Según el diccionario Real Academia Española, una máxima es una: "Regla, principio o proposición generalmente admitida por quienes profesan una facultad o ciencia."

Como especialistas en la materia queremos que al final de este artículo, puedas incorporar a tu día a día algunos conocimientos comunes de ciberseguridad que te ayudarán este 2023. 

Algunos consejos del mundo real que pueden ayudar a reducir el impacto de un ataque:

La Ciber - Resiliencia es la capacidad de una organización para prevenir, resistir y recuperarse de incidentes de ciberseguridad.

Tener el mindset actualizado frente las amenazas es fundamental

Tener una mentalidad de ciberseguridad que trabaja "sabiendo" que "Es una cuestión de 'cuándo' y no 'si' un atacante obtiene acceso inicial", permite trabajar la ciberseguridad de manera holística y ayuda a establecer prioridades. La mayoría de los ataques cibernéticos actuales no comienzan con atacantes que hackean un firewall externo.

El Phishing sigue siendo el campeón cuando hablamos de modus operandi de ataques. Es importante entender que Phishing, no es un ataque en sí, si no, la etapa inicial de muchos tipos de ataques, una táctica de acceso inicial. Un ataque que utilice Phishing como una de sus tácticas puede iniciar un ataque de ransomware, o bien, puede implantar un “minerador” de criptomonedas que trabajará "en silencio”, consumiendo recursos de la empresa para “minerar” cripto-activos, además, de muchos otros tipos de ataque. 

A pesar de que existen excelentes tecnologías anti-phising en el mercado y que las campañas de concientización de usuarios finales (awareness) nos ayuden en esto, ninguna "solución" es 100%. Ha quedado demostrado que el usuario final, por más entrenamiento y concientización se realice, sigue siendo un vector digno de seguir utilizando.

Probablemente, tarde o temprano, un atacante enviará un correo electrónico malicioso que se entregará con éxito en el buzón de correo de un usuario desprevenido. Eventualmente, este usuario caerá en el engaño y tomará una acción que le dará acceso inicial al intruso, ya sea revelando las credenciales de su cuenta o ejecutando el malware del atacante.

Soluciones antimalware son super importantes y eficaces, sin embargo, como ya debes haber entendido, no son imposibles de eludir. Ciberdelincuentes sofisticados frecuentemente pueden eludir estas protecciones.

Las empresas deben prepararse para un ciber ataque exitoso mediante la implementación de defensas en capas que limiten y mitiguen las amenazas.

En casos de ransomware el cifrado de archivos y las demandas de rescate son los ÚLTIMOS pasos del ataque, muchas cosas han pasado antes

Los atacantes utilizan otros tipos de malware inicialmente, para obtener un punto de apoyo inicial en el ambiente, luego se moverán en el entorno e intentaran elevar privilegios. Entonces extraen la mayor cantidad de datos que pueden. Su objetivo es permanecer infiltrados, desapercebidos hasta que no tengan ningún otro propósito. Si son atrapados, o no tienen más que hacer, detonarán el ransomware y se irán. Esto significa que es poco probable que un ataque de ransomware se aísle en un solo sistema.

O sea, cuando vemos los archivos cifrados y una nota de rescate, es la fase final del ataque. El atacante podría haber estado en su entorno durante 3-6 meses, de hecho, 207 días es la cantidad promedio de días que cibercriminales están dentro de los sistemas de una empresa antes de ser descubiertos. Por esto, es importante entender cómo funcionan los ataques; qué, como y porqué estás aplicando combinaciones de varias técnicas de mitigación para proteger su entorno.

NO olvidar que un ataque puede ser solo una bomba de humo que oculta el verdadero ataque, es por eso que el equipo de respuesta debe estar mirando diferentes flancos.

Identificar, proteger, detectar, responder y recuperar

Siempre es importante mantener un lineamento estratégico, tomar un framework y adaptarlo a la realidad de nuestra infraestructura. Cabe destacar la ultima fase del framework de NIST “Recuperar”, la cual debe estar considerada para minimizar el impacto tanto a nivel operativo como de imagen. Si todo lo anterior falla, y nos vemos envueltos en un ciberataque lo importante es saber como contenemos, respondemos y recuperamos. Mantener procedimientos claros, detallados e informados debidamente a todos los participantes de este, generar instancias de prueba de un plan de recuperación son elementos sencillos que no se deben pasar por alto.

Acá es donde la ciber -resiliencia se torna fundamental, como nos hemos preparados para en recuperarnos de un ciber ataque.

Controles de acceso basados en geolocalización funcionan

Conocido como Geofences, esto consiste en un sistema simple que controlará permisos en función de la ubicación del IP del usuario. Esto permite bloquear las comunicaciones con países con los que no hace negocios y puede ayudar a frustrar un ataque.

