Cómo pueden las organizaciones defenderse de la creciente actividad de ciberdelincuencia
"La clave de la resistencia será controlar los principios de la seguridad, planificar para estar preparados para lo peor y fomentar la colaboración entre sectores".
Durante la última década, la transformación digital ha traído consigo una mayor exposición de las redes corporativas y ha permitido a los autores de las amenazas conseguir sus objetivos. Entre 2008 y 2021, el FBI registró un aumento del 207% en las denuncias por ciberdelincuencia, con pérdidas que alcanzaron casi los 7.000 millones de dólares el año pasado. Esto se produce gracias a que existen creados o autores de ciberamenazas que ponen a disposición de personas pocos conocimientos y recursos limitados de estos, poniendo en peligro la seguridad personal, económica, e incluso del propio país.
La mala noticia es que el progreso de ciberdelincuencia no se ha detenido. En el futuro podríamos ver cómo se utilizan tecnologías emergentes como la inteligencia artificial (IA) y la computación cuántica para llenar los bolsillos de los grupos criminales e incluso para favorecer los objetivos de los estados. La clave de la resistencia será controlar los principios de la seguridad, planificar para estar preparados para lo peor y fomentar la colaboración entre sectores.
La historia hasta ahora
Los delincuentes han estado siempre entre los primeros en aprovechar las nuevas tecnologías, e Internet no fue una excepción. En la década de los 90, los aficionados utilizaron el Internet Relay Chat (IRC), utilizado en las principales aplicaciones de mensajería instantánea de la época, que permitía a personas con ideas afines conectarse online para tratar temas como la piratería informática y el desarrollo de exploits. A finales de la primera década de los 2000, la elevada barrera de entrada para los piratas informáticos se redujo gracias a los kits de malware comercializados, y los grupos con motivación económica comenzaron a unirse en torno al fraude bancario. Más recientemente, los autores de las amenazas cambiaron sus tipos de ataques a otros como la negación de servicio y ataques destructivos, aprovechando los modelos "como servicio" y adoptando el ransomware como su método de monetización preferido.
La economía actual de la ciberdelincuencia se caracteriza por complejas cadenas de suministro compuestas por individuos con habilidades altamente especializadas. El acceso a la red, el control y la persistencia se valoran por encima de todo, ya sea mediante credenciales o explotando vulnerabilidades. La oferta de ambos se ha disparado, reduciendo los precios y las barreras de entrada. Como parte de su informe, HP Wolf Security encargó un análisis de tres meses de mercados y foros clandestinos, revelando que las credenciales del Protocolo de Escritorio Remoto comprometidas se venden de media por sólo cinco euros cada una, y que más de tres cuartas partes de los anuncios de malware listados están por debajo de 10 euros, y casi todos (91%) los anuncios relacionados con exploits no superan los 10 euros.
Los servicios de valor añadido que ofrecen los vendedores de malware facilitan aún más el lanzamiento de ataques a quienes tienen pocos conocimientos técnicos. Ofrecen una tutoría personalizada, una asistencia al cliente ejemplar y un alojamiento de malware con descuentos a través de proveedores de alojamiento a prueba de balas. El informe sobre ciberdelincuencia concluye que sólo el 2-3% de los vendedores son realmente codificadores, lo que reduce la ciberdelincuencia a una serie de pasos reproducibles que los autores de las amenazas pueden seguir una y otra vez para ganar dinero.
En este nuevo mundo, la confianza y la reputación lo son todo. Las puntuaciones de los vendedores son omnipresentes, por supuesto, y la mayoría de los sitios ofrecen resoluciones de disputas y pagos en custodia. Pero también se ha observado que el 77% de los mercados delictivos exigen ahora una “confianzade vendedor" o una licencia para vender, lo que puede costar miles de euros a los autores de las amenazas. Cuando hay tanto en juego, y la vida útil de los sitios basados en Tor es tan corta que no es de extrañar que los ciberdelincuentes también hayan ideado formas de transferir su reputación, ganada con tanto esfuerzo, entre los mercados.
