Afrontando las amenazas en Microsoft 365

Barracuda Networks y Sothis analizan el panorama de seguridad de las comunicaciones por correo a través del caso de éxito de Dermofarm.

Los ciberdelincuentes no descansan. Ninguna empresa ni sector de actividad está a salvo de sus acometidas. Y las estadísticas señalan que el vector de ataque más común utilizado por los criminales sigue siendo el correo electrónico. El email se mantiene en estos momentos como vía de entrada habitual para las campañas de phishing y amenazas de malware con efectos catastróficos para los negocios.

Según el Internet Crime Complaint Center (IC3) del FBI, la suplantación de identidad es responsable de un 93 % de las infracciones de correo electrónico que se producen. Esta situación se agrava en el contexto actual. Tras el estallido de la pandemia de coronavirus alrededor del mundo y la implementación de estrategias de transformación digital por parte de las empresas, se han popularizado los modelos de trabajo híbrido que permiten a los empleados conectarse a la red corporativa desde cualquier dispositivo gracias a soluciones de carácter colaborativo como Microsoft Office 365.

Para analizar los retos de seguridad a los que se enfrentan las compañías y cómo abordarlos, NetMedia ha reunido de forma virtual a Miguel López, Country Manager de Barracuda Networks para Iberia, y Alberto Ballestín, ingeniero de ciberseguridad de Sothis. Ambos comparten escena junto a Servando Dovarganes, CIO de Dermofarm, como protagonistas del encuentroAfrontando las amenazas en Microsoft 365.

Este webinar pone el foco en las plataformas unificadas de gestión de la seguridad y la protección del correo de Microsoft 365. Muestra cómo enfrentarse al malware con garantías de éxito y cuáles son las ventajas de unificar toda la estrategia de protección en una única plataforma. Y, sobre todo, ofrece el ejemplo práctico de Dermofarm, que ha conseguido dar respuesta a sus propios retos seguridad.

El email como puerta de entrada

Cuando hablamos de empresas y seguridad, “estamos viendo un panorama en el que se ha creado casi una tormenta perfecta”, observa Miguel López, Country Manager de Barracuda Networks para Iberia: aunque “los ataques al correo electrónico ya existían antes de la pandemia”, la llegada del teletrabajo “ha creado un entorno donde los atacantes realmente pueden medrar de manera mucho más sencilla”. Los procesos se han digitalizado, los empleados trabajan desde distintas ubicaciones y las organizaciones recurren a herramientas de colaboración para mantener la actividad.

“Desde años atrás se ha visto un incremento muy sustancial de los ataques, principalmente en el correo”, apunta Alberto Ballestín, ingeniero de ciberseguridad de Sothis. Pero tras la crisis sanitaria el panorama está más agitado. Otros condicionantes a nivel internacional, como la invasión rusa de Ucrania, o situaciones puntuales como pueden ser unas elecciones, acaban instrumentalizados por los ciberdelincuentes para lanzar sus campañas y engañar al usuario, “que es el eslabón más débil de la cadena, para que haga clic en un enlace”, llevarlo a “una falsa encuesta para recopilar datos” e “intentar comprometer una cuenta”.

“Esto no para”, advierte Servando Dovarganes, CIO de Dermofarm, “se va sofisticando cada día”. Miguel López confirma que “los ataques crecen en número y también en sofisticación”: “crece el spam, el malware, el phishing”, pero al mismo tiempo “están creciendo ataques de ingeniería social, que se especializan, además, en atacar plataformas como la de Office 365”. Plataformas que, “por su ubicuidad y por su éxito, se han convertido en un atractivo muy importante” para los propios atacantes y cuya protección debe abordarse desde una perspectiva multivectorial.

Uno de los vectores de ataque más habituales sigue siendo el correo, con un giro cada vez más acentuado a ataques más dirigidos”, cuenta el directivo de Barracuda, “donde se utiliza información que existe de la empresa, que incluso la propia empresa o los empleados vuelcan en redes sociales”, para “aumentar las probabilidades de que alguien clique en donde no debe o realice una acción que no debe”. Algo que está aumentando son los ataques cuyo “objetivo final es robar o tener acceso a las credenciales de acceso” de los usuarios.

