La ciberseguridad sigue siendo un asunto pendiente en las empresas
El viaje hacia la ‘confianza cero’
Las consecuencias de un ciberataque son numerosas y pueden incluso provocar el cierre de un negocio o de una empresa. Según indica Sergio Martínez, Country Manager de SonicWall, actualmente, tan solo el 11% de las empresas considera que tiene suficiente capacidad informática interna para hacer frente a cualquier ciberataque. Se calcula que más del 50% de las empresas que sufren un ciberataque importante, tarda más de cinco horas en detectarlo y, un número importante de ellas, conviven con él durante algunas semanas o meses.
Y es que, para este portavoz, nunca hemos estado tan expuestos. “Nuestros datos a nivel mundial indican que una empresa promedio recibió 1.014 ataques de ransomware durante los tres primeros trimestres de 2022 y el 91% de los CIO e IT Managers de todo el mundo aseguran que su mayor preocupación actual son los ataques de motivación económica”.
Alberto Carrillo, Iberia Sales Engineering en Hillstone.
Crece la concienciación, pero faltan medidas reales
Aunque de forma aún muy lenta, las empresas van tomando conciencia de la importancia de implantar soluciones de seguridad. Como comenta Javier Hidalgo, Arquitecto de Soluciones del Sector Industria de GMV, “desde la compañía hemos observado un cambio de actitud en lo referente a la concienciación de las empresas, espacialmente en aquellas que cuentan con fábrica o línea productiva y, por lo tanto, entorno de operaciones (OT), motivado por las experiencias negativas sufridas por diversas empresas a nivel nacional con ataques rasomware o similares en sus infraestructuras, tanto IT como OT. Para Hidalgo, también se observa un mayor interés por aspectos como ‘threat intelligence’, así como en análisis forense.
José Luis Paletti, senior security engineer de WatchGuard coincide en que, durante la pandemia, sin duda, los responsables tuvieron que adaptarse y aprender de situaciones de riesgo que nunca antes se habían presentado. “El problema actual sigue siendo que, aun siendo conscientes de la situación, se depende de la validación externa de presupuestos, lo que conlleva que, en muchos casos, no se puedan implantar medidas que son realmente de base”.
“Cada vez hay una mayor concienciación de los riesgos”, asume Alberto Carrillo, Iberia Sales Engineering en Hillstone. Uno de los factores que ha ayudado a esto es que los ataques cada vez tienen una mayor repercusión en los medios de comunicación… el problema es que sólo llega a los medios los ataques grandes, a entidades con renombre, lo cual aleja la percepción de peligro a determinados sectores. “Pero la realidad es que se producen alrededor de 40.000 ataques mensuales a clientes pequeños y medianos, convirtiéndose en el sector más rentable a la vez que en el más desprotegido…. Es por tanto responsabilidad de los fabricantes simplificar y facilitar la adopción tanto por coste como por complejidad. Hillstone ayuda a esta tarea de facilidad de uso y coste menos elevado gracias a incorporar IA y ML en sus soluciones”.
Daniel Rodríguez, director general de Redtrust.
Asimismo, en opinión de Daniel Rodríguez, director general de Redtrust, en los últimos cinco años, con el teletrabajo y la necesidad de incorporar un plan de continuidad de negocio, “las compañías han empezado a concienciarse de la importancia de proteger sus identidades; desde custodiar sus certificados digitales y tener una disponibilidad total de los mismos, hasta extender su uso más allá de la autenticación segura en sedes electrónicas, pasando por firmar digitalmente con el certificado controlado”.
La situación del certificado digital en España es totalmente pionera, la apuesta de la administración pública desde hace años ha hecho que las empresas adopten el certificado digital también de manera interna. “Y es que las capacidades y los beneficios de un sistema de criptografía asimétrica están más que probados”, comenta el director general de Redtrust. Como explica este directivo, la actual ley europea 910/2014 (eIDAS) ha fortalecido el uso del certificado digital haciéndolo transfronterizo, de manera que la posición que ocupa España en este sentido es totalmente ventajosa respecto al resto de países de la Unión Europea. “Esto ha provocado un despegue a nivel europeo, donde las empresas del sector en España, se están beneficiando notablemente, dado los años que llevan gestionando estos problemas y buscando soluciones”, indica Daniel Rodríguez.
