Semperis: “La identidad digital es el activo más valioso de una compañía”

Semperis es una empresa de tecnología especializada en protección y recuperación de directorios activos (Active Directory) en entornos empresariales. Active Directory es un servicio de directorio de Microsoft utilizado para gestionar y organizar recursos como usuarios, grupos y dispositivos en una red de computadoras.

La compañía ofrece soluciones de software diseñadas para ayudar a las organizaciones a proteger, respaldar y recuperar sus entornos de Active Directory, que son fundamentales para la operación de muchas empresas y organizaciones. Su objetivo principal es garantizar la continuidad del negocio y la seguridad de los datos mediante la prevención y mitigación de fallos y ataques en el directorio activo.

Para hablar sobre la actualidad de la ciberseguridad, tanto a nivel nacional como global, Silicon ha contado con la oportunidad de entrevistar a Ray Mills, director regional de ventas en Semperis Iberia. Mills es experto en el área de ventas y el desarrollo de mercado para proveedores de Identidad y Seguridad Cloud. Para desarrollar su labor de construir y gestionar las ventas y el canal de la compañía, Mills cuenta con una experiencia de más de una década trabajando con empresas de software en la misión de expandir sus negocios, primero en Latinoamerica, y ahora, desde hace 8 meses, en Madrid.

– ¿Cómo describirías Semperis y qué la hace única en el mercado de la ciberseguridad?

Lo que hace única a Semperis en el mercado de ciberseguridad es la forma en que abordamos el tema de la seguridad de las identidades digitales. No es un tema nuevo. Todo el mundo ya sabe que el nuevo perímetro es la identidad. Pero a diferencia de la mayoría de las soluciones de identidad, nuestro enfoque no se centra en proteger el acceso de un usuario a una cuenta, sino en proteger las propias cuentas, es decir, la infraestructura de la identidad.

En comparación con otros fabricantes, no estamos compitiendo directamente con ellos, sino que complementamos su capa de seguridad. Nos enfocamos en la segunda capa, la cual garantiza que el acceso sea legítimo. Si alguien está accediendo a una cuenta, nos aseguramos de que esa cuenta no haya sido manipulada y de que esté protegida para que el acceso sea el correcto.

Además, en caso de que un cliente sufra un ataque de ransomware en el que todas sus máquinas sean encriptadas y se les demande dinero, ofrecemos la capacidad de que nuestros clientes recuperen sus identidades del directorio activo a un estado previo, donde no existía la infección de ransomware, y hacerlo en cuestión de minutos. De esta manera, eliminamos la ventaja de los atacantes de poder exigir un rescate.

La identidad es el activo más valioso de una compañía. Si alguien pierde la capacidad de acceder a una máquina o incluso revisar su correo electrónico, muchas compañías se ven obligadas a pagar porque se sienten impotentes. Nosotros les brindamos la capacidad de ignorar esas demandas, realizar una recuperación limpia en minutos y volver a la producción sin tener que preocuparse por tomar esa difícil decisión de si deben pagar o no, y qué podría suceder si lo hacen.

Desafíos de ciberseguridad

– ¿Cuáles son los mayores desafíos a los que se enfrentan las empresas en cuanto a ciberseguridad y cómo pueden abordarlos?

Actualmente, uno de los principales desafíos al que se enfrentan las empresas en cuanto a ciberseguridad es el incremento en cantidad y complejidad de los ataques, los cuales se han vuelto más sofisticados. Aunque las compañías pueden actualizar su software, muchas veces no logran expandir su personal lo suficientemente rápido. Esto significa que tienen que gestionar más herramientas y enfrentarse a una variedad más amplia de ataques con la misma cantidad de personal. Por lo tanto, el reto consiste en cómo manejar esa creciente cantidad de riesgos y cómo automatizar los procesos de seguridad.

La automatización se ha convertido en una de las tendencias más importantes, ya que permite automatizar ciertos procesos y brinda una mayor capacidad para hacer frente a los ataques. De esta manera, se puede lograr más con menos recursos y se puede garantizar la resiliencia del negocio. Es importante tener en cuenta que, aunque la prevención de ataques es ideal, si esto no es posible, siempre es necesario contar con un plan secundario para la recuperación en caso de un ataque, de modo que se asegure que la empresa no entre en un estado crítico.

