José Cabello
Escrito por José Cabello el 06 noviembre, 2020

Amenazas de ciberseguridad, Ciberinteligencia y mejores prácticas

Todas las empresas en Latinoamérica han sido o serán atacadas con algún Malware, según Nikesh Arora, CEO de Palo Alto Networks. En este contexto de ideas,  las organizaciones deben invertir más esfuerzos en proteger la seguridad de los datos que manejan. Por esto, a la hora de tener en cuenta los riesgos digitales a los que se enfrentan las empresas, es importante saber distinguir los conceptos sobre vulnerabilidades, amenazas y ataques de ciberseguridad.

¿Qué son las Amenazas de Ciberseguridad?

Según el Instituto Nacional de Estándares y Tecnologías Norteamericano (NIST) la amenaza es un evento con potencial de afectar negativamente  las operaciones de una organización o a sus activos, a través del acceso no autorizado a un sistema de información, destrucción, divulgación o modificación de información y/o la denegación de servicio. 

¿Que significa Vulnerabilidades en Ciberseguridad?

Una vulnerabilidad puede definirse como la debilidad en los procedimientos de seguridad de un sistema de información. De manera intencional o accidental, pueden explotarse las vulnerabilidades para violar los controles o la política de seguridad de dicho sistema. Ahora, si se correlacionan ambos conceptos podemos concluir que  las amenazas representan un daño potencial mientras que las vulnerabilidades representan una condición para que se materialice ese daño.  

¿Cuál es la diferencia entre Ataques y Amenazas de Ciberseguridad?

Los ataques no deben confundirse con las amenazas.  Los ataques son un mecanismo por el que un agente de amenazas explota una vulnerabilidad para causar un impacto que afecte a la confidencialidad, integridad o disponibilidad de un sistema de información.

 

Principales Diferencias entre Amenazas y Ataques

Amenazas

Ataques

Pueden ser o no intencionales.

Es intencional.

Puede o no ser maliciosa.

Es malicioso. 

Circunstancia con la habilidad de causar daño.  

El objetivo es causar daño. 

Puede ser bloqueada, controlando las vulnerabilidades.  

No puede ser bloqueada solo controlando las vulnerabilidades. 

 

Tipos de Amenazas

El panorama actual del cibercrimen es diverso. Las ciberamenazas suelen consistir en uno o más de los siguientes tipos de ataques:

      • Advanced Persistent Threats
      • Phishing
      • Trojans
      • Botnets
      • Ransomware
      • Distributed Denial of Service (DDoS)
      • Wiper Attacks
      • Intellectual Property Theft
      • Theft of Money
      • Data Manipulation
      • Data Destruction
      • Spyware/Malware
      • Man in the Middle (MITM)
      • Drive-By Downloads
      • Malvertising
      • Rogue Software

Al identificar una amenaza cibernética, más importante que conocer la tecnología o el TTP (Tácticas, Técnicas y Procedimientos), es saber quién está detrás de la amenaza. Los TTP de los actores de amenazas están en constante evolución. Pero las fuentes de las amenazas cibernéticas siguen siendo las mismas.

Siempre hay un elemento humano; alguien que se enamora de un truco inteligente. Pero si das un paso adelante,  encontrarás a alguien con un motivo, esa es la verdadera fuente de la amenaza de ciberseguridad. El origen más común de las amenazas son: 

      • Grupos de crimen organizado.
      • Terrorismo.
      • Colaboradores descontentos.
      • Gobiernos Nacionales.
      • Espías Industriales.
      • Empresas competidoras.

El cibercrimen organizado representa un negocio de 6 billones de dólares americanos a nivel mundial y esto puede representar la mayor transferencia de riqueza económica de la historia, incluso superando los márgenes de rentabilidad del mercado de las drogas ilegales.

Por lo tanto, las empresas se enfrentan a organizaciones criminales que cuentan con grandes presupuestos para generar ataques clandestinos y quirúrgicamente dirigidos a usuarios o plataformas de manera silenciosa “low and slow”. Estos actores de amenazas, la mayoría de las veces más sofisticados, organizados y persistentes que las mismas empresas del sector industrial, sólo son vistos por los rastros digitales que dejan. Por estas razones, las empresas necesitan visibilidad más allá de las fronteras de su red y equipos finales con herramientas, procesos y personas especializados en detectar y responder ante estos ataques. Esto es conocido como Ciberinteligencia.

Mejores prácticas para defendernos y responder ante Ataques de seguridad informática  

En la actualidad la mejor práctica para enfrentar estos ataques es tener una línea de defensa y respuesta híbrida (Equipos Internos y Externos), ya que la rápida evolución de los ataques obliga a que los perfiles profesionales y herramientas necesarias para protegerse vayan más allá de lo que las organizaciones pueden cubrir con recursos 100% internos. 

La Responsabilidad y esfuerzos de los equipos de Ciberseguridad Internos deberían ser:

      • Educar a los usuarios finales en prácticas basadas en el cumplimiento para el manejo de los datos confidenciales y la concientización con respecto a los ataques más comunes como lo son phishing, suplantación de identidad e ingeneria social. 
      • Mantener los softwares actualizados a la última versión recomendada. 
      • Contar con Firewall y Antivirus (Preferiblemente tecnologías EDR). *
      • Contar con Sistemas de detección y prevención de intrusos (IPS/IDS). *
      • Monitorear los eventos de ciberseguridad. *
      • Desarrollar y probar un Plan de respuesta a Incidentes. *

La Responsabilidad y esfuerzos de los equipos de Ciberseguridad de Socios Externos deberían ser :

      • Monitorear de forma avanzada las amenazas en toda la superficie digital (Endpoint, Network, Cloud).
      • Escanear las vulnerabilidades en toda la superficie digital.
      • Tener herramientas de Inteligencia de amenazas siempre actualizadas. 
      • Contar con Personal de respuesta a incidentes de emergencia e investigadores siempres de guardia. Este personal debe estar capacitado y certificado  en las herramientas en uso.

 

* Si los recursos no están disponibles internamente, se sugiere cubrir cualquiera de estas responsabilidades a través de un tercero que preste un servicio de Gestión, Detección y Respuesta ante incidentes de Ciberseguridad (MDR).

Escrito por José Cabello 6 noviembre, 2020
José Cabello