No obstante, para Alberto R. Rodas, Sales Engineer Manager en Sophos, la concienciación no ha aumentado tanto como debería. “Seguimos viendo empresas que confían su seguridad en herramientas básicas que luego nadie monitoriza por lo que los atacantes tienen prácticamente vía libre para hacer sus fechorías”, comenta. Tal y como advierte, “esto no sólo pasa en pequeñas empresas como se suele pensar, sino que incluso vemos grandes corporaciones recientemente atacadas, por no hablar de la cantidad de empresas y organismos públicos que tienen vulnerabilidades ya parcheadas todavía expuestas a Internet, esperando recibir un ataque sin oposición alguna. Por tanto, si bien es cierto que el mercado se mueve, no es tanto como pensamos que deberían y todavía queda mucho por concienciar”.
Alberto R. Rodas, Sales Engineer Manager en Sophos.
Nuevas amenazas derivadas del conflicto bélico
Según el último estudio de tendencias de IDC, los ataques de ransomware crecieron un 68% durante 2022 en Europa, indicativo de que el refuerzo en la protección de los datos es estratégico.
Pablo Juan Mejía, director general de Realsec by Utimaco ve como “en todo avance o desgracia, como es el caso de la Guerra de Ucrania, es siempre aprovechado por los ciberdelincuentes, que ven una oportunidad de ataque en las movilizaciones y acciones de ayuda con la que apropiarse de los datos personales de ciudadanos y organizaciones a través del phishing. También el dirigir ataques al ciberespacio y la seguridad nacional de los Estados, obligándoles a reforzar sus estrategias y procesos de ciberdefensa ante estos riesgos”.
Para Eduardo Arriols, responsable de ciberseguridad en el Grado de ‘Ingeniería del Software-mención ciberseguridad’ de U-tad, además de las comunes que afectan cada año a la organizaciones y entidades europeas como son escenarios de malware, cibercrimen o filtraciones de información para ataques dirigidos, este año se han incrementado ciertas actividades delictivas debido al conflicto entre Rusia y Ucrania. “Países como España se han visto afectados por ataques, principalmente de malware, en compañía privadas y organismos públicos, siendo estos originarios de Rusia”.
“Como viene siendo habitual, los ataques de tipo ransomware han representado la amenaza más detectada por nuestros motores”, apunta por su lado José de la Cruz, director técnico de Trend Micro Iberia. “Según nuestro informe relativo a la evolución de amenazas en lo que llevamos de año, ‘Defending the Expanding Attack Surface’, se ha detectado en 2022 un incremento de ataques rasomware 10 veces superior al observado en 2021”. No obstante, para José de la Cruz, “irónicamente, el conflicto bélico no ha representado una gran influencia en estos pues ha tenido incluso consecuencias negativas para algunos grupos de cibercrimen con es el caso del grupo CONTI, de origen ruso y ucraniano, el cual ha llegado a disolverse como consecuencia de las diferencias ideológicas existentes dentro del mismo”.
Javier Hidalgo, arquitecto de Soluciones del Sector Industria de GMV.
Vectores de ataque más frecuentes
Los intrusos buscan continuamente nuevos vectores de ataque en una carrera sin fin. Según resalta Sergio Martínez, SonicWall, “como se ha comentado, tras la pandemia, con la proliferación del teletrabajo con las TI distribuidas y cambiantes, los ataques han proliferado y se han sofisticado. Son mucho más dirigidos, con motivaciones económicas o de robo de información sensible”. Como explica Martínez, el perímetro además ha desaparecido, por lo que la superficie de exposición se ha disparado. “Ante este panorama se precisa un plan nuevo de ciberseguridad, preparado para lo peor, y es aquí donde el canal juega un papel fundamental, como departamento de ciberseguridad de innumerables pymes”. En este punto, para Borja Pérez, Country Manager de Stormshield Iberia, el vector de ataque más frecuente “sigue siendo el endpoint, o mejor dicho el usuario que está delante del endpoint, al que se intenta engañar para acceder a la red de la organización. En este sentido, las ventanas emergentes, los archivos adjuntos sospechosos de usuarios desconocidos y los programas instalados a través de sitios no oficiales o “torrent” son algunos de los peligros potenciales que los usuarios han de evitar”. Según el responsable de Stormshield, adicionalmente, “también están aumentando los llamados ciberataques a la cadena de suministro. Los ciberdelincuentes infectan las aplicaciones con la esperanza de contagiar luego a los clientes del software, normalmente a través de una actualización”.