Explorando el horizonte
Esta es la historia hasta ahora. ¿Pero qué hay del futuro? ¿De dónde puede venir la próxima amenaza? La respuesta más corta es que es probable que veamos una continuación de la colaboración, la especialización y la profesionalización presenciadas hasta la fecha.
Los hackers seguirán explotando la expansión de las superficies de ataque de las empresas, quizás subiendo la apuesta con ataques de extorsión programados para crear la mayor perturbación posible. Al hacerlo, veremos a un mayor número de ellos utilizar las herramientas y técnicas que antes eran exclusivas de unos pocos grupos APT (Amenaza Persistente Avanzada). De hecho, las líneas entre la ciberdelincuencia y los actores del estado seguirán difuminándose, ya sea con estados hostiles que dan cobijo a las bandas criminales o bien que invierten directamente en la ciberdelincuencia como fuente de ingresos para evadir las sanciones.
Como siempre, serán los primeros en utilizar las tecnologías emergentes. La computación cuántica podría desplegarse para romper los cifrados fácilmente. La visión de la Web3 de una Internet descentralizada y basada en blockchain también podría abrir nuevas oportunidades para crear sistemas de reputación que apoyen la economía de la ciberdelincuencia, que podrían ser más difíciles de desmantelar para las autoridades. La IA también podría utilizarse para automatizar la selección de objetivos a partir de la libreta de direcciones de una víctima y construir ataques de spear-phishing muy convincentes basados en comunicaciones anteriores, lo que ayudaría a mejorar el retorno de la inversión.
Resiliencia, mejores prácticas y colaboración
Todos tenemos que hacer más para luchar contra esta creciente actividad de la ciberdelincuencia. Para los usuarios, esto significa ser más conscientes de la ciberseguridad. En el caso de las organizaciones, es necesario centrarse en dominar los aspectos básicos, planificar la resistencia y colaborar para reducir el riesgo.
Por “dominar lo básico” nos referimos a seguir las mejores prácticas como la autenticación multifactor, la detección y gestión de activos de TI, la gestión de vulnerabilidades y los controles para restringir lo que se puede instalar en los dispositivos. Pero también incluye dar prioridad al hardware autorreparable para aumentar la resistencia en caso de infracción. Además, las organizaciones deben cerrar las rutas de ataque más comunes, como las que llegan a través del correo electrónico y la web, que podrían neutralizarse mediante técnicas como la contención y el aislamiento de amenazas.
Después de ello, viene la resiliencia, que se consigue poniendo en marcha a las personas, los procesos y la tecnología para detectar, prevenir y recuperarse de cualquier ataque antes de que sea grave. Esto significa planificar para el peor de los casos, poner en marcha los procesos para limitar la cadena de suministro y el riesgo interno, y practicar repetidamente la respuesta a los incidentes.
Por último, hay que recordar que la seguridad es un deporte de equipo. Es fundamental colaborar con los compañeros, invertir en evaluaciones de seguridad y pruebas de penetración de terceros, así como reunir y compartir información sobre amenazas con los compañeros del sector, para saber qué está ocurriendo ahora y qué podría estar a la vuelta de la esquina.
La ciberdelincuencia de hoy en día no se diferencia del funcionamiento de una fábrica. Presenta un alto grado de especialización, con el trabajo criminal subdividido en funciones especializadas, mientras que otras tareas se han destilado en flujos de trabajo repetibles y casi automatizados. También es innegablemente industrial en cuanto a escala e impacto. Entender esta dinámica es el primer paso en el camino para construir una mayor resistencia contra un enorme adversario. Los malos pueden ser los primeros en aprovechar las nuevas tecnologías. Pero con un mejor conocimiento, los defensores pueden construir estrategias eficaces para mitigar el impacto de la ciberdelincuencia de frente.
El autor de este artículo es Carlos Manero, responsable de servicios digitales y seguridad de HP España
