Joan Taule, vicepresidente de ventas de CrowdStrike para la región EMEA

No es ninguna novedad afirmar que los ciberataques se están convirtiendo en el pan nuestro de cada día. Sin ir más lejos, en las últimas semanas, estamos viendo cómo diferentes organizaciones que gestionan infraestructuras críticas en nuestro país están sufriendo ataques. Cada vez con más frecuencia, tanto este tipo de empresas como las autoridades se sitúan en el centro de la diana de los ciberdelincuentes de cualquier lugar del mundo. Si, además, observamos que estos delincuentes colaboran entre ellos para desarrollar malwares más dañinos, es evidente que hay que estar preparado para lo peor. Por tanto, ¿cómo puede una empresa protegerse hoy en día frente a unas estructuras criminales tan organizadas?

El primer factor que hay que tener en cuenta es la velocidad de reacción para evitar grandes daños. En el mundo del ciberespacio, la única forma de ganar una batalla es ser más rápido que el contrincante. De hecho, según datos con los que trabajamos en CrowdStrike, las empresas tienen de media tan sólo 1h58m para detectar y eliminar a un intruso de su sistema antes de que consiga comprometer activos más allá de su punto de acceso y crear el caos en la organización. Por eso, hay que pensar en tres métricas a la hora de crear una defensa: cuánto tiempo tardamos en detectar a un intruso; cuánto tiempo tardamos en investigar un incidente, entender su gravedad o extensión y definir las medidas que se deben tomar; y cuánto tiempo tardamos en responder a esa intrusión, eliminar al delincuente y tomar las decisiones necesarias para evitar daños.

Es decir, a la hora de elaborar una estrategia de seguridad hay que responder a la pregunta ¿cuál es tiempo ideal para detectar, contener y protegerse de un ataque? La realidad es que ahora mismo la mayor parte de las organizaciones e instituciones públicas que utilizan cualquier solución de seguridad avanzada del mercado son muy rápidas: pueden detectar a un intruso en menos de un minuto, realizar una investigación sobre lo sucedido en menos de diez minutos y eliminar al enemigo en menos de una hora. Es lo que se llama la fórmula 1-10-60, que debería convertirse en el estándar de la lucha contra el cibercrimen.

Adoptar la regla 1-10-60 permitiría expulsar al criminal del sistema rápidamente, antes de que salga del punto de acceso vulnerado y empiece a moverse por la infraestructura y por la red, con lo que se podría minimizar el daño y prevenir la escalada. Es crucial que se cree cierto grado de transparencia en la red para ayudar a la identificación de cualquier amenaza desconocida de forma rápida. Muchos delincuentes se comportan de forma natural dentro de la red, pero el uso de una tecnología innovadora combinada con técnicas de Machine Learning, detección en el endpoint y soluciones de antivirus avanzadas puede ayudar a detectar y combatir a usuarios encubiertos.

Para poder entender un riesgo, hay que pensar como el que lo causa; en este caso, es necesario pensar como si fuésemos ciberdelincuentes que queremos acceder de forma ilegal a la red de nuestra empresa. Debemos preguntarnos, por ejemplo, qué objetivos pueden perseguir, qué debilidades tenemos, qué activos digitales pueden interesarles, cómo podrían acceder a ellos… Muchos delincuentes atentan contra un activo concreto, pero lo que buscan es conseguir el control de un sistema crítico. Incluso toman rodeos para poder entrar por puntos débiles –ya sean aplicaciones o individuos desprevenidos- que tal vez estén alejados de sus objetivos principales. Precisamente por eso es importante la sensibilización de absolutamente todos los profesionales de la organización como parte de la estrategia de seguridad. De hecho, la mayor incertidumbre ante un posible ataque la plantea en la mayoría de las ocasiones un ser humano: siempre habrá un trabajador que abra un correo sospechoso, que pinche en un enlace desconocido o que incluya información sensible en una página web no segura.

Y después de todos estos argumentos llegamos a la pregunta más importante. ¿Se puede prevenir un ciberataque? La respuesta más clara es que no. Debemos asumir que en alguna ocasión vamos a ser atacados. Por ello, lo que debemos plantearnos más bien es “de forma realista, ¿cuánto tardaría un ciberdelincuente en llegar a un recurso sensible para mi organización?” con el objetivo de evitar que los atacantes consigan su meta y que lo que podría haber sido un simple incidente de seguridad se convierta en un evento serio.

Por eso considero que la velocidad es crucial a la hora de proteger cualquier endpoint y de analizar los sistemas de manera continua. La fórmula 1-10-60 puede medir el grado de preparación de los niveles de seguridad de una empresa y permite a los directivos que no tienen necesariamente conocimientos técnicos comprender y evaluar el rendimiento de su departamento de seguridad. Y aunque una empresa no sea capaz de conseguir estos tiempos de respuesta, la regla puede servir como objetivo para determinar, por ejemplo mensualmente, si vamos en la buena dirección para resistir ante un ataque exterior.