Analizando los últimos informes sobre la evolución de diversos tipos de ciberataques a nuestras empresas y Administraciones Públicas, no puede evitarse la pregunta; ¿Cuántas veces puede el ser humano tropezar con la misma piedra? El viejo dicho menciona que dos veces pero a la luz de la información disponible parece que cuando hablamos de ciberseguridad ese número se queda considerablemente corto.
En uno de nuestros informes se mencionan diversos datos preocupantes:
- En múltiples casos los atacantes logran obtener control remoto de sistemas vulnerables mediante el uso de tácticas que datan de 2008. Se aprovecharían así de servidores web mal configurados y accederían a todo tipo de datos como el código de la aplicación o los archivos confidenciales del sistema operativo.
- Otra táctica diseñada para lograr el objetivo del control remoto data de 2003 e implica tratar de inyectar código malicioso especialmente diseñado en un proceso legítimo que permitiría al atacante leer datos confidenciales, modificar operaciones y enviar instrucciones al sistema operativo.
Estaríamos hablando, en ambos casos, de prácticas que son más que conocidas y frente a las que existen múltiples formas de protegerse. De hecho, para aprovecharse de ellas sería necesario encontrar víctimas que tuvieran diversos elementos de su entorno totalmente desactualizados y desprotegidos… Pero parece que esto sigue sucediendo con más frecuencia de la que creíamos posible.
Parece increíble que a día de hoy se siga considerando por parte de muchas empresas y Administraciones Públicas que la adecuada securización de su entorno es algo así como un lujo innecesario y prescindible. Prácticamente no existe entidad actualmente que no dependa en mayor o menor medida de algún tipo de transacción e intercambio de información a través de medios electrónicos.
Esto que significa que un ataque puede paralizar por completo su actividad. Y si además se lo ponemos tan fácil de forma que pueden utilizar herramientas de ataque que deberían haber quedado obsoletas hace más de 15 años, obtenemos el resultado que estamos viendo cada día con mayor frecuencia: Empresas paralizadas por ataques de ransomware que obligan a detener su actividad por completo o robos de datos que exponen información confidencial de usuarios, clientes y ciudadanos y les convierte a su vez en víctimas de otros posibles delitos como usurpación de identidad, extorsión, fraude, etc.
Lo cierto es que los vectores de ataque más utilizados y de mayor éxito para los ciberdelincuentes son hoy día los mismos que hace 10 o 15 años; el correo electrónico y la navegación web (tanto desde el punto de vista de los empleados que navegan por internet como del propio servidor web corporativo). En muchos casos, y como mencionábamos anteriormente, nos encontramos con que estos servicios cuentan con medidas de seguridad obsoletas o inadecuadas para hacer frente a ataques que, si bien en ocasiones son muy sofisticados e incorporan importantes componentes de ingeniería social capaces de sobrepasar las medidas de seguridad tradicionales, muchas veces simplemente se basan en viejas técnicas que siguen funcionando simplemente por una mezcla de dejadez, desidia y falta de inversión en medidas de ciberseguridad.
Por todo ello es preciso considerar la implementación de medidas de protección en estos entornos que tengan en cuenta tanto los nuevos tipos de ataques (que existen, la industria del cibercrimen siempre está innovando) como aquellos más tradicionales que aún siguen siendo efectivos hoy.
Otro elemento que hemos de tener en cuenta a la hora de protegerlos frente a los ciberataques es la adecuada formación y concienciación en ciberseguridad de los empleados. Probablemente una de las razones más claras por las que el correo y la navegación siguen siendo los principales vectores de ataque es precisamente porque la seguridad de ambos servicios depende en gran medida de la utilización que de ellos hagan los empleados.
En la mayoría de nuestras instituciones, cuando un trabajador se incorpora tiene acceso a una gran variedad de recursos corporativos a través de un ordenador/móvil que nadie le ha enseñado a manejar desde una perspectiva de ciberseguridad. Si queremos evitar que nuestros empleados sigan siendo el eslabón más débil de la seguridad IT, hemos de asegurarnos de que junto con las inversiones adecuadas en tecnologías de protección realizamos también un plan de formación y concienciación para nuestros empleados que les permita realizar una utilización segura de los recursos corporativos que se ponen a su disposición.
Por supuesto, que prestemos especial atención al correo y a la navegación como principales puntos de entrada para los ciberdelincuentes y a la formación en ciberseguridad de los empleados para evitar que se conviertan en nuestro punto débil no significa que debamos olvidar otras posibles formas de acceso, simplemente que a la hora de reconsiderar nuestras inversiones deberemos dirigirlas de forma más significativa a aquellos puntos que son más vulnerables y por los que se ejecutan la inmensa mayoría de los ataques.
*** Miguel López es director general de Barracuda Networks.