Confianza cero y resiliencia en un escenario de cibercriminalidad globalizado

Tras un primer día dedicado a la confianza digital y al análisis del mercado de la ciberseguridad, y una segunda jornada volcada en la figura del CISO y en las amenazas que sufre la industria, hoy, el evento IDC IDG Cybersecurity Digital Forum 2022, ha clausurado la edición de este año – que ha tenido lugar íntegramente en formato virtual-- abordando temas relacionados con la globalización del cibercrimen, y la puesta en marcha de nuevos enfoques como la ‘ciberinteligencia’ y el empleo de arquitecturas SASE y Zero Trust para combatir este tipo de amenazas.

Fernando Muñoz, Director de CIO Executive Council de IDG Communications España, ha sido el encargado de dar paso a la ponencia principal de esta tercera jornada del evento de ciberseguridad, haciendo hincapié en la globalización del cibercrimen. “Desde 2016, año en el que nuestro próximo invitado tomó posesión de su cargo, los delitos, las estafas y las extorsiones a través de internet se han convertido en lo que hoy se conoce como la globalización del cibercrimen. En la actualidad, la ciberdelincuencia ha pasado a convertirse en uno de los grandes retos para los Cuerpos y Fuerzas de Seguridad del Estado”.

Tras la introducción de Muñoz, Juan Antonio Rodríguez Álvarez de Sotomayor, Teniente Coronel jefe del Departamento contra el Cibercrimen de la Unidad Central Operativa de la Guardia Civil, inauguraba la tercera jornada del fórum de ciberseguridad de IDC e IDG haciendo hincapié en las tendencias de la lucha contra la cibercriminalidad, cómo nos puede afectar y, sobre todo, de qué manera impacta en una empresa y a su responsable de ciberseguridad. “Las amenazas que nos vamos a encontrar, y hacia lo que está tendiendo toda la criminalidad, son aquellas que buscan fines económicos”.

“Con la pandemia, los ciberdelincuentes se decantan por los ingresos rápidos que obtienen a través de ransomware”

A la hora de afrontar las amenazas desde una empresa nos vamos a encontrar fraudes y, desde una perspectiva más tecnológica, un gran abanico de amenazas relacionadas con ransomware y troyanos bancarios. Repasando la evolución de la cibercriminalidad en España y sobre todo cómo ha afectado la pandemia al crecimiento de este fenómeno. Los delitos conocidos por los hechos que se denuncian reflejan que el 90% de los ciberdelitos son fraudes económicos. La pandemia nos ha mostrado que el total de los delitos vinculados a ciberestafas han pasado de un 80 al 90 por ciento con respecto al total de los ciberdelitos. De manera que el ciberdelincuente se ha decantado por los ciberdelitos económicos. y seguimos creciendo con la misma intensidad”.

Según Rodríguez, las empresas se van a encontrar expuestas a fraudes del tipo “fraude al CEO”, o a los delitos vinculados al business email compromise (una forma dañina de ciberdelincuencia), a través de los cuales se pueden ver comprometidos los correos empresariales por parte de los ciberdelincuentes, y las identidades de los trabajadores. “Las identidades profesionales vinculadas con los departamentos financieros van a ser los principales afectados, y van a ver cómo los malhechores van a intentar suplantar, no únicamente a los responsables de nuestra empresa, sino también a la cadena de suministro”. Rodríguez afirma que también está viendo cómo ciberdelincuentes están accediendo a los correos electrónicos empresariales o de terceras empresas para manipular en nuestro nombre con la finalidad de conseguir esas transferencias, y llevando a cabo una gran manipulación de toda la estructura del correo electrónico, y afectando especialmente al Office 385. El jefe del Departamento contra el Cibercrimen de la Unidad Central Operativa de la Guardia Civil quiere advertir a las empresas acerca de la importancia de denunciar incidentes vinculados a ransomware y con los troyanos bancarios. “Es muy importante contar con nosotros desde el primer momento, y trasladar los indicadores de compromiso identificados del ataque para que podamos utilizar nuestras herramientas para poder bloquear los servidores de mando y control del ransomware o el servidor en el cual se ha producido la filtración, para conseguir que los malos no tengan acceso a los volúmenes donde se ha filtrado la información vinculada con el incidente”.

