Grandes corporaciones han sido vencidas por el ransomware – que no solo está afectando sus operaciones comerciales, sino también sus ganancias trimestrales y, por ende, el precio de sus acciones. El robo de credenciales da a los hackers las llaves del reino, por decirlo de alguna manera, permitiéndoles acceder a servidores de red y bases de datos sin activar alarma alguna. Los ransomworms se propagan a través de redes, robando recursos y siendo difícil de erradicar.
Paralelamente, nadie escapa al spearphishing avanzado; desde los funcionarios del gobierno hasta los ejecutivos financieros corporativos, resultando en embarazosos traspiés de imagen y transferencias de dinero irrecuperables basadas en ingeniosos trucos de ingeniería social. ¿Qué puede hacer la empresa ante este panorama? ¿Qué piensa el CISO?
Duncan Brown, vicepresidente adjunto de la Práctica de Seguridad Europea de IDC, atribuye gran parte de los daños colaterales de este tipo de ataques a suposiciones irreales sobre la probabilidad de que lleguen a causar un impacto real. “La mayor sorpresa que me causó WannaCry fue la sorpresa que causó a mucha gente. La mayoría de quienes estamos en esta industria estábamos conscientes de la amenaza, pero nos equivocamos en la evaluación del riesgo”. Brown agregó: “Claramente hubo grave error en la evaluación del riesgo, en el sentido que las organizaciones no entendieron la probabilidad de un ataque de estas características”, lo que quedó demostrado con la débil capacidad de reacción cuando WannaCry era un hecho.
Citando la película “Equity”, de 2026, Brown citó a uno de los personajes: “La mitad del mundo es paranoico, y la contraseña de la otra mitad es ‘contraseña’ “. Las organizaciones son seguras, pero todavía pueden operar de una manera ágil y expedita.
La seguridad es un problema de alto perfil en este momento
“Acabamos de ver que la contraseña más usada es ‘contraseña’ “, dijo Eduard Meelhuysen, vicepresidente de Bitglass. “Entonces, ¿cómo educar a esos empleados para asegurarnos de que entienden los riesgos presentes?” Hay una verdadera oportunidad aquí, explicó Meelhuysen. “El brote de WannaCry fue fantástico, en el sentido que todos se enteraron, a escala mundial, llevando la conciencia de seguridad a un nivel alto. ¿Qué hacemos al respecto? Cuando se trata de tomar medidas, dijo: “No hay mucho que hacer internamente en cuanto a la inversión en tecnología, pero sí en la forma en que educamos a esos clientes. Debemos educar a esos empleados para que entiendan que su contraseña no es segura. Necesitamos mostrarles nuevas formas de autenticación, o nuevas formas de conectarse a un nuevo sistema. Eso también se aplica a la computación en la nube: Necesitamos asegurarnos de tener más control. ” Con todo, Meelhuysen no es optimista. “La educación es clave, pero también nos rezagamos y siempre los hackers o phishers o creadores de ransomware estarán delante de nosotros”.
Las brechas a menudo comienzan con malas políticas de correo electrónico y navegación en la web
No todos los ataques comienzan con un correo electrónico de phishing, un sitio web pirata, un error o un descuido de un empleado. Sin embargo, en las brechas que concentran la atención mediática, como el ransomware, ransomworms y el robo de credenciales, Jason Steer dijo que las políticas de correo electrónico y web y las tecnologías de protección están traicionando a las empresas. Steer, Arquitecto de Soluciones en Menlo Security, dijo que confiar en que los empleados siempre harán lo “correcto” es una estrategia condenada al fracaso. “¿Hago clic en este enlace? ¿Puedo hacer clic en el correo electrónico? ¿Debo ir a esta página web? ¿Debo instalar la actualización de Flash Player?”.
