Cazadores de datos perdidos: Del día a día de un equipo de respuesta a incidentes
20 de enero de 2023
Sophos
Schwachstellen, Cybersecurity, Zukunft, Datenschutz
Peter Mackenzie, director de respuesta a incidentes de Sophos, es algo así como el Indiana Jones del ciberpaisaje: él y su equipo escanean incansablemente los sistemas informáticos en busca de anomalías que indiquen una ciberamenaza. En la mayoría de los casos, las víctimas recurren a los expertos porque han sido víctimas de un ataque de ransomware, por ejemplo, o todavía están en medio de uno. El quid: cuando un ransomware de este tipo paraliza los ordenadores, no es el principio de un ciberataque, sino el agresivo final. "A menudo describo el ransomware como un recibo que los delincuentes dejan para el final. Muchas de las víctimas a las que preguntamos cuándo ocurrió lo sucedido dicen que el cifrado comenzó a la una de la madrugada y que, como consecuencia, recibieron alertas. Cuando luego investigamos los sistemas, a menudo descubrimos que los estafadores ya llevaban quince días en la red y habían hecho sus preparativos", afirma Peter Mackenzie.
La ciberdelincuencia hace tiempo que se profesionalizó
Quien piense ahora que una persona o un grupo hackea el teclado día y noche, almacena finamente los datos encriptados y los devuelve d'accord al honor de los estafadores tras el pago extorsionado para hacerse una bonita vida en Copacabana con la pasta saqueada, ha visto demasiadas películas de los años 80. En realidad, los ciberataques hace tiempo que se profesionalizaron. Existen proveedores especializados para cada área de un ataque, desde "Te metemos en cualquier red" (ya existe la profesión de Initial Access Broker aquí....), hasta "Compramos datos robados", pasando por "Hacemos el chantaje". No es necesario tener conocimientos de experto, e incluso quienes rehúyen el acceso a la web oscura pueden convertirse en aprendices de ciberdelincuentes a través de Google y vídeos de instrucciones en YouTube.Demasiado entusiasmo también puede salir mal, como demuestra el caso recientemente descrito de múltiples atacantes que, como grupos de ransomware competidores, atacaron a la víctima casualmente común en una especie de cambio de turno y se sabotearon mutuamente en el proceso.La dejadez en el mantenimiento de los dispositivos se convierte en un talón de Aquiles
Según Mackenzie, un aspecto es inmensamente importante para los estafadores después de entrar en la red: ¿a qué tengo acceso? Para ello, escanean la red, ni siquiera específicamente en busca de algo en particular, sino más bien como un ladrón en el pasillo de una oficina, empujando cada picaporte, al final se abre una puerta.Las oportunidades para los defraudadores astutos son inmensas hoy en día. Así que si hay un impulso sospechoso en un sistema, el software de seguridad lo detecta y lo elimina, eso no significa que el problema esté resuelto. En la mayoría de los casos, un manejo descuidado de las actualizaciones, los parches y el equipamiento de cada dispositivo individual es el pequeño principio de un gran desastre.Ciberdefensa moderna sólo con software actualizado y experiencia humana
La ciberdelincuencia hace tiempo que se profesionalizó
Quien piense ahora que una persona o un grupo hackea el teclado día y noche, almacena finamente los datos encriptados y los devuelve d'accord al honor de los estafadores tras el pago extorsionado para hacerse una bonita vida en Copacabana con la pasta saqueada, ha visto demasiadas películas de los años 80. En realidad, los ciberataques hace tiempo que se profesionalizaron. Existen proveedores especializados para cada área de un ataque, desde "Te metemos en cualquier red" (ya existe la profesión de Initial Access Broker aquí....), hasta "Compramos datos robados", pasando por "Hacemos el chantaje". No es necesario tener conocimientos de experto, e incluso quienes rehúyen el acceso a la web oscura pueden convertirse en aprendices de ciberdelincuentes a través de Google y vídeos de instrucciones en YouTube.Demasiado entusiasmo también puede salir mal, como demuestra el caso recientemente descrito de múltiples atacantes que, como grupos de ransomware competidores, atacaron a la víctima casualmente común en una especie de cambio de turno y se sabotearon mutuamente en el proceso.La dejadez en el mantenimiento de los dispositivos se convierte en un talón de Aquiles
El equipo de respuesta a incidentes no sólo detiene el ataque, sino que analiza los procesos en los sistemas, qué hicieron los ciberdelincuentes y con qué propósito. También si han incorporado puertas traseras para un posterior retorno.
Según Mackenzie, un aspecto es inmensamente importante para los estafadores después de entrar en la red: ¿a qué tengo acceso? Para ello, escanean la red, ni siquiera específicamente en busca de algo en particular, sino más bien como un ladrón en el pasillo de una oficina, empujando cada picaporte, al final se abre una puerta.Las oportunidades para los defraudadores astutos son inmensas hoy en día. Así que si hay un impulso sospechoso en un sistema, el software de seguridad lo detecta y lo elimina, eso no significa que el problema esté resuelto. En la mayoría de los casos, un manejo descuidado de las actualizaciones, los parches y el equipamiento de cada dispositivo individual es el pequeño principio de un gran desastre.Ciberdefensa moderna sólo con software actualizado y experiencia humana
Peter Mackenzie, después de toda su experiencia lidiando a diario con ciberamenazas en empresas grandes y pequeñas, aconseja prevención. Las siguientes preguntas ayudan a identificar los puntos débiles de la empresa y a tomar precauciones (herramientas, expertos, servicios, etc.) para ellos. Y preferiblemente de forma inmediata, para poder reaccionar con rapidez en caso de emergencia.¿Qué pasa si sufrimos un ataque de ransomware?¿Qué pasa si se borran nuestras copias de seguridad?¿Qué pasa si alguien nos dice que tenemos un atacante en nuestra red?La seguridad es un proceso exhaustivo y largo que requiere un mantenimiento y corrección continuos. Un software que detecte inicialmente las anomalías y expertos en MDR (Managed Detection and Response) que identifiquen y detengan los ataques las 24 horas del día y limiten los daños a los sistemas son los fundamentos esenciales de la prevención y defensa modernas contra los ciberataques.