Principales amenazas de ciberseguridad para la Administración Pública

Los ciberdelincuentes también son conscientes de que a los equipos de seguridad de las administraciones públicas se les pide cada vez más que “hagan más con menos”, y de que muchos organismos se enfrentan con frecuencia a la reducción de sus presupuestos y recursos. Por otro lado, los organismos gubernamentales, nacionales o autonómicos también están conectados con una gran variedad de subcontratas y terceros que pueden sufrir el robo de credenciales de usuario para obtener acceso a las redes de la administración pública.

Los estados-nación que atacan las redes gubernamentales suelen estar bien organizados y ser sofisticados, un estilo que, de acuerdo con los datos del informe de FortiGuard Labs sobre la evolución del panorama de las amenazas, también están aplicando los ciberdelincuentes comunes. La actividad de las amenazas persistentes avanzadas (APT) puede provenir ahora de estados-nación, de actores intermedios que trabajan en su nombre, o de grupos o sindicatos criminales. Todos estos actores de amenazas buscan explotar los perímetros de red fragmentados de los organismos gubernamentales, los equipos de seguridad y de redes aislados y la infraestructura digital heredada y obsoleta, que se vio afectada por la adopción apresurada al teletrabajo y por los cambios tecnológicos, como las comunicaciones 5G y el Edge Computing.

Es fundamental que los gobiernos cuenten con un espectro completo de capacidades de seguridad, pero deben prestar especial atención a la hora de abordar estas tres amenazas clave.

Los ciberatacantes están analizando y descubriendo nuevas áreas de explotación a medida que las organizaciones adoptan nuevas tecnologías y patrones operativos. En estos momentos están ampliando su infraestructura de red para dar cabida al trabajo desde cualquier lugar (WFA), facilitar la educación online y ofrecer los nuevos servicios en la nube. Este entorno remoto es una gran oportunidad para que los actores maliciosos encuentren una vulnerabilidad y se afiancen. En lugar de dirigirse únicamente a la red central tradicional de una organización, explotan los entornos emergentes del perímetro y “en cualquier lugar” a través de la red extendida, incluidos los activos que pueden estar desplegados en múltiples nubes con diferentes políticas y capacidades de seguridad en cada una de ellas.

Los organismos gubernamentales deberían centrarse en la implantación de principios y arquitecturas de confianza cero lo antes posible. El acceso a la red de confianza cero (ZTNA) es fundamental para ir más allá del anticuado modelo de “foso y castillo“de defensa de la red o de las medidas relativamente simples de autenticación multifactor y conexiones VPN que muchas organizaciones gubernamentales utilizaban para asegurar sus redes durante el auge del teletrabajo. La confianza cero debe aplicarse a un nivel más matizado -por aplicación-, ya que el acceso no debe evaluarse y concederse”de una vez“cuando un usuario se conecta. Esto ofrece una mejor protección de los datos de la organización y apoya la adopción de una postura operativa de”trabajo desde cualquier lugar” en la que la nueva normalidad puede incluir usuarios, datos y dispositivos que se conectan en patrones cada vez más innovadores y no tradicionales.

Además, las redes definidas por software son cada vez más comunes, y las redes de área amplia definidas por software (SD-WAN) seguras son cada vez más importantes debido a la flexibilidad organizativa, el ahorro de costes y la mejor experiencia de usuario que ofrecen. La SD-WAN segura puede ofrecer a las organizaciones estas ventajas y proporcionar capacidades potentes y dinámicas para segmentar las redes y el acceso a los datos con el fin de restringir la libertad de movimiento lateral de un intruso y mantener las infracciones restringidas a una parte más pequeña de la red.

En Estados Unidos, la Administración de Servicios Generales ha confirmado su intención de disponer de tecnología de energía inteligente desplegada para 2025 en los 10.000 edificios que gestiona para el Gobierno Federal. La creciente popularidad de la tecnología de los edificios sostenibles y el aumento de la automatización de edificios (“Smart buildings”) va a aumentar la necesidad de asegurar la tecnología operativa (OT) en el entorno digital de las organizaciones gubernamentales. La convergencia de las redes de TI y OT ha permitido que algunos ataques pongan en peligro las redes de TI a través de los dispositivos y sistemas de OT en el entorno de la oficina, e incluso a través de los dispositivos del Internet de las Cosas (IoT) desplegados en las redes domésticas de los usuarios remotos.

Dado que las redes están cada vez más interconectadas, prácticamente cualquier punto de acceso puede ser el objetivo para intentar entrar en la red de TI. Tradicionalmente, los ataques a los sistemas OT eran el dominio de los ciberdelicuentes más especializados, pero estas capacidades se están incluyendo cada vez más en kits de ataque disponibles para su compra en la Dark Web, lo que los pone a disposición de un conjunto mucho más amplio de criminales y disminuye la habilidad y la experiencia necesarias para lanzar tales ataques. Muchos dispositivos OT e IoT carecen de una seguridad sólida y no pueden ser actualizados o parcheados, lo que obliga a las organizaciones a ser ágiles y adoptar métodos como el parcheo virtual de dichos dispositivos.

