Fortinet presentó hace unos días su más reciente informe semestral sobre el Panorama Global de Amenazas. De acuerdo con el reporte de la organización de investigación e inteligencia de amenazas de la compañía, Colombia fue el objetivo de más de 5.000 millones de intentos de ciberataques en el primer semestre de 2023, ubicándose en el cuarto lugar a nivel regional.
Mientras que las organizaciones continúan encontrándose en una posición reactiva, debido a la creciente sofisticación de los actores maliciosos y la escalada de ataques dirigidos, el análisis continuo del panorama de amenazas ayuda a proporcionar inteligencia valiosa que puede servir como una advertencia temprana de actividad de amenazas potenciales y ayudar a los líderes de seguridad a priorizar su estrategia de seguridad y los esfuerzos de aplicación de parches.
Juan Carlos Puentes, Country Manager para Fortinet Colombia, respondió a las preguntas de Xataka Colombia sobre este crucial tema.
Más allá de lo preocupante que resulta una cifra como 5.000 millones de intentos de ciberataques, que es, incluso difícil de comprender, ¿qué representa ese dato en el paisaje de la ciberseguridad del país y en dónde están las principales vulnerabilidades?
Más allá de la cifra resulta interesante analizar la información que involucra, de acuerdo al informe sobre el Panorama de Amenazas para el Primer Semestre de 2023, los ataques están siendo cada vez más sofisticados. Aquí hay que resaltar tres aspectos principales que las empresas deberían tener en cuenta:
Lo primero es que el ransomware es cada vez más dirigido: FortiGuard Labs ha documentado picos sustanciales en el crecimiento de variantes de ransomware en los últimos años, impulsados en gran medida por la adopción de ransomware como servicio (RaaS). Sin embargo, se descubrió que hubo menos detección de ransomware en la primera mitad de 2023. Esta tendencia respalda la tendencia que FortiGuard Labs ha visto en los últimos años de que el ransomware y otros ataques son cada vez más específicos y dirigidos, gracias a la creciente sofisticación de los atacantes y el deseo de aumentar el ROI por ataque.
El segundo aspecto es que vemos explotaciones únicas en aumento. En la primera mitad de 2023, FortiGuard Labs detectó más de 10.000 vulnerabilidades únicas, un 68% más que hace cinco años. El aumento en las detecciones de exploits únicos destaca los diferentes tipos de ataques maliciosos que los equipos de seguridad deben tener en cuenta y cómo los ataques se han multiplicado y diversificado en un período de tiempo relativamente corto.
Y finalmente, hallamos que las redes de bots permanecen en las redes más tiempo que nunca. Uno de los hallazgos más impactantes es el aumento exponencial en la cantidad total de 'días activos', que FortiGuard Labs define como la cantidad de tiempo que transcurre entre el primer intento de una red de bots en un sensor hasta el último. Durante los primeros seis meses de 2023, el tiempo promedio que permanecieron las redes de bots antes de que cesaran las comunicaciones de comando y control fue de 83 días, lo que representa un aumento de más de 1.000 veces con respecto a lo que veíamos hace cinco años.
Teniendo en cuenta algunos casos muy públicos que hemos visto en años recientes, ¿Cuáles son los sectores más afectados?
Ninguna empresa está exenta de caer presa de un ciberataque, sin embargo desde Fortinet hemos visto un incremento en ataques Tecnologías Operaciones en industrias críticas (salud, gobierno, energía, etc), esto derivado de la importancia y el valor que los datos provenientes de esos sectores tienen, además de factores relacionados a la tecnología con la que operan -en algunos casos, obsoleta-, la rápida digitalización a la que se han visto expuestos en los últimos años, y el crecimiento de la superficie de red derivada de los esquemas híbridos.
Da la impresión de que, a pesar del número enorme de intentos de ataques, la población general no siente los efectos. ¿Cómo afecta el aumento de los intentos de ciberataques a la economía y la vida cotidiana de las personas?
La ciberseguridad ha dejado de ser un tema que involucra solo a los equipos de TI o gobiernos, cada uno de nosotros como ciudadanos tenemos la responsabilidad de convertirnos en la primera línea de defensa.
Más allá de no sentir los efectos, existe una gran falta de concientización respecto a las amenazas que hoy existen en el mundo digital, no solo las empresas están expuestas, existen grupos de cibercriminales cuyo objetivo son usuarios finales utilizando técnicas como phishing para intervenir sus dispositivos, robar contraseñas, suplantación de identidades, robo de información sensible, y todos hemos escuchado de casos en donde la gente es defraudada y termina perdiendo importantes sumas de dinero por algún ataque de estos.
En este sentido es necesario que todos estemos preparados y tomemos conciencia de los riesgos que existen para de este modo evitar caer víctimas de la ciberdelincuencia. Además de que está comprobado que el error humano es el factor de riesgo más grande para las empresas, la realidad es que la separación entre dispositivos privados y laborales es cada vez menos, entonces cualquier brecha de seguridad de un usuario puede comprometer también a la empresa.
¿Cuál es la situación actual de la ciberseguridad de Colombia en el contexto de América Latina?
Como vimos en el reporte, y como bien mencionabas con anterioridad, los 5.000 millones de intentos de ciberataques en la primera mitad del 2023 ponen a Colombia en el cuarto lugar entre los países más atacados de la región.
