Proteger el endpoint, estrategia clave en tiempos de pandemia
Con el auge del trabajo remoto aumentó el uso de equipos personales poco protegido entre los empleados, y con ello la necesidad de aumentar la protección de terminales para disminuir el riesgo de ataques cibernéticos.
Durante estos meses de pandemia, el teletrabajo se ha convertido en el formato de trabajo principal de numerosas compañías de la región. Y otras lo han instaurado como un fuerte complemento a la presencia laboral física en las oficinas. Sin lugar a dudas, este modelo ha resultado una productiva forma de adaptarse al duro escenario laboral actual. Sin embargo, al mismo tiempo, es una atractiva ventana que se ha abierto para que las bandas de ciberdelincuentes realicen sus ataques informáticos.
Según un estudio realizado por la consultora de recursos humanos Randstad, el 75 % de las empresas optará por el teletrabajo de forma permanente. Estas cifras muestran la importancia de comprender que los trabajadores y sus dispositivos se han convertido en un flanco que puede ser explotado por los antisociales virtuales.
Antes de la pandemia, explica David Alfaro, gerente general de Arkavia Networks, empresa experta en ciberseguridad, las organizaciones ponían el foco en incrementar la seguridad de sus nubes, pero con la irrupción del teletrabajo orientaron sus esfuerzos a las soluciones hacia puntos finales o terminales.
«Se trata de tecnologías que buscan evitar que se logre vulnerar los terminales o dispositivos que usan los empleados. Las soluciones endpoint buscan dar certeza de que los dispositivos en los que trabajan los usuarios puedan navegar y compartir información con seguridad a pesar de que haya más dispositivos conectados a las redes WiFi», señala el ejecutivo. «Es una muy buena alternativa para proteger los datos de la empresa y dispositivos asociados», agrega.
A juicio de Alfaro, las soluciones orientadas a terminales tomarán cada vez mayor relevancia para la prevención y detección de amenazas debido a que son sistemas de seguridad centralizados que tienen la finalidad de reducir las vulneraciones que puedan ser explotadas por ciberdelincuentes.
En términos simples, un terminal o punto final (endpoint) es un dispositivo informático que se conecta a una red en forma remota. Estamos hablando de estaciones de trabajo, servidores, computadoras, laptops, smartphones y tabletas, principalmente. La importancia de un terminal radica en que, para un ciberdelincuente, representa la principal puerta de acceso a la información de una empresa o institución, lo que –de concretarse– puede traducirse en que una organización sea víctima de fraude, espionaje, robo de datos u otro acto malicioso, con el consiguiente daño en dinero, prestigio y credibilidad, entre otras consecuencias.
«Desde hace un tiempo, ya no es suficiente estar protegidos bajo un enfoque convencional o reactivo, porque muchos ciberataques ya no son tradicionales. Es decir, todas las nuevas técnicas de ataques intentan evadir o camuflar sus reales intenciones frente a las herramientas de protección tradicionales. Por ejemplo, ahora son [ataques] sin archivos o sin malware. En otras palabras, las plataformas de protección de los terminales (EPP, por sus siglas en inglés), si bien pueden controlar el malware tradicional, no tienen la misma efectividad frente a amenazas y ataques avanzados y dirigidos», resalta Francisco Fernández, gerente general de Avantic.
En este sentido, Claudio Ordóñez, líder de ciberseguridad de Accenture Chile, sostiene: «Los endpoints ya no están detrás de las barreras perimetrales clásicas de las empresas (cortafuegos, detectores de intrusos, monitoreo y otros). Esto hace que sea el propio endpoint y su usuario los que estén enfrentados a las amenazas de internet. Por ejemplo, atacando directamente a los usuarios, con los distintos phishing que se utilizaron para robar las ayudas estatales como los retiros de 10 % (de los fondos previsionales en Chile)».
Entonces, ¿cómo protegemos los terminales?
Los expertos señalan que es fundamental utilizar soluciones de protección de terminales que actúen más allá del malware conocido, y que permitan agregar controles adicionales, como por ejemplo supervisar tráfico web (evitar el acceso a sitios maliciosos), correo electrónico (evitar adjuntos maliciosos y suplantación de identidad, entre otros) y, uno de los puntos más críticos hoy en día, que permita hacer una gestión automatizada de parches (corrección de vulnerabilidades) en cualquier sistema operativo (Windows, Mac, etc.) y para aplicaciones estándares de escritorios (lector PDF, winrar, etc.).
Esto significa que las estaciones de trabajo, servidores, PC, laptops, teléfonos inteligentes y tabletas deberían estar protegidos por tecnologías EPP como base, a lo cual se suma herramientas especializadas como EDR (Endpoint Detection and Response), que monitorean y analizan continuamente los terminales y su tráfico de red identificando, detectando y previniendo amenazas avanzadas de una manera más fácil y rápida.
«La tecnología EDR detecta ataques que las soluciones tradicionales de antimalware han pasado por alto. Monitoriza y evalúa todas las actividades de la red (eventos de los usuarios, archivos, procesos, registros, memoria y red); detecta ciberataques en tiempo real; y permite tomar medidas inmediatas si es necesario. La tecnología de EDR mejora la cobertura de ciberseguridad al recopilar y almacenar datos de eventos relevantes para la seguridad de los endpoints. Sin esta capacidad, nunca sabrán que se han abierto brechas de seguridad hasta que sea demasiado tarde para detener el daño», señala Fernández de Avantic.
