Aprender de los atacantes: colaborar e innovar

Seguridad

Yaroslav Rosomakho, CTO de Campo de Netskope, sobre lo que es necesario conocer de los ciberdelincuentes y qué hay que hacer para evitar posibles ciberataques.

Aunque los directivos son cada vez más conscientes de las amenazas que plantean los ciberdelincuentes, muchos mantienen aún una imagen anticuada de los mismos. La imagen del hacker encapuchado trabajando solo en un sótano continúa siendo la más habitual y suele ser la elegida para ilustrar gráficamente la gran mayoría de los artículos sobre ciberataques publicados en los medios de comunicación.

Sin embargo, muchos de los perpetradores de ciberamenazas actuales no son operadores clandestinos; trabajan en grupos organizados y colaboran con otras agrupaciones dentro de un amplio ecosistema de especialistas. Estas bandas, además, acumulan importantes recursos financieros, que utilizan posteriormente para mejorar sus ataques, pagando por la infraestructura o sobornando a los empleados de una empresa objetivo.

A raíz de esta profesionalización, conocer el funcionamiento de estos grupos de ataque puede proporcionar una inteligencia muy valiosa que puede ayudar a las organizaciones a reforzar su postura de seguridad.

1) Los ciberdelincuentes colaboran entre sí, convirtiéndose en especialistas

Una jornada de compras por la Internet Oscura (Deep Web) se saldará con la visita de individuos o agrupaciones que pregonan su habilidad sobre elementos específicos de la cadena de ataque, y los ofrecen a cualquiera que los pueda pagar. Estos personajes se asocian en grupos de trabajo que evolucionan y cambian con regularidad. ¿Qué se puede aprender de esto?

Además de la transcendencia que adopta la inteligencia de amenazas para conocer los peligros y tendencias más actuales, no hay que pasar por alto el poder de la colaboración, tanto a nivel externo como interno. Así, si los departamentos de seguridad de las empresas se interconectan y comparten información con la competencia ganarán en agilidad y preparación, mientras que, a escala interna, si el área de seguridad consigue mantener una visión holística de las amenazas, podrá detectar una cadena de ataques multivectoriales. Los departamentos de seguridad deben asegurarse de que sus herramientas de seguridad están estrechamente integradas y pueden compartir la información pertinente, como los indicadores de compromiso, en tiempo real.

2) Los actores maliciosos utilizan la infraestructura de la nube para sus ataques

La nube es intrínsecamente ágil, por lo que los atacantes pueden poner en marcha su infraestructura para el ataque de forma rápida y económica, desmantelarla si es preciso y volver a implementarla en un tiempo récord. Asimismo, el hecho de utilizar los mismos servicios en la nube que las organizaciones a las que se dirigen, les permite camuflarse ante tecnologías de seguridad más antiguas y, a menudo, atravesar fácilmente los puertos abiertos.

Las organizaciones deben adoptar la seguridad en la nube, ya que además de por su escalabilidad y por la ventaja de los costos, su seguridad estará mucho mejor posicionada para detectar un ataque. La idea es aplicar un enfoque de confianza cero no solo en lo que respecta a la red, sino también en lo que tiene que ver con la seguridad en la nube y la protección de los datos.

3) Los ciberdelincuentes innovan

Muchas organizaciones asocian la innovación al riesgo, cuando la realidad es que no tiene por qué ser así. Además, los actores maliciosos alteran su enfoque y su modelo de negocio de forma continuada por lo que las empresas no pueden permanecer estáticas en materia de defensa; deben mantenerse al día sobre las tendencias en la metodología de los ataques, tratar de anticiparse e identificar la oportunidad antes de que lo hagan los atacantes para así poder frenarla. Esto puede significar simplemente mejorar la higiene en torno a la gestión de parches, o la construcción proactiva de una mejor visibilidad sobre los “IT Invisible” (Shadow IT). También, es importante sustituir los anticuados dispositivos de seguridad locales (con sus largos ciclos de actualización y mejora) por modernos servicios de seguridad en la nube que evolucionen constantemente las técnicas de detección y mitigación de ataques utilizando tecnologías modernas, como la IA impulsada por el aprendizaje automático.

4) Los cibercriminales están bien financiados

Los ciberdelincuentes tienen diferentes fuentes de ingresos, pero todos comparten el vínculo entre dinero y resultados. Por tanto, las personas que trabajan en una organización deben entender que los ataques son un gran negocio (de hecho, Cybersecurity Ventures predice que los daños causados por la ciberdelincuencia a nivel mundial alcanzarán los 10,5 billones de dólares anuales en 2025, lo que supone más que los beneficios derivados del comercio mundial de TODAS las principales drogas ilegales juntas) y defender su presupuesto de seguridad demostrando a su organización el costo de escatimar en seguridad. Tampoco tiene por qué ser un ejercicio de mendicidad constante, ya que por el contrario, invertir dinero en seguridad puede reportar ganancias significativas en otros centros de costos.

5) La mayoría de los atacantes son oportunistas

La mayoría de los atacantes son oportunistas y, a menudo encuentran a sus víctimas buscando la vulnerabilidad más expuesta. Por tanto, el aprendizaje aquí debe ser no convertirse en un blanco fácil, mantener puertas y ventanas cerradas para que así los atacantes desdeñen este objetivo y se dirijan hacia otro más accesible. La gran mayoría no va a por una organización, sino a por su dinero. Por eso, para evitar ser atacado una buena higiene de seguridad es la clave. No tiene sentido gastar una fortuna en costosos firewalls y VPNs si los empleados dejan abiertos los documentos de Google y los buckets de AWS en la nube.

A raíz de esta realidad no hay duda de que el concepto de hacker ha cambiado. La figura misteriosa con capucha que aparece en imágenes -ya sobre utilizadas- crea una visión anticuada y poco útil de a lo que nos enfrentamos exactamente como profesionales de la seguridad. Por tanto, la próxima vez que alguien hable de un hacker quizás sea un buen momento para contarles un poco sobre quiénes son realmente estos delincuentes, y ayudarles a aprender algunas lecciones de los malos actores para proteger mejor su organización

Autor