Entrevistas
“Una mala gestión de varios focos de desinformación puede desacreditar una empresa»
José Luis Ardisana Martínez
Analista
Seresco
Tras los preocupantes datos del pasado año, 2023 se presenta repleto de grandes retos ante el aumento en el número de intentos de ataque e intrusión a empresas, organizaciones y particulares. Amenazas que acompañarán a todos los nuevos procesos de transformación digital, así como la adopción de nuevas tecnologías. Y cuya base predominante de materialización será la facilidad y rapidez de éxito debido a la disposición de nuevas armas como la computación cuántica, las redes 5G, el malware como servicio, y los recursos de IA. Hablamos con José Luis Ardisana Martínez, analista de inteligencia del centro de operaciones de seguridad de Seresco, compañía española especializada en soluciones de software y servicios en Tecnología de la Información y Comunicación.
[MuySeguridad] Vivimos en un mundo cada vez más crispado y hasta peligroso, ¿están las empresas españolas verdaderamente protegidas frente a los ciberataques?
[José Luis Ardisana] De forma generalizada, es cierto que se ha avanzado mucho en este aspecto. Estamos continuamente escuchando casos de ciberataques y de ciberestafas en todas partes del mundo, dirigidos a empresas, organismos y personas de toda clase y condición. Esto hace que, cada vez, tengamos más presente la necesidad de protegernos y seamos más conscientes de los riesgos que corremos de no hacerlo.
No obstante, si bien las empresas avanzan en su protección, lo mismo hacen los ciberdelincuentes en el desarrollo de herramientas y nuevas técnicas de ataque. Es por ello por lo que el estar “verdaderamente protegido” siempre es un reto muy exigente, más aun en el entorno empresarial, que maneja recursos e información sensible.
No hay un nivel de protección homogéneo entre las empresas que nos permita generalizar; por supuesto estará mucho mejor protegida una empresa que cuente con servicios de prevención y respuesta ante incidentes que una que no cuente con este recurso, por ejemplo. En general, podría decirse que hay gran cantidad de empresas que no están lo suficientemente protegidas, pero no únicamente empresas españolas, sino a nivel global.
[MuySeguridad] ¿Cómo la invasión rusa de Ucrania ha llevado a la ciberseguridad a transformarse?
[José Luis Ardisana] Se está viendo en los últimos años gran incidencia de ciberdelincuencia contextual, evolucionando con la sociedad y adaptándose a los fenómenos que ocurren. Ya sucedió algo similar con la pandemia de los últimos años, y está sucediendo en estos momentos con el terremoto de Siria y Turquía: las ciberamenazas y las técnicas y tácticas de ataque se adaptan al contexto para aumentar su efectividad y su abanico de víctimas potenciales.
En el caso concreto del conflicto entre Rusia y Ucrania, ha proliferado toda una batería de recursos de “ciberguerra”, entendiéndose estos como ciberataques o ciberamenazas llevados a cabo como acompañamiento de las actividades bélicas físicas, ya sea para preparar o facilitar los ataques, para aumentar sus efectos, para dificultar movimientos de tropas enemigas o para anular líneas de suministros, por poner solo algunos ejemplos.
Ha habido, en este sentido, desde numerosos grupos hacktivistas que han participado en el conflicto, hasta verdaderos ejércitos cibernéticos oficiales, como el Ejército TI de Ucrania, sin olvidar a los distintos grupos cibercriminales patrocinados por los propios Estados, pudiendo decir Killnet a modo de ejemplo de los diferentes grupos estatales rusos, o Ghostwriter, patrocinado por el gobierno bielorruso.
Podría decirse que el conflicto a “agitado el avispero”, han aumentado las ciberamenazas de Oriente a Occidente, sin disminuir las más cercanas, y ha aumentado el riesgo de ataque de grupos verdaderamente potentes. Todos los Estados Miembros de la OTAN se enfrentan hoy en día a esta nueva situación, lo cual hace que, desde la ciberseguridad, haya tenido que implementarse un nivel de fortaleza y preparación de máximo nivel.
[MuySeguridad] Las amenazas cibernéticas contra Infraestructuras Críticas (IC) y redes OT aumentan, ¿qué soluciones pueden tomar las organizaciones?
[José Luis Ardisana] La prevención es la única solución verdaderamente útil y eficaz que se puede tomar. Todas las empresas deben contar con un nivel de protección y prevención acorde a su naturaleza; pero si nos referimos a IC y a redes OT, evidentemente esta necesidad es máxima.