No podemos depender de la capacidad de empleados para diferenciar entre lo bueno y lo malo. ¿A quién culpar? No es el empleado. Son todos quienes crearon estas soluciones utilizadas por el empleado”. Poniendo de relieve que el correo electrónico y la web son los dos principales mecanismos de entrega de ransomware, cada día en cada negocio, Steer señaló que, “Consideremos mi navegador web, o tu navegador web; cada navegador web que está siendo utilizado tiene una arquitectura con 23 años de antigüedad. No hay otro protocolo en su organización en el que se tome un código activo no autenticado y sin firmar, y lo ejecute en su PC sin control alguno. Pero lo hacemos en todos los sitios web, cada vez que abrimos una página web. Y lo consideramos aceptable”. “Es por eso que tenemos que replantearnos cómo los empleados usan Internet y su acceso a Internet”, argumentó Steer, “porque los controles y tecnologías que usamos para la defensa no son efectivos hoy en día. Si nos concentramos en la detección y miramos al spearphishing, no hay malware que detectar. Incluso cuando hacemos lo propio educando y concienciando, no dejarán de llegar convincentes correos electrónicos, que inducirán a los empleados a cometer errores”.
¿Qué salió mal? Consideremos el tema desde los dos ángulos
Carl Gottlieb, Director de Consultoría de Cognition Secure, dijo que, al margen de la causa, hay mucha culpa que repartir por la lenta respuesta frente a los incidentes de hoy. “Siempre habrá crimen, y siempre habrá víctimas de delitos. Para las víctimas, las dos áreas que deben absorber la culpa son los vendedores de seguridad y el departamento de TI “. Gottlieb explicó: “La industria de la seguridad tiene muchas responsabilidades que asumir. Construimos productos de seguridad en un laboratorio, probamos que funcionan y los distribuimos. Pero no nos aseguramos de cómo funcionarán en el mundo real, como en ambientes donde los productos anti-malware o anti-virus no se mantienen actualizados. “Como vendedores sabemos que esto ocurre, sabemos que la gente no puede actualizar su software por buenas razones, sin embargo, evitamos discutir el problema de fondo. Tenemos que crear productos que realmente sobrevivan al ambiente del mundo real”.
En lo que respecta a las empresas, Gottlieb dijo: “Los departamentos de TI y los departamentos de seguridad informática también han fallado al no incluir las evaluaciones del riesgo de seguridad en las evaluaciones del riesgo empresarial”. Por lo tanto, TI debería haber dejado en claro que la actualización de los antiguos sistemas operativos, y mantener los parches al día, reduciría el riesgo empresarial. Además, bajo el nuevo Reglamento General de Protección de Datos de Europa (GDPR), “podemos decir que la privacidad es ahora una manera de obtener ventaja competitiva. Si nos centramos en obtener evaluaciones de riesgos críticos para el negocio en TI, podemos evitar incidentes como WannaCry “.
Dos motivaciones esenciales: Sexo y dolor
“La psicología y la ciencia nos dicen que la gente está motivada por sólo dos cosas, el sexo y el dolor”, observó Greg Fitzgerald, COO de Javelin Networks. “En mi opinión, el dolor no se ha sentido aquí, en el sentido que la seguridad es un riesgo – y cuando tomas el dolor del ransomware, ransomworms o robo de credenciales, no creo que la gente ha sentido el dolor, en toda su magnitud”. El dolor tiene que aumentar antes que más empresas se tomen en serio la lucha preventiva contra este tipo de ataques, argumenta Fitzgerald, porque hasta ahora la ciberseguridad sólo ha sido un riesgo derivado a las compañías de seguro. “Si podemos trasladar los costos, el dolor, a ese ámbito, ¿cuanto tendré que pagar yo, en comparación a lo que tendrá que pagar el atacante?”.
Hasta ahora, dijo Fitzgerald, todos los costos son asumidos por la víctima. “Nuestra industria gasta 100.000 millones de dólares defendiéndose con todas estas tecnologías de seguridad cibernética, pero ninguna de ellas está funcionando. Tenemos más tecnologías de seguridad cibernética en el mundo hoy que nunca antes en la historia del mundo; sin embargo, estamos viendo ciberataques con niveles de éxito sin precedentes”. Entonces, aunque hay dolor, este no afecta a un número suficiente de personas, dijo, y el dolor tampoco es lo suficientemente intenso como para cambiar los comportamientos empresariales en grado relevante. “Hablamos de la culpa o del dolor, pero el dolor no se ha sentido realmente aunque no dejamos de hablar de ello.