Gonzalo Echeverría, Country Manager para Iberia.
Por su lado, Javier Hidalgo, GMV, apunta que, por lo general, el principal vector de ataque es la propia superficie de ataque ampliada que tenemos en la actualidad, fruto de la incorporación de estas tecnologías (IoT, cadena de suministro, etc…), además de la incorporación del teletrabajo desde la pandemia, y los proveedores que se conectan mediante conexiones remotas, habiéndose dado casos de ataques a empresas que han venido desde las redes de algunos de estos proveedores, utilizados como punto de salto. “Al aumentar la superficie de ataque, aumentan las posibles amenazas. Además de esto, sigue siendo claro el factor humano, que por desgracia sigue siendo el punto más débil de la cadena de la ciberseguridad”, señala Hidalgo.
En esta misma línea, John Shier, Security Advisor en Sophos, considera que los vectores de ataque más frecuentes siguen siendo los servicios expuestos mal protegidos, los sistemas y las aplicaciones sin parches, así como los ataques contra los usuarios. “Los intermediarios de acceso inicial (IAB) y sus primos menos precisos, los mercados de acceso mayorista (WAM), han generado toda una industria de ataques contra las infraestructuras débiles y brechas antiguas, respectivamente. Mientras tanto, los usuarios están sometidos a un bombardeo constante de spam e intentos de phsing procedentes de todos los rincones del panorama cibercriminal”, apunta Shier.
Eduardo Arriols, responsable de ciberseguridad en el Grado de ‘Ingeniería del Software-mención ciberseguridad’ de U-tad.
Pero, ¿cambia esto la manera en que deben protegerse las empresas? Para Eduardo Arriols, U-tad, las organizaciones deben ir adaptando sus comprobaciones de seguridad y la dedicación de recursos, siendo conscientes de las mejoras que van implementando y tácticas que están siendo utilizadas. “Cada organización debe ser consciente del nivel de madurez existente en su entorno, y analizar de forma continuada las posibles mejoras en los ámbitos donde se cuente con un menor nivel de seguridad”.
Desde Zyxel, Gonzalo Echeverría, Country Manager para Iberia, advierte que necesitamos hacer todo lo posible para proteger las redes de todas las formas posibles. “El gran volumen y la sofisticación de las amenazas que ahora se generan ha llevado a que el sandbox se convierta en un componente esencial de las defensas digitales de la red. También se ha vuelto mucho más importante proteger los sistemas del tiempo de inactividad. La transformación digital ha llevado a una dependencia aún mayor de las redes y la conectividad, y a medida que se vuelven más críticas para la misión, también lo hace la necesidad de protegerlas de posibles interrupciones”.
“El planteamiento tradicional donde la estrategia de ciberseguridad se centraba en la protección ha cambiado”, coincide desde Trend Micro José de la Cruz. “El modelo zero-trust de Forrester establece en su tercera premisa “asumir la brecha”, es decir, debemos asumir que los atacantes, cada vez más profesionales y organizados, conseguirán sus objetivos. El nuevo planteamiento se basa en la detección temprana: cuanto antes detectemos un ataque, menor será el impacto económico, operativo y reputacional. En este sentido tecnologías como XDR, las cuales analizan la telemetría y detecciones en todos los vectores posibles, contribuyen de manera decisiva en reducir dicho impacto”, señala de la Cruz.
Borja Pérez, Country Manager de Stormshield Iberia.
