Entrevista con Julian Dana, Director de Mandiant, una compañía de FireEye.
¿Cuál es el estado actual de ciberseguridad para las organizaciones en América Latina?
Las amenazas a la seguridad cibernética están aumentando, y América Latina, incluyendo a México, no son una excepción.
Hemos respondido a más incidentes de seguridad desde el año pasado, y la mayoría de ellos reciben una respuesta después de que el daño se ha producido.
Los ataques son cada vez más avanzados y más difíciles de detectar, por lo que las empresas deberían aumentar sus esfuerzos para mejorar sus programas de seguridad y capacidades de respuesta: esto abarca personas, tecnologías y procesos.
¿Las empresas son más conscientes de los riesgos a nivel mundial?
Sí lo son. Esta es una buena manera de no aprender de forma equivocada (cuando ya es demasiado tarde). Y algo que seguramente ayuda es el hecho de que las empresas pueden leer en los medios sobre los ataques dirigidos y el daño que estos pueden causar.
En los últimos años, los directores ejecutivos y las juntas directivas se han acercado a nosotros en busca de servicios y soluciones, lo que significa que están más interesados en mejorar su postura de seguridad.
En el pasado, el contacto inicial lo realizaban los CISO o el departamento de seguridad. Esto demuestra que las empresas consideran cada vez más la seguridad como un problema comercial y no solo como un problema de TI.
¿En qué sectores económicos se encuentra la mayor incidencia de ataques? ¿Ocurre lo mismo en México?
A nivel mundial, el sector financiero fue el más afectado en 2017, con un 20% de los incidentes a los que respondieron nuestros equipos de este sector. Le siguen de cerca los servicios comerciales y profesionales, con un 16%.
Comparado con APAC (Asia-Pacífico) y EMEA (Europa, Medio Oriente y África), América es la única región global donde el sector financiero no fue más atacado.
Esto representó el 17% de los incidentes respondidos por nuestros equipos, mientras que los servicios comerciales y profesionales fueron los principales, con un 18%. Esta diferencia se debió principalmente que los ataques apuntaron hacia empresas de Estados Unidos.
¿Se ha reducido o aumentado el número y la gravedad de los ataques en los últimos 12 meses en América Latina?
Definitivamente han aumentado, en sofisticación, severidad y cantidad. Por ejemplo, en el sector financiero observamos la misma tendencia que a nivel mundial, donde los ataques avanzados apuntan a transferencias bancarias multimillonarias, que provocan un enorme daño económico a las víctimas.
¿Cuáles son las áreas o segmentos específicos más proclives a sufrir ataques?
Nuestros RI (Respuestas de Incidentes) en América Latina provienen principalmente del sector financiero, gubernamental y minorista. El financiero ha sido el mejor en la región desde que comenzamos a responder a los incidentes.
¿Existe una reiteración de atacantes a una misma compañía? ¿Los atacantes cibernéticos actúan de manera diferente en América Latina?
Nuestro informe M-Trends 2018 reveló que las organizaciones que han sido víctimas de una vulneración específica, probablemente serán atacadas de nuevo.
Los datos globales de los últimos 19 meses encontraron que el 56% de todos nuestros clientes de detección y respuesta gestionados que recibieron soporte de respuesta a incidentes, fueron atacados nuevamente por el mismo grupo u otro con motivación similar.
Los hallazgos también muestran que el 49% de los clientes con al menos un ataque significativo fueron nuevamente atacados exitosamente en el lapso de un año.
Recientemente, hemos visto una respuesta a incidentes en México que, después de expulsar al grupo atacante del entorno del cliente, en menos de una semana el mismo grupo intentaba recuperar el acceso en varias ocasiones.
¿En qué medida los ataques en México provienen de otros países?
Hemos confirmado la presencia de diferentes grupos de ataque patrocinados por los gobiernos en América Latina. Por ejemplo, en el sector financiero y público, hemos visto la presencia de Corea del Norte en los últimos dos años.
¿De qué países provienen normalmente la mayoría de los ciberataques?
Además de Corea del Norte, a lo largo de 2017 notamos que Irán se está volviendo más capaz desde una perspectiva ofensiva.
Observamos un aumento significativo en el número de ataques cibernéticos patrocinados por Irán.
Si bien han sido notorios durante el último año, especialmente por sus ataques destructivos, gran parte de su actividad de espionaje ha pasado desapercibida.
Su lista de víctimas abarca actualmente casi todos los sectores de la industria y se extiende mucho más allá de los conflictos regionales en el Medio Oriente.
Un ejemplo de ello son muchos segmentos de Estados Unidos, como el personal militar, diplomático y gubernamental, las organizaciones de medios de difusión y la base industrial de energía y defensa (DIB).
