Guillermo A. Mata
No existe un día en que no se escuche alguna noticia en cualquier medio de comunicación acerca de una amenaza cibernética que ha afectado a una empresa, un banco, un gobierno o a un individuo. Este tipo de noticia se ha convertido en algo tan común como un asesinato, un asalto o inclusive como una inundación en alguna parte de la ciudad. Y lo peor de todo, es que nos hemos acostumbrado tanto, que ya pasa desapercibido a menos que afecte a un gran conglomerado o a algún gobierno. Y aun así carece de relevancia.
Pero dicha noticia es relevante para aquella organización que ve afectados sus intereses. Afecta no sólo económicamente, sino que también a su reputación empresarial. Sin embargo, esto último parece no tener ya un efecto tan grande como hace algunos años. De ser así, nadie utilizaría servicios en línea ni compraría en Walmart, Kmart, Macys o utilizaría las plataformas de Sony.
Pero los intereses económicos son los que verdaderamente preocupan a las entidades afectadas. Las tecnologías convencionales de protección son muy buenas en la prevención de amenazas y ataques genéricos para evitar que violen el perímetro de la empresa. Aunque el número de este tipo de amenazas sigue creciendo, las empresas están cada vez más preocupadas por los ataques dirigidos y las armas cibernéticas avanzadas que se utilizan con fines de ciberespionaje o la interrupción de la actividad empresarial. Si bien estas amenazas representan una fracción muy pequeña (menos del 1%) de la totalidad del entorno, presentan el mayor riesgo para las empresas en todo el mundo. Lo que es aún más importante, el número de este tipo de ataques está creciendo de manera constante y el precio por ataque está disminuyendo.
Ese casi 1% de las amenazas es sin lugar a dudas lo que más daño hace y por ende es más rentable para los atacantes. En la región, ni las empresas ni los gobiernos tienen obligación de divulgar que están siendo atacados o que fueron objeto de uno. Eso hace más difícil aún ver cuán vulnerables son y hacen que los ataques dirigidos parezcan un invento de los fabricantes de soluciones de seguridad para vender más. Tampoco hay compañías de seguridad que estén divulgando lo que está sucediendo, con excepción de Kaspersky Lab que divulga algunas de las amenazas sin dar detalles que dañen a gobiernos o empresas.
Latinoamérica no es ajena a este tipo de amenazas. Las organizaciones (gobiernos, empresas, multinacionales, etc) de América Latina se han enfrentado a numerosos ataques dirigidos. La mayoría de ellos ha sido descubierto y divulgado por Kaspersky Lab, como es el caso de: Poseidón, Machete, Careto, Carbanak, Adwind, Turla, Saguaro, Regin, y Winnti. De acuerdo con la Encuesta sobre Riesgos de Seguridad de TI de 2015, realizada por Kaspersky Lab y B2B International, el 32% de las organizaciones en todo el mundo dijeron que fueron objeto de un ataque dirigido en el último año; un aumento del 7% en comparación con el año anterior.
Casi un año sacando información sin que se sepa
En los últimos 10 años, además de fabricar productos de seguridad endpoint y corporativos, esta empresa ha dedicado vastos recursos a analizar amenazas para advertir a organizaciones acerca de sus vulnerabilidades o que están siendo atacadas. Muchas veces estas organizaciones no saben que fueron atacadas hasta que un tercero les hace saber. Algunas veces se les informa mientras está sucediendo el ataque y en otras ya cuando este pasó. Una de las características de un ataque dirigido es que la amenaza permanece silenciosamente almacenada en los servidores de la víctima en promedio 241 días. ¿Cómo se sentiría un cliente si le dijeran que un virus especializado ha estado sacando información clave de su empresa por tanto tiempo?
Esta “inteligencia de amenazas” es un campo en donde existen muy pocos jugadores y aún menos que tengan presencia física en América Latina. Viendo esto como una oportunidad, Kaspersky Lab sacó una solución llamada Kaspersky Anti Targeted Attack, que no es ni un appliance, ni una caja de software ni siquiera un pedazo de hardware. Va más allá de eso, combinando en muchos casos las soluciones de seguridad especializadas ya instaladas (propias o de otros fabricantes) que analiza la data que va a través de ellos por medio de sensores (tráfico de la red, de la web y los correos electrónicos). Iendo un poco más lejos, al contratar esta plataforma con la opción de servicios expertos, se incluye también que verdaderos “gurús” analicen y monitoreen partes de código que puede ser el causante del ataque ayudando a prevenirlo o frustrarlo.
El secreto de esta herramienta radica en perseguir todos y cada uno de los potenciales indicadores que comprometen el sistema. Es decir, hacer un análisis significativo de riesgo de cada alerta que se genera, ver hasta dónde puede llegar y si es posible compararla con amenazas similares sucedidas en otras partes del mundo. Es la única forma de garantizar que las alertas no son falsas o aparenten ser falsas.
Según un estudio de Kaspersky Lab, actualmente los presupuestos de seguridad se invierten en: 80% tecnologías de prevención y 20% en detección, respuesta y predicción. En los próximos 3 años esto cambiará a 40% para prevención y 60% para el resto, concluye el estudio.
“Hoy en día las empresas tienen que superar muchas amenazas informáticas, incluyendo aquellas consideradas como las más avanzadas, y para ello requieren conocimiento de los posibles vectores de ataque, indicadores de compromiso y la capacidad para distinguir las operaciones normales de la actividad maliciosa”, comentó Daniel Molina, Director General de Kaspersky Lab para los Mercados Estratégicos de América Latina.
En resumen, las organizaciones (gobiernos, ONG´s, corporaciones y PYMEs) deben aceptar la realidad de que los ataques dirigidos existen y que cada vez es más lucrativo ese negocio para cibercriminales. Hay tanta oferta que el precio para realizarlos ha bajado y está al alcance de cualquier entidad. La geografía ya no es importante y los cibercriminales solo necesitan una dirección IP para poder realizar sus averías. La barrera del idioma era un impedimento, pero al haber cada vez más criminales “locales”, esta barrera también ha sido derribada.
El monitoreo exhaustivo, sin sacrificar el desempeño, es una buena técnica de defensa que cada día será más importante de implementar. Entre más pronto mejor, pues habrá más información para comparar y detectar ataques de manera más eficiente. Para ello serán necesarios canales y asesores de confianza que puedan orientar adecuadamente a estas organizaciones. Y lo más importante, al ser exitoso como asesor, el precio para el cliente dejará de ser el criterio prioritario al momento de renovar cualquier contrato.
Fotografía: Daniel Molina, Director General para Latinoamérica, excepto Brasil, para Kaspersky Lab.