En este punto, la autenticación multifactor no es “la panacea”, no puede ser “la solución única” para frenar el avance de la ciberdelincuencia, según López, ya que “nos puede dar una falsa sensación de seguridad, que probablemente es lo peor” al tratar la seguridad. Lo que hay que hacer es “implementar otra serie de medidas complementarias”, siguiendo “el planteamiento de la cebolla” o de la implementación de diferentes “capas”. La autenticación multifactor será una de esas capas, a la que conviene sumar otras como tecnología de “inteligencia artificial orientada a identificar las acciones y comportamientos de los usuarios en tiempo real”.

El entorno empresarial debe afrontar “la dicotomía entre seguridad y usabilidad”. Sólo la implementación de herramientas de protección y prevención sencillas, a la vez que potentes, permite alcanzar un grado de seguridad razonable. “Es muy importante contar con soluciones, por un lado, que sean razonablemente sencillas de gestionar y administrar. Y luego, por otro lado, contar con integradores”, determina Miguel López. Estos socios de negocio sabrán “manejarlas” y “pueden dar una respuesta en caso de una emergencia”.

“Todo esto se reduce a tres puntos principales”, concluye Servando Dovarganes. El departamento de tecnología de una empresa moderna y bien protegida debe “transmitir sensación de urgencia a la dirección” y convertir la seguridad en una inversión en vez de en un coste. En segundo lugar, hay que “formar a los usuarios” en autoprotección y concienciarlos de la necesidad de contactar con TI “ante cualquier duda”. Finalmente, hay que buscar “un partner de confianza que sea un miembro más del equipo” y “ayude a configurar toda esta herramienta” de seguridad. Esto significa confiar en un SOC para “estar a la última de todas las tendencias maliciosas” que existen y ser capaz de actuar 24/7.

La constante amenaza del ransomware

El ransomware se mantiene como medio de ataque rentable para los cibercriminales y temido por las empresas. Su desafío constante está relacionado con el valor de las copias de seguridad, otra de las medidas que las compañías deben tener en cuenta para sobrevivir en un mundo lleno de riesgos. Ambos elementos forman parte de “un mismo problema”, de acuerdo con Miguel López. “La seguridad del correo electrónico y, en concreto, la de Office 365 como plataforma” debe abordarse desde “una perspectiva holística”, explica el directivo, analizando “todas las diferentes fases de lo que puede ser un ataque”.

Lo ideal es reforzarse con “herramientas que creen una protección al nivel perimetral” y “traten de evitar que el ataque llegue”, concreta este ejecutivo, porque “la pregunta no es si nos atacan, es qué vamos a hacer cuando nos ataquen”. Los ciberataques son algo que, estadísticamente, “todo el mundo va a sufrir”. A mayores, hace falta capacidad de “respuesta en el caso de que el ataque esté sucediendo” y de recuperación a incidentes como el ransomware. Aquí entran en juego el “análisis forense” y la identificación de lo que sucede en tiempo real, incluyendo quién está sufriendo el ataque, “para de esa forma poder aislar a esos usuarios” y evitar males mayores.

“La última etapa de las medidas de protección” no es otra que “la parte de backup”. Conviene que las herramientas de copia de seguridad de la información dispongan de “mecanismos de escritura inmutable para evitar que se cifre el propio backup” y almacenarlo todo “en un repositorio completamente externo”, “que no dependa en absoluto de la empresa” y que sea “invisible” a amenazas como los gusanos de red. Así lo aconsejan desde Barracuda, que aboga por “realizar un proceso de limpieza previo”.

Para Servando Dovarganes, la aplicación de estas copias “tiene que ser la última solución. Cuando tienes que tirar de copias de seguridad quiere decir que hay muchas cosas que realmente han fallado” con anterioridad. La parte positiva es que las herramientas de los fabricantes están avanzando y son capaces de bloquear mensajes sospechosos. Ahora “llegan los correos que tienen que llegar”, dice este experto. “Estamos evitando también horas de trabajo” a los usuarios, porque no tendrán que revisar los correos de forma manual.

“Desde el SOC tenemos la posibilidad de ver si otros usuarios han recibido ese correo” malicioso que puede desencadenar una infección generalizada en la infraestructura empresarial, cuando el primer usuario al que apunta un atacante “se lo reenvía a otro”. “Tenemos la posibilidad de investigar” lo que va sucediendo, explica el ingeniero de ciberseguridad de Sothis, Alberto Ballestín. “Y no sólo eso”, también es posible bloquear directamente la amenaza “y evitar que esto pueda ir a más”, con consecuencias a nivel financiero o de reputación.

