Amenazas cibernéticas: cómo priorizarlas, gestionarlas y reducirlas

Aunque las organizaciones se enfrentan constantemente a nuevas amenazas de ciberseguridad, las que tienen más probabilidades de causar problemas son más bien conocidas.

Adopta un enfoque de gestión de las amenazas basado en el riesgo

Buenas prácticas para romper silos entre los equipos de riesgo y la empresa y ganar eficacia al reducir las amenazas

Al hacer clic en el botón "Continuar", aceptas los Términos de uso y la Política de privacidad de Gartner.

Información de contacto

Todos los campos son obligatorios.

Información sobre la empresa/organización

Todos los campos son obligatorios.

Optional

Tres maneras de evitar la gestión aislada de la ciberseguridad en la empresa

La falta de recursos, la división de las operaciones en silos y la implementación deficiente de las herramientas suelen impedir que los equipos de seguridad y gestión de riesgos (Security and Risk Management, SRM) puedan detectar las amenazas y responder a ellas. Sin embargo, adoptar un enfoque basado en el riesgo puede ayudar a mejorar la eficiencia en la detección de amenazas y el tiempo de respuesta.

Esta investigación te ayudará con los equipos de SRM en lo siguiente:

  • Romper los silos entre el equipo de SRM y los responsables de empresa.
  • Mejorar la información y los procesos, lo que permite ahorrar tiempo y contribuye al éxito de la ejecución.
  • Priorizar para responder más rápido a los incidentes.

Asegurar la eficacia contra las ciberamenazas más probables

Los cambios tecnológicos constantes impulsados por la experiencia digital crean y amplían las superficies de ataque que los agentes maliciosos pueden aprovechar. Para proteger los activos digitales, es necesario que los directores de seguridad de la información (CISO) supervisen estos cambios y respondan a ellos.

Identifica las amenazas de ciberseguridad de mayor impacto para centrar tus recursos

Abordar todas y cada una de las amenazas potenciales nunca ha sido viable en términos operativos. Y aún en la actualidad, cuando la transformación digital, la computación en la nube, el trabajo híbrido y otras tendencias han ampliado la superficie de ataque (consulta también la pestaña “De la gestión de vulnerabilidades a la CTEM”). Los responsables de SRM deben centrar su actividad y sus recursos en las amenazas cibernéticas y las situaciones más probables y con mayor repercusión que puedan exponerlos a ellas. Se pueden clasificar en las tres categorías siguientes:

  • Amenazas principales. Son amenazas muy conocidas por las organizaciones que mantienen su importancia con el paso del tiempo debido a los cambios de táctica.
  • Amenazas de alto impulso. Amenazas que van en aumento, pero son menos conocidas que las amenazas principales.
  • Amenazas inciertas. Amenazas de “alerta baja” que podrían estar surgiendo y resultar peligrosas o estar sobredimensionadas y ser una distracción. La organización deberá discernir de qué tipo de amenaza se trata en cada caso.

Los responsables de seguridad se guían por distintos factores a la hora de decidir si se invierte o no para responder a una amenaza concreta, independientemente de su categoría:

  • La importancia: ¿la amenaza podría repercutir en la continuidad de las operaciones?

  • La urgencia: ¿la amenaza podría afectar a la capacidad operativa? ¿En qué grado?

  • La madurez: si la amenaza llega a afectarnos, ¿disponemos de un plan de respuesta eficaz?

  • El coste de oportunidad: ¿el coste de abordar la amenaza supera el coste del impacto de la amenaza en sí?

  • La mensurabilidad: ¿podemos demostrar a los responsables de empresa el valor de invertir en nuestra protección?

Recopila diferentes tipos de información sobre acontecimientos pasados para fundamentar las decisiones sobre qué supuestos de amenaza priorizar o relegar en la actualidad y en el futuro. Analiza los relatos, las estadísticas y los cambios en la empresa para aprender del pasado. Después, prepárate para arbitrar entre las tendencias del panorama de las amenazas y decidir en qué controles invertir o desinvertir o cuáles acelerar en el presente y en el futuro.

