beebright - stock.adobe.com
El enemigo de la ciberseguridad también habita dentro de la empresa
Los empleados siguen siendo el principal punto de entrada para los ataques maliciosos a las empresas. Expertos chilenos en ciberseguridad ofrecen un panorama de lo que sucede y ofrecen sus recomendaciones.
En el mundo absolutamente tecnologizado de hoy, donde las compañías almacenan infinitos datos en la nube, se virtualizan muchos procesos, y se generan accesos remotos de funcionarios y colaboradores, la ciberseguridad se ha convertido en una preocupación de primer orden. En este contexto, las acciones y el comportamiento de los empleados de la empresa se ha tornado crucial.
Según el estudio “El estado de la Ciberseguridad 2023” de Sophos, realizado por la firma Vanson Bourne, dentro de los tres principales riesgos de ciberseguridad está la actividad accidental de usuarios internos (ubicado por 18 % de las empresas) y la actividad deliberadamente maliciosa de los mismos (17 %).
Los expertos señalan que el phishing y los ataques de ingeniería social son los tipos de peligros a los cuales están más expuestos los empleados de las empresas. Los cibercriminales saben muy bien que, con un ataque de ingeniería social sofisticado, los empleados pueden revelar información que les puede dar acceso a los sistemas de la compañía, y también podría darles información altamente confidencial.
“Otro de los comportamientos de los empleados que podrían afectar a la compañía es el mal uso de contraseñas y el uso inapropiado de los dispositivos y redes. En cuanto a la primera, es usual que entre algunos empleados se compartan contraseñas y esto puede afectar gravemente a la compañía en el caso de que se exfiltre alguna contraseña. En cuanto al uso inapropiado de los dispositivos y redes, es común que los empleados trabajen remotamente, conectándose a las WiFi propias del lugar, como un café. Es importante que los empleados, en el caso de utilizar esta conexión, tengan una VPN que permita asegurar la red y el acceso a los datos de la compañía. Es usual que, para acceder a recursos corporativos, los empleados utilicen sus dispositivos personales, que no están en su mayoría protegidos por productos de seguridad como un antivirus o antimalware”, sostiene Sol González, investigadora de Seguridad Informática de ESET Latinoamérica.
A juicio de Walter Montenegro, gerente de ciberseguridad en Cisco Chile, existen distintas vulnerabilidades que pueden dejar expuestas a las organizaciones, y muchas de ellas están relacionadas con el comportamiento de los usuarios: “El correo electrónico sigue siendo el primer vector de ataque e ingreso de amenazas en las organizaciones. Y un mal comportamiento de los usuarios o una mala política de manejo del correo electrónico podría, potencialmente, exponer a la organización a una pieza maliciosa. Basta que un empleado, incluso sin mala intención, presione un link para explotar una amenaza. El peligro es latente porque los atacantes saben que algún empleado puede caer abriendo algunos archivos adjuntos o presionando enlaces. Aquello expone a las organizaciones a ataques maliciosos”, destaca.
Uso incorrecto de las contraseñas
Una de las problemáticas que enfrentan cada día las compañías es el uso incorrecto de contraseñas por parte de sus empleados. Las contraseñas débiles que contienen fechas, nombres o palabras son fáciles de romper y existen diccionarios de hashes de passwords como Crackstation, donde se encuentran la mayoría de este tipo de contraseñas en texto plano.
“También es posible que con redes WiFi fraudulentas o ingeniería social los cibercriminales puedan acceder a un usuario y un password válido de una empresa. Existe un tipo específico de ciberdelincuentes conocidos como Initial Access Brokers (brokers de acceso), que se dedican a robar usuarios y contraseñas, y venderlos a otros actores criminales. A través de estos accesos, los ciberatacantes pueden ingresar a una organización, realizar reconocimiento, escalamiento de privilegios, movimiento lateral, etc., hasta finalmente llegar a fases de impacto donde pueden ejecutar ransomware y/o exfiltrar información de las empresas”, advierte Juan Alejandro Aguirre, gerente senior de Ingeniería de Ventas para LATAM de Sophos.