Centrando su discurso en las conclusiones de los estudios efectuados por la organización que dirige, José Antonio Cano, Research director de IDC España, apuntaba en su intervención que “venimos de un escenario en el que la VPN y la autenticación de doble factor han sido la base para garantizar las operaciones de negocio. Un escenario de nube híbrida con un entorno conectado y distribuido. Observamos una tendencia hacia el smart work, no solamente en la ‘remotización’ de trabajadores, sino en la capacidad de medir la productividad de este trabajador y, por tanto, garantizar que podemos tener a este trabajador en movilidad, y eso define un perfil de riesgo diferente con respecto al que teníamos anteriormente”.  De igual modo, Cano apela a la unificación de los escenarios de seguridad fragmentados por la necesidad de gestionar, mantener, orquestar y desplegar herramientas dispares que, en el 60 por ciento de los casos, son el principal inhibidor para mejorar la postura en ciberseguridad. “Según datos de IDC, está habiendo un movimiento desde los mejores proveedores hacia los mejores proveedores de plataforma, de manera que puedan entregar esta seguridad integral de extremo a extremo, y donde quizás tienen algunos complementos específicos que proporcionen funcionalidades concretas, preferiblemente adquiridos por integración inmediata”. Cano finalizaba su intervención apelando al empleo de arquitecturas de seguridad que ofrece el modelo SASE.

El vector destino de una modalidad de ‘cibersecuestro’ que ataca a los servidores

Enric Mañez, enterprise security Sales de Akamai Technologies, pronunciaba la conferencia de platino de esta tercera jornada del IDC IDG Cybersecurity Digital Forum 2022, y lo hacía aludiendo a la confianza. “No podemos establecer parámetros de seguridad en nada, porque entiendo que la seguridad se puede trasladar a cómo de confiados somos, y qué nivel de confianza tenemos porque la realidad es que no hay nada seguro. Lo que hemos de hacer es manejar la incertidumbre de la mejor manera posible. Manejar la incertidumbre o intentar solucionarla significa minimizar los riesgos, y ello pasa por reducir los vectores y la exposición respecto a nuestro riesgo. A lo largo de los últimos meses estamos cansados de ver noticias relacionadas con ciberataques perpetrados a universidades y administraciones públicas. Si estas noticias las podemos reducir a algo tangible podemos decir que, a nivel mundial, estamos hablando de que cada 11 segundos un dispositivo resulta infectado, mientras que el tiempo de recuperación de los negocios está en torno a los 6 días, y los datos que se pierden como consecuencia del ataque se sitúa en el 30%.

Por lo que respecta al incremento de los ataques en nuestro país, Mañez señala que la situación podría considerarse más que preocupante. "En España, el incremento de los ataques de ransomware es del 32, y representa el pico del iceberg. No obstante, consideremos otra cifra importante: 100 días es el tiempo necesario para conseguir la recuperación, y hay que pensar en cuántas compañías desaparecen por no saber sido capaces de sobrevivir esos 100 días”. Mañez explica que es por ello por lo que, durante los últimos dos años, se han realizado importantes inversiones en frenar el vector de entrada, mejorando la seguridad en el puesto de trabajo, e intentando minimizar los riesgos que supone el manejo del usuario de los activos de la empresa. “Y lo más importante, no podemos olvidarnos del vector destino que son los servidores, es la información, y en ello tiene mucho que ver la infraestructura. Una infraestructura obsoleta es un camino allanado para los ciberdelincuentes”.

La nueva normalidad requiere un escenario de confianza cero

El analista de IDC Sebastián Miranda daba paso a la primera mesa del encuentro abordando cuestiones relacionadas con el significado de una estrategia Zero Trust, cuáles son los retos que tienen las organizaciones en torno a esta metodología de protección, y cómo los vendors están ayudando a aplicar este tipo de estrategias. Para responder a estas cuestiones, Miranda invitaba a participar a los panelistas Miguel Carrero, Vice President Security Service Providers & Strategic Accounts de WatchGuard Technologies, a Melchor Sanz, CTO de HP Iberia Sales, a Fanny Pérez, Global CISO de Codere, y a Olga Forné, Global CISO de Grupo Mediapro.

