"Los datos de salud en el mercado negro son mucho más valiosos que una tarjeta de crédito"

En la primera mitad del año, los ciberataques a los correos electrónicos corporativos (conocidos como ataques BEC, por sus siglas en inglés) aumentaron un 20% en comparación con el ejercicio anterior, y los incidentes que afectaron a los canales de colaboración en la nube subieron un vertiginoso 75% desde el último semestre. El estudio de la compañía de ciberseguridad Perception Point pone de manifiesto la necesidad de mayores esfuerzos por parte de las empresas para protegerse frente a un auge de los ataques, impulsados sobre todo por la popularización de la inteligencia artificial (IA) y los conflictos geopolíticos actuales.

Perception Point, fabricante de software de ciberseguridad israelí, está convencido de que la forma de enfrentarse a este problema en aumento es la prevención en los lugares donde más ataques se reciben dentro de una empresa: el correo electrónico, las aplicaciones en la nube y los navegadores web. Con su modelo de prevención como servicio, buscan evitar que el phishing, ransomware, BEC, ATO, spam, malware, Zero Days y N-days lleguen al eslabón más débil de la cadena, el usuario. 

En entrevista con CSO, el territory manager de Perception Point para Iberia, Hugo Ávarez, profundiza en las nuevas soluciones que la compañía ha agregado recientemente en su portfolio para hacer frente a esta amenaza y aborda las tendencias que están viendo en el ecosistema del cibercrimen.

"Los ataques se han vuelto más sofisticados, son ataques multinivel, incluso con técnicas de distracción"

¿Cuáles son las principales amenazas de ciberseguridad que estamos viendo hoy en día?  

Los ataques se han vuelto más sofisticados, son ataques multinivel, incluso con técnicas de distracción, es decir, hacen un ataque aparentemente inocuo o que no va a causar mucho problema, pero en realidad están enmascarando otro ataque mucho más complejo. Las técnicas son de ataque multinivel, o sea, de diferentes estrategias al mismo tiempo, y lo que más vemos son suplantaciones de identidad, scuffing, account takeover, man in the middle. Básicamente es siempre lo mismo: se trata de suplantar a un proveedor, a un empleado o a un directivo de la compañía para normalmente cambiar una cuenta bancaria y pedir un pago. Estos ataques son los más caros, cuestan en media unos 80.000 euros cada uno, y hay empresas a las que les ha llevado a la ruina. Es lo que más estamos viendo. Además de esto, los más espectaculares -porque son los que vemos en la prensa cada poco, como el del Ayuntamiento de Sevilla- son los malware, que son ataques que se meten en la raíz, en las tripas de la compañía, y literalmente la secuestran, no dejan hacer nada, normalmente encriptan todos los contenidos y piden un rescate que suele ser en moneda virtual, en criptomoneda, para no dejar rastro. Aparte de estos dos, que son los más costosos económicamente, el phishing ha evolucionado mucho, es un phishing avanzado para robar credenciales. El spam no es tan dañino, pero hay millones de correos todos los días. Lo que llamamos Zero Days, que son los nuevos tipos de ataques que se crean cada día y que son muy difíciles de capturar. Esto en cuanto a técnicas de ataque.

Los vectores de ataque, o sea, los canales por los que más se atacan, el número uno sigue siendo el correo electrónico, como un 90% de las brechas de seguridad vienen a través de este canal, y el segundo son los navegadores. Curiosamente es una parte que las compañías las tienen más desatendida y que son fuentes de virus, de ataques de todo tipo.

Comentaste el ciberataque al Ayuntamiento de Sevilla. Hemos visto muchos ciberataques últimamente a las administraciones públicas, ¿cuáles son los nuevos focos de los ciberdelincuentes?

El sector público es obviamente uno de los más atacados, por dos motivos: uno, que es común a todos los sectores, que es el motivo de económico, el lucro, y dos, es el daño reputacional, hay mucha guerra política, ataque a Estados y a infraestructuras críticas para poder debilitarlos. Esto se ha potenciado muchísimo con la guerra de Rusia y Ucrania. Las Administraciones públicas desafortunadamente suelen ser más vulnerables, están menos protegidas que las empresas privadas por una cuestión tanto de recursos como de dinamismo, de rapidez en incorporar nuevas tecnologías, entonces es uno de los sectores más atacados. Otro sector muy atacado, pero que dispone de más medios para combatirlos, es el sector financiero, obviamente por una cuestión económica. El sector de salud también, porque los datos médicos son los datos más valiosos en cuanto al tipo de información. Es el nuevo el nuevo oro, son los datos de salud en concreto. El sector de turismo es uno muy atacado también para conseguir datos de los clientes.

