Responder a un ciberataque en menos de 1 hora

El Readiness Assessment es una tarea dentro de la Respuesta a Incidentes proactiva que permite responder a un ciberataque en minutos y minimizar su impacto

49 millones de dólares. Eso fue lo que tuvo que gastar Clorox, una compañía global de productos de limpieza, para responder a un ciberataque que paralizó el funcionamiento de la empresa, mermando su capacidad de elaborar sus productos y distribuirlos. Junto a las pérdidas económicas tenemos otro dato que evidencia la magnitud del incidente y los problemas para recuperar la normalidad de la compañía. El ataque se produjo en agosto de 2023 y en febrero de 2024 aún se están realizando trabajos para subsanar los daños causados.

Este caso evidencia que cada minuto que dura un incidente de seguridad resulta crítico y que, por lo tanto, si una empresa puede responder a un ciberataque en menos de 1 hora, será más probable que el impacto de este sea reducido y que no impacte a la continuidad de negocio. Lo que no solo genera pérdidas económicas, sino también reputacionales, como reconoce la propia compañía de productos de limpieza.

¿Qué pueden hacer las empresas y las instituciones públicas para evitar que los efectos de los ciberataques se alarguen en el tiempo y pongan en tela de juicio funciones críticas de las organizaciones? Disponer de un servicio de Respuesta a Incidentes proactivo, que ponga el acento en la preparación previa a los incidentes y así poder responder de forma eficaz a un ciberataque en menos de 1 hora.

En esta misión juega un papel esencial una de las tareas básicas de un servicio de Respuesta a Incidentes proactivo: el Readiness Assessment. Esta actividad, que se debe llevar a cabo de manera periódica, permite a los profesionales de ciberseguridad comprobar que el equipo de Respuesta a Incidentes puede actuar de manera inmediata para combatir un ciberataque, contenerlo, eliminar la presencia de actores maliciosos y ayudar a las organizaciones a recuperar la normalidad.

1. ¿Por qué es importante responder a un ciberataque en menos de 1 hora?

36 millones de libros y 170 millones de documentos históricos dejaron de estar disponibles de un plumazo. En octubre de 2023, la British Library, la biblioteca con el mayor catálogo del mundo, sufrió un ataque de ransomware a cargo del grupo delictivo Rhysida. Los delincuentes no solo lograron secuestrar el catálogo digital de la institución, sino también los datos personales de sus trabajadores y sus usuarios.

Casi cuatro meses después, la biblioteca se encuentra lejos de recuperar la normalidad. Por ahora, solo se puede consultar el catálogo de obras en la sede principal y solicitar al personal que busque el libro o documento que se desea. En esencia, una de las bibliotecas más importantes y modernas del mundo ha retrocedido varias décadas en el tiempo.

El coste de recuperar la normalidad se desconoce por el momento, pero medios como el Financial Times sitúan la cifra en torno a los 7 millones de libras. Sin embargo, esto no contempla las enormes pérdidas económicas que tienen que asumir los autores que dejan de cobrar por la consulta de sus libros y los investigadores de todo el planeta que han visto paralizados sus trabajos e investigaciones ante la imposibilidad de acceder a los documentos que necesitan.

¿Qué habría pasado si los mecanismos y equipos defensivos de la British Library hubieran detectado el ataque en una fase temprana y hubieran activado una respuesta eficaz en menos de 1 hora? Nunca lo sabremos, pero cabe suponer que el incidente habría sido menos devastador.

1.1. Contener su impacto y reducir su duración

Existen dos aspectos capitales a la hora de evaluar la criticidad de un incidente de seguridad: a qué activos de las compañías afecta y cuánto tiempo se necesita para repeler a los actores maliciosos y recobrar el funcionamiento normal de la organización.

En los ataques contra Clorox y la British Library el impacto fue devastador porque el primer incidente provocó la paralización de la producción y la distribución de la compañía; mientras que el segundo imposibilitó el acceso al catálogo de libros y documentos de la biblioteca. Además, en ambos casos la recuperación tras el ataque y la mitigación de todos los daños causados aún no se ha completado del todo. La duración de ambos incidentes es de varios meses.