América Latina y el Caribe sufrieron más de 63 mil millones de intentos de ciberataques en el primer semestre de 2023, Brasil recibió la mayor cantidad de intentos de ataques, con 23 mil millones; seguido por México, con 14 mil millones; y Venezuela, con 10 mil millones. A Colombia le sigue Chile, con 4 mil millones.
¿Cómo pueden las empresas y las personas protegerse de los ciberataques?
Desde Fortinet siempre impulsamos la construcción de una estrategia de ciberseguridad basada en dos aspectos:
En primer lugar, se encuentra una arquitectura de ciberseguridad resiliente, que sea amplia, es decir que abarque cada capa de la superficie de red incluyendo hardware, software, nube y puntos de acceso, integrada, que conviva en un solo centro de control que converja redes y seguridad para reducir la complejidad de las operaciones y automatizada, o sea impulsada por soluciones de IA y Machine learning que otorguen a los equipos visibilidad en tiempo real permitiéndoles monitorear, detectar y aislar amenazas casi en tiempo real antes de que infiltren la red e incluso cuando ya lo han hecho.
Por otro lado, capacitación y concientización de colaboradores sin importar el área o puesto que desempeñan, como mencionaba con anterioridad el factor humano sigue siendo uno de las principales áreas de riesgo para las compañías, por tanto es necesario que se implementen programas de capacitación de manera regular, mínimo una vez por año o cada seis meses, para que todos estén enterados del panorama de amenazas, las tácticas de los ciber atacantes y cómo evitar caer presa de ello y prácticas de ciberhigiene básicas.
¿A qué se refiere ese estudio cuando habla de que los ataques son “cada vez más dirigidos”?
Cuando hablamos de ataques dirigidos nos referimos a que los cibercriminales cuentan con tecnologías cada vez más avanzadas capaces de hacer labores de reconocimiento sin ser detectadas dentro de una red, para que estos puedan lanzar un ataque “personalizado” dirigido a cierta industria o compañía específica. A diferencia de otras tácticas en las que se distribuye de manera masiva a toda una lista por decirlo así, para ver en donde cae el ataque, así que los criminales en caso de un ataque dirigido tienen ya un blanco definido.
¿Cómo contrarrestar la creciente sofisticación de los actores maliciosos, que llegan incluso a ofrecer esta clase de ataques como servicios?
La única manera de hacer esto es, como platicábamos antes, a través del uso de la tecnología, haciendo un análisis exhaustivo de nuestros activos digitales, capas de la superficie de red asegurando que cada uno esté resguardado y protegido por las soluciones necesarias. Esto debe ser una revisión constante no basta con hacerlo solo una vez, las empresas están creciendo a pasos agigantados, migrando esquemas de trabajo, modelos de negocio... esto involucra una expansión de la superficie de red y por ende la de ataque.
Bajo esta premisa las arquitecturas de ciberseguridad deben ser resilientes, capaces de crecer conforme la superficie de red lo hace, y para esto el inventariado de activos digitales constante es clave para entender que tanto se ha extendido y que tan bien protegida está.
Otra parte importante es implementar políticas de zero trust, que ayuden a tener una validación constante de los usuarios que acceden a la red, a qué recursos o aplicaciones lo hacen, y desde qué dispositivos.
¿Cómo se puede detectar y prevenir el malware de borrado de información, los denominados 'wipers', en las empresas?
La industria de la ciberseguridad siempre está buscando la solución que pueda ayudar en la lucha contra el ransomware y los wipers. La inversión inicial para mitigar los daños es cada vez más importante, ya que la recuperación del daño inicial puede ser exponencialmente costosa. Y son tácticas realmente probadas las que triunfan.
Lo primero es una estrategia de defensa proactiva: es mucho más fácil abordar las amenazas antes de que se infiltren en la red. Utilizar una herramienta basada en inteligencia artificial para detectar ataques dirigidos, que reproduce la investigación centrada en el ser humano que, de otro modo, obligaría a las empresas a ponerse al día. Estas soluciones simplifican la complejidad, aceleran la detección y crean una respuesta a los ciberataques en toda la organización.
Es conveniente tener copias de seguridad fuera de la red: tener copias de seguridad a mano es la mejor defensa contra los efectos del ransomware y los wipers. Es importante mantener las copias de seguridad fuera de la red porque el malware frecuentemente busca activamente copias de seguridad del dispositivo en la computadora (como Windows Shadow Copy) o en la red para eliminarlas. Es necesario tener una conversación a nivel de junta directiva sobre el riesgo.
También es aconsejable la segmentación de la red: una segmentación adecuada puede resultar beneficiosa de varias formas. Por ejemplo, puede restringir los efectos de un ataque a un área determinada de la red. Además, los cortafuegos, el software antivirus y los sistemas de prevención de intrusiones pueden identificar comunicaciones con servidores de comando y control conocidos: archivos dañinos que viajan a través de la red y el propio malware.
Y finalmente, el éxito o el fracaso de un ataque puede depender en gran medida de la eficacia y rapidez de la respuesta al incidente. La forma en que el equipo de respuesta a incidentes maneja y reacciona a la alerta cuando se descubre un compromiso (antes de que se instale el wiper) podría marcar la diferencia entre prevenir con éxito la pérdida de datos.