– ¿Cómo se prepara Semperís para hacer frente a los ciberataques cada vez más sofisticados y a las nuevas amenazas que surgen en el mercado?

Tenemos un equipo de investigación y seguridad que se enfoca exclusivamente en investigar nuevos tipos de amenazas y ataques en el mercado, así como en implementar formas de detectar estas posibilidades en nuestras soluciones. Si bien somos una compañía de software, una de nuestras mayores ventajas es contar con expertos que pueden detectar ataques y ayudar en su recuperación. Por lo tanto, no sólo ofrecemos una plataforma, sino también conocimiento humano y experiencia, habiendo trabajado con numerosas compañías y asistiéndolas en el proceso de recuperación de ataques.

Monitorizamos constantemente las 24 horas del día, los 7 días de la semana. Si uno de nuestros clientes sufre un ataque, recibirán una respuesta en menos de una hora por parte de un equipo de expertos especializados en ese tipo de ataques, un equipo que se encuentra separado de nuestro equipo de soporte. En otras palabras, si un cliente abre un ticket, no se trata solo de una persona. Contamos con un equipo dedicado exclusivamente a la recuperación de ciberataques.

Consejo para las empresas

– ¿Qué consejos darías a las empresas que buscan mejorar su seguridad en línea y protegerse contra los ciberataques?

En primer lugar, es importante enfocarse en una estrategia de prevención completa. Es fundamental tener un buen conocimiento sobre las nuevas amenazas y las formas más simples y efectivas de prevenirlas. Sin embargo, quizás aún más importante es tener un plan B: “si la prevención falla, ¿qué debo hacer?”. Tarde o temprano, todas las empresas enfrentarán un ataque exitoso, ya que constantemente surgen nuevas claves y tipos de software que aún no han sido descubiertos. Incluso hay países que patrocinan ciberataques.

Por lo tanto, es crucial contar siempre con un plan B y ponerlo a prueba. No basta con que sea solo teoría, se deben realizar ejercicios de simulación de ataques para evaluar cómo puede responder el equipo. Es necesario determinar si la respuesta es aceptable y, en caso contrario, trabajar hasta lograr la confianza necesaria. Es fundamental asegurarse de que un ataque no tenga un efecto fatal, incluso si ocurre de manera constante.

– ¿Es más importante el recovery que la detección?

Si solo apuestas por la prevención, estás confiando básicamente en que siempre serás exitoso, pero solo se necesita que un ataque tenga éxito. Si tu estrategia se basa únicamente en la prevención, obtendrás el mismo resultado que si nunca hubieras apostado por ella. Si un ataque logra encriptar toda tu información y tienes que pagar dinero para recuperarla, ¿de qué ha servido todo el esfuerzo de prevención?

– Entonces, ¿se trata de una especie de doble factor de autenticación?

Bueno, el doble factor de autenticación está diseñado para proteger el acceso a las cuentas. Sin embargo, lo que realmente protegemos son las cuentas que se están utilizando. El doble factor de autenticación garantiza que cuando te logueas, es decir, cuando inicias sesión, seas tú quien esté accediendo a la cuenta. Pero la cuenta en sí no está protegida por ese doble factor. El doble factor solo protege la forma en que accedes. La cuenta a la que estás accediendo probablemente se encuentra dentro del directorio activo, que es la herramienta de identidad que determina qué acceso tiene cada usuario.

Ese directorio activo es realmente el centro de control a nivel corporativo, y es lo que nosotros proponemos proteger. Un atacante puede no suplantar la identidad, sino ir directamente a esa fuente de entidades y realizar cambios o acceder. Incluso si una compañía ha implementado una solución de seguridad para proteger el acceso, si el punto final, es decir, las identidades dentro del directorio activo, está vulnerable, no hay necesidad de pasar por el control, simplemente se puede acceder directamente al punto final y realizar esos cambios o acceder a la información deseada.

– ¿Buscan esas brechas?