Responder a un ataque en menos de 1 hora es clave para identificar el alcance del compromiso cuanto antes, conocer en tiempo real qué privilegios ha alcanzado el actor malicioso y establecer cuáles son los riesgos potenciales para los activos de la compañía. Así, se puede orquestar una Respuesta a Incidentes personalizada para impedir que el ataque se expanda a través de la infraestructura tecnológica y así lograr expulsar al actor hostil de manera ágil, eficaz y segura.

1.2. Salvaguardar la continuidad de negocio

La continuidad de negocio es un aspecto crítico para las empresas en lo relativo a un incidente de seguridad. Si un ciberataque consigue menoscabar las actividades habituales o, incluso, paralizarla por completo, su impacto será mucho más severo en términos económicos y reputacionales.

Si una organización tarda demasiado tiempo en acometer la respuesta frente a un incidente, la posibilidad de que la continuidad de negocio se vea amenazada aumenta. En cambio, si puede responder ante un ciberataque en menos de 1 hora, se reduce la probabilidad de que el incidente paralice los procesos y actividades cotidianos.

La continuidad de negocio es vital para toda clase de organizaciones. En algunos sectores, tan críticos como la salud, la energía o la banca, que un ciberataque provoque la parálisis de una entidad puede resultar devastador e, incluso, llegar a afectar a la salud y el bienestar de las personas.

Esto resulta evidente en el caso de los hospitales, que se han convertido en un target prioritario de los actores maliciosos y que no pueden funcionar si han de apagar sus sistemas o son incapaces de acceder a la información médica de sus pacientes, como sucedió en el ya célebre ataque contra el Clínic, el mayor hospital de Barcelona.

Este mismo mes de febrero, un hospital infantil de Chicago, que atiende a 200.000 niños al año, sufrió un incidente de seguridad que provocó que todos sus sistemas dejaran de estar online. ¿Cuáles fueron las consecuencias? Paralización de todas las citas médicas, retraso o cancelación de intervenciones quirúrgicas programadas y un regreso obligado al mundo analógico: usar el bolígrafo y el papel para redactar los diagnósticos y expedir las recetas.

 

1.3. Minimizar el impacto sobre terceros

Si la continuidad de negocio es crítica, las consecuencias de un ciberataque en los clientes, trabajadores, proveedores o socios de una empresa no se quedan atrás.

Hoy en día, uno de los objetivos prioritarios de muchos grupos delictivos, sobre todo, aquellos que emplean ransomware y otra clase de malware es acceder a datos e información confidencial de las empresas. Desde los datos personales y financieros de los clientes y los trabajadores, hasta secretos empresariales o propiedad intelectual.

¿Por qué es fundamental responder a un ciberataque en menos de 1 hora? Es la mejor manera de limitar el acceso de los delincuentes a los datos de una compañía, minimizando al máximo posible los documentos y datos obtenidos y secuestrados durante un ataque.

La información robada es usada por los delincuentes para extorsionar a las empresas, pero también a sus clientes y proveedores, exigiendo el pago de un rescate para evitar que se exfiltre información personal y financiera en la Dark Web, como les sucedió a los pacientes del Fred Hutchinson Cancer Center, una institución especializada en la lucha contra el cáncer.

Además, claro está, estos datos se pueden comercializar para permitir a otros actores maliciosos llevar a cabo robos de identidad y cometer fraudes económicos, por ejemplo, obteniendo crédito bancario.

A esto debemos sumar el hecho de que un incidente de seguridad grave que conlleve la parálisis de las actividades repercute directamente en sus clientes, pacientes (en el caso del sector de la salud) o alumnos (en lo relativo a la educación), impidiéndoles acceder a productos y servicios que necesitan.

1.4. Evitar cuantiosas pérdidas económicas

En septiembre de 2023, Johnson Controls, una multinacional que desarrolla sistemas de control industrial (ICS, en sus siglas en inglés) y equipamientos de seguridad, sufrió un ataque de ransomware. Ahora se ha dado a conocer los costes asociados al incidente: 27 millones de dólares. Si bien, la propia compañía ha reconocido que los costes aumentarán cuando se termine de evaluar a qué datos han podido tener acceso los delincuentes.

Esta cifra millonaria palidece frente a las estimaciones realizadas por MGM Resorts, una compañía con múltiples casinos, hoteles y resorts en todo el mundo, que también sufrió un ciberataque en 2023. La multinacional considera que el coste total del incidente rondará los 100 millones de dólares, después de que sus casinos en Las Vegas se vieran afectados por el ataque, paralizando el funcionamiento de numerosas máquinas de apuestas. A lo que se debe sumar el robo de datos personales y financieros de miles de clientes.

