Servicios de ciberseguridad imprescindibles en la era digital

A lo largo de los últimos años, nos hemos acostumbrado a emplear grandes conceptos como digitalización o globalización, frases como «la información es poder» o «los datos son el nuevo petróleo» y anglicismos para describir los grandes avances que ya están trastocando el funcionamiento de los negocios como el Cloud o el Machine Learning. Detrás de todas estas cuestiones hay un amplio y complejo panorama de oportunidades para las compañías en una era en la que lo físico se está fusionando con lo digital. Todo este magma de oportunidades de negocio va acompañado, también, de ciber riesgos. No solo las compañías se han digitalizado, los criminales también lo han hecho. Por ello, toda empresa e institución con presencia digital debe apostar por los servicios de ciberseguridad imprescindibles para armarse frente a los ataques.

La guerra en el plano digital es como este: infinita. Las compañías que quieran superar con éxito los desafíos del presente y el futuro y las agresiones de los delincuentes tienen que situar a la ciberseguridad como un elemento estratégico tan relevante como su propio modelo de negocio, sus infraestructuras y su talento.

A continuación, vamos a explorar los principales riesgos a los que tienen que hacer frente las empresas e instituciones en la era digital y cuáles son los servicios de ciberseguridad imprescindibles para protegerse de forma proactiva ante las vulnerabilidades y el desarrollo de nuevas técnicas maliciosas.

1. Ninguna organización puede vivir de espaldas a la ciberseguridad

El 2 de enero de este mismo año, con las uvas aún en la garganta, estudiantes y docentes de la Universitat Oberta de Catalunya (UOC) descubrieron que no podían acceder al Campus Virtual de la Universidad. Los sistemas de la UOC habían sido víctimas de un ciberataque exitoso. Teniendo en cuenta que nos estamos refiriendo a una universidad a distancia plenamente digitalizada, el incidente afectó tanto a su modelo educativo, como a su propio modelo de negocio, justo a las puertas de los exámenes del primer cuatrimestre. El caso de esta institución no es una excepción, en los últimos tiempos muchas universidades españolas han sido atacadas: la Universitat Autònoma de Barcelona, la Universidad de Castilla-La Mancha, la Universidad de Oviedo… La lista no para de crecer.

1.1. Las crisis en el mundo digital se trasladan al físico

Habrá compañías que puedan pensar que las crisis de ciberseguridad solo son graves para los negocios completamente digitalizados. En los que todo lo que hacen y todo lo que comercializan tiene lugar en el mundo digital. Mientras que las compañías que construyen y venden productos físicos están a salvo, al fin y al cabo. Craso error. Para muestra algo tan cotidiano como la cerveza. Hace un año, Estrella Damm, una de las principales compañías cerveceras de nuestro país, tuvo que paralizar su producción durante dos días como consecuencia de un ciberataque.

Dos días en los que la compañía no pudo elaborar sus productos, pero en los que los gastos se mantuvieron inalterados. Sin contar con los inconvenientes que esta parálisis causó en su cadena de suministro habitual o en su gestión del stock. Más allá de los daños económicos directos, todo incidente de seguridad de este calibre lleva asociados unos daños reputacionales y, en el peor de los casos, legales.

En numerosas ocasiones, el objetivo de los agresores no es paralizar los sistemas del negocio, sino sustraer datos personales de sus clientes. Como ocurrió este mismo año con un ataque a gran escala lanzado contra Iberdrola. La compañía energética sufrió una fuga de datos que afectó a 1,8 millones de personas. Aunque los datos bancarios no se vieron vulnerados, los atacantes se hicieron con los datos de contacto de los clientes. Una información de gran valor a la hora de poner en marcha otras técnicas como el phishing.

Según la aseguradora Hiscox, en el 2021 las empresas españolas tuvieron que pagar una media de 100.000 euros para afrontar los ciberataques. Una cifra que se duplicó con respecto al año anterior. De ahí que afirmemos que las organizaciones no pueden vivir de espaldas a la ciberseguridad.

