La crisis de suministro de microchips está afectando a toda la economía mundial. ¿Cuáles son…
¿Se puede establecer un entorno ciberseguro?
Lo que antes eran casos puntuales ahora se han vuelto cotidianos. Basta darse una vuelta por cualquier periódico no especializado de todo el mundo para descubrir que grandes empresas, multinacionales y organismos públicos supuestamente diseñados a prueba de cualquier ciberataque como el Pentágono, están sufriendo constantes amenazas. Según la ONU, cada 39 segundos se produce un ataque exitoso, lo que da cuenta del problema al que nos enfrentamos. Por eso no es de extrañar, que como se afirma en un estudio realizado por Byte TI, tres de cada cuatro responsables de tecnología y CIOs de grandes empresas consideren que las mayores inversiones que deben hacer sus empresas han de estar relacionadas con la ciberseguridad. Y no es para menos, los ataques son cada vez más sofisticados y peligrosos y como asegura Miguel López, director general de Barracuda Networks, “el riesgo es grave y evidente. Todos los días asistimos a ataques que se suceden tanto en el sector público como privado y en todo tipo y tamaño de organismos. Los ciberdelincuentes se rigen simplemente por un criterio de optimización del beneficio y atacan en todos aquellos sectores en los que les es posible hacerlo”.
La situación es preocupante, toda vez que además de los tradicionales ciberdelincuentes, cada vez hay más grupos extorsionadores, bandas terroristas o incluso estados detrás de cada uno de esos ciberataques. La realidad es que las empresas, organismos públicos y la población en general están expuestas a más riesgos que hace unos años, pues la superficie de ataque se ha ampliado. A esto han contribuido avances tecnológicos como la nube o el IoT, así como prácticas tales como el teletrabajo, que han permitido que los límites del perímetro de la empresa se difuminen.
Guillermo Fernández, Manager Sales Engineering de WatchGuard es tajante: “Por supuesto que los riesgos se han incrementado, ya que el trabajador tiene que hacer frente a más peligros y en muchos casos no cuenta con herramientas de defensa. Pensemos por ejemplo, en que algunos teletrabajadores se conectan desde sus ordenadores personales y la organización/administración pública no tiene forma de saber si ese equipo cuenta con una solución de protección del endpoint instalada. Puede darse el caso de que ese empleado se conecte a la red corporativa y su equipo esté infectado… las consecuencias pueden ser terribles para la empresa u organismo. Pensemos en los últimos casos de ataques de ransomware a entidades como el SEPE, la Universidad de Castilla La Mancha, empresas como The Phone House, etc.”.
La situación es preocupante y, cada vez más, establecer un entorno ciberseguro es muy difícil
El coronavirus que ha afectado a todo el mundo tiene su homólogo en el mundo virtual, aunque en este caso, el número de cepas, variantes y mutaciones es infinitamente mayor. Estamos en una situación en la que ni siquiera el Pentágono está seguro, con ciberdelincuentes que ya no sólo quieren obtener dinero, sino que atacan para hacer daño o noquear al enemigo, como en el caso de SolarWinds. Las empresas y organismos no tienen más remedio que incrementar su inversión en ciberseguridad, una inversión que, además, tiene que ser constante. Esto ya no va de comprar una determinada solución. Son necesarias la inversión, la formación continua y las actualizaciones constantes. Porque los ataques, además, ya no van al corazón. Pueden aparecer por cualquier parte, y sobre todo, desde los dispositivos móviles. “Debido a la creciente movilidad en las empresas, cada vez existe una mayor penetración de dispositivos móviles y, por tanto, mayores riesgos. Las compañías se encuentran ante el gran reto de proteger el hardware y software de sus terminales, y cada vez es más necesario tener una única solución integral que ofrezca la máxima seguridad: desde la etapa de producción con la implementación de la seguridad en el hardware, hasta la integridad del software y las aplicaciones. Por lo tanto, son necesarias soluciones de seguridad que realicen las comprobaciones necesarias desde que se inicia el sistema y durante su tiempo de ejecución”, señala Isabel López, B2B Solutions&Services Manager de Samsung.