Factores a tener en cuenta
A la hora de diseñar una estrategia de seguridad, “ésta varia en función de que seamos un objetivo prioritario o no por la actividad que se desarrolla”, advierte José Luis Paletti, WatchGuard. “Normalmente, las grandes corporaciones son objeto de ataques más precisos y adaptados, APT, y la pequeña y mediana empresa lo son de ataques menos sofisticados técnicamente hablando, pero más nefastos a nivel de impacto. Siempre debemos tener presente aquellas medidas de seguridad que son básicas a nivel de protección de los activos de la compañía, hablamos de equipos, terminales móviles y datos que manejamos, así como el acceso a todos ellos, con una importante capacidad de reacción y alerta, independientemente del tamaño del entorno. Estas tecnologías, hoy por hoy, son accesibles para todo tipo de empresas, por coste e implantación técnica”, indica Paletti.
En opinión de Borja Pérez, Stormshield, los departamentos financieros, gestores de TI o incluso Recursos Humanos continúan siendo los principales objetivos de los ciberdelincuentes, y la razón principal es que operan o administran infraestructuras y a menudo tienen privilegios elevados para los sistemas de información de las organizaciones. “Aunque a priori esto parece que podría aplicar más a una gran organización, lo cierto es que cualquier empresa puede verse afectada. En este sentido, la estrategia de seguridad debe adaptarse o cambiar en la medida en la que varían los activos a proteger. Es fundamental un estudio de riesgos e intentar mitigar todo lo posible”, señala.
John Shier, Security Advisor en Sophos.
Por su lado, Sergio Martínez, SonicWall, apunta a la realidad de que el 90% de los incidentes de ciberseguridad se deben a errores humano, lo que supone una gran ventaja para los ciberdelincuentes y un asunto que deben resolver las empresas con urgencia. “La actividad de un empleado durante su jornada laboral, simplemente por utilizar Internet con sus fallos de seguridad de red, puede ser incluso más peligroso que los ataques que vienen de fuera. La falta de información y formación son las principales causas del factor humanos a la hora de sufrir ciberataques, por tanto, el principal reto es invertir en formación de los empleados, desarrollar una cultura de ciberseguridad y responsabilidad asociada al correcto uso de la información y los datos sensibles de las empresas”.
“Por tanto, la construcción de una nueva ciberdefensa es básica y obligatoria, por capas, preparada para detectar todo tipo de ataques de corte conocido y desconocido, con visibilidad central para poder responder en tiempo real, y todo a un TCO asequible para una pyme. Y en todo este nuevo entorno, la puesta en marcha de un antivirus de nueva generación, con capacidad de roll-back, como ultima defensa en fundamental”, advierte Sergio Martínez.
José Luis Paletti, senior security engineer de WatchGuard.
Nuevos modelos de seguridad
Más allá de la seguridad tradicional han surgido en los últimos años concepto como Zero Trust o SASE que implican nuevos modelos de seguridad para una protección más allá del perímetro, que van calando lentamente en las empresas, que en los últimos años están asistiendo a un boom de nuevos servicios y siglas a veces complicadas de asimilar.
“Se empieza a entender y poco a poco vamos teniendo más consultas al respecto, donde vemos que quien lo prueba se lo queda. Este tipo de soluciones dan más seguridad, pero, lo que también es importante, más facilidad a los usuarios”, comenta Alberto R. Rodas, Sophos, quien añade: “siempre hemos pensado que los sistemas más seguros son más engorrosos, implican más problemas a la hora de usarlo, pero ZTNA (Zero Trust Network Access) hace todo esto transparente”.
Y es que, como indica Alberto Carrillo desde Hillstone, los fabricantes tienen que realizar una labor pedagógica para dar a conocer conceptos de ciberseguridad ya que la nomenclatura, las siglas, los anglicismos, etc, alejan la seguridad de determinados sectores que piensan que la seguridad es compleja y no es para ellos. “La parte de Zero Trust es importante para demostrar que el acceso además de remoto es seguro. Este tipo de mensajes pedagógicos son los que facilitan la adopción de la tecnología. No solo es importante tener un buen producto, sino explicarlo al alcance de todos”.
José de la Cruz, director técnico de Trend Micro Iberia.
En palabra de Gonzalo Echeverría, Zyxel, el mensaje va calando. “Las empresas deben adoptar una actitud de “nunca confies, siempre verifica”. Este enfoque, también llamado Zerto Trust, requiere que se verifique la identidad de cada usuario que intente acceder a una red, por ejemplo, a través de la autenticación multifactor”.
