Ciberseguridad, un camino de largo recorrido

Partiendo de la base de que a seguridad 100% no existe, podemos afirmar que, en general el estado de la ciberseguridad ha mejorado y es moderadamente positivo, si tenemos en cuenta la opinión de los expertos de los principales fabricantes de soluciones de ciberseguridad y empresas proveedoras de servicios consultados. A pesar de ello, y aunque el ritmo de concienciación de las empresas sigue creciendo, desgraciadamente, los presupuestos de ciberseguridad no aumentan al ritmo de otras partidas de TI.

Si en el ámbito empresarial aún queda mucho por hacer, a pesar de los años de labor de los fabricantes de ciberseguridad, el entorno industrial ha empezado recientemente a preocuparse más seriamente por protegerse frente a las ciberamenazas. Los datos del estudio de ciberseguridad industrial 2019 de Kaspersky demuestran que las empresas industriales de todo el mundo están buscando mejorar la protección de sus redes. “De hecho, el 87% de los encuestados admite que la ciberseguridad de sus sistemas industriales y operativos es una prioridad. Sin embargo, para alcanzar el nivel de protección necesario resulta clave invertir en medidas específicas y contar con profesionales altamente cualificados. Además, pese a declararlo prioritario, solo algo más de la mitad de las empresas (57%) dispone del presupuesto asignado a la ciberseguridad industrial”, declara Alfonso Ramírez, director general Kaspersky Iberia.

En este ámbito industrial, desde la compañía Mnemo apuntan que las continuas amenazas a entornos operativos críticos, sobre todo aquellas que han sido eco debido a su impacto social, han sido foco de los expertos y atacantes en estas arquitecturas, y se han tenido que realizar planes de urgencia para su análisis y protección. “En la actualidad es una disciplina que por norma general se encuentra bajo las competencias de ciberseguridad IT, de forma lógica, ya que comparten elementos y fundamentos comunes y ésta última tiene una madurez mucho mayor, pero no es suficiente, son necesarios procesos, tecnologías y profesionales especializados que traten de forma concreta las especificaciones y generen un entorno dedicado con las mayores garantías”. Como apuntan, ninguna de estas tres necesidades es fácil de adquirir en la actualidad, es el futuro reto del sector cubrir cada una de ellas en calidad y cantidad suficiente para establecer un ecosistema que podamos denominar seguro”.

“A pesar de que es nuestra realidad desde hace unos años y así va a seguir siendo, en lo que respecta a 2019, a lo largo de estos meses hemos asistido a la reaparición de ataques de ransomware, tanto en España como en otras partes del mundo, sirva como ejemplo el acometido contra el ayuntamiento de Baltimore. Se trata sobre todo de ataque dirigidos, lanzados específicamente contra una organización concreta”, advierte Borja Pérez, Country Manager de Stormshield Iberia.

Y es que, aunque 2019 no ha sido un año de tranquilidad, el panorama no apunta a mejor en un futuro cercano. “Estamos manejando la complejidad de lo existente en estos momentos, a menudo con amenazas latentes aún no descubiertas, pero lanzadas por actores cualificados; y además introducimos en nuestras vidas y empresas nuevas tecnologías que inducen nuevos riesgos y nuevas necesidades en este ámbito”, afirma Francisco Cuesta, CISO de mdtel. “Las empresas españolas están sumergidas en plena transformación digital, y ellos siempre trae la incorporación de nuevos sistemas y softwares que amplían las opciones de ataque si no se actúa adecuadamente”.