Los principales riesgos
Son muchos. La variedad de ataques es cada vez mayor. Las técnicas también son múltiples y el número de ciberdelicuentes se incrementa. Ataques de denegación de servicio, phishing, rasonware, troyanos, suplantación de identidad… pueden añadir todos los que se le ocurran. Seguro que le salen más de diez. Los expertos, de hecho, no se ponen de acuerdo en dónde se encuentran los principales riesgos, lo que da una idea de la peligrosidad del momento. Por ejemplo, Aitor Jerez Director Comercial de Sarenet cree que “la mayor pesadilla sigue siendo el secuestro de datos, pero no son los únicos riesgos que afrontan. En un entorno en el que todo se conecta con todo, las superficies de ataque han crecido exponencialmente. Los últimos años se han desarrollado medidas para minimizar los riesgos a sufrir un ciberataque pero casi siempre atendiendo a entornos de IT. En la parte de OT aún hay mucho que hacer para alcanzar el mismo nivel. Las plantas de fabricación se han convertido en entornos muy críticos con la interconexión de sus activos y deben remodelarse para minimizar riesgos y permitir habilitar de forma segura nuevas tecnologías en su camino de la digitalización”.
En lo que coinciden la mayoría es que el mundo ha cambiado de tal forma que las técnicas defensivas de hace unos años ya no valen. El tradicional perímetro ha caído y las conexiones desde diferentes ubicaciones y desde distintos dispositivos hace que la ciberdefensa sea cada vez más compleja. En este sentido, Jose Luis Laguna, Director Systems Engineering de Fortinet afirma que al no existir un perímetro definido, la superficie del ataque se ha expandido, lo que complica la protección de todos los puntos de entrada a la red. En el último año, el teletrabajo ha supuesto una ventana de oportunidad para los ciberatacantes, al acceder a la red corporativa desde dispositivos que muchas veces no están contemplados dentro de las políticas de seguridad de las organizaciones, lo que les ha convertido en un blanco perfecto”.
Y es que, esta nueva forma de trabajar con la que nos ha obsequiado el coronavirus ha traído consigo un incremento de los riesgos. Sobre todo al inicio de la pandemia, cuando millones de trabajadores tuvieron que adoptar la fórmula del teletrabajo para que la productividad empresarial se viera lo menos afectada posible. En ese momento, las conexiones externas se dispararon y muchas de ellas, no contaban con las mínimas garantías de seguridad. ¿Que sucedía si un portátil particular, de los que se utilizaron muchos al principio del confinamiento, estaba infectado y accedía a la red empresarial? En realidad se puede asegurar que bastante poco ha sucedido, posiblemente porque a los ciberdelicuentes el Covid también les pilló con el paso cambiado porque los desastres podían haber sido muy numerosos, sobre todo si se tiene en cuenta que la mayoría del personal no ha sido debidamente formado para, al menos, detectar un correo malicioso. Para Chester Wisniewski, investigador principal de Sophos, este es uno de los principales riesgos que están corriendo las empresas: “El mayor riesgo a la que se enfrentan las empresas en la mayoría de las ocasiones es la fata de preparación y previsión en cuanto a su seguridad. Cada vez se le está prestando más atención a la seguridad porque estamos viendo más ataques que son cada vez más dañinos también, pero sigue habiendo muchas compañías que tienen una protección precaria que nos les protege 100% en el caso de un ciberataque importante real. Contar con la tecnología y con equipos que la administran de forma generalizada desde las TI de las empresas ya no es suficiente, dado que el nivel de sofisticación y las herramientas que usan actualmente los ciberdelincuentes requieren que haya equipos y expertos en ciberseguridad rastreando las redes para identificar comportamientos sospechosos y evitar realmente un ataque”.
El uso masivo de herramientas de colaboración y de reuniones también representa un hándicap respecto a la ciberseguridad
Es casi la misma opinión de Antonio Martínez, Head of GRC and Cibersecurity de Audea pare quien “la apertura de las redes y/o las aplicaciones, por ejemplo, para dar acceso a los empleados a los sistemas y servicios corporativos, o el desarrollo del trabajo en redes domésticas o inseguras, no controladas por la organización, son uno de los principales riesgos. El uso masivo de herramientas de colaboración y de reuniones también representa un hándicap respecto a la ciberseguridad. Adicionalmente, los ataques de ingeniería social y suplantación de identidad, principalmente Phishing (Correo), aunque existen otros por ejemplo Smishing (SMS) o Vishing (Llamada de voz) representan algunas de las mayores preocupaciones para una organización, por las peligrosas consecuencias en forma de fuga y/o cifrado de la información”.
SolarWinds rompió esquemas
Ataques como el de SolarWinds, han cambiado la forma en la que se entiende la ciberseguridad por el modus operandi. La técnica empleada en este caso ya era conocida, pero con Solarwinds se dio un paso más. Antes de Solarwinds ya existían ataques a la cadena de suministro. Lo que hace distinto a este ciberataque se encuentra en la sofisticación. Y es que, los ciberdelincuentes lograron entrar en la red interna de SolarWinds y alteraron varias versiones de su solución Orion para añadir el malware Sunburst. Ese malware se encontraba en todas las actualizaciones publicadas entre marzo y junio de 2020, y lo que es más grave, ningún cliente de SolarWinds se dio cuenta (o al menos no informó) de su existencia hasta que no transcurrieron nueve meses. De hecho, no fue hasta el 15 de diciembre cuando SolarWinds lanzó una nueva versión de Orion que pudiera hacer frente al ataque. El problema es que no sólo estaba Sunburst. Este malware no es complejo ni particularmente agresivo, pero fue el encargado de recopilar la información que permitía a los atacantes seleccionar los clientes objetivos que consideraban más interesantes: organismos gubernamentales norteamericanos y empresas como Microsoft o FireEye.
