Hace un par años, en el evento de 2022 de Black Hat, la periodista e investigadora Kim Zetter presentó una ponencia titulada “Pre-Stuxnet, Post-Stuxnet: everything has changed, nothing has changed” que incluía una proclama que, no por evidente, dejó perplejos a muchos asistentes: desde 2010, fecha en la que se produjo el ciberataque a una central nuclear iraní con Stuxnet, la tecnología asociada a la ciberseguridad ha evolucionado significativamente; sin embargo, y a pesar de ello, las compañías siguen, a día de hoy, sufriendo incidentes de ciberseguridad que resultan totalmente predecibles y por tanto prevenibles.
Esta afirmación, demoledora en su exposición, nos llevaría posiblemente a otra conclusión que humildemente podríamos plantear en la misma línea: la historia de la mayoría de los ciberataques tiende a repetirse.
Evolución de los ciberataques
Los ciberataques han crecido de forma exponencial en las últimas décadas. El CSIS norteamericano recoge los incidentes y brechas de seguridad que se han producido en las administraciones públicas y en las grandes compañías tecnológicas durante los últimos 15 años y que han tenido un impacto superior al millón de dólares.
Analizados con detenimiento, se puede observar que los ataques con éxito a estas organizaciones se han multiplicado por 20 durante ese periodo de tiempo. Ataques de DDoS, exfiltraciones de información, cifrado de datos, inhabilitación de sistemas o incluso espionajes industriales han venido produciéndose desde que los ciberataques están siendo registrados.
Evolución de las técnicas de ataque
Las técnicas de ataque más utilizadas, sin embargo, han variado poco. Desde hace más de 10 años, el ENISA publica anualmente un informe sobre los incidentes de ciberseguridad que se producen periódicamente en Europa. En el sector de las telecomunicaciones, por ejemplo, el informe de 2022 recoge que el 15% de los incidentes de ciberseguridad se debieron a errores humanos; un indicador que podría pasar desapercibido pero que, sin embargo, si se proyecta desde 2012, muestra como se ha mantenido una tendencia de forma sostenida.
Ni las campañas de concienciación, ni los mecanismos de seguridad dirigidos a reducir la ratio de errores de los usuarios han conseguido invertir la curva.
De forma análoga podríamos hablar de los ataques de ransomware o incluso de conceptos tan abstractos como los malwares, donde casi todo tiene cabida.
¿Y qué decir del phishing? Año tras año nos encontramos con que el phishing encabeza la lista de técnicas más empleadas para intentar vulnerar un sistema informático.
Previsibilidad y prevención
Pero, volvamos al punto de partida: ¿son todos estos tipos de ataques predecibles y por tanto prevenibles? La respuesta posiblemente sea que “mayoritariamente sí”. El phishing es un buen ejemplo, aunque no el único.
La amenaza de los correos electrónicos
Los correos electrónicos se han convertido en la puerta de entrada a la ciberdelincuencia en muchas organizaciones. A través de campañas perfectamente organizadas los delincuentes consiguen subvertir el comportamiento de los sistemas IT de una organización a través de técnicas de ingeniería social que utilizan el correo electrónico como canal de comunicación.
Muchas compañías actualmente organizan sesiones de concienciación con sus empleados, utilizando ataques simulados, al tiempo que protegen sus recursos con herramientas antimalware y antispam que bloquean este tipo de ciberataques. Sin embargo, ¿cuántas compañías hacen uso de las configuraciones DMARC para mejorar su seguridad? La respuesta posiblemente sea que muy pocas.
La consecuencia inmediata es que, pese a disponer de medios tecnológicos, las compañías siguen sin captar la verdadera importancia que tiene el phishing en sus organizaciones y por tanto hacen uso parcial de todas las posibilidades de protección que tienen a su disposición.
Cadenas de suministro software
Vayamos ahora a un segundo ejemplo. Las cadenas de producción software y el desarrollo de software en general. Ambas adolecen de debilidades de seguridad que en muchas ocasiones son pasadas por alto. ¿Cuántos equipos de desarrolladores disponen de mecanismos de protección para la generación de nuevas versiones en sus aplicativos?, ¿cuántas compañías hacen uso de herramientas de análisis DAST y SAST para el análisis del código desarrollado?
Las respuestas a estas preguntas pueden resultar ilustrativas si recordamos los casos de SolarWinds o de Log4j.
Robo de contraseñas
Pero sigamos y propongamos un último ejemplo: el robo de contraseñas. Todos somos conscientes de que la gestión de contraseñas es un paso indispensable para la ciberseguridad de los recursos que utilizamos. A menudo somos capaces de diseñar complejas secuencias de caracteres con las que proteger nuestras cuentas de usuarios. Ahora bien, ¿cuántos usuarios utilizan dobles factores de autenticación de forma habitual?
Según algunos estudios, actualmente existen más de 300 mil millones de contraseñas en el mundo (sean en redes sociales, usuarios corporativos, servicios bancarios, correos electrónicos, etc.). Pues bien, apenas el 11% de las compañías utilizan mecanismos de doble autenticación en todos sus servicios; y el porcentaje se reduce aún más cuando hablamos de usuarios no corporativos.
Como consecuencia, la superficie de ataque permanece abierta a los ciberdelincuentes permitiéndoles mantener la tipología de sus estrategias. Y si no, recordemos lo que ocurrió con Colonial Pipeline.
Conclusión
Cuentas de usuarios, phishing o entornos de desarrollo son solo una pequeña muestra de los retos para los que las empresas de ciberseguridad han aportado soluciones que reducen los riesgos de sufrir un cibereincidente. Sin embargo, continuamos sin hacer un uso amplio de ellas.
Existen muchos otros recursos que están disponibles para reducir nuestros ciberrriesgos. Recursos que si son utilizados adecuadamente pueden “hacer prevenible aquello que históricamente hemos visto que es predecible”, porque, además, muchos de esos ciberataques a menudo tienden a repetirse. Precisamente por eso, no esté de más recordar ahora, a raíz de los últimos acontecimientos, que nuestra seguridad siempre es mejorable.
Firmado: Juanjo Galán, Business Strategy de All4Sec
La entrada Tipología de ciberataques: la historia tiende a repetirse es original de MuySeguridad. Seguridad informática.