Enlaces rápidos

    Las amenazas de ciberseguridad están en constante evolución y el concepto de confianza sigue siendo crucial en este panorama en continuo cambio. Además, a medida que el mercado global de outsourcing de TI sigue creciendo, junto con sus ventajas —como el ahorro de tiempo y recursos—, delegar tareas no esenciales a proveedores externos trae consigo nuevos desafíos relacionados con la seguridad de la información.

    En realidad, al proporcionar acceso a su infraestructura a empresas de terceros —como contratistas de servicios de TI o infraestructura, o proveedores de servicios/seguridad gestionados—, las organizaciones aumentan el riesgo de sufrir ataques a través de relaciones de confianza. De hecho, el acceso a través de estos terceros de confianza puede no estar adecuadamente protegido, o simplemente estar sujeto a menos escrutinio en comparación con los mecanismos estándar de acceso a una red. Así, durante dichos incidentes, los actores malintencionados pueden explotar estas relaciones de confianza para acceder a un objetivo que de otro modo sería inaccesible.

    Durante el último año, hemos observado un aumento significativo en el número de ciberataques realizados a través de relaciones de confianza. Según nuestra investigación reciente, este vector de ataque se convirtió en uno de los tres más frecuentes en 2023, por primera vez en los últimos años.

    En estos ataques, los ciberdelincuentes primero obtienen acceso a la red de un proveedor de servicios y luego, si logran obtener credenciales activas para conectarse a la red de la organización objetivo, se infiltran en su infraestructura. ¡Así de fácil! Y en la mayoría de los casos, los contratistas son pequeñas o medianas empresas (pymes), que generalmente están menos protegidas que las grandes empresas.

    Este vector de relaciones de confianza resulta muy atractivo para los ciberdelincuentes. De hecho, les permite realizar ataques a gran escala con un esfuerzo mínimo. Los atacantes solo necesitan acceder a la red del proveedor de servicios para exponer a todos sus clientes al riesgo cibernético, sin importar su tamaño o industria. Además, los atacantes a menudo pasan desapercibidos al usar conexiones legítimas, ya que sus acciones dentro de la infraestructura de la organización afectada parecen ser las de los empleados del proveedor de servicios.

    Según las estadísticas de 2023, solo una de cada cuatro organizaciones afectadas por un incidente lo identificó tras detectar actividad sospechosa en su infraestructura (por ejemplo, el lanzamiento de herramientas de hackers o malware, o el uso de escáneres de red). Las otras tres cuartas partes de las organizaciones descubrieron que habían sido infiltradas solo después de que ocurriera una filtración de datos o un cifrado.

    Otra tendencia interesante es que, al explotar relaciones de confianza, los ciberdelincuentes también pueden prolongar los ataques e infiltrarse en redes durante periodos prolongados. Esto supone un riesgo significativo para las organizaciones. De hecho, hoy en día, más de uno de cada cinco ciberataques de este tipo son de larga duración.

    Además, dado que este tipo de ataque permite a los actores de amenazas dirigirse a múltiples víctimas a través de una única organización comprometida, los investigadores enfrentan varios obstáculos adicionales en su trabajo.

    Primero, las organizaciones afectadas pueden mostrarse reacias a cooperar al principio, ya que no siempre reconocen la importancia de una investigación exhaustiva. En segundo lugar, los ataques iniciados a través de relaciones de confianza a menudo tardan más en progresar desde la intrusión inicial hasta la fase final de incursión. Como resultado, el 50% de estos ataques duró más de un mes. Y muchos de estos incidentes (casi la mitad) solo se descubrieron después de que se identificara una filtración de datos.

    En este escenario, los actores de amenazas pueden llevar a cabo ataques a gran escala de manera más eficiente que si atacaran a cada víctima individualmente. Para muchas organizaciones, estos ataques pueden ser extremadamente perjudiciales, y detectarlos puede llevar mucho tiempo porque las acciones de los atacantes pueden ser difíciles de distinguir de las de los empleados que trabajan para un contratista.

    Por lo tanto, es esencial que las organizaciones se mantengan alerta y prioricen las medidas de seguridad para protegerse contra estos ataques sofisticados. Para reducir los riesgos, además de fomentar una cultura de conciencia de seguridad general entre los empleados, nuestros expertos recomiendan prestar atención a una serie de reglas para los proveedores de servicios y sus clientes, que ayudarán a detectar ataques de relaciones de confianza en una etapa temprana o evitarlos por completo.

    Por ejemplo, si eres un proveedor de servicios de TI, es esencial garantizar el almacenamiento adecuado de las credenciales emitidas para conectarse a la infraestructura de tus clientes. También debes instalar actualizaciones de software de manera oportuna y utilizar medidas de protección adicionales en el perímetro de la red. Se debe implementar una política de contraseñas robusta y autenticación multifactor, y se debe monitorear el uso de herramientas legítimas para evitar que los atacantes las exploten.

    Si tu organización utiliza los servicios de empresas de outsourcing de TI, al otorgarles acceso a tu infraestructura, es importante proporcionarles acceso limitado en el tiempo y solo a los hosts necesarios. Monitorea las conexiones VPN para asegurarte de que solo las cuentas autorizadas las utilicen, y verifica a qué hora y desde qué direcciones IP. Al igual que para los proveedores de servicios de TI, utiliza una política de contraseñas robusta y autenticación multifactor para estas conexiones.

    Aplica los mismos requisitos de seguridad de la información para terceros que se conectan a tu infraestructura interna que para los hosts dentro de la red interna. Monitorea el uso de herramientas de acceso remoto y otras utilidades legítimas que podrían ser utilizadas por actores malintencionados. Presta especial atención a cualquier actividad dentro de tu infraestructura durante las horas no laborables. Haz copias de seguridad de tus datos de manera regular para protegerte contra posibles pérdidas de información.

    Para mejorar aún más la protección de una empresa contra ataques avanzados y detectarlos en una etapa temprana, se recomienda adoptar servicios de seguridad gestionados. Alternativamente, en caso de cualquier actividad sospechosa que pueda llevar a violaciones o incidentes, es aconsejable buscar la ayuda de expertos en ciberseguridad que puedan proporcionar soluciones de respuesta a incidentes.

    Contacto:

    Eugene es un experto en ciberseguridad de renombre mundial y empresario. Es cofundador y Director General de Kaspersky, proveedor privado de soluciones de ciberseguridad y protección de endpoints más grande del mundo que trabaja, entre otros con la INTERPOL y Europol en temas contra el cibercrimen.

    Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.

    Sigue la información sobre los negocios y la actualidad en Forbes México

    ¿Te gusta informarte por Google News? Sigue nuestro Showcase para tener las mejores historias