Hitachi Vantara potencia el almacenamiento híbrido en Azure
Oswaldo Palacios, de Akamai, advierte que las APIs autenticadas son el nuevo talón de Aquiles corporativo. Microsegmentación y visibilidad de procesos marcan la diferencia entre contener ransomware en 5 minutos o sufrir semanas de recuperación.
“La primera línea de defensa es el conocimiento. No puedes proteger lo que no sabes que existe”, sentencia Oswaldo Palacios, experto en ciberseguridad de Akamai Latinoamérica. Y los números respaldan su advertencia: Akamai tiene visibilidad del 40% del tráfico global desde 4,200 puntos de presencia en todo el mundo. Lo que ven no es alentador.
Ransomware, malware, bots y phishing siguen devastando empresas latinoamericanas. Pero el vector crítico ya no es solo el perímetro externo: son las APIs internas, el acceso remoto sin gestión adecuada, las redes planas sin microsegmentación y las credenciales robadas.
La falacia del WAF: cuando lo autenticado es peligroso
La mayoría de organizaciones tiene Web Application Firewalls (WAF) o su evolución WAAP (Web Application and API Protection). El problema: “Un WAF es como la caseta de una autopista. Dice autos verdes pasan, autos rojos no. ¿Qué pasa si en un auto verde van cinco delincuentes autenticados que roban el banco y salen porque van en auto verde?”, explica Palacios.
Las APIs vulnerables operan exactamente así. Están autenticadas, pasan los controles perimetrales, pero ejecutan acciones maliciosas: extraer información de todos los usuarios en lugar de uno solo, acceder a bases de datos críticas, moverse lateralmente sin restricciones.
Akamai identifica cuatro tipos críticos de APIs que escapan al radar tradicional: shadow APIs (no documentadas), APIs heredadas (legacy sin actualizar), APIs internas (sin protección perimetral) y APIs con autenticación comprometida. “Necesitas un inventario completo, evaluación de postura contra OWASP Top 10, y gestión del ciclo de vida completo”, enfatiza.
Oswaldo Palacios, experto en ciberseguridad de Akamai Latinoamérica, inauguró nuestras Jornadas Digitales sobre Ciberresiliencia: Estrategias de Recuperación y Continuidad. Accede al contenido completo de todas las sesiones aquí.
Microsegmentación: del concepto al control de procesos
El éxito del ransomware se debe al abuso de confianza en comunicaciones internas. Una vez dentro del perímetro, el atacante se mueve libralmente por redes planas donde “un administrador puede ir prácticamente a todos lados”.
La microsegmentación resuelve esto con visibilidad de capa 3 a capa 7: quién ejecuta qué proceso, desde dónde, hacia dónde, usando qué protocolo, cuántas veces. “No importa si es físico, virtual, Windows, Linux, Kubernetes. Vemos y controlamos comunicaciones a nivel de proceso”, explica Palacios.
La ventaja operativa es brutal: convertir un incidente que tomaría días o semanas resolver en uno que se contiene en 5 minutos. “Cuando llega una amenaza, cerramos para que no se mueva lateralmente. Lo que sería un problema se convierte en incidente menor”, señala.
Nueva tecnología, nuevos ataques
La inteligencia artificial generativa democratizó los ciberataques. “Ya no se requiere conocimiento técnico profundo. El motor de IA crea el ataque, muchas veces gratis”, advierte Palacios. Akamai ya desarrolló firewalls específicos para IA, chatbots y sistemas de atención no humanos.
Los ataques DDoS masivos siguen siendo recurrentes, especialmente desde actores internacionales que identifican Latinoamérica como “terreno fértil”. La defensa de Akamai: detener ataques en su origen geográfico, antes de que lleguen al país objetivo. “Si el ataque se origina en China o Rusia, se detiene allá. No permitimos que llegue”, explica.
El consejo de la Casa Blanca
En información pública de su sitio web, la Casa Blanca recomienda explícitamente segmentar y microsegmentar redes. La analogía de Palacios: “Tu empresa es un edificio de 10 pisos. La bóveda está en el quinto. Con microsegmentación, cuando alguien interno intenta abrirla sin autorización, cae la política de bloqueo inmediatamente. El atacante queda neutralizado”.
La visibilidad completa incluye origen del ataque, acciones ejecutadas, métodos utilizados. Para compliance (PCI, SOX), elimina la necesidad de VLANs manuales inexactas: “Música para los oídos de auditores”.
