Imagine que está en una carrera de coches, una carrera sin segundo premio. Cada curva es crítica, cada chicane un posible descarrilamiento. Ahora imagine que no ha probado el coche adecuadamente. ¿Qué nivel de seguridad tendría de sobrevivir, por no hablar de conseguir la victoria?
Ahora mismo, España puede considerarse como una economía llena de fábricas que producen coches de carreras a gran escala. De hecho, los “coches” son experiencias digitales que navegan por los contornos de la demanda de los clientes. Tienen que ser rápidas y fiables. Deben agradar al público para superar a los competidores.
Las experiencias digitales lo son todo en la economía digital global. Informan, sirven, venden y deslumbran. Pero si se desvían del camino y causan daño, ya sea a la empresa que las ha creado o a los clientes que confían en ellas, se convierten en algo más. Se convierten en un riesgo. Al igual que en las carreras de coches, en el desarrollo de software se necesita a alguien que pruebe los neumáticos. Ahí es donde entra el “Red Team”.
La seguridad ante todo
La Ley de Protección de Datos Personales y Garantía de Derechos Digitales española de 2018 reconoce el derecho fundamental a la protección de datos personales y dispone que “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos” y es sólo una de las diversas normativas, tanto locales como internacionales, que deben cumplir las empresas. Si se combina esta carga con la gama de normas específicas del sector que ocupan las mentes de los gestores de riesgos regionales, se hace evidente la necesidad de probar el entorno informático de manera exhaustiva y formal. Los actores de las amenazas son cada vez más sofisticados y las complejidades que se acumulan en la pila de TI post-pandémica presentan más oportunidades de lo que los CISOs han encontrado nunca.
Los “Red Teams” son los equipos que ponen a prueba los neumáticos del vehículo antes de que salga del box. Los “Red Teams” prueban… a fondo. Se hacen pasar por ciberdelincuentes, piensan como ciberdelincuentes, planean como ciberdelincuentes y se mueven como ciberdelincuentes. Encuentran caminos sigilosos y oportunidades de movimiento lateral, tal y como lo haría un verdadero actor de amenazas. Aprovechan las brechas en los flujos de trabajo híbridos. Aprovechan las mismas técnicas del mundo real que se utilizan hoy en día para engañar a los usuarios para que revelen información sobre ellos mismos y su entorno empresarial. Y no dudan en secuestrar cuentas en la nube para acceder a un objetivo.
Cuando el “Red Team” haya terminado, el CISO de la organización objetivo tendrá una imagen muy clara de cómo se comportarían las medidas de seguridad actuales frente a un ataque real. Los “Red Teams” se mantienen al día con el panorama de las amenazas, informándose de cómo se desenvuelve el ciberdelincuente. Conocen las últimas técnicas, procedimientos y juegos mentales. Los mejores “Red Teams”, sin embargo, van más allá de las pruebas de penetración estándares necesarias para un cumplimiento estricto. Lo hacen porque saben que muchos sistemas “conformes” son vulnerables. Dichos sistemas pueden ser comprometidos, y de hecho lo son, lo que puede provocar daños.
Los eslabones más débiles
Los escaneos automatizados que sólo descubren vulnerabilidades técnicas cuentan una historia anodina, y revelan muy pocos detalles de las amenazas reales a las que se enfrenta una empresa, o cómo esos riesgos pueden convertirse en desastres. Por lo tanto, los ejercicios del “Red Team” dirigidos a las amenazas simulan múltiples escenarios para cubrir todos los posibles resquicios de la armadura digital. A veces estas brechas implican vulnerabilidades en la tecnología. Pero otros casos pueden implicar procesos o personas. Los actores malintencionados tienen mucha experiencia en encontrar los eslabones más débiles dondequiera que estén, por lo que los ciberdefensores deben volverse expertos en hacer lo mismo. Los “Red Teams” pueden ayudarles a hacerlo. Pueden mostrar a las organizaciones las lagunas, por ejemplo, en la formación del personal de back-office, utilizando técnicas sencillas de ingeniería social o phishing, o los agujeros de las TI en la sombra, como puntos de entrada. Los miembros del “Red Team” están entrenados para no fallar nunca y pueden incluso colocar memorias USB de aspecto inocente donde los empleados puedan encontrarlas. Los individuos mal formados pueden levantar estas trampas y conectarlas a los activos corporativos, convirtiéndose así en víctimas del “Red Team”.
El valor del “Red Team” se pone rápidamente de manifiesto cuando es capaz de informar de que una formación exhaustiva es el camino ideal para conseguir una postura más sólida frente a las amenazas, en lugar de parchear una serie de fallos técnicos. Sean cuales sean los programas de mejora que una organización opte por iniciar, el “Red Team” ofrece una orientación muy necesaria sobre la dirección y la prioridad. Las pruebas de penetración estándares pasan por alto muchas cosas, dados los métodos modernos de los ciberdelincuentes. Y si bien es importante tener un programa de parches completo, la duplicación de los “Red Teams” de las metodologías estándares de los actores malintencionados revelará una lista de triaje que incluye los exploits más comunes, lo que permite obtener ganancias rápidas, siempre bienvenidas para el CISO que intenta demostrar las credenciales de valor añadido de su SOC.
En lo que respecta a la tecnología, los CISOs que han empleado a “Red Teams” probados probablemente optarán por una solución preconfigurada de detección y mitigación de amenazas basada en la red, que aumenta significativamente las capacidades de detección de amenazas y ofrece un tiempo de valor más rápido que la detección y respuesta de puntos finales (EDR). La visibilidad se mejora sin necesidad de realizar cambios en los entornos, y la fatiga de las alertas se reduce drásticamente.
Ya está en condiciones de circular, pero ¿por cuánto tiempo?
¿Recuerda esa carrera? Los competidores se alegran de verle salirse de la pista. Los espectadores no se preocupan por los perdedores y dirigen su atención a los que se quedan en las curvas. Pero, a riesgo de parecer insistente, esta es una carrera sin línea de meta. Los CISOs y sus analistas, con el apoyo de los siempre vigilantes “Red Teams”, deben trabajar cada día para garantizar que cada experiencia digital pase por el ciclo de vida de desarrollo como un velocista apto para la carretera capaz de llevar a la organización a la victoria.
