noviembre 25, 2020 ddshore

Ciberseguridad en Tiempos de Trabajo Remoto.

Si el cibercrímen fuera un país sería la treceava economía más grande del mundo. Se estima que el próximo año el cibercrímen genere más utilidades que la venta mundial de todas las drogas. El riesgo para quienes vivimos en México es aún mayor: después de China somos el país con más ataques de ransomware del mundo. El cibercrímen ahora golpea a empresas de todos tamaños. En México lo vemos en empresas de todos tamaños: gubernamentales, bancos multinacionales, instituciones financieras pequeñas, pymes, empresas de maquila y manufactura, microempresas, y muchas otras.

Con la llegada de COVID-19 muchas empresas han cambiado sus procesos para facilitar el trabajo en casa. Esto trae nuevos riesgos, necesidades, y cambios de procesos. Entre los riesgos más constantes que vemos, existen tres:

  1. Ingeniería Social. Uno de los mayores riesgos que tienen las empresas es la ingeniería social. La ingeniería social consiste en el uso de decepción y falsedades para obtener información de tu empresa o de tus clientes. Después utilizan esa información para su propio beneficio. Por ejemplo, pueden hablar a recepción fingiendo ser un cliente, o un directivo de otra ciudad. O hablar a un centro de contacto fingiendo ser el usuario del sistema y pedir restablecer la contraseña. El reciente ataque a twitter, el cual fue un ataque completamente de ingeniería social el cual consistió de llamadas a diferentes empleados para obtener acceso a las herramientas internas de soporte a clientes.
  2. Phishing. El Phishing es un tipo de ataque en donde se manda un correo apócrifo para intentar obtener información sensible (tarjetas de crédito, documentos, establecer confianza) fingiendo ser una persona conocida. Los ataques de phishing son altamente exitosos y se consideran uno de los riesgos más grandes que existen. Los ataques de phishing cada vez son más sofisticados: imitando el nombre de personas utilizando correos que entran desde correos similares. Actualmente con el trabajo en casa, ha incrementado mucho el uso de correos con temática de COVID-19 y dirigidos específicamente al trabajo en casa. Los ataques de phishing tienen mucho éxito. Facebook y Google fueron víctimas de un ataque de phishing en el cual pagaron facturas falsas de más de 100 millones de USD.
  3. Malware. El riesgo de tener malware en empresas que no están cuidando su ciberseguridad es muy alto. El malware consiste en aplicaciones maliciosas que se instalan en las máquinas y pueden contener ransomware, virus, publicidad, espionaje, entre varias otras cosas. Muchas veces el malware viene de la instalación de herramientas que se encuentran en internet. Los ataques más famosos que vemos con malware son los de ransomware, en donde los usuarios tienen algo de malware que comienza a cifrar todos los archivos. Esto lleva a que el usuario no tenga acceso a sus propios archivos. Después llega una petición de rescate (si pagas una cantidad determinada, vamos a darte la contraseña necesaria para que puedas acceder a tus archivos). Al pagar, lo más común es que se le regrese el acceso a sus archivos, ya que los hackers ven el ransomware como un negocio el cual vive de su reputación. Para que las empresas paguen, los hackers deben de mantener su credibilidad. De hecho, el pagar o no pagar el rescate es una decisión de negocios, no una decisión ética o legal. El ransomware lo vemos constantemente en México, y han habido casos muy sonados (varios en gobierno).

Existen muchos más ataques, pero en estos tiempos, esto es lo más común. Para prevenir este tipo de ataques, existen muchas clasificaciones de herramientas y muchos procesos. Lo más importante siempre es buscar mejorar continuamente la postura de ciberseguridad. Es imposible estar completamente inmune a un ataque, pero siempre hay un balance entre riesgos, tiempo, y presupuesto.

  • Diseño de Procesos.  Diseñar procesos para entender cuál es la manera en la que los usuarios se conectarán desde casa. Prepararlos y concientizarlos para detectar los riesgos. Entender cuál es el modelo de amenaza de la organización, cuáles son las joyas de la corona, y asegurar que se tengan respaldos de ellas, que estén protegidos, y que se pueda detectar un ataque antes de que suceda.
  • Utilización de VPNs.  Las VPNs permiten extender la conectividad de los usuarios a los recursos de la red. Permite que un usuario que está fuera del sitio. No deben exponerse nunca servidores empresariales de manera pública para poder acceder a ellos. Siempre existen maneras seguras para limitar estos. El tener un servidor accesible de manera pública permite que los atacantes no tengan que intentar acceder a tu red antes de generar un ataque, y reduce la oportunidad de ver un ataque antes de que suceda.
  • Pruebas de Penetración.  Las pruebas de penetración consiste en invitar a hackers a hacer pruebas de hackeo a la infraestructura para encontrar los problemas reales. Es posible que haya una infección de máquinas de usuarios durante el tiempo que están trabajando en casa. En el momento en el que regresen a la oficina, la infraestructura interna puede ser vulnerable a ataques de los usuarios que vuelvan a ingresar.
  • Antivirus y EDR.  Utilizar antivirus de próxima generación que utilice análisis dinámico para poder detectar ataques que no eran conocidos, y utilizar EDRs para ver ataques más complejos, entender movimiento de la red, poder hacer un buen análisis de los movimientos internos de la red. Por lo general, un atacante está entre 3 y 6 meses dentro de la red antes de lanzar un ataque. Un EDR permite hacer un análisis (de forma automatizada) del comportamiento general de los archivos y ejecutables.
  • Antiphishing Avanzado y concientización.  Utilización de inteligencia artificial para detectar ataques de phishing. Muchos usuarios no saben detectar phishing, y son presas fáciles. Es importante contar con sistemas de phishing que entiendan el buzón del usuario y sepan reconocer intentos de impersonación, y no solamente utilizar opciones de phishing genéricas. Además, es crucial generar concientización a los usuarios por medio de cursos, o correos que expliquen el riesgo de ataques de phishing.
  • Definir herramientas y mantenerlas actualizadas.  Existen muchas herramientas para reducir riesgos cibernéticos. Es importante estandarizar las herramientas en la empresa para que no todos estén utilizando cualquier herramienta. Y es importante actualizar las herramientas. Muchos de los ataques pueden entrar por problemas en versiones anteriores de las herramientas de ciberseguridad. Por otro lado, muchos de los problemas de malware que vemos entran por programas aparentemente inocentes (reproductores de video, convertidores de PDF, etc). Al no tener las herramientas necesarias, las empresas acaban con varios ataques.

Uno de los criterios más importantes al empezar a implementar políticas de ciberseguridad es entender que el tomar atajos y exigir que el equipo de TI o ciberseguridad rompa las reglas para beneficiar a un directivo puede llegar a vulnerar toda la empresa. El intentar circunvenir las reglas de ciberseguridad para beneficio de una persona, ha llevado en incontables ocasiones a ataques cibernéticos altamente costosos. Es importante también entender la importancia de estar mejorando la postura de ciberseguridad y entender que los ataques de ciberseguridad evolucionan constantemente, y que las empresas que no están buscando constantemente mantenerse actualizadas van a acabar sufriendo ataques. Si una empresa no está protegida y no ha sido atacada, es muy probable que tengan un atacante dentro.