Por Juan Carlos Vázquez, gerente de Ventas Regionales para Attivo Networks Latinoamérica
8:30 horas. Es hora de iniciar la jornada de trabajo (en modo remoto por la pandemia de Covid-19). El colaborador de la empresa enciende la computadora de su estudio y se conecta a los sistemas de la organización. Por alguna razón, decide no usar la laptop que le dio la compañía para laborar desde casa. Más tarde, sale al jardín para tomar un café, pero sin descuidar sus actividades. Utiliza su smartphone para contestar correos, corregir documentos y tener una breve videoconferencia –hasta descarga una aplicación de colaboración que le recomendaron.
Casi al final de la comida, en el momento del postre, le pide a su hija que le preste un momento su tablet. Le acaban de avisar que hay un archivo que necesita su aprobación urgentemente. Abre y manipula el material con una suite de productividad, pública y gratuita, basada en la nube –cuando el documento está listo, aprovecha la conexión para regresarlo al corporativo desde su email personal. Hacia el final de la tarde, por fin enciende la laptop de la empresa, pero sólo revisa un par de correos y dedica la mayor parte del tiempo a visitar sitios que están causando polémica en las redes sociales.
En todas estas situaciones, el empleado de la compañía –sin saberlo– podría estar jugando con fuego. Los dispositivos que usó durante el día –lo que los especialistas técnicos llaman Endpoints (Puntos Finales, en traducción literal)– pueden ser aprovechados por los cibercriminales para ingresar a la red corporativa y detonar problemas graves, como fugas de información crítica o ataques de ransomware.
Los ataques a Endpoints no son un fenómeno reciente. Una consulta global señala que el 68% de las empresas, durante los últimos 12 meses, ha sufrido un ataque exitoso (datos o infraestructura tecnológica comprometida) dirigido hacia sus Endpoints. Sin embargo, en un escenario de crisis sanitaria global en el que los Endpoints son indispensables para laborar a la distancia, el nivel de riesgo asume otra dimensión, la cual se empieza a percibir.
De acuerdo con un estudio, durante la pandemia de Covid-19, el 44% de las organizaciones ha padecido un ciberataque derivado del trabajo remoto. En buena parte de dichas agresiones, el factor Endpoint resulta imposible de ignorar, ya que el 77% de los colaboradores remotos –según estimaciones– utiliza dispositivos inseguros y no administrados por la empresa para tener acceso a los sistemas corporativos.
Así, las empresas están despertando a una dura realidad: los dispositivos que hoy protegen la continuidad del negocio, también podrían causar un desastre corporativo. Las organizaciones que ya analizan el dilema, según dos estudios-encuestas, están obteniendo conclusiones inquietantes: el 35% de las compañías considera que el uso de Endpoints inseguros es su principal vulnerabilidad digital; y el 51% acepta su incapacidad para reconocer amenazas emergentes, porque sus soluciones de ciberseguridad para Endpoint son ineficaces a la hora de detectar ataques avanzados.
Cuando el engaño es un recurso valioso
Si nos ceñimos a la definición común de Endpoint –cualquier dispositivo remoto que puede comunicarse e intercambiar datos con una red a la que se conecta–, el camino a la tranquilidad parece sencillo: blindar los puntos de acceso (computadora, laptop, teléfono inteligente, tablet, etc.) que están más allá de la empresa, lo que se materializa, por lo general, en la aplicación de soluciones antivirus.
Desde hace mucho tiempo, este enfoque ha demostrado ser insuficiente. De acuerdo con uno de los estudios citados, durante el último año, los productos antivirus tradicionales no lograron detener el 60% de los ataques enfocados en Endpoints. Una cifra que en realidad no debería sorprendernos, si se considera que los cibercriminales constantemente renuevan sus tácticas y herramientas, y su capacidad innovadora parece inagotable; se calcula que, en los pasados 12 meses, el 80% de las técnicas exitosas para extraer datos de Endpoints resultaron nuevas o desconocidas para las empresas afectadas.
