Solo la mitad de los corporativos utilizan MFA: Cisco Talos
A pesar de la cantidad de ataques en aumento que reciben las empresas de todo tamaño, muchas aún no utilizan adecuadamente herramientas de protección básicas, como el uso de autenticación multifactor.
El reporte de respuesta de incidentes de Cisco Talos del segundo trimestre del 2022 mostró el crecimiento del llamado “commodity malware” como principal vector inicial de ataque a principios de año. Este es un malware genérico, ofrecido por ciberdelincuentes “listo para descargar” para realizar ataques de alto volumen y aprovechar aplicaciones mal configuradas de cara al público.
Estos troyanos superaron incluso al ransomware, que en ese período pasó de ser un cuarto del total de amenazas del trimestre, a representar un 15 %. Una posible razón de esto, explicó Yair Lelis, director de Ciberseguridad para Cisco México, fue el retiro de sitios que hosteaban los servidores donde se recolectaban rescates y de varios dominios relacionados con los ataques de ransomware.
Frente a los ataques, el reporte mostró que solo la mitad de los usuarios en el segmento Enterprise utiliza la autenticación multifactor (MFA), tanto para acceder a sus recursos, como para conectarse remotamente y acceder a sus aplicaciones, lo cual resulta preocupante, “especialmente en tiempos de trabajo híbrido y accesos remotos”.
En cuanto a verticales, en México las más atacadas durante el segundo trimestre del año fueron telecomunicaciones, salud (donde se busca la información personal de pacientes y registros médicos), educación, y banca y finanzas.
Lelis conversó con ComputerWeekly en Español sobre los detalles del reporte, y las tendencias de ciberseguridad que debemos mantener a la vista.
A pesar de la disminución en los ataques de ransomware, sigue en aumento el tema del ransomware como servicio. ¿Podrías explicarnos cómo funciona el ransomware como servicio y qué es lo que ofrecen los grupos como Conti?
Yair Lelis: Para ellos [Conti] también es un esquema híbrido. Ellos atacaron algunos países de Latinoamérica hace ya unos meses, y montaron toda la infraestructura para hacer el ataque, para distribuirlo, para entrar por un primer vector de acceso, tomar control de esa información y pusieron los sitios para que el gobierno pagara por no divulgar toda esa información de los ciudadanos. Este es su modelo de negocio principal.
Pero se empiezan a mover hacia ofrecer estos servicios si alguien [más] quiere atacar un segmento o una compañía en particular: rentan toda esta infraestructura que ya montaron para que alguien, como un as a service, pueda tener acceso a esa infraestructura y pueda hacer o generar sus ataques desde esta misma infraestructura.
En mayo del 2022, Conti anunció que hacía un cese de sus operaciones y para junio mucha de esa infraestructura, de esos dominios, estaban ya offline. Pero después vimos una nueva variante de ransomware as a service, llamado Black Basta, que sospechamos es un rebranding de Conti.
Es interesante que, a pesar de que el ransomware ha acaparado encabezados, muchas veces lo vemos como insignificante o minimizamos el impacto. Si alguna pyme recibía uno de estos ataques, se iba a los respaldos para regresar a la operación. Pero ahora el ransomware no solo bloquea el acceso y afecta a las computadoras, sino que estudia, con movimientos laterales, la red de la víctima y ubica dónde están esos controladores de dominio o los respaldos, incluso si están en otros sitios. Y antes de lanzar la petición de rescate, toma el control de toda esta infraestructura, de modo que lo que empieza como una brecha de infraestructura se convierte en una brecha de información. Lo que tenemos que evitar a toda costa es que eso suceda. Nadie está exento de tener una brecha de infraestructura, pero sí podemos evitar, con diferentes medidas, que pase esa brecha de información.
Si un ataque de ransomware compromete también los respaldos, además del acceso, se trata de un ataque ‘Big Game Hunting’, que neutraliza cualquier salida que pudiera tener la víctima para obligarlos a pagar el rescate.
Considerando que muchas pymes siguen pensando que no son objetivos para delincuentes porque ‘no tienen nada valioso que puedan robarles’ y que solo 50% del segmento enterprise usa autenticación multifactor, ¿ seguimos hablando de los mismos errores en ciberseguridad?
Yair Lelis: Justo. Básicamente, el vector más vulnerable es el propio ser humano. El hecho de que el ser humano confíe en otro ser humano, y que alguien lo incite a darle clic a un enlace por algún tema muy particular que le interesa, esta ingeniería social, nos lleva a este tipo de de de ataques. En los vectores iniciales de los ataques lo que seguimos viendo es el phishing y las aplicaciones que están mirando hacia el público, que pueden ser apócrifas y pueden robar mi información.
