El mundo está sometido a cambios radicales y veloces que sitúan a las organizaciones ante la encrucijada de la innovación. Estos cambios se han vuelto más notables a raíz de la pandemia de coronavirus y la transformación de la sociedad en los dos últimos años. Un área en la que deben invertir tanto entidades privadas como instituciones públicas para seguir siendo competitivas es la ciberseguridad.

Y es que la ultradigitalización de los procesos, la llegada del trabajo remoto y la inestabilidad geopolítica, junto a la creciente complejidad de las infraestructuras tecnológicas y la profesionalización de los ciberdelincuentes, demuestran que las políticas de protección empresariales necesitan entrar en una nueva fase para funcionar. Los negocios están hoy más expuestos que nunca.

Las compañías deben adoptar enfoques como Zero Trust o la confianza cero y estrategias como la detección y respuesta en los terminales (EDR). Para garantizar la continuidad, tienen que aprender a afrontar ataques de ransomware, robos de información desde fuera y dentro de la organización, deepfakes, doxing, suplantaciones de identidad y crisis provenientes de la cadena de suministro. De lo contrario, las consecuencias para su actividad serán desastrosas.

Silicon Security Day 2022 de NetMedia Group, un evento 100 % virtual, ha reunido a representantes de compañías tecnológicas como Everbridge, Bitdefender, Sophos, Broadcom, HP, Check Point, IaaS365, SonicWall, Tenable.ad, Kaspersky, Veeam, Citrix, Ivanti y CyberArk. Todos ellos conocen los retos a los que se enfrentan los responsables de ciberseguridad y tecnología. Y, juntos, dan respuesta a los principales desafíos de la era digital.

El encuentro, que tiene por lema “Resiliencia, continuidad y seguridad para una nueva era de innovación”, pone de relieve las amenazas más importantes de la actualidad gracias a voces expertas en tecnología y seguridad, que también aportan claves para la protección de las operaciones. Lo primero es concienciar para, a continuación, ser capaces de actuar con solvencia.

Reducir el tiempo de actuación durante una crisis

Al abordar las funciones de seguridad, las empresas tienen que cambiar su forma de pensar. No deben plantearse ya si van a ser atacadas o si conseguirán mantenerse a salvo de las acciones de los ciberdelincuentes. La cuestión ahora es cuándo recibirán ese ataque, porque todas ellas, con independencia de su tamaño y sector de actividad, se encuentran en el punto de mira de hackers malintencionados. Y, por tanto, deberían trazar un plan de acción para salir victoriosas en caso de ataque.

José Manuel Villanueva, Sales Manager de Everbridge para España, Portugal y Latinoamérica, detalla cómo hay que actuar ante una crisis tecnológica, incluyendo la coordinación entre los diferentes “resolvedores” y la interacción con los procesos y las aplicaciones adecuadas. “El primer paso importante que tienen que dar” las organizaciones afectadas por un ataque, indica, “es cortar las comunicaciones” para evitar la propagación del malware. Esto significa que hará falta “una plataforma externa” para gestionar el caso y “reducir drásticamente los tiempos de actuación”, incluyendo la localización automática de las personas encargadas de la resolución.

Hacia soluciones avanzadas de detección y respuesta

Los ataques registrados en fechas recientes demuestran que las herramientas que muchas empresas han estado desplegando durante buena parte de su trayectoria, basadas en una protección fuerte a nivel del perímetro y la clásica solución antivirus, tienen sus limitaciones. El ransomware que secuestra equipos y pide el pago de un rescate a cambio de su liberación, al igual que otras campañas de delincuencia avanzadas, dirigidas y muy evasivas como spear phishing, whaling, fraude del CEO, troyanos y criptojacking, pasan por debajo del radar de los productos de seguridad tradicionales.

Así lo advierte Sergio Bravo, Sales Director de Bitdefender en Iberia, que hace un llamamiento a la modernización a través de soluciones capaces de fomentar la visibilidad y la posibilidad de investigación para detectar los ataques más sofisticados y responder a su presencia. Las soluciones EDR pueden ser una buena opción, sin olvidarse de alternativas como XDR para la detección y respuesta extendidas y MDR para la detección y respuesta gestionadas. Cada uno de estos servicios tiene sus ventajas. La clave está en elegir el que mejor se adapte a las necesidades particulares del momento.

¿Qué es un EDR? ¿Y un XDR?

Iván Mateos Pascual, Sales Engineer de Sophos Iberia, también ha aprovechado su presencia en el Silicon Secuerity Day 2022 para hablar de las soluciones EDR y XDR y algunas capacidades de utilidad para los entornos empresariales, como la protección híbrida que resulta de sumar recursos legacy, desde las firmas al control web, y soluciones de próxima generación, como el antirransomware, el antiexploit, el antihacking o el deep learning. Las detecciones con tecnología de inteligencia artificial facilitan los análisis de seguridad y permiten encarar las amenazas con actitud proactiva.

