Según el estudio global Riesgos de seguridad informática en las empresas (2020), sólo el 11% de las empresas latinoamericanas que sufrieron un incidente de seguridad por fuga de datos fue capaz de detectarlo al instante. El resto de las empresas tardaron pocas horas (16%), incluso hasta 24 horas (18%) o lo detectaron después de días (27%), semanas (15%) o meses (11%). Este escenario es preocupante y demuestra que los equipos de seguridad no cuentan con las condiciones mínimas para evitar una fuga.
“Las empresas perciben la seguridad como una obligación y no planifican su estrategia de defensa. Haciendo una comparación: cuando vamos al cine, compramos el combo de palomitas y refresco porque esa es la base de la experiencia. Similarmente, todas las empresas deberían tener una protección de endpoints y un firewall. Pero analizando los ataques que han resultado en fuga de datos recientemente, esto no es suficiente. Hoy en día, se necesitan tecnologías más avanzadas, como la detección y respuesta a incidentes en equipos (Endpoint Detection and Response, EDR), la detección y respuesta múltiple (XDR) y los informes de inteligencia para anticipar, aislar y prevenir cualquier ataque”, explicó Claudio Martinelli, Director General para América Latina y el Caribe en Kaspersky.
Para ilustrar cómo estas tecnologías pueden ayudar a las empresas, hemos utilizado como ejemplo la película La Gran Estafa, protagonizada por George Clooney, quien interpreta a Danny Ocean, un hombre que ejecuta un plan detallado para robar 150 millones de dólares de tres grandes casinos de Las Vegas.
“La desventaja de solo proteger a los endpoints y servidores es que el sistema de seguridad sólo alertará cuando se produzca un intento de ataque. Sin embargo, si se trata de un ataque complejo, como el que realiza el grupo de La Gran Estafa, esa protección no podrá bloquearlo ya que solo avisará al equipo informático, que tendrá que ir a contrarreloj para evitar daños”, explica Martinelli.
Una tecnología que proporciona más agilidad a la capacidad de respuesta es EDR. Su función principal es automatizar las acciones rutinarias que el personal de seguridad realiza día a día y proporcionar varias herramientas de investigación para obtener detalles del ataque. “Siguiendo con el ejemplo de la película y el robo de casinos de Las Vegas, esta tecnología podría activar un protocolo de aislamiento para los casinos tan pronto el sistema de cámaras indicara que los ladrones estaban en la bóveda. Sin embargo, como vimos en la película, el grupo de delincuentes pensó en todo y logró comprometer las cámaras de seguridad y escapar con el dinero”, señaló el directivo.
Para estar un paso adelante de los delincuentes, los equipos de seguridad deben aumentar su capacidad para detectar un posible ataque de forma casi inmediata y –como señala el estudio antes mencionado– sólo el 11% de las empresas latinoamericanas está en esta categoría. La clave es amplificar la detección con sensores en varios vectores de infección, como el correo electrónico, la red corporativa y otros.
“En la película, vimos que el grupo de ladrones necesitaba acceder a zonas restringidas de los casinos para preparar el ataque. Para lograrlo, pasaron horas en los pasillos del casino vigilando las acciones de los empleados y realizaron varios actos de sabotaje después de iniciar el ataque, todo ello antes de llegar a la caja fuerte”, detalla Martinelli. “Estos ‘movimientos’ también se generan en un ciberataque, y las tecnologías que componen el XDR son capaces de detectar estos ‘desplaces’ inusuales en la red y correlacionarlos hasta determinar que un ataque está en marcha, dando tiempo y herramientas al equipo de seguridad para mitigar el robo o, incluso, evitarlo por completo”.
Aunque la tecnología de detección y respuesta múltiple (XDR) puede parecer una solución ideal, todavía es posible darle al personal de seguridad una mayor capacidad de respuesta a través de los informes de inteligencia. En la película, el personaje Danny Ocean estaba encarcelado y ejecutó su plan dentro de las primeras 24 horas de su libertad condicional, lo cual indica que él ya había cometido estafas y que sus “métodos” eran “conocidos”.
En el contexto de la ciberseguridad, cada vez que se descubre un ataque, la empresa que hace el descubrimiento crea un informe detallado, el cual llamamos Inteligencia de Amenazas (Threat Intelligence), ya que revela los métodos utilizados por los atacantes, además de las características del asalto que permiten que una solución de endpoint pueda detectar y bloquear la amenaza en el futuro.
“Los informes de Inteligencia de amenazas ofrecen información sobre cómo el ataque descubierto trabaja, así como los vectores vulnerados y las tácticas empleadas para evadir detección. Al contar con estos conocimientos, los departamentos de protección de TI podrán resguardar la red corporativa y los endpoints adecuadamente antes de que se presente la amenaza, adelantándose a los cibercriminales. En el contexto de la película, el único problema que habría en caso de que Terry Benedict, el dueño de los casinos, hubiera contado con este tipo de informe es que no tendríamos esta entretenida cinta y no hubiéramos podido hacer esta comparación con la ciberseguridad”, concluyó Martinelli.