Los cibercriminales ya no atacan el sistema, se registran en él. Los errores humanos tienen un peso importante en la vulneración de información de empresas y gobiernos.
A partir del incremento del trabajo híbrido y remoto en los últimos dos años, los ataques de ciberseguridad han aumentado significativamente. Algo de esperarse, si consideramos que los trabajadores ya no están en sus oficinas, conectados a las redes corporativas, con computadores de sus empresas administradas y protegidas centralmente. Este mundo hiperconectado del trabajo remoto e híbrido, de las transacciones digitales, del comercio electrónico, de los trámites en una plataforma, que tantas oportunidades ha generado en medio de los mayores retos que hayamos visto en los últimos tiempos, también ha aumentado nuestro tiempo en línea, nuestras interacciones digitales y por lo tanto nuestra superficie de riesgo ante un ciberataque.
No es un tema menor. Los atacantes maliciosos han comprendido el valor de la información de nuestras empresas en la era donde la data es el nuevo petróleo. Y por ello han aumentado sus ataques y la sofisticación de los mismos. Las vulneraciones de datos pueden generarle un altísimo costo a las empresas. Se calcula que el costo promedio de uno de estos es de 3.9 millones de dólares, mientras que el tiempo que puede demorar una organización en detectar una vulneración de su seguridad puede tomar más de 50 días.
Cada segundo, Microsoft detecta 57 intentos de vulneración de contraseñas. Es esta es la puerta de entrada de los actores maliciosos, por ello entre los especilistas de ciberseguridad se bromea diciendo que los hackers ya no atacan a sus víctimas, sino que se registran en el sistema. El grueso de las vulneraciones comienzan por el eslabón más débil: las personas y el un error humano: ese correo que promete beneficios, esa promoción demasiado buena, ese mensaje de un banco que invita a tomarllenar un formulario para desbloquear la cuenta, o la advertencia del proveedor tecnológico de que van a suspender el servcio a menos que actuallice sus datos. Los peligros llegan por correo (como en el caso del phishing), smishning (el atacante aprovecha el mensaje de texto), una red poco confiable, una aplicación “infectada”.
La unidad de Crimenes Digitales (DCU), de Microsoft, analiza cerca de 8.5 trillones de señales al día con inteligencia artificial, para detectar actividades maliciosas y detener ataques antes de que ocurran. 3.500 profesionales verifican la actividad digital de la nube y la empresa ha quintuplicado el presupuesto que invierte en su DCU: invertirá 20 billones de dólares hasta el 2025 en fortalecer estas capacidades y asegurar que la data de sus clientes en la nube de Microsoft esté vigilada y protegida.
Pero no hay vigilancia, ni configuraciones de seguridad que puedan evitar un error humano o un descuido. Por eso Microsoft también dedica grandes esfuerzos a entrenar a las personas y educarlas en estos reiesgos, a intercambiar mejores prácticas e información con las organizaciones y los gobiernos para crear espacios digitales más seguros.
Giovanni Carpanetti, Senior Technology Specialist de Microsoft conversa sobre este tema, ante este nuevo mundo del trabajo híbrido.
¿Cuáles han sido los principales desafíos de seguridad que presenta el trabajo remoto a partir de la pandemia del COVID-19?
Muchos de nuestros clientes en la región no estaban listos para adoptar un modelo de trabajo híbrido o remoto. Tuvieron que adoptar soluciones velozmente para adaptarse al cambio, y su prioridad era continuar las operaciones. Pero cuando se está en la oficina, la información que se transmite de alguna forma está controlada dentro de ese espacio y la red corporativa, se aloja en los dispositivos conocidos. Sin embargo, cuando los colaboradores pasan a trabajar a sus casas, es más difícil que toda esa información se controlada. Los empleados se conectan desde cualquier red, trabajan desde sus dispositivos personales que a veces comparten con otras personas de su familia. Pueden bajar aplicaciones no seguras. Ya no existe el perímetro físico en la ciberseguridad.
Precisamente tomando eso en cuenta, ¿cómo se maneja el reto de evitar que esa información sea vulnerada o filtrada?
Ante este cambio tan radical de la superficie de riesgo, hay que cambiar también de postura de seguridad. Y creemos que la postura de Cero Confianza es una buena práctica: no confiar nunca, verificar siempre la identidad, asumir una brecha, limitar privilegios de acceso, adoptar medidas de etiquetado y políticas de privilegios diferenciados de acceso a la información, adoptar soluciones de control centralizado de dispositivos para poder actualizarlos y detectar actividad irregular. Todos esto fortalece la psotura de seguridad de las organizaciones.
