Phishing y Ransomware, principales ciberataques en México
A nivel América Latina, México es el segundo país que recibe más ataques cibernéticos, justo después de Brasil, y las principales empresas que los reciben son del sectores de: retail, bancos y farmacéuticas, siendo el el phishing uno de los ciberataques más utilizados, afirmó Omar Jaimes, Gerente de Arquitectura Tecnológica en Data Warden.
Explicó que entre los principales vectores de ataque figura el phishing, el tema de control de acceso, la escalación de privilegios y todo lo referente con la falta de awareness dentro de la organización, lo que significa que “no tenemos esa cultura desde lo más básico, como no dar clic en correos electrónicos de spam, por ejemplo; esos son los puntos más críticos hoy en día”.
En entrevista, Jaimes dijo que estamos en una era de transformación digital en donde los ataques cibernéticos están diversificados, pues en México el 51 % de las empresas están actuando en protección contra el ransomware.
Enfatizó que el 54% de las empresas han sido atacadas por un ransomware que ha afectado las operaciones de su negocio, y esto se está convirtiendo en pérdidas monetarias que mucho tienen que ver con la falta de controles y políticas de seguridad para regresar a la operación, un plan de continuidad del negocio y uno de recuperación ante incidentes.
El ejecutivo de Data Warden sostuvo que a través del tiempo, precisamente sobre el tema de los ciberataques, se ha observado que el manejo de identidades es crucial en una compañía, debido a los famosos insiders que son personas dentro de la propia organización que tienen un exceso de privilegios y pueden ejercer acciones malintencionadas a nombre de otro colaborador, y así, dañan la imagen de la empresa.
Jaimes dijo que estos insiders escalan a través de la red moviéndose lateral y horizontalmente para poder ejecutar un ataque dirigido a activos críticos que comprometan la continuidad del negocio, un ejemplo de escalación de privilegios es cuando persona ya no trabaja en la organización: “Imaginemos que Omar ya no trabaja en la empresa X y el administrador no desactivó su acceso ni deshabilitó sus contraseñas; después, un decide entrar por curiosidad a ver si todavía está su acceso vivo, y se da cuenta que tiene los mismos privilegios que cuando trabajaba en esa organización, y si no salió de la mejor manera puede proceder a ejecutar algún ataque o robar información sensible”.
Sobre los efectos de este tipo de ataques en las empresas,el ejecutivo de Data Warden precisó que hay algo que no solo tiene que ver con el robo de la identidad, sino con la suplantación de la identidad, es decir, “si queremos tener esa certeza de que se conecta quien dice ser, debemos tener diferentes controles de seguridad asociados, como políticas de control de acceso, no solamente en papel sino con herramientas que nos ayuden a tener visibilidad de las conexiones a activos críticos de la organización.
Omar Jaimes agregó que: “En Data Warden invitamos a nuestros clientes a hacer un assessment de seguridad basado en identidades donde podemos mostrar un vector de ataque que pudiera tener un usuario dentro de la red, y sus posibles movimientos”.
El especialista de Data Warden añadió que en el momento que las organizaciones establezcan políticas y controles de seguridad asociados al tema de identidades, sumando una estrategia de awareness, podrán generar conciencia en sus empleados para evitar el clásico papelito pegado en el monitor con la contraseña del usuario y contraseña de inicio de sesión tanto a su máquina asignada como a sistemas críticos.
Sobre la diferencia entre suplantación de identidad y robo de identidad, explicó que el robo de identidad es cuando alguien obtiene y utiliza información personal de otro individuo para ejercer algún beneficio. Mientras que la suplantación de identidad, especifica, “es cuando alguien se hace pasar por ti con el propósito de engañar o defraudar a otras personas”.
Con respecto a las soluciones de Data Warden, Omar Jaimes afirma que, en lugar de llegar a proponer una solución, revisan el estatus actual del compliance a nivel de identidades, cuentas, accesos, cuándo fue la última vez que un empleado utilizó una contraseña, si hay un hash (una migajita de pan que se encuentra dentro de un equipo para poder explotarla).
Añadió que al hacer esta revisión se pueden visualizar dispositivos de usuarios con y sin privilegios. “Por ejemplo, un usuario de desarrollo de software que dentro de sus archivos de configuración utiliza conexiones a bases de datos, servicios, etc., coloca el usuario y la contraseña en texto plano, provocando que un usuario malintencionado pueda explotar esta vulnerabilidad”.
Jaimes aclaró que en este assessment que realizan en Data Warden para el caso de uso mencionado, no se revela la contraseña sino la ruta de dónde se le puede hallar.
Un punto importante antes de implementar una herramienta de seguridad basada en control de identidades, es importante primero definir el roadmap y las prioridades asociadas a un riesgo con las mejores prácticas y, al final, proceder a la implementación de una solución, añadió. “Es vital tomar en consideración estos puntos para poder justificar una inversión en un proyecto de ciberseguridad”.
Finalmente, dijo que en Data Warden se ha evolucionado hacia la oferta de servicios que permita dar un valor agregado a las organizaciones, más que sólo implementar un producto.