El dinamismo del entorno empresarial también debería influir a la hora de priorizar las amenazas de ciberseguridad. Además, algunos puntos de inflexión desconocidos pueden alterar el panorama de las amenazas. Por ello, asegúrate de reservar alguna partida presupuestaria para abordar amenazas imprevistas.

Mantén el enfoque en las amenazas conocidas que plantean un riesgo elevado debido a los microcambios

Durante la última década, los casos de riesgo que han tenido más impacto con mayor frecuencia no han variado. Se trata, en concreto, del malware, el phishing y el uso indebido de credenciales. Recabar el apoyo de las partes interesadas dentro de la empresa frente a amenazas conocidas como estas puede resultar difícil si consideran que se trata de riesgos que ya han sido abordados. En lugar de esto, los directores de seguridad y gestión del riesgo deben hacer hincapié en que, aunque la macroamenaza sea la misma, las microtendencias asociadas con ella han cambiado. A modo de ejemplo:

Malware/Ransomware

El ransomware como servicio (RaaS, por sus siglas en inglés) permite a los atacantes utilizar herramientas de ransomware existentes para llevar a cabo ciberataques de extorsión. Aunque las agencias gubernamentales siguen cooperando para lograr desmantelar algunas de las mayores infraestructuras de malware, los atacantes cambian sus tácticas. Por ejemplo, algunos operadores de ransomware han dejado de depender exclusivamente en el cifrado y usan otras formas de ciberextorsión, como la corrupción de datos para que sean irrecuperables, la corrupción de hardware, el robo de datos y la minería de datos. También aumenta el riesgo para las organizaciones de pagar por los rescates, mientras disminuye la protección de los ciberseguros debido a un endurecimiento de las normas.

Evolución de las tácticas de phishing

Se conoce como “phishing” el intento de obtener información a través de diferentes canales, principalmente el correo electrónico, pero también las plataformas colaborativas, las redes sociales, los mensajes de texto (smishing), los mensajes de voz (vishing) e incluso los códigos QR.

Cuando el phishing surte efecto, suele ser el primer paso de una serie de consecuencias sucesivas como la exfiltración de datos, el robo de credenciales, o las pérdidas económicas o de reputación para la empresa. Los atacantes siguen desarrollando sus técnicas con la mejora del contenido dirigido, la automatización y unas suplantaciones de identidad más realistas. El phishing sigue siendo una de las principales causas de incidentes de pérdida de datos. Los métodos de ataque son cada vez más sofisticados con el uso de técnicas de ingeniería social difíciles de detectar.

Uso indebido de credenciales

En el uso indebido de credenciales es uno de los casos en los que los atacantes consiguen iniciar sesión como empleado (u otra persona con acceso legítimo en la infraestructura, las aplicaciones y los datos de una empresa) o piratear una sesión activa. Según los informes anuales de Verizon sobre filtraciones de datos, el robo de credenciales es el vector más significativo de estos ataques en los últimos años. Muchos ataques modernos logran sortear la autenticación multifactorial, aunque esta sigue siendo una buena práctica para detener los ataques de apropiación de cuentas (ATO, por sus siglas en inglés), especialmente si usan métodos y flujos modernos de autenticación.

Fomenta la conciencia y el conocimiento de las amenazas de alto impulso, pero de perfil bajo

Las amenazas de alto impulso representan un riesgo elevado para la organización. Sin embargo, por lo general son menos conocidas, salvo que tu empresa, u otra del sector, haya sido víctima de un ataque de este tipo.