Esto tiene que ver también con la cultura que hemos desarrollado. La cultura se ha incrementado, y hay leyes e iniciativas de ley en los países de Latinoamérica, pero todavía no estamos donde tendríamos que estar. Hace dos años, el Banco Interamericano de Desarrollo sacó, en conjunto con la OEA, un estudio que decía que había un hueco de 600 mil profesionales de ciberseguridad en las Américas para cubrir los retos que hoy tenemos. Este año, ese número se actualizó a 750 mil. Es decir, dos años después, la brecha [de talento] sigue creciendo, seguimos necesitando a esos profesionales de la ciberseguridad para estar a la par. Pero no solo necesitamos roles técnicos, sino que requerimos que esta cultura siga permeando para evitar darle clic a ese phishing que sigue siendo el primer vector de ataque.
Entonces, contestando: sí, esencialmente sigue siendo lo básico. Van evolucionando las técnicas, las tácticas y los procedimientos, los TTP, pero la forma esencial de llegar a la interfaz humana es la misma.
¿Cree que la ciberseguridad debe empezar por estar integrada dentro de los productos? ¿Se puede lograr dada la dinámica de lanzamientos que se tiene en el mercado?
Yair Lelis: Creo que es una pugna que hoy tenemos. Si el negocio lo entiende cada vez más, si el negocio está conciente de lo que podría costar no hacerlo, entonces será más sencillo. Antes, se entendía la ciberseguridad como algo posterior: construías las tuberías y después veías cómo le atornillabas algo que las asegurara, y era muy complicado.
Hoy tenemos que construir nuevas arquitecturas que sean seguras desde el nacimiento, que tengan procesos, gente y tecnología asociados a la seguridad desde su nacimiento. De otra forma, seguiremos parchando huecos mientras estamos en vuelo, y eso es muy complicado a todas luces. Estamos en el camino. Estamos hablando de conceptos como zero trust, por ejemplo, que planea una arquitectura completa desde que se conecta el usuario, hasta que llega la aplicación y se intercambian esos datos para que todo sea seguro, para que tenga acceso solo quien deba tenerlo. Esto es una jornada larga.
¿Qué tipo de commodity malware es el que ha repuntado, según el estudio?
Yair Lelis: Uno de ellos se llama Remcos, es un RAT, un remote access troyan (…). Este código, que puede llegar en un enlace dentro de un correo, se ejecuta al habilitar, por ejemplo, macros en Excel, es el principio de la infección y puede traer como consecuencia una campaña de phishing, porque puede ganar acceso a la información de tus contactos y esparcirce por toda tu red o todos tus contactos.
¿Esta imagen es la misma en México?
Yair Lelis: Con sus bemoles. El ransomware existe, este tipo de commodity malware está hacia todo el mundo, y lo que hemos visto últimamente es que muchas de estas campañas son medio verdad, medio mentira. Ante la duda, creo que lo mejor es tener claro cuáles son tus riesgos, tener claro en dónde estás parado y si hay algún tipo de vulnerabilidad que parchar que puede ser explotada, la parchas en el corto plazo.
Muchas instituciones financieras tienen equipos de riesgo que están constantemente haciendo esa evaluación de lo que sucede allá afuera, revisan lo que se publica en el deep web y en el dark web para tener constantemente un input y sepan cómo responder ante una de estas situaciones. Eso hace que la remediación y los equipos de remediación ante incidentes sean una pieza clave, sobre todo en estas operaciones tan grandes.
¿Qué impacto ha tenido el modelo de trabajo híbrido en la ciberseguridad empresarial?
Yair Lelis: Es sumamente interesante analizar el fenómeno. Hace dos años y medio fuimos lanzados a trabajar desde donde pudiéramos, con lo que pudiéramos, y luego se veía cómo se hacía la ciberseguridad. Yo, particularmente, estuve al frente de la batalla con muchos de nuestros clientes tratando de habilitar estas infraestructuras seguras al vuelo.
Hoy lo que vemos es que no hay vuelta atrás: el trabajo híbrido está aquí para quedarse. A pesar de que haya, sus extremos: quien ya regresó 100 % o quien sigue 100 % remoto. La cosa es que también la pandemia aceleró la adopción de tecnologías de ciberseguridad en muchas empresas, así sea una VPN para acceso remoto seguro y, aunque sea en pequeños pasos, creo que es un gran adelanto de lo que veníamos viendo en años anteriores.
También tenemos que ver qué es lo que está haciendo el usuario. La pandemia trajo consigo que estemos diez o doce horas al días pegados a una pantalla tomando Webex o cualquier tipo de sesiones remotas. Pero también estamos navegando por ahí. Eso, como vector inicial, también lo tenemos que cuidar y también se vio como un cambio: muchos clientes se vieron forzados a garantizar que la navegación de sus usuarios fuera segura, que proactivamente algo bloquee los intentos de compromiso o las consultas a dominios maliciosos. Y si hay usuarios que requieren tener acceso por sus labores, por ejemplo, un power user de ciberseguridad en equipos de SOC, entonces solo a ti te habilitamos un RBI o Remote Browser Isolation, que corre en nuestra nube, para que puedas acceder a esos sitios potencialmente peligrosos sin comprometer tu infraestructura.
