Hace unos días pudimos presenciar cómo una compañía como Honda, uno de los mayores fabricantes de vehículos del mundo, paralizaba su producción. Podría pensarse que se trataba de otro cierre temporal por la pandemia generada por el COVID-19. Sin embargo, en esta ocasión el causante no han sido las medidas para frenar el contagio del virus biológico, sino un gran ciberataque. En este caso, afectó principalmente a sus servicios financieros y de atención al cliente, pero también a la operatividad de sus plantas de producción de vehículos, como la que tiene en Ohio (Estados Unidos).
Para conocer el malware causante, los investigadores se sirvieron de VirusTotal, un portal gratuito de análisis individual de archivos y páginas web desarrollado en España que, entre otros, también utiliza el motor de Panda Security. En el portal se encontró subida una muestra del ransonmware Snake (Ekans), que no activaba ni cifraba ningún archivo salvo con el dominio mds.honda.com Y, por si fuera poco, también apareció el registro de una dirección IP vinculada a la compañía. Resulta que este ransomware también fue el responsable reciente del ciberataque al mayor operador de hospitales de Europa en un momento de gran presión sobre el sistema sanitario.
Oleada de ciberataques
Esto indica que este ransomware podría no ser un hecho aislado, ya que desde Panda Labs hemos registrado una oleada de ciberataques que han tenido lugar desde que se inició la pandemia del COVID-19. Los motivos son, por un lado, que los ciberatacantes se aprovechan del interés que despiertan el virus y la pandemia para utilizarlos como cebo en contenidos y que las víctimas reciban el malware mediante campañas de phishing o dominios web maliciosos.
Por otro lado, el auge del teletrabajo durante la pandemia también ha disparado los incidentes, ya que la superficie de ataque aumenta al no estar los sistemas y equipos dentro del perímetro de la organización que serían las oficinas. Con todo, el COVID-19 solo ha hecho acelerar una tendencia existente desde hace años con la preocupante evolución de las amenazas: son cada vez más intensas y más numerosas para las organizaciones.
Así lo refleja también el informe Threat Insights Report 2020 de Panda Labs. El año pasado se registraron 14,9 millones de eventos de malware, deteniendo 7,9 millones de alertas por programas potencialmente no deseados, así como 76.000 alertas por exploits con el propósito de aprovechar vulnerabilidades de las aplicaciones. Unas cifras que demuestran que los adversarios son cada vez más sigilosos y más ávidos sacando partido a los errores, ocultando sus movimientos y esquivando las tecnologías de detección.
Todo ello manifiesta que las nuevas variantes de malware sofisticadas pueden infectar a los sistemas de cualquier empresa. No solo pymes con recursos limitados, sino también, como ejemplifica el ciberataque a Honda, organizaciones de gran tamaño. Entonces, ¿cómo pueden estar preparadas las organizaciones bajo amenazas constantes y en un entorno de ciberseguridad tan cambiante? Es una cuestión que se plantean todos los CISO y responsables de TI. En este sentido, en Panda Security apostamos por que las organizaciones abracen la ciberresiliencia.
Organización ciberresiliente
Una empresa resiliente es aquella que tiene la capacidad de recuperarse rápidamente de las dificultades y terminar siendo más fuerte. Por ello, bajo el actual contexto, ser resiliente no solo es una recomendación, sino un imperativo, si entendemos que esa capacidad le permite hacer frente a una crisis sin que su actividad se vea afectada.
Pero esa resiliencia está lejos de alcanzarse en muchos casos. El informe The State of IT Resilience, elaborado por IDC, revela que solo el 10 por ciento de las organizaciones afirma haber conseguido la ciberresiliencia en sus procesos de transformación digital; es decir, que el 90 por ciento reconoce que no lo son. Aunque más allá de la autopercepción, las compañías deberían autoevaluar su grado de resiliencia e implementar ciertas características.
El estudio sobre resiliencia de IBM y Ponemon Institute, The Third Annual Study on the Cyber Resilient Organization, menciona varias características. La primera de ellas es tener un grado de ciberseguridad con altos niveles de madurez. Y para medir esos niveles se puede utilizar el modelo que aplica para la seguridad de los endpoints el Instituto SANS. Según este modelo, una organización en estados altos de madurez es capaz de prevenir los ciberataques antes de que puedan ejecutarse. También es capaz hacer cambios en los sistemas y afectar a los endpoint, detectar aquellos ataques que han podido superar las soluciones de seguridad desplegadas, informar sobre el estado del incidente y remediar y evitar la propagación de nuevos ataques en la empresa.
El resto de aspectos a contemplar para que en las organizaciones se consideren que tienen ciberresiliencia lo constituyen medidas y aptitudes como fortalecer la prevención, detección, búsqueda proactiva de amenazas (threat hunting), contención, respuesta y la reducción de la superficie de ataque; así como adaptarse continuamente a las nuevas técnicas y tácticas de los ciberatacantes, priorizar y mitigar los riegos a todos los niveles y gestionar el ciberriesgo mediante un gobierno colaborativo integral.
Tarea compleja
Cómo alcanzar esos niveles y cumplir estos aspectos puede ser una tarea compleja. Resulta más conveniente y sencillo si, desde el inicio, las organizaciones implementan un enfoque de la gestión de la ciberseguridad cuyo objetivo sea buscar y mitigar el riesgo en todos los niveles: activos de la empresa, controles, procesos, organización y, por último, gobierno de la compañía. Para ello son claves procedimientos como crear un registro completo de todos los datos y aplicaciones y monitorizar todas las acciones que se realizan con ellos. Y, por otro lado, aprovechar las herramientas y los servicios que automatizan estas tareas de perfilar, catalogar, y monitorizar sus activos (humanos, datos e infraestructura) para una prevención y detección precoz de los adversarios.
Con todo, la ciberresiliencia no debe quedarse solo ahí: ha de ser considerada como una rueda siempre en movimiento de las organizaciones y no como una serie de procesos que comienzan y terminan. El ciclo de mejora continua de ciberresiliencia se desarrolló con ese fin y contempla tres fases ininterrumpidas. Fase de preincidente para prevenir las amenazas mediante las tecnologías avanzadas que detectan malware conocido, desconocido o Zero-day; fase de ejecución, para reaccionar rápidamente con un EDR para minimizar su impacto en el negocio; y fase de postincidente, para reconstruir el entorno operativo de forma que se reduzca de la superficie de ataque.
En definitiva, hemos visto cómo la pandemia generada por el COVID-19 no ha hecho sino acelerar varias tendencias. Por un lado, la transformación digital que se está produciendo en casi todos los aspectos de nuestras vidas y que tiene una especial importancia cuando el concepto que evoluciona son las empresas, organizaciones y entes públicos, los dispositivos interconectados, las aplicaciones, herramientas y procesos productivos, como ha ocurrido con un teletrabajo cada vez más frecuente. Por otro lado, la evolución en número y la sofisticación de las amenazas se han multiplicado, y los ciberataques son cada vez más complejos y dinámicos.
Todo ello está generando una gran situación de estrés para las empresas, como certifica el hecho de que el 75 por ciento de las organizaciones, según McKinsey, ya considera la ciberseguridad como una prioridad para el correcto desarrollo de su actividad. Esto prueba que las organizaciones son ya conscientes de que el entorno es cada vez más darwinista. Solo las que mejor se adapten a los ataques y puedan salir más fuertes resultarán finalmente competitivas. Por este motivo, la ciberresiliencia deber ser un pilar fundamental para la seguridad de las organizaciones.
