Cómo mantener su organización segura tras este verano de ciberdelincuencia

Según ha avanzado el verano y las limitaciones provocadas por la pandemia disminuían, es posible que se piense que esta es la época más fácil en el trabajo. Desgraciadamente, para los profesionales de la ciberseguridad no es así. Puede que algunos hayan querido tomárselo con calma, pero los actores de amenazas rara vez se toman un descanso. Desde los ciberataques en escuelas del Reino Unido hasta los nuevos consejos urgentes para parchear vulnerabilidades críticas, no faltan las historias que quitan el sueño a los CISO.

La buena noticia es que la mitigación del riesgo cibernético no tiene por qué ser prohibitivamente costosa o compleja. Todavía es un buen momento para revisar las políticas, las herramientas y la estrategia para preparar a su organización para el éxito.

Un verano lleno de amenazas

Se mire por donde se mire, el ransomware es la amenaza más visible y peligrosa a la que tienen que enfrentarse las organizaciones no solo en verano, sino en cualquier época del año. Trend Micro ha detectado un aumento del 34% interanual de nuevas variantes en 2020 y el mercado clandestino sigue siendo tan prolífico como siempre este año. Los ataques de alto perfil contra las cadenas de suministro de petróleo y alimentos de Estados Unidos y a los proveedores de servicios gestionados en los últimos meses han elevado el ransomware a los niveles más altos del gobierno. Tanto los líderes del G7 como los de la OTAN han denunciado a países como Rusia por dar cobijo a grupos criminales.

Sin embargo, aunque estos ataques de renombre suelen ser los más llamativos, la mayoría siguen estando dirigidos a las pymes. Y los grupos afiliados que llevan a cabo la mayoría de ellos son cada vez más audaces. Según las aseguradoras, la cuantía media de las demandas realizadas a las víctimas norteamericanas de ransomware se disparó un 170% interanual en el primer semestre del año. Hemos visto ataques que combinan no solo el cifrado de archivos clave y el robo de datos, sino también ataques DDoS y el contacto con clientes y partes interesadas, todo ello con el objetivo final de forzar el pago. La buena noticia es que sus tácticas son cada vez más predecibles: entrada inicial mediante phishing, explotación de vulnerabilidades o RDP, y movimiento lateral utilizando herramientas legítimas.

Menos fáciles de predecir o desviar son los ataques de los estados nación. Sin embargo, a medida que los agentes respaldados por el Estado se vuelven más audaces, más organizaciones están expuestas a posibles compromisos, ya sea como un objetivo en sí mismo o como un "trampolín" en el camino hacia partners de mayor valor. Cuando el gobierno de Estados Unidos empieza a ofrecer recompensas de hasta 10 millones de dólares por información que identifique a estos actores, se sabe que la ventaja está cada vez más en manos de los atacantes.

Lo que dificulta aún más las cosas es la línea cada vez más difusa entre la actividad patrocinada por el Estado y la ciberdelincuencia. Hoy en día, los estados-nación pueden comprar herramientas de hacking en la dark web e incluso contratar a ciberdelincuentes para que hagan el trabajo sucio. Mientras tanto, la economía de la ciberdelincuencia sigue madurando. Hoy en día es una máquina finamente ajustada en la que cada componente individual tiene una función definida con precisión. Como hemos informado, los proveedores de "acceso como servicio" son cada vez más comunes. Estos actores de la amenaza suelen comprometer objetivos y luego venden el acceso a la red a grupos de ransomware y otros. La presión para parchear vulnerabilidades y encontrar endpoints mal configurados nunca ha sido mayor.

Revisar y priorizar

Aunque cada año decimos que las cosas se ponen más difíciles para los expertos en ciberseguridad, 2021 ha tenido más baches en el camino que la mayoría. Pero eso no significa que se haya acabado el juego. De hecho, aún se está a tiempo, pues quedan oportunidades para hacer balance de lo que funciona y lo que no, y para avanzar en la postura de ciberseguridad corporativa.

Sabemos que los atacantes están secuestrando cada vez más endpoints RDP y otras cuentas mediante la fuerza bruta de credenciales o el uso de contraseñas previamente violadas. Esto hace que la autenticación multifactor sea cada vez más importante para los CISO hoy en día. También sabemos que siguen explotando las vulnerabilidades, incluso las que se remontan a varios años atrás, para comprometer los sistemas. Por lo tanto, aplique los parches de inmediato y considere la posibilidad de desplegar parches virtuales para proteger los sistemas que han llegado al final de su vida útil y otros en los que las correcciones no pueden aplicarse fácilmente. Por último, revise las herramientas legítimas (PSexec, Cobalt Strike, etc.) que utilizan habitualmente los actores de amenazas una vez dentro de sus redes, para realizar movimientos laterales sin dar la voz de alarma. Si comprende cómo las utilizan sus empleados, estará en una mejor posición para detectar anomalías que podrían indicar una actividad maliciosa.  

En términos más generales, aproveche esta temporada para identificar los sistemas más críticos para el negocio y, en primer lugar, cree defensas en torno a ellos. Trabaje con sus partners de seguridad para auditar sus soluciones y asegurarse de que dispone de las últimas versiones y funciones. Y revise sus políticas, especialmente las de respuesta y recuperación ante incidentes en caso de ataque de ransomware. La conclusión es que hoy en día ninguna organización está 100% a salvo de una brecha de seguridad. Se trata de detectarlas a tiempo y actuar antes de que los malos tengan la oportunidad de causar algún daño.   

José Battat, director general de Trend Micro Iberia