Ciberataques en un entorno de incertidumbre, la amenaza que no cesa

“A la hora de hablar de la situación de la ciberseguridad en las empresas podríamos decir que se encuentra ante una situación complicada a nivel mundial. Debemos partir de la base de que la ciberseguridad es un campo en constante evolución y la situación puede cambiar rápidamente debido a los avances tecnológicos, a las amenazas emergentes y cambios en la situación geopolítica y económica”, comenta José de la Cruz, director técnico de Trend Micro Iberia.

Como indica de la Cruz, estamos inmersos en un modelo cambiante, ya no solo desde el punto de vista de la seguridad, sino también a nivel geopolítico, con conflictos que, evidentemente, impactan en la economía. “Por un lado, la inestabilidad geopolítica puede aumentar el riesgo de ciberataques patrocinados por estados y otros actores maliciosos. Por otro lado, la presión económica puede llevar a recortes presupuestarios, lo que afecta las inversiones en ciberseguridad”.

“A esto se suma la incertidumbre política que hemos vivido a nivel nacional como consecuencia de que hemos estado prácticamente un año con un gobierno en funciones, lo que ha provocado una situación de inestabilidad que ha influido mucho en el ámbito de la ciberseguridad y en el negocio procedente de la Administración Pública”, añade.

José de la Cruz, director técnico de Trend Micro Iberia.

No obstante, explica Javier Zubieta, director de Marketing y Comunicación de Secure e-Solutions de GMV, en el transcurso de 2023, se ha evidenciado una prueba significativa para las medidas de ciberprotección implementadas por las organizaciones. “La notoria y ascendente tendencia de los ciberataques ha reforzado la importancia de contar con estrategias sólidas en este ámbito. Como especialistas en ciberseguridad, hemos experimentado un aumento en la demanda de ciertos servicios, algunos de los cuales pueden estar relacionados con la situación geopolítica actual, en particular a los conflictos bélicos, pero lo consideramos una situación totalmente coyuntural”, detalla.

Para Zubieta, es importante destacar que la respuesta a la ciberseguridad no solo depende de las empresas individualmente, sino también de una colaboración efectiva entre actores del sector, reguladores y proveedores de tecnología. “A pesar de los retos, observamos un progreso constante en la conciencia y la implementación de medidas más avanzadas de ciberseguridad para salvaguardar la integridad digital de las empresas”.

Javier Zubieta, director de Marketing y Comunicación de Secure e-Solutions de GMV.

Una visión que comparte Sergio Martínez, country manager de SonicWall para Iberia. “En la actualidad, la situación de la ciberseguridad en las empresas ha evolucionado de manera dramática. Por un lado, estamos viviendo un gran avance a nivel tecnológico, con soluciones más avanzadas y sofisticadas que buscan hacer frente a las amenazas emergentes. Pero, por otro lado, y de forma paralela, el panorama de las ciberamenazas es cada vez más complejo y en constante evolución”.

Como señala Sergio Martínez, a esto tenemos que sumar que las fronteras están cada vez más difusas, ya que los trabajadores remotos con teléfonos móviles personales, tablets, ordenadores portátiles etc., solicitan cada vez más acceso a los recursos y aplicaciones de TI corporativos desde este tipo de dispositivos móviles. “Esta nueva tendencia BYOD, puede exponer a las empresas a malware y piratas informáticos si los dispositivos de los empleados no cumplen con las políticas de seguridad BYOD corporativas. Hemos visto este año ataques muy dirigidos y focalizados en la obtención de réditos monetarios, con muchos secuestros de servidores, ordenadores corporativos, etc. El ransomware ha sido una auténtica plaga bíblica en 2022 y 2023”.

Sergio Martínez, country manager de SonicWall para Iberia.

Por otro lado, a medida que las organizaciones continúan alejándose del entorno local tradicional y acercándose a esta nueva realidad, sus soluciones de ciberseguridad heredadas no han podido mantenerse al día, creando una complejidad inmanejable y mayores oportunidades para los ciberdelincuentes. “Esto ha llevado a un aumento en el uso de arquitecturas de seguridad Zero-Trust, aumentando el perímetro de seguridad allá donde estén los trabajadores, independientemente de si un usuario está dentro o fuera del perímetro. Así, más que nunca es necesario redefinir quién puede acceder y a qué”, advierte Martínez.

En definitiva, un panorama que, como resume José María Ochoa, Cybersecurity Manager de OneseQ (by Alhambra), tiene un ligero aspecto esperanzador. “Las compañías vamos teniendo más partidas presupuestarias, provisionadas con prisas, pero provisionadas. Los ciberimpactos que se reflejan en los medios de comunicación hacen mover las conciencias de la gerencia y con ello se promueven las inversiones en ciberseguridad. Aunque sea por un mal motivo, al menos estamos de enhorabuena: las compañías van haciendo sus deberes.

