OpiniónSeguridad

Tras la pandemia, ¿qué será lo siguiente para la ciberseguridad?

Por Bharat Mistry, principal security strategist de Trend Micro.

Los últimos 12 meses han dejado a muchos en la comunidad de la ciberseguridad un poco aturdidos. Casi de la noche a la mañana, los modelos de negocio y las prácticas de trabajo se reconfiguraron bruscamente y todo el personal informático disponible se movilizó para ayudar. Con el paso de los meses surgieron nuevas amenazas y poco a poco nos dimos cuenta de que era una realidad con la que todos tendríamos que vivir durante algún tiempo. Así que, ahora que estamos inmersos en el 2021, encerrados de nuevo, ¿cuáles deberían ser los propósitos de los responsables de seguridad?

Aunque no habrá tregua, ya que las amenazas siguen apuntando a los trabajadores e infraestructuras remotas, hay algunos motivos para el optimismo. A diferencia del año pasado, todos estamos más familiarizados con vivir y trabajar bajo la sombra de una pandemia. Esto debería facilitar las cosas, ya que los responsables de seguridad dan prioridad a la formación y a las herramientas para apoyar a la empresa y minimizar el ciberriesgo.

Nuevo año, las mismas viejas amenazas

Puede que sea un año nuevo, pero en muchos aspectos las organizaciones verán las mismas ciberamenazas de siempre en 2021. Esto significa el robo de datos y el ransomware -a menudo en el mismo ataque-, así como el Business Email Compromise  (BEC), los troyanos bancarios, el malware de minado de monedas y los demás elementos habituales. La magnitud de la amenaza es notable. Trend Micro bloqueó  más de 27.800 millones de amenazas únicas solo en el primer semestre de 2020, la mayoría de las cuales se originaron en el correo electrónico. Si bien la mayoría de ellas pueden estar vinculadas con ataques automatizados y básicos, podría decirse que son las más dirigidas y personalizadas las que suponen la mayor amenaza para los resultados y la reputación de la empresa.

Algunos sectores pueden verse más afectados que otros este año, ya que los ciberdelincuentes siempre van a por el fruto más fácil: las oportunidades de generar el máximo rendimiento (ROI) de los ataques. Así, a medida que los consumidores siguen inundando la Red, ámbitos como el retail y el gaming  podrían verse sometidos a una presión cada vez mayor, sobre todo si se lanzan aplicaciones recién creadas que contienen vulnerabilidades. Del mismo modo, con los hospitales sometidos a la máxima presión para hacer frente a la afluencia de pacientes del COVID-19, al menos hasta finales de año, cabe esperar más ataques de ransomware.

Herramientas y técnicas

Por muy deprimente o desesperante que sea pensar en ello, es probable que pasen muchos meses antes de que la vida empiece a recuperar una apariencia de normalidad prepandémica. Esto dependerá de la eficacia de las vacunas contra las nuevas cepas, de la rapidez con que se pueda vacunar a la población y de la reacción de las empresas. Es seguro decir que el futuro implicará al menos más trabajo en remoto, y probablemente mucho más.

Esto significa que los actores de amenazas seguirán apuntando al eslabón de seguridad más débil de los trabajadores a domicilio y la infraestructura de trabajo remoto. El phishing ha estado siempre presente en la última década y los señuelos con temática COVID continuarán en 2021. Como descubrimos el año pasado, muchos teletrabajadores pueden estar facilitando aún más el trabajo de los delincuentes con comportamientos de riesgo como la carga de datos corporativos en aplicaciones que no son de trabajo y el uso de dispositivos personales potencialmente desprotegidos para trabajar.

El error humano no solo significa caer en ataques de phishing. También significa que la infraestructura de la nube está mal configurada, lo que permite a los ciberdelincuentes encontrar datos expuestos a través de un simple escaneo de IP. Podría extenderse a los fallos de parcheo que dejan expuestas las VPN y otras infraestructuras de trabajo remoto, o los servidores RDP protegidos solo con contraseñas débiles y/o previamente violadas. Tenemos que estar al máximo en 2021 porque hay indicios de que la comunidad de ciberdelincuentes es cada vez más capaz de utilizar tácticas del tipo APT para robar datos y desplegar ransomware. Pensemos en las técnicas “living off the land”, el uso de herramientas de pen testing como Cobalt Strike y la rápida explotación de vulnerabilidades en plataformas SaaS.

Su estrategia de seguridad 2021 comienza aquí

Puede parecer mucho para asimilar. Pero al menos este año sabemos a qué atenernos. Muchas de estas TTPs fueron rastreadas el año pasado, y ampliamente publicitadas. Además, como el trabajo a distancia es la nueva norma, ahora debería haber más ancho de banda para que el personal de seguridad informática ayude. Si aún no lo ha hecho, lleve a cabo una evaluación de los ciberriesgos para averiguar cuáles son sus puntos débiles y elabore un plan para solucionarlos.

El enfoque que adopte dependerá de la predisposición al riesgo de su organización, del sector al que pertenezca y de la madurez de su posición de seguridad actual. Sin embargo, cualquier propósito para el año incluirá seguramente la formación y la concienciación de los usuarios. Este debe ser un programa continuo, que incluya simulaciones de phishing y BEC del mundo real, y que se comunique regularmente al personal en pequeños fragmentos. Adapte las sesiones de formación a las últimas campañas de phishing y asegúrese de que sus herramientas ofrecen información detallada sobre las personas para poder centrarse en los empleados más débiles. No olvide que todos los empleados, desde el director general hasta el último trabajador, deben asistir, incluidos los trabajadores temporales y los contratistas. Solo hace falta un clic erróneo para meter a la organización en problemas.

Zero trust alcanza la mayoría de edad

Otro enfoque que se hará cada vez más popular durante el presente año será el de la confianza cero o zero trust. En un mundo de trabajo distribuido, dispositivos móviles y aplicaciones SaaS, se trata de la noción de "nunca confíes, siempre verifica". Centre sus esfuerzos en la autenticación de los usuarios con herramientas multifactor (MFA), y despliegue la microsegmentación dentro de la red para restringir el acceso a los recursos. Este enfoque también se relaciona muy bien con las herramientas secure access service edge (SASE) basadas en la nube para dar a los equipos de seguridad visibilidad de todo el tráfico entrante y saliente.

Los riesgos asociados a una plantilla distribuida también exigen herramientas de seguridad y gestión de endpoints basadas en la nube para obtener la máxima flexibilidad, visibilidad y control. La detección y la respuesta a las amenazas están adquiriendo especial importancia, sobre todo las soluciones que incorporan IA para ayudar a los equipos de seguridad bajo presión a priorizar la forma de hacer frente a los sofisticados ataques entrantes. De hecho, la IA seguirá facilitando la vida de los profesionales de la seguridad al detectar patrones sospechosos en el tráfico de la red que los humanos podrían pasar por alto, detectando estilos de escritura anómalos en los correos electrónicos BEC y añadiendo automatización a la detección y reparación.

Las hipótesis de que la tecnología podría sustituir por completo a los humanos en la ciberseguridad de aquí a 2030 son exageradas. Pero los responsables de seguridad tendrán que vigilar de cerca el uso malicioso de la tecnología en el futuro. Lamentablemente, la carrera armamentística cibernética  no hará más que intensificarse en 2021.

 

 

Computing 801