Guerra total, la ciberdefensa ha dejado de ser una opción

Hasta hace poco, la ciberseguridad se dirigía a detener a los actores motivados económicamente que explotaban las vulnerabilidades en las redes de TI tradicionales para cometer una gama bastante limitada de fraudes, interrupciones y robos de datos. Era el contrapunto al delito cibernético, perpetrado casi exclusivamente por actores no estatales. Sin embargo, esos tiempos felices han pasado. La nueva guerra cibernética global se parece mucho a la guerra fría de los años 50 a 80. En lugar de reservas de armas nucleares, la amenaza tiene más que ver con una reserva global de vulnerabilidades, acumuladas ya sea por accidente, ya  como un subproducto de las continuas innovaciones en conectividad. La ciberguerra es real.

Las líneas borrosas entre ciberespías, ciberdelincuentes y ciberejércitos están transformando el panorama de la seguridad. Por si fuera poco, asistimos a una democratización del cibercrimen no sólo por el acceso a las herramientas tecnológicas, sino porque la propia inteligencia artificial (IA) generativa es capaz de escribir código con fines maliciosos. El responsable del área técnica de ExtraHop, Jamie Moles, pidió ayuda a ChatGPT para crear un ataque similar al devastador gusano ransomware WannaCry. “Le pregunté cómo usar Metasploit para aplicar el exploit EternalBlue y su respuesta fue básicamente perfecta”, explica.

Podría decirse que esas son algunas de las grandes tendencias definidoras del momento actual, según ha podido constatarse en la última edición del e-Crime & Cybersecurity Congress de Londres. Otros indicadores sobre el ciberzeitgeist de nuestro tiempo: la activación de las monedas digitales de los bancos centrales parece garantizada en los próximos 20 años, poniendo coto a la dualidad cíber vs cripto.

Los gobiernos se han dado cuenta tarde de que necesitan proporcionar un grado de protección mucho mayor para los servicios públicos y los ciudadanos que hasta ahora. Para ello están obligados a trabajar cada vez más con proveedores de soluciones del sector privado y con los usuarios finales para crear un entorno de seguridad que le permita hacer frente a las acciones de otros Estados.

Eso resulta especialmente retador en un mundo conectado en el que, antes o después, cada dispositivo formará parte de un ecosistema integrado por redes públicas y privadas, en el que las aplicaciones de conducción informan a las aseguradoras sobre las primas a cobrar y las máquinas son capaces de informar acerca de sus propias averías.

Estrategias nacionales

El 2 de marzo pasado, la Administración Biden lanzó su esperada Estrategia Nacional de Ciberseguridad en la que eleva la seguridad cibernética a la categoría de componente crítico de la prosperidad económica y la seguridad nacional de los EEUU. Y plantea un dilema fundamental, muy en línea con la directiva NIS2 publicada recientemente por Europa: el sector privado, con sus empresas de software, pymes, proveedores de banda ancha y empresas de servicios públicos, tiene la clave para asegurar el bien público de la ciberseguridad.

Según los análisis de Comparitech, los ataques de ransomware a empresas estadounidenses costaron 20.900 millones de dólares entre 2018 y 2023, con una demanda de rescate promedio de 4,15 millones para las empresas afectadas en 2022. La estrategia de EEUU deja claro que el tiempo para que las empresas opten voluntariamente por la ciberseguridad ya ha pasado. En cambio, deben tomar medidas proactivas para probar y comprender su panorama de amenazas. Las empresas deben realizar análisis de vulnerabilidades formales y pruebas de penetración que identifiquen posibles puntos de acceso.

Además, deben adoptar medidas que aborden esas vulnerabilidades de la cadena de suministro, lo que incluye la colaboración público-privada en forma de intercambio de información y asumir que una talla única no sirve para todos cuando se trata de ciberseguridad, de modo que los estándares regulatorios serán más agresivos para las empresas más grandes, la infraestructura crítica y los proveedores de software.

Más tendencias: el sector de la ciberseguridad empieza a convencerse de que, dado que no será posible formar al personal necesario para vencer a los piratas informáticos, necesitará de soluciones más inteligentes, basadas en datos e impulsadas por inteligencia artificial (IA). Por eso, la ciberseguridad debe concebirse realmente como una materia del área de riesgos y no como un problema de TI. Debe implicarse a los CISO (Chief Information security officer), pero también a los comités de dirección y a los proveedores de soluciones. Los bancos lo han hecho.

La idea del perímetro de seguridad está definitivamente muerta. El desafío es implementar soluciones de Zero Trust Network Access (ZTNA) y de Secure Access Service Edge (SASE) sobre tecnología heredada, ese legacy al que las empresas, especialmente las industriales, con ciclos de amortización largos, no pueden renunciar. No querrán despertar un día con un ataque al software de la cadena de suministro.

Se pueden reducir los riesgos de brechas de seguridad eliminando las arquitecturas de TI que confían en los usuarios e implementando estrictos controles de verificación de identidad. Según una investigación de la empresa de seguridad en la nube Zscaler, más del 90% de los líderes de TI que ya comenzaron a migrar a la nube implementaron, están implementando o planean implementar una arquitectura de seguridad de confianza cero. Las plantillas modernas, con personal distribuido e innumerables terminales, requieren un enfoque diferente al del pasado.

En lugar de utilizar un enfoque de ‘confiar, pero verificar’, un ecosistema de confianza cero asume que no hay un borde de red y requiere que todos los usuarios, sin importar su ubicación, sean verificados y autorizados antes de que se les dé acceso a aplicaciones o datos. Un informe de Gartner espera que el ZTNA sea el segmento de más rápido crecimiento en seguridad de red, con una tasa del 31% en 2023.

