En los últimos 12 meses estuvieron plagados de incidentes geopolíticos, amenazas mundiales de malware y grandes brechas de datos. Desde las filtraciones que realizó Vault 7 y Shadow Brokers de información de la CIA y NSA, respectivamente, a principios del año, hasta las campañas de ‘ransomware’ WannaCry y NotPetya, así como las sorprendentes revelaciones que hiciera Uber el mes pasado, los CISOs del Reino Unido tienen mucho qué reflexionar. Pero ahora que el año está a punto de concluir, sería útil recapitular algunos de los acontecimientos más importantes de 2017 –y con la vista puesta en fortalecer los sistemas en los 12 meses que están por venir.
A continuación presentamos los cinco principales, sin un orden en particular:
1. La evoluición del ransomware
El ransomware ha estado provocando dolores de cabeza a las organizaciones durante varios años. Pero en 2017, esta amenaza utilizó una forma totalmente nueva de provocar caos a escala mundial. Los ataques de WannaCry y Petya/NotPetya que se observaron en mayo y junio pasados pudieron haber tenido objetivos, grupos de ataque y tácticas ligeramente distintos, pero resaltaron la manera en que el ransomware se podía utilizar en combinación con explotaciones desarrolladas por estados nación para propagarse por las redes. Bad Rabbit nos mostró otra cara de la moneda, ya que fue diseñado para infectar a las víctimas a escala masiva usando ataques tipo watering hole.
Estos incidentes nos enseñaron la importancia de parchar las vulnerabilidades conocidas tan pronto están disponibles las soluciones, y estar atentos a lo que puede suceder cuando los gobiernos buscan socavar la seguridad de cientos de millones de usuarios mediante la investigación de las fallas del software popular.
2. BEC le está costando miles de millones de dólares a las compañías
De todos los riesgos electrónicos que enfrentan hoy las organizaciones, el Compromiso del Correo Electrónico Empresarial (BEC) parece ser uno de los más fáciles de combatir. Pero de acuerdo con el FBI, las pérdidas del periodo de octubre de 2013 a diciembre de 2016 alcanzaron los $5,300 millones de dólares.
Tal vez no haya malware que detectar en la mayoría de los fraudes de BEC, pero capacitando mejor al personal y algo tan sencillo como asegurarse de que dos miembros del área de finanzas sean los que autoricen las grandes transferencias de fondos, las organizaciones pueden protegerse mejor.
3. Las grandes empresas siguen cometiendo errores de principiantes
¿Cuándo aprenderán? En los últimos 12 meses hemos visto a otro grupo de organizaciones que “deberían haber estado preparadas”, sufrir serias brechas de datos e incidentes relacionados con la privacidad. Yahoo (3 mil millones), Uber (57 millones) y Equifax (145.5 millones) vienen a la mente como los ejemplos más notorios de firmas que tenían los recursos pero no la cultura corporativa o estrategia adecuadas para mantener a raya a los hackers. Muchas más organizaciones se sintieron avergonzadas después de descubrir que información confidencial suya o de sus clientes se expuso en el Internet público a través de errores de configuración de las bases de datos radicadas en la nube –con frecuencia en manos de un socio. Otras como Verizon, Accenture, WWE e incluso el Departamento de Defensa de Estados Unidos actuaron de manera deficiente. En un caso, se logró extraer de una firma de analítica de datos, contratada por el Comité Nacional Republicano, la información personalmente identificable (PII) de 198 millones de electores de Estados Unidos hace una década.
En todo caso, estos incidentes nos dicen una vez más que las firmas aún no están lo suficientemente preparadas en lo que a la seguridad informática se refiere, y no están logrando ampliar las políticas a sus socios y contratistas.
4. El cumplimiento de GDPR aún no está a la altura
A medida que se termina el año, se aproxima más el 25 de mayo de 2018, fecha en la que finalmente entrará en vigor el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Es difícil recordar una ley nueva con implicaciones de largo alcance en ciberseguridad y privacidad para las organizaciones. Pero la falta de conocimiento y la aceptación en las salas de consejo siguen siendo una preocupación, a pesar de las enormes multas que hay que pagar por no cumplir con él. Gartner estima que menos de la mitad de todas las empresas lograrán cumplir con el plazo.
La investigación de Trend Micro de este año reveló una preocupante falta de interés por parte de los ejecutivos de alto nivel: eludieron su responsabilidad en el 57% de las empresas. Las firmas necesitan entender mejor qué datos tienen en su poder, crear un plan para notificar en caso de sufrir un ataque e invertir en las tecnologías innovadoras que mantengan alejadas a las amenazas.
5. Desde el IoT hasta la nube, las vulnerabilidades siguen siendo el talón de Aquiles
Lo dijimos antes pero vale la pena repetirlo: las vulnerabilidades son una de las mayores amenazas a la seguridad que enfrentan las compañías. No importa si está en el firmware de los dispositivos de IoT, aplicaciones Web, el software local o en la infraestructura de nube –si hay un hueco que pueda aprovecharse en su entorno de cómputo, puede ser aprovechado. Hemos visto a organizaciones tan diversas como el Servicio Nacional de Salud (NHS) de Inglaterra, y Equifax, que han sido afectadas por su incapacidad de proteger las vulnerabilidades conocidas de forma expedita. En el caso del NHS, hubo cortes provocados por WannaCry que obligaron a cancelar cerca de 19,000 operaciones y citas.
Desde Devil’s Ivy hasta KRACK, cada mes se descubren nuevas vulnerabilidades y métodos de ataque, algunos con enormes implicaciones para la seguridad de los sistemas con los que operan muchas organizaciones. Los CISOs deben asegurarse de contar con un método completo y automatizado para gestionar los parches, así como la agilidad para responder de manera rápida y eficiente a las amenazas recientemente descubiertas.
Para conocer las predicciones completas de Trend Micro para 2018, lea nuestro nuevo reporte Cambios de Paradigma.
Leave a Reply