Trend Micro advierte: aprendamos de los ciberataques de 2017

Resumen de seguridad de Trend Micro

Constantemente se dan a conocer nuevas vulnerabilidades y métodos de ataque en el mundo cibernético, algunos con enormes implicaciones para la seguridad de los sistemas que muchas organizaciones ejecutan. Por lo tanto los CISO (Responsables de Seguridad de la Información) deben asegurarse de contar con un enfoque integral y automatizado para la administración de parches y la agilidad necesaria para responder de manera rápida y efectiva a cualquier amenaza descubierta recientemente.

En este marco, especialistas y expertos en seguridad coinciden. Es necesario trabajar en tres grandes aspectos: por un lado, tomar las medidas para dificultar al máximo posible la posibilidad de un ataque, por otro, en caso de que se produzca, disponer de un protocolo que permita minimizar el tiempo de inactividad y mitigar las consecuencias de forma eficiente. Y en tercer lugar, que aquellas personas que trabajan con información, sean conscientes, estudien las recomendaciones, tengan en cuenta y reflexionen sobre las obligaciones que demanda la ciberseguridad.

La implantación de un sistema de gestión de seguridad de la información debería considerar el factor humano como uno de sus elementos clave, contemplando aspectos como la adecuada formación y sensibilización de los empleados, la implicación de los responsables y directivos, la aprobación de un reglamento interno sobre el uso de la informática e Internet en la organización, etc.

Hay que recordar también y de forma especial, la necesaria implicación y compromiso de la alta dirección para conseguir que los empleados sean conscientes de la importancia que tiene para la organización garantizar la seguridad de la información y la adecuada utilización de sus sistemas y servicios TIC. En su libro «Secrets and lies», Bruce Schneier afirma: «…si  piensas que la tecnología puede resolver tus problemas de seguridad, entonces no entiendes el problema y no entiendes la tecnología».

El ransomware viene causando importantes dolores de cabeza a las organizaciones

Los incidentes geopolíticos, las amenazas de malware global y omnipresentes brechas de datos en las que se han visto involucrados grandes nombres han sido temas muy presentes en nuestro día a día en los últimos 12 meses. Desde las filtraciones de CIA Vault7 y NSA Shadow Brokers, a las campañas de ransomware WannaCry y NotPetya, o a las impactantes revelaciones de Uber del mes pasado, los CISO españoles han tenido mucho material sobre el que reflexionar. Ya iniciado 2018, el equipo de Trend Micro considera que puede ser útil que se recuerden algunos de los acontecimientos más importantes que tuvieron lugar en 2017, con la vista puesta en fortalecer los sistemas para los próximos 12 meses.

En este sentido se hace especial hincapié en los que Trend Micro – sin seguir un orden particular – considera los cinco sucesos más preocupantes del pasado en el mundo de la ciberseguridad.

Un ransomware que evoluciona

Hace ya varios años que el ransomware viene causando importantes dolores de cabeza a las organizaciones. Pero ha sido en 2017 cuando hemos visto la amenaza utilizada de una manera sin precedentes para causar el caos a una escala global. Ahí están los ataques WannaCry y Petya/NotPetya de mayo y junio pasados, que si bien pueden haber presentado objetivos, grupos de ataque y tácticas ligeramente diferentes, sin embargo pusieron de relieve cómo el ransomware puede emplearse en combinación con los exploits desarrollados por los estados, extendiéndose de forma sorprendente a través de las redes. Bad Rabbit nos mostró otra variante sobre este tema, diseñada para infectar a las víctimas a gran escala usando ataques watering hole.

Estos incidentes nos han enseñado la importancia de aplicar parches para reparar las vulnerabilidades conocidas tan pronto como se disponga de una solución, y advirtieron lo que puede suceder cuando los gobiernos buscan socavar la seguridad de cientos de millones de usuarios investigando exploits en los programas de software más populares.

