Amenazas cibernéticas: cómo priorizarlas, gestionarlas y reducirlas

Abordar todas y cada una de las amenazas potenciales nunca ha sido viable en términos operativos. Y aún en la actualidad, cuando la transformación digital, la computación en la nube, el trabajo híbrido y otras tendencias han ampliado la superficie de ataque (consulta también la pestaña “De la gestión de vulnerabilidades a la CTEM”). Los responsables de SRM deben centrar su actividad y sus recursos en las amenazas cibernéticas y las situaciones más probables y con mayor repercusión que puedan exponerlos a ellas. Se pueden clasificar en las tres categorías siguientes:

• Amenazas principales. Son amenazas muy conocidas por las organizaciones que mantienen su importancia con el paso del tiempo debido a los cambios de táctica.
• Amenazas de alto impulso. Amenazas que van en aumento, pero son menos conocidas que las amenazas principales.
• Amenazas inciertas. Amenazas de “alerta baja” que podrían estar surgiendo y resultar peligrosas o estar sobredimensionadas y ser una distracción. La organización deberá discernir de qué tipo de amenaza se trata en cada caso.

Los responsables de seguridad se guían por distintos factores a la hora de decidir si se invierte o no para responder a una amenaza concreta, independientemente de su categoría:

• La importancia: ¿la amenaza podría repercutir en la continuidad de las operaciones?

• La urgencia: ¿la amenaza podría afectar a la capacidad operativa? ¿En qué grado?

• La madurez: si la amenaza llega a afectarnos, ¿disponemos de un plan de respuesta eficaz?

• El coste de oportunidad: ¿el coste de abordar la amenaza supera el coste del impacto de la amenaza en sí?

• La mensurabilidad: ¿podemos demostrar a los responsables de empresa el valor de invertir en nuestra protección?

Durante la última década, los casos de riesgo que han tenido más impacto con mayor frecuencia no han variado. Se trata, en concreto, del malware, el phishing y el uso indebido de credenciales. Recabar el apoyo de las partes interesadas dentro de la empresa frente a amenazas conocidas como estas puede resultar difícil si consideran que se trata de riesgos que ya han sido abordados. En lugar de esto, los directores de seguridad y gestión del riesgo deben hacer hincapié en que, aunque la macroamenaza sea la misma, las microtendencias asociadas con ella han cambiado. A modo de ejemplo:

Malware/Ransomware

El ransomware como servicio (RaaS, por sus siglas en inglés) permite a los atacantes utilizar herramientas de ransomware existentes para llevar a cabo ciberataques de extorsión. Aunque las agencias gubernamentales siguen cooperando para lograr desmantelar algunas de las mayores infraestructuras de malware, los atacantes cambian sus tácticas. Por ejemplo, algunos operadores de ransomware han dejado de depender exclusivamente en el cifrado y usan otras formas de ciberextorsión, como la corrupción de datos para que sean irrecuperables, la corrupción de hardware, el robo de datos y la minería de datos. También aumenta el riesgo para las organizaciones de pagar por los rescates, mientras disminuye la protección de los ciberseguros debido a un endurecimiento de las normas.

Evolución de las tácticas de phishing

Se conoce como “phishing” el intento de obtener información a través de diferentes canales, principalmente el correo electrónico, pero también las plataformas colaborativas, las redes sociales, los mensajes de texto (smishing), los mensajes de voz (vishing) e incluso los códigos QR.

Cuando el phishing surte efecto, suele ser el primer paso de una serie de consecuencias sucesivas como la exfiltración de datos, el robo de credenciales, o las pérdidas económicas o de reputación para la empresa. Los atacantes siguen desarrollando sus técnicas con la mejora del contenido dirigido, la automatización y unas suplantaciones de identidad más realistas. El phishing sigue siendo una de las principales causas de incidentes de pérdida de datos. Los métodos de ataque son cada vez más sofisticados con el uso de técnicas de ingeniería social difíciles de detectar.

Las amenazas de alto impulso representan un riesgo elevado para la organización. Sin embargo, por lo general son menos conocidas, salvo que tu empresa, u otra del sector, haya sido víctima de un ataque de este tipo.

Para adaptarse a las amenazas de alto impulso, los responsables de seguridad deben conocer mejor qué activos de la empresa tienen más probabilidades de ser el objetivo de estas amenazas. Dos ejemplos de ello son las API y los sistemas ciberfísicos (CPS, por sus siglas en inglés). Aunque un ataque contra estos activos podría no afectar a toda la organización, aprovecharía aquellas áreas en las que la postura de seguridad de la organización es vulnerable. 

Estos son algunos ejemplos de amenazas de alto impulso:

Apropiación de cuentas de clientes

En la apropiación de cuentas de clientes (ATO de clientes), los atacantes consiguen iniciar sesión en los servicios de la empresa haciéndose pasar por un cliente. Aunque puede darse en cualquier servicio de empresa a cliente (B2C) que requiera que el cliente inicie sesión, es más habitual en los servicios financieros, los servicios de comercio digital que permiten a los clientes almacenar los datos de la tarjeta de pago, las carteras y cuentas de intercambio de criptomonedas, y las cuentas de programas de fidelidad.

La ingeniería social sigue siendo uno de los métodos de ataque principales, aunque ya no consiste tanto en que un atacante intenta obtener las credenciales de una víctima, sino en un fraude de pagos automáticos autorizados (APP, por sus siglas en inglés), por medio del cual se logra que la víctima envíe dinero de su cuenta con pretextos fraudulentos. Los equipos de seguridad tienen dificultades para detectarlo porque son las propias víctimas quienes inician sesión en sus cuentas. Otro de los métodos es la suplantación de la marca a través de sitios web, perfiles en redes sociales o aplicaciones que copian la imagen de marca genuina en las interacciones con los clientes. 

