Después de la pandemia, ¿Qué sigue para la ciberseguridad?
Por: Juan Pablo Castro, Director de Trend Micro
Los últimos 12 meses han dejado a la comunidad de ciberseguridad sintiéndose un poco aturdidos. Casi de la noche a la mañana los modelos de negocio y las prácticas de trabajo fueron abruptamente reconfigurados y todo el personal de TI disponible fue reclutado para ayudar. Con el paso de los meses, surgieron nuevas amenazas y aprendimos que lo que estamos viviendo es una realidad con la que tendremos que vivir durante algún tiempo. Y así comenzamos el 2021, confinados de nuevo, ¿Cuáles deberían ser los propósitos de los líderes de seguridad para este año?
Si bien no podemos bajar la guardia debido a que las amenazas siguen apuntando a la infraestructura y trabajadores remotos, existen algunos motivos para ser optimistas. A diferencia del año pasado, todos nos estamos familiarizando con la vida y el trabajo bajo la sombra de una pandemia. Los líderes de seguridad dan prioridad a la formación y a las herramientas para apoyar el negocio y minimizar el riesgo cibernético y esto debería facilitar las cosas.
Año nuevo, las mismas viejas amenazas
Comenzamos un año nuevo, sin embargo, en muchos sentidos las organizaciones verán las mismas viejas ciberamenazas que se veían en el 2020. Esto significa que veremos el robo de datos y ransomware, a menudo en el mismo ataque, así como el Business Email Compromise (BEC), troyanos bancarios, malware de minería de monedas, y otros retos de ciberseguridad habituales. La escala de amenazas es notable, sólo en la primera mitad de 2020, Trend Micro bloqueó más de 27,800 millones de amenazas únicas, la mayoría de las cuales se transmitían por correo electrónico. Aunque la mayoría de ellas pueden estar relacionadas con ataques automatizados, se puede decir que las que están más dirigidas y personalizadas son las que presentan la mayor amenaza para el balance final y la reputación de la empresa.
Algunos sectores pueden verse más afectados que otros este año, ya que los cibercriminales siempre van primero por la presa más fácil: las oportunidades de generar el máximo rendimiento de la inversión de los ataques. Es así como a medida que los consumidores siguen inundando la red, industrias como la del comercio minorista y las casas de juegos y apuestas podrán verse sometidas a una presión cada vez mayor, especialmente si se publican aplicaciones recién acuñadas que contengan vulnerabilidades. Del mismo modo, con los hospitales bajo la misma presión para hacer frente a la afluencia de apacientes COVID-19, al menos hasta finales de año, se esperan más ataques de ransomware.
Herramientas y técnicas
Por muy deprimente que sea pensar en ello, es probable que pasen muchos meses antes de que la vida empiece a volver a una apariencia de normalidad prepandémica. Esto dependerá de la eficacia de las vacunas contras las nuevas cepas, de la rapidez con que se pueda inocular a la población y de la reacción de las empresas. Es seguro decir que el futuro implicará al trabajo remoto igual que antes, y probablemente mucho más.
Esto significa que los cibercriminales seguirán apuntando al que se considera el eslabón más débil de la seguridad, es decir, los empleados que tuvieron que migrar al home office y la infraestructura de trabajo remoto. El phishing ha estado siempre presente en la última década y los señuelos que usan al COVID continuarán en este 2021. Como descubrimos el año pasado, el home office puede estar facilitando aún más el trabajo de cibercriminales a través de comportamientos arriesgados como la carga de datos corporativos en aplicaciones no laborales y el uso de dispositivos personales potencialmente desprotegidos para el trabajo.
El error humano no sólo significa caer en ataques de phishing. También significa que la infraestructura de la nube podría estar mal configurada, lo que permite a los ciberdelincuentes encontrar datos expuestos a través de un simple escaneo de IP. Se puede extender a fallos de parcheo que dejan expuestas las VPNs y otras infraestructuras de trabajo remoto, o servidores RDP protegidos sólo con contraseñas débiles y/o previamente violadas. Tenemos que estar en la cima de nuestro juego en 2021, porque hay señales de que la comunidad de ciberdelincuentes es cada vez más capaz de utilizar técnicas del estilo de APT para robar datos y desplegar ransomware. Piense en las técnicas de “vivir de la tierra”, el uso de herramientas de pen testing como Cobalt Strike y la rápida explotación de las vulnerabilidades en las plataformas SaaS.
Su estrategia de seguridad 2021 comienza aquí
Eso puede parecer mucho para asimilar, pero, al menos este año ya sabemos dónde estamos parados. Muchos de estos TTP fueron rastreados el año pasado, y dados a conocer. Además, con la nueva modalidad del trabajo a distancia, ahora debe haber más ancho de banda para que el personal de seguridad informática pueda ayudar. Si aún no lo ha hecho, lleve a cabo una evaluación de riesgo cibernético para averiguar dónde están sus debilidades ahora, y desarrolle un plan para abordarlas.
El enfoque que adopte, dependerá de la tolerancia al riesgo de su organización, de la industria en la que trabaja y de la madurez de su actual postura de seguridad. Sin embargo, cualquier resolución de año nuevo seguramente incluirá la formación de los usuarios y su sensibilización. Esto realmente necesita ser un programa continuo, con simulaciones de phishing y BEC reales, comunicadas regularmente al personal en pequeños bloques.
Adapte las sesiones de entrenamiento a las últimas campañas de phishing y asegúrese de que sus herramientas ofrecen información detallada sobre los empleados para que pueda centrarse en los empleados más susceptibles. No olvide que, todos los empleados, desde el director general hasta el personal de planta, deben asistir, incluyendo a los empleados temporales y a los contratistas. Sólo hace falta un click erróneo para que la organización tenga problemas.
La confianza cerro llega a la mayoría de edad
Otro enfoque que se hará cada vez más popular durante el próximo año será la confianza cero. En un mundo de trabajo distribuido, dispositivos móviles y aplicaciones SaaS, se trata de la noción de: “nunca confiar, siempre verificar”. Concentre sus esfuerzos en la autenticación de los usuarios con herramientas multifactoriales (MFA), y despliegue de la microsegmentación dentro de la red para restringir el acceso a los recursos. Este enfoque también encaja perfectamente con las herramientas de servicio de acceso seguro (SASE) basadas en la nube para dar a los equipos seguridad visibilidad de todo tráfico entrante y saliente.
Los riesgos asociados a una fuerza de trabajo distribuida también exigen herramientas de seguridad basadas en la nube y gestión de los puntos finales para lograr la máxima flexibilidad, visibilidad y control. La detección de amenazas y la respuesta a las mismas se está volviendo sumamente importantes, especialmente las soluciones que incluyen la Inteligencia Artificial (IA)para ayudar a los equipos de seguridad bajo presión a priorizar la forma en que tratan los sofisticados ataques entrantes. De hecho, la IA seguirá facilitando la vida de los profesionales de la seguridad al detectar patrones sospechosos en el tráfico de la red que los humanos podrían pasar por alto, al detectar estilos de escritura anómalos en los correos electrónicos de BEC y añadir automatización a la detección y la reparación.
Las sugerencias de que la tecnología podría reemplazar completamente a los humanos en la ciberseguridad para el 2030 son exageradas. Pero los líderes de seguridad tendrán que vigilar de cerca el uso malicioso de la tecnología en el futuro. Desafortunadamente, la carrera armamentista cibernética solo se intensificará en 2021.