2. Salto al Cloud y teletrabajo: En las nubes también hay amenazas

La digitalización de las compañías, las instituciones y los hogares experimentó un espectacular aceleramiento en 2020, a raíz de la pandemia de covid-19. Con la movilidad física fuertemente limitada, de cara a contener la expansión del virus, la movilidad digital ganó protagonismo. La medicina y la educación a distancia, los e-commerce y el teletrabajo experimentaron un auge sin igual.

Ello consolidó el proceso de digitalización de la economía y la sociedad, con todas las ventajas que dicho proceso tiene para los negocios, las instituciones y la ciudadanía. Sin embargo, el salto al Cloud o la extensión del teletrabajo deben ir acompañados de programas de seguridad sólidos, capaces de anticiparse a las amenazas, solventar las vulnerabilidades y afrontar los ataques con éxito.

Así, las compañías no solo deben asumir el desafío que supone migrar sus sistemas y activos al Cloud para ser más operativas y ágiles y reducir costes. Sino que deben fortalecer el salto a la nube contando con servicios de ciberseguridad imprescindibles, desde las auditorías de seguridad de las plataformas web o las aplicaciones móviles, hasta la realización de test de penetración avanzados para medir la resiliencia frente a los ataques.

Lo mismo sucede en lo relativo al teletrabajo. Las compañías ya no tienen una o varias oficinas, con el trabajo a distancia cada domicilio es una oficina y cada equipo y red debe estar protegido de forma eficiente frente a posibles agresiones internas o externas. En este sentido, además de los servicios de ciberseguridad imprescindibles, también es de gran relevancia apostar por la formación de todo el personal. La concienciación de todos los trabajadores es clave para reducir al mínimo la posibilidad de que un descuido humano abra la caja de Pandora y deje a toda la organización expuesta.

3. La ciber exposición es tan peligrosa como cualquier incertidumbre de negocio

Habida cuenta de lo que venimos de contar, resulta ineludible observar que la ciber exposición es, hoy en día, una cuestión capital que compañías e instituciones tienen que tener en cuenta a la hora de diseñar sus estrategias de negocio.

En un contexto socioeconómico tan convulso como el actual, todas las organizaciones están pendientes de factores que arrojan incertidumbre sobre sus negocios. Desde la espiral inflacionista hasta los efectos de la guerra de Ucrania, pasando por los avatares políticos de cada país o la situación económica general.

Pues bien, la ciber exposición es una cuestión tan importante como todas las derivadas que venimos de enunciar. O incluso más, porque a diferencia de ellas no es coyuntural, sino sistémica. Los ciberataques a las compañías no van a cesar, al revés, año a año registran importantes aumentos. Sin ir más lejos, en 2021, el Gobierno detectó 180.000 intrusiones maliciosas contra ciudadanos, empresas e instituciones públicas españolas.

Si las compañías no toman medidas ambiciosas para poner en marcha estrategias de ciberseguridad integrales, están exponiendo sus activos y la continuidad de negocio a todas las intrusiones y ataques que se lanzan diariamente a nivel global.

Asimismo, debemos señalar que la digitalización aumenta la ciber exposición. Ya que cada vez hay más activos que se encuentran en la nube. Lo que dificulta la gestión y el control e incide en la seguridad de que tenemos la información de nuestro inventario de activos actualizada.

4. Las grandes amenazas de seguridad

El panorama de la ciberseguridad está en constante transformación. Cada día surgen tipologías, técnicas y metodologías de ataque diferentes. De ahí que las principales amenazas para la seguridad de las organizaciones también muten.

Teniendo en cuenta la probabilidad de que se produzcan los ataques y el nivel de riesgo asociado a su impacto en las organizaciones, el equipo de ciberseguridad de Tarlogic ha trazado una cartografía en la que se incluyen las diez amenazadas de seguridad más importantes.

Asimismo, los analistas y profesionales de Tarlogic Security señalan que el 80% de los ciberataques que se realizan en la actualidad se aprovechan de los ataques basados en la identidad para comprometer las credenciales legítimas de los usuarios y emplean técnicas de movimiento lateral para eludir la detección de los sistemas y equipos de seguridad.

Por ello, aunque la tecnología sea crucial para detectar amenazas y subsanar vulnerabilidades, los usuarios también juegan un papel de vital importancia a la hora de reducir los riesgos y evitar que los agentes maliciosos tengan éxito.

