¿Por qué es tan importante que las empresas consideren la ciberseguridad como un tema prioritario para su buen desempeño?
Vivimos en una época en la que tanto personas como organizaciones tienen identidades digitales, siendo el mayor activo la información. No importa su actividad profesional, comercial o la industria, la data es lo más importante que tienen. El riesgo es que esa información puede ser destruida, manipulada o secuestrada por terceros con el fin de obtener algún rédito o solo para dañar la reputación de las compañías o los individuos.
Esa es la razón por la cual el concepto de ciberseguridad ha adquirido tanta importancia en todo el mundo desde hace cerca de 25 años, aproximadamente, cuando las empresas comenzaron a conectarse a Internet, una acción que por sí misma crea vulnerabilidades y genera riesgos para la información.
¿Cómo está Colombia en lo que respecta a medidas de ciberseguridad? ¿Qué cifras nos puede entregar al respecto?
Se han adoptado diversas medidas de tipo normativo, como la Ley de protección de datos personales o el CONPES de ciberseguridad, pero en Sophos hemos encontrado que existe una gran oportunidad de mejora en temas puntuales, como reacción y respuesta ante ataques. Ahí es en donde vemos que el país tiene mayores problemas.
Este año dimos a conocer el “Estado del ‘ransomware’ 2022”, un estudio en el participaron cerca de 200 empresas pertenecientes a diferentes segmentos productivos y se evidenció que el ‘ransomware’ es la ciberamenaza más recurrente en el país. Cerca del 64% de las organizaciones en Colombia reconoció haber sido objetivo de este ataque en el último año.
Ese número es alto y solo hace referencia a compañías que detectaron el ataque, porque puede haber muchas otras que lo sufrieron, pero que no lo detectaron, no lo dieron a conocer o piensan que no fue algo importante.
¿Cuáles fueron las causas de esos ataques?
Encontramos que el 36% de las empresas tiene problemas de revisión, el 31,8% presenta dificultades al momento de correlacionar datos provenientes de diversas fuentes de control de ciberseguridad, el 39% tiene problemas de automatización de acciones de respuesta y el 35% desconoce herramientas y metodologías de ataques. Todos estos aspectos los podemos englobar en lo que se denomina como “operaciones de ciberseguridad”.
Los ciberdelincuentes están ofreciendo el ‘ransomware’ como servicio y nuestro país tiene unas muy bajas capacidades de operación de ciberseguridad o de detección y respuesta. El 46% de las empresas encuestadas percibió un crecimiento en el volumen y la complejidad de los ataques, que son cada vez más efectivos, afectando la capacidad de operación del 76% de las organizaciones.
Y aunque Colombia presentó en Latinoamérica el promedio más bajo de rescate de información secuestrada, que oscila en los 36.000 dólares, las cifras de cobro por parte de los ‘hackers’ han aumentado y los costos de recuperación se incrementaron hasta los 500.000 dólares, aproximadamente.
¿Qué deben hacer las empresas para evitar esos riesgos o para recuperarse de un ciberataque?
Lo más básico es disponer de ‘backup’ de la información. Por ejemplo, en el ‘data center’ de la empresa, en la Nube y aislado, es decir, en un repositorio que no tenga conexión, porque los ‘hackers’ están comenzando a atacar también esa estructura en busca de vulnerabilidades.
Es importante tener en cuenta que los grupos criminales de ‘ransomware’ como servicio pueden cifrar la información o hacer filtraciones, en una modalidad denominada “doble extorsión”. Cuando una empresa no paga por el rescate de la información cifrada, los ‘hackers’ proceden a cobrar para no dar a conocer que efectuaron el ataque, algo que afectaría de manera considerable la reputación de la organización.
La principal medida que podrían tomar las compañías es tener mejores capacidades de reacción y respuesta, porque las mejores tecnologías no siempre son suficientes. Se necesitan ojos y manos expertas que monitoreen los comportamientos y reaccionen ante cualquier sospecha. Esa es la gran falla que tiene Colombia, porque se confía demasiado en las implementaciones tecnológicas y no se hace inversión en fortalecer las capacidades humanas de analistas, cazadores de amenazas o agentes de respuesta ante incidentes.
Muchas compañías en Colombia creen que nunca van a ser atacadas. Para hacer un llamado de atención al respecto, ¿qué hace que una organización sea objetivo de los ‘hackers’?
El simple hecho de que una empresa exista la convierte en objetivo para estos criminales, todas las organizaciones tienen información que les interesa a los ‘hackers’. Lo que hemos hallado en consultorías es que las empresas medianas y pequeñas son mucho más apetecibles para los ciberdelincuentes porque es muy fácil atacarlas y muchas veces no se dan cuenta de que han sido vulneradas. Aquí, la tasa de éxito es bastante alta.
Sumado a eso, en su mayoría, toman la decisión de pagar el rescate, ya sea porque no tienen ‘backup’ o carecen de políticas de reacción, y les urge recuperar la data.
Además, los ataques a las pequeñas y medianas empresas no son mediáticos, por lo que suelen pasar desapercibidos para la opinión pública, y son más rentables para los delincuentes porque, si bien los rescates que piden no son cuantiosos, sí terminan siendo, por volumen, una gran ganancia para ellos.
¿Cuáles son las tendencias en ciberataques para el próximo año?
En nuestro “Panorama de amenazas 2023” identificamos, entre otras, el uso del cibercrimen como servicio, es decir, ‘hackers’ que crean herramientas y las venden por suscripción en todo el mundo.
La segunda tendencia es el robo de credenciales para acceder a las empresas con los ‘broker access’ como actores principales, quienes se dedican a vender esta información en la ‘deep web’.
También vemos que los cibercriminales están haciendo uso de las herramientas de la empresa en su contra. Una vez el atacante tiene acceso, acude a un usuario válido para usar las aplicaciones de la empresa en busca de vulnerabilidades y atacar.
¿Por qué necesitan las empresas acudir a servicios de ciberseguridad?
Las falencias de las compañías en detección y respuesta se afrontan desde dos frentes: el de las tecnologías y el de las personas que las gestionan.
En Colombia, las organizaciones adelantan inversiones en soluciones robustas, pero no cuentan con el personal idóneo que les saque provecho a esas innovaciones. Sin embargo, este tipo de perfiles es muy escaso y, por eso, costoso. La manera de suplir este faltante es el reúso por servicio, es decir, un proveedor que entregue equipos por reúso y que monitoree permanentemente la solución, con la ventaja de generar menores costos.
Este servicio se denomina Detección y Respuesta Gestionada (Managed Detection and Response o MDR). En Sophos tenemos el MDR con mayor crecimiento en el mercado, sumando más de 12.000 clientes monitoreados en todo el mundo, que fusiona la tecnología del ‘Machine Learning’ con el análisis de expertos para mejorar la búsqueda y la detección de amenazas, ofrecer una investigación más a fondo de las alertas y facilitar acciones concretas con el fin de eliminar las amenazas más sofisticadas y complejas.