Para adaptarse a las amenazas de alto impulso, los responsables de seguridad deben conocer mejor qué activos de la empresa tienen más probabilidades de ser el objetivo de estas amenazas. Dos ejemplos de ello son las API y los sistemas ciberfísicos (CPS, por sus siglas en inglés). Aunque un ataque contra estos activos podría no afectar a toda la organización, aprovecharía aquellas áreas en las que la postura de seguridad de la organización es vulnerable. 

Estos son algunos ejemplos de amenazas de alto impulso:

Apropiación de cuentas de clientes

En la apropiación de cuentas de clientes (ATO de clientes), los atacantes consiguen iniciar sesión en los servicios de la empresa haciéndose pasar por un cliente. Aunque puede darse en cualquier servicio de empresa a cliente (B2C) que requiera que el cliente inicie sesión, es más habitual en los servicios financieros, los servicios de comercio digital que permiten a los clientes almacenar los datos de la tarjeta de pago, las carteras y cuentas de intercambio de criptomonedas, y las cuentas de programas de fidelidad.

La ingeniería social sigue siendo uno de los métodos de ataque principales, aunque ya no consiste tanto en que un atacante intenta obtener las credenciales de una víctima, sino en un fraude de pagos automáticos autorizados (APP, por sus siglas en inglés), por medio del cual se logra que la víctima envíe dinero de su cuenta con pretextos fraudulentos. Los equipos de seguridad tienen dificultades para detectarlo porque son las propias víctimas quienes inician sesión en sus cuentas. Otro de los métodos es la suplantación de la marca a través de sitios web, perfiles en redes sociales o aplicaciones que copian la imagen de marca genuina en las interacciones con los clientes. 

Riesgos de la nube

La amplitud de los servicios en la nube y su superficie de ataque continúan creciendo a medida que aumenta el uso de la nube. El mayor peligro sigue radicando en la configuración incorrecta de los entornos en la nube por parte de los clientes. Cuando los ataques contra proveedores de la nube de cualquier tamaño resultan fructuosos o causan interrupciones en la infraestructura, las consecuencias pueden ser de gran alcance. Sin embargo, no es lo más habitual. La mayoría de los usuarios finales parecen valorar las ventajas que ofrece el uso de la nube en términos de seguridad y disponibilidad. 

Uso indebido de las API

Se entiende por “uso indebido de las API” el hecho de utilizar las API desarrolladas por una empresa explotando sus vulnerabilidades técnicas o su lógica comercial. El objetivo de los atacantes es la extracción de datos. Algunas técnicas de ataque son el scraping de datos de la API y los ataques de fuerza bruta contra las cuentas. Aunque los programas de seguridad de las aplicaciones más maduros ya incluyen directrices de protección de las API, la mayoría de las empresas aún no han adoptado medidas para abordar la magnitud y la especificidad del reto que plantea la seguridad de las API.

Es un reto en constante evolución, ya que el tráfico de las API crece más rápidamente de lo que pueden procesar la mayoría de los equipos de seguridad. Además, las API ya son una de las principales puertas de acceso a los datos de la empresa y a la funcionalidad de las aplicaciones.

Ataques dirigidos contra sistemas ciberfísicos (CPS)

También denominados internet de las cosas (IoT), internet industrial de las cosas (IIoT), robots o sistemas inteligentes, los CPS están concebidos para interactuar con el mundo físico. Al conectarse entre sí y con los sistemas de la empresa, amplían considerablemente la superficie de ataque y plantean riesgos para la seguridad humana y el medioambiente.

Los agentes estatales solían tener el monopolio en el despliegue de ataques dirigidos contra los CPS, pero los grupos de ransomware se han vuelto más agresivos y desarrollan soluciones para eludir la detección. Además, el catálogo de malware destructivo diseñado específicamente para atacar CPS industriales está aumentando y acelerándose.

Decide si las amenazas inciertas son una fuente de riesgo actual

Las amenazas inciertas no se pueden verificar con una base fáctica sólida. Ya sean muy visibles y recientes o más antiguas, son los problemas más difíciles de abordar, porque cambian de un año para otro y tienden a causar incertidumbre o una expectación desmesurada.