4.1. Top 3 de riesgos

De entre las diferentes amenazas de seguridad, el equipo de Tarlogic destaca un top 3 de riesgos, teniendo en cuenta tanto la probabilidad de que este tipo de ataques se produzcan, como su potencial impacto en los sistemas de las organizaciones. Nos referimos a los ataques de ransomware, phishing y al uso pernicioso de credenciales.

4.1.1. Ransomware

Los malware llevan atormentando a compañías y ciudadanos de todo el mundo desde hace lustros. Virus y troyanos han infectado los sistemas, software y equipos de miles de organizaciones. Y en los últimos años han adquirido un protagonismo inusitado los ataques de ransomware.

Este tipo de malware es un software que infecta los sistemas y se apodera de los datos y la información alojados en ellos. Para liberarlos, se exige a cambio un rescate (de ahí el prefijo ransom). De esta forma, mediante el secuestro de los datos, los atacantes logran enriquecerse ilegítimamente a costa de las víctimas.

Al igual que otros malware, los ransomware entran en los sistemas que buscan atacar a través de enlaces maliciosos que al ser clicados descargan el software agresor. O mediante aplicaciones falsas que los usuarios descargan en sus dispositivos.

De ahí que la toma de conciencia por parte de los usuarios sea fundamental para evitar que los ransomware puedan infectar los sistemas de las organizaciones, vulnerar su seguridad y hacerse con datos confidenciales y de gran valor. De ahí que los profesionales de Tarlogic categoricen el nivel de riesgo de estos ataques como crítico para las compañías e instituciones.

4.1.2. Ataques de phishing y spear phishing

Además de la propagación de malware, en los últimos tiempos han ganado terreno los ataques de ingeniería social, que cada vez son más sofisticados y eficaces. De entre todos ellos, cabe destacar los ataques de phishing.

Esta técnica consiste en el envío de correos electrónicos con apariencia de veracidad que, teóricamente, proceden de organizaciones de confianza, como entidades bancarias, instituciones públicas o compañías de energéticas. Sin embargo, detrás de estos emails no se encuentran estas organizaciones, sino criminales que han suplantado su identidad con el objetivo de manipular al receptor y obtener datos e información cruciales, por ejemplo, los datos bancarios de una persona o empresa.

Los ataques de phishing se traducen en robos de identidad, acceso fraudulento a organizaciones y comisión de operaciones delictivas. Todo ello puede conllevar grandes pérdidas económicas para los negocios y personas que son víctimas de dichos ataques, así como crisis reputacionales y de negocio.

Además, el phishing se utiliza de forma habitual para ganar credenciales que luego te permitan introducirte en una organización con el objetivo de permanecer en ella y utilizar ese movimiento para otros objetivos fraudulentos, o simplemente, permanecer oculto.

4.1.3. Uso de credenciales

Los profesionales de Tarlogic Security destacan que el uso de credenciales para acceder al sistema de una organización puede realizarse para llevar a cabo diferentes objetivos de ataque. Desde la fuerza bruta, hasta la ingeniería social, pasando por el robo de credenciales o el fraude.

Los controles de seguridad habituales en torno al uso de credenciales y más en concreto a la generación de credenciales están evolucionando hacia un modelo en el que el ser humano deje de intervenir.

De ahí que sea fundamental contar con sistema de gestión de credenciales eficaz y auditar y testear de manera constante la estrategia de seguridad. Solo mediante la puesta en marcha de servicios de ciberseguridad imprescindibles se puede securizar el software y hardware de una compañía y supervisar que las credenciales de los usuarios no son robadas, usurpadas y/o empleadas de manera indebida.

4.2. Otras amenazas relevantes

Junto a estas tres grandes amenazas del panorama actual, el equipo de ciberseguridad de Tarlogic destaca otras siete amenazas que es pertinente tener en cuenta a la hora de contratar los servicios de ciberseguridad imprescindibles para protegerse frente a los criminales. Podemos sistematizar estas amenazas en función de su impacto en las organizaciones.

