Como hemos podido comprobar durante 2020, la pandemia de la COVID-19 ha creado numerosas oportunidades para que los estados se pirateen y espíen unos a otros. Aparte de la oleada de ataques de phishing que se han producido relacionados con el coronavirus, la carrera por ser el primero en obtener una vacuna ha dado lugar a una serie de incidentes de espionaje relacionados con el robo de IP de los laboratorios de investigación. Esto ha llevado a un mayor número de campañas de APT (Advanced Persistent Threat) que tratan de aprovechar las vulnerabilidades de seguridad provocadas por la interrupción del lugar de trabajo, desde la oficina hasta el hogar y viceversa. Una circunstancia que, en la actualidad, no parece tener un final cercano y se extenderá al menos hasta 2021.
Aparte de los asuntos relacionados con la pandemia, en 2020 se han producido trastornos políticos, sociales, económicos y climáticos generalizados a nivel global. Todo ello ha servido de ayuda a los ciberdelincuentes, que aprovechan cualquier oportunidad para promover sus campañas.
Defenderse en una era de incertidumbre cibernética
Parece un panorama desolador, pero las empresas están lejos de estar indefensas o solas. Las recientes sanciones impuestas por Estados Unidos a piratas informáticos iraníes, las de la UE contra la piratería rusa o los anuncios conjuntos de funcionarios de países como Estados Unidos y Reino Unido (como una declaración reciente en la que se culpa a China, Irán y Rusia de intentar robar la investigación de la vacuna COVID-19), son un ejemplo de ello. Existe una mayor cooperación internacional que, con suerte, ayudará a reducir estas actividades destructivas.
Los agentes estatales acumulan grandes cantidades de datos simplemente porque pueden hacerlo y quizás les sean útiles en algún momento
Existe una serie de iniciativas para proteger la industria Sanitaria de las amenazas cibernéticas durante la COVID-19, así como asociaciones entre naciones y esfuerzos de colaboración público-privada para mejorar la ciberseguridad empresarial contra los actores de APT.
En el entorno de las organizaciones, aquella idea de que una compañía podría no ser «interesante» para los atacantes avanzados ha quedado atrás. Los agentes estatales están acumulando grandes cantidades de datos relacionados con empresas e individuos simplemente porque pueden hacerlo y quizás les sean útiles en algún momento.
Estos actores estatales dependen en gran medida de la ingeniería social para obtener credenciales, entregar sus cargas útiles a través de correos electrónicos (generalmente ocultos en documentos o imágenes) e infectar puntos finales para obtener acceso a los datos.
Dada la diversa y creciente cantidad de amenazas, las empresas deben asegurarse de llevar a cabo una evaluación de riesgos completa, desarrollar un plan de seguridad que incluya respuesta a incidentes y contingencias de continuidad de negocio, así como implementar soluciones tecnológicas fiables para aliviar la carga del personal.
Cómo hacer frente a las APT
Hoy en día sigue siendo vital construir una defensa por capas que comience en la red y descienda al endpoint para después volver a subir a la nube, a las aplicaciones SaaS (Software as a Service) y al Shadow IT. Aquí los fabricantes juegan un papel fundamental.
SonicWall identifica y crea definiciones para alrededor de 140.000 nuevas amenazas al día. Estos datos se envían, a modo de inteligencia, a los dispositivos y servicios de SonicWall para detener las amenazas conocidas, que generalmente resuelven alrededor del 99 por cinento de las amenazas actuales. Sin embargo, cuando se trata de APT y ataques dirigidos, estas definiciones pueden no ayudar. A pesar del hecho de que los firewalls de red y el famoso firewall de próxima generación llevan en el mercado bastante tiempo, estas soluciones todavía juegan un papel fundamental en la protección de las redes; primero al eliminar amenazas conocidas y luego al utilizar una variedad de recursos para detener los ataques mientras administran el tráfico.
Aquí es donde se requiere tecnología adicional para encontrar amenazas desconocidas. Suele ser una combinación de heurísticas en puntos finales y entornos aislados de la red. En SonicWall, se implementa en casi todos los servicios y productos una tecnología llamada Capture Advanced Threat Prevention (Capture ATP) con inspección profunda de memoria en tiempo real (RTDMI).
Capture ATP examina los archivos en paralelo en varios motores de espacio aislado para buscar comportamientos maliciosos e informar los resultados. En febrero de 2018, agregamos RTDMI a nuestro Capture ATP sin cargo adicional. Esta tecnología prueba archivos y código en la memoria para detectar malware con mayor rapidez y precisión.
Con el nuevo entorno del teletrabajo, la seguridad del endpoint puede ser su primera y última línea de defensa. Tecnologías Zero Trust como SonicWall Cloud Edge Secure Access, son esenciales para acceder la red corporativa y sus recursos desde el dispositivo del cliente y mantener el endpoint seguro. También juegan un papel fundamental nuestro antivirus de nueva generación basado en comportamiento (Capture Client) y nuestro servicio de protección en la nube (Cloud Application Security).
Fuera de la capacidad de bloquear ataques, ya sea porque han sido identificados previamente o no, un gran enfoque recientemente ha sido agregar la capacidad de catalogar todas las aplicaciones y vulnerabilidades en todos los puntos finales protegidos. Los atacantes APT tienden a centrarse en los últimos exploits, ya que estos deberían proporcionarles el objetivo más grande y suave para atacar. Esta característica, denominada Inteligencia de vulnerabilidad de aplicaciones, es vital para los clientes, en particular para las empresas y gobiernos, para mitigar los efectos de cualquier ataque que se haya llevado a cabo. Además, con su tecnología de filtrado de contenido integrada, puede hacer cumplir sus políticas de contenido web en el punto final fuera del perímetro o simplemente bloquear el acceso a todos los sitios maliciosos conocidos.
Las empresas deben comprender que, en nuestro mundo interconectado, no existe el concepto de «invisible» o «poco interesante» para los atacantes
Actores no tan tímidos
Como conclusión, podemos decir que no hace tanto tiempo que la existencia misma de las APT era algo envuelto en mitos y secretos. Sin embargo, con las divulgaciones públicas y las filtraciones de los kits de herramientas para las APT, ahora en el dominio público, parece que los actores gubernamentales no son tan tímidos ni tan retraídos como alguna vez fueron. La discusión de la actividad de APT es ahora parte del discurso cibernético convencional, con todas las partes aparentemente contentas de reconocer abiertamente que la guerra cibernética entre naciones es parte de la «nueva normalidad» que estará con nosotros durante algún tiempo.
Las empresas deben comprender que, en nuestro mundo interconectado, no existe el concepto de «invisible» o «poco interesante» para los atacantes cibernéticos avanzados. Lo sepas o no, te guste o no, si estás almacenando y procesando datos on-line y estás involucrado en cualquier tipo de relación comercial, hay un ciberdelincuente de APT interesado en ti, tus datos, tu producto, tus clientes y/o sus proveedores. Si bien eso puede sonar aterrador, afortunadamente, las APT y sus tácticas, técnicas y procedimientos ya no están envueltos en misterio. Las APT son solo otro actor de amenazas con el que todos tenemos que lidiar. No estamos solos en esta lucha ni indefensos, siempre y cuando primero reconozcamos la amenaza y luego tomemos las medidas apropiadas, porque, como dijo Winston Churchill: “Si pasas por el infierno, no te detengas, sigue adelante”.
