Info

El enfoque tradicional ya no es adecuado para hacer frente a las ciberamenazas

El ransomware alenta la ciberseguridad en las empresas

Cristina Mínguez21/11/2017

La seguridad es un campo de batalla en constante evolución. En 2017, el ransomware WannaCry, causante de uno de los mayores ciberataques a nivel mundial, ha supuesto un antes y un después en el ámbito de la ciberseguridad, evidenciando que muchas empresas no están protegidas adecuadamente.

Las estadísticas muestran que más de un 70% de las empresas a nivel mundial han sufrido algún tipo de brecha de seguridad, siendo un hecho que los ciberdelincuentes están perfeccionando cada vez más sus ataques. Para Luis Corrons, director técnico de PandaLabs, el cibercrimen es un negocio atractivo y muy lucrativo. “Los atacantes cuentan cada vez con más y mejores recursos, tanto técnicos como económicos, lo que les permite desarrollar ataques cada vez más sofisticados. La ciberseguridad empresarial es una carrera de fondo: una empresa tiene cientos, miles de ordenadores en sus redes, a las que hay que sumar todo tipo de dispositivos conectados a las mismas como impresoras, dispositivos móviles … y tiene que proteger todos ellos. Sin embargo, un atacante sólo tienen que comprometer uno de ellos una vez para tener éxito”.

Así, las actividades de ciberseguridad de las organizaciones se están transformando hacia la gestión de los riesgos ciber, lo que les permite conocer, analizar y gestionar programas internos de ciberseguridad enfocados a la detección, protección y contención, y recuperación ante un incidente potencial o real, comenta Javier Zubieta Moreno, responsable de Desarrollo de Negocio de Ciberseguridad en GMV Secure e-Solutions.

Aunque vamos mejorando, para Borja Pérez, director general de Stormshield Iberia comenta que “aunque las empresas están cada vez más concienciadas, lo cierto es que aún sigue resultando más complicado la aprobación de los presupuestos de ciberseguridad que los de otras áreas de IT”. En esta líea, José de la Cruz, director técnico de Trend Micro comenta que "no podemos afirmar ques estemos adecuadamente protegidos. Tengamos en cuenta que el mercado de la ciberdelincuencia avanza demasiado rápido y es necesario que las empresas aceleren la implementación de sus estrategias tanto a nivel tecnológico como a nivel de concienciación del usuario para estara preparados ante cualquier eventualidad de este tipo".

Alejandro Cadarso, Business Development for Wireless&IT Security Solutions en EinzelNet, explica que “en la compañía creemos que muchas empresas españolas, según diferentes estadísticas, entre el 40 y el 50% de ellas, todavía no consideran la ciberseguridad como una prioridad o una necesidad importante para su negocio. Incluso, entre las que si lo contemplan, observamos que en muchas ocasiones las iniciativas son en forma de proyectos de implantación de soluciones que posteriormente no son monitorizadas de manera correcta, o, bien, que al cabo de un tiempo dejan de serlo”.

Según muestran las estadísticas, más de un 70% de las empresas a nivel mundial han sufrido algún tipo de brecha de seguridad...

Según muestran las estadísticas, más de un 70% de las empresas a nivel mundial han sufrido algún tipo de brecha de seguridad.

2017 ha sido el año del rasonmware, comenta Ángel Victoria, director general de G Data España. “Y el rasonmware ha puesto de manifiesto las carencias en ciberseguridad de muchas de nuestras empresas, también de algunas de las que no lo esperábamos, medianas y grandes compañías que, a priori, si disponen de inversión y técnicos cualificados al frente de su ciberseguridad”. Por ello, advierte Miguel Ángel García Matatoros, director general de Blue Telecom Consulting, “la seguridad a partir de ahora ya no va a depender de las medidas que tome una empresa a título individual, sino de las iniciativas de todas las figuras que estén implicadas en su actividad, desde el usuario hasta el regulador, pasando por el proveedor de telecomunicaciones… El regulador, la CMT en el caso de España, debería poner a la seguridad en el centro de sus prioridades, imponiendo a los players de este sector la adopción de una serie de medidas que garanticen un nivel óptimo de seguridad en las redes de telecomunicaciones, a fin de proteger al máximo los negocio y los datos de empresas y usuarios”.