En este sentido, Javier Hidalgo, GMV, apunta que estos conceptos se entienden mejor en aquellas organizaciones que han comprendido de manera adecuada el concepto de perímetro ampliado, tanto por la incorporación de tecnologías cloud e IoT, interconexión de sistemas IT y OT, así como por la presencia de trabajadores y activos en movilidad y teletrabajos. “En el caso de aquellas organizaciones que no han adoptado este perímetro ampliado como en aquellas que lo han adoptado, pero sin gestionar de manera adecuada los riesgos de dicho salto, se sigue tendiendo a adoptar aproximaciones más tradicionales, que pueden no ser suficientes como para proporcionar los adecuados mecanismos de protección ante este nuevo escenario, o hacer que el esfuerzo de proporcionar estos niveles de protección sea más elevado, tanto en necesidad de recursos como en inversión económica”.
Pablo Juan Mejía Country Manager REALSEC by Utimaco.
Ciberdelincuencia, un gran negocio totalmente industrializado
“Situaciones como las propiciadas en el grupo CONTI (compuesto por miembros rusos y ucranianos) a raíz de la guerra de Ucrania han derivado en filtraciones de datos muy relevantes sobre el modus operandi de las mismas”, apunta por su parte José de la Cruz en Trend Micro.
Por ejemplo, en el caso de CONTI se supo que era una organización muy extensa con una jerarquía bien definida, departamentos específicos para cada función (RR.HH., desarrollo, operaciones, etc.) y una rentabilidad envidiable. “Pero también se ha descubierto que existen pymes dentro del mundo del cibercrimen, con organizaciones muy pequeñas que, a pesar de su tamaño, operan de manera efectiva y son muy rentables. En definitiva, lo que hemos aprendido es que estas organizaciones están sobradamente preparadas para atacar de manera dirigida y efectiva. Es este motivo por el cual debemos entender que un cambio en la estrategia es fundamental”, concluye de la Cruz.
Sergio Martínez, Country Manager de SonicWall.
Un futuro, ¿más seguro?
“Actualmente es muy difícil, si no imposible, estar 100% protegido de vectores que permitan a un atacante acceder a la organización, motivo por el que se vuelve imprescindible mejorar las capacidades de detección y respuesta a incidentes, que permitan a la organización responder de manera eficiente y eficaz ante un posible incidente. España está trabajando en mejorar su seguridad, pero aún hay mucho que hacer”, comenta Eduardo Arriols, U-tad.
En este sentido “hay que destacar la labor del gobierno y del plan nacional de ciberseguridad”, considera Alberto Carrillo. Para el responsable de Hillstone se ha hecho una labor importante, pero todavía queda un gran recorrido desde el punto de vista de educación y cultura. “La digitalización es un reto en si mismo. Estamos en una carrera en la que hay protegerse de los restos que vienen en el futuro”.
Por su lado, Pablo Juan Mejía, Realsec by Utimaco, apunta que, aunque hay camino recorrido, el sector público aún tiene deberes pendientes en materia de digitalización y seguridad que fomenten la confianza digital por parte del ciudadano. “Según datos de nuestro reciente estudio de seguridad digital el 50% de los españoles muestra protección por la protección de sus datos ante las opciones digitales ofrecidas. Véase los recientes ataques y exposición de los datos personales y financieros de contribuyentes de Hacienda en España, así como de los datos de los miembros de las fuerzas y seguridad del estado español, lo que repercute, de un modo muy directo, en la Seguridad Nacional”, indica Mejía.
Si hablamos de soluciones específicas como los certificados digitales, según explica Daniel Rodríguez, Redtrust, el mercado español es hoy por hoy uno de los mercados más maduros en cuanto a este tipo de soluciones. “Este hecho va a favorecer que España vaya siempre un paso por delante frente a otros mercados. De hecho, ya hay empresas que van más allá y dando una vuelta de tureca más, tanto en gestión de los certificados digitales, como del IAM en general. Los nuevos retos, ya no sólo a nivel español sino también internacional, vendrán dados con los nuevos algoritmos post-quantum y para ello hay que estar preparado, por eso creo que el mercado español va a ser uno de los mejores en este y en otros muchos aspectos”.