El EDR tiene que “contemplar los diferentes puntos de entrada” por los que puede recibirse un ataque. Por ejemplo, los fallos de software, el extravío de un dispositivo de almacenamiento o el envío de adjuntos por correo electrónico. Y, sobre todo, ofrecer capacidades de análisis, monitorización, detección temprana e investigación. Mientras, el XDR ofrece información adicional y, tal y como explica, Mateos, permite “hacer consultas a un PC, a servidores, a móviles, a email, a herramientas cloud”. Las compañías también pueden aprovechar los servicios MDR 24/7 comandados por equipos de expertos en seguridad, incluyendo la respuesta ante incidentes.

Un enfoque cloud-first centrado en los datos

Si los tiempos cambian, los negocios tienen que cambiar con ellos. Entre los avances que traen aparejados desafíos para la seguridad se encuentra la incesante adopción de plataformas de cloud computing para todo tipo de tareas profesionales. Las empresas configuran un entorno acelerado por la nube en el contexto de transformación digital, en el que el perímetro de seguridad ya no existe. La información sensible que manejan estas organizaciones viaja y termina residiendo en almacenes privados, en la nube público o en servicios SaaS, entre otras posibilidades.

Esta nueva realidad obliga a establecer prácticas de ciberseguridad preparadas para soportar las típicas infraestructuras de TI y, además, centrarse en los datos, permitiendo evolucionar desde el actual contexto on-premise a una completa extensión de los servicios cloud. Rufino Honorato, CTO de Broadcom Software para el sur de Europa, insiste en esta necesidad. Cabe recordar que ya existen herramientas que permiten trabajar con un enfoque cloud-first basado precisamente en la seguridad del dato.

Aislamiento, el siguiente paso en protección

Resiliencia y confianza cero son dos grandes paradigmas que resuenan con fuerza en el ámbito empresarial, donde el binomio detección y respuesta no basta por sí solo, sino que requiere mayores soluciones con un carácter proactivo. Carlos Manero, que desempeña las tareas de Digital Services Business Development Manager en HP, plantea tres preguntas iniciales a las compañías: ¿realizas campañas de concienciación?, ¿tienes quejas de la experiencia de usuario respecto a las soluciones de seguridad? y ¿usas el aislamiento como método de protección en el dispositivo?

Esto último, la tecnología de aislamiento, es clave. Permite adaptarse a “cualquier casuística”, “ser funcionales con el resto de soluciones” existentes y “acercarnos al estado y al problema que tienen a día de hoy las organizaciones”, dice Manero, que hace referencia al teletrabajo masivo. “Este cambio a un modelo de trabajo híbrido nos ha traído desde el ámbito de ciberseguridad más problemas que soluciones”, ya que “estamos viviendo un incremento en el número de ataques nunca antes visto”. Las compañías deben responder con soluciones que actúen ante vulnerabilidades conocidas y desconocidas para “proteger, detectar y recuperar”.

En busca de la ciberdefensa sin límites

La protección es una necesidad universal frente a los incesantes ataques cibernéticos. Con frecuencia, las compañías se ven tentadas a responder agregando múltiples herramientas de seguridad a sus entornos. La suposición detrás de esta maniobra es que la adición de una medida tras otra ayudará a proteger mejor las redes corporativas y los datos confidenciales. Pero ¿es cierto? ¿Hay una base fundamentada para agregar distintas soluciones o simplemente se consigue entorpecer la defensa, con un impacto final negativo en la seguridad?

Esta duda la resuelven Eusebio Nieva, Technical Director de Check Point Software en España y Portugal, y Miguel Ángel Arroyo, director del área de Ciberseguridad de IaaS365, que han compartido charla en el Silicon Security Day. La realidad es que los ciberataques de quinta generación han llegado para burlar los métodos de seguridad basados en la detección estática y la reactividad. Las amenazas actuales requieren de una visibilidad de 360 grados para mantener el control en todo momento y frenar los problemas de carácter más avanzado y desconocido.

Los ataques de nueva generación son todos aquellos que están utilizando los cibercriminales para intentar entrar en las empresas sin que exista un único vector de infección, tal y como advierte Eusebio Nieva. “No es un ataque de una única fase: te ataco, tomo control de tu ordenador, lo cifro y se acabó”, explica. Los atacantes entran en un ordenador “y, a partir de ahí, buscan la expansión dentro de la red” y “la escalada de privilegios”, aplicando “diferentes técnicas” hasta “tumbar absolutamente toda la organización”.

