El arte de la ciberdefensa

Más que de una sofisticación del malware, hoy los expertos hablan de su profesionalización. Te explicamos cuáles son las principales ciberamenazas que padecen nuestras empresas y cómo defenderte.

Los datos críticos de tu negocio emanan olor y las ratas de la información lo huelen, ven las rendijas. Cada día se producen en España decenas de miles de ataques cibernéticos. No hay cifras fiables, pero la consultora Deloitte habla de que el 94 % de las empresas sufrieron al menos un incidente grave de ciberseguridad a lo largo de 2021.

Las ratas olisquean aparatos y conexiones. Usan nuestras cloacas no actualizadas y aprovechan cualquier vulnerabilidad. Pasarán como Pyotr por su casa si no hemos aplicado las medidas adecuadas. Y regresarán con el botín por el laberinto a países donde no existe la extradición judicial. Luego, nos extorsionarán…

En el influyente tratado militar chino El arte de la guerra, se cree que escrito por el general Sun Tzu, podemos leer: «Conoce a tu enemigo y conócete a ti mismo, y en cien batallas nunca saldrás derrotado».

¿Qué pensaría Sun Tzu si fuera el CISO (director de seguridad) de nuestra empresa? Diría: «Primero, conoce al cibercriminal».

Ciberataque
iStock

El enemigo es silencioso y rápido. Ataca a pymes y grandes empresas, busca maximizar el beneficio. Hoy se ha profesionalizado y emplea todo tipo de métodos. De los más sofisticados (como imitar la voz real de un CEO, mediante una inteligencia artificial, un deepfake) a la simple fuerza bruta para tumbar una contraseña poco fiable (sorprendentemente «1234» sigue siendo la contraseña de referencia) o la ingeniería social (enviándote un USB, haciéndose pasar por un colaborador estrecho).

Sus tácticas son conocidas, pero siguen funcionando: el phishing (ataques por correo electrónico masivos que permiten por el despiste del usuario filtrar los datos); el ransomware (encriptación de la información a través de un virus), o el acceso por una brecha que haya sido resuelta años atrás, pero que la empresa no habrá actualizado.

«El arte de la guerra se basa en el engaño», dice nuestro CISO Sun Tzu. Tienen dos estrategias: el ataque masivo e indiscriminado y el selectivo y dirigido. Perpetran campañas de infección utilizando un ejército de ordenadores zombi infectados previamente, las redes botnet. «En función del tipo de ataque que quieran hacer, utilizan unas técnicas que tengan más ratio de éxito que otras», explica Marco Antonio Lozano, responsable de Ciberseguridad para Empresas de INCIBE.

Buscan «el acceso a redes corporativas y el robo de información, como credenciales de correo electrónico, de acceso remoto, o la información confidencial de la empresa y de sus usuarios», asegura Josep Albors, director de investigación de ESET, compañía de ciberseguridad.

La mayoría de los ataques que se producen en España tienen dos objetivos: conseguir la información para venderla a la competencia o extorsionar con la amenaza de su publicación. También está el ransomware, secuestrar los equipos para pedir un rescate en criptomonedas. Como la cultura de las copias de seguridad ha aumentado, hoy usan el «doble combo»: encriptan y roban a la vez.

Operan diversos grupos y clanes y, a veces, cooperan entre ellos. Algunos están muy organizados y compartimentados. Esto ya da más dinero que el narcotráfico.

También hay rateros que han conseguido su exploit kit en la deep web (un kit con aplicaciones maliciosas que cuesta entre cinco y doscientos euros). Es el cibercrimen as a service. «Existen markets de aplicaciones maliciosas con todo propósito», explica Lozano. Se trata de un ataque de «botón gordo», les ceden un panel de control, unas plantillas, y atacan sin grandes conocimientos. «Tenemos una gran variedad de alimañas en el laberinto y diversas formas de peste», concluiría nuestro Sun Tzu.

La mayoría de nosotros sufriremos los ataques indiscriminados. Se lanzan miles de ellos y el criminal espera a que alguien pique. Tienen un sistema a la escucha que les indica quién se ha descargado el malware o introducido sus datos.

Pueden realizar una sextorsión indicando que han grabado a un usuario masturbándose (le muestran su contraseña, pero es solo para asustarle y ver si pica). «Si tiran un millón de correos y pica un 0,5 % ya han rentabilizado la acción», dice Lozano. «Es el arte de la pesca, no de la ciberguerra», se queja Sun Tzu.

El otro tipo de ataques son los dirigidos. Buscan pymes o compañías que consideran interesantes. Espían el organigrama de la empresa, vigilan las cuentas de LinkedIn de los empleados. El fraude del CEO, por ejemplo, consiste en hacerse pasar por el directivo a través de correos o llamadas de Zoom (el vishing es cuando usan llamadas telefónicas) mientras este está de viaje. En 2019, una empresa energética de Reino Unido perdió doscientos veinte mil euros porque imitaron la voz de su CEO.

Usan ataques homográficos: la url o dirección de correo será muy similar a la legítima, cambian una o dos letras. «Juegan al despiste», explica Jordi Serra, experto de la Universitat Oberta de Catalunya (UOC). O a través de WhatsApp (se llama smishing, suplantación por mensajería instantánea o SMS). Pueden atacar desde un proveedor que ha sido infectado previamente y que te envía una factura con malware.

Tenemos también el fraude de los recursos humanos: el ciberdelincuente vulnera las cuentas de correo y se hace pasar por alguien del departamento de personal, que pide que se dirijan las nóminas hacia otras cuentas bancarias. Otras veces utilizan lo que se denomina como fileless malware (no requiere un archivo malicioso, te enviarán un usb).

«Las artes del enemigo son múltiples», concluye el CISO, Sun Tzu. «El que ataca solo necesita un agujero para entrar, el que defiende tiene que taparlos todos», asegura Serra.

Nos queda el «conócete a ti mismo», porque «la mayor parte de los incidentes suelen provenir por errores de los usuarios», asegura Lozano. Muy pocas veces «son amenazas avanzadas, si tienen éxito es más por culpa de los defensores que de los atacantes», concluye Albors.

Hay que ser «ciberresiliente». Debes conocer cuáles son los activos críticos de tu empresa, aplicar medidas preventivas y reactivas, hacer una auditoría de seguridad, conocer las vulnerabilidades y encriptar la información, cifrarla tú antes que ellos. Determinar cómo están de actualizados los equipos (son coladeros). Establecer dobles factores de autenticación. «Copias de seguridad de todo y bien hechas», añade Serra. Tener una cultura en la que los empleados aprendan a identificar peligros… En definitiva, debes conocer al enemigo, pero sobre todo a ti mismo: este es el arte de adelantarse al ataque. Puro Sun Tzu.

Continúa leyendo