Sí, un atacante puede eludir las restricciones basadas en el país usando una VPN, teniendo una IP del país o la ciudad de la víctima, sin embargo, se han visto cada vez más instancias de geofencing que funcionan según lo diseñado y bloquean a los atacantes con éxito. 

Es posible que esto se deba a que los atacantes utilizan servidores internacionales para automatizar el acceso inicial. Se ha visto que muchas veces cuando un usuario es víctima de un ataque de phishing que comprometió credenciales o tokens de sesión, y el atacante tiene toda la información que necesita para iniciar sesión como usuario legítimo, cuando el atacante intenta acceder al sistema, el inicio de sesión falla y los registros muestran un intento de inicio de sesión rechazado de Rusia, China u otro país, bloqueado únicamente mediante la ubicación IP del sistema atacante. No es una bala de plata, pero, se ha demostrado importante como camada de defensa.

Limite el acceso a su país local o países con los que hace negocios. Asegúrese de que tanto el tráfico entrante como el saliente pasen por filtros de geolocalización. Si tienes personal que viaja internacionalmente, permítales acceder a sus sistemas creando una regla que permita al usuario específico y al país específico que están visitando. Implemente una solución VPN corporativa para el acceso remoto.

 SIEM es fundamental.

Un sistema de gestión de eventos de información de seguridad (SIEM - Security Information Event Management System) es una forma de recopilar información de eventos de una amplia gama de fuentes en una infraestructura de TI, analizar los datos y alertar si se encuentra un ataque. Si no se ha implementado un SIEM y no se está enviando registros a una ubicación central para su análisis, se perderán señales importantes y no se tendrá buena visibilidad cuando se estén ejecutando ataques. 

Activar el almacenamiento de logs en un dispositivo de manera aislada no permite hacer analisis considerando el panorama general, además, si este dispositivo es comprometido, esos logs se pueden alterar o borrar. De esta forma en casos de incidentes el equipo de Respuesta a Incidentes se ve con un trabajo mucho más ralentizado y limitado, ya que necesita ir a cada dispositivo individualmente para recopilar o analizar los logs; trabajo que requiere mucho tiempo y tiempo es dinero. Además, los registros aislados no se pueden analizar como un contexto.

El uso de un SIEM para recopilar y analizar eventos es clave para saber si algo anda mal en su red y es una medida proactiva para detectar actividad maliciosa, así como ayudar en el análisis si hay un incidente.

La autenticación multifactor (MFA) es una necesidad.

Muchas empresas se resisten a pasar a MFA porque se considera un inconveniente para los usuarios, pero no hay duda de que retrasar su implementación es una propuesta arriesgada. Como mínimo, cada rol privilegiado DEBE tener MFA habilitado, y MFA debe aplicarse para cada usuario en cualquier servicio basado en nube como Microsoft 365 (o cualquier servicio alojado localmente) donde la autenticación está expuesta a Internet. Dada la amplia disponibilidad de MFA, no hay una razón real por la que todos los usuarios no deban usar MFA. 

Casi todas las organizaciones tienen algún tipo de presencia en la nube, ya sea correo electrónico o Azure Active Directory. Mover cualquier tipo de función de TI interna a la nube cambia los límites de seguridad; lo que antes estaba protegido por la infraestructura de seguridad corporativa ahora es accesible y puede ser atacado por todos los cibercriminales del mundo. Esto impone una responsabilidad adicional a la seguridad de la autenticación, ya que sufrirá ataques casi continuamente.

Hemos visto empresas que han tenido cuentas de administrador de dominio comprometidas y, en un mes, hizo que un atacante consumiera decenas de miles de dólares de recursos informáticos en la nube para minerar criptomonedas. Habilitar MFA casi seguramente habría evitado estas pérdidas.

 LATAM sigue en el ojo de los Ciberdelincuentes 

Diversas agrupaciones y conglomerados el año 2022 hicieron de las suyas en Latinoamérica, no solamente en Chile nos vimos afectados por filtraciones de seguridad y diversos ataques, sino que Perú, Costa Rica, Colombia, México, etc. Por nombrar algunos.

Somos muchos los que esperamos que estos casos, fomenten un ecosistema de aumento de presupuesto para implementaciones de “Ecosistemas de Ciberseguridad y Ciber-Resiliencia”, no comprar por comprar, sino que asesorarse, medirse, ver el nivel de madurez y cuál es el mejor o los mejores frameworks para nuestra industria, debemos ver la “Ciberseguridad como una Cultura, no como un producto” cuando las organizaciones permeen en su todo esta cultura, realmente estaremos frente a una proyecto de transformación digital serio.

NO lo olviden, “ La Ciberseguridad es una Cultura, no un producto”