en el cual un atacante prueba la misma contraseña en varias cuentas antes de avanzar a otras y repetir el proceso). El 91 % de todos los ciberataques comienzan a través del correo electrónico.
En 2020 y 2021, el FBI identificó el phishing como el principal tipo de delito reportado por las víctimas. En el 2021, Microsoft desmanteló más de 160.000 sitios de phishing.
A lo largo del último año, el Equipo de Detección y Respuesta de Microsoft (DART), en conjunto con los equipos de inteligencia de amenazas de Microsoft, observaron un alza en el uso de password sprays como un vector de ataque.
Esto ha llevado a las organizaciones como Microsoft, entre muchas otras, a encontrar maneras de reaccionar antes dichos ataques. El consenso de gobiernos y empresas a nivel mundial reconoce que es necesario acelerar la adopción de una estrategia de Confianza Cero. En vez de asumir que todo lo que se encuentra detrás del firewall corporativo está protegido, el modelo de Confianza Cero asume una infracción y verifica cada solicitud como si se originara en una red abierta.
Principios de la Confianza Cero
- Verificar de forma explícita
Autenticar y autorizar siempre con base en todos los puntos de datos disponibles, lo que incluye la identidad del usuario, la ubicación, el estado del dispositivo, el servicio o la carga de trabajo, la clasificación de datos y las anomalías.
2. Utilizar acceso con el menos privilegio
Limitar el acceso del usuario justo a tiempo y con acceso suficiente e implementar con rapidez, políticas basadas en los riesgos y protección de datos para ayudar a proteger los datos y la productividad.
3. Asumir la vulneración
Minimizar el radio del alcance y segmentar el acceso. Comprobar cifrados de extremo a extremo y usar los análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas.
¿Cómo implementar una estrategia de Confianza Cero?
La Confianza Cero requiere verificar y comprobar la fiabilidad de cada transacción entre los sistemas (identidad de usuario, dispositivo, red y aplicaciones) antes de que esta suceda. En un entorno ideal de Confianza Cero, los siguientes comportamientos son fundamentales:
Fortalecer las credenciales
Utilizar la autenticación multifactorial (MFA) en todo lugar, así como una guía de contraseñas fuertes, y continuar el camino hacia un ambiente sin contraseñas (passwordless). El uso adicional de la biometría asegura una autenticación rigurosa para las identidades de usuario.
Reducir la superficie de ataque
Deshabilitar el uso de protocolos antiguos y menos seguros, restringir el acceso a los puntos de entrada, adoptar la autenticación en la nube y ejercer un mayor control sobre el acceso administrativo a los recursos.
Automatizar la respuesta ante las amenazas
Aplicar MFA o bloquear el acceso riesgoso e implementar ocasionalmente un cambio seguro de contraseñas. Implementar y automatizar la respuesta y no esperar a que un agente humano responda ante la amenaza.
Utilizar inteligencia de la nube
Consultar My Microsoft Secure Score (un resumen numérico de la postura de seguridad de la organización basada en las configuraciones del sistema, el comportamiento de los usuarios y otras medidas de seguridad relacionadas). Monitorear y procesar los registros de auditoría para aprender de ellos y fortalecer las políticas con base en dichos aprendizajes.
Empoderar a los colaboradores con autoservicio
Implementar una restauración autónoma de contraseña, brindar acceso autónomo a grupos y aplicaciones y proporcionar a los usuarios repositorios seguros para descargar aplicaciones y archivos.
“La implementación de una estrategia de Confianza Cero no es nada compleja. Los pasos son medidas de higiene que deben considerarse en cualquier compañía que desee protegerse y mitigar los riesgos de seguridad. El modelo de Confianza Cero protege contra el 98 % de los ataques”, afirmó Felman.
Puntualizó que también es importante que las organizaciones empresariales realicen simulacros de ciberataques para diseñar estrategias que resulten eficaces a la hora de una amenaza real que afecte la propia seguridad, no solo financiera, sino también operativa de todas las empresas.
Imagen: Flirck