Riesgos de la nube

La amplitud de los servicios en la nube y su superficie de ataque continúan creciendo a medida que aumenta el uso de la nube. El mayor peligro sigue radicando en la configuración incorrecta de los entornos en la nube por parte de los clientes. Cuando los ataques contra proveedores de la nube de cualquier tamaño resultan fructuosos o causan interrupciones en la infraestructura, las consecuencias pueden ser de gran alcance. Sin embargo, no es lo más habitual. La mayoría de los usuarios finales parecen valorar las ventajas que ofrece el uso de la nube en términos de seguridad y disponibilidad. 

Las amenazas inciertas no se pueden verificar con una base fáctica sólida. Ya sean muy visibles y recientes o más antiguas, son los problemas más difíciles de abordar, porque cambian de un año para otro y tienden a causar incertidumbre o una expectación desmesurada.

Las amenazas inciertas se pueden clasificar en cuatro categorías:

• Incipientes. Son amenazas que pertenecen a arquitecturas y tecnologías emergentes que no existen en los entornos de producción. Para la mayoría de las organizaciones, no plantean ningún riesgo de producción.

• Sobredimensionadas. Estas amenazas despiertan un interés súbito general basado en circunstancias anecdóticas. Podrían suponer un riesgo, pero los ejemplos pueden atraer la atención de los responsables de seguridad y distraerles del trabajo subyacente y a largo plazo. Los ataques basados en ChatGPT que se produjeron a principios de 2023 son un buen ejemplo de ello.

• Emergentes. La capacidad de los equipos de seguridad de prevenir, detectar y responder a las amenazas para las nuevas tecnologías que las empresas han adoptado es limitada. 

• Latentes. Las amenazas latentes también son indetectables para la mayoría de las organizaciones, que confían en que los atacantes se dirijan a objetivos más asequibles.

Estos son algunos ejemplos de amenazas inciertas:

Uso de la IA en los ataques

Gartner define la IA como la aplicación de análisis avanzados y técnicas basadas en la lógica (incluido el machine learning [ML]), para interpretar eventos, automatizar decisiones y realizar tareas. Los atacantes pueden utilizar técnicas de IA (y lo hacen) para mejorar sus ataques reduciendo el tiempo que transcurre hasta lograr el objetivo estratégico o eludiendo los controles de seguridad. De todas formas, los ejemplos de uso real son limitados y los indicios más cercanos de un uso eficaz de la IA proceden de foros frecuentados por atacantes.

Algunos métodos potenciales son la ingeniería social con vídeo y audio, el phishing (en especial los mensajes de phishing por correo electrónico generados por IA), la creación semiautomatizada de malware para acelerar su desarrollo y obtener mejores resultados a la hora de evitar su detección, la elusión de controles de seguridad (por ejemplo usando machine learning para crear variantes de malware o dificultar el reconocimiento de imágenes) y el pirateo de contraseñas mediante técnicas de ML para descifrarlas.

Reducir las amenazas cibernéticas va más allá de priorizar contra qué amenazas es necesario prepararse. Requiere adoptar un enfoque de gestión de amenazas que reconozca la creciente superficie de ataque que ofrecen los recursos de la organización, ya sean físicos o en la nube. Según la predicción de Gartner, en 2026 las superficies de ataque no parcheables habrán crecido, y representarán más de la mitad de la empresa. Y los programas tradicionales de gestión de vulnerabilidades no pueden crecer al mismo ritmo.

En su lugar, los equipos de seguridad y gestión del riesgo están optando por la gestión continua de la exposición a amenazas (CTEM), un enfoque integrado e iterativo en el que se prioriza y ajusta continuamente la postura de seguridad. La CTEM tiene como objetivo definir un plan de seguridad coherente y práctico que los directivos de la empresa entiendan y que los equipos de arquitectura puedan poner en práctica.

Un programa de CTEM se fundamenta en cinco etapas básicas:

La evaluación del alcance

La superficie de ataque abarca un conjunto muy amplio de activos, desde dispositivos, aplicaciones y usos tradicionales, hasta elementos menos tangibles, como las cuentas corporativas en redes sociales, los repositorios de código en línea y los sistemas de cadena de suministro integrada.

Para definir el alcance de la iniciativa de CTEM, primero debes entender qué consideran importante las contrapartes empresariales y qué impacto podrá ser lo bastante grave como para justificar el esfuerzo de corrección. Ten en cuenta los factores siguientes:

• La superficie de ataque externa.
• La postura de seguridad del software como servicio.
• La protección del riesgo digital.
• Los recursos de la web oscura y profunda para identificar posibles amenazas contra activos esenciales.

El descubrimiento

Después de evaluar el alcance, empieza un proceso de descubrimiento de activos comprendidos en dicho alcance y sus perfiles de riesgo. En el proceso de descubrimiento de fuentes de vulnerabilidad, debes incluir las amenazas cibernéticas, la configuración incorrecta de los activos y controles de seguridad, así como la falsificación de activos o las respuestas indebidas a las pruebas de phishing.

La priorización

Muchos procesos de descubrimiento terminan revelando vulnerabilidades que no se habían previsto en la evaluación inicial del alcance. La etapa de priorización sirve para eliminar el ruido.

Como ocurre con las amenazas comentadas anteriormente, el establecimiento de prioridades para el programa de gestión continua de la exposición a amenazas debe basarse en la urgencia, la gravedad, la capacidad de corrección y el nivel de riesgo que plantean para la organización. Si se utiliza un método de priorización sistemático, el equipo puede determinar claramente qué sistemas esenciales de la empresa tendrán preferencia.