En esta línea, Ricardo Maté, director general de Sophos para España y Portugal, considera que, tal y como están evolucionando las técnicas de ataque de los ciberdelincuentes, va a ser difícil que de aquí en adelante no vivamos años convulsos en materia de ciberseguridad. “Los ciberataques se están volviendo más sofisticados, lo que los convierte en más efectivos y difíciles de combatir. 2019 ha sido un año marcado por el aumento de ataques dirigidos de ransomware en todo el mundo A comienzos de año, SophosLabs detectó la aparición de un nuevo y peligroso ransomware dirigido, al que denominaron Matrix y que accedía de forma remota a ordenadores Windows para exigir rescates rápidos de hasta 50.000 dólares. Unos meses después, detectamos la aparición del ransomware MegaCortex, un ataque muy peligroso y efectivo debido a su rápida propagación y ejecución automática en múltiples dispositivos con la que lograba burlar las medidas de protección”.

“Hemos visto este año ataques muy mediáticos, pero el problema no es nuevo”, afirma Chuck Cohen, director general de Ireo. “Los ataques de ransomware son cada vez más sofisticados y muchas veces consiguen burlar los sistemas de seguridad tradicionales. La mayoría de las empresas no están preparadas para hacerle frente”, sentencia Cohen.

En cualquier caso, “aunque las cifras de ciberincidentes pueden abrumar, “hay que fijarse más en aquellos ciberataques de alto impacto, en los que todos los años contabilizamos entre 10 y 15”, puntualiza Eric Polvorosa, del Departamento de Marketing y Comunicación en GMV.

Y es que, como comenta Josep Albors, responsable de concienciación e investigación de ESET España, “obviamente, los delincuentes han seguido innovando en sus técnicas y en el desarrollo de amenazas, pero aquellas que han resultado más efectivas no han sido especialmente novedosas ni difíciles de detectar o detener. Esto demuestra que queda mucho por hacer en materia de ciberseguridad y que los delincuentes no tienen por qué esforzarse en exceso para conseguir que sus ataques tengan éxito en muchas empresas”, advierte.

José de la Cruz, director técnico de Trend Micro Iberia apunta a que el ámbito industrial está aún un paso por detrás del ámbito TI en materia de ciberseguridad. “El mundo OT en general está convergiendo en IOT (IT+OT), puesto que cada vez la línea que separa los entornos IT con los OT es más difuminada. Debemos tener presente que los entornos OT tradicionales no cumplen con las mismas dinámicas en términos de parcheado de aplicaciones puesto que siempre han interactuado de manera aislada, facilitando la proliferación de ataques que explotan esta carencia”.

“El IoT y el desarrollo de la tecnología 5G son, sin lugar a duda, dos de las áreas más destacadas en ciberseguridad”, determina Mario García, director general de Check Point en España y Portugal. Durante los próximos dos años, las infraestructuras físicas tenderán a desaparecer cada vez más en favor de la nube. La conectividad será el factor determinante que impulse esta tendencia, puesto que el número de dispositivos interconectados en una misma red crece de forma exponencial”. En Check Point identifican la hiperescalabilidad-la posibilidad de expandir las pasarelas de seguridad existentes para cubrir así los nuevos dispositivos que se añadan a una misma red-, como el principal reto asociado al crecimiento del IoT al que las empresas tienen que hacer frente.

No obstante, los dispositivos IoT ya se están convirtiendo en el principal objetivo para los ciberdelincuentes. “Es normal, su pensamos en los millones de dispositivos conectados que existen en estos momentos y en lo fácil que resulta para los hackers hacerse con su control, debido a las débiles credenciales de seguridad con las que estos dispositivos se suelen comercializar”, sugiere Miguel Ángel García Matatoros, director general de Blue Telecom Consulting. ”Si los proyectos relacionados con IoT no acaban de despegar, es en gran medida por el problema de la seguridad. Aquí, la responsabilidad es de todos. De los usuarios, que deben preocuparse por la seguridad de sus dispositivos, de los fabricantes, que deben incorporar estándares que dificulten su hackeo y también de los proveedores de servicios que proporcionan conexión a estos dispositivos. Por supuesto, también de la Administración Pública, con la aprobación de normas que obliguen a todas las partes a asumir la responsabilidad que les corresponda”.