En este sentido, Daniel Molina, vicepresidente para el mercado de América Latina de iProov, señala que la autenticación biométrica elimina la necesidad de que los usuarios recuerden y administren contraseñas complejas, “lo que reduce la probabilidad de contraseñas débiles o reutilizadas y garantiza que las credenciales perdidas no se puedan usar en sistemas confidenciales”.
El peligro está en el usuario
La poca prolijidad, el actuar de forma irresponsable y la falta de cumplimiento de protocolos y normativas de seguridad informática por parte de los integrantes de una organización puede abrir brechas en las defensas de seguridad de la compañía. Si un empleado abre un archivo adjunto malicioso o revela información confidencial a un atacante, puede resultar en la pérdida de datos sensibles como información financiera, datos de clientes, propiedad intelectual y otra información crítica para el funcionamiento de la empresa.
“Por ejemplo, si un empleado utiliza contraseñas débiles o comparte sus credenciales de acceso, un atacante puede aprovechar esta vulnerabilidad para acceder a sistemas y redes empresariales. Las brechas de seguridad pueden permitir el acceso no autorizado a información confidencial, el robo de datos y el sabotaje de los sistemas”, enfatiza González, de ESET.
Otros daños asociados se relacionan con el daño de reputación y en las operaciones comerciales de la empresa afectada, pues la pérdida de prestigio impacta en la confianza de sus clientes, socios comerciales o stakeholders en general.
También, la recuperación de una violación de seguridad puede requerir inversiones sustanciales en servicios forenses, reparación de sistemas y notificaciones legales. Además, pueden surgir costos legales y sanciones si se violan las leyes y regulaciones de protección de datos.
Montenegro, de Cisco, comenta que ha habido ataques tan grandes en el mundo que a consecuencia de ellos han desaparecido empresas. “Es fundamental que el comportamiento de los usuarios sea adecuado para no exponer a mayores riesgos [y amenazas concretas] a las instituciones en las cuales trabajan. (…) Un ataque puede paralizar, exponer datos privados (dependiendo del rubro), dar cuenta de información confidencial de los ciudadanos, personas o bases de datos que las empresas resguardan, e incluso llevar a la quiebra a la organización comprometida”, sostiene.
Las nuevas amenazas y el trabajo híbrido
De acuerdo con los expertos, la incidencia del trabajo híbrido ha provocado que los empleados remotos estén más expuestos debido a las distracciones, la falta de soporte inmediato para revisar correos sospechosos, y el uso de redes hogareñas y de computadoras personales para el trabajo, que suelen tener menos protecciones contra el malware. “El trabajo híbrido abre nuevos vectores y amplía la superficie de ataques”, resalta Walter Montenegro, de Cisco Chile.
Con la transformación digital acelerada por la pandemia se adoptó el uso de tecnologías como el SaaS, la nube, el big data y la analítica, la IoT y la IA, sumado a herramientas para habilitar el trabajo remoto o híbrido. “Todas estas nuevas tecnologías extendieron la superficie de ataque, es decir, los actores criminales pueden tener más puntos de ingreso a la organización como una laptop personal que se conecte a la red de la empresa por una VPN, una carga de trabajo en nube pública que no siga las mejores prácticas de seguridad, o elementos de IoT desprotegidos que son gestionados directamente desde el internet, que pueden representar un gran riesgo si pueden conectarse a redes locales”, dice Aguirre, de Sophos.
Según Sol González, de ESET, las amenazas que enfrentan los usuarios dentro de las compañías son: ransomware y ataques de malware; ataques de ingeniería social sofisticada; phishing; fugas de datos; y amenazas internas, donde los empleados malintencionados o descuidados pueden acceder y divulgar información confidencial, comprometer la seguridad de los sistemas o realizar actividades no autorizadas.