Para Nathan Howe, vicepresidente de tecnología emergente y 5G en Zscaler, si bien el estado de transformación hacia la confianza cero dentro de las empresas hoy en día es sólido, existen áreas en las que se podrían seguir iniciativas más ambiciosas. “Hay una oportunidad increíble para que los líderes de TI eduquen a los tomadores de decisiones sobre la confianza cero como un impulsor comercial de alto valor, especialmente cuando luchan por una nueva clase de entorno de producción o lugar de trabajo híbrido y dependen de una variedad de tecnologías emergentes, como como IoT y OT, 5G e incluso el metaverso”, afirma.

La privacidad de los datos es solo una pequeña parte de la película. Las empresas deben dejar de centrarse exclusivamente en el RGPD y pensar estratégicamente en la seguridad real. “Debe haber una percepción de que esto no es sólo datos… esto se trata de la civilización. Estas personas pueden perturbar gravemente nuestras vidas”, dice Mario Greco, CEO de la aseguradora Zurich, centrarse en el riesgo para la privacidad de las personas es pasar por alto el panorama general. Los reguladores están analizando la resiliencia operativa de sectores clave completos, como el financiero. Algo tan esencial para el funcionamiento del mercado como asegurar el mercado de pagos mayoristas es ahora mismo una prioridad. Recordemos el impacto de interrupciones recientes de la nube, que no sólo han afectado a la infraestructura de bajo nivel, sino que han deshabilitado las soluciones de seguridad cibernética y, en ocasiones, han cerrado el acceso corporativo a los activos de red críticos. Por no hablar del coste reputacional de reiniciar el sistema.

La protección automatizada

Un informe reciente de InfoSecurity describe cómo la plataforma de validación de seguridad Picus Security consiguió que el sistema de inteligencia artificial generativa ChatGPT elaborara una campaña de phishing creíble para la Copa del Mundo de fútbol e incluso escribiera un ransomware para macOS.

El bot advirtió en un momento dado que el phishing podría usarse con fines maliciosos,  de hecho está programado para no escribir ransomware directamente, pero siguió adelante y produjo el script. “Es como una impresora 3D que no ‘imprime un arma’, pero imprimirá un cañón, un cargador, una empuñadura y un gatillo juntos si se lo pides”, explica el cofundador de Picus Security, Suleyman Ozarslan.

En primer lugar, solicitó a la IA ayuda para escribir un software en Swift, encontrar todos los archivos de Microsoft Office de su MacBook y enviarlos posteriormente a través de HTTPS a su servidor web. A continuación, le pidió que cifrara todos los archivos de Microsoft Office en su MacBook y la enviara la clave privada para usarla en el descifrado. “Me envió el código de muestra y esta vez no hubo ningún mensaje de advertencia, a pesar de ser potencialmente más peligroso que el correo electrónico de phishing”, afirma.

El bot escribió también un código de evasión de virtualización/sandbox efectivo, que podría ayudar a los piratas informáticos a evadir las herramientas de detección y respuesta, así como una regla de detección SIGMA. La conclusión de Ozarslan es que “OpenAI debe mejorar en la detección y prevención de avisos que generan malware y campañas de phishing”.

Los correos electrónicos de phishing son una táctica habitual dirigida a engañar a las víctimas para que hagan clic en enlaces, que descargan malware en sus dispositivos. Buscan robar credenciales e información confidencial para realizar, a continuación, otros ataques cibernéticos realmente dañinos, como el ransomware. Hasta ahora era posible detectar phishing porque los correos solían estar escritos mal y con vocabulario incorrecto, pero una herramienta como ChatGPT elimina todos estos obstáculos.

Según Check Point Research, los ciberdelincuentes con pocos conocimientos de desarrollo podrían aprovechar ChatGPT para crear herramientas maliciosas y convertirse en atacantes con verdaderas capacidades técnicas. El 21 de diciembre de 2022, un actor denominado USDoD publicó su primer script de Python gracias al bot de OpenAI. Había conseguido implementar en ese script una variedad de funciones diferentes, incluida la generación de claves criptográficas y la capacidad para que el usuario cifre todos los archivos en un directorio específico.

En opinión Scott Cruickshanks, director ejecutivo del equipo de Seguridad Cibernética de JP Morgan, el desafío principal para una transformación digital segura en ciberseguridad es disponer del “tiempo necesario para implementar las cosas de una manera segura y escalable: la empresa debe moverse rápidamente para satisfacer la demanda de los clientes, lo que a menudo da como resultado la implementación de soluciones de seguridad únicas que pueden funcionar a corto plazo, pero que en última instancia solo crean una deuda técnica” Insta, por eso, a “explicar por qué tener fuertes controles cibernéticos agrega valor real a los clientes y, en muchas industrias, se considera un diferenciador entre los productos de la competencia”. Según su visión, “a largo plazo, la industria de la ciberseguridad tendrá que depender más de la automatización de los controles, ya que tener procesos manuales no es escalable. A corto plazo, se debe poner más énfasis en volver a capacitar a la fuerza laboral existente en lugar de enfatizar la contratación de talento cibernético externo”.

Resiliencia cibernética

El tema principal de la Global Cyber Conference en 2023 será “Priorizar la resiliencia cibernética”, avanza Samir Aliyev, CEO del Swiss Cyber Institute. “Siento que este es un tema crítico teniendo en cuenta el panorama actual de amenazas globales y los desarrollos recientes que no solo involucran a Europa del Este, sino en todo el mundo. Es vital no solo para evitar pérdidas financieras a través de ataques cibernéticos, sino como un medio para que las empresas implementen y cumplan con las normas y estándares de la industria. La resiliencia cibernética también permite que las empresas se recuperen rápidamente de un ataque”. La conferencia también profundizará en temas como la gobernanza cibernética, la gestión de riesgos y las tecnologías cibernéticas.