Ciberseguridad
ENTREVISTAS

"Los ciberdelincuentes se han sofisticado mucho, dando paso a un escenario que da miedo"

Alberto Ruíz Rodas, ingeniero de ventas de Sophos para España y Portugal, explica el estado actual de la ciberdelincuencia y cómo combatirla.

Alberto Ruiz Rodas, Sophos
Play

¿Cómo se ha sofisticado la ciberdelincuencia en los últimos años hasta llegar a la actualidad? ¿En qué estado se encuentra?

Desde hace ya unos años, técnicas tradicionales, por las que se lanzaban ataques masivos basados en un script, ya no son habituales. Es cierto que sigue habiendo una batida para localizar objetivos vulnerables. Por ejemplo, poco antes de la vulnerabilidad ProxyShell, que se conoció el pasado mes de agosto, vimos páginas con listas de empresas potencialmente vulnerables. Pero, una vez que los ciberdelincuentes ya tienen los blancos, se hacen ataques individualizados. Trabajan en conseguir maximizar el efecto de la incidencia. Y no solo eso, estamos viendo un cambio de tendencia, bastante curioso, en el que los ‘malos’ están tratando de sobornar a los propios empleados de las compañías para que sean ellos los que desplieguen el malware. Han salido noticias con cantidades de dinero desorbitadas. Buscan cómplices dentro de las infraestructuras. Además, los ciberdelincuentes utilizan horarios de mínimo impacto para realizar sus ataques. Es decir, viernes por la tarde o fines de semana, ya que saben que no hay ni siquiera un SOC (Centro de Operaciones de Ciberseguridad) o que este está bajo mínimos. Despiertan los ordenadores para trabajar cuando están apagados. Los delincuentes se han sofisticado muchísimo. Se empieza a ver un escenario que da miedo.

Una de las técnicas que está repuntando es la llamada ‘Living off the Land’, que se basa en utilizar software confiable para entrar en las empresas. ¿De qué manera se está explotando?

Si volvemos a ProxyShell, lo que utilizaba era un powershell ejecutado con altos privilegios. Es decir, si yo consigo ejecutar powershell con un usuario que tenga muy pocas limitaciones, puedo hacer prácticamente de todo. Se pueden descargar scripts y estar prácticamente en cualquier página web de cualquier categoría. El ‘malo’ puede ejecutar los scripts, que muchas veces son obras de orfebrería, y ya tiene el pie en la puerta para hacer lo que quiera. Es más, prefiere utilizar este tipo de técnicas porque las herramientas de ataque son detectables por los propios sistemas de las organizaciones.

Otro ataque famoso que ha trascendido este verano ha sido Kaseya. ¿En qué consiste?

Lo de Kaseya fue devastador. Por ejemplo, en ProxyShell ya había parches para solventarlo hace tres meses. Pero, con Kaseya hay una vulnerabilidad zero day, entran en los servidores de la compañía (especializada en el software de gestión MSP) y, aprovechando sus características despliegan un ransomware. Fue una tormenta perfecta para los ciberdelincuentes porque Kaseya recomendaba que ciertos directorios no se analizaran y que estuvieran fuera de la monitorización antimalware. Los malos pudieron desplegar malware sin que nadie se enterase y ejecutarlo con altos privilegios.

¿Cuál es la propuesta de Sophos para frenar estas incidencias y, en concreto, el ransomware?

Los ciberdelincuentes se enfadan con nosotros cuando ven la sofisticación de nuestras defensas. Por eso, tenemos que seguir así, es una señal de que lo estamos haciendo bien. Es más, desde principios de septiembre hemos hecho que el factor de múltiple autenticación (MFA, de sus siglas inglesas) sea mandatorio para nuestra consola. Habíamos visto que los ciberdelincuentes, cuando detectan que la empresa que van a atacar tiene Sophos, empiezan a dar vueltas para tener éxito. Una de las cosas que hacían son ataques de spear phishing para conseguir credenciales de la consola de Sophos y desactivar las protecciones. Con MFA confiamos en que todavía sea aún más difícil.

¿Cuál es la importancia de la actualización de parches en los sistemas informáticos?

Está claro que ante un día cero, los parches no nos ayudarán, ahí es donde sistemas de protección endpoint de nueva generación y XDR, como Sophos, nos podrán ayudar. Sin embargo, como antes se ha comentado sobre ProxyShell, hay problemas que tienen su solución con tan sólo parchear. Por desgracia, viendo los acontecimientos, sigue sin haber verdadera concienciación al respecto. Y no digo ya entre compañías pequeñas, hemos visto estos ataques en empresas medianas con personal dedicado, lo que muestra que, si bien tienen en mente las tareas de parcheado, éstas no se consideran de importancia. Por cierto, octubre es el mes de la concienciación en seguridad, y desde Sophos haremos campaña para recordarlo. Siempre recuerdo esta frase: “Lo único peor que ser hackeado es darse cuenta, después de haber sido hackeado, de que podrías haber detectado el ataque con tan sólo haber tenido un poquito más de cuidado”. De ahí la importancia no sólo de tener herramientas de ciberseguridad actuales, sino de tener un personal que no caiga de forma sencilla en engaños.