Herramientas de prevención y mitigación
Los expertos sostienen que, en materia de protección, es indispensable que las organizaciones de la región mejoren la gestión de su seguridad. Por ejemplo, migrando hacia una gestión “zero trust”. Este modelo, a diferencia del enfoque centrado en la seguridad perimetral –que se apoya en la premisa de confiar y verificar–, parte de la idea de que por defecto las organizaciones nunca deberían confiar en ninguna entidad interna o externa que ingrese a su perímetro y por eso su nombre.
Además, las actividades de concientización deben aumentar. Según encuestas realizadas año a año desde ESET, el porcentaje de compañías que afirman realizar actividades de concientización de manera periódica sigue sin exceder el 70 %, lo cual indica que más de una de cada tres compañías son susceptibles a un ataque que utilice componentes de ingeniería social.
Respecto de herramientas y tecnologías, Montenegro, de Cisco, sostiene que éstas son variadas y se encuentran soportando distintas metodologías o frameworks, tales como SASE, SSE y la confianza cero. “Estas vienen a proteger la forma en que los usuarios se conectan sin importar el lugar, pero validando identidad, controlando los recursos e información a los que se conectan, cómo lo hacen, desde dónde, horarios, entre otros. Esto permite que los usuarios tengan la facilidad de conectarse de cualquier parte, con los mismos o mayores niveles de seguridad”, detalla.
Además, para tener visibilidad de una superficie ampliada, Juan Alejandro Aguirre, de Sophos, resalta la tecnología XDR, donde se puede integrar inteligencia de terminales, servidores, cargas de trabajo en nube pública, redes, correo electrónico, proveedores de identidad, etc.: “Esta tecnología permite detectar comportamientos sospechosos o maliciosos que no fueron bloqueados por los controles de ciberseguridad, realizar una investigación para determinar el alcance del ataque y tomar acciones de respuesta. Pero, si bien es una herramienta sumamente poderosa, requiere de skills humanos sofisticados en análisis de amenazas, caza de amenazas y respuesta a incidentes”.
El experto explica que, debido a que estas habilidades son escasas y costosas, “la mejor forma de adquirirlas es a través de la transferencia de los mismos desde un proveedor de detección y respuesta gestionada o MDR”.
Consejos de protección para usuarios internos
Los consejos básicos que ofrecen los especialistas en ciberseguridad para los miembros de las compañías son: Utilizar contraseñas seguras; activar la 2FA; mantener actualizados los sistemas; estar informado sobre las últimas tendencias en ciberseguridad; y capacitarse para fortalecer la concientización de ciberseguridad.
“Las vulnerabilidades críticas de los sistemas no son novedad. De hecho, todavía se siguen viendo sistemas que contienen alguna vulnerabilidad crítica –para la cual existe, hace muchos años, una actualización de Windows que la soluciona– de la que se aprovechaba para infectar, alrededor del año 2017, uno de los malwares más famosos de la historia, WannaCry. Es por esto que se debe tener en cuenta que las vulnerabilidades que se descubren y arreglan no desaparecen de todos los equipos, y aumenta la cantidad de casos de ataques que provechan falencias técnicas”, dice Sol González, de ESET.
La experta agrega que la industria cibercriminal se hace cada vez más compleja, con más dinero en juego, y esto atrae a más personas que dedican su día a día a buscar estas vulnerabilidades en los sistemas. Por esto es vital asegurarse de mantener actualizados los sistemas operativos y las aplicaciones, y aplicar cualquier enmienda de seguridad que el fabricante haya lanzado para resolver alguna vulnerabilidad ya descubierta.
Finalmente, Aguirre, de Sophos, aconseja usar contraseñas fuertes. “También, habilitar tanto para uso personal como corporativo el doble factor de autenticación; y por último, un consejo poco sexy, pero efectivo que es ‘ser desconfiado’. Cuando algo parece muy bueno, seguramente no lo es. Por ejemplo, hay que dudar y hacer doble verificación de mensajes que indiquen que se ha ganado un premio (especialmente cuando no se ha participado por ninguno), de comunicaciones no solicitadas, de mensajes de bloqueo de cuentas bancarias o de redes sociales que solicitan ingresar un usuario y password por un link, etc.”.