José María Ochoa, Cybersecurity Manager de OneseQ (by Alhambra).

Todos los expertos consultados coinciden en que la falta de talento en el ámbito de la ciberseguridad sigue siendo un problema acuciante. Pero además de ello, los ataques se han vuelto más frecuentes, más evasivos, más sofisticados y llegan a través de más canales.

“Ahora, el SEO “poisoning” es un problema acuciante con páginas infectadas apareciendo en los primeros resultados de los buscadores. También ha crecido significativamente el uso de enlaces de “phishing” alojados en entornos en la nube o de aplicaciones en la nube bien conocidas para así parecer confiables a los ojos de los usuarios. El “factor humano” sigue siendo la principal brecha de entrada, por eso uno de los retos principales al que se deben enfrentar las organizaciones es implementar una formación continuada de concienciación y cultura de trabajo seguro”, detalla Francisco Ginel, Global Service Integrators Director para el Sur de Europa de Netskope.

Para Ginel, todo lo anteriormente expuesto se ve potenciado por las facilidades que todavía perciben los ciberdelincuentes para volar bajo el radar y evadir los controles de seguridad tradicionales que no inspeccionan el tráfico en la nube (>70%) y que se basan principalmente en listas de bloqueo de dominios y filtrado de URL.

“La seguridad tradicional que hemos conocido durante muchos años ya no cubre las necesidades actuales, y la dispersión de la información y la difusión del perímetro hace necesaria la adopción de modelos de servicio adaptados a las necesidades actuales, como el Security Service Edge, que permitan analizar todo tipo de tráfico independientemente del origen o destino y aplicar controles dinámicos en función del contexto, contribuyendo también a la educación dinámica de los usuarios sobre los riesgos que suponen determinadas actuaciones”, subraya el portavoz de Netskope.

Francisco Ginel, Global Service Integrators Director para el Sur de Europa de Netskope.

En referencia a los retos a los que se enfrenta el segmento de la ciberseguridad, Gonzalo Echeverría, Country Manager Zyxel Iberia, indica que reforzar la seguridad en todos los dispositivos pasa por tener una conexión a la red segura. “La creciente dependencia de los sistemas digitales ha puesto a prueba las redes, por tanto, se requieren equipos capaces de igualar el alto rendimiento de las redes multigigabit. Los usuarios necesitan velocidad y capacidad adicionales para soportar videoconferencias y colaboración, utilizar servicios en la nube y mover por la red enormes cantidades de datos y contenidos que ahora se generan y utilizan a diario”. Para Echeverría, la dependencia digital pone en evidencia que tenemos más que perder si hay infiltración en los sistemas. “Las pymes necesitan una protección más sólida y fiable en todo momento y en toda la red. Esto significa que las soluciones de seguridad deben ser más rápidas y reactivas”, subraya.

En este sentido, para abordar todos estos desafíos, José de la Cruz, Trend Micro, sugiere una estrategia integral que incluya tecnología avanzada, procesos robustos, concienciación continua y una respuesta efectiva a incidentes. “La colaboración entre el sector privado, el público y el mundo académico también es esencial para abordar estos desafíos”, señala.

Gonzalo Echeverría, Country Manager Zyxel Iberia.

Además de lo anterior, como expone Javier Zubieta, GMV, nos estamos preparando para una oleada legislativa y regulatoria en esta materia, impulsada por Europa y aterrizada paulatinamente en España. “La adecuación supondrá un reto doble, tanto jurídico como tecnológico y de gestión, a la par que una oportunidad única para elevar el nivel de ciberseguridad a todos los niveles”, resalta Zubieta. Por ejemplo, en Europa, la Directiva (UE) 2022/2555, conocida como NIS2, ha establecido obligaciones de ciberseguridad para los Estados miembros, delineando medidas específicas para la gestión de riesgos de ciberseguridad y notificaciones obligatorias para las entidades comprendidas en su ámbito de aplicación. “Como consecuencia de ello, el mercado de ciberseguridad en España ha experimentado un constante crecimiento, evidenciado por un aumento significativo en el número de empresas que ofrecen servicios en este ámbito”, comenta el portavoz de GMV.

Por otro lado, José María Ochoa, OneseQ (by Alhambra), alude a la necesidad de “afrontar el delicado y desconocido lugar al que nos llevan tecnologías como la IA y la Computación Cuántica. Comenzamos a imaginar retos, pero creo que no somos todo lo conscientes que deberíamos”.

