Dicen que las prisas no son buenas consejeras, pero hay ocasiones donde la urgencia de una situación requiere rapidez de movimientos y agilidad de mente. Sin embargo, en lo que concierne a la ciberseguridad, esto está lejos de cumplirse. Un par de datos al respecto: las empresas tardan 21 días de media en detectar un ataque cibernético, 12 horas en contenerlo, seis en investigarlo y otras 12 en remediarlo. Esta cifra, créditos a Enterprise Strategy Group, no parece la más halagüeña de la historia ni un reflejo muy claro de inmediatez. ¿El resultado de esta disonancia? Un coste medio de 9,4 millones de dólares por cada ciberataque, según esa misma fuente. Otro estudio de IBM reduce a 4,24 millones y otro de Forrester a 2,4 millones este impacto.
En cualquier caso, los números reflejan un aumento de las campañas de ciberdelincuentes en los últimos años, tanto en volumen como en complejidad. Dígitos que no son vacíos ni fríos: esta misma semana, el gigante energético Endesa y el PSOE se han visto afectados por sendos ataques que han vulnerado sus sistemas informáticos y sacado a la luz información personal de sus clientes y afiliados, respectivamente. Tampoco son pocos los ejemplos de compañías que han pasado por esta misma situación en el sector industrial, sanitario o bancario.
“Hace quince años no había empresas criminales dedicadas al mundo cibernético, y las que existían no tenían financiación ni capacidad suficiente para escalar. Ahora, como resultado de todos estos años viendo cómo se podía sacar dinero de la extorsión, ransomware y comprometer mails, sí tenemos estas grandes corporaciones dedicadas al mal. Y se han ido sofisticando, uniéndose a otros temas como el lavado de dinero y otros delitos, creando además una capa intermedia que se lleva comisión”, introduce Derek Manky, vicepresidente de Global Threat Intelligence de Fortinet.
Nos encontramos con Manky en Mónaco, donde alrededor de 400 profesionales de la ciberseguridad se han reunido en Convergence 2023, una cita en la que analizar la panorámica de la ciberseguridad a escala global. Allí nos encontramos también con su compañero John Madisson, quien coincide en este diagnóstico inicial: “Los ataques está creciendo en sofisticación y frecuencia porque la innovación digital está creando una gran oportunidad, pero también más riesgo”. Un riesgo que se incrementa con la falta de presupuesto de las empresas y la falta de talento, en su opinión.
A Manky le gusta hablar de la evolución de los “viejos favoritos” de los ciberdelincuentes. Y es que, si bien muchas campañas se han sofisticado en los últimos tiempos, la mayoría de los ataques más exitosos se deben a técnicas que se vienen usando desde hace mucho tiempo, aunque con los matices y la evolución natural que da la madurez de cualquier mercado (aunque sea uno ilegal).
Empecemos por los ataques persistentes avanzados (APT). Según las estimaciones de Fortinet, el número de grupos activos dedicados a estos menesteres en la primera mitad de 2023 creció un 30%. “Estamos viendo cómo colaboran entre ellos, comparten infraestructuras de botnets, lanzan ataques de denegación de servicio en conjunto e incluso ofrecen los equipos que tienen comprometidos como una infraestructura como servicio. Esto les permite volverse más y más sofisticados”, indica el analista. "En 2024 veremos más grupos de APT despertando, expandiéndose y diversificando sus objetivos en las cadenas de valor de la industria, utilities, energía o sanidad".
'Ransomware': del chantaje a la disrupción
La elección de estos sectores de actividad no es casual y guarda mucha relación con la evolución que está viviendo, en su particular caso, el ransomware. Este tipo de ataques consisten tradicionalmente en comprometer los sistemas de una organización, secuestrar su información y exigir un rescate a cambio de liberar sus datos. Empero, la adopción creciente de medidas de prevención y remediación ha hecho que el número de campañas exitosas de este tipo haya caído de forma notable el último curso… pero las demandas de los delincuentes se han disparado como natural mecanismo de compensación.
