Si alguna vez tiene la oportunidad de hablar con algún responsable de seguridad de un centro penitenciario de máxima seguridad, le dirá lo mismo. Los presos tienen todo el tiempo del mundo. Todo el tiempo para vigilar y observar, buscando puntos vulnerables en los patrones de comportamiento de los guardias y el personal penitenciario. Buscan el más mínimo momento de distracción para aprovecharlo en su beneficio.

Todo el mundo tiene cierto nivel de seguridad

Como dice la clásica canción de Louis Armstrong: “Tenemos todo el tiempo del mundo”. Este es el caso del hacker moderno. Los ciberdelincuentes profesionales no se abalanzan sobre sus víctimas inmediatamente después de acceder a la red de una organización. Al igual que un centro penitenciario, toda organización responsable dispone de protocolos y herramientas de seguridad para neutralizar un ataque genérico. El personal informático de la empresa y los técnicos de un MSP disponen de copias de seguridad para restaurar los archivos y sistemas críticos en caso de un ataque de ransomware.

Sin embargo, aunque la política de seguridad de confianza cero (zero trust) es la consigna de batalla hoy en día contra el creciente número de amenazas en todo el mundo, es inalcanzable para la PYME promedio. Mientras que su empresa debe proteger todas sus vías de acceso y puntos finales, un hacker solo necesita lograr una pequeña victoria.

Breves ventanas de oportunidad

Cualquier buen mago sabe que la clave del éxito de un truco de magia es distraer al público. Los hackers no suelen crear distracciones. Buscan breves ventanas cuando su presa humana ya está distraída. Por ejemplo, en las canciones se suele decir que diciembre es “la época más maravillosa del año” debido a todas las fiestas importantes que se celebran durante ese mes. Pero la falta de tiempo para encontrar el regalo perfecto y asistir al mayor número posible de celebraciones navideñas hace que ese mes sea también una época maravillosa para los estafadores y los delincuentes informáticos. Ellos saben muy bien cómo aprovecharse de esta época estresante y bulliciosa.

El periodo fiscal es otro ciclo recurrente que los creadores de campañas de phishing aprovechan al máximo. ¿Quién no experimentaría ansiedad ante un correo electrónico supuestamente procedente de la Agencia Tributaria? El final de cada mes o ejercicio fiscal coincide con un aluvión de facturas que requieren pago, por lo que los ciberdelincuentes se aprovechan de ello intentando colar una factura falsa en pleno caos.

Estas breves oportunidades no son solo eventos habituales del calendario. Un gran ejemplo fue la reciente decisión de Elon Musk de ofrecer suscripciones de Twitter a 8 dólares. El objetivo era validar a los usuarios para que el público que sigue estas cuentas pueda estar seguro de a quién sigue. Irónicamente, la campaña de suscripción dio lugar a una avalancha de ataques de phishing lanzados contra los usuarios que estaban ansiosos por suscribirse o confundidos por todo el asunto. Se utilizaron correos electrónicos de suplantación de identidad que incorporaban el aspecto y la jerga de la propia marca Twitter con el fin de asustar a los usuarios para que hicieran clic en un enlace e iniciaran sesión en sus cuentas de Twitter si no querían enfrentarse a una suspensión. Uno de los ataques más frecuentes incluía un enlace que dirigía a los usuarios a un documento de Google en el que se les pedía su nombre de usuario, contraseña y número de teléfono. Twitter se vio obligado a suspender el plan de 8 dólares sólo unos días más tarde debido a una combinación de confusión, manipulación y al hecho de que muchas de las cuentas verificadas estaban resultando ser falsas de todos modos.

