La ciberinteligencia es esencial para alcanzar la mejor ciberseguridad

Publicado en Diario Abierto el 15/05/2020 

El statu quo en el ciberespacio es inaceptable. La realidad actual en ciberseguridad es el marco ideal para los hackers maliciosos. Los métodos tradicionales de ciberseguridad, basados principalmente en hacer Pentesting y simplemente repeler los ataques son ineficientes y costosos, especialmente considerando la cantidad de los ciberataques que tienen éxito. Hace falta complementar la ciberdefensa actual con una estrategia disuasoria para reducir los ataques e incluso frustrarlos. Esta estrategia sinérgica es mucho menos costosa y más eficiente que una estrategia puramente defensiva.

Ahora más que nunca, las compañías necesitan monitorizar constantemente el vasto conjunto de ciberamenazas para detectar indicios de posibles ataques. Dedicar todos nuestros recursos a reforzar nuestra defensa no es suficiente, tarde o temprano un atacante encontrará la forma de evitarlas, tal como hizo el ejército nazi en 1940 al rodear y atacar la Línea Maginot en Sedán. El gran error de Francia fue una inadecuada monitorización de amenazas a través de los servicios de inteligencia para reaccionar a tiempo ante los nuevos paradigmas y cambios de estrategia por parte de sus enemigos.

Mientras que Gartner ya había pronosticado un déficit de 2 millones de profesionales de ciberseguridad en todo el mundo para el final de 2019, el COVID-19 ha agudizado esta carencia aún más. Cometeríamos un error si pensáramos que la única forma de compensar este déficit es formando a más profesionales. En la actualidad los técnicos de ciberseguridad se ven condenados a malgastar su tiempo investigando, de forma manual, numerosas incidencias de seguridad que finalmente no son amenazas reales. Según Agari, el 60% de los mails que los empleados reportan como spam, son falsos positivos. A este respecto, la automatización juega un papel clave en la detección, anticipación y mitigación de ciberataques. No obstante, la automatización requiere una buena inteligencia para funcionar bien. En este contexto, el concepto Threat Intelligence o Inteligencia ante Amenazas es un factor decisivo para que la automatización de las tareas sea exitosa.

La buena noticia es que numerosas compañías de ciberseguridad están creando más herramientas que automatizan tareas para hacer frente a la avalancha de la creciente actividad maliciosa en Internet, utilizando la Inteligencia ante Amenazas. Los ciberdelincuentes también usan la automatización para obtener información y preparar sus ataques, lo que hace que sea aún más necesario disponer de herramientas de automatización en nuestro sistema de ciberdefensa.

De acuerdo con las recomendaciones del Consejo de Seguridad Nacional en la Estrategia Nacional de Ciberseguridad, la Comisión Europea y la comisión estadounidense Cyberspace Solarium Comission, son necesarios cambios en los protocolos de cooperación entre los sectores público y privado, así como en los ámbitos legislativos y gubernamentales, incluyendo la sugerencia de incrementar las partidas dedicadas a mejorar la ciberseguridad.

En los tres casos, las recomendaciones pasan por:

1. Normas para asegurar buenos hábitos en el ciberespacio.

Las normas deben establecer comportamientos responsables en el ciberespacio, mediante iniciativas legislativas (p. ej. LOPD y RGPD) y políticas de empresa, recurriendo a la colaboración y a la educación.

2. Resiliencia para denegar beneficios a los agentes maliciosos.

Una organización resiliente está preparada para mantener su actividad sin que se vea afectada por los ataques externos e internos, para estar en posición de denegar cualquier tipo de beneficio a los atacantes.

3. Disuasión y sanción al agente malicioso.

Se deben llevar a cabo acciones para que los atacantes maliciosos no solo no obtengan ningún beneficio por sus actividades ilícitas, sino que además se vean penalizados. Para este fin, la Cyberspace Solarium Comission define el término Defend Forward.

Las empresas e instituciones públicas pueden aprovechar estas recomendaciones para mejorar su ciberseguridad, especialmente ahora que cada vez más empleados trabajan de forma remota y tienen que acceder a los sistemas corporativos desde cualquier parte del mundo. Estos sistemas pueden encontrarse tanto en las instalaciones de la empresa como en la nube, lo que significa que la superficie de ataque está en todas partes. La ciberinteligencia brinda a las empresas la capacidad de mirar más allá de sus fronteras o perímetros de red.

Una de las herramientas que sufre más ataques y de mayor gravedad es el correo electrónico. Según el último informe trimestral elaborado por Agari sobre tendencias de fraude de correo electrónico y suplantación de identidad, los ataques de Phishing, estafas de Business Email Compromise (BEC) y otras amenazas avanzadas relacionadas con el correo electrónico, continúan costando a las empresas estadounidenses pérdidas de más de 700 millones de dólares al mes.

El éxito de estos ataques cada vez depende menos de la destreza técnica de los atacantes y más de formas sofisticadas de suplantación de identidad y técnicas avanzadas de ingeniería social. Millones de mensajes de correo electrónico brillantemente simples y diseñados por expertos utilizados para engañar a los empleados corporativos para que entreguen información confidencial, revelen credenciales de inicio de sesión o paguen facturas fraudulentas o tarjetas regalo, se vuelven más efectivos cada día. Para evitarlo, existen sistemas que pueden interpretar de manera inteligente las intenciones de los atacantes hasta el punto de evitar que los correos electrónicos maliciosos entren en el buzón de correo de la víctima. Incluso si lo hicieran, mostrarían llamativas advertencias en el cuerpo de los mensajes.

Hay varias compañías en España que ofrecen servicios de ciberseguridad que incluyen servicios de ciberinteligencia que están utilizando cada vez más la automatización porque, simplemente, no hay suficientes profesionales de ciberseguridad disponibles en España.

La ciberdisuasión por capas es la base de una estrategia de ciberseguridad exitosa, gracias a la automatización y la ciberinteligencia.