Más importante aún, la perspectiva centrada en el daño al dispositivo ignora otro aspecto clave. Aunque el equipo atacado contenga información de valor, los agresores tienen una imagen más ambiciosa del botín: saben que en el Endpoint podrían encontrar elementos que les permitirán entrar a la infraestructura de TI y organizar un ataque de mayor escala (por ejemplo, contraseñas para acceder a la red corporativa y controlar sus diversos recursos). En ese sentido, el dispositivo, por su rol como puerta de acceso a la red, tiene un valor incalculable para los ciberdelincuentes.
Para responder a este reto, las organizaciones están recurriendo a soluciones EPP (Plataforma de Protección para Endpoints, por sus siglas en inglés) y EDR (Detección y Respuesta de Puntos Finales). En forma combinada, las tecnologías EPP y EDR ofrecen capacidades sin duda indispensables (antivirus, bloqueo de malware, filtrado de tráfico web, detección de comportamiento sospechoso, monitoreo de actividades en el dispositivo, respuesta a incidentes, entre otras).
Según algunos especialistas, EPP tiene la función de prevenir los ataques a Endpoints, mientras que EDR brinda capacidad de reacción ante la presunción de que un dispositivo remoto está poniendo en riesgo a la red. Por lo general, en su estrategia de seguridad digital, las organizaciones tienden a incluir a ambas.
Sin embargo, los cibercriminales, como lo sugieren los datos señalados al principio, han logrado superar estas barreras. De ahí la importancia de robustecer las plataformas EPP y EDR con innovaciones que brinden un nivel de seguridad mayor. En las soluciones de protección para Endpoints basadas en Ciberengaño (Cyber Deception), las organizaciones pueden encontrar una respuesta más que adecuada.
Las soluciones de Cyber Deception se sustentan en una premisa: engañar a los agresores con elementos falsos para alejarlos de los activos valiosos de la red empresarial, y conducirlos a entornos donde pueden ser detenidos. En el caso de los Endpoints, la tecnología Cyber Deception, una vez que se confirma que el dispositivo está en poder de una iniciativa cibercriminal, responde con engaños y pistas ficticias a los intentos por extender el ataque a toda la red.
Tres ejemplos para explicar lo anterior; en ambos casos, en el contexto de un dispositivo que ya está bajo el control de un delincuente y cuya presencia no ha pasado desapercibida:
1. Desde un Endpoint, el atacante hace consultas al Directorio Activo de la red para obtener la información de equipos, aplicaciones o privilegios de acceso.
La solución de Cyber Deception responde a las peticiones con datos falsos que impiden el movimiento lateral de manera exitosa, mientras se desvía al adversario a un ambiente ficticio donde se entenderán sus intenciones o se le aislará inmediatamente.
2. El cibercriminal aprovecha el acceso conseguido para escanear segmentos de la red y otros Endpoints vulnerables, con el fin de ubicar sistemas y servicios críticos.
Al detectar el escaneo, al atacante se le muestran elementos de red que parecen reales, pero que en realidad son «minas virtuales» con las que el agresor se engancha, lo que le mantiene alejado de las herramientas que son esenciales para la operación de la empresa.
3. El usuario se ve comprometido por ransomware que intentará cifrar la información de su equipo.
Sin embargo, el engaño impide que esto se realice al ocultarle al atacante procesos no autorizados o legítimos, la información real de carpetas, archivos, unidades de datos de aplicaciones de nube y de red; al tiempo que se le presentan en paralelo unidades fictivas de red, que permiten retrasar el proceso del malware al engancharlo con información falsa para su cifrado.
Estas capacidades, entre muchas otras, están impulsando el uso de Cyber Deception en plataformas de seguridad para Endpoints. Y hay buenas razones para intentarlo, si es engañado y frenado en la fase del dispositivo remoto, el poder malicioso del cibercriminal se reduce en forma significativa.
La meta es defender la red corporativa en todo momento y desde cualquier espacio, y en tal sentido, la protección de los Endpoints, los muy útiles equipos que están más allá de las fronteras de la empresa, es una primera línea de defensa que es vital para, por ejemplo, rechazar un ataque de ransomware.
Por supuesto, la innovación no puede hacer todo por nosotros. Con el apoyo de las empresas, los colaboradores deben adoptar las mejores prácticas para un trabajo remoto seguro; lo que incluye un uso responsable e inteligente de los dispositivos –personales o corporativos– que usamos para conectarnos a la oficina. Suponer que el Home Office no implica riesgos para las organizaciones también es un engaño.
