Se cumplen once años del primer Informe Anual de Ciberseguridad dado a conocer por Cisco. Mucha agua ha corrido bajo los puentes desde 2007, pero no por ello el panorama que describe es más esperanzador. De un lado, por la sofisticación que han alcanzado los ataques; de otro, por la desidia y las limitaciones de recursos para combatirlos. Es la desoladora conclusión del informe que en esta ocasión se ha centrado en analizar las pymes, bajo un lema llamativo, Small and Mighty Threat, sin duda menos insulso que su título formal [SMB Cybersecurity Report]. El foco añade gravedad a las advertencias: uno de los hallazgos más inquietantes es que el 44% de las alertas ni siquiera se investigan.
Para llegar a esa conclusión Cisco ha entrevistado a profesionales de 26 países (entre ellos España) que trabajan en pequeñas y medianas empresas – con una clasificación que conviene conocer antes de continuar leyendo: considera como medianas a las organizaciones de entre 250 y 499 empleados, y como pequeñas a las de menos de 250. De media, cada una de ellas recibe unas 5.000 alertas de seguridad y, por si fuera poco, únicamente se resuelve el 51% del 60% que llega a investigarse. Así las cosas, es explicable que el 53% del total hayan sufrido alguna violación en el último año.
Otro factor de complejidad cuando se trata de recomendar una estrategia de seguridad a organizaciones de este nivel es la cantidad de proveedores en la materia. En síntesis, aumenta su número, lo que significa una mayor fragmentación de las soluciones. Correlativamente, el coste económico de los ataques asciende, según el estudio, a medio millón de dólares; incluye en el cálculo la pérdida de ingresos, clientes y oportunidades consecuencia de los ataques. Pese a que no es tan exhaustivo como ediciones anteriores por su especificidad, el estudio revela que el 40% de las organizaciones encuestadas ha sufrido caídas de al menos ocho horas en sus sistemas. Además, cuatro de cada diez compañías (39%) han tenido brechas graves en la mitad de su base informática.
Aunque los ataques de denegación de servicio (DDoS) son los habituales, la práctica del ransomware se ha disparado con casos espectaculares como WannaCry, que consiguió inocularse en más de un millón de ordenadores y – créase o no – todavía colea, cada vez más sofisticado y peligroso. El informe de Cisco subraya que, lamentablemente, los ciberdelincuentes ya no buscan solamente el enriquecimiento a través del cobro de rescates: algunos buscan hacer el mayor daño destruyendo sistemas y borrando datos.
La estrategia de los atacantes es tan sencilla como alarmante: hacer que el malware se propague por sí mismo, sin intervención humana. En esencia, se trata de aprovechar la inacción: si antes era necesario que alguien abriera un correo electrónico o lanzara una descarga, ahora basta con que no haya instalado el último parches de seguridad en un equipo conectado a la red.
Esta práctica de nueva generación, sin embargo, no quiere decir que los métodos de infección tradicionales se hayan abandonado. Como el spam (el 60% de los dominios maliciosos detectados estaban relacionados con campañas masivas) o la ingeniería social. Si se ahonda en las extensiones de archivos utilizadas para propagar malware, es obvio que destacan las aplicaciones ofimáticas más populares con un 38% (Word, PowerPoint y Excel), seguidas de las de compresión de archivos (.zip y .jar (37%) y los PDF (14%). En ocasiones se combinan varios, como ocurrió en mayo de 2017, cuando un documento PDF ocultaba en su interior otro en Word ya infectado.
Por otro lado, buena parte de la sofisticación alcanzada por los atacantes se basa en el cifrado que utilizan. Lo que en su día se implantó como medida de seguridad – el tráfico web cifrado representa más del 50% del total – está siendo utilizado para ocultar el rastro de los ciberdelincuentes. Este informe aporta un dato desconocido: cerca del 70% de más de 400.000 códigos binarios maliciosos identificados (hasta octubre del año pasado) utilizaban cifrado, es decir que el subterfugio se ha triplicado con respecto a los datos que manejaba el estudio anterior.
Ahondando en la complejidad de los ataques ´criptados` muchos de ellos utilizan la puerta trasera que se les abre gracias a servicios ´fiables`: Google, Dropbox y GitHub, sin ir más lejos. O mediante la descarga de un software reputado como CCleaner.
Por cierto, la multiplicación exponencial del número de dispositivos conectados con el auge del IoT, ofrece un abanico de oportunidades a los ciberdelincuentes. No por ser conocido deja de llamar la atención que el 40% de las redes dinámicas, los puntos finales y las infraestructuras cloud – en 2017 el 70% de las pymes tenía alguna relación con la nube – ayuda a sembrar puntos ciegos que, llegado el caso de una brecha, no estarán controlados en tiempo real por los equipos encargados de la seguridad. La relajación se extiende a la supervisión de los puntos finales, cuya cantidad es tal que son desestimados alegremente por muchos departamentos de T.I.
Resulta chocante esta laxitud, considerando que entre las preocupaciones declaradas por las pymes sobresalen los ataques dirigidos contra sus empleados: phishing (79%), amenazas persistentes avanzadas (77%) o ransomware (77%), entre otros.
En cuanto a los entornos cloud, como se ha dicho, son más frecuentes: hay que suponer que la muestra puede tener un cierto sesgo, pero el 52% de las empresas entrevistadas declaran que incluyen su infraestructura on-premise como parte de una nube privada; de ellas, el 35% tiene entre la mitad y el 74% en modo cloud. El informe constata que más de la mitad (57%) consideran – y en principio no les falta razón – son más seguros.
Asimismo, los autores advierten que el software originado con metodologías DevOps a menudo se implanta incorrectamente o, por una falsa sensación de comodidad, se deja abierto, lo que equivale a tender una alfombra roja a los ciberdelincuentes. El simple hecho de utilizar instancias en la nube – un caso célebre se ha dado con la plataforma Mongo DB – ya puede suponer un riesgo. Por esta razón, Cisco se permite recomendar el desarrollo de ´estándares sólidos` para el despliegue de metodologías DevOps, además de mantenerlas actualizadas y parcheadas.
De ninguna manera parece suficiente que el 19% de las empresas estén invirtiendo en actualizar la seguridad de sus puntos finales o que el 18% lo haga para mejorar la seguridad de sus aplicaciones web y el 17% para la prevención de intrusiones.
Por esto parece atinado que el informe de Cisco incluya una serie de recomendaciones cuyo objeto es minimizar riesgos. Entre ellas, algunas son dignas de perogrullo, pero sorprende que todavía sea necesario recordarlas: definir políticas corporativas de actualizaciones y parches de seguridad, hacer copias frecuentes de los datos (especialmente de los más críticos), implantar herramientas de monitorización de última generación para los puntos finales o practicar una revisión anual de los sistemas y políticas de seguridad.
[ informe de David Bollero ]