¿En qué se diferencia la solución MTR de Sophos de otras en el mercado?

Sophos viene del mundo de seguridad endpoint y hemos añadido la capa XDR, es decir, proporcionamos una solución XDR cuyos cimientos son la mejor protección -y esto no lo digo yo, podemos ver los 12 años que llevamos como líderes en Gartner, los últimos reportes de SE Labs, AV-Test… que así lo demuestran- de ahí que, tenemos un sistema XDR que toma acción. Ahí fuera vemos soluciones que, para un forense están muy bien, anotando todas las técnicas de ataque, etc. Pero nosotros no permitimos que el ataque pueda llegar a más, es decir, no nos vamos a quedar como simples espectadores viendo cómo los cibercriminales se ensañan con un cliente para luego contarle todas las fechorías que le han hecho, sino que vamos a proceder a parar el ataque. ¿De qué sirve una alarma anti incendios que sólo anota que nuestra casa está en llamas sin llamar a los bomberos? Esta es nuestra visión, la cual se ve potenciada con nuestro MTR (Managed Threat Response), un servicio llave en mano realizado por auténticos especialistas, fruto de la compra de Rook Security, una de las pocas empresas, según la consultora Forrester, con capacidad full forensics, realizando, si así lo desea el cliente, las acciones necesarias para detener, mitigar y limpiar la incidencia. Pues permite ir más allá del modelo típico de notificación que tienen otros fabricantes, es decir, podemos ir al modo colaborativo donde podemos enviar un informe con las acciones a realizar por parte del cliente para resolver el incidente. O bien el modelo autorizado, donde realizaremos las acciones oportunas y luego enviaremos el informe con su detalle. Es más, el modelo colaborativo puede pasar de forma automática a autorizado si no tenemos una respuesta en un tiempo razonable, que suele ser lo habitual, pues la mayoría de ataques que investigamos se desarrollan en horario de mínimo impacto, por lo que no suele haber nadie atendiendo las alertas. Ahí es donde un servicio MTR en 24x7 y capacidad de actuación marca la diferencia.

 

"No solo hay que tener herramientas de ciberseguridad actualizadas, sino contar con personal formado y concienciado"

 

¿Por qué las compañías deben contratar este tipo de servicios teniendo en cuenta que para ellas es muy complicado realizar labores de threat hunting y monitorización en un modelo 24x7?

Las empresas no tienen personal ni tiempo ni conocimiento para realizar estas labores de investigación. Además, nuestro equipo MTR se nutre de fuentes de seguridad para que, junto a sus conocimientos y las observaciones, puedan guiar las acciones a realizar, si es que son necesarias. Esto es muy importante, el background y el acceso a información de inteligencia que nos permite la correcta gestión de las observaciones. Por otro lado, cuando hablamos con empresas, en muchísimos casos no disponen de servicios de atención a incidentes en 24x7, pese a que, como habíamos comentado, sus servicios e infraestructuras expuestas sí lo están.

¿Cuál es el nivel de madurez y acogida de estas soluciones en el mercado español?

Creo que hay una curva de progreso similar a la de XDR, pues con la salida del producto, pocos clientes veían el XDR como una capa de investigación necesaria para su operativa de ciberseguridad, y sin embargo, ya es más que habitual, aunque sigue habiendo quien se resiste a ello. Con los servicios gestionados como MTR está pasando igual. Muchas veces, son los propios clientes, quienes ya vieron la necesidad del XDR, los que nos piden ir hacia MTR porque tienen la herramienta pero no pueden aprovecharla y, bien sea con nosotros o con uno de nuestros partners que ofrecen estos servicios, necesita poder sacarle partido por la importancia que tiene. En definitiva, como toda solución nueva, poco a poco se va implantando y los recelos iniciales son eliminados tanto por la necesidad de estas nuevas herramientas como con la comprobación de su correcto funcionamiento en otros entornos, conocidos, empresas del grupo… Del mismo modo que los proveedores de nube pública se emplean cada vez más, el uso de servicios como MTR de Sophos, que permite tener un grupo experto de threat hunters de diversas partes del mundo trabajando en 24x7 se acabará imponiendo.



Whitepapers

teclado manos Documentos

libro blanco del ciso Documentos

El estado actual del Documentos

Brecha, ciberseguridad, cadena Documentos