7 (más) mitos sobre ciberseguridad que perjudican tu negocio

Hace dos años escribí sobre siete mitos de ciberseguridad que generan riesgos comerciales y hacen que los equipos de seguridad bien intencionados se concentren en las cosas equivocadas.

En ese momento estábamos en los inicios de una pandemia global, y tanto nuestra vida real como la digital estaban cambiando rápidamente, en algunos sentidos de manera permanente. Desde entonces, el mundo ha quedado conmocionado económica, política y tecnológicamente. El avance tecnológico ha pasado de un ritmo ya vertiginoso a una velocidad vertiginosa. Los estados nacionales que participan en la guerra cibernética han golpeado a los ciudadanos comunes directamente en el bolsillo. Seguramente después de dos años esos mitos serían totalmente diferentes, ¿verdad?

Equivocado. Como nos recuerda el dicho “plus ça change”, cuanto más cambian las cosas, más siguen igual. Los siete mitos originales siguen siendo muy relevantes, pero ofrezco siete mitos adicionales sobre ciberseguridad que surgen de la inmutabilidad de la condición humana.

Mito #1: Sólo un pequeño número de cuentas de redes sociales son falsas.

Muchas empresas saben que tienen bots, pero la realidad es que las empresas de redes sociales a menudo no saben y no quieren saber cuántos bots tienen realmente.

Hace años hicimos una prueba de concepto con un sitio de redes sociales que mostró que el 98% de sus inicios de sesión eran bots automatizados. Esta empresa estaba muy orgullosa de su rápido crecimiento y entusiasmada por el futuro, pero resulta que sólo tenían una décima parte de los suscriptores que pensaban que tenían.

La importancia de este conocimiento se ha puesto de manifiesto de forma muy pública con la adquisición de Twitter. El valor de la empresa se basa en gran medida en el número de usuarios. El desafío de Elon Musk a la compañía de demostrar que los bots de spam y las cuentas falsas son menos del 5% es una expectativa justa para cualquier inversor, anunciante, potencial socio comercial e incluso sus usuarios.

Predico que el número de bots de Twitter está más cerca del 50% o más. (Nota: (Basándome en investigaciones posteriores, he revisado esta estimación en una entrada de blog más reciente). Se debería exigir a las empresas que validen que los usuarios sean humanos y gestionen y mitiguen eficazmente su tráfico de bots.

En términos simples, el éxito de los bots maliciosos indica una falla de seguridad. La prevención de bots es fundamental para garantizar la integridad de la información que fluye a través de estos sitios, pero también para disponer de datos precisos para que las empresas tomen decisiones comerciales importantes y para otros que hagan negocios con ellas.

Mito #2: La prevención de bots es un proyecto que podemos hacer nosotros mismos internamente.

Hemos visto buenas empresas con grandes presupuestos y personal técnico brillante luchando contra los bots durante años. Sin embargo, cuando analizamos el tráfico de bots en estas organizaciones, esperando ver bots sofisticados que hayan evolucionado para superar sus defensas, simplemente no es así.

Las empresas han estado luchando contra los bots bloqueando IP, regiones y sistemas autónomos, y aquí es donde vemos la evolución del tráfico de bots maliciosos: los ataques ahora provienen de cientos de miles, incluso millones de direcciones IP. Esas defensas de la capa de red sólo te llevarán hasta cierto punto.

Mi mantra es que las señales del lado del cliente son las que mandan. Debes tener biometría conductual. Debes interrogar al navegador e interrogar al dispositivo. Todas esas señales tomadas en conjunto son el modo en que se identifican no sólo a los bots sino también a los humanos maliciosos.

Las empresas también creen que pueden contratar personal para salir de esta situación, pero no hay manera de contratar suficiente personal de TI para solucionar un problema tan grande. La única forma de luchar realmente contra la automatización es con automatización.

Mito #3: La atención siempre debe centrarse en una nueva y misteriosa amenaza que aparece en el horizonte.

Quienes trabajamos en seguridad, la prensa tecnológica y las relaciones públicas corporativas compartimos un temor común hacia aquellos actores de amenazas que están constantemente innovando y manteniéndose por delante de nosotros. Pero en muchos sentidos, los ataques siguen siendo los mismos con sólo pequeños cambios en el camino.

La mayoría de los bots que vemos hoy muestran el mismo nivel de sofisticación que vimos hace cinco años. Simplemente vienen de diferentes lugares. El credential stuffing todavía funciona a pesar de la autenticación de dos factores y/o CAPTCHA. Los atacantes no innovarán nuevos vectores de ataque mientras el vector original siga siendo exitoso. Todo lo que necesitan hacer es encontrar una forma de esquivar nuevas defensas.