100 millones, esta vez, de euros, es lo que estima la compañía de telecomunicaciones neerlandesa Veon que le habrá costado el ciberataque que sufrió su filial ucraniana Kyivstar. El incidente provocó que 26 millones de clientes de la empresa no tuvieran ni conectividad telefónica ni datos móviles durante dos días. Una crisis de la continuidad de negocio de enorme calado que lleva asociada un deterioro reputacional de la compañía. Para intentar frenar dicho deterioro, Kyivstar ofreció un mes gratis a sus clientes por los inconvenientes causados.

¿Cómo se pueden limitar los costes asociados a un incidente de seguridad? Disponiendo de un servicio que permita responder a un ciberataque en menos de 1 hora y comenzar a trabajar de manera integral para contener su expansión, garantizar la continuidad de negocio y restablecer la normalidad sin que las operaciones y los clientes sea vean afectados.

1.5. Proteger la reputación empresarial

¿Por qué sabemos que Clorox y Johnson Controls han tenido que asumir 76 millones de dólares en costes tras sufrir sendos incidentes y que MGM Resorts estimó unas pérdidas de 100 millones? Han tenido que informar de ello a la Securities and Exchange Commission (SEC), es decir, el regulador bursátil estadounidense. A ello debemos sumar las obligaciones en materia de comunicación de incidentes y de reportes finales sobre los mismos que imponen normativas como la directiva NIS2 en la Unión Europea.

¿Qué implica esto? Que las empresas no pueden invisibilizar los ataques que sufren. Sobre todo, en aquellos casos en los que la continuidad de negocio se ve menoscabada o se producen fugas de datos de clientes, trabajadores, proveedores o socios.

Responder a un ciberataque en menos de 1 hora y lograr minimizar su impacto es esencial para reducir los efectos del incidente en la reputación de una compañía.

Las cuentas realizadas por Clorox y Johnson Controls no tienen en cuenta las pérdidas económicas asociadas a los daños reputacionales.

Los incidentes de seguridad finalizan cuando se logra expulsar a los actores maliciosos de manera definitiva y se logra recuperar el funcionamiento normal y seguro de todos los activos de la compañía. Sin embargo, sus consecuencias en la reputación de una empresa se alargan en el tiempo, generando dudas entre los inversores, los socios comerciales y, por supuesto, los clientes.

 

2. Readiness Assessment. Soldados preparados para actuar en tiempo real

¿Todos los servicios de Respuesta a Incidentes son capaces de responder a un ciberataque en menos de 1 hora? No. Si se opta por una Respuesta a Incidentes reactiva, los tiempos de ejecución se alargan. En cambio, la Respuesta a Incidentes proactiva sí es capaz de implementar las medidas de manera inmediata y responder en tiempo real desde el primer momento. En gran medida, porque se realizan varias tareas antes de que se produzca un ataque.

Una de estas tareas es el Readiness Assessment, un análisis exhaustivo de las fuentes de información, las herramientas de seguridad, los activos digitales, los recursos humanos, los accesos y los datos de una compañía que son susceptibles de ser utilizados durante la respuesta ante incidentes eficaz.

Gracias a toda la información que se recopila y actualiza de manera periódica, los profesionales pueden responder a un ciberataque en menos de 1 hora y limitar su impacto en una compañía.

2.1. ¿Cuáles son los objetivos del Readiness Assesment?

• Confeccionar una red de contactos eficaz, de tal manera que se puedan agilizar y coordinar todas las acciones de Respuesta a Incidentes en cuestión de minutos. Dicho de una manera más prosaica, el Readiness Assessment sirve para saber en todo momento con quién hay que hablar para avanzar en la respuesta o para informar sobre los trabajos que se llevan a cabo.
• Disponer de todos los accesos necesarios a las fuentes de información y a las herramientas precisas para consultar indicadores y evidencias que permitan analizar el incidente. Solo con estos accesos es imposible responder a un ciberataque en menos de 1 hora.
• Conocer con precisión y en profundidad las fuentes de información, las aplicaciones, los servicios y los datos de la compañía. De tal manera que se parta de una base sólida que posibilite responder a un ciberataque en menos de 1 hora de manera eficaz. Es decir, determinando cuáles son las mejores medidas para contener el ataque y acortando los tiempos de espera. Este conocimiento integral de la compañía debe actualizarse de manera continua.
• Actualizar permanentemente la información, los contactos y los accesos.
• Saber con precisión cuáles son los requerimientos en materia de tratamiento de datos y las limitaciones relacionadas con ellos.
• Detectar gaps y oportunidades de mejora para optimizar la Respuesta a Incidentes.
• Comprobar el uso de nuevas herramientas para gestionar un incidente de seguridad. De esta manera, se pueden complementar las herramientas propias de la compañía y mejorar la capacidad de responder a un ciberataque en menos de 1 hora, de manera eficaz y segura.