La clave se encuentra en que Sunburst permitía escalar las infecciones a una segunda etapa, en la que se despliega otra cepa de malware llamada Teardrop que a su vez se emplea para desplegar balizas Cobalt Strike que permiten acceso remoto persistente a los dispositivos comprometidos y que pueden ser empleadas para implementar todo tipo de cargas útiles, como ransomware o keylogger, en la red comprometida. Este es el ataque y este ha cambiado la estrategia de seguridad de las compañías y de las AAPP. Pero lo que es más grave es que para lanzar un ataque de tal sofisticación se necesita algo: dinero, mucho dinero y personal, mucho personal. Así que todo apunta a que un estado está detrás de un ataque como éste. En este caso, la Rusia de Putin. Tal y como afirma uno de los mayores especialistas en ciberseguridad como Luis Corrons, Security Evangelist de Avast, “del mismo modo que las tecnologías de seguridad evolucionan, también lo hacen los ciberataques, especialmente en el caso de los ataques promovidos por un Estado, como el de Solarwinds. Estos atacantes tienen más recursos a su disposición, lo que significa que sus métodos de ataque son mucho más avanzados, lo que crea nuevas olas de interrupción masiva”.
Este ciberataque representa el paradigma de lo que está por venir. Y no pinta nada bien: un ciberataque puede bastar para destruirnos a todos. Daniel González, Senior Sales Manager de Ivanti, cree que “es obligatorio tomar este caso como uno de los primeros por el modus operandi, pero,desde luego no será el último. De hecho, ha sido clasificado como “el mayor y más sofisticado de la historia”. Los ciberdelincuentes cada vez son mejores a la hora de encontrar la mejor vía para controlar cualquier sistema. En este caso, la actualización de un software muy utilizado, donde se “coló” el software atacante, que permite a los ciberdelincuentes tomar el control del sistema. Este tipo de ataque podría ocurrir a cualquier fabricante que no controle al más alto nivel sus procesos de producción, actualización o renovación de sus productos”.
En quién confiar
En nadie. El malware se puede encontrar en cualquier lugar, incluso en aquellas actualizaciones que parecen confiables. Así que, mejor dudar de todo. Es lo que se pretende con la filosofía Zero Trust, un término de principios de la década pasada y que, establece que hay que dudar de cualquier intento de acceso a la red que se produce. Zero-Trust asume que los usuarios y los datos pueden estar ubicados en cualquier lugar, en el servidor empresarial o en la nube. Y todos ellos, tanto los que están dentro del perímetro como los que se encuentran fuera, son susceptibles de realizar un ataque y por tanto, no se puede confiar en ellos de una manera predeterminada. La ventaja de esta estrategia es que, en principio, el departamento de ciberseguridad tiene el control sobre los datos de la organización lo que hace que en el supuesto de que aparezca una brecha se puede detectar con precisión cuándo se ha accedido a esos datos y saber si han sido manipulados. El portavoz de Ivanti considera que “esta filosofía se debería aplicar a todo el proceso de creación y actualización: desde el uso de micro-códigos, las API, los lenguajes de programación por objetos, etc. Nunca debemos confiar por defecto en nada. Siempre hay que comprobar todo, varias veces, por diferentes equipos. De esta forma, tendremos más garantías”.
En teoría debería solucionar el problema, pero Miguel López de Barracuda afirma además que, “a día de hoy, la única herramienta viable para sortear este tipo de ataques es la de implementar soluciones tecnológicas capaces de verificar la integridad y seguridad de la cadena de suministro de software de manera continua como las incorporadas en Barracuda WAF CAP 2.0. Las aplicaciones web son muy complejas y cada vez más requieren utilizar fragmentos o piezas de software externo para poder desarrollarse con las prestaciones y funcionalidades requeridas. Incluso si comprobamos la cadena de suministro de software en un día concreto, ello no implica que, en un momento dado, horas o días después esas piezas de software no puedan haber sido comprometidas. Así se hace ineludible establecer medidas de seguridad que comprueben la integridad y seguridad de nuestras aplicaciones web incluso en el lado cliente de forma exhaustiva, automática y continuada”.