Sin embargo las personas suelen no tener mucha conciencia sobre los resigos a los cuales están exponiendo a su empresa cuando, por ejemplo, no actualizan sus aplicaciones y sistemas operativos. A veces prefieren no interrumpir lo que están haciendo y posponen las actualizaciones, que usualmente contienen parches que permiten proteger de una vulnerabibilidad que ha sido detectada. Los ataques de phishing son una de las maneras más usuales en la que se vulnera la ciberseguridad: los hackers envían correos a nombre de instituciones que brindan servicios o entidades financieras, o en la modalidad ataques de soporte técnico. Piden información actualizada y, así, logran que muchas personas entreguen sus credenciales, den sus contraseñas, accedan a información sensible. El incremento que hemos visto desde el 2019 hasta acá llega a más del 73%. Se han vuelto cada vez más sofisticados estos ataques.
En Microsoft acemos simulaciones de ataques para aprender y para enseñar. Nos hemos dado cuenta de lo fácil que es que las personas caigan en trampas. Así que lo más importante es desconfiar, verificar. A las empresas les corresponde asegurarse de que los equipos de tecnología se usen de acuerdo a sus políticas de seguridad y que activen todas las configuraciones que tienen a su disposición. A veces pasan por alto que tienen disponibles hacen soluciones sencillas como el Windows Hello, o el doble factor de autenticación, que son excelentes protecciones a la identidad.
Otra solución que se ha desarrollado para reducir la vulneración de dispositivos digitales es con el desarrollo de factores biométricos. Con inteligencia artificial los dispositivos aprenden cómo se ve el usuario, cómo son las huellas de la persona e incluso cómo se comporta normalmente. Por ejemplo, aunque la persona ponga la contraseña correcta, el dispositivo sospecha si el usuario está comportándose de manera extraña porque percibe que digita diferente, a otra velocidad o con otra fuerza ¡Hay muchos sistemas que son infinitamente más seguros que una contraseña!
¿Cómo los ataques de phishing atentan contra las organizaciones?
Los hackers mandan un correo con una indicación de seguir un vínculo, descragar un PDF, llenar datos, entrar a un sitio y con la información que da el ususario o con pequeños programas que se descargaron en el PDF, los atacantes logran burlar la puerta de entrada. Una vez adentro de la red pueden observar: ver con quiénes hay correspondencia, desde colegas hasta jefaturas qué información está transmitiendo, dónde está la data sensible. Se pueden movera lateralmente en la red y pasar días infiltrados adentro del sistema (el promedio de días que permanecen es 57). Se mueven silenciosamente buscando información antes de atacar o actuar. Cuando encuentran la información valiosa, pueden chantajear a la empresa (ransomware) amenazando por ejemplo con bloquear sus sistemas o eliminar la información a cambio de un pago. Pueden también amenazar con divulgar información crítica. O usar la información que obtuvieron para simular un correo del jefe solicitando un desembolso.
Uno es los sistemas útiles para prevenir accesos irregulares y la gestión de identidad, es lo que conocemos como Acceso Adaptativo Seguro (Secure Adaptive Access). El sistema puede detectar si se está tratando de ingresar desde un lugar de conexión atípco y bloquear la cuenta hasta que haya una confirmación de que el acceso es confiable. También se identifica si el usuario está ingresando desde un dispositivo nuevo, o diferente al usual, entonces se le pide un segundo factor de autenticación para verificar.
¿Qué lecciones o aprendizajes dejan estos años de trabajar en de ciberseguridad?
Microsoft tiene la seguridad en el corazón del diseño y desarrollo de sus productos, y cumplimos con los más altos y exigentes estándares de seguridad, privacidad y cumplimiento. Pero nunca descansamos ni paramos de mejorar, optimizar. Incluso tenemos equipos propios de empleados de Microsoft cuyo trabajo es tratar de hackearnos, a buscar vulnerabilidades en nuestros propios productos y tratar de “colarse” en los sistemas. Nuestra obsesión es la confianza de nuestros clientes, pues cuando depositan la data en nuestra nube y usan nuestros servicios, están confiándonos su activo más importante. Y sabemos que las personas sólo usan la tecnología en la que pueden confiar, así que ese es casi un mantra en la compañía: “Microsoft runs on trust” y si no hay seguridad, no hay confianza.