4.2.1. Nivel de riesgo muy alto

• Fuga de información. En función del alcance de la fuga, el impacto de esta puede llegar a ser muy alto en lo relativo al riesgo que tiene que afrontar una compañía.
• Fraude del CEO. Este tipo de ataque de ingeniería social es similar al phishing, de hecho, la diferencia principal con aquel radica en el tipo de víctima seleccionada: cargos con responsabilidad dentro de una compañía. De ahí que el fraude del CEO también sea conocido como whaling (es decir, pescar ballenas). Mediante este ataque de ingeniería social, un atacante suplanta la personalidad de un CEO o director para solicitar datos confidenciales a un profesional de la entidad con acceso a estos.
• Amenazas internas. Cuando pensamos en los ataques de ciberseguridad, la mayoría de las personas nos imaginamos a agentes exteriores que buscan vulnerar los sistemas de una compañía. Pero los ataques también pueden proceder desde el interior de la organización. Así, un trabajador de una compañía puede ejecutar un malware en su ordenador del trabajo o llevar a cabo una fuga de información. Los servicios de ciberseguridad imprescindibles hoy en día tienen en cuenta esta casuística.

4.2.2. Nivel de riesgo alto

• Ataques DoS. Los ataques de denegación de servicio (DoS) buscan inhabilitar el uso de un sistema sobrepasando de manera ilegítima el número de peticiones o conexiones de usuarios que pueden gestionar de manera simultánea los servidores web.

4.2.3. Nivel de riesgo moderado

• Desinformación. Si las compañías y los usuarios están desinformados en lo que respecta a la ciberseguridad y a los ataques maliciosos, son más vulnerables frente a las agresiones y a técnicas como el ransomware o el phishing.
• Catástrofes físicas. Así como lo que sucede en el mundo digital impacta en el físico, lo que pasa en éste también reverbera en el digital. Sobre todo, si una catástrofe física, como un incendio, provoca serios daños en el hardaware y en la infraestructura física que sustenta los sistemas de una compañía o institución. Pudiendo provocar, por ejemplo, la pérdida de datos cruciales sobre un negocio y sus clientes.
• Hacktivismo. De las 10 amenazas que hemos abordado es la menos probable y su impacto en la organización es moderado.

5. Las principales tendencias en ciberseguridad: Los mayores riesgos a corto plazo

Teniendo en cuenta las amenazas que venimos de abordar, ¿cuáles son las principales tendencias de la ciberseguridad del presente? ¿Qué riesgos tienen que afrontar las compañías hoy en día? ¿Y mañana?

Fruto de la experiencia y el trabajo diario, el equipo de Tarlogic ha estipulado tres grandes tendencias en materia de ciberseguridad: la exposición de las organizaciones, los ataques a la cadena de suministro y los mecanismos de autenticación de los usuarios.

5.1. Aumento de la superficie de ataque

Como señalamos anteriormente, algunos de los grandes cambios tecnológicos, económicos y sociales de los últimos años han aumentado el nivel de ciber exposición de las compañías. El salto a la nube, la expansión del teletrabajo, la existencia de cadenas de suministro altamente conectadas y el uso de sistemas ciber-físicos han tenido sensacionales consecuencias en el funcionamiento de los negocios, sus resultados económicos y la forma de trabajar de sus profesionales. Pero también ha aumentado la superficie de ataque de las organizaciones.

Lo cual ha generado que la ciberseguridad se haya transformado en una cuestión estratégica para cualquier compañía. Así, más allá de contar con sistemas de seguridad perimetral y mecanismos de detección y respuesta frente a amenazas básicos, las organizaciones deben contratar una serie de servicios de ciberseguridad imprescindibles. Desde las diferentes auditorías de seguridad hasta servicios de Red Team o Threat Hunting y abrirse a enfoques más holísticos como la filosofía Zero Trust.

Solo de esta manera podrán gestionar un conjunto más amplio de riesgos, subsanar vulnerabilidades de manera preventiva, combatir amenazas de forma proactiva y anticiparse a los ataques.

5.2. Ataques a la cadena de suministro

Imaginémonos una empresa que se dedica a la elaboración de pastas italianas. La compañía no planta su propio trigo, sino que cuenta con un proveedor que se lo suministra. Pues bien, las instalaciones de su proveedor han sufrido un incendio y se paraliza la llegada de trigo. Lo cual conlleva que las fábricas de la empresa se queden paralizadas hasta que se cierre un acuerdo con un nuevo proveedor.

