La tecnología es esencial en el día a día de prácticamente cualquier empresa e, incluso, de la inmensa mayoría de los ciudadanos, ya sea para realizar transacciones, para comunicarse o para disfrutar de momentos de ocio. Podemos decir, sin temor a equivocarnos, que la tecnología está dando forma a la vida que vivimos. Y eso lo saben muy bien los cibercriminales.
Existen personas, grupos e incluso gobiernos cuyo objetivo es acceder a datos sensibles que pueden utilizar para cobrar rescates, para venderlos en la Internet Oscura o para comprometer a la cadena de suministro con los peligros que ello conlleva, no solo desde el punto de vista corporativo, sino también de la salud o la defensa.
Las empresas especializadas en el negocio de la tecnología no son extrañas al cibercrimen y, de hecho, son las primeras afectadas históricamente. Y parece que muchos de los esfuerzos de los cibercriminales se están dirigiendo de nuevo a esta industria. Según los datos que manejamos en CrowdStrike, entre julio de 2021 y junio de 2022, el sector tecnológico fue el más afectado por los ciberataques.
Empresas de todos los tamaños están viendo cómo sus sistemas son amenazados mediante ataques diarios. De hecho, la telemetría de CrowdStrike descubre una amenaza cada siete minutos. Por eso, es importante conocer las herramientas y los procesos que utilizan de forma mayoritaria los criminales, de modo que sepamos reconocerlos y pongamos remedio antes de que sea demasiado tarde.
Igual que con la ropa que vestimos, las modas cambian. Y los ciberdelincuentes ya no utilizan malware para intentar conseguir sus objetivos. Así lo demuestran los análisis que llevamos a cabo en CrowdStrike: el 71% de las detecciones realizadas entre junio de 2021 y julio de 2022 no incluían malware. Y esto puede suponer un problema real para todas aquellas organizaciones que basan su estrategia de seguridad en productos que persiguen fundamentalmente este vector. Los ciberdelincuentes están ahora más enfocados en el abuso de credenciales válidas, gracias al cual consiguen establecer accesos legítimos y válidos a largo plazo.
Es importante, llegados a este punto, tener en cuenta otro aspecto interesante para los equipos de seguridad: la rapidez con la que se descubren y publican las vulnerabilidades y la velocidad con la que pueden operar dichos exploits los adversarios. En 2021, se informó de más de 20.000 nuevas vulnerabilidades; y antes de mediados de 2022 ya se habían descubierto 10.000 más, lo que indica que la tendencia va al alza.
Sabiendo todo esto, ¿qué deben hacer las empresas tecnológicas para proteger sus activos?
La industria mantiene un desafío por conseguir una defensa fuerte contra un escenario de amenazas constante, creciente y evolutivo. Los criminales cambian sus procedimientos y sus tácticas cada día para conseguir ser más sutiles, para evadir detecciones y para, en definitiva, causar más daños. Por eso, debe ser responsabilidad de los ‘defensores’ proteger las cargas de trabajo, las identidades y los datos sobre los que se basa su negocio.
Y, aunque no hay un modelo que sirva para todos, sí que podemos establecer una serie de patrones fundamentales que utilizan los ciberdelincuentes y que pueden servir para proteger los activos de la organización:
- No olvidar nunca los básicos: los elementos más sencillos de seguridad, tales como un programa de gestión de parches, un control de cuentas de usuario o un sistema de gestión de privilegios siguen siendo fundamentales a la hora de mitigar cualquier efecto ante una credencial comprometida.
- Realizar auditorías rutinarias para comprobar los servicios de acceso remoto: los ciberdelincuentes adquieren credenciales en la Dark Web y prueban su validez para intentar acceder a servicios remotos intentando evadir la detección automatizada. Una auditoría puede comprobar si se ha accedido a algún servicio fuera de las horas usuales, por ejemplo. O si un mismo usuario ha accedido a hosts diferentes en un corto espacio de tiempo. Esto son tan solo un par de muestras de un servicio que pueda haber sido comprometido.
- Buscar de forma proactiva a los cibercriminales: una vez que un delincuente traspasa las defensas de una compañía, se pone a recoger datos, a analizar información sensible…. Y a veces es complicado darse cuenta si no se realizan búsquedas proactivas de amenazas potenciales.
- Priorizar la protección de identidades: los adversarios buscan credenciales con las que acceder de forma legítima a los sistemas. Cualquier usuario puede haber visto comprometida su identidad sin saberlo y abrir el camino con ello a los criminales. Por eso, es importante autenticar cada identidad de forma individual y autorizar cada petición para evitar brechas.
- Prevenir: la detección y la prevención van de la mano. Y para que sean eficaces, la detección debe realizarse en tiempo real.
No parece que el cibercrimen ni los ataques dirigidos desde gobiernos vayan a reducirse en los próximos meses, por lo que reforzar las defensas y entender las técnicas de los criminales es clave si queremos proteger las cargas de trabajo, las identidades, los datos y, en definitiva, el negocio.