Los ataques están orquestados

Las tácticas de ingeniería social se utilizan en el phishing y otros tipos de ciberataques. Hay una razón por la que se utiliza la palabra “ingeniería”. No se trata de esquemas improvisados que un grupo de adolescentes ideó en el sótano de su madre. Las personas que están detrás de estos ataques entienden el arte de la manipulación. Saben qué señuelos de phishing utilizar para provocar una respuesta en una estafa de phishing por correo electrónico bien elaborada. Estos magistrales manipuladores utilizan cosas como un simple archivo GIF en una sesión de Teams para aprovecharse de los usuarios desprevenidos. Para los ciberdelincuentes se trata de un juego de porcentajes, ya que saben que un cierto porcentaje de los usuarios harán clic en el enlace y otro tanto caerán completamente en la trampa.

En el caso de una brecha de datos o de un ataque de ransomware, una vez establecida la posición de avanzada, se lleva a cabo una gran planificación de la siguiente fase del ataque. Los perpetradores silenciosos se desplazan lateralmente por la red invadida realizando tareas de reconocimiento para aprender todo lo posible sobre los sistemas y protocolos de seguridad implantados, así como sobre la cultura de la organización. Sólo cuando están preparados, se produce el ataque propiamente dicho.

El ser humano es el eslabón débil

También resulta irónico que, en el mundo tan digitalizado en el que vivimos, los ciberdelincuentes se centren principalmente en los seres humanos. Los días en los que se atacaba el firewall perimetral para encontrar una brecha han quedado atrás. Hoy en día, los eslabones débiles son las personas que están detrás de los teclados de las oficinas. La fragilidad humana no puede eliminarse únicamente con herramientas de seguridad digital. Del mismo modo que se anima a los peatones a ser conscientes de lo que les rodea en una calle desierta de la ciudad, los usuarios de ordenadores también deben ser conscientes de su entorno digital. La responsabilidad personal tiene mucho que ver con la seguridad.

La necesidad de que la población en general incorpore unos mayores conocimientos sobre ciberhigiene es tan importante que el presidente de Estados Unidos, junto con el Congreso, tomó medidas en 2004 para declarar octubre como el Mes de la Concienciación sobre la Ciberseguridad. Esto forma parte de un esfuerzo más amplio para promover una mayor concientización sobre los problemas de ciberseguridad a gran escala, con el fin de reducir la vulnerabilidad del público ante estos agentes maliciosos.

Las PYME necesitan ayuda

Mientras que los hackers y otros ciberdelincuentes externos pueden tener todo el tiempo del mundo para encontrar el momento ideal para aprovecharse de sus víctimas, la PYME media no dispone de ese tiempo. Las que tienen el lujo de contar con un equipo informático interno no suelen disponer de personal con conocimientos avanzados de seguridad para detectar la presencia silenciosa de atacantes al acecho en sus redes. El desbordado personal informático y los MSP no tienen tiempo de inspeccionar cada correo electrónico, cada mensaje de texto de la empresa y cada sesión online para proteger a los usuarios doce meses al año.

Es por eso que muchas PYME recurren a un centro de operaciones de seguridad (SOC) externo en busca de ayuda. Un SOC es un equipo centralizado de profesionales de la seguridad experimentados y altamente cualificados que utilizan los análisis de seguridad de su entorno de red para proporcionar una respuesta en tiempo real y, a menudo, una solución automatizada. Muchas compañías de seguros están empezando a reconocer el valor que un SOC puede aportar a sus clientes, ya que se enfrentan a la dificultad económica de tener que pagar muchas de estas pólizas debido al aumento del número de ataques desde la pandemia. De hecho, muchas están exigiendo a sus clientes que utilicen un SOC para poder conservar sus pólizas.

Conclusión

No sabemos cuándo va a surgir la próxima gran oportunidad para la ciber explotación. Desde luego, no podemos limitar la concienciación sobre la ciberseguridad a un único mes del año. La ciberseguridad es un esfuerzo permanente. Además, se trata de algo más que de reunir un arsenal de las mejores herramientas de seguridad; se trata de tener en cuenta el elemento humano, porque los ciberdelincuentes sin duda lo hacen. Debe asegurarse de que dispone de los recursos humanos necesarios para proteger su empresa.