No hay empresas 100% seguras. A pesar del grado de protección que hayan implementado para evitar ciberataques, siempre existirá el riesgo latente de ser víctimas de los hackers.
Muchas de las empresas mexicanas no tienen la capacidad de respuesta adecuada para contener ciberataques, a pesar de que tengan bien armada una estrategia de ciberseguridad. De hecho, las organziaciones tardan un promedio de 99 días en detectar un ataque, mientras que el tiempo promedio de contención es de 66 días.
Sin embargo, es una realidad que todas ellas buscan ser resilientes y recuperarse en el menor tiempo posible, pues la ciberseguridad ya no debe verse como un tema meramente tecnológico, sino como un habilitador propio del negocio.
Entre los principales ataques que sufren las organizaciones, se pueden destacar:
- Robo de información
- Fraude
- Denegación de servicio (DDoS)
- APTs
- Captura de tráfico
- Phishing
- Robo de identidad
- Abuso de marca
- Malware
- Ransomware
En México, dos de los sectores que más sufren por ataques cibernéticos son el financiero y el de retail, con amenazas que incluso pueden provenir de otros países –como India, Rusia, Corea del Norte e incluso Holanda–, con un particular incremento en los llamados ataques dirigidos.
En este tipo de ataques, normalmente el intruso permanece latente un tiempo en la red y es sigiloso, aunque el verdadero peligro de los ataques externos radica en que vienen desde adentro, es decir, los delincuentes cuentan con algún cómplice interno que facilita el ataque.
Incluso el narcotráfico es otro sector que avanza vertiginosamente en el mundo de las ciberamenazas, cada vez con más fuerza e inteligencia cibernética para fondear sus campañas.
No obstante, México no está tan alejado a nivel normativo de países como el Reino Unido; lo que todavía hace falta es llevarlo a la práctica y establecer regulaciones, además de que las empresas no están obligadas a informar cuando han sido víctimas de un ciberataque, asegura Moreno.
El eslabón más débil
Desafortunadamente, en México aún se mantienen malas prácticas de protección, y el eslabón más débil siguen siendo las personas, pues son los mismos empleados los que crean canales de adentro hacia afuera, según explica Erik Moreno, gerente de Ciberseguridad de Minsait, una compañía de Indra.
‘Sin conciencia personal, no elevaremos la protección a nivel de empresa’, asegura Moreno.
Además, los atacantes también utilizan a terceros –outsourcers, empresas de gestión de nómina o de limpieza de oficinas, por ejemplo– para conseguir acceso a las redes de sus víctimas.
El especialista explica que ahora los atacantes buscan vulnerar los procesos críticos del negocio, por lo que es de gran importancia focalizar los esfuerzos dependiendo del tipo y giro de la organización.
Desafortunadamente, hace falta un nivel de madurez en las organizaciones ante los ataques exitosos, pues no se cuenta con una toma de decisiones efectiva y oportuna, y no hay un análisis de las lecciones aprendidas.
Algunas investigaciones indican que el 29% de los CEO en México ven a la ciberseguridad como un impacto directo al negocio, y el 20% la considera como el principal riesgo a la organización, especialmente en empresas medianas y grandes del sector financiero y de consumo.
Además, el 86% de los CEO están preocupados por la lealtad de sus clientes, por lo que la protección de su información se vuelve un punto sensible para la organización.
‘Debemos cambiar la estrategia hacia comportamientos y no hacia firmas (como antivirus o firewalls). Una mejor resiliencia involucra actividades de detección avanzada y de respuesta’.
Acciones que se complementan
Moreno apunta que es necesario ‘tener trazabilidad’ para ver de dónde provienen los ataques, pues está demostrado que las empresas no tienen la suficiente capacidad de respuesta a los incidentes a pesar de contar con una gran inversión en ciberseguridad.
Ante el incremento y sofisticación de los ataques cibernéticos, empresas como Minsait cuentan con diversas estrategias complementarias para aminorar los riesgos en su oferta de ciberseguridad.
Una de ellas es el patrullaje en internet, que se encarga de realizar búsquedas para ‘tirar’ sitios web de phishing, pues ‘ya no es suficiente con ver solo hacia adentro’, explica Erik Moreno.
Otra de las estrategias, bautizada como Deception (engaño), consiste precisamente en engañar a los atacantes y llevarlos a una zona de ‘no riesgo’ como la intranet o en sistemas simulados para, mediante trampas o señuelos, ‘entretenerlos’, monitorearlos y seguir su rastro sin comprometer las zonas críticas de la red.
Estas acciones –practicadas principalmente por grandes financieras o empresas del sector minero y telecomunicaciones–, junto con el estudio de la lógica y las funciones de negocio, permiten minimizar la analítica y aprender durante el tiempo de los comportamientos, para discriminar actividades no sospechosas.
Minsait opera con las divisiones de Red Team y Blue Team para la detección avanzada y de respuesta ante incidentes cibernéticos. Mientras que el Red Team es el equipo ofensivo que evalúa los controles de seguridad, el Blue Team es el encargado de responder ante los incidentes.
La mezcla de acciones de Analítica y Deception -explica Moreno– se correlacionan y unen para un servicio de ciberseguridad eficiente.
‘Nuestras organizaciones están en constante situación de ataque… y lo seguirán estando. Debemos enfocarnos en la detección y respuesta temprana’. A pesar de las inversiones en protección, ‘nunca estaremos exentos de sufrir un incidente’.