3. Servicio de Respuesta a Incidentes proactivo: Estar listos para la batalla

El panorama de amenazas al que se enfrentan las empresas, las administraciones públicas y los ciudadanos es cada día más complejo y peligroso. Los negocios y los hogares están cada día que pasa más expuestos y el crecimiento del número de ciberataques no cesa.

Por eso, las compañías y las instituciones ya no tienen que preguntarse si pueden sufrir un ataque, sino si están preparadas para responder a un ciberataque en menos de 1 hora y evitar que su impacto afecte a su funcionamiento, sus cuentas económicas y su reputación.

Las magnitudes de pérdidas económicas que hemos visto a lo largo de este artículo nos permiten poner en valor la relación coste/beneficio de disponer de un servicio de Respuesta a Incidentes proactivo. ¿Por qué? Si no se cuenta con un equipo de profesionales preparado para responder a un ciberataque en menos de 1 hora, la capacidad de los delincuentes de escalar, persistir y cumplir todos sus objetivos criminales aumenta. Y, con ella, los costes económicos y reputacionales que ha de asumir la empresa atacada.

¿La Respuesta a Incidentes proactiva se limita a la realización de un Readiness Assessment? No, aunque se trata de una tarea clave, no es la única actividad que realizan los especialistas en ciberseguridad para conseguir que las empresas puedan afrontar un ciberataque con éxito.

¿Cuáles son todas las tareas que se llevan a cabo y en qué consisten sus beneficios con respecto a una gestión de incidentes reactiva?

3.1. 10 beneficios de un servicio de Respuesta a Incidentes proactivo

1. Disponer de un equipo de Respuesta a Incidentes especializado y con un amplio conocimiento sobre la compañía, sus activos y sus profesionales.
2. Realizar Readiness Assessment continuos para agilizar al máximo el despliegue del equipo de Respuesta a Incidentes.
3. Ejecutar Compromise Assessment periódicos, de cara a identificar actividades maliciosas que no han sido detectadas por los mecanismos de defensa.
4. Diseñar y poner en marcha simulacros de incidentes para optimizar las actuaciones de respuesta.
5. Llevar a cabo análisis de amenazas para identificar a actores hostiles que podrían atacar a la compañía o administración pública y realizar un plan de prevención para anticiparse a sus actuaciones.
6. Disponer de un plan de Respuesta a Incidentes integral que permita a la organización actuar en tiempo real.
7. Responder a un ciberataque en menos de 1 hora porque ya se dispone de la información y los accesos necesarios.
8. Identificar el alcance del compromiso en el menor tiempo posible.
9. Orquestar respuestas a medida para expulsar al actor malicioso y recuperar la normalidad de manera segura.
10. Contar con un análisis integral del incidente para identificar las debilidades explotadas, disponer de toda la información sobre los actores maliciosos y optimizar el funcionamiento de los controles de seguridad para evitar que un incidente similar se vuelva a producir.

3.2. Cada segundo cuenta

En definitiva, responder a un ciberataque en menos de 1 hora es una cuestión crítica para las compañías. En el transcurso de un incidente de seguridad cada minuto cuenta. Por eso es fundamental que los profesionales encargados de gestionar la respuesta dispongan de un conocimiento amplio de la organización y tengan acceso a todas las fuentes de información y herramientas. De esta manera, podrán:

• Identificar el alcance del compromiso.
• Proceder a la contención del ataque.
• Erradicar la amenaza, limitando su expansión por la infraestructura tecnológica.
• Expulsar a los actores maliciosos.
• Garantizar la continuidad de negocio.
• Restablecer la normalidad con eficacia y agilidad.