ENTREVISTAS

Alberto Pinedo (Microsoft): “Las empresas requieren una higiene básica de ciberseguridad”



Dirección copiada

Alberto Pinedo, National Technology Officer, profundiza sobre los datos del informe Microsoft Digital Defense Report 2023, un mapa exhaustivo del estado actual de la ciberseguridad

Actualizado el 13 dic 2023

Rufino Contreras

Redactor Jefe



Alberto Pinedo

¿Cuáles serían las claves de la ciberseguridad en estos momentos?

El informe Microsoft Digital Defense Report (que cumple su cuarta edición anual) destaca como premisa la necesidad de higiene básica que recomendamos a nuestros clientes y que nos sigue protegiendo de un alto porcentaje de los ciberataques. Hablamos de confianza cero, uso de herramientas de detección para respuesta de incidentes y antimalware, protección de datos extremo a extremo, la gestión de vulnerabilidades y el uso de mecanismos de multifactor. Con esas cinco medidas estaríamos protegiendo cerca del 99%.

¿El ransomware es el gran enemigo?

La segunda gran tendencia que estamos viendo en el mundo del cibercrimen es que los ataques de ransomware dirigidos por humanos están aumentando. El 60% de esos ataques están ya utilizando técnicas de cifrado remoto. Otro aspecto que también hemos visto y que nos ha permitido modular nuestra oferta de servicios de ciberseguridad, es que el 70% de las organizaciones que se han enfrentado durante este último año a un ataque de ransomware, tenían menos de 500 empleados.

¿Los dispositivos no gestionados son muy ‘golosos’ para los ciberdelincuentes?

Observamos también que entre el 80 y el 90% de los ataques se originan en dispositivos no gestionados, equipos personales que los empleados de las empresas pequeñas utilizan para acceder a activos del entorno de trabajo. Asimismo, están aumentando drásticamente los ataques a contraseñas. Aunque la práctica habitual implica activar los mecanismos de autenticación multifactor (MFA), también hemos observado, especialmente desde junio de 2023, numerosos ataques, con 4.000 intentos diarios, en este tipo de servicios de autenticación.

¿La suplantación de identidad sigue siendo una de las grandes preocupaciones?

El ataque Man in the Middle (MitM ) al MFA busca suplantar los procesos de verificación, ya sea por fatiga o por otros medios. Se trata de una táctica utilizada por ciberdelincuentes para interponerse en la comunicación entre dos personas o la comunicación persona-dispositivo sin que ninguna se de cuenta. Se han registrado alrededor de 156.000 intentos diarios de Business Email Compromise (BEC). Esta tendencia ha impulsado que en Microsoft nos hayamos integrado en la Unified Security Operation Platform, anunciada hace apenas un par de semanas. Esta integración abarca no solo muestros servicios de identidad y Sentinel, sino también todo el Extended Detection and Response (XDR), incluyendo la telemetría y la señalización de los servicios en la nube, específicamente los relacionados con el correo.

¿Cómo se están comportando los ataques DDoS?

En cuanto a los ataques de Denegación de Servicio (DDoS) no sólo siguen creciendo, sino que pueden estar a punto de tener un impacto aún mayor en el futuro. Durante el último año, hemos observado un promedio de cerca de 1.700 ataques al día. Esto representa un crecimiento del 20% año tras año. El año pasado, ampliamos nuestra capacidad de mitigación distribuida globalmente para neutralizar ataques DoS a velocidades de hasta 90 terabits de datos por segundo (Tbps). Para poner esto en perspectiva, algunos de los mayores ataques por la prensa en los últimos años fueron del orden de varios Tbps.

Además, el número de plataformas DDoS de alquiler sigue aumentando, con un 20 por ciento que han surgido sólo en el último año. Esta alarmante tendencia pone de relieve la necesidad de vigilancia continua, seguimiento y acción decidida contra estas plataformas.