En conclusión, el dolor no ha motivado una acción concreta”. Fitzgerald hizo referencia a las recientes brechas de datos en la cadena de grandes almacenes Target. “El ataque de Target costó miles de millones de dólares. Los directores generales y ejecutivos fueron multados y algunos fueron incluso encarcelados. Sin embargo, la compañía llegó a un acuerdo extrajudicial que sólo les hizo desembolsar US$ 19 millones. Las acciones de la compañía se han revalorizado y todo ha vuelto a la normalidad; la integridad de la marca sigue ahí. El dolor proporciona a las empresas una breve oportunidad para invertir adecuadamente, porque la memoria de las personas es muy frágil”.
Mejor que estés preparado
¿Dolor? ¿Sin dolor? La verdadera pregunta debe ser, “¿copias de seguridad?” Laurance Dine, Director Gerente del Equipo de Respuesta de Investigación de Verizon, señaló una falta de preparación y una falta de capacidad probada para restaurar información que podría ser destruida por ransomware u otros ataques. En teoría, dijo Dine, las grandes organizaciones tienen sistemas para hacer frente a la corrupción o destrucción de datos, pero “la gran mayoría de las personas que fueron golpeadas con ese ransomware no tenían idea de lo que iban a hacer, cómo iban a restaurar la datos, qué había ocurrido. Dine estuvo de acuerdo con los comentarios de Fitzgerald sobre el costo del ataque: “Se trata de quitar la rentabilidad de los atacantes. Esto se consigue al tener copias de seguridad que pueden restaurarse en el mismo tiempo que tardarías en pagar el rescate y recuperar tus datos. Estarás de acuerdo en que lo mejor es tener copias de seguridad, ¿o no? Así, el atacante no consigue nada. “La clave número uno es tener tus datos respaldados para restaurarlos en caso de un ataque”, reiteró.
“El ransomware no es nuevo; es una modalidad delictual que ha estado vigente por largo, largo tiempo. Pasó a un estado latente durante unos cuantos años pero ahora está de vuelta porque funciona y los criminales están ganando dinero con ello. Si les quitamos la rentabilidad, entonces tendrán que dedicarse a otra cosa.
El nuevo Reglamento de la UE podría estimular mejores prácticas
El GDPR, que entrará en pleno vigor en 2018, enfatiza la privacidad y la protección de datos, y si las empresas no siguen buenas prácticas y sufren una brecha, podrían recibir multas cuantiosas. Se cree ampliamente que GDPR ofrece oportunidades para que las empresas obtengan una ventaja competitiva al cumplir rápidamente con la regulación, dijo Gottlieb de Cognition. “En el contexto de la ciberseguridad, GDPR es grande. Sí, tendremos multas masivas, pero las multas van a ser mucho más grandes que los pleitos de acción colectiva y/o el perjuicio de imagen. GDPR fuerza la inversión para reducir el riesgo del negocio. Antes no podríamos encontrar una justificación realmente buena para comprar un firewall, pero ahora sí. ¿Qué hay de la nube?, preguntó Meelhuysen de Bitglass. “Cuando se trata de GDPR, si no tienes las herramientas adecuadas, la nube será el verdadero obstáculo. Necesitas tomar el control de los datos que se mueven a la nube para garantizar el cumplimiento de GDPR.
La mayoría de las empresas se están trasladando a la nube debido a la eficiencia de costos. También debemos asegurarnos de los datos están seguros y que se cumplen las reglas de GDPR. GDPR nos está ayudando a obtener más atención de la junta directiva, en cuando al presupuesto que se gasta en seguridad”.
Prepárese para la inversión tecnológica
Las últimas generaciones de malware – incluyendo ransomware, ransomworm, robo de credenciales, o spearphishing – son reales, y están costando a las empresas grandes sumas de dinero debido a la pérdida de productividad, cortes de servicio, multas y demandas y depreciación bursátil. El alto perfil mediático que tienen las brechas, sumado a las nuevas reglas de GDPR deberían hacer que abordar el panorama de amenazas sea una cuestión prioritaria para las juntas directivas. Esté preparado para realizar nuevas inversiones, imprescindibles e impostergables, en la lucha contra este panorama de amenazas.
Por Alan Zeichick – versión en español, exclusiva para Diario TI
Sobre el autor
Alan Zeichick es ingeniero de software y analista de sistemas. Ha trabajado como escritor, editor y analista tecnológico desde 1980. Fue fundador de SD Times y cofundador de Network Magazine, junto con desempeñarse como redactor jefe de LAN Magazine y redactor de Computer Security Journal. Sus trabajos han sido además publicados por Computer Security Institute.