Los ciberataques están a la orden del día, cada vez copan más titulares y tienen un impacto real en la economía y en nuestras vidas. A la hora de tratar de averiguar quién está detrás de los ataques, conviene comenzar con un cuiprodest, ¿Quién se beneficia de estos ataques?
El cibercrimen es un negocio atractivo y muy lucrativo. Los atacantes cuentan cada vez con más y mejores recursos -tanto técnicos como económicos-, lo que les permite desarrollar ataques cada vez más sofisticados.
Esto es lo que explica que haya más atracos y extorsiones a locales comerciales, sucursales bancarias y todo tipo de negocios que nunca en la historia, con una peculiaridad: ahora los atacantes pueden estar a miles de kilómetros sin nunca haberse acercado a sus víctimas.
Una empresa tiene cientos, miles de ordenadores en sus redes, a los que hay que sumar todo tipo de dispositivos conectados a las mismas: impresoras, cámaras IP, dispositivos móviles... Y tiene que proteger todos ellos. Sin embargo, un atacante sólo tiene que comprometer uno de ellos una vez para tener éxito. No es necesario que el ordenador que atacado tenga acceso a la información o a los recursos tras los que van los ciberdelincuentes, ya que simplemente lo utilizarán de punto de partida. Usarán movimientos laterales en los que se van desplazando por la red corporativa hasta que den con la información que les interesa, o con el sistema que quieren sabotear.
El panorama de malware y seguridad informática ha sufrido un cambio importante en términos de volumen y sofisticación. En la actualidad en unas pocas horas se crean más ejemplares de malware que durante toda la última década del siglo XX.
Las nuevas técnicas para penetrar las defensas y la ocultación del malware están permitiendo que las amenazas permanezcan en las redes corporativas durante largos períodos.
Todo esto resulta en amenazas más complejas y dinámicas, además de una mayor cantidad de ataques. Casi cualquiera puede lanzar un ataque avanzado gracias a la democratización de la tecnología, el mercado negro y herramientas de código abierto. Como consecuencia, todas las empresas se convertirán en el objetivo de un ataque avanzado, es necesario asumir este hecho para comenzar a trabajar en acciones y políticas de seguridad efectivas. Contar con los mecanismos para detectar, bloquear y remediar cualquier tipo de amenaza avanzada podrá salvaguardar las arcas y la reputación de las organizaciones.
La práctica totalidad de estos delitos tiene una base económica: todo por dinero. Los atacantes irán a por víctimas que les reporten beneficios. Es por ello que debemos poner todas las medidas posibles para complicar y entorpecer su llegada al objetivo, de tal forma no les sea productivo.
En la mayoría de los casos si un ataque se vuelve complejo y no consiguen llegar a su objetivo final, optarán a ir a por otra víctima que les ofrezca un mejor retorno de inversión.
Para que nos hagamos una idea de la complejidad de los ataques, en el 62% de las brechas de seguridad que han tenido lugar en empresas se han utilizado técnicas de hacking. Es más, sólo en el 51% de los casos los atacantes han utilizado malware, en el resto se han valido de otras herramientas contra las que la mayoría de empresas no están protegidas.
En el caso de sufrir un ciberataque, es importantísimo poder disponer de información forense del mismo, de tal forma que podamos tomar las medidas necesarias sabiendo a qué nos estamos enfrentando. Así podemos saber por dónde han venido, qué técnicas han utilizado, qué movimientos han realizado, qué han hecho, cómo evadieron defensas, etc.
OTRAS MOTIVACIONES...
Si bien la mayoría de los ataques tienen un objetivo económico, también existen otros casos en los que hay motivaciones claramente distintas. Un caso claro que hemos visto este año ha sido el ataque a empresas con oficinas en Ucrania a través del Petya/Goldeneye, con un motivo claramente político donde el propio gobierno ucraniano acusó abiertamente al gobierno ruso de estar detrás del mismo.
Pero no se trata de un caso puntual. Estamos en plena carrera armamentística en el ciberespacio, las naciones están creando cibercomandos ya que saben que es clave no sólo como método de ataque, sino que necesitan reforzar de forma inmediata sus defensas ante cualquier ataque a empresas o infraestructuras de interés nacional.
El plan de ciberseguridad del presidente Obama solicitaba a su sucesor que entrenara a 100.000 nuevos expertos en seguridad informática para el año 2020.
CONCLUSIÓN
Se estima que al finalizar 2017 el negocio del cibercrimen estará en 1,95 billones de euros. Para ponerlo en perspectiva, esta cifra es mayor que el PIB de cualquiera de los países pertenecientes a la zona euro con la excepción de Alemania y Francia. A pesar de que aumentan los medios con los que cuentan las fuerzas de seguridad dedicadas a perseguir estos delitos y que cada vez hay una mayor cooperación internacional, realmente la mayoría de delitos quedan impunes. Si a esto le unimos que cada vez es más sencillo acceder a herramientas e información que facilitan la realización de este tipo de ataques, la conclusión es obvia: habrá más ataques.
Por tanto, es evidente que durante 2018 nos tendremos que enfrentar a un entorno más peligroso y con más riesgos que nunca, lo que nos va a obligar definitivamente a cambiar de mentalidad y estrategia para conseguir las mayores cotas de seguridad y proteger nuestros activos. Ir en busca de malware sólo nos protege parcialmente, entramos en una época en la que la estrategia de seguridad pasa por no confiar en nadie. Cualquier proceso nuevo que quiera ejecutarse en cualquiera de nuestros dispositivos de la red deberá ser previamente aprobado, y aquellos en los que confiamos tendrán que ser vigilados de cerca para poder detectar cualquier comportamiento anómalo en el menor periodo de tiempo posible.
Casos como el WannaCry o Equifax nos demuestran que las actualizaciones de seguridad deberían formar parte de un proceso prioritario dentro de todas las empresas. Cada día que pasa en el que no se parchea un sistema vulnerable, estamos poniendo en riesgo tanto la reputación de la compañía, la integridad de nuestra información y la de nuestros clientes y proveedores, e incluso ponemos en riesgo la producción e incurrir en pérdidas millonarias. Un pequeño ejemplo, AP Moller-Maersk fue una de las víctimas del ataque de NotPetya/Goldeneye, y calcula que las pérdidas sufridas por la empresa debido a este ataque en particular han sido del entorno de 200-300 millones de dólares.
Y debemos estar preparados para lo peor, los países están invirtiendo cada vez más en capacidades defensivas y ofensivas, con el punto de mira en infraestructuras críticas. Poder lanzar un ataque de forma remota que cause un apagón no es una teoría, lo hemos visto en práctica en Ucrania y podría suceder en cualquier país del mundo. Lo que es peor, el conocimiento de diferentes herramientas utilizadas para perpetrar estos ataques hacer cada vez más viable que grupos con financiación más limitada que aquellos patrocinados por estados puedan llevar a cabo acciones similares, sino de forma generalizada sí contra objetivos concretos. Y sabemos que grupos terroristas, como el ISIS, están dispuestos a utilizar todos los medios a su disposición para causar terror.