Miranda introduce el enfoque a la mesa de debate, indicando que los aspectos que tienen una mayor influencia en Zero Trust son la movilidad de la fuerza laboral y los entornos híbridos, que precisan ser securizados al presentar una mayor superficie de ataque. El Zero Trust es un enfoque basado en de acceso al mínimo privilegio, sin embargo, esta metodología de protección supone algo más que una tecnología, también implica la cultura de ciberseguridad de las organizaciones. A este respecto, Miguel Carrero de WatchGuard se muestra conforme con la afirmación acerca de que Zero Trust es mucho más que una aplicación de protección, “ya que que ha pasado a ser una filosofía de seguridad en la que quitas todos los derechos predeterminados de lo que fuere, y partes de una situación en la que, en lugar de confiar y verificar, ya no confías en nada si no verificas a priori todo”. Para Carrero, esta nueva situación influye en muchas cosas: en las tecnologías, las arquitecturas y en el manejo de la experiencia de usuario. “De manera que es muy importante utilizar el concepto de que no hay una confianza predeterminada, y disponer de una visión holística para poder abordar el enfoque Zero Trust”.

De conformidad con lo expuesto por Miguel Carrero, Olga Forné de Mediapro manifiesta estar alineada con el concepto de confianza cero. “No confiamos en que el usuario sea quien dice ser, y tampoco confiamos en que la identidad de los dispositivos sea la que indican los propios dispositivos; sino que todo este panorama se aborda desde la concienciación a las personas, y también lo hacemos en la parte de procesos y optimización de estos. Estamos implementando el enfoque Zero Trust para poder avanzar hacia una analítica de comportamiento de usuarios, así como otra hacia el machine learning, con la finalidad de descubrir todas aquellas anomalías que, a simple vista o bien las personas o las tecnologías menos avanzadas no pueden identificar”. Forné puntualiza que asumen que puede haber brechas, por lo que realizan ejercicios de resiliencia junto con Zero Trust, y han optado por la automatización de muchos procesos para dar una respuesta más rápida.

Desde el punto de vista de Fanny Pérez de Codere, Zero Trust no es una tecnología, sino que es una arquitectura que hay que conocer, y establecer una integración para cada organización. “Este insight ha de comenzar por conocer a nuestros usuarios y a las aplicaciones que utilizan, y tener en cuenta cómo acceden a éstas. También se ha de tener en cuenta las condiciones que tenemos que contemplar en el proceso de autenticación para garantizar los mínimos privilegios, y el acceso al dato seguro en función de las condiciones en las que se encuentre el usuario”. Pérez afirma que Todo ello ha de hacerse con las miras puestas en el dato, que es lo que realmente vamos a proteger.

Al hablar de cómo implementar Zero Trust de manera efectiva, Miguel Carrero de WatchGuard hace alusión a la identidad como un elemento de contexto, “ya que, dependiendo de dónde se encuentre la ubicación de un usuario, aunque sea de confianza, se ha de cambiar la política de seguridad a aplicar. Tampoco nosotros confiamos en que ningún proceso que se esté ejecutando desde un end-point sea benigno, sino que siempre ha se ser verificado. Luego hay otra capa que es la identidad y la gestión de perfiles y de políticas relacionadas con la identidad, la gestión de la autentificación y autorización de esa identidad con Multifactor Authentication”.

Por su parte, Melchor Sanz, CTO de HP Iberia Sales, quiere llamar la atención acerca de un factor muy importante de Zero Trust, el cual se fundamenta en lo que está alrededor del dispositivo. “HP, que lleva invirtiendo enormemente en desarrollos de seguridad alrededor del dispositivo, lo ha integrado dentro de un paraguas que ha denominado “The Wall Security”, el cual aglutina un ecosistema de soluciones hardware y software que ayudan a que ese acceso a la información esté ‘securizado’ en el dispositivo desde la confianza cero, y garantizando que, solamente lo que la organización tenga certeza plena que es seguro, active y acceda sobre el propio dispositivo y toda la cadena de información que este contiene o a la que accede; del resto, si no se conoce, se desconfía directamente”.

José Antonio Cano, director de análisis de IDC.