Este ejemplo del mundo físico se puede trasladar al ámbito digital, puesto que la cadena de suministro también se extiende a este ámbito. Por seguir con el ejemplo anterior, resulta fácil imaginarse que la compañía cuenta con proveedores de software (de facturación, de gestión de proyectos…), con proveedores que les facilitan las máquinas digitalizadas con las que se elaboran sus productos y con proveedores que prestan servicios básicos como la asistencia jurídica o el marketing y la publicidad.

Así, no solo es fundamental que las compañías protejan sus propios sistemas, software y hardware, sino que es imprescindible que los diferentes proveedores que forman parte de su cadena de suministro también estén securizados frente a los ciberataques.

Según Gartner, en 2025 el 45% de las organizaciones habrán sufrido ataques en sus cadenas de suministro de software. De ahí que sea de vital importancia que las compañías presten atención a los riesgos en su cadena de suministro, exigiendo a sus proveedores que lleven a cabo las mejores prácticas y cuenten con los servicios de ciberseguridad imprescindibles para garantizar su protección y la de las compañías que contrata sus servicios o productos.

5.3. Contraseñas y autenticación de los usuarios

Los humanos somos seres fascinantes, pero distamos mucho de ser perfectos. Como ya hemos ido señalando a lo largo de este artículo, más allá de las cuestiones puramente tecnológicas, el factor humano sigue siendo clave en lo que respecta a la ciberseguridad.

Una relevancia que se busca reducir, eliminando el factor humano en el proceso de autenticación de los usuarios que desean entrar en un determinado sistema.

Así, una de las tendencias más importantes de la actualidad gira en torno a la eliminación del factor humano a la hora de crear las contraseñas de los usuarios o, directamente, optar por nuevas tecnologías para gestionar la autenticación y, así, eliminar los riesgos asociados a la creación de las contraseñas.

De tal manera que la autenticación multifactor se está abriendo paso en muchas empresas y proveedores de software como una forma de reducir los riesgos de ciberseguridad y la superficie de ataque.

6. Armarse para ganar la guerra digital: Los servicios de ciberseguridad imprescindibles

Si en los apartados anteriores hicimos un sucinto repaso a las principales amenazas a las que deben prestar atención las organizaciones y a las tendencias centrales en materia de seguridad, ahora es el momento de ir más allá: Teniendo en cuenta el contexto actual, ¿cuáles son los servicios de ciberseguridad imprescindibles? ¿Qué servicios debe contratar una compañía para protegerse frente a los actores maliciosos y evitar tanto los incidentes de seguridad como las crisis derivadas de ellos?

Aunque el catálogo de servicios es muy amplio, podemos apuntar hacia tres grandes bloques de servicios de ciberseguridad imprescindibles para las organizaciones en la era digital: las auditorías de seguridad, los test de intrusión y los servicios ofensivos y defensivos.

6.1. Servicios de auditoría de seguridad

En tiempos pretéritos, los pueblos que libraban una guerra se aseguraban, ante todo, de que sus murallas y fortalezas estaban bien preparadas para resistir frente a los envites del enemigo. Por mucho que haya cambiado el mundo, las estrategias defensivas siguen respondiendo a principios e ideas similares a los de la Antigüedad.

Así, si una organización quiere protegerse frente a las ciber amenazas y reducir al máximo los riesgos de seguridad es fundamental que someta a sus activos a auditorías de seguridad realizadas por analistas y expertos con una amplia experiencia detrás.

De tal manera que, a la hora de hablar de los servicios de ciberseguridad imprescindibles hoy en día, es indispensable comenzar por las auditorías de seguridad. Mediante éstas, se identifican las debilidades encontradas en los diferentes activos de la compañía y que pueden llegar a ser explotadas por los agresores.

Esto permite a los analistas detectar las amenazas reales que pueden poner en jaque la infraestructura tecnológica de una compañía y repercutir directamente en el negocio.

