🎤#Entrevista | Ciberatacantes tomarán control de infraestructuras de respaldo: Cisco

739

Los ciberatacantes darán un paso más allá de lo que han hecho este 2021, pues en lugar de arremeter dispositivos, antes secuestrarán la infraestructura de respaldo de los negocios.

Así lo advirtió Yair Lelis, director de Ciberseguridad para Cisco México, quien platicó con DPL News sobre cómo cambiará la estrategia de los criminales cibernéticos, cuáles son los retos para las empresas y cómo se han comportado los atacantes tras la pandemia.

¿Cómo ha cambiado la pandemia la forma en que los ciberdelincuentes atacan?

La pandemia nos ha llevado a ser arrastrados por el trabajo híbrido, la superficie de ataque es más extensa porque nos conectamos desde cualquier dispositivo. Esos riesgos se han visto latentes, es el mayor incremento en cuanto a ataques exitosos en los últimos seis años. Este año, en promedio, el 86 por ciento de organizaciones encuestadas ha tenido al menos un ataque exitoso los últimos 12 meses.

En México, 90.6 por ciento de estos ataques han sido exitosos durante el último año, eso implica que algunas organizaciones han tenido ataques con phishing, ataques dirigidos a ejecutivos, ransomware, etcétera.

El mantener información con nosotros sin hábitos de ciber higiene hace que seamos el blanco perfecto

¿Cuál es la razón por la que los ataques han sido altamente efectivos en los últimos 12 meses?

El tema de la cultura de seguridad en el país sigue en desarrollo, tiene mucho que ver con nuestros hábitos. El hecho de que esté en progreso y proceso hace que tengamos una brecha importante. El mantener información con nosotros sin hábitos de ciber higiene hace que seamos el blanco perfecto.

A todos nos ha pasado, llega un correo atractivo y caes. Si alguien investiga un poco tu perfil y te puede enviar un correo atractivo para tu perfil, le das clic. Te traes un malware o ransomware, hasta que pagues con criptomonedas

Esto ha sido el caldo de cultivo para que estos ataques se multipliquen, en particular que México esté en el desarrollo de una cultura de protección lo hace más fácil.

¿Qué podemos esperar entonces para el próximo año?

La tendencia hacia el siguiente año es que hay algo que se llama Big Game Hunting, temas de ransomware; es esa monetización del ransomware con métodos más avanzados.

Hoy el ciberatacante no tiene que idearse nuevas formas para atacar, esos accesos iniciales ya se venden en la dark web, te venden por 4 mil dólares el acceso a una compañía. Los ciberdelincuentes ya no se tienen que preocupar por eso.

Lo que sigue es una estrategia bastante inteligente de los adversarios, en lugar de infectarte con un ransomware tus dispositivos de acceso; es que antes de llegar ahí van a inutilizar y tomar control, escalando privilegios de la red. Cuando tienes una serie de máquinas infectadas, la práctica común es ir al servidor de respaldo y reinstalar, pero estos atacantes antes de mandarles el ransomware, se apoderarán de esos servidores controladores de dominio, de esos respaldos. Los infectan, los bloquean, y la última parte es mostrar que hay un ransomware que los atacó.

¿Cómo lograrán tener éxito?

La industria tarda 120 días en promedio para darse cuenta que algo está mal, eso es mucho tiempo. Hay entonces una doble o triple extorsión: no sólo piden dinero, sino que además los amenazan de ponerlos en una lista con clientes que fueron vulnerados que no acceden a pagar. Se convierte entonces en riesgo de reputación y litigios.

Un ejemplo es lo que pasó con el Colonial Pipeline, en que el oleoducto paralizó a estos lugares de Estados Unidos porque no había forma de tener gasolina, tras un ataque de ransomware al cual sí accedieron a pagar.

Estás tratando con gente que hace cosas sucias. La garantía de que va a quedar todo en orden no lo vas a tener. El punto es cómo recupero mi negocio, cómo aplicar el plan de respuesta a incidentes, ver cómo lo van a comunicar al mundo exterior.

¿Qué riesgos corre una empresa al pagar por el rescate? 

Si puedes controlarlo está perfecto, pero si además se apoderan de datos personales y los divulgan, esas son palabras mayores. Te regresan la información o la mayor parte cuando ya pagas. Ahora las lecciones aprendidas es garantizar que erradicaste la amenaza, detectar cuál fue el modus operandi y el vector de ataque. Normalmente es phishing, pero a partir de ahí se debe analizar qué medidas debo empezar a implementar para que la amenaza ya no esté en la infraestructura y la siguiente vez voy a contener más fácil el impacto.

El vector de ataque más común es el correo electrónico, entonces de ahí es la importancia de asegurar la ciber higiene.

Se deben salvaguardar los datos, hacer la información ilegible ante una extracción; no todos deben tener acceso a los mismos recursos; empezar a segmentar mucho la red para que el ataque sea más complicado para los propios atacantes

¿Qué deben hacer las empresas para protegerse?

Es una estrategia compleja y grande, pero los negocios deben ser más conscientes y mostrar la exposición al riesgo en la que están. El retorno de la inversión es cuán rápido o efectivo es el riesgo al que estás expuesto. La mitigación no sólo es en términos tecnológicos, la primera línea de defensa tiene que estar asociada a protección web, y la última a la tecnología que utilizan los usuarios. De ahí se despliega una cantidad enorme de tecnología, asociada a procesos de negocio y gente capacitada.

Se deben salvaguardar los datos, tal vez cifrar la información, hacerla ilegible ante una extracción; la confianza cero, no todos deben tener acceso a los mismos recursos; empezar a segmentar mucho la red para que el ataque sea más complicado para los propios atacantes.

Al final de todo, debes tomar en cuenta que esto te va a pasar a ti algún día.

¿Las pymes también corren riesgo de ser atacadas?

Es mucho más fértil el terreno de las pymes, son una inmensa maquinaria que hace que la economía se mueva. Si los atacantes planean un ataque masivo que cifre datos o computadoras y den porciones pequeñas de criptomoneda, se hace un negocio más redituable. En términos de volumen, da para un buen negocio para los adversarios.

Hay que aprovechar las ventajas que da la Nube. Dado que estas empresas no van a tener un centro de ciberseguridad asociadas a ellas, tenemos que aprovechar esa facilidad que da la Nube para otorgar servicios de seguridad. Tienes que empezar a consumir esos servicios que ayudan a mitigar estos riesgos.