FlagMiércoles, 22 Mayo 2019

Información de valor para integradores de Seguridad Electrónica y Ciberseguridad

 

 

Ciber 69 01

Los ataques informáticos ocurren en todas las grandes ciudades del orbe y ya no es posible negar que el principal motivo es del tipo económico. En el último informe de Akamai sobre el Estado de Internet: Análisis de la nueva era de la seguridad de la información 1, indica que hasta septiembre de 2018 se dieron 8,300 millones de Intentos maliciosos de inicio de sesión; las botnets generadas tenían tres objetivos principales: suplantar la identidad, recopilar información y robar dinero o mercancías.

 

Aunque no es un misterio que 90% de todos los ataques iban dirigidos a empresas de Estados Unidos por el impacto financiero que representan, también es cierto que otras regiones de Latinoamérica han tenido incidencias significativas, quizás no en el mismo volumen, pero sí en cantidades lo suficientemente alarmantes.

Ciber 69 02Roberto Campos, Channel and Territory Manager de SonicWall para nuestro país, comenta al respecto que “los números han sido muy claros, el año pasado encontramos que México se ha vuelto un punto de ataque importante. De hecho en nuestro reporte anual expusimos que si bien el malware año contra año a nivel mundial creció en un 100%, localmente el incremento fue de un 230%”.

Uno de los ataques que se ven claros, son los intentos de intrusión que, mediante malware de tipo phishing y ransomware, buscan infectar a empresas o grupos específicos. Este tipo de estrategias del cibercrimen se han intensificado dentro del territorio nacional en un 60%, agrega el directivo de SonicWall.

Por otra parte, también es necesario considerar que los ciberatacantes están realizando ataques de manera automatizada; en un esquema de vender el malware para que otros realicen el ataque o bien, lanzando múltiples versiones de malware y dejar que hagan su trabajo sin intervención del programador.

Ciber 69 04“No sólo crean ataques y procesos, sino que tratan de automatizar o hasta paquetizar el ataque hacia un blanco. En algunas ocasiones hablamos de herramientas que se pueden conseguir gratis; entonces, el conocimiento profundo que era requerido para lograr una actividad de este nivel, ya no es un impedimento porque puede llegarse al punto de contratar servicios en Internet”, apunta Hugo Werner, Vicepresidente de Akamai Latinoamérica.

Es una industria que ha crecido de manera exponencial; donde los blancos obvios (como banca y gobierno), saben que deben invertir en la seguridad informática. Akamai pone por ejemplo el caso de JP Morgan Chase, firma que invierte anualmente más de $100 millones de dólares en ciberseguridad, elevando enormemente el grado de dificultad para un atacante; haciendo que en muchos de los casos se vean obligados a buscar blancos más fáciles y rápidos de perpetrar.


México, en la mira

Aunque queda claro que los atacantes seguirán intentando vulnerar estos por demás lucrativos blancos, es una realidad que necesitan sustentar su operación con empresas que reditúen ganancias en el corto plazo. El vicepresidente de Akamai considera que una de las razones por las cuales países como México y Brasil se han vuelto más atractivos para los ciberdelincuentes es que 70% de las compañías siguen utilizando herramientas tradicionales para protegerse contra ataques de última generación.

“Puede ser el caso de un appliance que será operado por el skill técnico que tenga su operador. Así que tenemos dos factores a consideración, la limitación que tenga la caja entre sus especificaciones técnicas, y el nivel de profundidad en explotar a favor de la organización por parte del staff técnico local, que también debe atender el resto del Centro de Datos, donde se ubica dicha caja. Entonces viene la pregunta respecto a qué es posible hacer cuando una caja, con una capacidad de análisis medida en GB, es sobrepasada por un DDoS de 1.35 terabits por segundo. Intentar poner más cajas se puede desplegar en un presupuesto de millones de dólares”, estima Hugo Werner.

Ciber 69 03Entonces el acercamiento a una solución no necesariamente tiene que ser poner más ladrillos a una pared que ya de por sí está en llamas. “Tiene que ver con un conocimiento de la tecnología por parte del usuario final. No será eficiente una arquitectura de seguridad informática si los empleados siguen abriendo el correo de phishing; de pronto les llega un correo indicando un adeudo y la impulsividad del momento nos hacen dejar el juicio de lado y hacer clic. Veo un componente cultural importante a subsanar al interior de las empresas”, indica Roberto Campos de SonicWall, como una de las razones por las cuales la región crece a más del doble que el resto de los países en materia de ataques exitosos.

Adicionalmente Campos agrega que en México se intenta abordar el problema desde un presupuesto apretado, sin embargo la primera pregunta a resolver es cuál es el precio que pagará la empresa por dejar de trabajar una hora, a cuánto ascienden las pérdidas por no tener disponible la base de datos principal, qué gastos adicionales se tendrán que afrontar para regresar a las máquinas a un estado productivo. Son temas que caben más en la cultura organizacional que en la tecnología.

De hecho, en el reporte anual de seguridad elaborado por FireEye Facing Forward: Cyber Security in 2019 and Beyond 2, la ingeniería social es la técnica más común empleada por los atacantes y se refina cada vez más para que su nivel de credibilidad sea verdaderamente confiable. En el reporte citan el caso de Business Email Compromise (BEC) como una forma en que se intenta hacer pasar por legítimo un correo apócrifo. La reflexión va en el sentido que, si antes urgía una cultura en higiene tecnológica, después dejará de ser opcional.