¿Cuáles son las formas en las que se puede hacer que este mensaje de prevención cale? ¿Cómo hacemos del trabajo desde casa algo conveniente y seguro a la vez?
Hay prácticas de seguridad muy sencillas y efectivas: pensemos en el caso de alguien que va a un café a trabajar. Una recomendación básica es no use las redes de WIFI sin protección, sino solo las que sí son seguras, que tienen el ícono. Si la red WIFI no es segura, es mejor no conectarse.
Las costumbres de las contraseñas son tal vez las que más vulnerables hacen a los usuarios. Está bien estudiado que las mujeres suelen usar los nombres de sus hijos y cóyuges, que los hombres usan con frecuencia los nombres de sus equipos deportivos favoritos. Hay que evitarlas a toda costa. Poner contraseñas fuertes con números, caracteres especiales es clave, pero en lo posible es mejor evitarlas por completo. Y es que las personas usan varias veces la misma contraseña porque es fácil de recordar, sin tener en cuenta que con un ataque de phishing encuentra una de ellas, simplemente la usa en todas las cuentas asociadas y “mata varios pájaros de un solo tiro”. Repetir el uso de contraseñas es muy riesgos: una cuenta de correo promedio está a sociada a 130 cuentas adicionales.
Otra estrategia efectiva es identificar y etiquetar los datos, para proteger y advertir cuáles son cuáles son sensibles y confidenciales. Una vez que se etiqueta esa información, se le da un tratamiento distinto. Con la nformación bien clasificada, la empresa puede definir a qué correos envía información sensible y, si hay infomación confidencial, debe etiquetársele como tal. Hay herramientas simples en Outlook como ordenar que el contenido de un correo no pueda ser copiado o que no se permita el reenvío.
¿En qué consiste el enfoque de seguridad Zero Trust?
Propone tres principios: nunca asuma que la persona es quien dice ser; siempre debe verificar la identidad. No importa que la persona entre con su cuenta, tal vez no es él, por eso se requiere un sistema adicional de seguridad, como el doble factor de autencticación, la huella, la imagen, un token, una clave de confirmación que llega a otro dispositivo…
En cuanto a las empresas esto implica también darle a los empleados el menor privilegio posible de acceso a la información. No debe haber un puesto que tengo acceso a todos los privilegios. Si hubiera que darle más, que sea de forma temporal, cuando los requiera, y luego se revoca. No debería haber un usuario que pueda tener “todas las llaves del reino” porque si cae él, cae toda la información de la organización.
El tercer componente es pensar que siempre se está bajo ataque, por lo que siempre se considera que se pueden tomar más consideraciones de seguridad.
¿En qué consiste la política “passwordless”?
Es una estrategia que nos va a llevar a un mundo sin contraseñas. Es más seguro porque todas las contraseñas son susceptibles a ser vulneradas. Con esta visión se prefiere usar un factor alterno para autenticación, un dato biométrico, reconocimiento facial, huella, un factor adicional de autenticación como el envío de un mensaje de texto, todas son formas más seguras para autenticarse que una contraseña. La tendencia es que todo se vaya convirtiendo en “passwordless”, sin contraseña.
¿Cómo actúa Mirosoft para aportarle más seguridad a sus clientes?
Nuestros esfuerzos están enfocados no solamente en generar tecnología segura por diseño, sino también en dar mucha capacitación, porque sabemos que las personas somos siempre el eslabón más vulnerable de la cadena. Para los clientes empresariales tenemos múltiples beneficios de este tipo, pero también tenemos un sitio público: Microsoft.com/learn de libre acceso y gratuito donde están alojados todos los cursos de ciberseguridad. Hay rutas desde nivel principante hasta los niveles más exigentes.
Con algunos de nuestros clientes del sector público tenemos acuerdos especiales de cooperación, para compartir información de seguridad, buenas prácticas y dar entrenamientos a los funcionarios. Justamente en Costa Rica acabamos de firmar un convenio con MICIIT y ya hemos iniciado los entrenamientos con el Gobierno de Costa Rica, para ayudarle a mejorar su postura de ciberseguridad.
Siempre es importante tener presente que la seguridad es responsabilidad de todos, independientemente de en qué trabajemos o qué puesto tengamos. La seguridad informática comienza desde nosotros. Especialmente en estos tiempos este ha sido un mensaje de las campañas de educación que hemos desarrollado.