Las empresas deben considerar las amenazas emergentes y tratar de prepararse para ellas, pero la industria también debe seguir mitigando las amenazas del año pasado.

Mito #4: Gestionar múltiples nubes es un desafío difícil que requiere un talento inalcanzable.

El mundo de múltiples nubes es una realidad en la que viven hoy muchas empresas (si no la mayoría). Ya sea por una adquisición, una integración con un socio o simplemente para aprovechar las mejores características, la nube múltiple llegó para quedarse.

Sin embargo, cuando pregunto a las empresas si utilizan múltiples nubes, una respuesta que escucho repetidamente es alguna versión de "sí, desafortunadamente". Las empresas que operan en múltiples nubes a veces lo hacen a regañadientes y no aprovechan la oportunidad de obtener lo mejor de ambos mundos.

Hoy en día no hay motivo para que administrar y proteger su patrimonio de TI en múltiples nubes deba ser una tarea ardua. Los proveedores de la nube han incorporado la interoperabilidad en sus estrategias y hay muchos otros proveedores cuyas soluciones están diseñadas para eliminar la carga de la integración, abstraer su funcionalidad en diferentes nubes y entregarla a través de una interfaz simple y unificada.

Mito #5: Asegurar la arquitectura y los dispositivos de la empresa es suficiente.

Los equipos de seguridad se centran en la infraestructura de la empresa, sus servidores, sus computadoras, sus escritorios: todo lo que hay dentro de la organización. En lo que en gran medida no se centran es en las redes domésticas de todos los empleados de la organización .

Un atacante podría querer atacar al CEO para acceder a información sobre fusiones y adquisiciones u otra información estratégica, pero monetizar eso no es tan fácil como atacar a un empleado de cuentas por pagar o a un administrador de TI. En un momento en el que trabajar desde casa es más común que nunca, las redes domésticas son una laguna emergente para los malos actores .

Mito #6: Puedes confiar en tus empleados.

Las amenazas internas tienen una enorme ventaja simplemente porque es parte de la naturaleza humana asumir lo mejor de quienes nos rodean. Pero el hecho es que no se pueden contratar 50 o 100 empleados sin correr el riesgo muy real de introducir una o dos manzanas podridas en el barril.

Los empleados descontentos no sólo dejan malas críticas en Glassdoor. Pueden colocar archivos confidenciales en una unidad USB y marcharse directamente. Incluso existe una creciente preocupación de que puedan dejar software malicioso en el sistema.

Desde hace tiempo tengo la teoría de que probablemente detrás de muchos ataques de ransomware también haya personas con información privilegiada. Un administrador de TI puede crear fácilmente una personalidad en la red oscura, darle a esa personalidad acceso al sistema para instalar malware y luego emitir una demanda de rescate y, a cambio, recomendar que la empresa simplemente pague el rescate. Es importante señalar que aún no he visto evidencia de esto, pero el incentivo ciertamente existe.

Mito #7: Nuestras mayores amenazas cibernéticas provienen de actores estatales que atacan la infraestructura.

Cuando el Oleoducto Colonial fue atacado hace un año, causando largas colas en las gasolineras que incomodaron a los consumidores de la Costa Este, fue una importante noticia internacional.

Sin embargo, se habla poco o nada de los millones de estadounidenses que son estafados cada año en Internet, muchos de los cuales son personas mayores que viven de sus ahorros para la jubilación. Esta es una tremenda amenaza a nuestra red de seguridad social que puede tener efectos devastadores en las personas y sus familias, mucho más que tener que esperar en fila y pagar más por la gasolina.

He pasado años trabajando en la policía investigando delitos cibernéticos, a menudo con resultados frustrantes, y este tema es una de mis pasiones. Los ataques a nuestra infraestructura son importantes y muy reales, pero cuando escuchamos las historias de estas víctimas queda claro que el fraude cibernético generalizado debería recibir más atención de la que recibe.

Si está interesado en aprender más sobre cómo administrar y defenderse de bots, identificar y mitigar amenazas o implementar la confianza cero dentro de su organización, aquí hay algunas sugerencias de lectura complementaria:

• Gestión de bots: soluciones de seguridad y protección de aplicaciones
• Distributed Cloud Bot Defense
• Libro electrónico "Identificar y mitigar amenazas automatizadas"
• F5 Distributed Cloud Services
• Uso de la confianza cero para proteger su empresa en la transición a lo remoto
• Cómo implementar un modelo de seguridad de confianza cero

_____

Por Dan Woods, director global de inteligencia de F5