+34 914 230 991 info@dotforce.es

¿Condenados por un error humano?

6 octubre 2021

¿Condenados por un error humano?

Es cierto que, desde hace tiempo, todos los estudios que analizan las causas de un ciberataque apuntan a que un 90-95% de ellos son ocasionados por fallos humanos. Y el ejemplo que hoy está en boca de todos es la caída de WhatsApp, Facebook e Instagram de hace un par de días. Aunque no esté relacionada con la ciberseguridad, fue debida a un fallo humano, algo fácilmente extrapolable a la ciberseguridad. El error humano es inevitable, tarde o temprano todos cometemos errores. No obstante, no deberíamos sentir que estamos condenados a sufrir un ciberataque por un error humano.

Existen multitud de acciones que podemos (y debemos) realizar para evitar que esos errores humanos, que inevitablemente sucederán, permitan que seamos víctimas de un ciberataque. Con demasiada frecuencia esto se percibe como un gasto innecesario. Nada más lejos de la realidad. Si se plantea bien, incrementará la productividad y tendrá un alto retorno de inversión.

Estos son algunos ejemplos.

Cómo no estar condenados por un error humano a nivel de usuario

En el mundo hiperconectado actual, la identidad del usuario es básica. La autenticación es el primer paso de un usuario para acceder a contenido sensible. Es por ello que debemos proteger nuestros procedimientos de autenticación. Lamentablemente, el principal error que comete el homo sapiens en ciberseguridad tiene que ver con las contraseñas. Con frecuencia elegimos contraseñas débiles, fácilmente descifrables. Otro error muy peligroso es utilizar la misma contraseña en muchas cuentas. La solución ideal, cuando la opción está disponible, es prescindir de las contraseñas y utilizar métodos Passwordless. El problema es que, quizá porque nos cuesta cambiar los hábitos, no lo hacemos y seguimos utilizando las contraseñas para autenticarnos.

Para evitar que el error humano afecte a los usuarios de una organización debemos realizar 2 acciones fundamentales. La primera es proteger la autenticación de los usuarios, incluyendo las cuentas privilegiadas. La segunda es recurrir a soluciones de protección adicionales.

Proteger la autenticación de los usuarios y las cuentas privilegiadas

Es un error pensar que cualquier método de autenticación de 2 pasos o autenticación múltiple (2FA o MFA) nos protege de igual manera. Muchos de estos métodos son vulnerables a técnicas como phishing e ingeniería social. Estos ataques solo tienen éxito si hay un error humano. Es por eso que existen métodos de autenticación robustos como las llaves de seguridad, o aplicaciones móviles resistentes al phishing. Estos métodos protegen a los usuarios de estos errores, permitiendo incluso prescindir de las contraseñas con métodos Passwordless.

Esto es aún más importante en cuentas con privilegios administrativos. Es ahí donde un PAM (Privileged Access Manager) nos ayudará a que ese hipotético error humano no tenga efecto en usuarios críticos. Y si elegimos un PAM de última generación basado en actividades (Privileged Activity Manager), la protección será aún mayor.

Soluciones adicionales de protección del usuario

Hay muchas otras soluciones clave. Mientras sigamos obligados a utilizar contraseñas, las herramientas de contra-ciberespionaje avanzadas, para detectar brechas de seguridad antes de que puedan dañar a la organización, son básicas para cualquier compañía. La protección avanzada del correo electrónico para evitar que un usuario confíe en un email malicioso es crucial. Por otro lado, las soluciones de gestión de identidad que permiten gestionar el acceso de los usuarios a las distintas aplicaciones, pueden permitir que el usuario sea automáticamente aprovisionado (y desaprovisionado) sin ni siquiera utilizar una contraseña. Y sin olvidar la protección de las conexiones remotas, fundamental para organizaciones con usuarios que se conecten en redes públicas o desde casa. Y por supuesto, lo más básico. Los endpoints deben estar protegidos con un EDR, gestionado por la propia organización o por un MSSP.

