El pasado año fuimos testigos de la sofisticación de los ciberataques y su crecimiento vertiginoso. Si analizamos lo ocurrido en el entorno de la seguridad en 2017, existen varias lecciones que deberíamos asimilar para aumentar los niveles de protección empresarial. Estas seis enseñanzas evitarán que en 2018 se repitan los mismos errores:
1. Nuestra respuesta a incidentes es tan importante como su prevención
Uno de los sucesos en el entorno de ciberseguridad más importante del año pasado fue el incidente de Uber, que ocultó que los datos de 57 millones de usuarios fueron pirateados a finales de 2016. Tal y como reconoció el director general de Uber, los criminales se descargaron una base de datos de servidores usados por Uber con información personal de los usuarios (nombre, email y número de teléfono) y los datos de 600.000 conductores en Estados Unidos. Para evitar que el ataque saliera a la luz, la compañía pagó a los hackers 100.000 dólares (alrededor de 85.000 euros).
Asimismo, el ciber robo a Equifax supuso el mayor hackeo de datos personales sensibles de la historia. Un grupo organizado de cibercriminales aprovechó una brecha de seguridad dentro de su aplicación web para robar información sobre 143 millones de clientes, haciéndose con sus números de seguridad social, direcciones postales e incluso números de carnés de conducir.
El hecho de no notificar la amenaza de seguridad a los usuarios expuso a Uber a acciones legales, empeorando la situación tras pagar a los hackers a cambio de silencio. En el caso de Equifax, sus declaraciones inconsistentes sobre la vulnerabilidad que fue explotada por los hackers y la falta de compromiso con sus consumidores tras el ataque demuestran una profesionalidad poco recomendable. Para evitar situaciones como estas, es necesario que las actualizaciones de seguridad formen parte de tu estrategia empresarial y que la notificación a las autoridades sea el primer paso a seguir. Además, el caso de Uber aporta otra lección: hemos de evitar compartir credenciales en código para dar acceso automático y vigilar dónde lo compartimos. Esta mala práctica permitió el acceso a los hackers, que consiguieron las credenciales gracias al código que desarrolladores de Uber publicaron en Github.
2. Los ataques no son solo cuestión de malware
Independientemente de lo que se publique en los medios, no todo es ransomware. En la modalidad de ataques malwareless, cada vez más extendida, los ciberatacantes asumen la identidad del administrador tras haber conseguido sus credenciales de red gracias a herramientas no maliciosas del equipo informático de la empresa. Este ataque carente de malware será tendencia en 2018 así que aprender de estos casos podrá evitar estragos.
PandaLabs detectó un caso en el que los atacantes ejecutaban las Sticky Keys para colarse por la puerta de atrás, accediendo al equipo sin necesidad de introducir las credenciales. Este acceso remoto luego puede ser monetizado generando tráfico online que poder vender a páginas de terceros o subastando el acceso a las máquinas comprometidas. Otro ejemplo es el aprovechamiento de Powershell para el minado de criptomonedas.
Para combatir estos ataques, debemos cazar las amenazas con herramientas avanzadas combinadas con métodos de Threat Hunting que demuestren el comportamiento de los usuarios en la red empresarial. Monitorizando en tiempo real y dando visibilidad a las actividades en los equipos, podemos descubrir qué herramientas legítimas están siendo vulneradas y proteger a nuestras empresas.
3. Las contraseñas seguras no tienen por qué ser difíciles de recordar
A pesar de las sugerencias de Bill Burr que durante años rigieron la política de generación de contraseñas en el entorno online, una contraseña segura no debe ser difícil de recordar. Este año aprendimos que incluso aquellas que combinan caracteres alfanuméricos, mayúsculas y minúsculas, y caracteres especiales resultan predecibles para un software que busca entrar a nuestro sistema. Dado que el comportamiento humano es previsible, los algoritmos informáticos permiten que los cibercriminales detecten debilidades y patrones, y con ellos logran descifran nuestras contraseñas.
En este 2017 hemos presenciado un cambio radical en las recomendaciones del National Institute of Standards and Technology (NIST) para crear una contraseña segura. Ahora debemos emplear frases compuestas con palabras aleatorias que nos resulten sencillas de recordar; de esta forma un bot o un ordenador no podrá hackearnos por medio de combinaciones. Así, la contraseña podrá seguir siendo fácilmente recordada por el usuario, pero dificultaremos que un cibercriminal consiga descifrarla.
4. El malware intenta pasar desapercibido
Otra de las enseñanzas del 2017 es la comprensión de que el malware crece de forma exponencial, ya que desde PandaLabs hemos registrado 15.107.232 ficheros de malware distintos que no habíamos visto nunca antes. Sin embargo, si repasamos las cifras, de estos ficheros registrados, el 99,10% ha sido visto solo una vez. Esto nos confirma que solo una pequeña parte del total de malware está realmente extendido. Es decir, la mayoría del malware cambia cada vez que infecta, por lo que cada ejemplar tiene una distribución muy limitada e intenta siempre pasar desapercibido.
Teniendo una vida limitada, el malware ataca a la menor cantidad de dispositivos posibles para disminuir así el riesgo de ser detectado. En este sentido, resulta imprescindible escoger una plataforma de ciberseguridad avanzada para reconocer y responder a los ataques en tiempo real.
5. Parchear sin prisa pero sin pausa
En el caso de los parches, hay que saber qué hacer y cómo hacerlo. Sí, es cierto que parchear es esencial para proteger nuestra empresa ante un posible ciberataque. Pero debemos abordar esta tarea con rigurosidad. El objetivo es implementar un método de actuación acorde a las características de la arquitectura de nuestra empresa (sus sistemas, servicios y aplicaciones) en el que evaluemos las implicaciones de dicho parcheado. Una vez tenido esto en cuenta, actuar con rapidez es fundamental. Precisamente, Equifax fue atacado por primera vez en mayo de 2017, al no haber parcheado una vulnerabilidad detectada en marzo.
6. Descuidar el Shadow IT puede salir muy caro
Los sistemas, soluciones y usos de los dispositivos empleados en una empresa, que no hayan sido explícitamente reconocidos por la organización, se conocen como Shadow IT. Este enemigo en las sombras representa una cantidad abrumadora de puntos ciegos para la seguridad de la empresa, ya que no podemos proteger lugares que no sabemos que existen. Según un estudio de EMC, las pérdidas anuales generadas por el Shadow IT alcanzan ya los 1,7 billones de dólares. Por lo tanto, es necesario diseñar políticas de uso asequibles, que cubran las necesidades de los trabajadores, evitando que recurran a soluciones no autorizadas. Además, debemos primar la concienciación en materia de seguridad y evaluar por qué los usuarios recurren a aplicaciones y herramientas no proporcionadas por la empresa, ya que podríamos descubrir métodos de mejorar los flujos de trabajo.
Para empezar el año con buen pie, hay que interiorizar los aprendizajes de 2017 y aplicarlos en este 2018. Las amenazas externas continúan creciendo, así que nuestra atención a tareas básicas y lecciones aprendidas debe hacerlo también, manteniéndonos al día y adaptándonos rápidamente al nuevo ecosistema de ciberseguridad.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
