Los grandes del IBEX35, en el ojo del hacker
Borja Pérez, Director General de Stormshield Iberia, reflexiona en este artículo cómo es posible que las grandes empresas sean víctimas de ciberataques.
Una vez más las noticias parecen quitarnos la razón a los que argumentamos que la concienciación sobre los problemas de ciberseguridad en España ha aumentado mucho en los dos últimos años. Uno de los argumentos que damos para hacer esta afirmación son las campañas de ransomware que han afectado a todo tipo de víctimas, desde usuarios domésticos hasta empresas del Ibex 35.
¿Cómo es posible que grandes empresas sufran este tipo de ataques? Hay varias razones. La primera, y obvia, es que las grandes empresas son objetivo de ataques más sofisticados. Por motivos económicos y de notoriedad para los atacantes. El impacto para la empresa es doble. Por un lado, los daños al negocio y físicos. Por otro, como hemos visto en el último caso, de daños reputacionales, ya que en este mundo hiperconectado la noticia ha saltado a los medios casi en tiempo real. Otra razón es que, lamentablemente, el presupuesto dedicado a la ciber seguridad sigue siendo relativamente escaso. Si lo comparamos con el destinado a la seguridad física, sigue siendo menor, cuando el impacto en la actividad de la empresa de un fallo de ciberseguridad es mucho mayor.
Cerca del 80% de los ataques con éxito sufridos por las empresas, según Gartner, se produce a través del puesto de trabajo. Esto es así porque las herramientas que todavía se usan en las empresas ya no están preparadas para parar los ataques actuales. Un antivirus, aunque sea de última generación, no sirve. Las herramientas de remediación, más modernas, sirven para avisarte de por dónde ha entrado el ataque, pero una vez que éste ha tenido éxito. La concienciación de los usuarios es importante, pero no es 100% efectiva, ya que los ataques pueden ser personalizados e imposibles, de detectar salvo para un experto. Son necesarias herramientas, no basadas en firmas ni en comportamiento heurístico, capaces de bloquear procesos ilegítimos y capaces de controlar comunicaciones y periféricos.
Los expertos en ciberseguridad llevan avisando tiempo de que la nueva generación de ataques combina la explotación de vulnerabilidades con el ransomware. A pocas horas del último ataque a una empresa del Ibex 35, parece ser que podría tratarse de un ataque de este tipo. Podría haberse aprovechado una vulnerabilidad para introducirse en la red, y desatar el ataque pasado un tiempo o activado desde el exterior. Al cifrar los datos después del ataque, es muy difícil obtener una muestra del malware. Siempre decimos a nuestros clientes que un ataque de ransomware es peligroso. Pero mucho más otros ataques de día cero que pueden causar más daño y además durante un periodo de tiempo más largo al no ser detectado.
Nadie puede garantizar una seguridad 100% efectiva, pero con las políticas adecuadas y herramientas disponibles hoy en el mercado, este último ataque se podría haber parado.