Entrevista a Francisco Arnau, Regional Sales Director Spain & Portugal de Akamai Technologies

Gracias a su visibilidad única de Internet, Akamai es capaz de detectar y analizar multitud de códigos maliciosos y ataques y mitigarlos. Su nube de ciberseguridad permite a las empresas utilizar una estrategia de 'defensa en profundidad' para proteger los activos web críticos. De la tipología de ataques que veremos en 2020 y los nuevos riesgos a los que estamos expuestos hablamos con el director de Ventas para España y Portugal de la compañía, Francisco Arnau.

La realidad es que todos estamos expuestos. Detrás de los ataques cibernéticos hay muchas razones, desde la lucrativa en un extremo hasta la derivada por ideas o sentimientos extremistas en el otro. A medida que la tecnología avanza, las herramientas y la potencia disponible para realizar ataques también avanza. Es muy difícil predecir el futuro, pero con la información que tenemos hasta ahora, está claro que una de las formas en las que algunos grupos defienden sus ideas, es realizando ataques de DDoS contra los sitios webs de las compañías u organismos que sienten que están vulnerando sus derechos, arruinando el ecosistema o cualquier otra razón. También hemos visto que este mismo tipo de ataques de Denegación Distribuida de Servicio, junto con los ataques de tipo Ramsonware, son los más lucrativos para las organizaciones criminales que únicamente buscan rentabilizar sus acciones. Y si analizamos cada segmento de la industria, encontraremos también tipos de ataques más propios de cada uno: robo de credenciales en los segmentos donde hay más usuarios (gaming, retail, social, financial), escaneo y robo de contenido digital para replicarlo y copiarlo por parte de la competencia (retail), adueñación y modificación de sitios web como protesta (sector público, utilities) y un largo etc.

La clave para prevenir los ataques está precisamente en la palabra “prevención”. No se puede estar esperando a que llegue el ataque para defenderse de él. Hay que estar preparado, poner en práctica todas las medidas posibles de mitigación y tener una mentalidad de “confianza cero”. Vivimos en un mundo digital donde ya no existen los perímetros dentro de los Centros de Datos. Nuestros usuarios y empleados, acceden desde cualquier lugar, en cualquier momento y con cualquier dispositivo, y hay que protegerse con la mentalidad de que no se confía en nada. No existe la solución perfecta, pero la realidad es que cada día vemos más ataques distribuidos, desde miles o incluso millones de IPs, provenientes de “la nube”, y para defendernos de ellos necesitamos una solución que sea capaz de competir en igualdad, también desde la nube.

Los ataques siempre dejan huella, pero menos de la que nos gustaría. Aquí hay dos temas muy importantes: el primero es que para que deje huella tenemos que haber preparado nuestros sistemas para guardar esa huella. Todos los sistemas tendrían que tener activada la funcionalidad para guardar lo que está ocurriendo (logs) de forma que si se produce un ataque, se pueda hacer un análisis forense para ver qué ha ocurrido. El otro punto es que hay muchos tipos de ataques, y cada uno tiene un modus operandi distinto. No es lo mismo un intento de entrar en un servidor vulnerable, hacer un movimiento lateral o escalar privilegios e irse moviendo entre máquinas, que un ataque de DDoS donde muchos dispositivos comprometidos están copando los recursos de algún servidor (o de todo un DataCenter).

La IA puede jugar un papel fundamental como ayuda a los seres humanos para agilizar ciertas tareas. Es muy complicado, ya veremos si algún día llegamos allí, que una máquina sea capaz de realizar un análisis teniendo en cuenta la experiencia (como hace un ser humano), pero sin embargo, una vez se ha analizado un problema y se tienen ciertos patrones, las máquinas nos pueden ayudar muchísimo a analizar ingentes cantidades de datos. Enfocados en la ciberseguridad, no creemos que ahora mismo una IA pueda sustituir a un profesional de un SOC, pero sí creemos (y de hecho lo utilizamos internamente) que la unión de ambos supone una gran mejora tanto en las capacidades de detección y mitigación de ataques como en la disminución de los tiempos de detección de los mismos.

La explosión del IoT, y sobre todo el abaratamiento de los dispositivos, está suponiendo un gran reto para todo el mundo. Nos encontramos con miles de millones de dispositivos conectados a Internet y una gran mayoría fabricados por compañías que no han tenido en cuenta la seguridad a la hora de desarrollarlos. Esto ya no sólo es atractivo para las organizaciones criminales que comprometen estos dispositivos para realizar ataques (como el famoso Mirai), sino también un riesgo para la privacidad de los usuarios que adquieren estos dispositivos. Pensemos, por ejemplo, una cámara IP que ponemos en nuestra casa y que cualquiera puede acceder a ella.

En general, todos. Cualquier sector puede convertirse en el objetivo de una organización criminal con ánimo de lucro, la propia competencia, una organización “hacktivista”, pero es evidente que los atacantes van a intentar monetizar esos ataques por lo que hay sectores como el financiero, el de gaming, Retail que son especialmente sensibles y donde esta realidad se hace todavía más patente.

Pues lamentablemente lo que estamos viendo es que hasta que no se nos ataca, no nos creemos del todo que podamos convertirnos en un objetivo. Hay relativamente pocas empresas con las que hablamos que no hayan sufrido un ataque y que quieran adquirir un producto robusto de mitigación. De momento funcionamos más de forma reactiva: si me atacan o si atacan a mi competencia, entonces empiezo a plantear posibles escenarios de respuesta proactiva.

En realidad es un problema de gestión de riesgos. Cada empresa, cada responsable de seguridad y de negocio tiene que hacer una evaluación de riesgos y actuar en función de dicho análisis. Una inversión en productos de mitigación ante ciberataques tiene que estar respaldada por un presupuesto, y dicho presupuesto tiene que ser aceptado frente al riesgo de un ataque exitoso, y aquí hay muchos factores: pérdida económica por robo directo, robo de datos de carácter personal de los clientes, con la consecuente pérdida de imagen de marca y multas, pérdidas económicas por caída de los Centros de Datos, y un largo etcétera todos afectando a las ganancias, la reputación, la disponibilidad y los datos privados de los usuarios.

Akamai cuenta con una visibilidad única en Internet, entregando alrededor de 95 exabytes de datos al año e interactuando con más de 1.300 millones de dispositivos de cliente cada día.

Por un lado, gracias al procesamiento y análisis de toda esa información, somos capaces de ver multitud de ataques, buscar patrones, distinguir tráfico malicioso de tráfico lícito y crear herramientas de mitigación con un número de falsos positivos muy muy bajo.

Por otro lado, tenemos una plataforma en la nube capaz de absorver y mitigar cualquier ataque. Akamai siempre está monitorizando Internet y haciendo crecer esta plataforma con una capacidad muy por encima de cualquier ataque conocido.

Además, nuestros productos están orientados hacia un paradigma 'Confianza Cero' (Zero Trust), ayudando a nuestros clientes a mover su perímetro de defensa fuera del DataCenter, para colocarlo al borde de Internet, y por otro lado a tratar cualquier intento de conexión como no confiable, independientemente desde dónde se realice y quién lo esté realizando.