Que los ataques de tipo ransomware son uno de los principales desafíos en materia de ciberseguridad, no es novedad. Según una investigación del área de seguridad cibernética de WatchGuard han identificado que, durante la primera mitad del 2022, se registraron un 80% más de estos eventos de todo lo sucedido el año anterior.
Para graficar esta situación, justamente en el pasado julio, el grupo hotelero Marriott International confirmó una filtración de datos que, según los piratas informáticos, habría alcanzado los 20 gigabytes de datos confidenciales, incluida información de las tarjetas de crédito de los huéspedes; situaciones similares había padecido la cadena al menos 3 veces en los últimos 8 años.
Otros casos de estudio que se produjeron este año fue el ataque generalizado a Costa Rica, que logró paralizar las operaciones financieras del país. Nvidia, Ubisoft, Samsung y Microsoft sufrieron con los ataques de jóvenes del grupo Lapsus$ que lograron extorsionarlos a través del phishing. En los últimos meses, a pesar del encarcelamiento de sus creadores, también los padecieron Uber y Rockstar Games.
La guerra entre Rusia y Ucrania ha sido el marco de una incontable cantidad de ciberataques. En Estados Unidos, España y Gran Bretaña, diferentes entidades vinculadas a la salud fueron objetivo de diversos grupos dedicados a robar información.
Quizás te interese seguir leyendo
Los 5 ataques informáticos más comunes del 2022
El panorama de amenazas para 2023 presenta un menú desafiante. El uso de malware o los correos electrónicos de phishing están siendo una opción popular de ataques ransomware en la nube; por ejemplo, se dirigen a servidores de correo electrónico on the cloud, utilizando métodos populares como la sincronización de archivos (piggybacking).
En este caso, el atacante envía un correo de phishing con un archivo adjunto, que al ser descargado inicia la instalación del ransomware, desplegando una ventana emergente aparentemente inofensiva para el usuario. Al hacer clic, el ransomware se disemina abriendo compuertas de acceso a la red al ciberatacante.
El Índice de Inteligencia de Amenazas 2022 de X-Force de IBM descubrió que al menos el 62% de las organizaciones de todo el mundo se enfrentaron a un ataque a la cadena de suministro este año. En este caso, los atacantes entran en las redes de las empresas a través de vulnerabilidades o dispositivos vulnerables en la red de un tercero o socio de negocios que también es parte de la supply chain. Integrar en la estrategia de Ciberseguridad 2023 a todas las empresas con las que hay un flujo digital de información, es esencial, alineando políticas, metodologías y protocolos.
A medida que todo lo industrial se digitaliza, en prácticamente todos los sectores, el equipamiento operacional (también conocido como tecnología operacional o operational technology -OT-) se transforma en un eslabón de la cadena de seguridad de TI que ya está en la mira de los ciberatacantes. El riesgo, en este caso, excede el universo de la información o los datos, y puede tener un gran impacto en el mundo físico, de muy diversas formas.
Así como el entorno Windows es muy vulnerable y constantemente es atacado por ser el de mayor penetración en computadoras personales y portátiles, lo propio sucede con Android en el escenario móvil. Los ciberataques de malware móvil han aumentado un 500% durante los primeros meses de 2022, y los dispositivos con ese sistema operativo son los objetivos más comunes.
A los métodos de ataque habituales (aplicaciones y sitios web maliciosos, ransomware para móviles, phishing), los ataques con una persona en el medio (Man-in-the-Middle -MitM-), las técnicas avanzadas de rooting (quebrar restricciones desarrolladas por Google) o su equivalente para Apple (jail break), y los exploits de endpoints y sistemas operativos son las principales amenazas que afectan a los dispositivos móviles.
Sigue leyendo
Elementos clave para una estrategia de seguridad de TI exitosa
Entonces, ¿cuál es nuestro camino a seguir?
Dado el amplio perímetro que engloba a nuestra organización y su ecosistema, dos tendencias principales emergen para el corto plazo.
La primera es la adopción del paradigma Zero Trust o cero confianza. No estamos hablando de un producto o una tecnología específica, sino más bien de una filosofía estratégica de ciberseguridad. Su axioma fundamental es "nunca confíes, siempre verifica". En lugar de concebir la seguridad desde una perspectiva perimetral, la modalidad Zero Trust asume que cualquier recurso puede ser comprometido y por tanto necesita ser autenticado y autorizado.
Esto implica un enfoque en el control de identidades y la gestión de accesos, bloqueando inicialmente todos los permisos y habilitándolos gradualmente basándose en necesidades validadas y especificas, implementando conceptos como el mínimo privilegio necesario y la segmentación de red basada en software.
La segunda tendencia que cobrará protagonismo es la Orquestación, Automatización y Respuesta en Seguridad (SOAR, por sus siglas en inglés). SOAR permite a las organizaciones consolidar la información de seguridad de múltiples fuentes, automatizar el procesamiento y la correlación de alertas de seguridad, así como coordinar y ejecutar respuestas automáticas a incidentes de seguridad. Las soluciones SOAR permiten la recopilación y evaluación sistemática de los indicadores de amenazas, soportando la toma de decisiones mediante la asignación de puntuaciones de nivel de riesgo basadas en análisis avanzados.
Debemos reconocer que a pesar de los ataques de gran repercusión que han impulsado a las empresas a una mayor conciencia y alerta, los ciberdelincuentes poseen herramientas y técnicas cada vez más sofisticadas para superar las medidas de protección que se implementan. Por tanto, es crucial que las empresas adopten enfoques proactivos que les permitan observar, analizar y actuar en tiempo real ante lo que sucede en sus redes y sistemas para detectar patrones de ataque o accesos sospechosos.
En este contexto, las soluciones de Gestión de Información y Eventos de Seguridad (SIEM) desempeñan un papel fundamental. Estos sistemas recogen eventos y datos de seguridad en tiempo real a lo largo de la infraestructura tecnológica de la empresa, desde redes y servidores hasta bases de datos y aplicaciones. Con la ayuda de potentes algoritmos de correlación de eventos, los SIEM permiten el análisis y la detección de amenazas en tiempo real, proporcionando una visión integrada y completa de la postura de seguridad de la organización. Esto resulta esencial para alcanzar el objetivo último: la máxima resiliencia digital.