Canales, una fuente confiable

El panorama está claro, pero no todo es obscuridad y pagos por multas de compliance. Julian Dana, director de servicios profesionales para FireEye Latinoamérica, expresa que “en los últimos 5 años aumentó la presencia de malware; pero por el otro lado hay más conciencia y visibilidad sobre sus repercusiones. Antes las empresas solían decir que estas cosas simplemente pasaban y entonces no se tenía que tener una respuesta al incidente porque preferían absorber el costo que afrontar las consecuencias públicamente; antes, era más barato”.

Este golpe al bolsillo, ha hecho que se vuelva a pensar en la prevención como una medida más austera de resolver el problema, y sobre todo más eficiente cuando una marca empieza a poner en la balanza su reputación y prestigio frente a la competencia. Así que la industria pone marcos de acción o frameworks para actuar ante situaciones en específico.

En ese sentido, los voceros coinciden al enmarcar que “estar en regla, no necesariamente significa estar seguros”, sino que los marcos normalmente se adoptan para no ser penalizados administrativamente y con ello se da por entendido que los cibercriminales harán su checklist, desistiendo en el ataque.

“El comité de FireEye actualiza nuestro propio framework con una retroalimentación de las empresas, porque en nuestra opinión, el problema raíz sigue persistiendo pese a su antigüedad. Hablar de seguridad informática no es un reto para TI, es un reto de negocios. Así que tiene que moverse poco a poco de un CIO o CISO, a la junta directiva, incluyendo al CEO”, agrega Julian Dana de FireEye.

Por ello es recomendable para el canal esclarecer el entorno como un tercero imparcial, capaz de adjuntar un plan de posibles eventos y cuáles serían las repercusiones para la organización. En ese sentido, la firma comenta que al final del día alguien tiene que hacerse responsable por un ataque así que la labor consultiva al momento de establecer las políticas, y a quien aplican o a quienes no, será importante hacer uso de los recursos en tendencias y predicciones de la seguridad informática para dar aviso de posibles brechas cuando una decisión personal pese más que el beneficio para la organización en general.

“En latinoamérica nos cuesta trabajo esta parte, pero al hablar de responsabilidades también caminamos hacia la visibilidad. Los mecanismos de detección son tan importantes como las acciones que a nivel de negocio nos permitan ser proactivos, en vez de reactivos”, agrega FireEye.

En este plan, las PyMEs son un foco a considerar de manera particular; simplemente porque son las de mayor presencia hablando porcentualmente, y porque su inversión en ciberseguridad suele estar al fondo de la lista, en el apartado “rompa el cristal en caso de conato”.

“Las PyMEs son las más vulnerables, porque tienen recursos humanos limitados para sus operaciones de TI, por ello el canal puede ser un consultor encargado de aplicar las buenas prácticas de negocio y no quedarse relegado a la instalación. Es un modelo que les permite vender pólizas de servicio y mantenimientos anuales con una cantidad determinada de eventos. Cuando la PyME adquiera una tecnología nueva, por decir un ERP, se necesitarán configurar las reglas del firewall, y son eventos que el canal puede atender proactivamente para consolidar la relación comercial y que se renueven sus pólizas. Por ello auguramos crecimientos para los canales entre el 30 al 40 por ciento”, explica Roberto Campos de SonicWall.

Comenzar a desgranar el tema es una forma de asentar esa profesionalización del canal. Hugo Werner de Akamai recomendó comenzar por el assessment o levantamiento de los activos con los cuales cuenta la empresa, qué es crítico para la organización (genera ventas, permite la cobranza, habilita un proceso clave), así como la protección de la información de terceros.

Entonces se prioriza balanceando lo urgente y lo importante, continúa explicando. Aquello que use Internet es una base para comenzar la consultoría, como es el caso de las aplicaciones, la base de datos; en síntesis, se trata de mapear lo que tiene y quiere hacer la empresa para ser más rentable o, como indica la tendencia, la visibilidad.

“México en el corto plazo tiene un punto a su favor; las lecciones de pasados ataques exitosos han dejado tras de sí mucho aprendizaje y la gente tiene los ojos muy abiertos. Será importante que la cultura cibernética tome madurez, y sea protagonista, creando roadmaps y frameworks sobre cómo se visualiza la empresa y su equipo de trabajo. Ahí está parte de la labor de los canales consultores en fungir como guías. A veces hay que pasar por el visto bueno de un comité, y toma tiempo; pero visto en retrospectiva hay varios puntos a favor, sólo es cuestión de acelerar el paso gradualmente”, remata FireEye.

Fuentes de consulta:

1. Akamai, Estado de Internet: Análisis de la nueva era de la seguridad de la información, [Disponible en] https://www.akamai.com/es/es/resources/our-thinking/state-of-the-internet-report/global-state-of-the-internet-security-ddos-attack-reports.jsp?#year-in-review-with-andy-ellis-akamai-cso, [Consultado] 22 de febrero 2019.

2. FireEye, Facing forward: Cyber Security in 2019 and Beyond, [Disponible en] https://content.fireeye.com/predictions/rpt-security-predictions-2019, [Consultado] 22 de febrero 2019.