Desde hace año y medio se ha documentado ampliamente cualquier acontecimiento en torno a la pandemia. Los retos más inmediatos que plantea dicha situación ya no cogen de nuevas a los profesionales de ciberseguridad, pero todavía no se han visto sus consecuencias a largo plazo.
Mientras que estos equipos de ciberseguridad han centrado sus esfuerzos en proteger a usuarios en entornos remotos ante cientos, si no miles, de nuevos puntos de ataque, los ciberdelincuentes no han desaprovechado la oportunidad de dirigirse, más que nunca, a las personas.
En estos momentos muchos trabajadores están regresando a las oficinas, mientras que otros permanecerán a distancia o siguiendo un modelo híbrido a largo plazo. Y está no será la única tendencia que perdurará tras la pandemia. Los ciberdelincuentes, aún más envalentonados por su éxito en 2020, seguirán centrando sus ataques sobre usuarios individuales, recurriendo a tácticas cada vez más sofisticadas mediante las cuales extraer datos o credenciales y acceder a redes y sistemas de organizaciones.
Defender a las personas ante este nuevo panorama de amenazas requiere un profundo conocimiento en tres áreas clave: vulnerabilidad, ataques y privilegios. En otras palabras: ¿dónde están los usuarios más expuestos, a qué amenazas se enfrentan y cuál es el impacto potencial de un ataque?
¿Cómo atacan los ciberdelincuentes a los usuarios?
Dado que el 99% de los ciberataques requiere interacción humana para tener éxito, no hay duda de que la mayor vulnerabilidad de una organización es su propia gente. Para proteger a los empleados y, a su vez, proteger a la organización, es necesario comprender las amenazas a las que se enfrentan. Solo entonces se podrá formar a las personas para mantener a raya estos ataques.
Evaluar los riesgos pasa también por hacerse la siguiente pregunta: si mis usuarios son objeto de un ciberataque, ¿qué probabilidades hay de que se conviertan en víctimas?
La respuesta a ello, por desgracia, es que es más probable de lo que cabría esperar. El correo electrónico sigue siendo el principal punto de entrada para los ciberataques a través de todo tipo de señuelos de phishing, contenidos maliciosos y tácticas de ingeniería social.
Sin embargo, pese a la importancia de estas amenazas, muchos usuarios siguen sin estar preparados para defenderse de ellas. En simulaciones de ataque por correo electrónico, por ejemplo, uno de cada cinco acaba haciendo clic en archivos adjuntos supuestamente maliciosos.
Para empeorar las cosas, existen otros vectores de ataque con tasas de éxito todavía más altas como la esteganografía, la más exitosa de todas, que consiste en ocultar el payload malicioso en fotos o audios. El año pasado afectó a uno de cada tres destinatarios.
Enfrentarse al actual panorama de amenazas con viejos trucos, pero dándoles un nuevo giro
Puede que el ciberdelincuente de hoy en día sea más sofisticado, selectivo y tenaz en sus ataques, pero lo cierto es que sus métodos son poco novedosos.
El ransomware se convirtió en un importante azote para las empresas de todo el mundo el año pasado, con un incremento del 300% en comparación con 2019. Y, una vez más, la bandeja de entrada fue el principal punto de acceso de dichos ataques. En un incidente de ransomware, el malware se entrega por correo electrónico en una primera etapa. Este payload inicial descarga luego otros archivos maliciosos cuando se activa mediante RDP o una VPN comprometida.
Otra amenaza conocida, el phishing de credenciales, también tuvo un gran impacto en 2020. Más de la mitad de todas las amenazas por correo electrónico fueron de este tipo, superando a todos los demás vectores de ataque combinados.
Por ello, no es de extrañar que los atacantes sigan centrando su atención en esta área. Un compromiso de credenciales exitoso puede ser la puerta de entrada para todo, desde fraudes online hasta robos de identidad o ciberespionaje.
El robo de credenciales también contribuye directamente a uno de los incidentes más costosos a los que se enfrentan los equipos de ciberseguridad: el fraude del CEO o BEC. Se calcula que el año pasado los ataques BEC costaron a las empresas unos 1.800 millones de dólares, causando casi la mitad de las pérdidas por ciberdelincuencia.
En cuanto a las novedades del panorama actual de las amenazas, el año pasado se utilizaron lógicamente numerosos señuelos relacionados con la Covid-19. A mediados de marzo de 2020, esta temática se repetía en cerca del 80% del total de amenazas.
En mitad de todo el miedo e incertidumbre que se extendía por todo el mundo al mismo ritmo que el coronavirus, los ciberdelincuentes empezaron a dirigirse a los usuarios hablando de vacunas, tratamientos y demás a cambio de clics en enlaces maliciosos o de conseguir credenciales a través de páginas web fraudulentas.
Ahora podemos empezar a mirar hacia un futuro más allá de la pandemia, pero durante un tiempo seguirán existiendo los mismos métodos de ataque. Los casos más recientes tienen que ver con las confirmaciones de citas para vacunarse y, a medida que siga habiendo nuevas noticias sobre la Covid-19, aparecerán otras tácticas similares.
Analizando los privilegios de los usuarios: ¿qué está en riesgo?
Para evaluar el nivel de riesgo al que se enfrenta una organización, hay que saber con precisión a qué podrían acceder los ciberdelincuentes en caso de comprometer la seguridad de algún usuario.
El impacto potencial de estos ataques dependerá en gran medida del nivel de privilegios del usuario o los usuarios atacados. Comprometer la seguridad de un usuario con mayores privilegios dará al atacante acceso a información mucho más sensible y valiosa.
Las amenazas internas, ya sean maliciosas o negligentes, también suponen un riesgo importante entre usuarios con privilegios. Solo con que se filtre un conjunto de credenciales o alguien haga clic de forma imprudente se puede exponer a la empresa a graves consecuencias financieras y de reputación. Y los entornos de trabajo en remoto e híbridos hacen que esta amenaza en particular sea mucho más difícil de mitigar.
Para supervisar, gestionar y proteger eficazmente a usuarios con privilegios, primero se deben identificar a los VAPs o "personas muy atacadas" de la organización. Al conocer quiénes son los empleados más amenazados y el nivel de acceso que tienen a datos y redes, se podrán establecer los controles adecuados.
Para la mayoría de las organizaciones, esto significa supervisar las conexiones USB, la exfiltración de datos, las descargas de archivos y el copiado de carpetas en horarios irregulares. Cuanto más se conozca sobre los usuarios de mayor riesgo y su actividad, más segura será la organización.
Poner a las personas en el centro de la ciberdefensa
Los ciberataques centrados en las personas requieren una ciberdefensa también centrada en las personas. Esto empieza por tener la mayor visibilidad posible sobre quién está siendo atacado, cómo está siendo atacado y qué puede estar poniendo en riesgo.
Junto con la protección del correo electrónico y las defensas perimetrales, las organizaciones deben poner en marcha un programa de formación sobre seguridad completo, continuo y adaptable.
Empleados de todos los niveles, especialmente los que tienen acceso privilegiado, deben saber cómo detectar, disuadir y reportar actividades o comunicaciones sospechosas. Asimismo, deben comprender su papel en la seguridad de la organización y las consecuencias de no llevarlo a cabo.
El resultado, con el tiempo, es la creación de una cultura donde la ciberseguridad no es solo una preocupación de TI, sino que es responsabilidad de todos. Independientemente de las tácticas y métodos de ataque, los empleados son el mayor riesgo al que se enfrenta una organización. Están en primera línea de la ciberdefensa. Y es vital equiparlos para la magnitud de esa tarea.