Joseph Carson, Chief Security Scientist, Thycotic.

Los cibercriminales no son tan sofisticados como parece y suelen elegir las técnicas de ataque que hagan menos ruido y que implique el menor coste para ellos. En los medios de comunicación es habitual encontrar que un ciberataque ha vulnerado las herramientas de seguridad de una compañía, causando una interrupción del negocio y un enorme coste financiero asociado a ello. La respuesta ante incidentes se ha convertido en un foco prioritario para las empresas, ya que el pensamiento general es que no importa si vas a ser una víctima, sino cuándo lo vas a ser y cuan preparado estás. A la hora de reconocer que han sido vulneradas, las empresas tienden a culpar a la naturaleza “sofisticada” del ataque y su defensa es apoyarse en que han hecho todo lo posible para proteger su información sensible, pero que el atacante estaba altamente especializado y focalizado, por lo que no fue posible prevenir el ataque.

Esto es en gran medida una visión distorsionada de la realidad construida gracias a la mayoría de los ciberataques pero... ¿cuál es realmente esa  realidad? La  mayoría de los cibercriminales emplean muchísimo tiempo en preparar y planear un ciberataque, con el fin de utilizar la información obtenida para encontrar una vía de acceso exitosa y con el menor ruido posible para que la empresa no se entere de que ha sido vulnerada y, por supuesto, con el menor coste posible para el atacante. Los cibercriminales buscarán el eslabón más débil entre los diferentes métodos de acceso a la red de la empresa, lo que normalmente afecta a malas configuraciones, abuso de confianza de empleados, credenciales por defecto y cadenas de suministro.

El correo electrónico continúa en cabeza como el método de ciberataque más utilizado, mientras que los documentos de Office son el tipo de archivo más usado para infectar los sistemas y el phishing la principal técnica para ganarse la confianza del usuario, por lo que las personas son el objetivo número uno para hacer el “click” que de acceso de manera inconsciente a sus credenciales…incluyendo la contraseña.

Según el último reporte de Verizon Data Breach de 2019, las principales industrias que han sido vulneradas son:

• 16% en Sector Público
• 15% en Salud
• 10% en industria Financiera

Una vez el cibercriminal tiene un pie dentro, buscan cuentas y credenciales privilegiadas, lo que les otorga las “llaves del reino” para moverse libremente por la red y buscar información crítica, usando estas cuentas privilegiadas para pasar desapercibidos por meses o años.

Los expertos en ciberseguridad deben lidiar con la defensa de clientes, empleados, dispositivos IOT y, lo que es más importante, accesos privilegiados, por lo que deben incidir en elevar la necesidad de proteger las contraseñas y ayudar a cambiar el comportamiento de los usuarios potenciando el uso de soluciones de IT más efectivas y automatizadas.

La concienciación en materia de ciberseguridad esta funcionando, y las empresas necesitan seguir creando una cultura de ciberseguridad en sus organizaciones. El balance entre gente y tecnología debe ser el correcto; hay demasiada complejidad en el mundo de la ciberseguridad, y es crucial que lo hagamos mas sencillo y fácil de usar si queremos que la empresa adopte la tecnología que les ofrecemos. El futuro de la ciberseguridad reside en hacerla sencilla.

El equilibrio entre productividad, facilidad de uso y seguridad se consigue con una seguridad dinámica que establezca confianza entre las personas y la tecnología. Una política de “Zero Trust” es el punto de partida, pero no la meta…. La falta de confianza permite a la empresa empezar a crear los cimientos de la confianza. Una parte importante de “Zero Trust” y “Least Privilege” es limitar las credenciales de administrador, protegiendo y securizando el acceso privilegiado y asegurando que sólo los usuarios autorizados para ello pueden hacer uso de él, a la vez que cumplimos los controles de seguridad, incluyendo auditoria del uso de los accesos.

Otro de los puntos que menciona el informe de Verizon Data Breach Investigation es que las técnicas más comunes para vulnerar empresas son el phishing y el robo de credenciales y que el 56% de las brechas fueron descubiertas en meses o incluso años.

• 32% de las brechas fueron por phising
• 29% de las brechas fueron por el uso de credenciales robadas

Privileged Access Management ayuda a las empresas a reducir el riesgo para su negocio en múltiples áreas. Hay que dejar de centrarse únicamente en ciberseguridad y convertirnos en una industria más orientada a los riesgos del negocio, que es donde las empresas pueden beneficiarse de una herramienta de PAM.

Las soluciones de PAM (Privileged access management) son muy adecuadas para empresas que buscan reducir riesgos y al mismo tiempo añadir valor a su negocio. Las soluciones PAM pueden ayudar a las organizaciones a reducir costes automatizando tareas como la rotación de passwords o delegación de accesos mientras que implementan controles de seguridad.

El PAM también ayuda a crear una experiencia positiva para el negocio, facilitando una de las situaciones más tediosas para las empresas, que es recordar las contraseñas y rotarlas. Una solución PAM ayuda a que el empleado tenga que recordar menos contraseñas y, al mismo tiempo, se asegura de que sean complicadas, largas, únicas y que se roten de manera automática mientras el empleado puede seguir utilizándolas de manera normal.

Las soluciones PAM son una apuesta segura para los CISOs, ya que ayudan a mostrar valor, reducción de costes y al mismo tiempo mantener a los empleados contentos, que es lo que un CISO quiere y necesita, ya que hoy en día la imagen de la empresa es muy importante, tanto a nivel interno como externo, y todo lo que hagamos para hacer de la seguridad una experiencia positiva nos dará a todos más tranquilidad.

PAM también ayuda a cumplir normativas y regulaciones, ayudando a automatizar muchos de los reportes y controles de seguridad necesarios hoy en día.

Para finalizar, como mencioné anteriormente, mi trabajo en ciberseguridad es reducir el riesgo para el negocio y mantener a los cibercriminales fuera de la red haciendo uso de una seguridad que les resulte más costosa, difícil y ruidosa.

Comprender las técnicas y procedimientos de los hacker es la mejor manera de defenderse de los ciberataques, mientras que enfocarse en los riesgos del negocio es la mejor manera de conseguir la inversión en seguridad.