En primer lugar, debe garantizarse la salud de las defensas, aumentando la fortaleza de las contraseñas, estableciendo sistemas fiables de autenticación de usuarios, manteniendo los sistemas debidamente actualizados y parcheados, etc. Debe implementarse, adicionalmente, una monitorización constante de los sistemas que permita detectar y analizar cualquier acceso, movimiento o indicio sospechoso que pueda estar ocurriendo a tiempo real. Y, si se da el caso, debe contarse con un buen procedimiento de gestión de incidentes, de forma que un riesgo que pueda materializarse de forma inminente sea debidamente detectado y atajado.
Para ello es indispensable tener detrás un equipo de profesionales que lleven a cabo estas funciones, ya sea de forma interna o bien externalizando dicho servicio. No se puede olvidar que un fallo en este tipo sistemas, por lo general, tiene grandes consecuencias para la sociedad, por lo que la prevención y la preparación deben tomarse desde una perspectiva muy rigurosa.
[MuySeguridad] La digitalización vive momentos históricos, pero también así la ciberdelincuencia, ¿cómo poder seguir avanzando pero sorteando a la vez esos ataques cada vez más sofisticados?
[José Luis Ardisana] Se está incidiendo mucho en que debemos concienciarnos de que existen estas amenazas, y de que gran parte del poder de protegernos ante ellas está en nosotros mismos, cosa que es totalmente cierta. Igualmente, es necesaria una formación continua y recurrente que nos mantenga actualizados, dado que cualquier rama del ámbito tecnológico es tremendamente volátil: se suceden cambios, evoluciones y novedades enormes en muy cortos lapsos de tiempo. Las nociones que hemos recibido en ciberseguridad hace un tiempo, de no actualizarse, pronto quedarán obsoletas.
No obstante, siendo todo lo anterior totalmente cierto, no basta para sortear estas amenazas y para evitar que los riesgos se materialicen. Hay que trasladar toda esa información a la práctica. Muchas veces la concienciación y la información se quedan en el plano de la teoría y de la enseñanza, y de nada sirve si no nos implicamos en ello y lo ponemos en práctica.
Debemos pararnos un momento ante ciertas comunicaciones, anuncios o sitios web para detectar posibles rastros de ingeniería social, debemos realizar trabajo de razonamiento y contraste para no caer en focos de desinformación, debemos conocer las principales formas y métodos de transmisión de malware, y detectar esos mismos riesgos en nuestras actuaciones y procedimientos personales.
Para hacer frente al nuevo escenario de sofisticación de ciberamenazas, debemos conocer nuestro propio funcionamiento, detectar nuestras vulnerabilidades y potenciales focos de entrada, y analizar todo ello teniendo en cuenta las técnicas, tácticas y procedimientos de los atacantes que nos pueden afectar. Es tan importante conocerse a uno mismo como conocer al agresor.
[MuySeguridad] ¿De dónde proceden este incremento masivo de malware que estamos viviendo desde 2022 y cuál es su objetivo principal?
[José Luis Ardisana] No hay una procedencia ni un objetivo principal uniforme. Al igual que sucede en el mundo físico, cada delincuente y cada organización criminal tiene sus propios y utilizan los medios que tengan a su alcance o que estimen más adecuados para conseguir sus objetivos.
El malware es una herramienta básica para lograr todo tipo de objetivos habituales deseados por los cibercriminales: dinero, información, daños, perjudicar a un competidor, paralización de servicios, ciberguerra, etc. La tónica general, como sucede con el crimen tradicional, suele perseguir motivaciones financieras, dado que incluso cuando el atacante se apodera de otro tipo de bienes, como la información, puede ser para monetizarla luego mediante un rescate o mediante su venta a terceros.
No obstante, últimamente, y más aún desde el inicio del conflicto entre Rusia y Ucrania, tienen lugar ataques disruptivos que no buscan ningún tipo de ganancia económica, sino únicamente el sabotaje. En este sentido, la recopilación de Inteligencia, la ciberguerra o las reivindicaciones hacktivistas también son objetivos habituales.
En cuanto al incremento del malware, tanto en número como en sofisticación, podría explicarse simplemente con el constante aumento en el desarrollo de la tecnología, así como el aumento del acceso a la misma por parte de toda la población del mundo. Cada vez son mayores los recursos tecnológicos al alcance de cada vez más personas. A su vez, cada vez hay más cantidad de información y más recursos alojados o conectados en la red. Todo ello forma un caldo de cultivo muy propicio para que prolifere este fenómeno.