Consejos a los CIO, CSO y CISO

Hoy en día una estrategia de ciberseguridad completa y avanzada se antoja indispensable para la supervivencia de cualquier entidad. Además, es una obligación moral y social, ya que cada ataque que tiene éxito refuerza los ánimos de los ciberdelincuentes, pone en riesgo al conjunto de los internautas y debilita la economía. “De la misma manera que tienes un seguro contra incendios en la empresa, tienes que tener el tema de la ciberseguridad cubierto”, considera Servando Dovarganes. Aunque cada negocio dispone de diferentes recursos, “lo que sí que no podemos caer es en ese exceso de confianza”.

“La concienciación ha cambiado. La situación es completamente distinta a como era hace diez años, pero todavía siguen existiendo muchos retos” por abordar y “muchas reticencias” por resolver. Miguel López lamenta que muchas veces el papel de los expertos de seguridad sea “la de pelear por el presupuesto” y no la de implementar soluciones. “Vamos en la dirección correcta, aunque hay veces que se percibe esa falsa sensación de seguridad”. Por ejemplo, si simplemente se contratan pólizas de ciberriesgo en vez de adquirir herramientas de software.

“Uno de los problemas que nosotros hemos detectado”, cuenta López, es que las organizaciones cubiertas por una póliza pagan tras recibir un primer ataque de ransomware y “recurrentemente empiezan a recibir más ataques”. Esto quiere decir que “se está creando un círculo vicioso”. Por otro lado, los atacantes implementan medidas adicionales y “dejan abiertas puertas traseras para poder atacar en el futuro”. Esto deriva en que “tú pagas hoy y dentro de tres meses vuelves a pagar”. Mientras, “las pólizas de ciberriesgo empiezan a incrementar sus importes” y pueden llegar a no renovar. “Se está viendo cómo se está incrementando mucho el importe de las pólizas de ciberriesgo de manera prácticamente paralela al incremento en los importes que solicitan los ataques de ransomware”.

En este sentido, Miguel López deja claro que pagar al delincuente en vez de prevenir el propio riesgo de seguridad nunca va a “restituir los costes derivados del daño a tus relaciones con proveedores y partners”, sobre todo ahora que muchos ataques de ransomware son “de doble y triple extorsión”. La ciberseguridad debe convertirse en una preocupación compartida por “todo el organigrama de la empresa”, que debería verla como “un elemento más de la cadena de producción, tan importante” como los demás e incluirla en sus planes.

Otro consejo del Country Manager de Barracuda para el mercado ibérico es “ver la seguridad desde un punto de vista lo más global posible”. El correo electrónico representa “3 de cada 4 ataques” en internet, “pero hay un 25 % de otros ataques que van dirigidos a otros vectores”, apunta este profesional, y que “van a intentar llegar a través de nuestro servidor web” o “de nuestro firewall”. Un elemento que no hay que olvidar a la hora de trazar medidas de protección es la página web de la compañía.

“El correo es una parte, pero también tenemos la protección perimetral con los firewall, también tenemos la protección de los endpoints”, coincide Alberto Ballestín. Si “juntamos todas esas fuentes” y “las conectamos con un SIEM”, podremos “investigar cualquier tipo de amenaza que sufra la organización” y dar una respuesta adecuada. “La ciberseguridad es algo que necesita una evolución, que necesita un soporte y que necesita un equipo detrás”, define Ballestín. Así, en el caso de que entre “una amenaza un domingo a las 3 de la mañana” o cuando a plantilla está “de vacaciones”, la organización podrá estar tranquila porque habrá “alguien detrás para dar este soporte”.

Servando Dovarganes señala que explicarle las ventajas de la seguridad a la dirección general “no es una venta interna”. Tampoco es “una necesidad del departamento de tecnología, es una necesidad de la empresa” como tal. Los responsables de tecnología y seguridad deberían aportar todos los datos necesarios a quienes toman la decisión final para que entiendan la importancia de invertir. Respecto a los trabajadores, hay que “hacer planes de formación” y tener mucha paciencia con ellos”, ya que “todo el mundo se puede equivocar”. Mientras, un partner ayudará a superar “momentos de crisis” y a “planificar el futuro”. Siempre hay que mantenerse “un paso adelante” y hablar del futuro.