OpiniónAntivirus

El próximo ciberataque tendrá un origen que no esperas: tu propia empresa

Emmanuel Roeseler, director de Sistemas de Seguridad en IBM España, Portugal, Grecia e Israel.

Emmanuel Roeseler
Emmanuel Roeseler

Hace unos años, los métodos que utilizaban los cibercriminales para quebrar los sistemas y robar información no diferían mucho de los empleados por los ladrones tradicionales, que se afanan en pasar desapercibidos ante las cámaras, superar vallas y otras barreras físicas para alcanzar su objetivo. Las técnicas de desarrollo de código malicioso y para descubrir vulnerabilidades son cultivadas por los cibercriminales con el fin de adentrarse en un entorno corporativo y su propósito es el mismo que el de los delincuentes del mundo físico, cuando  buscan cerraduras débiles o ventanas rotas.

Entonces, si nuestros esfuerzos aumentan para diseñar firewalls más fiables, crear sistemas más avanzados de cifrado y unas redes empresariales más seguras,
¿por qué estamos viendo más pérdidas de datos que nunca? El volumen de incidentes de seguridad que acabaron convirtiéndose en ataques en toda regla se duplicó en 20141.

La respuesta es tan simple como preocupante: la mayoría de estos ataques no nace de desconocidos que se adentran en la organización, sino que el origen está dentro de nuestras paredes. En 2014, el 45 por ciento de los ciberataques fueron impulsados por hackers que accedieron desde fuera a la red de la organización. En aproximadamente una cuarta parte de los ataques, los cibercriminales accedieron a información confidencial gracias a descuidos de empleados, técnicas de ingeniería social o la colaboración de terceros. Lo más inquietante es que el 55 por ciento de los ciberataques fueron causados por insiders, es decir, personas de dentro de la compañía1. Asimismo, se disparan los incidentes de seguridad resultantes de accesos no autorizados, que representan el 37 por ciento del total, casi el doble del porcentaje registrado en 20131.

¿Quiénes son los insiders y por qué actúan en sus propias compañías? Simple. Un insider es una persona que tiene acceso a los activos de la empresa, tanto físicos como lógicos (información). A menudo son los propios empleados, pero también suelen ser personas en las que una empresa confía como socios de negocio o clientes. Algunos de los insiders más comunes que están liderando estos ataques son:

  • Antiguos trabajadores o trabajadores descontentos que aprovechan su posición y acceden a información valiosa para la compañía y también para la competencia. Este grupo es especialmente peligroso porque está dispuesto a jugarse el tipo para superar los controles de seguridad, sin importar posibles consecuencias.
  • Víctimas de la ingeniería social que caen en la trampa del phishing o de otro tipo de fraude o que pinchan accidentalmente links que les llevan a web maliciosas. En este punto es importante indicar que estos errores no intencionados sirven para abrir una brecha. El 95 por ciento del total son consecuencia de un error humano1.

El creciente volumen y el éxito de este tipo de ataques apuntalan la efectividad de las estrategias de ingeniería social. El spam, en particular, ha crecido y ha dejado de ser una molestia para convertirse en un vector legítimo de ataque, ya que los individuos que operan en la Dark Web diseñan campañas cada vez más sofisticadas, cada vez más parecidas a las comunicaciones oficiales de las empresas. En esta nueva era, el spam está cosechando un tremendo éxito ya que infecta equipos a través de usuarios que no han advertido su presencia las redes corporativas con ransomware o malware. Su efectividad está ampliando su popularidad entre los cibercriminales. Hasta el verano de 2013, el porcentaje de spam portador de malware raramente excedía el 1 por ciento del total2. Pero, desde entonces, este volumen ha repuntado hasta el 4 por ciento, a pesar de que la cifra de spam no ha variado, lo que se traduce en la utilización de este canal por parte de los cibercriminales con una profusión nunca vista2.

El aumento de estos ataques provocados por insiders significa que las estrategias de los cibercriminales están evolucionando y paulatinamente se convierten en acciones menos obvias, más discretas, personalizadas y efectivas. La ciberseguridad que se limitaba a mantener a los atacantes en la bahía hace un par de años necesita ser repensada ahora que el peligro de los insiders ocupa un lugar destacado entre nuestras preocupaciones.

  • Tomar en serio el spam. Mantener los filtros antispam y antivirus actualizados, bloquear los archivos adjuntos ejecutables (son poco comunes en un entorno corporativo) y utilizar software que desactive la reproducción automática de estos archivos y la precarga de links.
  • Implementación de tecnología forense en la red para comprender mejor la actividad que se lleva a cabo y adelantarnos a los acontecimientos. Esta tecnología no solo ayuda a detectar rápidamente potenciales ataques y acabar con ellos, sino que además es vital para reconstruir cómo sucedió todo y averiguar qué elementos fallaron.
  • Reducir errores imprevistos de seguridad. Dada la enorme importancia de los errores humanos en ciberataques, se hace más necesario que nunca recordar a las personas de la organización que son la parte más importante para desplegar una estrategia de prevención de brechas de seguridad.

Mantener estas tácticas y asegurarnos de su complimiento puede significar el éxito o el fracaso de una estrategia en un momento crucial, en el que el coste de reparar una brecha continúa creciendo: más del 23 por ciento desde 2013 con una media de 3,8 millones de dólares3 por pérdida. Como conclusión, ya que el cibercrimen no puede ser erradicado completamente, es vital apoyarse en las estrategias más avanzadas a nuestro alcance para disponer de la mejor defensa.

1. IBM Security Services’ 2015 Cyber Security Intelligence Index
2. 2Q X-Force Threat Intelligence Quarterly 2015
3. Ponemon Institute Cost of a Data Breach Report 2015

Computing 781