A medida que aumenta el tamaño de los ataques DDoS, se necesita cada vez más potencia de computación en la nube para absorber la primera oleada del ataque hasta que puedan identificarse los patrones. Cuando cientos de millones de solicitudes por segundo procedentes de decenas de miles de dispositivos constituyen un ataque, la nube es nuestra mejor defensa, debido a la escala necesaria para mitigar los mayores ataques.

Ataques Estado-nación: ¿Qué puede contarnos del caso de éxito de Ucrania?

La parte más destacada en el informe se refiere a los actores Estado-nación, y aquí se ha producido un cambio sustancial. Al inicio de la guerra de Ucrania, la mayoría de los ataques perpetrados por actores relacionados eran destructivos, con el objetivo de infligir el mayor daño posible a las infraestructuras críticas, pero de manera digital. Durante el último año, hemos observado un cambio significativo en este patrón, especialmente evidente en el caso de Ucrania. Ahora, las campañas de los actores relacionados con Estados-nación están más enfocadas en el ciberespionaje y la obtención de información de inteligencia, dado que las redes están más protegidas. Hemos colaborado con diversos proveedores de servicios en la nube para trasladar ministerios ucranianos y millones de datos a entornos cloud, lo que ha mejorado nuestra capacidad de protección.

Otros países que sufren más ataques por parte de los cibercriminales son Reino Unido, Francia y Polonia, debido a su proximidad. En el ámbito de Oriente Medio y Asia, Israel se presenta como un importante objetivo, ya que cerca del 38% de los ataques en esa región afectan a este país. En Asia, Corea, Taiwán e India también son objetivos significativos.

Infraestructuras críticas son un blanco codiciado

En cuanto a los sectores, un gran bloque incluye organizaciones sin fines de lucro, ONG, think tanks y gobiernos. Otro apartado significativo está compuesto por empresas tecnológicas que gestionan infraestructuras críticas. Aquí es donde entra en juego un nuevo bloque que está recibiendo mucha atención: el mundo interconectado y el OT (Operational Technology). Este bloque se vislumbra como el siguiente elemento que podría tener un impacto disruptivo en ciberseguridad en el futuro.

La IA generativa irrumpe con fuerza para ayudar en las estrategias de ciberseguridad

El informe incluye una mención significativa al uso de la inteligencia artificial y, especialmente, a los modelos lingüísticos masivos. Esto no solo es una tendencia desde la perspectiva del cibercrimen, que ciertamente lo es, ya que se aprovecha para mejorar las campañas de phishing y generar imágenes sintéticas que respaldan dichas campañas. Desde el otro lado, también estamos viendo que podemos capitalizar estas tecnologías para mejorar las estrategias de seguridad. Para nuestros equipos de Centro de Operaciones de Seguridad (SOC), representa un desafío ya que gestionamos un 23% más de casos año tras año, y necesitamos herramientas que proporcionen escala para abordar estos desafíos específicos.

Desde Microsoft ayudamos a los gobiernos a velar por su seguridad y la de los ciudadanos, mejorando la protección contra las ciberamenazas e impulsando una mayor colaboración entre nuestros equipos de seguridad y los expertos en ciberseguridad del gobierno. Nuestra propuesta es un modelo de nube inteligente y segura. Azure tiene la cobertura de cumplimiento más completa del mercado. Somos una de las empresas que más invierte en seguridad, manteniendo los estándares más altos de la industria en este sentido. Recientemente, hemos anunciado nuestra plataforma Unified Security Operations, que combina Microsoft Sentinel, Microsoft Defender XDR y la IA generativa de Security Copilot, conformando un potente servicio centrado en la detección y respuesta de amenazas con un mismo plano de control, un modelo de datos unificado y una experiencia unificada.

Este servicio utiliza la IA para mejorar la detección y respuesta de amenazas, analizando billones de señales y ampliando la eficacia de los equipos de seguridad para proporcionar una visión detallada del entorno de cualquier organización. Además, aprende de informes de inteligencia de seguridad, actualizándose para hacer frente a las amenazas que están en constante evolución al mismo tiempo que amplifica las capacidades de los profesionales de la ciberseguridad.

