A principios de 2020, debido a la pandemia de COVID-19, la mayoría de las empresas en todo el mundo se dio cuenta de que necesitaba cambiar rápidamente al teletrabajo. Algunas lo hicieron de acuerdo con un plan y otras reaccionaron, pero no de acuerdo con el plan trazado. Y muchas más ni siquiera tenían un plan de acción en materia de ciberseguridad.
Trabajo remoto
El trabajo remoto ha representado un reto a la ciberseguridad empresarial de muchas formas, ya sea con amenazas previamente conocidas o con nuevas amenazas que han sido creadas a raíz de la pandemia. Las principales amenazas que atacan el trabajo remoto son:
- Las plataformas utilizadas para la comunicación con los dispositivos que las personas utilizan.
- Las redes que utilizan para transmitir información.
- Las nuevas prácticas de ingeniería social creadas por los grupos de ciberespionaje y ciberdelincuentes, que intentan (y logran) aprovecharse de los empleados vulnerables que no están familiarizados con la gestión de sus entornos tecnológicos.
A esto hay que sumar las dificultades económicas y comerciales mundiales que han planteado importantes desafíos financieros a las empresas. Esas presiones fluyen inevitablemente hacia las operaciones de seguridad de la información para mantener o aumentar la cobertura bajo restricciones presupuestarias cada vez más estrictas.
Incluso, aunque las organizaciones han aumentado sus inversiones en ciberseguridad, estas no son suficientes para seguir el ritmo de criminales cada vez más sofisticados. Cada vez es más relevante una adecuada priorización del programa de seguridad.
Nuevos factores
Una investigación reciente realizada por Accenture reveló los cinco factores más importantes que están influyendo en el panorama de ciberamenazas.
1. La COVID-19 acelera la necesidad de una seguridad adaptable.
No existe una solución rápida para todos los problemas de seguridad que presenta la pandemia mundial. Incluso cuando la sociedad y las empresas gestionan los aspectos sanitarios y humanitarios, las organizaciones deben lidiar con las consecuencias económicas y operativas que están creando desafíos financieros y presupuestarios para las operaciones de seguridad de la información de las empresas a mediano y largo plazo. La pandemia ha abierto la puerta a amenazas oportunistas, creando oportunidades de ingeniería social como nuevas creativas campañas de phishing.
También ha ejercido una presión sin precedentes sobre las organizaciones mientras luchan con la continuidad del negocio, las restricciones de viajes y el trabajo remoto. Dado que los datos continúan siendo vistos como un producto de alto valor y codiciado, los líderes de ciberseguridad deben considerar adoptar la seguridad adaptativa basada en riesgos: implementar los controles y el monitoreo adecuados para ayudar a crear un entorno de trabajo seguro para su empresa.
2. Nuevas y sofisticadas tácticas, técnicas y procedimientos apuntan a la continuidad comercial.
La investigación observa que las plataformas establecidas están bajo asedio, ya que los actores sofisticados de ciberamenazas se han dirigido agresivamente a los sistemas más estándares, que suelen trabajar con Microsoft Exchange y OWA, como los servidores de acceso de cliente (CAS). Los sistemas y servicios con uso intensivo de datos en la web que normalmente se comunican externamente pueden facilitar que los atacantes oculten su tráfico en el ruido de fondo, mientras que los servicios de autenticación podrían abrir una oportunidad de recolección de credenciales para los ciberdelincuentes.
Los ataques contra estas plataformas existen en diferentes variables. Pueden ser desde toscos y simples hasta complejos y sofisticados, especialmente porque los autores de las amenazas están desarrollando sus técnicas para explotar tales vulnerabilidades todo el tiempo. Las campañas recientes contra entidades gubernamentales han involucrado familias de malware de nuevo diseño configuradas con una infraestructura de control y comando enrutable internamente, probablemente también diseñada para la evasión.
Una investigación de Accenture ha revelado los factores más importantes que están influyendo en el panorama de ciberamenazas
3. Los ciberataques enmascarados o ruidosos complican la detección.
Los autores de las amenazas cibernéticas encadenan rutinariamente herramientas listas para usar con técnicas que complican la detección como el spear phishing, donde las amenazas se han dirigido a organizaciones gubernamentales y corporaciones, lo que ha llevado al robo de información.
