La ciberseguridad, la necesaria sensatez que empieza a mandar en las TI

En materia de ciberseguridad, las tendencias en 2022 han estado centradas en la adopción de seguridad cloud para hacer frente, por una parte al aumento exponencial del número y tipología de ciberamenazas (en un contexto además donde el incremento de ramsonware ha sido exponencial), y por otra, la falta de talento especializado en ciberseguridad.

Según datos de IDC, el 70% del tiempo de los equipos de ciberseguridad se destina a mantener los aplicativos y soluciones de seguridad de la organización. El consumo de la seguridad como servicio está incrementando la adopción de soluciones de gestión de identidades en la nube, así como el trabajo híbrido.

Por fin la ciberseguridad es una moda laboral bastante bien considerada. En este sentido, destaca la adopción de la ciberinteligencia como herramienta para estructurar una postura de seguridad activa, con adopción de soluciones como EDR, XDR o Zero Trust, que facilitan el trabajo híbrido. De hecho, en España en 2022 el 38% de las organizaciones ya utiliza un entorno de seguridad cloud y el 36% ya están adoptando SASE como framework para mejorar su postura de seguridad.

El Instituto Nacional de Ciberserguridad (INCIBE) nos explica el contexto de cómo en el año 2022, nuevamente, el componente digital ha ganado más peso que nunca en nuestras vidas, impulsado especialmente por la reciente pandemia y el conflicto bélico, que han acelerado enormemente la transformación digital y han elevado el grado de dependencia tecnológica de la sociedad española.

Lógicamente, a mayor “superficie” tecnológica , mayor exposición, pero también mejores medidas de seguridad. “Vivimos tiempos de cambio, disruptivos a niveles nunca antes vistos, y en los que estamos obligados a no bajar el ritmo que impone la actual situación socioeconómica”, nos indican los analistas del Incibe.

Los tipos de incidentes de ciberseguridad más comunes en 2022

Si tomamos como referencia la taxonomía de ciberincidentes de la “Guía nacional de notificación y gestión de Ciberincidentes”, y a falta de confirmar los datos de los últimos tres meses de 2022, los tres tipos de incidentes más frecuentes que se han observado durante el año siguen siendo muy similares a los de años anteriores. Y son estos:

• Fraude: el uso no autorizado de recursos empleando tecnologías y/o servicios por usuarios no autorizados, como suplantación de identidad, violación de derechos de propiedad intelectual, o bien otros engaños.
• Malware: cualquier pieza de software que lleve a cabo acciones  y cualquier tipo de alteración de un sistema, como extracción de datos.
• Sistema vulnerable: fallos o deficiencias de un sistema que pueden permitir que un usuario no legítimo acceda a la información, o lleve a cabo operaciones no permitidas de manera remota.

Por otro lado, cabe señalar que este año, como consecuencia de alguno de los tipos de incidentes anteriores, se ha producido un mayor volumen de problemas de filtración de datos expuestos en internet por parte de entidades.

A través del servicio nacional, gratuito y confidencial “Tu Ayuda en Ciberseguridad” que INCIBE pone a disposición de los y las ciudadanas, y del sector empresarial privado, el organismo público recoge consultas para resolver sus dudas o sobre Ciberseguridad. La institución dispone así de un valioso catálogo de los temas que más han preocupado a lo largo del 2022 a sus usuarios:

• Fraudes online relacionados con el phishing y su variante smishing, sobre todo de empresas de paquetería o del sector bancario. Con esta técnica, los atacantes envían mensajes que contienen enlaces o aplicaciones maliciosas para estafar a sus víctimas, con la idea de robarles datos personales, información financiera, o credenciales almacenadas,
• Suplantación de identidad en redes sociales, donde un atacante se hace pasar por otra persona para cometer fraudes, ciberacosar o realizar sextorsión.
• Llamadas fraudulentas en las que se ofrecen falsos servicios de soporte técnico a dispositivos,  donde sí se consiente el acceso remoto, se permite acceso libre a todos los datos del dispositivo, incluidos los personales o financieros, si están allí almacenados.

