Piensa como un hacker: cómo las empresas pueden detener el delito cibernético

Diríjase a la sección

Enero 16, 2023

PANORAMA GENERAL

A medida que las amenazas cibernéticas continúan creciendo, las organizaciones deben comprender el alcance de su exposición al crimen en línea y la calidad de sus defensas. Evaluar sus controles de seguridad puede jugar un papel crucial en la validación y fortalezas de sus protecciones.
La encuesta 2022 Executive Risk realizada a directores ejecutivos y de alto rango encontró que el 40 por ciento de los encuestados consideraron que sus organizaciones estaban dedicando una gran cantidad de tiempo para enfrentar las amenazas derivadas de ataques cibernéticos. Por su parte, el Reporte Comparativo del Impacto de los Activos Intangibles en los Estados Financieros, realizado con la participación de profesionales que gestionan riesgos cibernéticos corporativos de las principales empresas latinoamericanas, encontró que los incidentes cibernéticos son calificados como el mayor peligro para las empresas de la región. Según el 84 por ciento de los encuestados, la amenaza cibernética figura entre los riesgos corporativos más graves, seguido por la amenaza a la propiedad intelectual, de acuerdo con el 82 por ciento de los encuestados.
Las pruebas de seguridad cibernética identifican en qué punto una organización podría ser vulnerable a ataques en línea, lo que les permite reforzar sus defensas de manera adecuada. Esta prueba es más que un ejercicio técnico, también implica comprender la naturaleza humana.
“Los equipos de seguridad cibernética analizan de manera integral a un cliente, su red y a sus posibles vulnerabilidades. Estas pruebas son valiosas dentro de la estrategia de ciberseguridad”, comenta Sergio Torres, Specialty Leader – Financial & Professional Services, Cyber & Financial Institutions de Aon para Latinoamérica.

A PROFUNDIDAD

Entre los que realizan pruebas de seguridad cibernética, los llamados ” Red Teams” ocupan un nicho distintivo y valioso, ya que son grupos que desempeñan el papel de atacantes cibernéticos sofisticados para ayudar a identificar vulnerabilidades.
“En cualquier otro contexto, lo que hacen sería ilegal”, asegura Torres. “A veces, en estas evaluaciones, van físicamente a lugares para probar la seguridad. Incluso podrían ser contratados como ‘nuevos funcionarios’ para ver qué tan rápido pueden comprometer o violar la red desde adentro”. Los “Red Teams” llevan a cabo todo tipo de artimañas para identificar las vulnerabilidades del sistema, tal como lo harían los ciberdelincuentes reales.

Pruebas de seguridad cibernética

Las pruebas de seguridad cibernética pueden involucrar varios elementos, incluidas las evaluaciones del “Red Team” e ingeniería social: este tipo de ingeniería en seguridad cibernética implica probar la resiliencia cibernética de una organización al intentar explotar una serie de vectores de ataque diferentes, incluida la propia gente de la organización.
“Cuando hacemos pruebas de ingeniería social, no sólo evaluamos cuántos usuarios hacen clic en un enlace e ingresan sus datos, sino que también hacemos un análisis de contraseñas, las revisamos y le decimos al cliente qué tan seguras son”, explica Torres. “Establecer requisitos de contraseña más estrictos e identificar contraseñas que ya han sido comprometidas, podría ayudar a las organizaciones a reducir el riesgo de ataques exitosos mediante ingeniería social o mediante la entrega no controlada de datos”, sostiene.
Mantener la seguridad cibernética también puede incluir probar el hardware de una organización y sus conexiones a dispositivos de Internet de las cosas (IoT). Esta forma de pruebas de seguridad busca debilidades en el código informático, vulnerabilidades en el hardware no reforzado o vulnerabilidades en las tecnologías IoT de la organización.

Un proceso en constante evolución

Se ha vuelto más fácil que nunca lanzar un ataque cibernético. Mientras tanto, la naturaleza de las pruebas de seguridad cibernética ha evolucionado junto con el perfeccionamiento de las aplicaciones web y el aumento de la digitalización en los negocios.
Torres explica que, desde el auge de la Web 2.0, o sitios web y aplicaciones que incorporan contenido generado por el usuario, las pruebas a aplicaciones web se han convertido en la forma predominante de hacer pruebas. Los tipos de amenazas cibernéticas también están evolucionando, y los vectores de seguridad cibernética tienen que mantenerse al día.
“Siempre es un juego del gato y el ratón”, afirma el especialista. “Cuando las empresas encuentran formas de detener ciertos ataques, los ciber delincuentes encontrarán nuevas maneras de atacar. Es un ritmo muy rápido porque elementos como el ransomware se han convertido en desarrollos por encargo y pagados. Entonces, como hacker ofensivo, realmente tienes que dedicar tiempo a investigar”.

Abordar el factor humano

Con un porcentaje tan grande de ataques cibernéticos que dependen de la ingeniería social como las estafas de phishing, los vectores de seguridad cibernética deben considerar el comportamiento humano.
“Con muchas de las evaluaciones de ingeniería social, en realidad estamos probando a los empleados. Está comprobado que, si un correo electrónico traspasa los controles técnicos y si tienes 100 empleados, alguien hará clic en ese enlace”, afirma Torres.
En última instancia, se requiere una combinación de capacitación y controles técnicos para ayudar a reducir el riesgo de amenazas cibernéticas.
“Se deben configurar los controles técnicos para bloquear esos correos electrónicos y que no logren llegar. Además, se debe capacitar a los empleados, para asegurarse de que sepan cómo manejar adecuadamente los correos electrónicos que les llegan”, afirmó el especialista de Aon.

Los beneficios de las pruebas exhaustivas

El uso de un “Red Team” puede ser la herramienta más completa en el arsenal de seguridad cibernética de una compañía: “Cuando una empresa elige ese tipo de pruebas, recibirá la evaluación más asertiva sobre el estado de su seguridad cibernética. En sus intentos de doblegar todos los aspectos de la seguridad de una organización, los ‘Red Teams’ pueden, en última instancia, ayudar a proteger el acceso a las redes y a los datos de los empleados”, asegura Torres.