Teniendo en cuenta el escenario descrito anteriormente, las empresas deben acercarse a la seguridad cibernética de una manera más inteligente y mejorar su resiliencia digital, consideran desde la compañía BIP. Pero, según explican desde esta firma consultora, adoptar estrategias y principios de alto nivel, y ponerlos en práctica al nivel bajo no es fácil. “Pensemos en la ‘Privacidad por diseño’ introducida explícitamente por GDPR y la ‘Seguridad por diseño’ introducida implícitamente por la Directiva NIS, que requiere el compromiso de la junta e implica un proceso end2end para implementar el principio de alto nivel hasta el nivel más bajo de infraestructura de TI y socios / proveedor. Ayudar a las empresas en este proceso de end2end es exactamente el objetivo de BIP - Business Integration Partners: actuar como asesores de confianza que alinean los objetivos comerciales de los clientes con la seguridad de sus servicios”.

¿Lección aprendida?

Alfonso Ramírez, director general de Kaspersky Lab Iberia afirma en este sentido que desde luego que Wannacry ha sido una lección y un antes y un después para todos. “Las empresas cada vez tienen más en cuenta que el coste medio para recuperarse de un ciberataque de esas características es de 490.000 euros. Sin embargo, las pérdidas no acaban ahí: el impacto negativo en la reputación de la empresa debido a un fallo de seguridad puede acarrear consecuencias irreversibles en concepto de reputación. Una empresa victima de un malware lo tendrá muy difícil para conseguir nuevos clientes, y puede perder muchos de los consolidados hasta el momento”.

En paralelo a WannaCry, y más actualizado, podemos tomar el ejemplo de de Bad Rabbit, afirma Samuel Najar, Inside Sales para Europa del Sur e Israel de Netskope. Como argumenta, el malware utilizado para la campaña Bad Rabbit tiene muchas similitudes con NotPetya (o Nyetya), el ransomware que llegó a Ucrania en junio de este año. Al igual que su predecesor, la similitud no es solo apariencia (la página del rescate), sino que también se extiende a la estructura del código.

Incluso si el mecanismo de distribución es menos sofisticado y bastante 'clásico' (una actualización flash falsa distribuida mediante una técnica llamada driven-by donde los atacantes comprometen algunos sitios web para que los visitantes sean redirigidos al sitio de distribución de malware), hay al menos tres aspectos que se repiten:

  • Los cibercriminales utilizan cada vez más los ataque basados en ransomware. Si el objetivo principal es la destrucción o la ganancia monetaria, los ataque de ransomware son fácilmente repetibles y pueden propagarse muy rápidamente. Hoy en día, las aplicaciones en la nube son otro mecanismo eficiente para propagarlo rápidamente.
  • Ya sea que utilicen vulnerabilidades de día cero o ataques de fuerza bruta (como en el caso de Bad Rabbit), los mecanismos de propagación lateral se utilizan cada vez más para aumentar la velocidad de la infección. Es fundamental segmentar las redes.
  • Incluso si la atribución de estas campañas es incierta; Ucrania (y Europa del Este en general) parece haberse convertido en un campo de entrenamiento para las tendencias futuras de la ciberguerra y el cibercrimen.

“Como es habitual, es importante mantener los sistemas alineados con los parches más recientes, actualizar regularmente las tecnologías de seguridad y, en caso de epidemias como estas, controlar de cerca los boletines de seguridad: los investigadores a menudo pueden identificar fallas o soluciones que pueden ralentizar o contener la infección”, explica el responsable de Netskope.