Cada vez más grupos de ciberdelincuentes organizados desde diferentes países continúan intentando comprometer las cadenas de suministro de sus víctimas. Los proveedores de servicios gestionados y los vendedores de software están siendo atacados, pero también se está explotando la conectividad directa entre organizaciones pares que trabajan en proyectos conjuntos.
La inteligencia de amenazas continua y personalizada adaptada al perfil organizacional específico es una prioridad –tanto la estratégica como la táctica–, al igual que un enfoque de seguridad basado en inteligencia centrado en las mitigaciones más importantes para los adversarios identificados. Las organizaciones deben asegurarse de comprender las herramientas y técnicas de uso común, especialmente aquellas que involucran el uso malintencionado de sistemas nativos y validar que se puedan detectar en su entorno.
4. El ransomware alimenta nuevos modelos de negocio rentables y escalables.
Además de encontrar nuevas formas de infectar empresas con ransomware, los actores de amenazas están encontrando nuevas formas de influir en las víctimas para que paguen. En noviembre de 2019, una nueva cepa de ransomware revolucionaria conocida como Maze infectó a una gran empresa de personal de seguridad, robó datos de la organización y notificó a los medios de comunicación. Y, finalmente, liberó públicamente 700 Mb de datos cuando no se pagó el rescate.
Este enfoque de “nombre y vergüenza” agrega presión a las víctimas para que paguen, a pesar de que las fuerzas del orden y la industria de la ciberseguridad siempre han desaconsejado el pago de rescates. Solo los actores de amenazas se benefician: la empresa especializada en respuesta de recuperación de ransomware Coveware apuntó que en el segundo trimestre de 2020 el pago de rescate promedio aumentó a 178.254 dólares, un 60% más que en el primer trimestre de 2020.
La situación podría complicarse a medida que aumentan las ganancias de los actores de amenazas, los cuales pueden innovar e invertir en ransomware más avanzado y aprovechar las mayores vulnerabilidades del trabajo remoto. Accenture espera que los actores de amenazas que emplean estas tácticas continúen evolucionando y proliferando.
5. La conexión tiene consecuencias.
A medida que se exponen más sistemas críticos y se habilita una mayor conectividad, los ciberatacantes están encontrando nuevas formas de lograr sus objetivos. Cada vez más, las empresas se enfrentan al reto de actualizar los parches de sus activos, los cuales aumentan su vulnerabilidad y, con ello, la posibilidad de ataque exitoso.
Los líderes de ciberseguridad están contraatacando, utilizando tecnología puntera y contratando servicios avanzados de seguridad. En el caso concreto de sectores industriales (OT), las amenazas dirigidas aún requieren de un mayor esfuerzo en estrategias y controles de seguridad más efectivos y eficientes.
Las pruebas de seguridad pueden ser costosas y es difícil evaluar el riesgo que representa cada dispositivo, con diferencias dramáticas en las pruebas de seguridad de dispositivos entre fabricantes pequeños y grandes. De forma lenta pero segura, se están identificando y remediando las amenazas. Como se detalla en esta investigación, este año se registró un aumento en la cantidad de vulnerabilidades OT reportadas por los investigadores, que fueron abordadas por los proveedores con parches. Muchas de las clases comunes de vulnerabilidades que afectan a los dispositivos IoT se han resuelto, al menos parcialmente, y ahora el desafío es aplicar este conocimiento donde sea aplicable. Todo esto debe estar alineado con un programa de seguridad integral IT/OT.
Finalmente, los líderes de ciberseguridad deben compartir este conocimiento y desarrollar sistemas estandarizados que sean simples, fáciles de integrar y que soporten un escrutinio minucioso. Las industrias han tenido oportunidades para innovar y vemos una rápida madurez en estos sectores a medida que se adaptan para enfrentar nuevas amenazas. Las amenazas están siendo identificadas y remediadas. Y se está convirtiendo en una cuestión de proliferar este conocimiento y desarrollar sistemas estandarizados que son increíblemente simples, sin problemas de integrar y minuciosamente analizados.