Sí, estamos buscando vulnerabilidades que podrían ser utilizadas y, si alguien logra explotar una vulnerabilidad para realizar cambios, nuestro objetivo es deshacer esos cambios de forma automática. El enfoque principal es el de Zero Trust, que consiste en otorgar solo los permisos necesarios a una cuenta en un determinado momento. Sin embargo, si alguien puede acceder directamente a una cuenta y manipular los permisos, este enfoque no es útil en absoluto. Lo que hacen los atacantes es aprovechar estas vulnerabilidades.

Es decir, ¿por qué empezar por lo difícil, que es intentar suplantar una identidad, cuando pueden comenzar por lo fácil, que es acceder directamente a la fuente de las identidades y manipularlo todo? Estamos hablando de una herramienta que existe desde hace mucho tiempo, diseñada para una época anterior a la aparición del malware o ransomware. Todo lo demás simplemente evita todo el trabajo, se dirige a lo vulnerable y obtiene todo lo que necesita para llevar a cabo un ataque de ransomware.

Expansión en nuevos Mercados

– ¿Cuáles son los planes de expansión de Semperis para el futuro y cómo planean aterrizar en nuevos mercados?

Inicialmente, nos centramos en el mercado europeo, poniendo especial énfasis en los países con una fuerte presencia en ciberseguridad, como el Reino Unido y Alemania. Posteriormente, expandimos nuestras operaciones a Francia, donde hemos obtenido un gran éxito. Actualmente, estamos trabajando con numerosas empresas líderes en el sector y hemos comenzado a enfocarnos en Italia, España y Portugal. Dado el éxito que hemos experimentado en estos países y considerando que los desafíos de seguridad a los que nos enfrentamos hoy en día son universales, hemos llegado a comprender que se trata más de un tema de madurez y mercado.

Por lo tanto, nuestra estrategia se basa en invertir más recursos y contratar personal local en cada mercado, con el objetivo de fortalecer nuestras relaciones y presencia. Recientemente, hemos contratado a un ingeniero con sede en Madrid, lo cual nos ha permitido acelerar nuestro crecimiento en términos de volumen de negocio. Personalmente, llevo ocho meses liderando nuestras operaciones aquí en España desde mi incorporación. Estamos apostando fuertemente por esta estrategia y tenemos planes de expandir nuestro equipo en el futuro para seguir avanzando en este camino.

– ¿Qué porcentaje de penetración hay en España en comparación con el Reino Unido y Alemania?

Actualmente tenemos alrededor de 10-12 clientes en Iberia. En comparación con el Reino Unido y Francia, ellos tienen muchos más clientes, por lo que todavía hay un gran potencial de crecimiento en este mercado. Es solo cuestión de tiempo, ya que comenzamos aquí hace ocho meses. Estamos en proceso de desarrollo y actualmente estamos llevando a cabo varias conversaciones con clientes, tanto pequeños como grandes.

– ¿Qué oportunidades ve para el mercado de la ciberseguridad en España, y cómo Semperis puede contribuir a su crecimiento?

El mercado de ciberseguridad en España presenta numerosas oportunidades. Existe un alto nivel de madurez en este campo, aunque a veces el nivel de conocimiento supera el nivel de implementación. Sin embargo, hay un reconocimiento generalizado de la necesidad de contar con medidas de seguridad efectivas. En ocasiones, el factor limitante radica en el presupuesto asignado. Es fundamental disponer de recursos suficientes para que el equipo de seguridad pueda detectar amenazas emergentes y desarrollar estrategias adecuadas.

En España, el nivel de conocimiento sobre las amenazas y los desafíos de ciberseguridad es bastante elevado. Siempre hemos observado un enfoque destacado en la concienciación, la adquisición de conocimientos y la capacitación del personal. Esto también resulta fundamental, ya que, por más tecnologías que se implementen, sin un conocimiento humano sólido, no se obtendrán los resultados esperados.

– ¿Les resulta difícil encontrar personal cualificado?

En el ámbito de la ciberseguridad, a veces es complicado. Especialmente en temas relacionados con el directorio activo, sí, resulta difícil debido a que es una solución con 23 años de antigüedad y muchos de los expertos que se formaron en dicha solución ahora ocupan cargos directivos o de gestión, en lugar de ser las personas encargadas de operar las herramientas. Por lo tanto, encontrar a alguien con ese nivel de experiencia es complicado. Además, hace diez años existía la idea de que el directorio activo iba a desaparecer y que todo se migraría a la nube, por lo que no sería necesario. Sin embargo, ese proceso de migración se ha retrasado y ahora existe la necesidad de gestionar una herramienta que, desde una perspectiva estratégica, se pensaba que no sería tan relevante por mucho más tiempo del esperado.