"Es muchísimo más fácil y económico prevenir que hacer la remediación"

¿Por qué los datos de salud, en específico, son más valiosos que el resto?

Tú imagínate que estos datos en el mercado negro son los que tienen un valor más alto, mucho más que una tarjeta de crédito, porque si tú te haces con una base de datos, por ejemplo, de personas que están recibiendo un tratamiento de cáncer o de cualquier otra patología, es un chollo para las farmacéuticas y para compañías que comercializan estos productos. Pueden ir directamente a ellos, porque son potenciales clientes, y les pueden vender tratamientos y medicamentos supercostosos, pueden hacer perfiles de las personas y ofrecerles directamente lo que necesiten. La gente no suele escatimar cuando se trata de temas de salud y pagamos lo que nos pidan, porque es una cuestión literalmente muchas veces de vida o muerte. Entonces los datos de salud son los datos más caros en el mercado negro.

En Perception Point tienen un modelo de prevención como servicio. ¿En qué consiste su solución y cómo funciona? 

Nuestro servicio es preventivo de ataques. Es muchísimo más fácil y mucho más económico prevenir que hacer la remediación. Lo que hacemos es filtrar todos los contenidos que llegan a una organización, sea pública o privada, en varios canales, principalmente tres: correo electrónico, navegadores y aplicaciones en la nube. Estas aplicaciones colaborativas que utilizamos en las compañías para intercambiar información y donde ponemos archivos, cada vez están siendo más atacadas. Pero insisto, el canal de largo más atacado es el correo electrónico. ¿Por qué? Porque todo el mundo lo utiliza y porque los ciberdelincuentes se aprovechan del eslabón más débil de la cadena, que es el empleado. Somos muy curiosos y muchas veces pinchamos en los enlaces sin pensar durante 10 segundos que puede ser algo malicioso y peligroso. 

Nuestra propuesta incluye tanto la tecnología, que es el software que evita esto, como el servicio de respuesta ante incidentes 24/7, está funcionando a todas horas durante todo el año, un equipo formado por expertos en ciberseguridad de nuestra empresa que revisan los incidentes cuando son catalogados como maliciosos. Muchas veces tenemos incluso gente formada en criminología, en técnicas forenses, o sea, gente con unos perfiles que hace años ni existían, pero que ahora hacen falta para combatir este tipo de amenazas, gente especialista en machine learning, en algoritmos, en inteligencia artificial. Muchos ataques se aprovechan de herramientas del tipo ChatGPT para hacer estas suplantaciones de identidad. Para combatir estos algoritmos y esta inteligencia artificial hace falta inteligencia artificial, si no es imposible. Digamos que tenemos un ratio de detección del 99,95%. Esto es prácticamente todo. Se nos escapa el 0,05%, o sea, 5 incidentes cada 10.000 más o menos, y lo que hacemos es que nuestro equipo de respuesta ante incidentes los revisa, para ver si realmente son incidentes maliciosos o no, y para remediarlos para que no hagan daño a las compañías.

Entiendo que han sacado este año diversos productos, como su programa para MSSP, su solución para el quishing o su modelo para evitar los ataques hechos por IA generativa a correos corporativos. ¿De qué se tratan éstos? ¿Tienen otras soluciones específicas? 

La solución para QR [quishing] se trata de detectar QR maliciosos que te llevan a enlaces o páginas web que intentan hacer esa descarga del software malicioso. Hemos visto después de la pandemia que se ha popularizado el uso de los QR, vamos a los restaurantes, a los bares, y ya no nos dan la carta en papel. Los ciberdelincuentes aprovechan para llevar su propia pegatina, ponerla encima del QR y llevarnos a sitios maliciosos, con el que al final entran en nuestro portátil o en nuestro móvil e intentan hacer una suplantación de identidad.