Por su parte, Luis Redondo, director de servicios de ciberseguridad de MTP considera que aunque la organizaciones están cada vez mejor formadas y concienciadas sobre la necesidad de implantar estrategias de seguridad, sin embargo se topan con muchos y variados desafíos. Por ejemplo, uno de los eslabones más débiles de la organización es siempre el de los empleados, de ahí que la formación resulte clave en este proceso. “Luego es necesario adaptar la inversión en seguridad. Actualmente, el 84% de los ciberataques se producen en la capa de aplicación, sin embargo, la mayor parte de la inversión en seguridad se destina a la capa de la red, donde el riesgo es inferior, por lo que parece lógico que sería necesario efectuar algún tipo de ajuste”.

Para Javier Zubieta Moreno, responsable de Desarrollo de Negocio de Ciberseguridad en GMV Secure e-Solutions...

Para Javier Zubieta Moreno, responsable de Desarrollo de Negocio de Ciberseguridad en GMV Secure e-Solutions, los profesionales de ciberseguridad en España tienen una alta cualificación y su nivel se considera alto comparados con los países equivalentes.

Preparándose para la normativa GDPR

Podríamos decir que la llegada de la nueva normativa GDPR es un nuevo acelerador a sumar en las organizaciones para proteger mejor la información y los datos que se almacenan en las compañías, según comenta José María Ochoa, Director de Estrategia Corporativa, Marketing y Comunicación OneseQ (By Alhambra-Eidos). “Hay un dicho que dice ‘el miedo guarda la viña’ y en ciberseguridad es rápidamente aplicable. Si no tenemos miedo a un ataque porque pensemos que nuestra empresa no es susceptible de recibir ataques (gran error, por cierto), sí que el miedo a una importante sanción de la Agencia por no tener bien protegidos los datos, puede llevar a las organizaciones a tomar medidas al respecto”, comenta.

Eso sí, las empresas deben saber que contar con proveedores que ofrezcan servicios GDPR Compliance les hace cumplir con la normativa y es un gran paso para lograr adecuarse a esta nueva normativa sin necesidad de grandes despliegues. Por ejemplo, contar con proveedores de Servicios Cloud que manejan sus datos y que tengan este sello de GDPR Comliance, que cuenten con sellos de calidad como la ISO27018 de Protección de Datos Personales en la Nube, una normativa que aplica más de 90 controles de seguridad sobre los sistemas donde se alojan los datos.

Según el último estudio de Sophos, el 80% de las pymes desconoce las implicaciones del nuevo Reglamento General de Protección de Datos y un 55% no cree que vaya a ser capaz de cumplir con la normativa ante de la fecha límite, que es en mayo de 2018. “Está claro que existe desconocimiento y preocupación entre las empresa por la entrada en vigor de esta normativa, y que poco a poco las empresas están aumentando su interés por soluciones que pueden reducir las fugas de datos”, afirma Alberto Ruiz-Roda, Presales Engineer for Spain and Portugal de Sophos.

El GDPR responde a un aumento de los ciberataque y una búsqueda de colaboración entre las entidades públicas y privada para remediarlo, comenta el responsable de Panda. “Para las organizaciones este nuevo escenario supone un reto y una gran responsabilidad pero, sin duda, la nueva normativa tiene que ser vista por las empresas como una oportunidad para desarrollar una mejor comprensión de su universo de datos y utilizarlo para obtener una gran ventaja estratégica”.

Para José de la Cruz...

Para José de la Cruz, director técnico de Trend Micro el mercado de la ciberdelincuencia avanza demasiado rápido y es necesario que las empresas aceleren la implementación de sus estrategias tanto a nivel tecnológico como a nivel de concienciación del usuario.