A esto Miguel Ángel Arroyo añade que “la ciberdelincuencia se ha profesionalizado mucho” y “mueve más dinero que el tráfico de armas o de drogas”, lo que le permite “disponer de recursos” cuantiosos para desarrollar “herramientas muy avanzadas que van a poder evadir incluso ciertos mecanismos de seguridad” y dificultar su detección por parte de las organizaciones. Además, “tienen más tiempo y el ataque es mucho más dirigido” que en épocas pasadas, cuando se buscaban campañas de corte masivo.

Ciberseguridad en tiempos convulsos

Una de las grandes amenazas a las que se enfrentan las compañías tiene que ver con el cifrado SSL en las comunicaciones a través de internet. Cada vez hay más amenazas que utilizan esta autopista de entrada para poner en riesgo los activos más preciados de las organizaciones. Para más inri, se ha demostrado que los firewalls por sí solos poco pueden hacer para paliar este tremendo problema y mucho menos para evitarlo. El panorama de defensa “se ha complicado” y “todo en ciberseguridad va a peor”, según SonicWall. Ante esto, ¿qué pueden hacer los responsables de seguridad?

En opinión de Sergio Martínez Hernández, Country Manager de esta compañía en Iberia, armar “una defensa por capas” es el remedio para recuperar el control. “Hemos creado una gran explosión de la superficie de exposición”, con un “gap entre los recursos que tenemos actualmente” y “lo que realmente necesitamos”, dice Martínez. “Lo que hay que hacer es reforzar el endpoint”. Como pocas entidades realizan la gestión de certificados, “al firewall hay que darle más habilidades” para “inspeccionar el tráfico” con inteligencia en tiempo real, obtener “visibilidad central”, detectar malware desconocido y acceder en remoto con garantías de seguridad.

Proteger el AD frente al ransomware

Otra de las amenazas por excelencia es el ransomware. El número de ataques de ransomware a empresas de todo el mundo ha aumentado durante los últimos años de modo exponencial, así como su impacto en la actividad y el coste a nivel financiero y reputacional. Los métodos convencionales de seguridad no están funcionando como freno. Y ahora el Directorio Activo (AD, por sus siglas en inglés) de Microsoft se ha convertido en el gran vector de ataque para el secuestro de datos y de sistemas informáticos en general, y en la piedra angular a proteger.

Las amenazas se recrudecen y los negocios tienen que trascender el enfoque reactivo. Jesús Barrajón González, Territory Manager para España y Portugal de Tenable.ad, advierte de que tras casi todas las brechas de seguridad hay un AD inseguro. Los ciberdelincuentes se enfocan en sus servicios porque “ahí está toda la información sensible”, como las contraseñas. “Además”, apunta Barrajón, “es una infraestructura que va evolucionando con el tiempo y llega un momento que se hace inmanejable”. A esto hay que sumarle que tiene más de veinte años de historia, es un elemento extendido de empresa a empresa y los maleantes “conocen perfectamente cómo atacarlo”.

Seguimiento, análisis, interpretación y mitigación de amenazas con inteligencia

Las artimañas empresariales tienen que dejar atrás antiguos trucos y desarrollar todo su potencial, porque los ciberdelincuentes ya han aprendido a sobrepasar las barreras tradicionales. Durante mucho tiempo se pensó que tener una estrategia pasiva en la que se protegía el perímetro de la red y las estaciones de trabajo era suficiente para vencer a los criminales. El tiempo lo ha complicado todo. Ahora se necesitan nuevos métodos de protección frente al malware, preferiblemente basados en la inteligencia.

Generar esta inteligencia requiere dedicación constante y altos niveles de experiencia, tal y como señalan Pedro Jorge Viana, Head of Presales de Kaspersky Iberia, y Javier Sanz, Presales Manager de la misma entidad especializada en seguridad. Con petabytes de datos de amenazas para extraer y un conjunto exclusivo de expertos a los que consultar, desplegados alrededor de todo el planeta, compañías como la suya trabajan para ayudar a las organizaciones a mantener un alto valor de inmunidad ante los ciberataques.

La inteligencia de amenazas permite a las empresas “conocer a su enemigo”, apunta Pedro Jorge. Así pueden saber qué es lo que está ocurriendo, cuáles son las tácticas y “qué tipo de ataques se están ejecutando actualmente” en el mundo real, ganando capacidad para prepararse mejor y optimizar los recursos. Al tener información sobre lo que hacen los delincuentes, podrán “direccionar la inversión a lo más adecuado en ese momento y, así, evitar un mayor riesgo de exposición”.

