Por qué la mejor ciberdefensa empresarial es una estrategia proactiva
Los símiles futbolísticos son usados con frecuencia en todos los ámbitos, y el sector de la ciberseguridad puede ser uno de ellos, como muestra el siguiente artículo.
Eso sí, no conviene confundir en este caso ataque con ciberataque antes de decir aquello de que la mejor defensa es el mejor ataque.
Replegarse para adoptar una posición defensiva en fútbol puede tener inconvenientes. Lo mismo ocurre en entornos empresariales cuando se trata de ciberseguridad: es importante escoger una estrategia proactiva que permita ir un paso por delante del adversario o, lo que es lo mismo, los ciberdelincuentes.
Los equipos de fútbol deben planificar sus partidos dependiendo del rival y del juego. Lo mismo ocurre con las empresas, que viven en un contexto de ciberataques cada vez más complejos. Otra similitud entre este deporte y la ciberseguridad empresarial es la forma en la que cada equipo y compañía deciden “jugar”. Desafortunadamente, la mayoría sigue prefiriendo replegarse, mientras que los equipos que destacan por neutralizar los ataques lo antes posible lo hacen centrando sus esfuerzos en lo más importante: marcar un gol o, lo que es lo mismo, proteger su negocio.
De acuerdo con datos de Kaspersky, en 2023 se produjeron 193.662 ataques de ransomware, de los cuales, en España, 4.191 resultaron exitosos, lo que representa un aumento significativo del 128% respecto al año anterior. Este incremento es parte de una tendencia global donde los pagos por rescates de ransomware alcanzaron cifras récord, superando los 1.100 millones de dólares en 2023. Así lo recoge el Boletín de Seguridad de Kaspersky 20231.
Ante estos datos, sería lógico que las empresas adopten una postura defensiva. Sin embargo, aunque pueda parecer una estrategia ideal, esa decisión pueda dejar vulnerables tanto al equipo como a la empresa y no brinda el tiempo necesario para reaccionar ante una amenaza. “Hay que cambiar la perspectiva de que encerrarse atrás es la mejor estrategia, pues si bien se cree erróneamente que así el equipo está a salvo, los rivales tendrán el tiempo suficiente para evaluar los puntos débiles y sólo necesitará un fallo en esa estrategia para conseguir la victoria", afirma Marc Rivero, Lead Security Researcher de Kaspersky.
Y es que, al igual que los jugadores en una final de fútbol, los ciberdelincuentes están especializados, investigan al “oponente” mucho antes de ir al campo y saben cuáles son los puntos más débiles que deben explotar. Su objetivo es agotar los eslabones más débiles y garantizar así que su plan de ataque tenga éxito. "Sin embargo, los equipos que marcan la salida del balón de su rival de forma organizada, con una visión 360, acaban anticipando y neutralizando los ataques y el portero a veces se pasa todo el partido como espectador”, explica el experto.
Pero ¿cómo aplica este enfoque a la ciberseguridad empresarial? La encuesta global de Kaspersky sobre Riesgos de Seguridad Informática en las Empresas muestra que un tercio de las organizaciones que optó por una defensa proactiva logró identificar un ciberataque de manera inmediata (10%) o en cuestión de horas (22%). Sin embargo, la mayoría de las empresas que utilizo esta táctica reveló haber tardado 24 horas (18%) y hasta días, semanas o meses (48%) en darse cuenta que habían sido atacadas.
Para lograr un nivel de excelencia en ciberseguridad, las empresas deben contar con un equipo preparado que trabaje de forma organizada y proactiva. A fin de entender mejor la importancia de cada uno, Rivero vuelve a recurrir a los esquemas estratégicos del fútbol. "La primera línea de defensa de cualquier empresa será el famoso antivirus y el firewall -y aquí ya incluye la protección en entornos de nube y el EDR-. Todos son básicamente reactivos, ya que solo se activan cuando los ordenadores o servidores son atacados, y es solo en ese escenario donde se sabrá si funcionan bien o no".
Por otro lado, las tecnologías XDR avanzadas y los servicios SOC gestionados ofrecen varias posibilidades para neutralizar el ataque en las primeras fases, pero sus funciones también son limitadas. "Aunque se trata de tecnologías más avanzadas de ciberseguridad, sólo reaccionarán correctamente contra los ataques conocidos. Si el adversario utiliza una técnica que no ha sido evaluada previamente, no cumplirán su objetivo", explica el experto.
Para poder neutralizar todo tipo de amenazas, el equipo necesita recibir toda la información en tiempo real sobre el panorama de riesgos para poder definir una estrategia apropiada. En el mundo real, las empresas se limitan a su red, pero pueden obtener una visión más amplia a través de servicios de inteligencia, como feeds de amenazas, con la información básica para reconocer nuevos programas maliciosos o informes técnicos que ayudan en la investigación de incidentes específicos. "Una práctica común de las empresas que utilizan estos servicios de inteligencia es contratar tres o cuatro plataformas distintas para recopilar la mayor cantidad de información, lo que les permite estar preparados y contrarrestar las amenazas. Esta información complementa las herramientas de protección existentes, potenciando el bloqueo de cualquier ataque a la primera alerta", destaca Marc Rivero.
Además, explica cómo los integrantes de un equipo de ciberseguridad- las tecnologías y la información- fortalecen su estrategia: "El firewall permite la integración con las fuentes de amenazas, facilitando el bloqueo de un ataque en la periferia de la red. Lo mismo ocurre con los antivirus tradicionales y los EDR, los cuales optimizan su desempeño al ser guiados por información de inteligencia de amenazas reciente. Es precisamente la coordinación entre la inteligencia de amenazas y las tecnologías de seguridad lo que conlleva a que las empresas, desde la pequeña hasta la grande, estén mejor protegidas”.
La IA: ¿aliada o enemiga?
Precisamente, la Inteligencia Artificial se ha convertido en un gran aliado para mantener a las empresas protegidas, aunque también pueden conllevar riesgos. Según señalan los expertos de Kaspersky en su informe sobre crimeware y las predicciones de 20242, las ciberamenazas en las instituciones y entidades financieras crecerán impulsadas por la Inteligencia Artificial (IA), imitando canales de comunicación legítimos, así como la automatización de procesos, anticipando un aumento de los ciberataques, la explotación de sistemas de pago directo, el resurgimiento de los troyanos bancarios brasileños y un incremento de los paquetes de código abierto con backdoors. En 2023, acertaron con todas las predicciones publicadas en su informe anual.
La IA se ha integrado en el día a día de las personas, y se espera que, a nivel mundial, mueva aúne de 969 millones de dólares de cara a 2025. Este avance tecnológico también se aplica en el futbol profesional, trasformando significativamente la revisión de jugadas en los partidos de fútbol, reemplazando el sistema de VAR, que hacía esperar al espectador hasta cinco o siete minutos para tener una confirmación de fuera de juego, falta o penalti, por uno semiautomático que resuelve incidencias en segundos, lo que ha incrementado la confianza en la tecnología y acelerado la continuidad del juego.
Esta misma tecnología se aplica en ciberseguridad para el análisis de comportamiento, identificando y bloqueando actividades fraudulentas en tiempo real mediante la comparación de acciones ejecutadas con listas de acciones sospechosas. Además, la IA facilita la personalización en la monitorización y análisis de datos, como en los mapas de calor en fútbol y la configuración de permisos de software en ambientes corporativos, mejorando la eficiencia y la seguridad frente a los ciberataques. Asimismo, se utiliza para generar automáticamente informes detallados sobre el desempeño de los deportistas, proporcionando ventajas tácticas significativas durante las competiciones.