– ¿Cómo ha sido tu experiencia trabajando en el mercado español y qué desafíos has enfrentado en estos ocho meses?

Cuando comienzas a trabajar en un nuevo mercado y abrirte paso en él, lo más importante y lo que requiere más esfuerzo es establecer relaciones de confianza con integradores y consultores locales, ya que eso es fundamental para el crecimiento efectivo del negocio. Para lograr un crecimiento sostenible a largo plazo, es necesario establecer relaciones con entidades que ya cuenten con sus propias redes de confianza. Si tuvieras que abordar individualmente a cada cliente, requeriría mucho más tiempo. Sin embargo, lo más importante es expandir tu red y poder crecer a través de las relaciones que ellos ya tienen establecidas. Una vez que logras implementar esto, todo se vuelve mucho más sencillo, ya que parece como si tuvieras un equipo completo trabajando contigo, expandiendo el mensaje y la presencia, en lugar de tener que hacerlo tú solo.

– ¿Tienen una estrecha relación con Microsoft?

Sí, tenemos una relación muy estrecha con Microsoft. De hecho, Microsoft utiliza nuestra guía a nivel global como su recomendación para recuperar el Directorio Activo, que es el sistema de identidades número uno. El nombre de ese documento técnico fue escrito por la persona que diseñó nuestra plataforma. Lo que hizo fue tomar esos pasos y automatizarlos. Contamos con un nivel de conocimiento que nos distingue, teniendo más Microsoft MVPs que cualquier otra empresa fuera de Microsoft. En resumen, nuestra relación con ellos nos permite ofrecer un nivel de integración único.

Crisis Reputacionales y Aseguradoras

– Sin necesidad de dar nombres, ¿algún caso de ataque importante al que hayan asistido últimamente?

Trabajamos con empresas importantes del sector educativo, universidades, también damos soporte a sectores como el financiero, el manufacturero e incluso trabajamos con operadoras y telecomunicaciones en Iberia. A nivel europeo, colaboramos con el banco más grande de Francia y la farmacéutica más grande de Francia, además de la compañía de energía más grande del Reino Unido. Contamos con varios clientes de referencia en diferentes sectores, ya que protegemos una herramienta utilizada por el 90% de las empresas a nivel global, que es una plataforma de identidad.

Por lo tanto, no importa en qué sector te encuentres, es probable que estés utilizando esta herramienta y, por ende, necesitas protegerla. En muchas ocasiones, los clientes que tenemos están relacionados con ciertos sectores, como el financiero, que suelen ser los primeros en implementar medidas de seguridad debido a la gestión de dinero, lo cual puede ser un objetivo de ciberataques.

Sin embargo, también hemos visto un enfoque importante en el sector de infraestructura crítica. Por ejemplo, estamos observando la nueva regulación de resiliencia, ya que, después de las entidades financieras, las infraestructuras críticas están tomando medidas de seguridad adicionales debido al impacto inmediato y público que pueden tener si son atacadas. Imagina si una importante compañía de generación eléctrica fuera afectada y sus servicios se vieran interrumpidos durante dos o tres días debido a un ataque de encriptación, el impacto sería visible tanto para la empresa como para los consumidores, quienes se quedarían sin suministro eléctrico. Estas compañías están muy preocupadas por la ciberseguridad de las identidades, ya que están enfrentando un aumento en el número y la sofisticación de los ataques.

– De cierta forma, ¿también se encargan de las crisis de reputación de las empresas?

Sí, exactamente. Actualmente estamos presenciando un enfoque cada vez mayor en cuanto a regulaciones y sanciones. Si no cumples con estas normativas, hay consecuencias. Por ejemplo, en Estados Unidos, por primera vez, un ex empleado de seguridad de Google está enfrentando posibles cargos criminales debido a su desconocimiento de una brecha de seguridad que se produjo. Ahora, las compañías se están enfocando más y más en cumplir con la responsabilidad de implementar buenas prácticas y estrategias adecuadas para abordar este tipo de amenazas.