El experto indica que, para que esto tenga éxito, es clave disponer de recursos humanos internos o externos que puedan analizar e interpretar la información que entregan los sistemas EDR pues, de lo contrario, no servirá de mucho contar con tal tecnología.
En este contexto adquiere gran relevancia el concepto de confianza cero (zero trust), que básicamente es un modelo que aprovecha un conjunto de acciones, procesos y soluciones de seguridad integradas que les permite a las organizaciones identificar a los usuarios y dispositivos que buscan acceso a la red.
Ordóñez, de Accenture Chile, comenta que, dado que se debe proteger a la empresa y a los propios usuarios en un ambiente corporativo muy distribuido, en casa y semi-desprotegido, se ha establecido en varias empresas un enfoque de seguridad adaptativa en general y en particular en el uso de arquitecturas de confianza cero. «Tal como su nombre en inglés lo indica, se trata de mantener un estado constante de vigilancia basada en el riesgo. Y, a medida que evolucionan tanto la tecnología como las amenazas, las estrategias y los privilegios de acceso deben cambiar con ellas. El desafío es que estos controles no sean invasivos ni que se conviertan en stopper de las actividades normales de la empresa», afirma.
El modelo de confianza cero, explica Ordóñez, «se apalanca fuertemente en tecnología de nube para agilizar el acceso a aplicaciones; en análisis de riesgo para determinar si el terminal y el usuario que solicitan acceso son los correctos o no; en doble autentificación para asegurar al usuario; y, finalmente, en tecnologías EDR o XDR que permiten detectar y controlar mucho más rápido un posible compromiso en el terminal».
Recomendaciones para proteger a usuarios remotos
Francisco Fernández, gerente general de Avantic, firma especializada en ciberseguridad y redes, comparte las siguientes estrategias para que las organizaciones estén mejor protegidas:
- Limitar acceso a información estratégica y/o confidencial. Las empresas deben limitar la cantidad de colaboradores que cuentan con acceso a aquellos contenidos de la organización que son estratégicos o confidenciales (como datos financieros, bases de clientes y proyectos, etc.). Mientras menor sea ese número, más difícil será hackear a esa compañía.
- Proteger el equipo computacional. Las compañías deben invertir en tecnologías antimalware que les permitan proteger sus PC y laptops frente a descargas de archivos maliciosos desde correos electrónicos, internet o dispositivos extraíbles como pendrives, por ejemplo.
- Poner atención a las redes sociales. Plataformas como Facebook o Instagram pueden ser importantes herramientas para la promoción de los productos o servicios de una organización. Sin embargo, se debe ser cuidadoso dado que diariamente se inyectan códigos maliciosos en esas redes sociales, a través de vínculos aparentemente inofensivos. O, mediante éstas, se puede filtrar o hacer pública información sensible o confidencial de la empresa, que después podría ser utilizada tanto por ciberdelincuentes como por delincuentes comunes.
- Educar en forma sistemática. Las empresas tienen que concientizar permanentemente a sus colaboradores para que, por ejemplo, nunca abran archivos adjuntos ni hagan clic en vínculos de correos electrónicos de desconocidos. Al evitar este tipo de conductas, que ponen en riesgo los sistemas, una compañía estará a salvo de los peligros informáticos por esta vía.
- Construir y usar contraseñas seguras. Una empresa debe aplicar como política el fomentar que sus miembros modifiquen sus contraseñas regularmente, empleando una mezcla de a lo menos 8 caracteres alfanuméricos, utilizando mayúsculas y minúsculas, que las hagan más seguras y difíciles de descifrar.
- Actualizar softwares y parches periódicamente. Es fundamental que los sistemas operativos –Microsoft Windows, principalmente– y programas antimalware estén vigentes, así como los demás software instalados en los equipos. El malware está en constante evolución para aprovechar las vulnerabilidades de los otros programas, pero también lo están los parches y correcciones que reparan las debilidades. Por ello es clave aplicar las actualizaciones correspondientes.
- No descargar cualquier tipo de aplicación. Los usuarios deben estar alerta al comprar e instalar aplicaciones en sus dispositivos y equipos. Hay que fijarse en diversos aspectos, tales como que el sitio web sea conocido, que se esté descargando desde el sitio del fabricante o que la app tenga muy buenos comentarios. Las aplicaciones descargables infectadas con malware se han vuelto una fuente importante de infiltración de redes.
- Unificar la seguridad informática. Esto consiste en emplear soluciones de ciberseguridad del mismo fabricante lo que, además de ahorrar costos, permite responder de mejor manera y más rápido a los incidentes que tengan lugar en una organización.
- Confiar la seguridad a los expertos. Una última estrategia consiste en tomar la decisión de asesorarse por empresas que sepan de ciberseguridad y redes, y que trabajen con reconocidas marcas y socios tecnológicos a nivel mundial. De esta forma, una organización podrá seguir enfocada en su negocio y descansar en especialistas que velarán por su seguridad y continuidad operativa.