Pablo Juan Mejía, director de Utimaco para España y Latinoamérica.

“En la actualidad, y debido sobre todo al aumento del teletrabajo y al nuevo entorno híbrido, donde cada vez hay más dispositivos conectados a la red de la empresa, la mayoría de ellos en remoto, casi el 80% del tráfico de internet está cifrado, lo que significa que las empresas se enfrentan al desafío cada vez mayor de mantener protegidos a sus usuarios remotos frente a los nuevos ataques. La seguridad tradicional ya no es suficiente”, advierte Sergio Martínez, SonicWall.

Según el Informe de Ciberamenazas 2023 (julio) de SonicWall las amenazas encriptadas aumentaron un 22% respecto al mismo periodo del año anterior (enero-julio). Si esta tendencia se confirma, 2023 será el cuarto año consecutivo con aumentos de más de dos dígitos en las amenazas cifradas.

“Estas amenazas utilizan cada vez más el canal encriptado HTTPS (SSL) para eludir los elementos perimetrales como el firewall por lo que asegurar el endpoint se ha convertido en esencial, ya que es por donde entra más del 70% de los problemas en las organizaciones”.

En el último informe de SonicWall se destaca, además, el incremento del malware IoT (+37%), los intentos de intrusión (+21%, con especial mención al robo de credenciales, una auténtica pandemia), pero, sobre todo, los ataques de cryptojacking, un sorprendente 400%. El ransomware, a pesar de su creciente letalidad, desciende en número de ataques un 41%. Y en general, el número de ataques de malware (2.7 billones), se mantiene estable. El mundo sigue siendo un lugar muy peligroso, a pesar de la inversión realizada en ciberseguridad durante los últimos años.

“Las empresas siguen viéndose afectadas por los desafíos y amenazas que han venido sufriendo estos últimos años, como el ransomware, phishing, o fugas de datos que ponen en riesgo la seguridad de su información”, comenta Francisco Ginel, Netskope, por su parte. “Como ya hemos visto, el paisaje ha cambiado: el trabajo híbrido, la difusión del perímetro y la dispersión de la información - hoy en día y cada vez más, las compañías tienen la mayor parte de su información en entornos cloud, aplicaciones SaaS o equipos de trabajadores en remoto-, obligan a cambiar el enfoque para defendernos y reaccionar ante estos incidentes. La seguridad ahora tiene que seguir a la información donde ésta vaya y no podemos dejar ningún elemento al margen de la misma”, destaca Ginel.

En esta misma línea, Pablo Juan Mejía, director de Utimaco para España y Latinoamérica, comenta que, “en base a nuestra experiencia con clientes, observamos que las principales amenazas de seguridad a las que se enfrentan son los ataques de phishing y ransomware, accesos no autorizados y la fuga de datos por falta de protección robusta de los mismos”. “Conseguir un mejor y adecuado control de accesos, evitar contraseñas débiles o comprometidas y la implementación de la autenticación de doble factor con cifrado robusto a través de HSM son otras de las demandas para evitar los accesos no autorizados. A lo que se debe añadir otros ataques de ingeniería social, el creciente malware acorde al incremento de dispositivos móviles en las organizaciones y la falta de actualizaciones de software que hacen más vulnerables las infraestructuras tecnológicas”, agrega Mejía.

Chester Wisniewski, Director Global Field CTO de Sophos.

La implementación de una estrategia efectiva para la protección de la información requiere diversos aspectos de la ciberseguridad. Para José de la Cruz, con el panorama que tenemos actualmente, hay que asumir la brecha, como dice el modelo de Forrester. Como indica el portavoz de Trend Micro, este enfoque de ciberseguridad parte de la premisa de que ninguna organización puede garantizar una seguridad absoluta. En lugar de centrarse exclusivamente en medidas para prevenir intrusiones, este enfoque reconoce que es posible que haya intentos de ataque exitosos y se concentra en la capacidad de detectar, responder y recuperarse de esos incidentes de manera rápida y efectiva. En este sentido, las organizaciones lo que necesitan sobre todo es tener visibilidad de todo lo que ocurre”. “En Trend Micro consideramos que esta máxima es fundamental. Si no se puede ver lo que se está protegiendo, si no se ve lo que está pasando, difícilmente se va a poder reaccionar. Entonces, dentro de ese paradigma tan “poco optimista” de que tenemos que asumir la brecha, lo que podemos hacer es reducir el impacto”.

En el contexto de un ataque lo más importante es el tiempo. Aquí, la tecnología XDR juega un papel fundamental. Hablamos de una tecnología que es capaz de analizar todos esos vectores de ataque, y es muy importante tener en cuenta el correo electrónico, porque recordemos que el email formó parte de más del 50% de los ataques detectados el año pasado.