– Por ejemplo, si roban a un banco, está asegurado de alguna manera. Al igual que una empresa que pueda sufrir una pérdida de datos, ¿está asegurada o no?

A veces es una combinación que también depende de si has tomado ciertas medidas. Las aseguradoras también están solicitando que se verifique que se han tomado ciertos pasos para poder seguir demostrando la seguridad de los sistemas, y en algunos casos es una combinación. Por ejemplo, en Estados Unidos, en Dallas, hubo recientemente un ataque de ransomware en el que decidieron pagar el rescate y dividirlo a partes iguales entre la aseguradora y la entidad afectada, ya que había un límite en la cobertura.

Así que en ocasiones, cuando ocurre un ataque de este tipo, es posible que puedan cubrir su parte. Sin embargo, hay ciertas cosas que no están cubiertas, como los actos de guerra. Teóricamente, si un país está lanzando el ataque y está involucrado en un conflicto, podría considerarse un acto de guerra y no estaría cubierto por la póliza. Es un tema complejo.

– En el caso de Rusia, que es uno de los países actualmente en conflicto con Ucrania y que realiza numerosos ataques en todo el mundo, ¿se consideran esos actos como actos de guerra?

Podrían considerarse como actos de guerra. Por otro lado, también resulta difícil determinar en algunas ocasiones quién fue el responsable de un ataque y si se trata de un grupo dentro de un país o de un grupo respaldado por el país, lo cual añade complejidad al asunto. Incluso cuando se produce un ataque, a menudo resulta complicado establecer con certeza quién lo llevó a cabo.

Los seguros son algo que no todas las compañías tienen en la actualidad, pero están adquiriendo una importancia creciente al darse cuenta de que no se pueden prevenir todos los ataques. Sin embargo, algo que puede reducir el costo del seguro es contar con una sólida estrategia de resiliencia y demostrársela a la aseguradora, ya que esto disminuirá el riesgo y mejorará el costo que se deberá pagar. Cuanto más madura y preparada esté una compañía, menos tendrá que pagar por el seguro.

– En caso de, por ejemplo, un robo o cualquier otro incidente, ¿Semperis podría desempeñar un papel similar al de un auditor de ciberseguridad? ¿Podéis certificar que se han cumplido las medidas de seguridad?

Podemos llevar a cabo el análisis forense en caso de sufrir un ataque. Una de nuestras principales tareas es realizar un análisis forense para identificar las vulnerabilidades que fueron explotadas durante dicho ataque. Nuestra plataforma está diseñada para ayudarte a recuperarte y evitar tener que pagar el dinero que se está exigiendo como resultado del ataque. Además, también realizamos ese análisis forense de las brechas de seguridad para determinar las estrategias y técnicas utilizadas en el ataque.

De esta manera, no solo nos enfocamos en la recuperación, sino también en la prevención futura de ataques que utilicen la misma estrategia. Es crucial cerrar todas las puertas traseras para evitar que vuelvan a atacarte. Ha habido casos en los que, incluso después de la recuperación, la compañía sufrió un segundo ataque dos semanas después, lo cual es aún peor que el primer ataque. Parece absurdo, pero es una realidad muy importante. Por lo tanto, nuestro enfoque abarca tanto la recuperación como la prevención de nuevos ataques.

– Supongo que tenéis clientes que os contactan después de sufrir un ataque. ¿Cómo podéis ayudarles? ¿Podéis hacer la recuperación o tienen que haber sido clientes vuestros antes?

Trabajamos con aproximadamente tres o cuatro clientes cada mes que han sido víctimas de ataques en diferentes partes del mundo y que nos han buscado en busca de ayuda debido a nuestra experiencia en el tema. Aunque resulta difícil en muchos casos, podemos ayudarles a determinar cómo fueron atacados y ofrecerles asistencia en la recuperación, aunque a menudo han pasado varios días desde el ataque inicial.

Esta tipología de clientes se encuentran en una situación en la que se dan cuenta de que no pueden hacer frente al problema internamente y necesitan recurrir a ayuda externa. Realizamos investigaciones en la web y descubren que contamos con la experiencia necesaria, por lo que les brindamos apoyo en todo este proceso.

