Las amenazas en evolución muestran que la complacencia es el verdadero riesgo para la resiliencia

Por Magnus Jelen, lead director of incident response UK & EMEA, Coveware by Veeam

 

Lo que resulta más preocupante es la velocidad a la que evolucionan los atacantes. La IA, antaño una amenaza teórica, es ahora un arma práctica. Las técnicas de phishing se han vuelto inquietantemente sofisticadas, y los atacantes incluso están aprovechando chatbots para desarrollar código malicioso a medida que innovan a gran velocidad. Afortunadamente, los gobiernos han reaccionado con encomiable rapidez y están surgiendo nuevas regulaciones en todo el mundo que han conseguido desarticular varios grupos de ciberatacantes importantes. Pero estas victorias podrían resultar engañosas y generar una sensación de calma que no solo es temporal, sino peligrosa. Las ciberamenazas no desaparecen, se adaptan.

 

No hay manera de apearse

La única constante en ciberseguridad es el cambio. El año pasado parecía que el sector estaba en auge: grupos de ciberamenazas como LockBit, Black Cat, y Black Basta  fueron cerrados, desaparecieron o simplemente cesaron sus operaciones. En Europa, también vimos dos grandes regulaciones de ciberseguridad, NIS2 y DORA, destinadas a mejorar la resiliencia de las organizaciones en general y del sector financiero en particular, uno de los más golpeados. Algunos países incluso avanzaron hacia medidas más decididas. En Reino Unido se celebró una consulta sobre la posible prohibición de pagos de ransomware para infraestructuras nacionales críticas y organizaciones del sector público. Si lo miramos de forma aislada, casi se podría perdonar a las organizaciones por pensar que podían bajar un poco el ritmo.

Pero también ha habido muchos momentos difíciles. En los recientes meses hemos visto una oleada de ataques exitosos en Europa, con un foco especialmente notable en el sector retail. Que los pagos por ransomware hayan descendido de nuevo no significa que los atacantes estén relajados. La eliminación de grupos consolidados el año pasado dejó espacio para grupos más pequeños e incluso actores individuales, los llamados “lobos solitarios”. Con estos nuevos atacantes aparecen también nuevos motivos. El dinero puede seguir siendo un motor, pero muchos de los recién llegados se centran más en objetivos que pueden causar la mayor disrupción posible, en lugar de buscar quién podría pagar el rescate más alto. Hoy por hoy, el escenario se puede dividir en dos grandes categorías. Siguen existiendo ataques dirigidos y de alto coste, orientados a grandes empresas con grandes bolsillos. Sin embargo, por otro lado, están los ataques de tipo Ransomware-as-a-Service impulsados por volumen, llevados a cabo por grupos pequeños y lobos solitarios con el objetivo de generar el mayor caos posible.

Así que, aunque en la superficie pueda parecer que el panorama ha mejorado, las mismas amenazas siguen presentes y ya están emergiendo otras nuevas.

 

Tomar las decisiones correctas

Por suerte, la regulación no se ha mantenido al margen. Como ya se ha mencionado, sólo en la UE hemos tenido dos grandes normativas, NIS2 y DORA, ambas orientadas a la resiliencia de los datos. NIS2 fue especialmente relevante al consagrar la resiliencia como una responsabilidad directa de la alta dirección. Las organizaciones ya no pueden relegar la resiliencia a un rincón; ahora la dirección debe gestionar activamente los riesgos de ciberseguridad, convirtiéndolos en una prioridad empresarial al mismo nivel que el beneficio y la estrategia. También introdujo nuevos estándares para la gestión y mitigación del riesgo organizativo, y en particular para la notificación de incidentes, un elemento esencial con el aumento de los ataques. Mientras que DORA se limitó al sector de los servicios financieros, abordó algunas de las cuestiones más acuciantes, como el riesgo de terceros, en un intento por reforzar uno de los sectores más atacados.

A pesar de que las medidas exigidas son esenciales para desarrollar una resiliencia de datos madura capaz de soportar las presiones actuales de los actores maliciosos, cumplirlas no es fácil. Antes de NIS2, el 66 % de las organizaciones esperaba no llegar a tiempo para cumplir el plazo, y seis meses después de DORA, el 96 % de las organizaciones de servicios financieros en EMEA aún consideraba que necesitaba mejorar su resiliencia para satisfacer los requisitos.

Con tanto trabajo por delante para alcanzar el cumplimiento, cuando las organizaciones llegan a ese umbral, su respuesta suele ser detenerse. Pero es vital recordar que cumplir la normativa no equivale a estar seguro.

 

Seguir avanzando

En este momento, el sector se encuentra en medio de la tormenta perfecta. Las detenciones de grandes grupos están adormeciendo a las organizaciones con una falsa sensación de seguridad, mientras que nuevos atacantes surgen entre bambalinas utilizando herramientas nuevas y mejoradas. Y, además, el enfoque en el cumplimiento regulatorio corre el riesgo de engañar a las organizaciones y de ocultar el verdadero alcance de las mejoras que podrían hacerse en su resiliencia de datos.

En momentos como este, las organizaciones deben mirar internamente. En lugar de esforzarse por reaccionar a los ataques con una mano mientras tratan de cumplir plazos de cumplimiento y mantener las operaciones diarias con la otra, deberían probar un enfoque diferente.

Utilizando modelos de madurez de resiliencia de datos, las organizaciones no solo pueden entender mejor su nivel actual de resiliencia, sino también crear una hoja de ruta para mejorarlo. En lugar de abordar cada aspecto de la resiliencia por separado, estos modelos los integran, centran los esfuerzos y crean una corriente que eleva a todos los niveles, en vez del habitual enfoque parche a parche.

Con los ataques más frecuentes que nunca, y con atacantes tan impredecibles, debe prestarse especial atención a la recuperación. Aunque contar con una resiliencia de datos madura debería ser siempre el “plan A”, el plan de recuperación, el “plan B”, debe estar igualmente desarrollado, si no más. La resiliencia de datos es un viaje que no se completa de la noche a la mañana, y los atacantes no esperarán a que la tuya sea perfecta antes de lanzar su ataque.

Pregúntate ahora mismo: ¿cuánto tardaría mi organización en recuperarse de un ataque? Sé honesto con tu respuesta; y si no podrías esperar tanto sin sufrir un impacto empresarial severo, quizá necesites revisar tu plan de recuperación antes de que llegue la tormenta.