Lecciones aprendidas que nos permitirán aumentar el nivel de protección empresarial

También puedes leer... Todo sobre Spectre y Meltdown SecOps a examen Los mitos de las Brechas de Seguridad La creación de un SOC Cómo utilizar la Dark Web

Repasamos con Panda Security seis cosas que deberíamos haber aprendido en 2017 para aplicarlas en 2018 para incrementar la protección de las empresas.

1. La respuesta a los incidentes es tan importante como su prevención
Los expertos de Panda Security revisan dos casos sonoros de empresas que sufrieron ataques por parte de los ciberdelincuentes que dieron como resultado el robo masivo de datos.

Uno de los sucesos en el entorno de ciberseguridad más importante del año pasado fue el incidente de Uber, que ocultó que los datos de 57 millones de usuarios fueron pirateados a finales de 2016. Tal y como reconoció el director general de Uber, los criminales se descargaron una base de datos de servidores usados por Uber con información personal de los usuarios (nombre, email y número de teléfono) y los datos de 600.000 conductores en Estados Unidos. Para evitar que el ataque saliera a la luz, la compañía pagó a los hackers 100.000 dólares (alrededor de 85.000 euros).

Asimismo, el ciber robo a Equifax supuso el mayor hackeo de datos personales sensibles de la historia. Un grupo organizado de cibercriminales aprovechó una brecha de seguridad dentro de su aplicación web para robar información sobre 143 millones de clientes, haciéndose con sus números de seguridad social, direcciones postales e incluso números de carnés de conducir.

El hecho de no notificar la amenaza de seguridad a los usuarios expuso a Uber a acciones legales, empeorando la situación tras pagar a los hackers a cambio de silencio.  En el caso de Equifax, sus declaraciones inconsistentes sobre la vulnerabilidad que fue explotada por los hackers y la falta de compromiso con sus consumidores tras el ataque demuestran una profesionalidad poco recomendable. Para evitar situaciones como estas, es necesario que las actualizaciones de seguridad formen parte de tu estrategia empresarial y que la notificación a las autoridades sea el primer paso a seguir. Además, el caso de Uber aporta otra lección: hemos de evitar compartir credenciales en código para dar acceso automático y vigilar dónde lo compartimos. Esta mala práctica permitió el acceso a los hackers, que consiguieron las credenciales gracias al código que desarrolladores de Uber publicaron en Github.

2. Los ataques no son solo cuestión de malware
La compañía recuerda que no todo es ransomware. En la modalidad de ataques malwareless, cada vez más extendida, los ciberatacantes asumen la identidad del administrador tras haber conseguido sus credenciales de red gracias a herramientas no maliciosas del equipo informático de la empresa. Este ataque carente de malware será tendencia en 2018 así que aprender de estos casos podrá evitar estragos.

PandaLabs detectó un caso en el que los atacantes ejecutaban las Sticky Keys para colarse por la puerta de atrás, accediendo al equipo sin necesidad de introducir las credenciales. Este acceso remoto luego puede ser monetizado generando tráfico online que poder vender a páginas de terceros o subastando el acceso a las máquinas comprometidas. Otro ejemplo es el aprovechamiento de Powershell para el minado de criptomonedas.

Para combatir estos ataques, debemos cazar las amenazas con  herramientas avanzadascombinadas con métodos de Threat Hunting que demuestren el comportamiento de los usuarios en la red empresarial. Monitorizando en tiempo real y dando visibilidad a las actividades en los equipos, podemos descubrir qué herramientas legítimas están siendo vulneradas y proteger a nuestras empresas.

3. Las contraseñas seguras no tienen por qué ser difíciles de recordar
A pesar de las sugerencias de Bill Burr que durante años rigieron la política de generación de contraseñas en el entorno online, una contraseña segura no debe ser difícil de recordar. Este año aprendimos que incluso aquellas que combinan caracteres alfanuméricos, mayúsculas y minúsculas, y caracteres especiales resultan  predecibles para un software que busca entrar a nuestro sistema. Dado que el comportamiento humano es previsible, los algoritmos informáticos permiten que los cibercriminales detecten debilidades y patrones, y con ellos logran descifran nuestras contraseñas.

En 2017 hemos presenciado un cambio radical en las recomendaciones del National Institute of Standards and Technology (NIST) para crear una contraseña segura. Ahora debemos emplear frases compuestas con palabras aleatorias que nos resulten sencillas de recordar; de esta forma un bot o un ordenador no podrá hackearnos por medio de combinaciones. Así, la contraseña podrá seguir siendo fácilmente recordada por el usuario, pero dificultaremos que un cibercriminal consiga descifrarla.

4. El malware intenta pasar desapercibido
Otra de las enseñanzas, como señala la firma de seguridad, es la comprensión de que el malware crece de forma exponencial, ya que desde sus laboratorios han registrado más de 15 millones de ficheros de malware distintos que no habíamos visto nunca antes. Sin embargo, si repasamos las cifras, de estos ficheros registrados, el 99,10% ha sido visto solo una vez. Esto confirma que “solo una pequeña parte del total de malware está realmente extendido. Es decir, la mayoría del malware cambia cada vez que infecta, por lo que cada ejemplar tiene una distribución muy limitada e intenta siempre pasar desapercibido”, dice Panda.

Teniendo una vida limitada, el malware ataca a la menor cantidad de dispositivos posibles para disminuir así el riesgo de ser detectado. En este sentido, resulta imprescindible escoger una plataforma de ciberseguridad avanzada para reconocer y responder a los ataques en tiempo real.

5. Parchear siempre,pero con rigurosidad y método
En el caso de los parches, hay que saber qué hacer y cómo hacerlo. Sí, es cierto que parchear es esencial para proteger nuestra empresa ante un posible ciberataque, pero se debe abordar con rigurosidad. El objetivo es implementar un método de actuación acorde a las características de la arquitectura de cada empresa (sus sistemas, servicios y aplicaciones) en el que evalúen las implicaciones de dicho parcheado. Una vez tenido esto en cuenta, actuar con rapidez es fundamental. Precisamente, Equifax fue atacado por primera vez en mayo de 2017, al no haber parcheado una vulnerabilidad detectada en marzo, recuerda el especialista en seguridad.

6. No descuidar el Shadow IT
Los sistemas, soluciones y usos de los dispositivos empleados en una empresa, que no hayan sido explícitamente reconocidos por la organización, se conocen como Shadow IT. Este enemigo en las sombras representa una cantidad abrumadora de puntos ciegos para la seguridad de la empresa, ya que no podemos proteger lugares que no sabemos que existen. Según un estudio de EMC, las pérdidas anuales generadas por el Shadow IT alcanzan ya los 1,7 billones de dólares. Por tanto, es necesario diseñar políticas de uso asequibles, que cubran las necesidades de los trabajadores, evitando que recurran a soluciones no autorizadas. Además, debemos primar la concienciación en materia de seguridad y evaluar por qué los usuarios recurren a aplicaciones y herramientas no proporcionadas por la empresa, ya que podríamos descubrir métodos de mejorar los flujos de trabajo.