La llegada de Blockchain y las monedas vituales

En los últimos años el uso de criptomonedas (bitcoin, ethereum, monero, etc.) se ha popularizado mucho y la tecnología blockchain ha demostrado su valía tanto en el campo de las criptomonedas como en otros no relacionados, y cada vez más empresas están implicadas en proyectos relacionados.

Desde el punto de vista de la ciberseguridad, comenta Ángel Victoria, G Data, Bitcoin es un sistema seguro, ágil (elimina intermediarios al estar totalmente descentralizado) y económico (sin centralización, no hay bancos ni comisiones ni ningún tipo de coste añadido) tanto para el comprador como para el vendedor. “Además tiene una peculiaridad que, en principio, no tiene que ser buena o mala… pero que en este caso ha facilitado que las criptomonedas se hayan convertido en una pieza esencial en el engranaje de la industria cibercriminal y, más concretamente, ha contribuido al éxito de las campañas de ransomware”.

Acerca de las criptomonedas, Alejandro Cadarso, Einzelnet, considera que es muy importante diferenciar la tecnología Blockchain y la moneda en sí. “Personalmente no me atrevo a predecir si son seguros o qué futuro tendrán este tipo de monedas virtuales. En cuanto a Blockchain percibimos que tendrá un desarrollo muy importante en los próximos años, sobre todo en lo que tiene que ver con contratos, relaciones de los ciudadanos con gobiernos, inmutabilidad y privacidad de información. Se trata de una forma de gestionar cualquier tipo de información, garantizando la seguridad como nadie antes lo había logrado”.

Alberto Ruiz-Roda, Sophos, cree que más que la seguridad de la criptomoneda en sí, “debemos analizar la seguridad de la ‘wallet’ (cartera) asociada. Hay muchos tipos: en local, en nube, en hardware. Cada uno con sus pros y contras, pero ahí es donde está el problema de la seguridad. En definitiva, hay que buscar un compromiso de seguridad y usabilidad, donde tener varias cuentas será la solución que nos permita tener una cierta cantidad para ‘utilizar’ y que en caso de vulneración no suponga el robo de todas las que tengamos”.

En la misma línea, Mario García, Check Point, considera que tanto los tokens (la unidad básica de las criptomonedas) como la tecnología blockchain ofrecen buenas medidas de seguridad, por lo que en la actualidad los ciberdelincuentes se centran en buscar otras formas de atacar a los usuarios. “Uno de los ataques más comunes relacionados con los bitcoins es la instalación de botnets en redes corporativas con muchos ordenadores para que minen criptomonedas por ellos. Esto es especialmente arriesgado su una organización utiliza máquinas virtuales escalables den un entorno de nube pública con un nivel bajo de protección. Por esta razón, las compañías deben blindarse con tecnología avanzada de prevención de amenazas y protección anti-bot o arriesgarse a pagar los tokens de otra persona”.

Falta de expertos

Las empresas están comenzando a tomar conciencia de la necesidad de tomar medidas de ciberseguridad, lo que supone un aumento de demanda de este tipo de profesionales en las organizaciones, comenta con José de la Cruz, Trend Micro.

Aunque en España existen diversas instituciones que forman profesionales de seguridad, con titulaciones superiores y técnicas, así como cursos privados paralelos a la formación reglada, “sin embargo existen evidencias que alertan de la falta de personal con competencias no solo en el campo de la seguridad sino en lo que denominamos competencias STEM que abarca ciencias, tecnología, ingeniería y matemáticas”, comenta Eduard Palometas, de CA. “En este sentido, desde CA mantenemos un compromiso firme para fomentar las competencias STEM entre los jóvenes, tratando de estimular mediante acciones de voluntariado a los alumnos de secundaria para que valoren la posibilidad de encauzar sus estudios hacia carreras técnicas y científicas”.

Para Borja Pérez, Stormshield, falta personal que conozca las soluciones más adecuadas para su entorno, y sobre todo que sea capaz de mantenerlas y sacarles partido. “Esto provoca a veces una situación pero que la de no estar protegido, que es la de pensar que sí se está. El simple hecho de tener herramientas a veces genera un clima de confianza no justificada”.

