Connect with us

Destacado

¿Cómo saber lo que es adecuado para crear una sólida ciberdefensa?

José Luis Becerra Pozas

Published

on

ciberseguridad

En organizaciones de todo el mundo se suele tener la idea equivocada de que adoptar un buen enfoque en seguridad mantendrá seguros los datos de negocio y alejados a los ciberdelincuentes. Pero ¿cómo saber lo que es apropiado y si será lo suficientemente bueno?  

Las amenazas actuales se dirigen a personas y no a infraestructuras. Ante esta realidad, las soluciones y los controles técnicos siguen siendo cruciales para construir una fuerte ciberdefensa, pero son sólo una parte de la amplia y sólida barrera que existe para frenar lo último en amenazas.  

A través de enlaces maliciosos, compromiso de cuentas o ingeniería social, los ciberdelincuentes están centrando su atención en la que para muchas organizaciones es su última (y a menudo no muy bien preparada) línea de defensa: los empleados.

No importa lo robustos que sean los sistemas de una organización, solamente hace falta que un empleado haga clic para que los delincuentes estén dentro.

Es necesario un nuevo enfoque de seguridad ahora que el teletrabajo ha entrado a formar parte de la “nueva normalidad”. Este enfoque debe situar a las personas en el centro de la ciberdefensa y asegurarse además de que no sólo los empleados son capaces de detectar y disuadir los ataques, sino de que son conscientes de cuál es su función en la seguridad de las organizaciones.

El repunte de las amenazas BEC

Con millones de empleados trabajando desde casa fuera de los límites de la oficina en cuanto a protección, organizaciones de todo el mundo han visto cómo ha aumentado su superficie de ataque, dejándolas más expuestas que nunca a las ciberamenazas en plena crisis por el Covid-19.

Los ciberdelincuentes están al tanto de esta situación y no han perdido el tiempo en aprovechar la oportunidad. Incluso antes de que se declarara oficialmente la pandemia mundial, especialistas en inteligencia de amenazas detectaron grandes volúmenes de ataques de phishing relacionados con el coronavirus, desde mensajes que ofrecían una supuesta vacuna hasta los que solicitaban datos para una base de datos falsa del gobierno. En estos momentos, se prevé una nueva adaptación de los ataques mediante señuelos sobre la reapertura de oficinas, entre otros temas.  

Independientemente del señuelo que se utilice en un ataque por correo electrónico, el objetivo es el mismo: aprovecharse de la vulnerabilidad humana.

Los ciberdelincuentes intentan engañar a los empleados de organizaciones, mediante ataques de ingeniería social, para robar credenciales o datos confidenciales, desviar pagos y transferir fondos de manera fraudulenta. No importa la técnica empleada, sólo se necesita un clic para que un ciberataque tenga éxito.

Una de las amenazas por correo electrónico que se ha disparado en los últimos años son los ataques BEC (Compromiso de Correo Electrónico Empresarial). Su éxito se basa en dos simples razones: es un método que funciona y que, además, reporta ganancias. Tanto es así que el FBI emitió recientemente un comunicado en el que calculaba un costo de 26,000 millones de dólares desde 2016 en negocios de todo el mundo.

Bajo estas cifras se esconden empresas de todo el mundo que sufren las consecuencias. El año pasado la empresa subsidiaria Toyota Boshoku fue víctima de la mayor pérdida jamás registrada por un solo ataque. Un impostor se hizo pasar por un socio comercial y acabó convenciendo a la filial de hacer una transferencia por valor de 37 millones de dólares a una cuenta falsa. Por citar algún caso más reciente, Puerto Rico perdió más de 4 millones de dólares el pasado enero en tres ataques BEC diferentes dirigidos a agencias gubernamentales. Asimismo, en mayo, el fondo de inversión estatal Norfund, de Noruega, recibió un correo electrónico por parte de unos impostores a los que transfirieron 100 millones de coronas noruegas (aproximadamente unos 10 millones de dólares).