Nosotros somos una compañía que nos enfocamos al canal, a los partners. Nuestra manera de comercializar nuestras soluciones es a través de socios locales. Los MSSP [Managed Security Service Provider] son una de las categorías de los partners, y lo que hacen es la gestión integral de toda la seguridad, de hecho, tienen su propio entorno. Y lo que nosotros hacemos es facilitarles nuestra tecnología para que lo pongan en su propio entorno como parte de su servicio.

Ya me has nombrado algunas, pero ¿cuáles son sus principales diferencias con otras empresas de ciberseguridad?

Para resumirlo, dos. Uno, la tecnología. Nuestra tecnología está formada por siete capas de detección. Normalmente nuestros competidores se centran en una dos, tres, cuatro capas. Nosotros tenemos una capa de antispam, antiphishing, antivirus, para la parte de amenazas conocidas de inteligencia, para la parte de suplantación de identidad, para el sandboxing. Nuestra tecnología se integra con una API directamente, no hace falta cambiar los MX records o el DNS, que es muy farragoso y le da pistas al atacante de cuál es la solución que lo está defendiendo. La tecnología es superior porque es más moderna, simplemente hemos cogido todos los avances tecnológicos y los hemos puesto.

La segunda diferencia es nuestra propuesta comercial, que es más agresiva y más completa porque incluye el servicio de respuesta ante incidentes. No lo hace nadie sin coste. Nuestro equipo, que trabaja 24 horas al día en eso, ese propio trabajo lo enriquece para ser más conocedor de los nuevos tipos de ataques y de esto se beneficia toda nuestra base de clientes, nuestros 3.000 clientes en el mundo.

"La tecnología es superior porque es más moderna, simplemente hemos cogido todos los avances tecnológicos y los hemos puesto"

¿Cómo ha crecido su negocio en España? 

Nosotros empezamos desde cero, literalmente, hace un año, un año y pico. No se puede estimar el crecimiento porcentualmente porque veníamos de cero, pero te podría decir que tenemos ya como unos 20 clientes de varios sectores en un año, algunos de ellos con miles de empleados. Tenemos algunas referencias públicas que nos dejan mencionar, por ejemplo, Hotelbeds, Sareb, Coren. Hemos tenido un crecimiento muy grande en este año y esperamos seguir teniendo este crecimiento en los próximos años, porque la acogida ha sido muy buena por los clientes, pero sobre todo por el canal, por los partners. Muchos de nuestros resellers trabajaban antes con alguno de nuestros competidores y se han venido con nosotros por la tecnología y la propuesta comercial.

Israel tiene un potente ecosistema de tecnológicas y startups de ciberseguridad. Como empresa de origen israelí, ¿cómo les está afectando la escalada del conflicto en Gaza?

Desafortunadamente, Israel está muy acostumbrada a vivir este tipo de situaciones de guerra o de conflicto permanente. Las empresas están preparadas para tener centros de replicados, centros de redundancia, en nuestro caso, en Europa y en Estados Unidos, de manera que no podemos esperar ningún cambio en el servicio que se presta, ni a nivel comercial ni a nivel técnico, más allá de algún momento puntual en el que haya un recrudecimiento y de algunas personas, que son casos aislados, que hayan sido movilizadas por el Ejército. En nuestro caso, Perception Point no se va a ver afectado de ninguna manera y vamos a seguir prestando el mismo servicio comercial y técnico y de respuesta antiincidentes que estábamos haciendo hasta ahora.  

¿Cuáles son las predicciones que tienen para el corto y mediano plazo para la compañía?

Las previsiones son muy buenas. Nuestra manera de vender, de demostrar que nuestra tecnología es buena, es ofreciendo una prueba de concepto por dos semanas, donde el cliente nos compara con la solución que quiera y le demostramos que podemos detectar más que otras soluciones y que somos más ágiles. En estos próximos meses tenemos agendadas como unas 20 pruebas de concepto. Entonces son previsiones muy buenas y de cara al año que viene yo diría que todavía mejores, porque ahora muchas empresas ya nos empiezan a conocer y se están acercando a nosotros. Tanto empresas como partners del Canal, socios que vienen y que quieren trabajar con nosotros. Vamos a crecer en clientes y también en empleados, vamos a tener que contratar a más gente para los territorios que llevo yo, para España, Italia y Latinoamérica, porque el crecimiento está siendo muy fuerte. Así que somos muy optimistas.