Javier Zubieta Moreno, GMV Secure e-Solutions, considera que los profesionales de ciberseguridad en España tienen una alta cualificación y su nivel se considera alto comparados con los países equivalentes a nosotros. “No obstante, actualmente existe una altísima demanda, que afecta a proveedores de servicios como GMV, lo que nos obliga a redoblar los esfuerzos tanto en contratación, como en formación contante y retención”. Para Zubieta, la actividad actual de ciberseguridad requiere de equipos variados. El puro especialista en ciberseguridad debe pertenecer a grupos multidisciplinares bien dirigidos, en los que se incluyen otros especialistas como los matemáticos, estadísticos, criminólogos, investigadores, expertos jurídicos. Por lo tanto, el viejo esquema de que la seguridad informática era cosa de informáticos y telecos ya no aplica y obliga a hacer replanteamientos”.

Por su parte, Mario García también considera que nuestro país necesita más profesionales en ciberseguridad, pero es difícil encontrarles, ya que por una parte tienen que ser expertos en redes y, además, también deben tener conocimientos avanzados en endpoint, lo que hace que las empresas estén menos seguras. “Desde Check Point España lo que hacemos para solucionar esto es fichar jóvenes talentos que provienen de las mejores universidades y les enviamos a Israel durante tres meses para que se formen. Ya que en nuestro país no existe todavía la educación específica que necesitan, llevarles a la capital mundial de la ciberseguridad es la mejor opción para que puedan proteger a las empresas y las administraciones públicas de todo el mundo”.

Luis Redondo...

Luis Redondo, director de servicios de ciberseguridad de MTP advierte que uno de los eslabones más débiles de la organización es siempre el de los empleados, de ahí que la formación resulte clave en este proceso.

Mario García, director general de Check Point para España y Portugal advierte que si una organización no cumple con la nueva normativa se arriesga a ser sancionada gravemente (las multas por incumplimiento serán de hasta 20 millones de euros). “Las compañías tendrán que tener en cuenta la nueva definición de ‘datos personales’, que será común a todos los países miembros de la Unión Europea. En ella se incluyen las direcciones de email, las IPs y el contenido publicado en redes sociales almacenado por la compañías. Por lo tanto, deben protegerlos con el mismo ímpetu que la demás información sensible”.

Explica Mario García que también deben saber que, aunque los datos que manejen estén almacenados fuera de la fronteras de la UE, si opera en algunos de los Estados miembros debe cumplir con la nueva normativa.

Por último, si bien la nueva legislación aumentará el alcance de la responsabilidad de las organizaciones, también ofrece la oportunidad de revisar sus actuales prácticas de almacenamiento y de ciberseguridad”.

Para Samuel Najar, a medida que la organizaciones comiencen a actuar para cumplir con GDPR, una de las áreas más difíciles de abordar será la nube. “Uno de los mayores problemas que surge en torno a la nube es que todo los datos personales se procesan en cloud, y los equipos de TI y seguridad no tienen visibilidad no control sobre lo que está sucediendo con los datos. Entonces, ¿cómo deberían los equipos de seguridad proteger el uso de la nube sin bloquear todo e inhibir la productividad de los empleados”.

El responsable de Netspkope considera que a través de tres puntos clave:

  • Cumplir con los requisitos de GDPR en la nube
  • Hacer un seguimiento de los flujos de datos personales en todos los servicios en la nube y evaluar cuantitativamente el riesgo de la nube)
  • Proteger los datos personales con políticas, controles de acceso, cifrado, capacidades anti-malware y más

El Informe Cloud de Netskope relativo a septiembre de 2017 muestra:

  • Al analizar más de 25.000 aplicaciones en la nube existente se observa que solo el 24,6% de los servicios en la nube están preparados para GDPR.
  • Las empresas utilizan de media 1.022 servicios en la nube.
  • Webmail representa el 42,3% de la violaciones de políticas de protección contra fuga de información (DLP).
Actualmente, el 84% de los ciberataques se producen en la capa de aplicación

Actualmente, el 84% de los ciberataques se producen en la capa de aplicación.