Igualmente, para Marc Rivero, Lead Security Researcher de Kaspersky, la implementación de una estrategia efectiva para la protección de la información requiere diversos aspectos de la ciberseguridad. “En primer lugar, es esencial realizar evaluaciones periódicas de riesgos para identificar amenazas potenciales y vulnerabilidades específicas en el entorno empresarial. Todo ello, permitirá desarrollar medidas de seguridad más efectivas y adaptadas a las necesidades de la organización. También es importante proporcionar programas educativos en ciberseguridad a los empleados para que puedan reconocer amenazas potenciales y dotarles de las herramientas necesarias para responder adecuadamente a incidentes”. A lo anterior, Marc Rivero añade que “establecer políticas claras de seguridad de la información, que abarquen desde el acceso a sistemas hasta la gestión de dispositivos y la clasificación de datos, proporciona un marco sólido para guiar el comportamiento seguro en toda la organización. La implementación de controles de acceso, el cifrado de datos, las actualizaciones y parches regulares, los respaldos periódicos y sistemas de monitoreo continuo son prácticas esenciales para fortalecer la postura de seguridad”.

Borja Pérez, Country Manager Stormshield Iberia.

“Stormshield recomienda a las empresas desplegar una estrategia de seguridad multicapa, con el empleo de soluciones de ciberseguridad que sean capaces de identificar el origen potencialmente fraudulento de los correos recibidos, y la integración de herramientas que protejan los puestos de trabajo de explotación de vulnerabilidades de aplicaciones y navegadores, Por supuesto, no hay que olvidar una solución de cifrado para que, en caso de exfiltración, los ciberdelincuentes no se lleven los datos, sino solo basura criptológica”, apunta Borja Pérez, Country Manager Stormshield Iberia.

“Para completar la labor realizada por las tecnologías de seguridad, las empresas deben asumir también aspectos clave como la formación de los empleados en materia de higiene digital, la aplicación de políticas adecuadas de gestión de parches, la adopción de una política rigurosa de administración de derechos y autorizaciones y la capacitación de los equipos de seguridad para detectar comportamientos sospechosos”, añade el portavoz de Stormshield.

Los ataques de phishing y ransomware son cada vez más sofisticados, rápidos y peligrosos. En ambos casos, los atacantes buscan dinero, bien suplantando webs, bancos o servicios que tenemos contratados, bien secuestrando ordenadores o teléfonos móviles a cambio de una cantidad, incluso llegando al robo de datos.

Chester Wisniewski, Director Global Field CTO de Sophos, nos explica lo que, a su entender, se debe hacer ante un ataque de ransomware donde se va más allá del cifrado de datos al robo de éstos.

“El primer paso suele ser ponerse en contacto con el proveedor de ciberseguridad y desplegar el plan de respuesta a incidentes. Aunque los datos ya hayan sido robados, la prioridad es eliminar a los atacantes de la red. Es probable que también haya que trabajar con el equipo legal para determinar a quién habrá que notificar el incidente para seguir cumpliendo con la legislación de privacidad de datos como el GDPR y los requisitos de notificación”. Como advierte Wisniewski, de un modo u otro, será necesario empezar a reconstruir los sistemas a partir de copias de seguridad, ya que incluso las empresas que pagan el rescate rara vez recuperan todos sus datos. “Hay muchos pasos que deben hacerse en orden, por lo que casi siempre es aconsejable contratar a una empresa de respuesta a incidentes para obtener ayuda en estas situaciones complicadas en tiempos de crisis”, añade.

“Es recomendable cifrar los datos sensibles, a fin de que, si se produce el robo de estos, los ciberdelincuentes no puedan utilizarlos”, aconseja Borja Pérez, Stormshield Iberia. En este sentido, Stormshield utiliza la encriptación de extremo a extremo para ofrecer protección a los datos corporativos, desde la seguridad de archivos locales hasta la del correo electrónico, pasando por los espacios de colaboración internos de la empresa.

Marc Rivero, Lead Security Researcher de Kaspersky.

De igual forma, la prevención contra ataques de phishing, especialmente los más evolucionados, requiere una combinación de enfoques tecnológicos y capacitación del personal.

“Como medidas de ciberseguridad para mitigar los riesgos de phishing, las empresas pueden implementar diferentes filtros anti-phishing en los navegadores web y en los correos electrónicos para detectar y bloquear enlaces maliciosos y contenido sospechoso y/o fraudulento. Sin olvidar los parches y actualizaciones de software pertinentes para no aumentar nuestras vulnerabilidades y exponer nuestros datos”, detalla Pablo Juan Mejía, director de Utimaco para España y Latinoamérica.

