Hasta hace poco, la ciberseguridad iba a remolque de otros desarrollos informáticos, ya que suponía un gasto y no tenía un retorno de inversión claro e identificado.

Sin embargo, no se trata de que por cada euro se pueda obtener otro, sino de atajar los posibles robos de información o vulneraciones en el funcionamiento de los sistemas, lo que también supone, en definitiva, evitar las pérdidas económicas.

Este artículo trata de exponer las motivaciones de los individuos y organizaciones que se encuentran detrás de los ataques, así como dar unas pinceladas sobre su funcionamiento. El objetivo es ayudar a las empresas a abordar mejor sus estrategias de defensa.

 

Amenazas y objetivos

Si excluimos las amenazas que puedan venir derivadas de intereses estratégicos por parte de gobiernos o las relacionadas con la seguridad nacional, en el 99% de los casos, la motivación no es otra que el dinero.

Entre las amenazas para las empresas destaca el ransomware que bloquea los sistemas (tras lo cual, los ciberdelincuentes piden dinero a cambio de restablecer su funcionamiento). También son muy usuales los ataques de denegación de servicio, utilizados para extorsionar a las organizaciones, que no pueden permitirse que sus sistemas dejen de funcionar ni siquiera durante 10 minutos.

Por otro lado, los ataques de día cero consisten en descubrir una vulnerabilidad en sistemas o productos antes de que lo haga el fabricante y explotarla mientras no tiene parche o solución.

Cuando una de estas vulnerabilidades ya se hace pública, los ciberdelincuentes que la conocen y llevan tiempo sacándole provecho, tratan adicionalmente de monetizar su propio exploit vendiéndolo al mejor postor. El comprador aun podrá utilizar ese exploit en el tiempo que tarda el fabricante en generar el parche de seguridad y las posibles víctimas en desplegarlo en sus sistemas.

Por ejemplo, WannaCry se basa en una vulnerabilidad de Windows que al parecer la NSA (la Agencia de Seguridad Nacional estadounidense) descubrió y aprovechó durante al menos 5 años antes de que dicha vulnerabilidad trascendiera al dominio público.

Desde el momento en que empieza una incursión hasta que se descubre pueden pasar varios meses, aunque hay diferencias entre las regiones. En Europa duran algo más de 100 días, mientras que en Asia-Pacífico se alargan por encima de los 170. En el caso de EEUU, no suelen alcanzarse los 100 días.

La digitalización juega cada vez un papel más importante en nuestra sociedad. Los usuarios también pueden recibir ataques clásicos de ransonware que bloqueen su ordenador y después le pidan dinero. Si se niegan, quizá perderían las fotos de los últimos 10 años de sus hijos, pero las consecuencias económicas no serían tan grandes como en el caso de una empresa. La sustracción de credenciales para realizar transacciones es un problema con más impacto económicamente hablando.

También hay veces en las que el usuario es víctima y, sin saberlo, forma parte de una red de bots que se usan para ataques de denegación de servicio, un riesgo que se multiplica ante el auge de los dispositivos móviles y el IoT.

 

Los culpables

Por otro lado, cabe destacar que el cibercrimen ha alcanzado un grado de especialización impactante. Hay empresas que alquilan su red de bots que tienen incluso un callcenter al que llamar si surgen problemas.

No es la misma organización la que explota el ramsomware que la que lo escribe y dentro de estas, las funciones de las diferentes personas se encuentran separadas.

Unos escriben el ramsonware y otros pagan por él para venderlo a otra entidad con capacidad de distribución.
La información clasificada que se robe por estos medios (espionaje industrial) puede ser usada para extorsionar a los propietarios o venderse en el mercado negro.

Se trata de un negocio si analizamos los casos específicos, nos damos cuenta de que los lobos solitarios, aunque existen, no tienen tanto impacto como la delincuencia organizada.

También merecen una mención el espionaje por parte de los gobiernos y el hacktivismo.

 

Cómo combatir el cibercrimen

El número de ciberataques se incrementa cada año, y no solo en número sino también en variedad y complejidad.

Enfrentarse a los ataques es una cuestión de infraestructura e inversión, por lo que alguien con los recursos necesarios será capaz de realizar una incursión en los sistemas de otro a menos que este haya tomado las medidas necesarias.

Teniendo en cuenta todo lo anterior, la primera acción de las empresas debe ser generar una estrategia. Para ello, es necesario realizar un análisis de riesgos y tratar de garantizar el cumplimiento de las normativas.

Después, se lleva a cabo la implementación de las soluciones que se derivan de la estrategia, es decir, se ejecutan los proyectos y se ponen en funcionamiento sistemas para que las estrategias definidas se lleven a efecto (protección de la infraestructura, gestión de identidades, gestión de accesos, etc.).

La tercera parte es la cibervigilancia activa, cuyo objetivo es detectar posibles intrusiones para poder actuar a tiempo. Esto se basa en un servicio de monitorización de seguridad que analiza las diferentes entradas de datos (logs, información de los sistemas de seguridad perimetral o lanzamiento de alarmas, entre otras).

En resumen, la cuestión no sólo es qué hacer para estar completamente protegido, pues eso no es posible, sino qué medidas se toman para estar preparados y atajar la situación ante un ataque.

Por último, es necesario señalar que aún es muy común que las empresas no estén dispuestas a parar sus sistemas para implantar un parche importante inmediatamente, lo que hace aumentar los riesgos. Sin embargo, esta situación se está reduciendo, pues cada vez son más conscientes lo que supone, lo que también está haciendo aumentar la inversión en ciberseguridad.

 







¿Te gustaría recibir nuestros próximos artículos?