La nube ha supuesto un cambio de paradigma en el modelo de negocio de las empresas, que están migrando de un modelo de producto a otro de servicio. “Esto significa tener que asumir nuevos retos entorno a la seguridad de los sistemas. El perímetro ya no existe y por ello ahora se necesita una seguridad integral”, advierte Miguel Ángel García Matatoro, de Blue Telecom Consulting. “Se hace necesario implantar una estrategia de seguridad que tenga en cuenta no solo el diseño del sistema, sino también todo lo relacionado con los conceptos de despliegue y operación. Hay que llevar a cabo auditorias de red, fundamentales para detectar, gestionar y eliminar posibles amenazas. Finalmente, hay que ocuparse de la seguridad de las operaciones, monitorizando el uso que se está haciendo del sistema, con el fin de dejar al descubierto los ataques potenciales”.

Y es que, de forma habitual, se piensa en la nube como algo seguro o que no debemos preocuparnos de gestionar, porque ya lo hacen otros. “En ciertos casos, puede ser cierto, pero deberemos conocer los servicios que realmente nos prestan, cómo funcionan y si realmente funcionan como dicen”, apunta Francisco Cuesta, de mdtel. “Un elemento básico es el conocimiento de lo existente, la verificación de amenazas y problemas de configuración, dada la elevada complejidad que a veces existen en estos entornos y que suelen alojar sistemas accesibles de forma pública; deberemos seguir vigilando todos los componentes básicos de la seguridad: firewall, controles y roles de acceso, segmentación, protección de malware, autenticación y control de eventos de seguridad y automatización en la respuesta. No hay que olvidar que estos entornos, en la mayoría de las ocasiones, están conectados con sistemas implementados en las dependencias del cliente por lo que el riesgo debido a un incremento de la superficie de ataque, es más alto”, añade.

Por su parte, desde Semantic Systems se afirma que un CASB (Cloud Acess Security Broker) es la solución natural "para controlar nuestra nube, pero debe integrarse con el resto de elementos de seguridad para ser más eficiente y conseguir una seguridad homogénea en toda la organización".

Además, indica Eric Polvorosa, de GMV, “en un despliegue en la nube también es necesario cumplir con los requisitos legales, donde los proveedores que están obligados a cumplir GDPR deberían desplegar en regiones europeas”.

Mario García, de Check Point se muestra contundente en este aspecto. “A pesar de los esfuerzos por concienciar acerca de la importancia de securizar estos entornos, así como fomentar que las empresas implanten estrategias de protección de este tipo de dispositivos, los puntos móviles siguen siendo el eslabón más débil dentro de la red de productos tecnológicos de una empresa. De hecho, uno de los principales motivos que convierten a estos dispositivos en el foco de muchos ciberataques reside en que no cuentan con herramientas de protección (antivirus, antiphising, etc.) instaladas. Pro lo que son un blanco fácil para cualquier tipo de ciberataque”.

Aunque para Ricardo Maté, de Sophos, es cierto que la concienciación sobre la vulnerabilidad de los entornos móviles ha crecido, pero aún no es lo suficientemente sólida. “En este sentido, hay que seguir haciendo una intensa labor de concienciación sobre la seguridad móvil, igual que hace un tiempo se hizo respecto a la seguridad de infraestructuras fijas. Este mismo año hemos visto como la presencia de malware para aplicaciones móviles no para de aumentar”.

A pesar de que no hay duda de que el entorno móvil lo que hace es aumentar la superficie de ataque y hace más compleja la protección, “bajo mi entender el punto más débil somos las personas”, opina Borja Pérez, de Stormshield Iberia. “Como cada vez vemos con mayor frecuencia, los ataques hacen uso de ingeniería social. Se eligen víctimas potenciales, que a su vez utilizan dispositivos tanto móviles como fijos. Demos concienciar a los usuarios, pero a la vez proteger dispositivos y activos en general como si esos usuarios no estuvieran concienciados”, comenta.