[MuySeguridad] En el Informe “Presente y futuro de la ciberseguridad en 2023” elaborado por el Equipo de Ciberseguridad de Seresco se habla de ataques a gran escala a la cadena de suministro, ¿en qué consiste?
[MuySeguridad] Para explicarlo, vamos a partir del ataque tradicional, en el cual un actor de amenazas se dirige contra una empresa A y logra introducir en ella un malware. En este contexto, cada vez es más frecuente que ese actor de amenazas no vaya directamente a por A, sino que retroceda un paso y ataque a su cadena de suministro, atacando al proveedor Z, el cual suministra un determinado bien o servicio a las empresas A y B.
Una vez logrado el acceso no autorizado a un proveedor, el atacante puede aprovechar su cadena de suministro para distribuir la intrusión a sus empresas cliente, aprovechando las relaciones habituales y de confianza y, a su vez, pudiendo alcanzar varias empresas de destino.
En un ataque a la cadena de suministro a gran escala, nos situamos en el contexto de que ese proveedor Z sea un proveedor con una extensa red de servicio, con decenas o cientos de clientes, como pueda ser un ISP (proveedor de servicios de internet), un servicio de almacenamiento en nube o un alojamiento de dominios web. Atacando al proveedor Z se consigue un ataque a gran escala que permite, con una sola acción, el acceso no autorizado a las empresas A, B, C, D, E…
[MuySeguridad] Muchas veces se habla de la ciberdelincuencia como arma para desestabilizar gobiernos y países enteros, pero ¿cómo puede llegar a afectar de la forma más cruenta posible a una empresa?
[José Luis Ardisana] Cuando hablamos de ciberdelincuencia, muchas veces nos centramos en los eventos más visuales como el malware, el ransomware o las denegaciones de servicio. No obstante, la desinformación es uno de los brazos de la ciberdelincuencia, y uno considerablemente peligroso, de hecho.
Una buena gestión de varios focos de desinformación puede desacreditar una empresa, hacerle perder miles de clientes, provocarle pérdidas millonarias o, incluso, hacerla desaparecer. Una empresa no sólo depende de su calidad de servicio, sino de la imagen que proyecta y del respaldo que le dan sus clientes, y la desinformación es un arma muy poderosa que puede moldear y transformar este aspecto de muchas formas.
La información de supuestas irregularidades en contratos, de técnicas engañosas en las ofertas de precios, de escándalos personales de sus dirigentes… Hay muchas formas de filtrar información falsa, engañosa o manipulada para hacer disminuir la confianza del público, socavar la imagen de una empresa y provocarle daños reputacionales y económicos irreparables.
No obstante, estos efectos no son coto cerrado para los ataques de desinformación, sino que pueden lograrse daños similares con una increíble cantidad de tipos de ataque, como los de ingeniería social o el ya mencionado ransomware. Un ataque de phishing a los clientes de una determinada entidad bancaria, suplantando su identidad y habiendo obtenido previamente información de estos, tendrá repercusiones directas en la reputación y en la economía de la entidad. Igualmente, podría presentar problemas legales si llega a considerarse una mala gestión de la seguridad y de los datos de los clientes, lo cual podría derivar en la reclamación económica por parte de estos, e incluso en posibles procesos judiciales derivados.
[MuySeguridad] En líneas generales, ¿cuáles son las tendencias en ciberseguridad que tener en cuenta en 2023 y cuáles son las ciberamenazas que más nos acechan?
[José Luis Ardisana] Hay dos cualidades que definirán la ciberdelincuencia en este 2023: cantidad y calidad. Se prevé aumento generalizado de prácticamente todos los tipos de ciberamenazas —o al menos el mantenimiento de un número elevado y constante—, y la sofisticación de estas, adaptándose al contexto, a los recursos técnicos disponibles y a las medidas de protección y mitigación de los defensores.
En concreto, esperamos que el ámbito geopolítico influya en gran medida y marque tendencias en los próximos meses, poniendo foco particularmente en IC y redes OT. El malware verá un gran desarrollo y sofisticación, teniendo el phishing y la ingeniería social como principal vector de distribución, y aprovechando la explotación de vulnerabilidades conocidas en muchos de los casos.
El cibercrimen como negocio (CaaS) seguirá aumentando, proporcionando acceso inicial a otros actores, así como herramientas o servicios customizados listos para implementar. Los ya comentados ataques a la cadena de suministro serán también recurso habitual, pudiendo maximizar el alcance y los efectos de estos, y los recursos ofrecidos por la IA y el Machine Learning también tendrán cabida en el nuevo escenario de ciberamenazas.