Las amenazas inciertas se pueden clasificar en cuatro categorías:

  • Incipientes. Son amenazas que pertenecen a arquitecturas y tecnologías emergentes que no existen en los entornos de producción. Para la mayoría de las organizaciones, no plantean ningún riesgo de producción.

  • Sobredimensionadas. Estas amenazas despiertan un interés súbito general basado en circunstancias anecdóticas. Podrían suponer un riesgo, pero los ejemplos pueden atraer la atención de los responsables de seguridad y distraerles del trabajo subyacente y a largo plazo. Los ataques basados en ChatGPT que se produjeron a principios de 2023 son un buen ejemplo de ello.

  • Emergentes. La capacidad de los equipos de seguridad de prevenir, detectar y responder a las amenazas para las nuevas tecnologías que las empresas han adoptado es limitada. 

  • Latentes. Las amenazas latentes también son indetectables para la mayoría de las organizaciones, que confían en que los atacantes se dirijan a objetivos más asequibles.

Estos son algunos ejemplos de amenazas inciertas:

Uso de la IA en los ataques

Gartner define la IA como la aplicación de análisis avanzados y técnicas basadas en la lógica (incluido el machine learning [ML]), para interpretar eventos, automatizar decisiones y realizar tareas. Los atacantes pueden utilizar técnicas de IA (y lo hacen) para mejorar sus ataques reduciendo el tiempo que transcurre hasta lograr el objetivo estratégico o eludiendo los controles de seguridad. De todas formas, los ejemplos de uso real son limitados y los indicios más cercanos de un uso eficaz de la IA proceden de foros frecuentados por atacantes.

Algunos métodos potenciales son la ingeniería social con vídeo y audio, el phishing (en especial los mensajes de phishing por correo electrónico generados por IA), la creación semiautomatizada de malware para acelerar su desarrollo y obtener mejores resultados a la hora de evitar su detección, la elusión de controles de seguridad (por ejemplo usando machine learning para crear variantes de malware o dificultar el reconocimiento de imágenes) y el pirateo de contraseñas mediante técnicas de ML para descifrarlas.

Ataques contra la IA

A medida que los modelos de IA se generalizan, mejora la técnica de los atacantes para manipular los resultados de la IA en beneficio propio. También encuentran nuevas formas de robar los datos personales y de otro tipo que se usan para entrenar modelos de IA. La entrada de datos para manipular los resultados de los modelos de IA es otra forma de atacar las aplicaciones de IA. Por lo general, no existen controles de seguridad para las superficies de ataque que ofrecen los modelos de IA o, si los hay, son vulnerables.

Amenazas no tecnológicas

Las ciberamenazas que no proceden de la tecnología afectan a activos digitales cuyo control no está automatizado en las empresas, como el comportamiento de los empleados y las identidades relacionadas con plataformas de terceros y claves públicas o privadas.

Estos son algunos ejemplos de amenazas de ese tipo:

  • Amenazas internas directas de empleados con intenciones maliciosas. Por ejemplo, un empleado podría aceptar dinero de un grupo de ransomware para instalarlo directamente con sus credenciales o podría tener interés en robar información o secretos comerciales.

  • Amenazas internas indirectas, derivadas de las relaciones comerciales con terceros (como socios de cadena de suministro) o de la incompetencia de los empleados al facilitar acceso indebido a los sistemas de la empresa.

  • Desinformación, como la introducción de información falsa en el discurso público (por ejemplo, a través de las redes sociales) o con el fin de dañar la reputación de una empresa o manipular los mercados.

  • Errores de usuario que conducen a fallos del sistema y a la pérdida o exfiltración de datos.

