¿Es posible detectar un ciberataque antes de que ocurra?
La respuesta es rotunda: Sí, se puede detectar un ciberataque antes de que ocurra. Es la clave para cumplir el objetivo de una acertada estrategia de ciberseguridad proactiva. Y este objetivo no es otra cosa que evitar ser víctimas de ciberataques o, al menos, detectarlos y remediarlos antes de que produzcan algún daño a la organización.
Hablaremos de una lección que podemos aprender de un ejemplo reciente, el hackeo al Ayuntamiento de Sevilla. Este se descubrió cuando ya estaba consumado. No obstante, y según las noticias publicadas, fue el propio ayuntamiento quien lo detectó tras activarse “procedimientos internos”. No obstante, estos procedimientos no se activaron hasta después de recibir una advertencia del Banco de España. Está muy lejos de ser el escenario ideal, pero tampoco es el peor escenario. Veamos por qué y qué podemos aprender de todo ello.
Estrategia proactiva para detectar un ciberataque antes de que ocurra
Obviamente, detectar el hackeo antes de que ocurra es la opción a la que debemos aspirar. No obstante, para alcanzar este objetivo se requiere un personal cualificado y soluciones de ciberseguridad avanzadas y de última generación, que puedan hacer frente a las técnicas más sofisticadas.
En el caso del Ayuntamiento de Sevilla, los cibercriminales utilizaron técnicas de spoofing. Concretamente, suplantaron la identidad de la empresa que se encarga de instalar las luces de Navidad en la capital hispalense. Cuando esta táctica está bien empleada, un usuario difícilmente puede darse cuenta del engaño. Es por ello que se debe recurrir a herramientas avanzadas para detectarlo.
Por ejemplo, se pueden detectar correos electrónicos que podrían estar suplantando una identidad de una forma que pueda pasar desapercibido para un usuario. Para este fin existen herramientas de protección del correo electrónico.
Por otro lado, los ataques Man-in-the-Middle (MitM), o ataque del intermediario, sirven para que los cibercriminales puedan acceder a la información que una organización envía a través de la red, e incluso modificarla. Esto, que es crucial para muchos ataques de este tipo, es muy difícil de detectar con herramientas tradicionales. Es por eso que cada vez más organizaciones deciden implementar tecnologías para detectar intrusiones mediante herramientas de análisis de la red y del comportamiento de usuarios y dispositivos (NDR, IDS, NTA, …).
En resumen, con las herramientas adecuadas, es posible detectar un ciberataque antes de que suceda.
Detección de ciberataques a posteriori
Dentro del escenario negativo, descubrir un ciberataque, incluso después de que haya tenido éxito, es algo crucial para que las organizaciones puedan evitar ser víctimas de un nuevo ciberataque. La advertencia del Banco de España tiene un motivo: en los últimos meses, numerosas administraciones públicas han sufrido un ciberataque. Esto, según fuentes del Ayuntamiento, activó ciertos controles que permitieron detectar la ciberestafa.
Sería un error celebrar la detección de una estafa consumada. No obstante, de no haber realizado este descubrimiento es posible que en estos momentos los mismos hackers maliciosos estarían perpetrando un nuevo ataque a esta entidad.
Lección aprendida de una detección tardía
En primer lugar, como ya hemos comentado, existen herramientas que permiten detectar un ciberataque antes de que suceda. Por otro lado, cuando en el Ayuntamiento de una gran ciudad como Sevilla se activan “los procedimientos internos”, se puede detectar que ha ocurrido una ciberestafa. Si esta acción totalmente reactiva ha servido para detectar el ataque a posteriori, la lección que debemos aprender está muy clara:
Emplear una estrategia proactiva de ciberseguridad permite detectar los ciberataques antes de que ocurran y, por lo tanto, evitar ser víctima de ellos.
