La propuesta de psicólogos y criminólogos de perfilar a los atacantes como parte de una estrategia a largo plazo en defensa propia es sensata. Esa es la buena noticia. La mala es que también constituye un reconocimiento de que estamos delante de un fenómeno de largo aliento que no va a desaparecer de la noche a la mañana. No es una “guerra” que se pueda dar por terminada en pocas semanas.

Debemos estar conscientes de esto, por lo cual es importante recomendar a las empresas redefinir sus estrategias de seguridad para hacer frente a estos nuevos principios de ataque basados en la colaboración y la especialización. Lo primero que hay que entender es que la figura del hacker encapuchado, actuando en solitario, ha quedado atrás.

Estas bandas acumulan importantes recursos financieros derivados de las ganancias de los ataques o reunidos como pago de los países que patrocinan o encargan sus actividades. Así que olvide la figura del hackers encapuchado o enmascarado tipo “V de Venganza” y actualice sus películas de hacer buenos y malos.

Más allá de la ficción, aquí tienen algunas cosas que he aprendido de los cibercriminales al especializarme en esta rama de la seguridad.

1. La mayoría de los atacantes son oportunistas:

• Las empresas deben intentar no ser un blanco fácil, para que estos actores se dirijan hacia objetivos más accesibles.

• La gran mayoría no va por una organización, sino por su dinero. Por eso, una buena higiene de seguridad es clave.

• No tiene sentido gastar una fortuna en costosos firewalls y VPNs si los empleados dejan abiertos los documentos de Google y los buckets de AWS en la nube.

• Tampoco si no se tiene visibilidad y control de:

o Qué es lo que necesita protección,

o Quién lo usa,

o Cómo,

o Y dónde se encuentra esta información.

2. Los cibercriminales están bien financiados. Los ciberdelincuentes tienen diferentes fuentes de ingresos, por lo que entender que los ciberataques son un gran negocio llevará a los responsables de seguridad a defender su presupuesto de seguridad, indicando a su organización el costo de escatimar en esta área.

• Tampoco tiene por qué ser un ejercicio de mendicidad constante: gastar dinero en seguridad puede reportar ganancias significativas en otros centros de costos.

3.- Los ciberdelincuentes innovan. Los actores maliciosos modifican su enfoque y su modelo de negocio permanentemente, por lo que las empresas no pueden permanecer estáticas en materia de defensa:

• Deben mantenerse al día en cuanto a metodología de ataques.

• Tratar de anticiparse.

• Identificar la oportunidad antes de que lo hagan los atacantes.

• Para ello, es importante sustituir los anticuados dispositivos locales por modernos servicios de seguridad en la nube que evolucionen constantemente las técnicas de detección y mitigación de ataques, utilizando tecnologías modernas como la IA impulsada por aprendizaje automático.

4.- Los cibercriminales utilizan la infraestructura de la nube para sus ataques. La nube es intrínsecamente ágil, por lo que los atacantes pueden:

• Poner en marcha su infraestructura para el ataque de forma rápida y económica.

• Desmantelarla si es preciso.

• Y volver a implementarla en un tiempo récord.

• Asimismo, el hecho de utilizar los mismos servicios en la nube que las compañías a las que se dirigen, les permite camuflarse ante tecnologías de seguridad más antiguas.

• Las organizaciones deben adoptar la seguridad en la nube, tanto por su escalabilidad y su ventaja de costos como por su seguridad, la cual estará mucho mejor posicionada para detectar un ataque.

• La idea es aplicar un enfoque de confianza cero no solo en lo que respecta a la red, sino también en lo que tiene que ver con la seguridad en la nube y la protección centrada en los datos.

5.- Los ciberdelincuentes colaboran entre sí y se convierten en especialistas. La colaboración en busca de una mayor organización y especialización se ha demostrado ventajosa para los ciberdelincuentes.

• Por ello, las empresas deben aplicar el mismo principio e iniciar:

• Una colaboración a nivel externo

• Con los equipos de seguridad de la competencia u otras entidades del sector público y privado

• Para compartir información y experiencias

• A escala interna, debe integrar las distintas herramientas de seguridad para obtener una visión holística que permita detectar ataques multi-vector y compartir la información relevante, como los indicadores de compromiso en tiempo real.

• La colaboración es clave para definir de una manera más precisa tanto la postura como la estrategia de seguridad de las empresas, y potenciar una cultura evolutiva alrededor de la ciberseguridad.

Evite ser víctima

@adogel

t.me/seguridad integral

Adolfo Gelder

adogel@gmail.com