Los responsables de seguridad de empresas y organismos públicos están centrando sus esfuerzos en acciones equivocadas
Llevamos dos años viviendo una conmoción que está afectado a todos y cada uno de los aspectos económicos y sociales a nivel global. La tecnología, por su parte, ha acelerado su ritmo de innovación, ya de por sí vertiginoso, y la ciberdelincuencia fomentada por los estados está teniendo un impacto directo en las carteras de los ciudadanos.
Dan Woods, director global de Inteligencia en F5, cree que en este contexto está ganando fuerza una serie de mitos relacionados con la ciberseguridad, que hace que los responsables de seguridad de las empresas centren sus esfuerzos en acciones equivocadas. Entre estos mitos destacan los siguientes:
Mito 1: solo una pequeña cantidad de cuentas en redes sociales son falsas
Muchas empresas saben que tienen bots, pero la realidad es que las plataformas de redes sociales a menudo no saben y no quieren saber cuántos bots tienen realmente.
Un análisis de una red social que llevó a cabo F5 hace algunos años mostró que el 98% de sus inicios de sesión procedían de bots automatizados. Esta empresa se sentía muy orgullosa de su rápido crecimiento y emocionada por el futuro que le esperaba, pero la realidad mostró que solo una décima parte de sus usuarios eran personas reales.
Esta realidad ha tomado relevancia con el reciente anuncio de adquisición de Twitter. El valor de la empresa se basa en gran medida en su número de usuarios, y la exigencia de Elon Musk de conocer los datos reales sobre las cuentas falsas es una expectativa justa para cualquier inversor, anunciante, partner e, incluso, para los propios usuarios de la red. Por ello, se debe exigir a las empresas que validen sus usuarios humanos y que hagan lo necesario para gestionar y mitigar de forma eficaz el tráfico que proviene de bots.
El éxito de los bots maliciosos indica fallos de seguridad. La prevención frente a bots es fundamental para garantizar la integridad de la información que fluye a través de estos sites, pero también para tener datos precisos que ayuden a las organizaciones a tomar las decisiones de negocio apropiadas.
Mito 2: la prevención de bots es un proyecto de bricolaje interno
Es normal encontrarse con grandes empresas que cuentan con un personal técnico altamente cualificado y con importantes presupuestos dirigidos a la lucha contra los bots. Al analizar su situación tenemos la expectativa de encontrarnos con bots sofisticados, que han evolucionado para superar las defensas de la organización. Sin embargo, raramente es el caso.
Las empresas han estado luchando contra los bots bloqueando direcciones IP, zonas geográficas y sistemas autónomos, pero la única evolución que vemos en el tráfico de bots es que ahora los ataques provienen de cientos de miles, incluso millones, de direcciones IP, por lo que las defensas que se limitan a la capa de red solo serán capaces de controlarlos hasta cierto punto.
La clave está en las señales que llegan desde el lado del cliente. Sería necesario disponer de datos biométricos de comportamiento, así como controlar el navegador y el dispositivo desde el que se intenta el acceso. Todas esas señales en conjunto pueden ayudar a identificar tanto a bots como a humanos malintencionados.
Muchas organizaciones piensan que la solución es contratar a más personal de IT, pero la realidad es que no hay personas suficientes que puedan solucionar un problema tan grande. La única forma de luchar de una forma efectiva contra la automatización es con más automatización.
Mito 3: debemos focalizarnos en futuras amenazas desconocidas
Tendemos a centrarnos en la constante innovación de los ciberdelincuentes, que consiguen situarse siempre un paso por delante de nosotros. Sin embargo, en la mayoría de los casos, los ataques siguen siendo los mismos que en el pasado, solo que con pequeños retoques.
La mayoría de los bots de hoy muestran el mismo nivel de sofisticación que hace cinco años. El relleno de credenciales aún funciona, a pesar de la autenticación de dos factores y/o los CAPTCHA. Los ciberdelincuentes no invertirán en nuevos vectores de ataque mientras sigan teniendo éxito. Todo lo que necesitan hacer es idear una forma de esquivar las nuevas defensas.
Las empresas deben tener en consideración las amenazas emergentes y tratar de prepararse para ellas, pero también es cierto que en estos momentos seguimos mitigando las mismas amenazas del año pasado.
Mito 4: gestionar múltiples nubes es un reto complicado que requiere un talento inalcanzable
El entorno multi-cloud es una realidad en la que muchas empresas, si no la mayoría, viven hoy en día. Ya sea por una adquisición, integración con un partner o simplemente por alcanzar los beneficios que promete, el concepto multi-cloud ha llegado para quedarse.
Sin embargo, cuando se le pregunta a una empresa si opera en múltiples nubes, la respuesta más habitual es: «Sí, por desgracia».
No hay razón para que gestionar y asegurar los activos IT en múltiples nubes deba ser una tarea ardua. Los proveedores cloud han incorporado la interoperabilidad en sus estrategias, y hay muchos otros cuyas soluciones están diseñadas para eliminar la carga de la integración, abstraer su funcionalidad a través de las distintas nubes y entregarla a través de una interfaz simple y unificada.
Mito 5: Asegurar la arquitectura y los dispositivos de la empresa es suficiente
Los equipos de seguridad suelen centrarse en la infraestructura de la empresa, sus servidores, sus ordenadores, sus escritorios, todo ello dentro de las instalaciones de la organización. En lo que en gran medida no se centran es en las redes domésticas que usan todos los empleados.
Para un ciberdelincuente, seguramente resulta más sencillo y más rentable dirigirse a un contable que trabaja desde casa para acceder a información estratégica que dirigirse al CEO de la organización. Si ahora el teletrabajo es más habitual que nunca, las redes domésticas son una puerta emergente para los malos actores.
Mito 6: puedes confiar en tus empleados
Las amenazas que vienen desde dentro de la organización pueden convertirse en un gran peligro. Confiar en quienes nos rodean es parte de la naturaleza humana, pero al contratar a 50 o cien nuevos empleados, el riesgo de introducir una o dos manzanas podridas en el barril es una posibilidad muy real.
Los empleados descontentos no solo dejan malas críticas sobre la empresa en Internet. También pueden guardar archivos confidenciales en un USB y salir por la puerta. Incluso existe una creciente preocupación sobre la posibilidad de que puedan introducir software malicioso en el sistema corporativo.
Es posible que detrás de muchos ataques de ransomware se encuentren empleados de la compañía atacada. Un administrador de IT pude fácilmente simular un ataque de ransomware creando una personalidad falsa en la Dark Web a la que él mismo ha dado acceso para instalar malware, emitir una demanda de rescate y recomendar a la empresa pagar el rescate. Puede pasar o no, pero la posibilidad está ahí.
Mito 7: Las amenazas más importantes vienen de estados nación y apuntan a las infraestructuras
Cuando el oleoducto Colonial fue atacado el año pasado, muchos ciudadanos de la costa Este de Estados Unidos tuvieron problemas para llenar los depósitos de sus coches. Este ataque tuvo repercusión a nivel internacional.
Sin embargo, poco se habla de los millones de ciudadanos que sufren cada año estafas online. Esta realidad puede tener repercusiones devastadoras para las personas y sus familias. Es algo mucho más grave que tener que esperar unas horas para llenar el depósito.
Los ataques a la infraestructura son importantes y muy reales, pero, sin duda, el fraude cibernético generalizado que sufre la población debería recibir mucha más atención de la que recibe.