Existe una correlación causal entre las vulnerabilidades en los sistemas corporativos y las campañas de Ingeniería Social que hizo de la infección por malware el incidente de seguridad más frecuente en las empresas latinoamericanas, según el reporte anual ESET Security Report.
Conversamos con Denise Giusto Bilic, Security Researcher de ESET Latinoamérica , sobre el estatus actual de riesgos y vulnerabilidades en seguridad y protección de datos entre las empresas de América Latina. Para la experta, la transformación digital y las tecnologñias emergentes que la impulsan – la Internet de las Cosas, la Inteligencia Artificial (IA), el Aprendizaje Automático (ML) y el Procesamiento de Lenguaje Natural (PLN) – también acompañan a la gestión de riesgos para la elaboración de modelos de detección de brechas de seguridad más robustos y precisos, generando nuevas herramientas para el análisis predictivo.
¿Cuáles son los riesgos de ataque que se han impuesto en 2018 sobre los sistemas de misión crítica de las empresas y gobiernos de América Latina?
Dentro de las amenazas que pusieron en jaque la seguridad de las empresas durante el pasado año y el primer semestre de 2018 encontramos al ransomware: un tipo de código malicioso que cifra la información o impide de alguna manera el normal funcionamiento del equipo y luego solicita a las víctimas que se pague una determinada suma de dinero para restablecer el equipo o la información a su estado original.
Constantemente surgen nuevos casos de empresas que han visto comprometidos sus sistemas por la ejecución de estos códigos y, en muchas ocasiones, se ven forzadas a pagar cuantiosos montos de dinero para recuperar sus datos.
No es de extrañar, entonces, que el ransomware haya sido la principal preocupación de las empresas latinoamericanas, según lo asegura nuestro ESET Security Report, viéndose aumentada en un 60% la cantidad de variantes de este tipo de malware que los atacantes generan intentando evadir a las soluciones de seguridad.
Otro grave problema para las organizaciones fue la explotación de vulnerabilidades. Infortunadamente, pocas organizaciones se preocupan en tener todo su software actualizado, sea que se trate de sistemas operativos, aplicaciones o firmware de los dispositivos de red. Las vulnerabilidades presentes en estos productos brindan oportunidades a los cibercriminales para comprometer los servicios y datos de la compañía.
Una de las posibles consecuencias de esto es la fuga de información empresarial. Sufrir este tipo de incidentes en el que información confidencial es revelada puede conducir al daño irreparable de la reputación y del modelo de negocio de las organizaciones, aún más si estos datos son de naturaleza comprometedora para la empresa o los individuos que la conforman.
Los fraudes y estafas a través de Ingeniería Social también se encuentran a la orden del día, propagándose a través de diferentes plataformas, redes sociales, aplicaciones de mensajería y correo electrónico.
La causa inmediata de la cohesión entre la existencia de vulnerabilidades en los sistemas corporativos y campañas de Ingeniería Social dirigidas es que la infección por malware haya resultado ser el incidente de seguridad más frecuente en las empresas latinoamericanas según nuestro reporte anual, con un 45% de empresas encuestadas habiendo confirmado infecciones en sus sistemas.
¿Cuáles son los sectores corporativos que tradicionalmente han sido víctimas de ataques y qué nuevos objetivos empresariales han entrado en la mira de los ciberdelincuentes?
Según los datos arrojados por la pasada edición del ESET Security Report, de entre todas las empresas latinoamericanas encuestadas que respondieron afirmativamente haberse visto afectadas por malware, la mayor parte de ellas correspondía a sectores gubernamentales (22%), seguidas por el sector educativo (12%), la industria financiera (10%) y de comunicaciones (9%). Estos datos nos recuerdan la importancia de que los gobiernos actualicen sus plataformas para prevenir los inminentes riesgos de seguridad a los que de otra forma se exponen.
Los ataques cibernéticos usualmente comienzan mediante la explotación de fallos de seguridad o la Ingeniería Social, y la base para evitarlos es la prevención. Es necesario analizar correctamente cuál es la superficie de exposición a través de la cual puede ocurrir una brecha de seguridad, identificando los elementos que actúan como factores de riesgo. Mantener el firmware, el sistema operativo y los aplicativos actualizados ayudará a impedir la explotación de vulnerabilidades en los diferentes dispositivos, mientras que adoptar una solución de seguridad integral que permita detectar y mitigar la ejecución de códigos maliciosos detendrá infecciones que puedan derivar en la pérdida o robo de información.
La adquisición de tecnologías de protección debe verse acompañada de una buena gestión de la seguridad a través de políticas y de educación para los usuarios. Se deben diseñar planes para audiencias específicas, construirlos sobre los resultados esperados y pensarlos para ganar la atención de su público buscando mantener a los distintos actores interesados en actualizarse.
¿Qué cambios se imponen a los tomadores de decisión de las empresas –CIO, CSO– al momento de desarrollar estrategias de seguridad y protección de los datos?
La llamada “transformación digital” es uno de los fenómenos que está llegando a gran cantidad de empresas, forzándolas a una reingeniería de sus procesos. Además, el minado de datos, la Internet de las Cosas, la Inteligencia Artificial (IA), el Aprendizaje Automático (ML) y el Procesamiento de Lenguaje Natural (PLN) ofrecen novedosos modelos analíticos, cimentados sobre capacidades computacionales sin precedentes.
