Se puede trazar un paralelo curioso entre los ciberdelincuentes y el intrigante fenómeno de las cigarras. Al igual que los insectos periódicos que emergen del suelo después de años de dormancia, los ciberdelincuentes a menudo resurgen con renovado vigor, desatando sus actividades disruptivas en organizaciones desprevenidas.
Períodos de dormancia aparente pueden ser seguidos por ráfagas repentinas de actividad de ataque, tomando por sorpresa a las organizaciones. Estos maleantes digitales se mantienen ocultos durante estas fases de inactividad, adaptándose a las medidas de seguridad en evolución y refinando sus técnicas en las sombras.
Los ciberdelincuentes buscan vulnerabilidades en aplicaciones, servidores y redes para infiltrarse en organizaciones. Explotan fallos en el código de software para acceder a sistemas y realizar operaciones ilícitas, pretendiendo ser usuarios legítimos. Utilizarán fácilmente un camino de exposición como punto de entrada para penetrar un sistema. Emplean muchas otras tácticas, incluyendo ingeniería social, como el compromiso de correo electrónico empresarial (BEC), el spoofing de DNS, phishing, spear phishing y otras trampas, para atraer a empleados o clientes a revelar información sensible o instalar malware. También utilizan bots de raspado web para extraer contenido y datos de sitios web y replicar el contenido del sitio en otro lugar para sus propósitos nefastos.
OCULTÁNDOSE A SIMPLE VISTA
Los ciberdelincuentes pueden permanecer ocultos dentro de la infraestructura digital de una organización durante meses e incluso años. Sus objetivos varían desde realizar reconocimientos para futuros ataques, exfiltrar datos y extorsionar dinero de sus víctimas.
Una de las maneras en que los ciberdelincuentes se ocultan a simple vista es ocultando datos maliciosos dentro de archivos legítimos. Incrustan datos dentro de imágenes, textos y archivos de audio, haciéndolos parecer normales para evitar la detección. Para encontrar estas anomalías, los defensores corporativos utilizan productos y herramientas de seguridad especializados que buscan cambios en el tamaño de los archivos. Pueden analizar datos ocultos dentro de archivos de texto, ocultar información dentro de imágenes y videos, y modificar señales de audio dentro de archivos de audio para discernir anomalías.
Los ciberdelincuentes también usan servicios en la nube robados o legítimos para alojar sitios web maliciosos o engañosos y descargas de malware, coordinar el tráfico de botnets y almacenar temporalmente datos robados. Emplean cifrado, ofuscación y servicios de proxy para ocultar sus identidades y ubicaciones. Por ejemplo, actores maliciosos explotan secretamente vulnerabilidades o exposiciones en sistemas de información de salud y dispositivos médicos. También apuntan a infraestructura crítica, como plantas de energía, sistemas de transporte o plantas de tratamiento de agua, para causar disrupción, daño o demandas de rescate. Ninguna industria es inmune a su azote.
El momento puede ser muy estratégico para desatar sus cargas maliciosas en un tiempo que cumpla con sus objetivos. Monitorean la postura de seguridad de sus objetivos, la actividad de red y las capacidades de respuesta para encontrar el momento óptimo para atacar. Pueden esperar un evento específico, como un feriado, un desastre natural o durante una crisis o tensión política, para maximizar el impacto o la probabilidad de pago. Los ciberdelincuentes evolucionan continuamente sus tácticas, técnicas y procedimientos (TTPs), deshaciéndose de métodos antiguos y adoptando nuevos para mantenerse por delante de las defensas de ciberseguridad. Al igual que las etapas de vida cambiantes de las cigarras que experimentan una metamorfosis durante su existencia subterránea, la adaptabilidad de los ciberdelincuentes les permite permanecer como una amenaza persistente.
Las cigarras crean un zumbido perturbadoramente fuerte para anunciar su emergencia. De manera similar, los ciberdelincuentes generan disrupción y caos dentro del ecosistema digital de una organización cuando se descubre el ataque. Ya sea un ataque de ransomware que paraliza una instalación de atención médica o una campaña de phishing que explota vulnerabilidades humanas, el impacto resuena a través de la red interconectada de nuestras vidas digitales.
Los ciberdelincuentes a menudo operan colectivamente, compartiendo tácticas y herramientas en la web oscura. Esta coordinación les permite amplificar su impacto, creando olas de ciberataques, como la denegación de servicio distribuido (DDoS), que pueden abrumar incluso a las medidas de ciberseguridad más robustas.
PREPARÁNDOSE PARA LO INEVITABLE
Las organizaciones pueden adoptar un enfoque proactivo y adaptable a su estrategia de ciberseguridad para estar preparadas para el resurgimiento inevitable de amenazas cibernéticas. Esto significa:
- Monitorear y analizar continuamente el panorama de amenazas, utilizando fuentes de inteligencia de amenazas, plataformas de seguridad y proveedores de servicios para recopilar información sobre vulnerabilidades emergentes, tendencias e indicadores de compromiso.
- Identificar y priorizar los activos, sistemas y datos más críticos que deben ser protegidos basándose en los objetivos comerciales de la organización, el apetito de riesgo y los requisitos de cumplimiento.
- Implementar y actualizar controles y soluciones de seguridad alineados con los objetivos de seguridad, políticas y estándares de la organización. Esto incluye medidas preventivas, detectivas y de respuesta diversas, como firewalls, pruebas de penetración, cifrado, respaldo de datos, EDR, SOAR y tecnología de engaño.
- Automatizar y optimizar procesos y flujos de trabajo de seguridad utilizando herramientas y plataformas que permiten la orquestación, automatización y respuesta de seguridad. Esto puede reducir el error humano, mejorar la eficiencia y escalabilidad, y mejorar las capacidades de detección y respuesta a incidentes.
- Capacitar y empoderar a los equipos de seguridad y al personal, proporcionándoles las habilidades, conocimientos y herramientas necesarias para adoptar el enfoque proactivo y adaptable. Esto puede mejorar su conciencia de seguridad, capacidades y roles y fomentar una cultura de seguridad dentro de la organización.
Un enfoque holístico para la seguridad es la gestión continua de amenazas, que integra la conciencia de amenazas, el manejo de eventos y la evaluación y verificación continuas para mejorar el nivel de seguridad de una organización.
Al implementar tecnología de ciberseguridad, procesos y mejores prácticas vigorosas y consistentes, las organizaciones pueden crear una postura de seguridad formidable contra los ciberataques. Pueden desarrollar una defensa sólida manteniéndose informados sobre las vulnerabilidades y exposiciones actuales y emergentes y desarrollando una cultura de conciencia y resistencia digital.
Se pueden trazar paralelos interesantes a partir de la naturaleza cíclica de las cigarras y los ciberdelincuentes en sus tácticas de adaptabilidad y emergencia. Reconocer y aprender de estos patrones permitirá a los equipos de seguridad construir una defensa más resiliente contra las amenazas persistentes de sus enemigos digitales.