“El número de expertos es reducido, sobre todo teniendo en cuenta la demanda actual ya futura, por lo que no nos falta trabajo”, comenta Sergio García, BDM de OneseQ (by Alhambra-Edidos). “Nuestra misión es identificar, proteger, detectar, responder, recuperar y aprender. Debemos enseñar a los integrantes de las compañías la importancia de la seguridad, ya que, como hemos podido ver a lo largo de tantos años, no nos enfrentamos a un problema de implicación, si no de desconocimiento”. Como apunta Sergio García, “es clave que el rol del CISO adquiera el protagonismo que merece en las compañías, debe participar en la toma de decisiones para la correcta securización de su organización”.

Por su lado, Carlos Moliner, director de Guardicore Iberia considera que, “lo cierto es que existe un déficit de expertos en ciberseguridad, pero no debemos ser muy pesimistas ya que los equipos actuales están cada día más preparados, realizan un gran trabajo y podemos hacer mucho con los recursos que tenemos”. Moliner destaca la automatización y la consolidación de herramientas, para ahorrar tiempo y recursos. También es esencial contar con planes de respuesta a incidentes y externalizar ciertos aspectos de seguridad a un proveedor de servicios gestionados.

Chuck Cohen, de Ireo, apunta en este sentido a que, por lo general, “el problema no es la falta de expertos sino la falta de inversión. Los sistemas IoT se implantan pensando en los beneficios que aportan, pero no en los riesgos que conllevan”. Y es que, como apuntan desde Mnemo, hay dos factores que van en contra del modelo. “El primero es la diferencia entre oferta y demanda, siendo el número de efectivos totalmente insuficiente para las necesidades actuales, y el segundo, el grado de especialización, debido a las nuevas tecnologías emergentes, los ataques cada vez más especializados y el carácter multidisciplinar, es necesario no solo tener profesionales del ámbito, si no especialistas concretos en cada una de sus innumerables vertientes”.

Según datos aportados por Alfonso Ramírez, de Kaspersky Iberia, cifras recientes muestran que el mercado de servicios gestionado crecerá de 180.000 a 282.000 millones de dólares en 2023, impulsado por la externalización de la gestión de las TI y de la seguridad. De hecho, tal y como indica un reciente informe de Kaspersky, el 31% de las empresas europeas encuestadas declara tener ya externalizada la ciberseguridad, y el 21% tiene previsto hacerlo en los próximos 12 meses. El principal motivo es porque carecen de experiencia interna.

Se trata de una opción especialmente interesante en el caso de las pymes. “Los MSSP (Managed Security Service Provider) son de gran ayuda, de forma especial en aquellas compañías donde no pueden disponer de un departamento propio de seguridad. Estos servicios ayudan a proporcionar protección y respuesta adecuados, permitiendo a las empresas centrarse únicamente en su negocio”, indica José de la Cruz, de Trend Micro Iberia.

En esta misma línea, Sergio García, de OneseQ, observa que los MSSP están diseñando continuamente nuevos servicios de pago por uso en la nube para sus clientes. Además, fabricantes y empresas prestadoras de servicio trabajan conjuntamente diseñando nuevas soluciones SaaS. De cara el futuro, “los desafíos que nos depara el son considerables. Nos encontramos en una época en la cual todo tiende a estar conectado. Además, nos llegan nuevas tecnologías y más desafíos. Destacaría la llegada de %g, ya que los proveedores de servicios gestionados vamos a tener que tratar con una gran cantidad de ingesta de datos y procesarlos. No nos olvidemos del IoT, ya que la gran cantidad de sensórica que se está desplegando también tenemos que securizarla, monitorizarla y parchearla”.