Un futuro incierto

Visto este panorama, si nos planteamos cómo habrá cambiado el escenario en diez años y si el mundo será un lugar más o menos seguro en lo que al cibercrimen se refiere, Miguel Ángel García Matatoros, BlueTC, considera que simplemente será “un mundo distinto. Nos enfrentaremos a problemas de seguridad a los que hasta ahora no hemos tenido la necesidad de hacerlo, simplemente porque responderán a tecnologías y modelos de negocio que ahora no existen. Sobre todo, el machine learning, la inteligencia artificial y el desarrollo de las capacidades cognitivas de las máquinas van a cambiar las tecnologías tal y como las conocemos hoy y la forma de interactuar con ellas. Y esas tecnologías son las que a su vez nos ayudarán a desarrollar sistemas más seguros, esperemos”.

Por su lado, Alfonso Ramírez, Kaspersky, teme que el cibercrimen seguirá avanzando y buscando nuevas estrategias para conseguir más víctimas, “así que a la industria de la ciberseguridad no nos queda otra que seguir investigando y trabajando para ponerle fin con soluciones de seguridad y con concienciación para los usuarios, que son el eslabón más débil y los que dan entrada a la mayoría de los ataques en sus dispositivos, personales o de empresa”.

Luis Corrons, PandaLabs, considera que el escenario dentro de una década será menos seguro. “Vamos a estar conectados completamente, en sentidos que aún no somos capaces de imaginarnos. Nuestro día a día dependerá de internet, y la superficie de ataque va a crecer de forma exponencial, por lo que, aunque la seguridad mejore en todos los aspectos, el número de ataques crecerá, por lo que cuando menos la percepción general será que el mundo es menos seguro”.

“Pensemos que Internet, el IoT, y todo este tipo de tecnologías son todavía ‘novedosas’ (llevamos casi 50 con ellas) pero si hacemos un símil con la industria del automóvil (surgida en 1890), vemos que un coche de 1940 (50 años más tarde) era menos seguro que uno actual”, propone Alberto Ruiz, Sophos. “Del mismo modo sucederá con el mundo interconectado que viene. También es cierto que, si en 1940 hubiese escasez de combustible, afectaría muchísimo menos que ahora donde tenemos una gran dependencia. Sucederá lo mismo en 10 años: a día de hoy ya tenemos una gran dependencia de IT y en 10 años todavía más, por lo que, la seguridad aumentará. Un problema, por pequeño que sea, tendrá un impacto mayor”, señala.

"Existen evidencias que alertan de la falta de personal con competencias no solo en el campo de la seguridad sino en lo que denominamos competencias STEM que abarca ciencias, tecnología, ingeniería y matemáticas"

"El impacto negativo en la reputación de la empresa debido a un fallo de seguridad puede acarrear consecuencias irreversibles en concepto de reputación. Una empresa victima de un malware lo tendrá muy difícil para conseguir nuevos clientes, y puede perder muchos de los consolidados hasta el momento"

"El regulador, la CMT en el caso de España, debería poner a la seguridad en el centro de sus prioridades, imponiendo a los players de este sector la adopción de una serie de medidas que garanticen un nivel óptimo de seguridad en las redes de telecomunicaciones, a fin de proteger al máximo los negocio y los datos de empresas y usuarios"

Empresas o entidades relacionadas

Alhambra IT - Alhambra Systems, S.A.

Comentarios al artículo/noticia

Deja un comentario

Para poder hacer comentarios y participar en el debate debes identificarte o registrarte en nuestra web.