Deja atrás la gestión de vulnerabilidades y empieza una gestión continua de la exposición a amenazas

Reducir las amenazas cibernéticas va más allá de priorizar contra qué amenazas es necesario prepararse. Requiere adoptar un enfoque de gestión de amenazas que reconozca la creciente superficie de ataque que ofrecen los recursos de la organización, ya sean físicos o en la nube. Según la predicción de Gartner, en 2026 las superficies de ataque no parcheables habrán crecido, y representarán más de la mitad de la empresa. Y los programas tradicionales de gestión de vulnerabilidades no pueden crecer al mismo ritmo.

En su lugar, los equipos de seguridad y gestión del riesgo están optando por la gestión continua de la exposición a amenazas (CTEM), un enfoque integrado e iterativo en el que se prioriza y ajusta continuamente la postura de seguridad. La CTEM tiene como objetivo definir un plan de seguridad coherente y práctico que los directivos de la empresa entiendan y que los equipos de arquitectura puedan poner en práctica.

Un programa de CTEM se fundamenta en cinco etapas básicas:

La evaluación del alcance

La superficie de ataque abarca un conjunto muy amplio de activos, desde dispositivos, aplicaciones y usos tradicionales, hasta elementos menos tangibles, como las cuentas corporativas en redes sociales, los repositorios de código en línea y los sistemas de cadena de suministro integrada.

Para definir el alcance de la iniciativa de CTEM, primero debes entender qué consideran importante las contrapartes empresariales y qué impacto podrá ser lo bastante grave como para justificar el esfuerzo de corrección. Ten en cuenta los factores siguientes:

  • La superficie de ataque externa.
  • La postura de seguridad del software como servicio.
  • La protección del riesgo digital.
  • Los recursos de la web oscura y profunda para identificar posibles amenazas contra activos esenciales.

El descubrimiento

Después de evaluar el alcance, empieza un proceso de descubrimiento de activos comprendidos en dicho alcance y sus perfiles de riesgo. En el proceso de descubrimiento de fuentes de vulnerabilidad, debes incluir las amenazas cibernéticas, la configuración incorrecta de los activos y controles de seguridad, así como la falsificación de activos o las respuestas indebidas a las pruebas de phishing.

La priorización

Muchos procesos de descubrimiento terminan revelando vulnerabilidades que no se habían previsto en la evaluación inicial del alcance. La etapa de priorización sirve para eliminar el ruido.

Como ocurre con las amenazas comentadas anteriormente, el establecimiento de prioridades para el programa de gestión continua de la exposición a amenazas debe basarse en la urgencia, la gravedad, la capacidad de corrección y el nivel de riesgo que plantean para la organización. Si se utiliza un método de priorización sistemático, el equipo puede determinar claramente qué sistemas esenciales de la empresa tendrán preferencia.

La validación

En la validación, se utiliza la simulación o emulación controlada de un ataque para conocer cómo podría comportarse un actor malicioso en las amenazas de ciberseguridad. Este paso puede basarse en actividades de evaluación manuales, como ejercicios de red team (simulación de un ataque dirigido sobre una determinada organización) o de prueba de penetración. También puede aprovechar las evaluaciones automatizadas, como las simulaciones de vulneración y ataque. En un contexto de CTEM, la validación también evalúa los enfoques de corrección propuestos para determinar su eficacia y viabilidad organizativas.

La movilización

La corrección no puede automatizarse totalmente, en parte porque no existe una solución única para un ataque determinado, pero también porque la decisión última depende en cierta medida de las áreas afectadas en la empresa. Por ello, el objetivo del esfuerzo de movilización consiste en reducir la fricción al aprobar los tratamientos. Invita a las organizaciones a definir unas normas de comunicación y documentar los flujos de trabajo de aprobación entre varios equipos.

En 2025, los responsables de seguridad que movilicen a varios equipos en sus programas de gestión de la exposición conseguirán optimizar la seguridad un 50 % más que los que prioricen únicamente la corrección automatizada.

Mejora el rendimiento en tus principales prioridades estratégicas.