“Estas campañas de ransomware se están volviendo más selectivas. Además, como cada vez más empresas tienen backups y herramientas de remediación, los atacantes se están moviendo de la encriptación y el secuestro a la extorsión con hacer los datos públicos o la denegación de servicio”, reconoce Derek Manky. “No van detrás de los datos, van detrás de los servicios. Y eso significa que su manual de juego es cada vez más agresivo y destructivo. ‘Go big or go home’ es nuevo lema, dirigirse a dianas que, en caso de ser disrumpidos, tengan un gran impacto social”.
No sólo eso: los ciberdelincuentes se han dado cuenta (al fin) de que muchas compañías que habían sido comprometidas con un ataque de ransomware … podrían ser comprometidas una vez más. Y otra más. Al mismo tiempo. “La ventana se ha reducido a apenas 24 horas para que múltiples ciberdelincuentes tengan acceso a los sistemas de una compañía con diferentes variantes de ransomware. El FBI incluso emitió hace un par de meses una alerta sobre el tema, porque la proliferación de claves robadas que se venden como una commodity en la dark web [al igual que las propias campañas maliciosas] y crecientes campañas de marketing que hacen que más potenciales compradores se introduzcan en este negocio”, afirma Manky. Lucrativo pero deleznable negocio.
La seguridad en los entornos operativos
Más allá del ransomware, los ataques de día cero y las vulnerabilidades conocidas del hardware y aplicaciones siguen estando a la orden del día. “Ambos aspectos marcan récord este 2023, conforme también se va amplificando la superficie de ataque y se conectan más dispositivos no protegidos. Esto permitirá operacionalizar los exploits de día cero en kits que se vendan a la carta”, aporta a la conversación Derek Manky.
Se refiere de forma directa a la complejidad que surge de unir los mundos IT y OT, o lo que es lo mismo, las tecnologías digitales con las más cercanas a la producción. Aquí entra en escena Antoine D’Haussy, OT Security Practice Head para EMEA de Fortinet: “Esta convergencia no es nueva, ya viene desde los años 80 con las workstations de los ingenieros. En los 90 se introdujo el WiFi en las plantas. Ahora estamos viendo una aceleración por la introducción del internet de las cosas (IoT), el edge computing conectado con la nube o el auge de las redes 5G privadas”.
Detalla D’Haussy que la sinfonía de IT y OT “se puede ver amenazada si un solo dato se ve comprometido”. Teniendo en cuenta que los sistemas de control industrial y gran parte del hardware utilizado (servidores SCADA, PLCs…) no estaban diseñados para trabajar más allá de su red local de Ethernet, el desafío se antoja ingente. “Necesitamos tener una visión más profunda del panorama OT y talento que conozca ambos mundos, que no es demasiado abundante”, se lamenta.
En esa misma línea interviene Filippo Cassini, Global Technical Officer de Fortinet: “La superficie de ataque se está ampliando y no podemos simplemente poner más y más firewalls en todos los lugares. Por eso hemos evolucionado hacia una estrategia de zero trust [confianza cero, en la que se reducen y vigilan los permisos atribuidos a cada usuario y los patrones habituales de su uso]”.
A vueltas con la inteligencia artificial
No podía faltar en la conversación, pública y en los mentideros del histórico Hotel Fairmont, en la curva más famosa del circuito de Monte-Carlo de Fórmula 1, el término de moda. La inteligencia artificial juega un doble papel en lo que concierne a la ciberseguridad, al más puro estilo del Dr. Jekyll y Mr. Hyde.
“El uso de la inteligencia artificial como un arma es posible, pero todavía no se está viendo porque los ciberdelincuentes ya tienen suficiente éxito con los ataques más triviales”, admite de vuelta Derek Manky. “Pero sí que hay casos de uso y desarrollos para utilizar la IA generativa para mejorar las campañas de ingeniería social, phishing y audio spoofing. También para introducir la automatización en muchas capas de actividad de los criminales”.
La otra cara de la moneda es el potencial uso que los defensores, el blue team si lo prefieren, pueden hacer de la inteligencia artificial. “Los ataques pueden hacer mucho daño en muy poco tiempo, por lo que la velocidad para detectar y responder es fundamental. La IA nos ayuda a reducir esa ventana”, indica el experto, antes de presumir que su compañía lleva usando machine learning desde el año 2010.