Cómo no estar condenados por un error humano a nivel de datos

Por desgracia, no es suficiente con proteger al usuario. Siempre que los datos estén almacenados on-premise o en la nube, deben ser protegidos. En primer lugar, se deben disponer de herramientas de Gobierno de Datos. Esto permite inventariar los documentos, detectar privilegios innecesarios y proteger los datos más sensibles. Una vez identificados, debemos proteger especialmente los datos más críticos. El cómo es evidente: cifrando los datos. Pero al igual que comentábamos con la autenticación, no todos los métodos de cifrado son iguales. Para estar realmente protegidos debemos utilizar dispositivos hardware de cifrado. Pero no cometamos el error de cifrar únicamente los datos on-premise. Sí, para compartir datos en la nube el cifrado vía hardware también es la opción más segura.

Y cómo no, a nivel de red

Todo pasa por la red. Y, de nuevo, esto es así en entornos on-premise y cloud. Cualquier acción de reconocimiento, movimiento lateral, exfiltración de datos, malware, etc, deja rastro en la red. Y para eso tenemos herramientas como los SIEM que hay en cualquier SOC. Pero un SIEM por sí solo es una herramienta incompleta y compleja de manejar. Herramientas de análisis de la red como un NDR, IDS o NTA son básicas para enriquecer al SIEM. Ojo, nunca serán una alternativa al SIEM. Siempre deben estar integradas con él. Y por supuesto, esas herramientas deben potenciar y facilitar las investigaciones.

Por otro lado, muchas de las acciones en un SOC deben ser automatizadas. En un SOC se manejan miles de eventos por segundo. Analizarlos manualmente es una utopía. Por ello, existen los SOAR, herramientas de Orquestación, Automatización y Respuesta.  Un SOAR permite agrupar incidencias y resolver muchas de ellas de forma automatizada. Para las tareas que requieran de acción humana, el SOAR presentará un caso que agrupe a todas las incidencias similares, con amplio contexto que permite acelerar la respuesta.

Además de las herramientas de análisis de red antes mencionadas, existen otras de Threat Intelligence que también pueden enriquecer a un SOAR. Por ejemplo, las soluciones de Threat Intelligence basado en detección de dominios maliciosos son unas de las más utilizadas. La clave es que dispongan de una amplia base de datos normalizada y constantemente actualizada. Lo ideal es que permita realizar investigaciones tanto en el SOAR como de forma manual.

En conclusión, quien quiera resignarse a estar condenado por un error humano, es libre de no hacer nada para evitarlo. Quien desee lo contrario, tiene a su disposición soluciones efectivas y rentables para proteger todos los ámbitos de una organización.

 

PUBLICADO POR:<br>José Luis Pozo Valverde
PUBLICADO POR:
José Luis Pozo Valverde
PUBLICADO POR:<br>José Luis Pozo Valverde
PUBLICADO POR:
José Luis Pozo Valverde

Artículos relacionados

Active Directory, ese extraño desconocido para el XDR

Active Directory, ese extraño desconocido para el XDR

En este artículo quiero hablar de cómo proteger uno de los recursos más críticos en la infraestructura IT de cualquier organización: Microsoft Active Directory (AD). Este es el primer lugar al que atacan los cibercriminales una vez que consiguen acceder a tu red para tomar el control de una cuenta privilegiada o de una cuenta de usuario estándar existente y elevar los privilegios. Este comportamiento malicioso puede parecer normal a la vista de los sistemas de seguridad habituales y por ello en muchas ocasiones pasa desapercibido. Pero incluso en los casos en los que sí se detecta un ataque a AD, esta detección suele llegar demasiado tarde.

El metaverso: Guía para torpes

El metaverso: Guía para torpes

Cuando Mark Zuckerberg cambió el nombre de Facebook a Meta, a muchos les pilló por sorpresa y ahora muy pocos saben qué es Meta y la revolución que el metaverso está causando. Por si fuera poca la euforia, ahora las grandes marcas, como Adidas, también se están...