¿Cuáles que son las principales tecnologías o tendencias que ya se están aplicando actualmente en América Latina?
Yair Lelis: Zero trust, que es una arquitectura, o sea procesos que nos llevan a adoptar cierta tecnología y nos permiten tener un acceso mucho más seguro. Eso es parte esencial. Ya se está aplicando, no full display, pero estamos empezando a ver muchos más esfuerzos de los clientes por adoptarla.
MFA sigue creciendo, y no solamente para el acceso a VPN, sino para el acceso a aplicativos y para otras cosas. También estamos viendo el crecimiento que están teniendo las tecnologías de detección y respuesta como XDR (Extend Detection and Response), que están por cambiar la dinámica de la ciberseguridad al automatizar esos procesos para que la gente no tenga una carga de trabajo tan grande, y además de automatizarlos, tercerizarlos, porque hay empresas que ofrecen estos servicios avanzados de respuesta a incidentes, en donde la tecnología es una pequeña parte.
Puedes tener varios vendors, e interconectar esos vendors para conseguir un resultado orquestado y que tu estrategia de XDR realmente te traiga beneficios, no solamente ante la detección, sino para responder más rápido o, en el mejor de los casos, de forma automática ante algún incidente. De ahí que tecnologías como SOAR (Security Orchestration, Automation and Response) puedan estar mucho más en uso hacia adelante.
Evidentemente, vemos machine learning e inteligencia artificial en todos lados porque muchas de esas tecnologías se están basando en la predictibilidad de los ataques y cada vez más se empiezan a desplegar.
¿Crees que estas tendencias se están aplicando solo en el segmento Enterprise o también están permeando hacia las pymes? ¿Cuáles son las principales herramientas de ciberseguridad que utilizan las pymes?
Yair Lelis: En Cisco, se llama Cisco Design al segmento de pequeñas y medianas empresas. He tenido varias charlas con estos clientes y me dicen: ‘Okey, ya entendí que la ciberseguridad es algo que tengo que atender, que debo tener una postura de ciberseguridad, pero, ¿cómo le hago si no tengo personas ni un budget ilimitado? Bueno, lo primero para empezar, el principio básico, es saber qué es lo que queremos proteger, cuál es el análisis de riesgos que hay que hacer para evaluar dónde podemos o tenemos que invertir.
Después, lo más conveniente es ofrecerles un modelo flexible, y la nube es lo más flexible que hay porque, además, la puede administrar alguien más. La seguridad en la nube es hacia donde es mucho más sencillo dirigirse, y si le sumas que alguien te dé servicios administrados de detección y respuesta, es mucho más sencillo. Adoptar esa tecnología que es fácil de adoptar, administrada por alguien más, me permite ser ciberresiliente como consecuencia.
Para estructurar un plan hay que entender en dónde estamos parados hoy, hacia dónde queremos ir en temas de riesgo y hacer las inversiones correspondientes o reaprovechar la infraestructura que se tiene, tenemos que orquestar lo que ya se tiene, aprovechar las inversiones que ya se hicieron y sacarles mucho más provecho.
¿Alguna otra tendencia que debamos considerar?
Yair Lelis: En cuanto a las tendencias no tecnológicas, en [el pasado evento de] RSA se habló mucho de que, en esta nueva era de la ciberseguridad, debemos acostumbrarnos a tirar los dogmas con los que vivíamos antes, a ver las constantes y aprender a ver la disrupción. Tenemos que adaptarnos a las disrupciones, como lo que ha sucedido en los últimos dos años y lo que sigue sucediendo en términos de seguridad, pero también tenemos que ver qué es lo que no cambia. Y se propone algo superinteresante: lo único que no va a cambiar de un atacante y de una víctima es la identidad. Tenemos que ser mucho más prolijos con la identidad y dónde está nuestra identidad. Por eso, es fundamental asegurar que quien está diciendo que es, sea, por diferentes medios (biométricos, firmas digitales, autenticación multifactor y todo eso).
Hoy la seguridad tiene que estar mucho más asociada al negocio. Los tomadores de decisiones deben tener a alguien que les hable al oído sobre los riesgos que pueden contraer en caso de que no tengan una postura de ciberseguridad, una arquitectura de ciberseguridad. Esa es mi reflexión final sobre paradigmas, dogmas y constantes.
¿Entonces lo que hay que proteger es la identidad y los datos?
Yair Lelis: Totalmente. La ciberseguridad se basa en proteger la información que cruza por todo el ciberespacio, sin importar en dónde está. Tenemos que conocer cuáles son nuestras joyas de la corona, esencialmente datos e información, y protegerlas estén en dónde estén. Eso incluye quién la genera y quién accede a ella. Tenemos que cuidar la identidad de la gente.