Para llevar a cabo las auditorías de seguridad, se realizan una serie de pruebas específicas, teniendo en cuenta las últimas novedades tanto en lo relativo a las técnicas de ataque como a las estrategias de securización. De entre los diferentes servicios de auditorías de seguridad existentes debemos destacar aquellas centradas en:

• Aplicaciones web
• Aplicaciones móviles
• Internet of Things (IOT)
• Infraestructuras en la nube
• Código fuente
• Entornos bancarios avanzados
• Pruebas de denegación de servicio (DoS)
• Ingeniería Inversa
• Bastionado de sistemas operativos y tecnologías

6.2. Servicios de test de intrusión avanzados

Las auditorías de seguridad suponen la base sobre la que construir una estrategia de seguridad integral, pero una compañía no puede únicamente auditar su infraestructura tecnológica, sino que también debe testearla.

Precisamente, eso es lo que hacen otros de los servicios de ciberseguridad imprescindibles en la actualidad: los test de intrusión avanzados. Mediante estas técnicas se pueden identificar, explotar y mitigar las vulnerabilidades.

Los equipos de pentesters se encargan de simular ciberataques y, a través de estas simulaciones, detectar las debilidades existentes en los sistemas de una organización. Una vez que éstas son detectadas, los profesionales pueden explotar las vulnerabilidades de cara a confeccionar una panorámica precisa de qué riesgos afronta el negocio y, a partir de todo el conocimiento generado, proponer soluciones para remediar los problemas encontrados.

De entre estos servicios de ciberseguridad imprescindibles podemos destacar:

• Pentest internos y externos
• Pentest WiFi
• Ingeniería social

Todos ellos reportan un gran valor añadido a las compañías que los contratan, porque no solo sirven para mapear de manera exhaustiva las brechas de seguridad por las que se pueden colar los agresores. Sino que sirven para subsanarlas y securizar de manera continua la infraestructura tecnológica de la organización, teniendo en cuenta, además, las técnicas más innovadoras que diseñan e implementan los agentes maliciosos y que pueden vulnerar un activo que ayer contaba con una protección adecuada.

Además, los profesionales que efectúan los test de intrusión avanzados asesoran a las compañías a la hora de priorizar las amenazas de cara a gestionar los recursos de la manera más eficiente y proteger las áreas más vulnerables primero o reducir aquellos riesgos cuyo impacto en el negocio puede ser mayor.

6.3. Servicios ofensivos y defensivos de ciberseguridad

Auditar, testear… y pasar a la acción. En eso consisten, hablando en plata, otros de los servicios de ciberseguridad imprescindibles en la actualidad: los de seguridad ofensiva y defensiva.

Esta clase de servicios parte de un enfoque proactivo. Ya sea investigando nuevos escenarios de compromiso no detectado, empleando ataques desconocidos y dirigidos o simulando ataques reales para poner a prueba los sistemas de las organizaciones y su capacidad de respuesta frente a las agresiones.

Apostar por esta clase de servicios supone un cambio de paradigma y afrontar la securización de los sistemas de las organizaciones no solo como un conjunto de estrategias defensivas, sino también proactivas. Hablando en plata, las compañías no deben esperar a ser atacadas, sino que tienen que comprobar activamente que sus sistemas están fortificados de manera eficaz frente a los ataques conocidos, pero también a los desconocidos.

Además, las organizaciones deben contar con equipos plenamente operativos y preparados no solo para detectar y evaluar amenazas, sino también para afrontar con éxito su mitigación y solventar cualquier incidente de seguridad.

Teniendo en cuenta que los atacantes innovan de manera constante tanto en el diseño de los ataques como en las metodologías que emplean, los servicios ofensivos y defensivos son cruciales para garantizar que los sistemas de las compañías se mantienen protegidos de manera constante.

Entre los principales servicios ofensivos y defensivos de ciberseguridad podemos poner el foco sobre:

• Threat Hunting
• Red Team
• Blue Team
• Compromise Assessment

En definitiva, la guerra digital ya se está librando, aquellas compañías que quieran consolidarse en el mercado actual tienen que tener en cuenta que la seguridad de su infraestructura tecnológica es una cuestión capital y que la mejor forma de protegerla es contando con los servicios de ciberseguridad imprescindibles prestados por empresas de contrastada experiencia.