Security Copilot también se integra con los servicios Intune, Purview y Entra, ayudando a los administradores de IT, departamentos de compliance y equipos responsables de gestionar la identidad a detectar y responder amenazas más complejas.

Y hablando de desafíos, ¿cuáles son los retos específicos que enfrenta la ciberseguridad en el entorno digital actual?

Uno de los grandes desafíos tiene que ver con el mundo IoT. Al principio estos sistemas estaban aislados especializados y no requerían de conectividad específica. A medida que esos sistemas industriales empiezan a conectarse con los sistemas informáticos tradicionales, el enfoque cambia totalmente. El 78% de los dispositivos IoT identificados tienen vulnerabilidades conocidas en todas las redes de nuestros clientes. Y la mitad de ellos ya no puede parchearse. Además, una cuarta parte de los dispositivos IoT que se utilizan en las redes de nuestros clientes están con sistemas operativos no soportables.

Otro desafío tiene que ver con la resiliencia de las infraestructuras críticas. La transformación digital ha impulsado mejores servicios para la ciudadanía. pero también ha traído consigo una mayor superficie de ataque y, por lo tanto, lo positivo es que mejora la vida un poco, pero también conlleva riesgos.

Y por último, todo lo que tiene que ver conlo que es la cadena de suministro. Desde 2020, los ataques a la seguridad de la cadena de suministro de software como SolarWinds, Log4j, Codecov y Kaseya, han afectado a más de 490 millones de clientes conocidos y expuesto más de 100.000 paquetes maliciosos de código abierto. Con un aumento medio anual del 742 por ciento en los ataques desde 2019, esta cifra no hará más que seguirá aumentando.

En Microsoft hemos tomado medidas proactivas y de colaboración, como auditorías de proveedores para hacer frente a las tres amenazas de la cadena de suministro: ransomware, phishing, y malware. Mediante la colaboración con los proveedores e invirtiendo en formación y concienciación, nuestro objetivo es prevenir futuros ataques y garantizar una rápida recuperación en caso de que se produzca una brecha

¿Qué destacaría de su nuevo producto Microsoft Security Copilot? ¿Cómo puede ayudar en este escenario?

Microsoft Security Copilot es muy sencillo, lo que utiliza es un modelo de lenguaje masivo, que está unido a toda la inteligencia de amenazas global que tiene Microsoft. Está también conectado a las herramientas, a la suite de Defender, a Sentinel, a todo lo que tiene que ver con la gestión de dispositivos, identidad… Microsoft entra incluso en las herramientas de defensa de la identidad, como Defender for Identity. Y justo lo que te da es la capacidad de interconectar todo eso y, de forma integral, poder hablar en tu panorama de seguridad o en tu contexto de seguridad en lenguaje natural. Además, establece cuatro niveles para la permisividad que le das a la respuesta y a la entrada que generas. Algo clave es que aumenta el talento del analista, es decir, que no es que se despreocupe, pero tiene tiempo para pensar y ser más productivo.

Microsoft Security Copilot proporciona a los profesionales del mundo de la seguridad más elementos para mejorar su nivel de detección. Esto es posible, entre otras cosas, porque puede organizar incidentes en función de su prioridad, resumir la información sobre ataques y recomendar cómo actuar y qué pasos dar para solucionar distintos tipos de amenazas con agilidad.

Gracias a la integración de la Inteligencia Artificial, Microsoft Security Copilot es capaz de aprender y mejorar continuamente, lo que es de gran utilidad para los equipos de seguridad de empresas y organizaciones, que deben estar permanentemente actualizados. Gracias a esta herramienta, podrán trabajar con información real sobre los ciberatacantes, así como sobre sus técnicas y procedimientos.

Artículos relacionados

Artículo 1 de 3