Utilizamos cookies propias y de terceros para obtener datos estadísticos de la navegación de nuestros usuarios y mejorar nuestros servicios. Si acepta o continúa navegando, consideramos que acepta su uso. Puede obtener más información en el siguiente enlace. Más información

POLITICA DE COOKIES Dot Force S.L. utiliza cookies en sus sitios web para atender a nuestros visitantes de acuerdo con este aviso de cookies. Puede obtener más información sobre esto a continuación. Si no acepta el uso de estas cookies, desactívelas siguiendo las instrucciones más abajo en esta página o cambie la configuración de su navegador para que las cookies de este sitio web no puedan enviarse ni almacenarse en su dispositivo. Acerca de las cookies Una cookie de Internet es un pequeño archivo que se envía desde un sitio web y se almacena en la computadora, tableta o dispositivo móvil de un usuario cuando visita un sitio web. Suelen ser anónimos y se utilizan con fines de mantenimiento de registros, pero pueden contener información sobre su visita a un sitio web en particular, como el estado de inicio de sesión, la personalización y las preferencias publicitarias, etc. Las cookies tienen un tiempo de vida predefinido, después del cual no se podrán utilizar y se eliminarán automáticamente. Las cookies pueden ser cookies "persistentes" o de "sesión". El navegador almacenará una cookie persistente y seguirá siendo válida hasta la fecha de caducidad establecida, a menos que el usuario la elimine antes de la fecha de caducidad. Una cookie de sesión, por otro lado, caducará al final de la sesión del usuario cuando se cierre el navegador web. Algunas cookies extremadamente persistentes que pueden persistir después de la eliminación se denominan "Evercookies". Uso de cookies DotForce no utiliza Evercookies. Todas nuestras cookies caducan automáticamente, después de lo cual se eliminarán de su dispositivo. Nuestras cookies no contienen ninguna información que lo identifique personalmente, pero la información personal que almacenamos sobre usted puede ser vinculada, por nosotros, a la información almacenada y obtenida de las cookies. Podemos utilizar la información que obtenemos de su uso de nuestras cookies para los siguientes propósitos. - Para reconocer su computadora cuando visita nuestro sitio web; - Para mejorar la usabilidad del sitio web; - Para analizar el uso de nuestro sitio web; - En la administración de este sitio web; - Cookies de terceros Cuando utiliza nuestro sitio web, también puede recibir cookies de terceros. Nuestros proveedores de servicios pueden enviarle cookies. Pueden usar la información que obtienen de su uso de sus cookies: - Para rastrear su navegador a través de múltiples sitios web; - Para construir un perfil de su navegación web; - Para dirigir anuncios que puedan ser de su interés particular.   Desactivación y/o eliminación de cookies Los navegadores web permiten a los usuarios controlar o eliminar cualquiera o todas las cookies almacenadas en el navegador, esta funcionalidad es común en la mayoría de los navegadores. La mayoría de los navegadores le permiten negarse a aceptar cookies. Por ejemplo: en Internet Explorer puede rechazar todas las cookies haciendo clic en "Herramientas", "Opciones de Internet", "Privacidad" y seleccionando "Bloquear todas las cookies" con el selector deslizante en Firefox puede bloquear todas las cookies haciendo clic en "Herramientas", "Opciones" y desmarcando "Aceptar cookies de sitios" en el cuadro "Privacidad". Sin embargo, bloquear todas las cookies tendrá un impacto negativo en la usabilidad de muchos sitios web. Lista de Cookies Nuestros sitios web y servicios pueden utilizar cualquiera o todas las siguientes cookies: Nombre: _gid Propósito: Esta cookie es utilizada para Google Analytics Tipo: Persistente Duración: 3 Meses  Cookies pasadas y activas Si ha deshabilitado una o más cookies analíticas o de contenido, es posible que aún tengamos información recopilada de cookies que no hayan expirado antes de que se establezca su preferencia deshabilitada. Sin embargo, dejaremos de usar las cookies deshabilitadas para recopilar más información. Una vez que las cookies no caducadas hayan caducado, se eliminarán de su sistema.

Cerrar aviso