Construir hoy las defensas de mañana

En estas circunstancias tan excepcionales que estamos viviendo ha quedado de manifiesto que la ciberdefensa de las organizaciones se queda en nada cuando toca defenderse de ataques BEC. Con tantos empleados trabajando en remoto, y cada vez más dependientes del correo electrónico, se ha dejado al descubierto un punto débil importante, pero que las organizaciones no están abordando.

Las personas y el correo electrónico conforman la superficie de ataque preferida en la actualidad por los ciberdelincuentes, y la mayoría de las estrategias de ciberdefensa no contemplan esta realidad. A pesar de que más del 90% de las amenazas avanzadas proviene del correo electrónico, sólo el 10% del gasto en ciberseguridad se centra en esta área.

Los que están en primera línea sufren también una falta de inversión similar. La mayoría de las organizaciones realiza menos de dos horas de formación en ciberseguridad al año, lo cual evidencia la falta de concienciación sobre amenazas entre los usuarios finales. Solamente el 66% de la fuerza laboral en el mundo sabe lo que es el phishing, mientras que el 31% está familiarizado con el ransomware. Esto es algo que debe cambiar. No podemos esperar que las personas protejan a las organizaciones sin equiparlas con las herramientas y conocimientos necesarios para hacerlo.

Del mismo modo que los ciberdelincuentes han aprovechado esta oportunidad para perfeccionar sus ataques, también es el momento de que las organizaciones perfeccionen sus defensas. No se pueden crear estrategias de ciberseguridad sobre principios del pasado. Estas deben reflejar el panorama actual de amenazas y estar preparadas para los ataques de mañana.

La falta de concienciación y formación de los empleados está generando una brecha de seguridad en muchas ciberdefensas, algo en lo que las organizaciones deberían trabajar.   

Las personas, en el centro de la defensa

Los ataques por correo electrónico ya estaban causando verdaderos estragos antes de la pandemia del coronavirus y seguirán en la misma línea por mucho tiempo. Sin embargo, la adopción masiva del teletrabajo de manera forzada ha servido de oportunidad para ver cuáles son los ataques más comunes a los que se enfrentan las organizaciones, así como los controles que deben ponerse en marcha para defenderse de ellos. Es un ejercicio que debería de haberse hecho hace tiempo.

La seguridad de la red y de los endpoints continúa como el principal foco de atención de los equipos de seguridad. Aunque están lejos de ser el objetivo número uno de los atacantes, no por ello deben dejar de ser motivo de preocupación para las organizaciones.

Defender el perímetro es una práctica obsoleta. No hay un perímetro que defender. Los empleados están en movimiento, acceden a los datos de la empresa desde cualquier lugar y a través de distintos dispositivos, redes y plataformas fuera del entorno corporativo tradicional. Las personas son ahora el blanco de la mayoría de los ciberataques, por lo que es lógico que vayan en el centro de la ciberdefensa.

Detectar y disuadir las amenazas comunes requiere una fuerza laboral vigilante y bien informada, que sea muy consciente de su papel a la hora de mantener a su organización segura, así como estar al tanto de cuáles son las consecuencias de no hacerlo.

Esto pasa por una formación continua y adaptada de los empleados en materia de ciberseguridad. Una capacitación que vaya más allá de concienciar de forma general acerca de las amenazas comunes y que lleve a los usuarios finales a comprender cómo su comportamiento puede marcar la diferencia entre un intento de ataque y un ataque exitoso.

Una buena ciberdefensa no es suficiente para protegerse frente al panorama de amenazas tan dinámico que existe hoy en día, como así pueden comprobar organizaciones de todo el mundo. El objetivo principal de estos ataques es hacer daño a los negocios; y si la defensa no está en primera línea, habrá un único ganador.

-Martin Mackay, vicepresidente senior de Proofpoint para Emea.

VIDEOS

Advertisement
 

Resources

Advertisement