Hace tan solo unos días pudimos presenciar cómo una compañía como Honda, uno de los mayores fabricantes de vehículos del mundo, paralizaba su producción. Podría pensarse que se trataba de otro cierre temporal por la pandemia generada por el COVID-19. Sin embargo, en esta ocasión el causante no ha sido las medidas para frenar el contagio del virus biológico, sino un gran ciberataque. En este caso, afectó principalmente a sus servicios financieros y de atención al cliente, pero también a la operatividad de sus plantas de producción de vehículos como la que tiene en Ohio.
Para conocer el malware causante, los investigadores se sirvieron de VirusTotal, un portal gratuito de análisis individual de archivos y páginas web desarrollado en España que, entre otros, también utiliza el motor de Panda Security. En el portal se encontró subida una muestra del ransonmware SNAKE (EKANS) que no se activaba ni cifraba ningún archivo salvo con el dominio mds.honda.com y, por si fuera poco, también apareció el registro de una dirección IP vinculada a la compañía. Resulta que este ransomware también fue responsable reciente del ciberataque al mayor operador de hospitales de Europa en un momento de gran presión sobre el sistema sanitario.
Esto indica que este ransomware podría no ser un hecho aislado, ya que desde Panda Labs hemos registrado una oleada de ciberataques que han tenido lugar desde que se inició la pandemia del COVID-19. Los motivos son, por un lado, que los ciberatacantes se aprovechan del interés que despierta el virus y la pandemia para utilizarlo como cebo en contenidos y que así las víctimas reciban el malware mediante campañas de phishing o dominios web maliciosos. Por otro lado, el auge del teletrabajo durante la pandemia también ha disparado los incidentes, ya que la superficie de ataque aumenta al no estar los sistemas y equipos dentro del perímetro de la organización que serían las oficinas. Con todo, el COVID-19 solo ha hecho acelerar una tendencia existente desde hace años con la preocupante evolución de las amenazas: son cada vez más intensas y más numerosas para las organizaciones.
Así lo refleja también el informe Threat Insights Report 2020 de Panda Labs. El año pasado se registraron 14,9 millones de eventos de malware, deteniendo 7,9 millones de alertas por Programas Potencialmente No Deseados (PUP), así como 76.000 alertas por exploits con el propósito de aprovechar vulnerabilidades de las aplicaciones, unas cifras que demuestran que los adversarios son cada vez más sigilosos, más ávidos sacando partido a los errores, ocultando sus movimientos y esquivando las tecnologías de detección.
Todo ello demuestra que las nuevas variantes de malware sofisticadas pueden infectar a los sistemas de cualquier empresa. No solo pymes con recursos limitados, sino también, como ejemplifica el ciberataque a Honda, organizaciones de gran tamaño. Entonces, ¿cómo pueden estar preparadas las organizaciones bajo amenazas constantes y en un entorno de ciberseguridad tan cambiante? Es una cuestión que se plantean todos los CISO y responsables de TI. En este sentido, en Panda Security apostamos porque las organizaciones abracen la ciber-resiliencia.
Características de una empresa ciber-resiliente
Una empresa resiliente es aquella que tiene la capacidad de recuperarse rápidamente de las dificultades y terminar siendo más fuerte. Por ello, bajo el actual contexto, ser resiliente no solo es una recomendación, sino un imperativo, si entendemos que esa capacidad le permite hacer frente a una crisis sin que su actividad se vea afectada.
Pero esa resiliencia está lejos de alcanzarse en muchos casos. El informe The State of IT Resilience, elaborado por IDC, revela que solo el 10% de las empresas afirma haber conseguido ser ciber-resilientes en sus procesos de transformación digital, es decir, que el 90% reconoce que no lo son. Aunque más allá de la autopercepción, las empresas deberían autoevaluar su grado de resiliencia e implementar ciertas características.
La ciber-resiliencia ha de ser considerada como una rueda siempre en movimiento y no como una serie de procesos que comienzan y terminan
El estudio sobre resiliencia de IBM y Ponemon Institute, The Third Annual Study on the Cyber Resilient Organization menciona varias características. La primera de ellas es tener un grado de ciberseguridad con altos niveles de madurez y para medir esos niveles se puede utilizar el modelo que aplica para la seguridad de los Endpoints el Instituto SANS. Según este modelo, una organización en estados altos de madurez es capaz de prevenir los ciberataques antes de que puedan ejecutarse. También es capaz hacer cambios en los sistemas y afectar a los endpoint, detectar aquellos ataques que han podido superar las soluciones de seguridad desplegadas, informar sobre el estado del incidente, remediar y evitar la propagación de nuevos ataques en la empresa
El resto de aspectos a contemplar para que una organización se considere ciber resiliente lo constituyen medidas y aptitudes como fortalecer la prevención, detección, búsqueda proactiva de amenazas (Threat Hunting), contención, respuesta y la reducción de la superficie de ataque; adaptarse continuamente a las nuevas técnicas y tácticas de los ciberatacantes, priorizar y mitigar los riegos a todos los niveles y gestionar el ciberriesgo mediante un gobierno colaborativo integral.
Cómo alcanzar esos niveles y cumplir estos aspectos puede ser una tarea compleja. Resulta más conveniente y sencillo si, desde el inicio, las organizaciones implementan un enfoque de la gestión de la ciberseguridad cuyo objetivo sea buscar y mitigar el riesgo en todos los niveles: activos de la empresa, controles, procesos, organización y por último, gobierno de la compañía. Para ello, son claves procedimientos como crear un registro completo de todos los datos y aplicaciones y monitorizar todas las acciones que se realizan con ellos. Y, por otro lado, aprovechar las herramientas y los servicios que automatizan estas tareas de perfilar, catalogar, y monitorizar sus activos (humanos, datos e infraestructura) para una prevención y detección precoz de los adversarios.
Con todo, la ciber-resiliencia no debe quedarse solo ahí: ha de ser considerada como una rueda siempre en movimiento y no como una serie de procesos que comienzan y terminan. El ciclo de mejora continua de ciber-resiliencia se desarrolló con ese fin y contempla tres fases ininterrumpidas. Fase de pre-incidente para prevenir las amenazas mediante las tecnologías avanzadas que detectan malware conocido pero también desconocido o zero-day. Fase de ejecución para reaccionar rápidamente con un EDR para minimizar su impacto en el negocio. Fase de post-incidente para reconstruir el entorno operativo de forma que se reduzca de la superficie de ataque.
En definitiva, hemos visto cómo la pandemia generada por el COVID-19 no ha hecho sino acelerar varias tendencias. Por un lado, la transformación digital que se está produciendo en casi todos los aspectos de nuestras vidas y que tiene una especial importancia cuando el concepto que evoluciona son las empresas, organizaciones y entes públicos, los dispositivos interconectados, las aplicaciones, herramientas y procesos productivos, como ha ocurrido con un teletrabajo cada vez más frecuente. Por otro lado, la evolución en número y la sofisticación de las amenazas se ha multiplicado y los ciberataques son cada vez más complejos y dinámicos. Todo ello está generando una gran situación de estrés para las empresas, como prueba el hecho de que el 75% de las organizaciones, según McKinsey, ya considera a la ciberseguridad como una prioridad para el correcto desarrollo de su actividad. Esto prueba que las organizaciones son ya conscientes de que el entorno es cada vez más Darwinista. Solo las que mejor se adapten a los ataques y puedan salir más fuertes resultarán finalmente competitivas. Por este motivo, la ciber-resiliencia deber ser un pilar fundamental para la seguridad de las organizaciones.