“No todas las empresas tienen capacidad para dedicar mucho tiempo a la seguridad e invertir recursos”, observa Javier Sanz. Pero ya existe tecnología de análisis en el mercado que les ayudará a obtener “una segunda opinión”. Este experto recomienda a las organizaciones “trabajar más de una manera proactiva”. Si usan inteligencia de amenazas y la acoplan “a toda la seguridad perimetral, a los diferentes dispositivos y sistemas”, darán un paso de gigante a nivel de protección.

Mejores prácticas para backup en la nube híbrida

El entorno laboral hoy en día no es únicamente cloud. Más bien es multicloud. La mayoría de las organizaciones, ya sean empresas de tamaño pequeño o mediano, grandes corporaciones, instituciones del sector público o cualquier otra entidad intermedia forman parte del nuevo colectivo de compañías híbridas, que combinan el trabajo en la oficina con las conexiones en remoto desde cualquier lugar. Son compañías que se benefician de la mezcla de culturas y, al mismo tiempo, deben hacer frente a desafíos como la propiedad y el control de los datos.

Otro reto tiene que ver con las copias de seguridad. Víctor Pérez de Mingo, Senior Systems Engineer en el equipo de preventa de Veeam para España y Portugal, analiza las tendencias de la tecnología de nube y las complejidades del backup en este escenario cambiante, incluyendo mejores prácticas para conseguir copias de seguridad a prueba de balas que sean fáciles de administrar. Lo ideal es realizar tanto “el backup de todas las cargas de trabajo que nos quedan on-premise como de todas aquellas que ya estamos moviendo a la nube”.

Recuperando el control de la ciberseguridad

Durante su intervención en el evento de NetMedia sobre seguridad, Nuno Silveiro, AD&S Sales Specialist para Citrix en la parte occidental y sur de Europa, que está enfocado en soluciones de red y nube, ha contado cuáles son los retos empresariales tras la pandemia para lograr un entorno de ciberseguridad controlado y cómo proteger a usuarios, dispositivos y datos en la multinube ante unos hackers cada vez más activos. Esto implicaría ir un paso más allá en Zero Trust.

Ahora “hay muchas más amenazas”, que “vienen de todos los lados”, detecta Silveiro. “Las tecnologías han evolucionado, pero las personas dentro de las organizaciones que las tienen que gestionar siguen siendo las mismas”. En muchos casos, las plantillas de expertos han crecido a menor ritmo que las propias amenazas de seguridad… y esto genera un problema. Para revertir la situación hay que asegurar la navegación online, garantizar la identidad del usuario y monitorizar la estrategia de confianza cero. En cuanto las aplicaciones, es necesario poner un “sobrecapa”.

Defenderse de Pegasus es posible

Pegasus se ha convertido en uno de los nombres propios del mercado de la seguridad en 2022 al atacar a figuras de calibre político y gubernamental y acaparar titulares en los medios de comunicación y en las sesiones del Congreso de los Diputados. Alberto Algarra, Sales Specialist UEM/Security en Ivanti, analiza los entresijos de este spyware tipo RAT y enseña cómo defenderse de sus acciones con ayuda de una herramienta certificada por el Centro Criptológico Nacional (CCN).

“El objetivo de este tipo de spyware es el alto ejecutivo, el ministro, el presidente… gente que, normalmente, lo que más utiliza es iPhone”, explica Algarra, aunque sin olvidarse de la popular plataforma Android. Y, para salirse con la suya, “utiliza las vulnerabilidades” existentes en el sistema operativo al que se dirige o a sus aplicaciones “para atacar y para coger el control de ese dispositivo”. El peligro de Pegasus radica en que “detrás hay inversión”. Una compañía legal desarrolla ese software de espionaje y dedica gente a investigar “cómo mejorarlo” a través de versiones avanzadas.

La identidad como columna vertebral del Zero Trust

Albert Barnwell, que lidera el desarrollo comercial para Iberia de CyberArk, como Sales Manager, ha desgranado durante su discurso las bondades del Zero Trust como refuerzo de la seguridad empresarial. Esta filosofía parte de la base de que cualquier identidad con acceso a las aplicaciones y sistemas corporativos, ya sea una persona o una máquina, puede verse comprometida por terceros. Esto implica que lo más inteligente es desconfiar por defecto de cualquier conexión y no conceder permisos innecesarios.

La mentalidad de “asumir la brecha” que lleva implícito el trabajo en seguridad requiere vigilancia y la protección de las identidades. Al entender esta seguridad de las identidades como la columna vertebral del enfoque de confianza cero, los equipos responsables de la protección empresarial pueden dedicarse a identificar, aislar y detener las amenazas antes de que pongan en peligro cuentas de usuario y obtengan privilegios que no le corresponden. Esto es, antes de que puedan causar daños reales.