BEC está costando miles de millones a las empresas

Actualmente, de todos los riesgos relacionados con el mundo “ciber” a los que enfrentan las organizaciones en la actualidad, el Compromiso del Email Empresarial (BEC) parece ser uno de los más fáciles de reducir. Sin embargo, según el FBI, las pérdidas registradas en el período que va desde octubre de 2013 a diciembre de 2016 superaron los 5.300 millones de dólares. Trend Micro prevé que esta cantidad aumentará hasta los 9.000 millones de dólares el próximo año a medida que las organizaciones continúen mostrando cuán expuestos están su personal y sus procesos a la ingeniería social.

Puede que no haya malware que detectar en la mayoría de las estafas BEC, pero con una plantilla mejor formada y concienciada, y algo tan simple como garantizar que dos miembros senior del departamento financiero autoricen y firmen las grandes transferencias de fondos, las organizaciones pueden aislarse mejor.

Las empresas aún no tienen los conceptos básicos en materia de ciberseguridad

Empresas de gran renombre siguen cometiendo errores de novatos, todavía

¿Cuándo van a aprender? En los últimos 12 meses se ha visto otro listado de organizaciones que «deberían haber conocido mejor» que sufren daños por brechas datos e incidentes de privacidad. Yahoo (3.000 millones), Uber (57 millones) y Equifax (145,5 millones) son algunas de las que nos vienen a la mente como los ejemplos más clamorosos de empresas que tenían los recursos, pero no la cultura corporativa correcta o la estrategia para mantener a raya a los hackers. Muchas organizaciones más se vieron en aprietos después de encontrar información sensible de clientes o de su propiedad expuesta en Internet de forma pública a través de configuraciones erróneas de la base de datos cloud, a menudo en manos de un tercer partner. Las semejanzas de Verizon, Accenture, WWE e incluso del Departamento de Defensa de EE.UU. fueron insuficientes. En un caso, una firma de análisis de datos del partido Republicano filtró la información de identificación personal (PII) de 198 millones de votantes estadounidenses que datan de hace una década.

Si no ocurre otra cosa, estos incidentes nos dicen una vez más que las empresas aún no tienen los conceptos básicos en materia de ciberseguridad, y están fallando a la hora de extender las políticas a los partners y proveedores.

¡Cuidado! El cumplimiento de GDPR aún no está funcionando

Esto sí que debería preocupar cada día más. A medida que avanza el año, el reloj también lo ha hecho y no se parará hasta el 25 de mayo de 2018, fecha en que finalmente entrará en vigor el Reglamento General de Protección de Datos (GDPR) de la UE. Es difícil recordar una ley nueva con implicaciones de ciberseguridad y privacidad de tan gran alcance para las empresas. Sin embargo, la falta generalizada de conocimiento y la aceptación de cúpula directiva siguen siendo preocupantes, a pesar de las altísimas multas que están a la vista por incumplimiento. Gartner estima que menos de la mitad de todas las empresas cumplirá totalmente antes de la fecha límite.

Una reciente investigación de Trend Micro de este año reveló una inquietante falta de interés por parte de ejecutivos de nivel-C: los altos ejecutivos eluden la responsabilidad en el 57% de las empresas. Las compañías necesitan entender y conocer mejor qué datos tienen, crear un plan de notificación de brechas e invertir en tecnologías más avanzadas para mantener a raya las amenazas.

Del IoT al cloud, las vulnerabilidades seguirán siendo el talón de Aquiles

Ya lo hemos dicho, pero merece la pena mencionarlo de nuevo, las vulnerabilidades son una de las mayores amenazas a la seguridad a las que se enfrentan las empresas. No importa si se encuentran en el firmware del dispositivo IoT, las aplicaciones web, en el software de las instalaciones físicas o en su infraestructura cloud; si hay un agujero explotable en su entorno informático, éste podría ser el objetivo. Hemos visto organizaciones tan diversas como el NHS y Equifax severamente afectadas por sus fallos a la hora de parchear bugs conocidos con rapidez. En el caso del Servicio de Salud, WannaCry provocó interrupciones que forzaron la cancelación de aproximadamente 19.000 operaciones y citas.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.