A nivel empresarial, las consultas más frecuentes han sido las relacionadas con fraudes BEC (Business Email Compromise), en los que a través de mails comprometidos, y en ocasiones suplantando directivos de la empresa, los ciberdelincuentes consiguen obtener beneficios principalmente económicos. En los últimos meses, también han detectado un aumento de las consultas referidas a la privacidad de las cuentas, que solicitan información sobre medidas para proteger y mejorar la seguridad de la información personal en la red y saber cómo actuar en caso de estar afectados por una filtración de datos.

Catálogo STIC y conocimiento que genera la sensibilización y formación

Las tendencias de ciberseguridad en la industria durante 2022 han manejado las siguiente tecnologías y estrategias:

• Malla de ciberseguridad. Se define una malla de ciberseguridad como un enfoque conceptual moderno de la arquitectura de seguridad, que permite a la empresa protegida desplegarla y extenderla donde más se necesite. A medida que las organizaciones crecen más allá de una ubicación física, cada nodo se convierte en un posible punto de acceso, que se puede aprovechar para poner en riesgo toda la Red. La malla extiende la seguridad a toda la arquitectura, lo que permite proteger todos los sistemas y puntos de acceso con un solo conjunto de tecnologías unificado. Además, como se basa en la inteligencia de amenazas más reciente, una malla de ciberseguridad puede evolucionar a medida que van surgiendo nuevas amenazas.
• Threat Hunting (Búsqueda de amenazas). Es una herramienta o servicio de seguridad complementarios a las medidas de protección tradicionales. Con ella no se pueden reemplazar los sistemas de protección reactiva, que siguen siendo totalmente necesarios en la seguridad de la empresa, según nos recuerdan desde Incibe. A diferencia de las herramientas de protección que ya conocemos, el threat hunting requiere del componente humano, el cazador de amenazas, que desempeña un papel fundamental y aporta la parte creativa que las máquinas, por el momento, no nos pueden ofrecer.
• Modelo Zero Trust. Como su propio nombre indica, traducido al castellano significa “Confianza cero” y se trata de desconfiar de cualquier usuario o dispositivo que intente acceder a algún recurso de una organización desde fuera de la infraestructura de la empresa, aunque ya haya accedido anteriormente. En otros términos, es como poner a muchos vigilantes de seguridad que controlan el acceso y transferencia de datos en la red corporativa desde diferentes lugares. Otra de las características de este modelo es que analiza y registra los comportamientos para prever posibles futuras amenazas.

Para los técnicos de Incibe, se podría decir que “la arquitectura Zero Trust se basa en los siguientes principios fundamentales:

1. Verificación continua para todos los accesos, todo el tiempo. Ya no se trata de confiar y después verificar, sino de no confiar nunca y comprobar constantemente.

2. Minimizar el impacto, a través de la microsegmentación, desglosando en pequeños módulos la infraestructura de la empresa. Cada uno de estos módulos posee sus propias políticas de seguridad, por lo que es más fácil de bloquear en caso de amenaza y no afectaría al resto de la Red.

3. El principio de los menores privilegios posibles, a través del que se da a cada usuario solamente los privilegios básicos para realizar su trabajo y, en caso de que su actividad.