En cuanto a la recuperación, depende del tipo de ataque y si tenemos una copia de seguridad limpia, ya que muchas veces el problema radica en que el cliente desconoce cuándo fue atacado. En ocasiones, la infección inicial de ransomware o malware puede ocurrir semanas o meses antes de que se lleve a cabo el ataque, ya que los atacantes ingresan al entorno y luego realizan un proceso de investigación para buscar vulnerabilidades que les permitan llevar a cabo el ataque. Esto puede ser tanto inmediato como llevar mucho tiempo.

Por lo tanto, si tenemos una política de guardar copias por cierta cantidad de tiempo, pero el ataque comenzó antes y no contamos con ninguna copia limpia, será muy difícil realizar la recuperación. Sin embargo, si tenemos alguna copia que no haya sido infectada, en ese caso podríamos tener éxito, pero esto depende de varios factores.

– Entiendo que el recovery no tiene que ser del 100%. Si observas que en todas las copias de seguridad la vulnerabilidad es la misma, te quedas con el 90% que está limpio y cierras esa brecha. ¿Podría funcionar de esa manera?

Depende de qué tan ofensivo sea el ataque. En muchos casos, por ejemplo, hemos trabajado con clientes a nivel global que tenían una copia a nivel global, la cual estaba limpia. Esto se debía a un fallo de electricidad en una localidad en particular, donde el servidor se desconectó y no tenía conexión para detectar el malware que afectó a todos los otros entornos. Fue gracias a esa copia en un país donde tenían una presencia muy pequeña que se logró salvar básicamente el entorno de la compañía a nivel global. Sin embargo, fue cuestión de suerte, ya que de no ser por eso, habrían tenido que empezar desde cero.

– Tener un servidor inactivo y desconectado para evitar la infección, y una vez que hayas verificado que está libre de amenazas, vuelves a ponerlo en línea. ¿No podría ser una solución alternativa?

Bueno, nos enfrentamos a dos desafíos. En primer lugar, es difícil determinar cuándo comienza un ataque. Y en segundo lugar, hay tantos cambios diarios en el directorio activo que, si tenemos que recurrir a una copia antigua, es posible que podamos recuperarla, pero el entorno no será el mismo y pasaremos muchos días realizando los cambios necesarios para que los sistemas funcionen correctamente, ya que los cambios en los permisos no estarán reflejados. Por lo tanto, aunque tengas un entorno recuperado, muchas cosas no funcionarán como antes. Hemos dedicado mucho tiempo a realizar todos los cambios para que la versión actual que tienes sea similar a la versión anterior al ataque, con las mismas características.

Sin embargo, cuanto más grande es la compañía, más cambios se realizan, lo que significa que el problema no se limita solo a la seguridad, sino que también afecta la productividad. Lo que recuperamos no es exactamente lo que teníamos antes del ataque, lo que dificulta mucho el funcionamiento. Además, es posible que el personal nuevo en la compañía no tenga acceso, o si alguien ha cambiado de departamento, puede que no tenga acceso a los recursos necesarios. Entonces, terminamos pasando demasiado tiempo tratando de hacer todos los cambios necesarios para volver al estado anterior.

– ¿Todos los clientes quieren una temporalidad diaria, horaria o semanal?

Sí, los clientes pueden elegir la frecuencia que deseen para las copias de seguridad en su entorno. En el caso de clientes pequeños, puede ser cuestión de minutos, mientras que para otros clientes puede ser cada 30 minutos o cualquier otro intervalo de tiempo. Lo bueno es que nuestras copias de seguridad se limitan a hacer una copia del directorio activo, es decir, de la infraestructura de identidad. Siempre se puede recurrir a la última copia de seguridad realizada, la cual contendrá todos los cambios registrados. Incluso si esa copia se hizo cuando había malware en el sistema, debido a que separamos las identidades del sistema operativo, siempre se puede confiar en la última copia y no es necesario retroceder en busca de una copia limpia, ya que todas las copias estarán limpias al separar la infraestructura de identidad del directorio activo y los archivos del sistema operativo de Windows.