En la segunda mesa de debate, moderada por José Antonio Cano, el protagonismo ha recaído en la seguridad del puesto de trabajo, y en la evolución que atraviesa la adopción de un workplace más inteligente. Para responder a estas cuestiones, Cano daba paso a Luigi Semente, Cybersecurity Sales Specialist de Citrix iberia y a Miguel Ángel Caballero, global IT Security Head de Dufry. Desde la perspectiva de los grandes cambios que ha experimentado el puesto de trabajo y los retos que presentan las nuevas maneras de trabajar que estamos viviendo, Luigi Semente de Citrix considera que, en España, dos de cada tres empresas incluirán políticas de trabajo híbrido. “De modo que vamos encaminados hacia un modelo de trabajo que nos permitirá trabajar desde diferentes lugares. Cuando hablamos de trabajo híbrido, no solo nos referimos al teletrabajo, ya que esta modalidad de trabajo ha venido a ser un parche que hemos utilizado en el momento crítico de la pandemia porque no había otra, sino en conectarnos de forma remota”. Según Semente, en muchos casos, el teletrabajo ya representa el presente en muchas organizaciones, y aquí el reto está en buscar un equilibrio entre una buena calidad en los servicios que vamos a ofrecer a nuestros usuarios y la seguridad que necesitamos en los diferentes ámbitos de IT.

Para Miguel Ángel Caballero de Dufry, la política de seguridad alrededor del puesto de trabajo de una multinacional como la que representa es clave. “El puesto de trabajo es, potencialmente desde la perspectiva de la seguridad, el eslabón de la cadena más débil, por lo que reforzar toda la seguridad con el foco puesto en el usuario es fundamental. La securización conlleva un proceso continuo, no es algo que hayamos iniciado con la llegada de la pandemia, sino que nuestro foco está en la experiencia del usuario y en que la seguridad sea lo más transparente posible en el día a día y en el trabajo de los diferentes perfiles que tenemos”. El responsable de seguridad de Dufry explica que abordan esta situación concienciando al personal, y poniendo foco en la contextualización de la identidad del usuario.

Fernando Muñoz, director de CIO Executive Council.

La evolución del rol del CISO, a debate

La mesa que cerraba el encuentro de ciberseguridad de IDC e IDG de este año la moderaba Fernando Muñoz poniendo el foco en la demanda en el terreno de la ciberseguridad, y en cómo están desarrollando sus propias estrategias de protección. Para ello, Muñoz invitaba a participar a Santiago Moral, CEO de Transforma Innovación Tecnológica, a Juan Cobo, Global CISO de Ferrovial, y a Roberto Baratta, Director de Prevención, de Pérdida y Seguridad de Abanca. Con respecto a cómo está evolucionando la figura del CISO, Juan Cobo de Ferrovial señala que, tras 17 años dedicado al mundo de la ciberseguridad, que antes se llamaba seguridad informática, la evolución ha sido radical y con una tendencia exponencial al protagonismo.  “Hablaría de tres etapas: una primera en la que la seguridad informática era una práctica tecnológica más. Transcurrido algún año más, la figura del responsable de seguridad TI fue adquiriendo mucha relevancia en sus funciones dentro de la parte tecnológica; mientras que, en la tercera etapa, la ciberseguridad ya no solo es una función relevante para IT sino que lo es para toda la compañía”.

Dentro de una entidad como Abanca, la evolución del CISO, de acuerdo con su portavoz, Roberto Baratta, coincide con la expresada por Juan Cobo de Ferrovial, al tiempo que añade la particularidad de que el CISO también puede morir de éxito. ”Los cambios estructurales que comentaba Juan ahora, y los que se están produciendo en el ámbito de la tecnología, son extremadamente acelerados, especialmente en los últimos 10 años, lo cual ha afectado a la evolución del rol del ciso en entidades complejas. En el sector financiero, a parte de nuestra tradicional relevancia como actor esencial dentro del mercado económico y la sociedad, también tenemos una tradicional relevancia cómo causantes de ciertos males, lo cual nos lleva a tener un mercado hiper regulado”. Baratta puntualiza que por esta relevancia han que gobernar de forma específica cuestiones como la ciberseguridad por estar sometidos a una altísima vigilancia.

Santiago Moral, CEO de Transforma Innovación Tecnológica, y anteriormente CISO, contempla la evolución de esta figura que, según señala, ha pasado de ser el “niño del antivirus” al director general que orquesta la ciberseguridad y su entorno. “Uno de los temas más transcendentes en la figura del CISO radica precisamente en la situación por la que está atravesando el sector de la ciberseguridad en la actualidad”. Santiago Moral ponía sobre la mesa dos datos interesantes para el debate: “La mayoría de los CISO llevan en su puesto menos de dos años a nivel mundial, lo que significa que fueron contratados durante el periodo de la pandemia. El otro dato señala que el 64 por ciento de los CISO ha cambiado de empresa durante el último año”.