“Para mi son esenciales en el mundo de la ciberseguridad de hoy donde los recursos son escasos”, comenta también Carlos Moliner, de Guardicore Iberia. “Al externalizar algunas de las actividades a un MSSP, la empresa ahorra considerable cantidad de tiempo, dinero y recursos. Por ejemplo, puede hacer que el MSSP gestione incidentes de nivel uno, reteniendo un grupo de respuesta altamente cualificado que se encargue de los incidentes más urgentes de nivel dos y tres. Incluso es posible contar con UN MSSP que ofrezca SOC (Centro de Operaciones de Seguridad) o SIEM (Gestión de Eventos e Información de Seguridad) como servicio y pedirles que proporcionen información agregada para una comprensión fácil”.

Figura por tanto muy necesaria, aunque, como apuntan desde la compañía implantadora de soluciones informáticas Semantic Systems, el segmento de los MSSP “está creciendo demasiado rápido para ofrecer garantías de calidad en el servicio, con soluciones técnicas simples, integradas y maduras. La adopción de sistemas autónomos de respuesta y automatización de tareas debe estar en el futuro de sus soluciones”.

La inteligencia artificial y el machine learning están impulsando la automatización de un gran número de tareas relacionadas con la seguridad. Incorporar estas tecnologías a la ciberseguridad era el siguiente paso por dar en la evolución de las soluciones de seguridad. Así lo expresa Ricardo Mate, de Sophos. “Y no solo el uso de la inteligencia artificial. En Sophos incluimos en nuestras herramientas la tecnología deep learning, una forma más avanzada de machine learning, que detecta el malware de forma anticipada y que es capaz de frenar tanto el malware conocido como el desconocido y sin necesidad de firmas”. Como explica, los sistemas de seguridad tradicionales ya no son suficientes y por eso se están desarrollando herramientas de seguridad ‘Next-Gen’ que dan respuesta a las necesidades actuales y que se apoyan en este tipo de tecnologías para ofrecer una ‘seguridad predictiva’.

Es una tendencia muy positiva, “ya que permite detectar, gestionar y eliminar posibles amenazas con mayor rapidez y facilidad. La automatización también permite a los equipos de seguridad dedicarse a tareas más estratégicas, optimizando así la labor de estos profesionales, algo fundamental en una situación en la que la escasez de talento especializado es un verdadero hándicap”, apunta Miguel Ángel García Matatoros, de Blue Telecom Consulting.

Aunque no son realmente tecnologías novedosas y algunas ya eran empleadas por algunas empresas de ciberseguridad, “si es cierto que el aumento de la capacidad de procesamiento de los equipos actuales y la evolución de las soluciones de seguridad ha permitido que se apliquen de manera más efectiva, y esto ayuda a detectar amenazas de una forma más rápida”, especifica Josep Albors, de ESET. “Sin embargo, debemos evitar en confiar toda la capacidad de detección únicamente a estas tecnologías, incorporándolas a soluciones multi-capa de forma que sea una capa más de seguridad que complemente otras existentes y permitiendo ofrecer la mayor protección posible”.

También en Trend Micro creen en la filosofía de seguridad multicapa. “Éstas se aplican comenzando por las más eficientes (basadas en formas) siguiendo por otras técnicas avanzadas como machine learning, análisis de comportamiento o sandboxing”, explica José de la Cruz.

En la otra cara de la moneda, a pesar de que el uso intensivo de herramientas avanzadas de IA y Machine Learning nos están aportando la detección temprana y la contención automática de amenazas. “No obstante”, advierte Francisco Cuenta, de mdtel, “son sistemas susceptibles de ser utilizados también por los ciberdelincuentes para ser más efectivos en sus ataques”.

"Los delincuentes han seguido innovando en sus técnicas y en el desarrollo de amenazas, pero aquellas que han resultado más efectivas no han sido especialmente novedosas ni difíciles de detectar o detener. Esto demuestra que queda mucho por hacer en materia de ciberseguridad y que los delincuentes no tienen por qué esforzarse en exceso para conseguir que sus ataques tengan éxito en muchas empresas"