Estas nuevas tecnologías parecieran acompañar a la gestión de riesgos hacia la elaboración de modelos de detección de brechas de seguridad más robustos y precisos, generando nuevas herramientas para el análisis predictivo. La incorporación de estos procesos les permitirá a las empresas disponer de un número mayor de datos para fundamentar la toma de decisiones, pero también supone riesgos frente a la falta de conocimientos respecto a cómo pueden asegurarse estos nuevos sistemas corporativos.
¿Qué ventajas y riesgos supone la inteligencia artificial sobre el estatus de seguridad y protección de los datos?
En general, la Inteligencia Artificial plantea numerosas ventajas: menores porcentajes de error debido a la automatización de procesos, tiempo de respuesta reducidos gracias a algoritmos que constantemente mejoran su precisión, menores costos asociados a la necesidad de menos mano de obra –como ser el caso de robots dedicados a plantas de producción o atención al cliente–, capacidad de realizar tareas peligrosas –por ejemplo, robots dedicados a la detección de explosivos o tareas militares–, toma de decisiones racionales sin riesgo de involucrar emociones, asesoría para encontrar rápidamente la solución a un problema –lo que se conoce como Sistemas Expertos–, identificación de patrones que pasarían inadvertidos a un ser humano, y mucho más.
Sin embargo, las aplicaciones de IA no se limitan únicamente a la defensa de sistemas informáticos. Además, permiten generar algoritmos de ataque mucho más eficientes, capaces de identificar, chequear y explotar las vulnerabilidades de un sistema.
En varias ocasiones, investigadores demostraron que técnicas como el Machine Learning pueden ser utilizadas para automatizar ataques inteligentes contra la infraestructura de una compañía. Otros han concebido avanzados escenarios de Ingeniería Social en los que la IA es utilizada para poder imitar el léxico de una persona, para así ganar la confianza de otra.
Aunque estos escenarios de ataque no son comunes hoy en día, podrían volverse la base de la actividad cibercriminal en los años por venir. Por ello, no solo debemos entusiasmarnos por las ventajas que la Inteligencia Artificial promueve, sino también comprender que podemos estar adentrándonos en una era de ataques más sofisticados, con implementaciones capaces de modelar el comportamiento de un cibercriminal y reproducirlo de manera automática para encontrar brechas y penetrar redes de manera rápida y efectiva.
Para hacer frente a la automatización ofensiva de los cibercriminales del futuro necesitaremos automatizar la defensa, adquiriendo diferentes tecnologías de seguridad que nos permitan detectar de manera rápida patrones anómalos en las redes corporativas.
¿Qué debe exigir el CISO a un proveedor de soluciones de seguridad y protección de datos?
Los requerimientos para el diseño e implementación de un sistema de seguridad variarán acorde a las necesidades de cada organización. No obstante, asegurarse de poder contar con un buen soporte por parte de la empresa proveedora de seguridad resulta crítico para el despliegue exitoso de las medidas de protección y para poder hacer frente a los incidentes de seguridad cuando estos acontecen.
Es claro que, además del soporte posventa, la experiencia de la compañía en el área de seguridad y el hecho de que puedan ofrecernos un diverso portafolio de productos para construir las diferentes capas de seguridad del sistema también serán factores para considerar.
Finalmente, analizar las políticas de seguridad y estándares internacionales que avalan la operatoria de la compañía nos permitirá cerciorarnos de que se está tratando con una entidad que toma en serio sus obligaciones para con la seguridad de la información, comenzando por sí misma.
Y en el futuro inmediato, ¿cuáles son los principales retos que se le imponen a su empresa como proveedor de soluciones de seguridad y protección de datos?
La cambiante superficie de exposición a la que se enfrentan usuarios hogareños y empresas debido a la incorporación de nuevas tecnologías, sumado a la consolidación de la industrialización de la actividad cibercriminal, definen un dinámico panorama donde la norma es el cambio. El gran desafío para las empresas de seguridad yace en poder identificar y pronosticar las nuevas formas de ataque, ofreciendo herramientas preventivas que permitan a sus usuarios estar listos para combatirlas cuando estas se materialicen.
¿Cuál es el componente de valor –tecnología o producto– que su compañía posiciona en el mercado de soluciones de seguridad? ¿Y protección de datos?
Un sistema de protección de la información debe pensarse como un conjunto de capas que se solapan para proteger a los activos de información. En ESET comprendemos que este es el correcto diseño de un modelo de seguridad y por ello creamos diferentes productos orientados a cada una de estas capas.
Entre nuestras herramientas se encuentran soluciones integrales de seguridad (como ESET NOD32 Antivirus o ESET Smart Security), protección para dispositivos móviles (ESET Mobile Security), soluciones para el cifrado de datos (ESET Endpoint Encryption) o la autenticación por doble factor (ESET Secure Authentication), entre muchas otras. También disponemos de ESET Intelligence Labs: un equipo de profesionales exclusivamente especializado en la realización de auditorías de seguridad para la detección y remediación de vulnerabilidades en sistemas corporativos.
Nuestro objetivo es ofrecer soluciones especializadas para cada tipo de ambiente de trabajo, dedicándonos arduamente a la creación de herramientas que permitan a todos los usuarios disfrutar más seguros de la tecnología.