‘Saber dónde están todos los datos, y entender cómo se mueven y se comparten, no es una tarea sencilla’ (John Shier, Sophos)

Con motivo de la presentación del Active Adversary Playbook, hablamos con John Shier, asesor senior de seguridad de Sophos, quien entre otras cosas nos cuenta que el ransomware no es la única ciberamenaza, pero sí la más visible; que la única copia de seguridad de la que te arrepentirás es de la que no hiciste; que un programa de ciberseguridad eficaz depende tanto de las personas como de la tecnología o que, en general, no es posible defender eficazmente una empresa si se dejan deliberadamente las puertas abiertas a los atacantes.

Sophos acaba de presentar el estudio ‘Active Adversary Playbook 2022’, ¿alguna sorpresa destacable?

Una novedad relevante ha sido la aparición y proliferación de los agentes de acceso inicial (IAB, en inglés “initial access brokers”). El año pasado, los IABs se convirtieron en un actor clave dentro del ecosistema del ransomware. Estos grupos se especializan en obtener el acceso inicial a las empresas, conservar ese acceso y en vender luego a esa empresa víctima a otros ciberdelincuentes. Los IAB contribuyeron al aumento del tiempo de permanencia de los atacantes en todo tipo de empresas. Esto hace que el proceso de selección de víctimas para los delincuentes de ransomware sea mucho más sencillo. Las vulnerabilidades explotadas representaron más de un tercio de todos los accesos iniciales, a pesar los parches estaban disponibles antes del ataque. También observamos un aumento masivo en el uso interno de RDP (Protocolo de Escritorio Remoto) para movimientos laterales. Las empresas deben tomarse en serio la protección de todo el uso de las herramientas de acceso remoto, no sólo para el acceso externo.

Cada vez se invierte más en seguridad, pero los ciberataques siguen teniendo éxito. Siempre se dice que es porque los ciberataques también son más sofisticados, pero... ¿cree que se invierte en las herramientas adecuadas, que los sistemas están adecuadamente configurados...?

Una de las conclusiones que queda clara en el informe de este año es que todavía hay margen de mejora a la hora de aplicar las medidas básicas de mitigación de riesgos. Por ejemplo, no se están aplicando y priorizando adecuadamente los parches, y la adopción de la autenticación multifactor (MFA, en inglés “multi-factor authentication”) se está retrasando. Solo con estos dos factores ha sido posible que los agentes de acceso inicial (IAB) proliferen y ataquen a las empresas a gran escala. El año pasado vimos un gran abuso de las vulnerabilidades ProxyLogon y ProxyShell, así como de otras, que permitieron un acceso rápido y fácil a las redes por parte de los IAB y otros ciberdelincuentes. Además, la falta generalizada de MFA, especialmente en los servicios externos, permitió el uso de credenciales robadas o violadas para obtener el acceso inicial a las redes de las víctimas. Una vez dentro, los delincuentes tenían libertad para explorar, desplegar más malware y extraer datos debido a la falta de supervisión y detección de amenazas. Todo esto ha llevado a tiempos de permanencia más largos, especialmente en las empresas más pequeñas. Por último, todavía hay muchas organizaciones que deciden prescindir de protección en determinados sistemas. Sencillamente, no es posible defender eficazmente una empresa si se dejan deliberadamente las puertas abiertas a los atacantes.

El ransomware es el tipo de ataque más habitual, ¿es también el más peligroso? ¿Tan difícil es hacerle frente o es que las empresas están mal preparadas?

El ransomware es, sin duda, la amenaza más visible, pero también puede ser la más devastadora para una empresa. Y, como la mayoría de los ataques de ransomware están dirigidos por humanos, pueden ser muy difíciles de combatir. Por lo tanto, es necesario adoptar un enfoque de defensa por capas. La forma en que se despliegan los sistemas, los controles de seguridad que se aplican y lo que los usuarios pueden hacer si detectan una amenaza potencial son igualmente importantes. En resumen, para defenderse eficazmente del ransomware, las empresas deben aplicar la combinación adecuada de políticas, herramientas de prevención y detección, y establecer una cultura de seguridad sólida.

En el tema del ransomware, ¿qué papel juega un correcto backup?

Las copias de seguridad o bakcups son extremadamente importantes para recuperarse de un ataque de ransomware. Puede significar la diferencia entre verse obligado a pagar un rescate o no. Recordemos la regla 3-2-1 al planificar las copias de seguridad. La regla 3-2-1 sugiere tener al menos tres copias de los datos; utilizar dos tipos diferentes de medios de copia de seguridad; y mantener una copia offline, y preferiblemente en un lugar físico diferente. La única copia de seguridad de la que te arrepentirás es de la que no hiciste, y la segunda será la que no probaste.

También se menciona en el informe el reto de las vulnerabilidades mal parcheadas. ¿De que vale contar con una buena solución de seguridad si una empresa no gestiona adecuadamente las vulnerabilidades?

La explotación de una vulnerabilidad fue la segunda técnica más utilizada para acceder a una víctima. Es importante destacar que, en todos estos casos, los parches que faltaban se encontraban en servicios externos de la compañía. Como industria, a menudo instamos a las empresas a "parchear pronto y con regularidad", pero eso deja de lado la especificidad de en qué orden deben aplicarse los parches. El equipo de seguridad señalará todas los aspectos del entorno que necesitan parches, pero es el equipo de TI el que debe priorizar la aplicación de los mismos. En el caso de los servicios de acceso externo, deben estar en lo más alto de la lista de prioridades.

Sobre la exfiltración de datos, las herramientas de DLP están en el mercado desde hace años. ¿Por qué no funcionan?

El problema de muchas soluciones tradicionales de DLP es que son demasiado difíciles de implementar, mantener y administrar. También pueden ser demasiado fáciles de eludir. Saber dónde están todos los datos, incluidos los generados de forma dinámica, y entender cómo se mueven y se comparten no es una tarea sencilla. Y la aplicación se vuelve problemática cuando eludir un sistema de DLP puede ser tan sencillo como utilizar un archivo protegido con contraseña.

En ciberseguridad, ¿todo es tecnología?

¡No! Un programa de ciberseguridad eficaz depende tanto de las personas como de la tecnología. Por lo tanto, una cultura de seguridad sólida es primordial en el entorno actual de amenazas. Ésta determina los comportamientos en todas las áreas de la empresa y ayuda a todos a tomar decisiones sensatas que estén en consonancia con las prioridades de seguridad de la empresa. Además de las tecnologías de prevención, una cultura de seguridad fuerte sirve como segunda línea de defensa frente a amenazas como los ataques de ingeniería social. Establecer una cultura de seguridad sólida dentro de la empresa garantizará que todo el mundo, desde el director general hasta el encargado de la zona de carga, sepa por qué la ciberseguridad es esencial para la empresa y cómo informar de los incidentes.