Recetas básicas para una vida más tranquila… y cibersegura

Por Carlos Tortosa, director de grandes cuentas en ESET

 

Es verdad que en España apenas en 1,2% de empresas pueden considerarse medianas o grandes, por lo que complica aún más contemplar esa partida. Pero también podemos afirmar que todas ellas, de la más grande a la más pequeña, debe mantener un alto nivel de inversión en ciberseguridad, los malos no discriminan por tamaño. ¿Cómo podemos actuar si ya estamos convencidos?

En primer lugar, necesitaremos diseñar un plan de acción respecto a los activos a proteger: dispositivos, archivos, etc. localizando cuales pueden ser las posibles brechas de seguridad a las que nos podemos enfrentar para poder diseñar una política clara y bien definida de protección. Por otro lado, deberemos tener en cuenta las posibles legislaciones y normativas que tendremos que se nos pueden aplicar: NIS2, ENS, RGPD, etc. para que nuestro plan de seguridad las tenga en cuenta.

Un factor a tener en cuenta en la definición de esta política ha de ser la implicación global de la compañía para incidir en la necesidad de la protección. Es verdad que principales actores convencidos ha de ser la dirección, pero es necesario implicar a toda la compañía en el plan, principalmente en su implantación, dado que este debe ser un elemento más en el desarrollo del día a día de la empresa.

Una vez convencida la dirección, aprobada la inversión, aceptada de manera global por toda la empresa, o en paralelo a todo ello, tendremos que valorar realmente esta inversión a que la vamos a destinar, y ahí es donde estriba la necesidad de conocer realmente que frentes podemos tener abiertos, cuáles son las tecnologías a las que nos enfrentamos y donde pueden localizarse nuestras principales brechas de seguridad.

Pasando ya al plano más tecnológico, llevamos ya un tiempo hablando de la implicación que ha tenido en el diseño de nuevos ataques la aplicación de la IA por parte de los ciberdelincuentes.  Si tenemos en cuenta que se considera que la fecha de nacimiento de la IA se encuentra allá por 1956 en la Universidad de Hanover (EEUU), no era para nada descabellado pensar que más pronto que tarde esta se utilizaría en el diseño de futuros ciberataques. También es verdad que esta irrupción desbocada se ha venido produciendo en los últimos años especialmente cuando se ha utilizado para enriquecer y ofuscar ataques que ya eran bastante habituales como son los ransomware, etc.

Por suerte, la IA ha sido un factor que también hemos comenzado a aplicar los especialistas en ciberseguridad de manera asidua. Sin ir más lejos, ESET diseña una primera plataforma de almacenamiento de información cuyo nombre es Augur, sacerdotes griegos que tenían la capacidad de adivinar el futuro, y a esta ya aplicábamos análisis de comportamiento para poder mejorar y robustecer la protección que facilitábamos a nuestros clientes allá por 1998.

Otro de los riesgos a los que nos estamos enfrentando, de manera más asidua en los últimos tiempos, ha sido la identificación del usuario: identificar que realmente quien accede a ciertos servicios es realmente quien dice ser. O dicho de otra manera proteger el acceso a la información de aquellos atacantes que aprovechan contraseñas débiles, como ha ocurrido recientemente en el famoso robo en el museo más grande del mundo, donde la contraseña de acceso a los servidores de seguridad del Louvre era precisamente “Louvre”.

Por último, por no hacer demasiado extenso el listado de posibles brechas de seguridad, una que afecta precisamente al denominado eslabón más débil, los ataques que aprovechan la falta de formación del usuario final para colarse “hasta la cocina” en cualquier empresa. Solo un dato al respecto: se calcula que durante 2025 van a circular por el mundo una cantidad aproximada a los 3400 millones de correos de phishing.

Pero no todo ha de ser negativo ante el panorama que se nos presenta. Si nuestra compañía ha tomado nota de todo aquello que relataba en la primera parte de mi artículo, y hemos tenido capacidad de discernir aquellas amenazas detalladas en la segunda parte, ahora solo nos quedaría intentar averiguar que tecnologías serían las necesarias, aunque no todas sean tecnologías.

Si la adopción de medidas como el XDR se ha implantado de manera bastante generalizada entre las empresas a nivel nacional, otras no lo han sido tanto, aquellas que son necesarias para proteger situaciones como las citadas anteriormente: herramientas de reconocimiento de usuario: 2FA o PAM, herramientas de parcheo de software implantando en la compañía para evitar la explotación de estos fallos de seguridad, etc.

Pero si algo se ha vuelto absolutamente necesario ha sido el acceso a servicios primordiales para poder estar convencidos de que la protección que tenemos implantada cubre nuestras necesidades. Por mi experiencia, los equipos profesionales de IT en empresas de cualquier tamaño no se encuentran suficientemente magnificados para sus necesidades, pero esta situación empeora si hablamos de equipos estrictamente de seguridad. La solución a esta situación es acceder a profesionales externos con una gran especialización que puedan ayudarnos a estar más protegidos, los denominados servicios MDR que nos servirán de ayuda en la gestión de los incidentes de seguridad detectados por el XDR.

Como conclusión, si has llegado a este punto del texto tienes una gran parte ganada, he intentado poner en valor la necesidad de la inversión planificada para evitar aquellas brechas de seguridad que más nos encontramos en el día a día, pero es necesario también tomar conciencia de aquellas medidas necesarias para evitar que un incidente de seguridad tenga unas consecuencias mayores.