Para Mejía, de gran valor en este punto es la autenticación de doble factor (2FA) para el acceso a sistemas y cuentas críticas. “Y como en toda actividad tecnológica, debemos siempre monitorizar la actividad de la red para detectar patrones inusuales que puedan indicar un ataque de phishing o un acceso no autorizado. También en este punto es vital invertir tiempo y recursos en educar a los empleados sobre cómo verificar la autenticidad de un sitio web antes de ingresar información confidencial, prestando atención a los certificados SSL y a la URL. Así como dar pautas de actuación ante posibles incidencias”, detalla el portavoz de Utimaco.

Por su parte, para Marc Rivero, Kaspersky, “la precaución no debe limitarse al correo electrónico, ya que mensajes en aplicaciones de mensajería y redes sociales también pueden contener enlaces maliciosos. Es recomendable verificar cuidadosamente los enlaces y no hacer clic si hay dudas. Además, es importante pensar dos veces antes de ingresas información bancaria en sitios web, revisar la dirección del sitio web en cuestión y utilizar tarjetas independientes para compras online”.

“Es necesario utilizar múltiples soluciones para identificar, no sólo posibles correos o webs fraudulentas, sino ser capaces de identificar el origen desde dónde se propagan estas acciones. Con soluciones basadas en reputación conseguiremos evitar acceso a estos lugares de fraude y mantenernos protegidos”, concluye Gonzalo Echeverria, Zyxel Iberia.

SASE combina la red y la seguridad de la nube para aportar sencillez, escalabilidad, flexibilidad y una seguridad generalizada. En este punto, Chester Wisniewski, Sophos, considera esta nueva metodología de acceso seguro “ha llegado para quedarse, ya que resuelve de forma sencilla y ágil los problemas “históricos” de accesos VPN y a otros recursos. Gracias a esta metodología, los fabricantes hemos creado nuevos productos que hacen que los usuarios puedan acceder a recursos corporativos (sin importar dónde están, bien on-prem o en la nube) de forma transparente, pero además con mayor seguridad, al verificar sus equipos de forma continua”.

Por otro lado, desde el punto de vista de administración, “hace que sea mucho más sencillo, evitando la problemática también tradicional de los clientes VPN (despliegue del agente y su posterior despliegue de perfil de configuración). De este modo, como podemos ver, tanto usuarios como administradores se benefician mutuamente. En el caso de Sophos, SASE es nuestra estrategia a seguir y por ello, desde Sophos Central ponemos a disposición de nuestros clientes un sistema de gestión centralizado, en nube”, añade Wisniewski.

La IA no es solo una tendencia, sino una realidad que está impactando en todos los ámbitos de la sociedad. Ofrece múltiples beneficios para las organizaciones, como la optimización de procesos, la personalización de servicios, la detección de amenazas, la generación de insights o la creación de nuevos modelos de negocio, pero también implica unos requisitos y unos desafíos en cuanto a seguridad que las organizaciones deben afrontar. Pero, ¿están las empresas españolas preparadas para utilizar la IA con seguridad?

“El nivel de preparación ante los riesgos que incorpora una nueva tecnología es siempre variable, por definición, y nunca alcanza la totalidad. Si bien se dispone de un nivel sustancial de conocimiento acerca de los riesgos de privacidad asociados a la IA, reconocemos que la totalidad de la preparación nunca es completamente alcanzable debido a la naturaleza cambiante de la tecnología”, indica Javier Zubieta, GMV. “La adaptación constante y la capacidad de ajustar las estrategias de seguridad son esenciales para garantizar que las empresas aprovechen plenamente los beneficios de la IA de manera segura y eficiente. En este proceso, la colaboración con expertos en ciberseguridad y la actualización continua de las políticas y prácticas de ciberseguridad juegan un papel fundamental en la evolución de la preparación de las empresas ante el uso seguro de la IA”, concluye.

• Sophos XDR: cuanto más pueda ver, más rápido puede actuar
• MDR y SOCaaS como respuesta a las actuales demandas de los partners
• Mayor seguridad en la red con Zyxel USG Flex H
• Arreglando goteras en la ciberseguridad
• La seguridad en la nube: una solución integral, preventiva e inteligente
• El emergente negocio de la venta de datos robados
• La ciberseguridad reforzada y certificada, base fundamental para la protección de los servicios públicos
• El final de los ciber-indigentes
• Cómo distribuir las tareas del SOC para hacer frente a la escasez de competencias en ciberseguridad