Hubo un tiempo en que los expertos de seguridad cibernética utilizaban la “analogía del castillo” para describir el tipo ataques donde los enemigos atraviesan un foso, escalan una pared, y se cuelan sin ser detectados por los guardianes. Esa perspectiva está obsoleta. Las innovaciones tecnológicas han hecho que el panorama de la seguridad sea significativamente más complejo. 

Según Gartner, el gasto mundial en seguridad para Internet de las Cosas (IoT) llegará a 348 millones de dólares este año, un aumento del 23,7% respecto al año pasado.

Y para el año 2020, más del 25% de los ataques identificados en las empresas implicará el IoT, a pesar de que este represente menos del 10% de los presupuestos totales de seguridad de TI.  

Aunque existen numerosas regulaciones internacionales que las empresas deben cumplir, ese cumplimiento no necesariamente equivale a la seguridad.  

Adversarios preparados

Las empresas se enfrentan a adversarios bien preparados y con conocimientos en tecnología. De hecho, se da más bien una gran asimetría en las capacidades de los atacantes y los defensores: unos usan cañones y catapultas para defenderse y otros drones y tecnología sigilosa para atacar.

¿Cuánto tiempo pasan atacantes dentro del perímetro antes de ser detectados? En 2015, el el promedio de días fue de 146, según el M-Trends 2016 Report de Mandiant. Aunque la mayoría de los ataques no se convertirán en grandes brechas, las constantes amenazas de seguridad cibernética serán algo cotidiano. Así un atacante –que pueden ser ‘hacktivistas’, cibercriminales o, simplemente, la competencia del negocio– puede tener acceso a la red en el transcurso de una semana o incluso en sólo un par de días.

Para infiltrarse en una red, en un 80% de los casos se recurre a una debilidad, por ejemplo, mediante el envío de un correo electrónico de phishing. 

Al abrir un enlace o archivo, los atacantes pueden ejecutar su propio código malicioso, que a menudo crea una puerta trasera en la red. De esta manera se establece un punto de acceso desde el que los atacantes pueden controlar sus actividades en ese entorno.

Y luego viene la escalada de privilegios: obtienen los derechos del administrador local o principal para tener un mayor acceso a los sistemas y datos. Los cibercriminales mantienen la presencia mediante la instalación de múltiples puertas traseras en todo el entorno.

“Una vez allí van a tratar de conseguir lo que vinieron a hacer, que es a menudo el robo de propiedad intelectual de información, datos financieros, fusión y adquisición de datos o información de identificación personal, por ejemplo”, aseveró Marshall Heilman, vicepresidente y director ejecutivo de la firma de ciberseguridad Mandiant, perteneciente a FireEye.

Cuando han completado su misión, los atacantes pueden conservar el acceso, en caso de que quieran volver.

Prevención y respuesta rápida

Si no se puede prevenir el ataque, lo ideal es detectarlo lo más rápidamente posible y darle respuesta. Pero una vez que los atacantes están dentro, la mejor manera de derrotarlos es adoptando su forma de pensar, no tanto responder a sus próximos movimiento sino de anticiparse a ellos.

También se deben reconocer y detectar comportamientos anómalos en su organización. Asimismo es importante saber qué activos son los más críticos y, por tanto, deben ser protegidos. Esto supone una ventaja significativa contra las amenazas informáticas.

Las 48 horas críticas

Como sucede en muchos otros delitos, las primeras 48 horas después del incidente son los más críticos. Sin embargo, la rapidez y lo bien que una organización responde y se recupera viene determinado por lo que se ha hecho antes del incidente.

“La respuesta inicial de emergencia depende fundamentalmente del trabajo que se hizo meses antes: escribir y comprender un plan de respuesta, identificar las funciones y responsabilidades de las personas involucradas, especialmente de los primeros en responder, y después preparar a la gente”, señaló Andrzej Kawalec, CTO de HPE Security Services.

“Tratar con adversarios cada vez más sofisticados requiere de líneas de defensa también sofisticadas”, conlcuyó Kawalec.

–Toñi Herrero Alcántara, IDG.es