• Red Team y auditorías técnicas de seguridad. Los departamentos de ciberseguridad, encargados de la defensa ante cualquier ataque de seguridad informática  tienen ya un mayor peso dentro de las organizaciones debido a la proliferación de incidentes de ciberseguridad. El correcto desarrollo y ejecución de un plan de respuesta ante ellos es su cometido más importante. Es en este punto es donde entra la ejecución de ejercicios de Red Team, donde un equipo autorizado de atacantes (denominado asi; Red Team) intentará realizar una intrusión real en la empresa. De esta forma, se ponen a prueba, tanto los dispositivos de seguridad, como la correcta ejecución del plan de respuesta ante un incidente, ya que el equipo encargado de la defensa no tendrá conocimiento de que sea un ataque “controlado”. Se trata de una forma proactiva de analizar la infraestructura de la organización, con el objetivo de poner a prueba tanto los sistemas de ciberseguridad, como los planes de contención ante un incidente de seguridad real.
• IIoT (Industrial Internet of Things) Durante los últimos años, se ha producido un incremento de la interconectividad en los dispositivos gracias al Internet of Things (IoT). Su aplicación en sistemas de control industrial se conoce como IIoT (Industrial Internet of Things). La idea es optimizar la producción industrial a través de la conexión entre dispositivos y un centro de datos, para obtener estadísticas en tiempo real o realizar un mantenimiento constante y predictivo de la maquinaria, además de controlar la producción industrial de una manera más sencilla y segura. Supone un gran avance que lleva consigo toda la conectividad de infraestructuras críticas dentro de plantas o industrias, principalmente debido a dispositivos más automatizados y autónomos, y más resistentes.
• Edge computing. Tras el establecimiento de la tecnología cloud en los entornos industriales, para dotar a los procesos de una mayor inteligencia, surgen nuevos retos tecnológicos que dan lugar a soluciones técnicas, como el edge computing, basado en la idea de analizar y tratar los datos en la ubicación física (o cerca de ella) en la que han sido recolectados. De esta manera, se libera tráfico hacia el centro de datos y los resultados obtenidos son más fiables y rápidos. Esta estrategia permite ampliar los entornos cloud a diferentes ubicaciones para procesar datos recopilados del entorno de manera local e inmediata. Un ejemplo de este nuevo paradigma tecnológico se puede observar en plantas de fabricación modernas donde los sensores (IIoT) generan un flujo constante de datos para prevenir averías, mejorar operaciones, etc. Dada la cantidad de datos que pueden generarse, es más rápido y rentable procesar los datos cerca de los equipos antes que transmitirlo a un centro de datos remoto.
• Ciberinteligencia, vigilancia digital y alerta temprana. En el marco general de la protección y reforzado en el contexto del conflicto entre Ucrania y Rusia, han sido relevantes todos los aspectos relacionados con la inteligencia para la detección y protección ante ciberincidentes y la detección de amenazas. También ha destacado el seguimiento de grupos de actividad maliciosa, las fugas de información o las denegaciones de servicio organizadas por diferentes actores, que han supuesto un revulsivo para todas las actividades de ciberinteligencia y analisis de amenazas. La industria de la ciberseguridad ha desarrollado capacidades para estas actividades y para aportar esa visión estratégica y operativa que las empresas más afectadas por este conflicto pudieran demandar.

Las tendencias de ciberseguridad que han protagonizado 2022 (primer semestre principalmente) desde la perspectiva de tecnologías expuestas o vulnerables, es decir,  según su exposición o relevancia de la vulnerabilidad que les afecta, aunque no sean estrictamente tecnologías de seguridad, son las siguientes:

• Productos WMware
• Apache Log4J
• Microsoft Windows
• Componente ICM (Internet Communication Manager) en productos SAP
• Amenaza APT INCONTROLLER/PIPEDREAM, dirigida a dispositivos SCAD
• Microsoft Exchange Server
• Atlassian Confluence
• Spring4Shell: vulnerabilidad RCE en Spring
• Dirty Pipe: vulnerabilidad de escalada de privilegios en el Kernel de Linux
• F5 BIG-IP

Seguridad y resiliencia

Según la consultora Gartner, el 88% de los consejos de administración considera que la ciberseguridad es un riesgo empresarial más que tecnológico, por lo que la misma se convertirá en foco clave para los máximos responsables (C-level) de todas las áreas del negocio. La ciber-resiliencia ya no será solo un problema de los CISOs. Así,  la resiliencia cibernética superará a la ciberseguridad como prioridad en este ámbito y en las empresas entrarán en escena los responsables de ciber-resiliencia.

La ciberseguridad debe ahora hacerse más sabia si cabe, porque la computación cuántica en ciberseguridad será cada vez más importante, ya que en los próximos años crecerá el debate alrededor de la necesidad del cifrado y algo muy similiar va a ocurrir con la ética de la IA, que importará cada vez más según crece el interés por la misma de los organismos reguladores, lo que obligará a las organizaciones a definir marcos de actuación.