Dada la naturaleza sofisticada y a menudo clandestina de los ataques dirigidos contra ellos, los organismos gubernamentales deberían considerar el uso de la tecnología de engaño para ayudar a la organización a descubrir a los intrusos e impedir su movimiento. Utilizando una capa de señuelos digitales y honeypots, la tecnología de engaño ayuda a ocultar los activos sensibles y críticos detrás de una superficie fabricada, que confunde y redirige a los atacantes mientras revela su presencia en la red. Los estudios también sugieren que, si un organismo despliega la tecnología de engaño, no necesita utilizarla en todas partes para obtener beneficios, del mismo modo que una señal de seguridad en el hogar disuade de la intrusión y afecta a la forma de proceder de cualquier posible ladrón si intenta entrar.

El aumento de la tecnología de falsificación debería preocupar cada vez más a las organizaciones del sector público y privado. Utiliza la inteligencia artificial (IA) para imitar las actividades humanas y permite mejorar los ataques de ingeniería social. El listón para crear falsificaciones está cada vez más bajo, y es fácil encontrar herramientas de generación de contenido en repositorios de código como GitHub que generan resultados lo suficientemente buenos como para engañar incluso a los expertos en IA. El phishing sigue siendo un grave problema para el gobierno, ya que muchos empleados siguen teletrabajando y dependen del correo electrónico para realizar sus actividades. Hay que identificar a los actores maliciosos que no sólo roben la identidad y la libreta de direcciones del usuario, sino también el contenido de su bandeja de entrada y salida de correo electrónico.

Ahora es posible utilizar estos datos para generar automáticamente contenidos de phishing que reflejen el estilo de escritura y la sintaxis de un remitente y adapten el contenido de cada correo electrónico de phishing a los temas que ya han discutido con el receptor del email. Detectar el phishing ya no será cuestión de buscar indicadores obvios, como temas de estafas bancarias o un uso torpe del idioma.

Las tecnologías avanzadas, como la detección y respuesta del endpoint (EDR), pueden ayudar a identificar las amenazas maliciosas basándose en el comportamiento, ya sea de cualquier código ejecutable asociado a ese correo electrónico (ejecutándolo en un sandbox), o basándose en las características maliciosas incorporadas al EDR desde otras fuentes de inteligencia sobre ciberamenazas. La velocidad de los ataques es cada vez mayor, y la tecnología EDR, junto con la inteligencia sobre amenazas procesable e integrada, puede ayudar a los organismos públicos a defenderse de las amenazas en tiempo real.

La administración pública debería aprovechar el poder de la IA y el aprendizaje automático (Machine Learning) para actuar como un multiplicador de fuerza para acelerar la prevención, detección y respuesta a las amenazas. El gran tamaño y la complejidad de la superficie de ataque digital se considera a menudo uno de los mayores retos para la defensa eficaz de la red. Este enfoque de automatización alimentado por la IA lo convierte en una ventaja neta al convertirlo en una plataforma de recopilación unificada que puede detectar la actividad maliciosa potencial, evaluar su importancia y responder a ella en el punto de ataque e inocular preventivamente el resto de la red. Estas capacidades pueden desplegarse de forma generalizada en toda la red para determinar un modelo de comportamiento normal, de modo que se pueda responder a cualquier cambio y desactivar las amenazas sofisticadas antes de que puedan ejecutar sus cargas útiles.

En definitiva, los organismos públicos prestan servicios esenciales y disponen de datos valiosos que los ciudadanos y partners confían en que protejan en su nombre. Las redes gubernamentales son objeto de ataques tanto por parte de actores persistentes y sofisticados como de delincuentes que buscan el fruto y las ganancias fáciles. Es básico que las redes gubernamentales contemplen medidas fundamentales en términos de ciberseguridad y gestión de la vulnerabilidad y que adopten los principios de seguridad de confianza cero y empleen herramientas potentes y versátiles como EDR y la tecnología de engaño. Los ciberdelincuentes y sus métodos de ataque son cada vez más rápidos y sofisticados, pero si adoptan un enfoque integrado y automatizado de la visibilidad y el control, los gobiernos podrán proteger mejor sus activos. El reto es que la ubicación de estos activos y de los usuarios y dispositivos que los necesitan está cambiando, y los organismos deben proporcionar conectividad y seguridad tanto en las instalaciones, como en el centro de datos, en la nube o en el perímetro. Una planificación inteligente, la aplicación de los conceptos básicos de ciberseguridad y el aprovechamiento de la creciente convergencia de las redes y la seguridad son las claves para garantizar que las organizaciones puedan operar de forma eficiente y segura.