Llegamos a ustedes gracias a:



Reportajes y análisis

22 mitos de ciberseguridad que se deberían jubilar en el 2022

[24/01/2022] En los últimos años se ha producido un cambio drástico en la forma en que las organizaciones se protegen contra los atacantes. El modelo de trabajo híbrido, la digitalización acelerada y el aumento del número de incidentes de ransomware han cambiado el panorama de la seguridad, haciendo que el trabajo de los CISOs sea más complejo que nunca.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Este enrevesado entorno requiere una nueva mentalidad para defenderse, y las cosas que podrían haber sido válidas en el pasado podrían dejar de ser útiles. ¿Se pueden seguir gestionando las fechas de caducidad de los certificados digitales en una hoja de cálculo? ¿Es el cifrado "polvo mágico"? ¿Y son los humanos el eslabón más débil?

Los expertos en seguridad sopesan los 22 mitos de la ciberseguridad que debemos jubilar por fin en el 2022.

1. Comprar más herramientas puede reforzar la protección de la ciberseguridad

Una de las mayores trampas en las que caen las empresas es asumir que necesitan más herramientas y plataformas para protegerse. Una vez que tienen esas herramientas, piensan que están a salvo.

Las organizaciones se ven atraídas por la compra de productos "promocionados como la solución milagrosa", afirma Ian McShane, director de tecnología de Arctic Wolf. "Esto definitivamente no es la clave del éxito".

Comprar más herramientas no mejora necesariamente la seguridad, porque a menudo no tienen un problema de herramientas, sino de funcionamiento. "Si priorizan y adoptan las operaciones de seguridad en las que pueden sacar el máximo partido a sus inversiones existentes, en lugar de pasar por un ciclo interminable de nuevos proveedores y nuevos productos, recorrerán un largo camino para abordar el panorama de las amenazas en rápida evolución de una manera que satisfaga las necesidades únicas de su negocio", anota McShane.

2. El ciberseguro es una solución para transferir el riesgo

En teoría, el ciberseguro permite a las organizaciones evitar el costo de un posible ciberataque. Sin embargo, la cuestión es más matizada. El costo de un incidente de ransomware, por ejemplo, se expande mucho más allá de su impacto financiero directo, ya que incluye cosas como clientes enojados y daños a la reputación.

"El [ciberseguro] debe ser una pieza, pero no la piedra angular de su estrategia de resistencia cibernética", comenta Jeffrey J. Engle, presidente de Conquest Cyber. "Los requisitos básicos, las exclusiones y las primas están subiendo, y la cobertura está cayendo precipitadamente".

3. El cumplimiento equivale a la seguridad

Como le gusta decir al Cuerpo de Marines de EE.UU., estar preparado para la inspección es una cosa, pero estar preparado para el combate es otra. "Muchas empresas se centran demasiado en cumplir los requisitos de conformidad y no lo suficiente en ser verdaderamente seguras", afirma Ian Bramson, director global de ciberseguridad industrial de ABS Group.

Marcar todas las casillas de cumplimiento nunca es suficiente, dice, porque ser conforme solo significa cumplir las normas mínimas. "Hace falta un programa mucho más completo e individualizado para alcanzar un estado avanzado de cibermadurez", añade Bramson.

Engle está de acuerdo: "El camino al infierno está pavimentado con buenas intenciones y una mala planificación de contingencias".

4. Si todo se registra, se cumple

Muchas empresas mantienen registros, pero pocas los analizan adecuadamente. "Si no está revisando proactivamente los registros y buscando automáticamente las amenazas conocidas, no ha entendido las ciberamenazas modernas", sostiene Gunter Ollmann, CSO de Devo Technology. "Sería mejor que imprimiera los registros y los quemara para calentar sus oficinas corporativas".

Los mejores registros son simples y estructurados, pero tienen suficiente información para ayudar a los investigadores a investigar un incidente. En lugar de registrar las comprobaciones de estado sin incidencias o las comprobaciones del sistema, los profesionales que diseñan los registros deben centrarse en los cambios y las excepciones.

5. Puede gestionar manualmente todos los certificados digitales desplegados en la red de su empresa con una hoja de cálculo

Las empresas dependen de miles de certificados digitales que están activos en un momento dado, y hacer un seguimiento de todos ellos manualmente es imposible. Uno de esos certificados que caducan puede provocar fallas en cascada, como la interrupción de los sistemas críticos.

"Ya no es posible gobernar, asegurar y autenticar estas identidades utilizando hojas de cálculo y métodos manuales de despliegue y revocación de certificados digitales", afirma Ed Giaquinto, CIO de Sectigo. "Peor aún, un solo certificado caducado puede proporcionar a los malos actores la oportunidad perfecta para infiltrarse en una red empresarial y causar estragos".

6. Sus datos están más seguros en la nube

Aproximadamente la mitad de todos los datos corporativos se almacenan en la nube, y las empresas podrían estar poniendo demasiada confianza en la forma en que están protegidos. "Seguramente esos datos son tan valiosos para los proveedores de servicios en la nube como para las empresas que los producen y dependen de ellos, ¿verdad? Error", señala Simon Jelley, director general de protección SaaS, ejecutivo de endpoints y copias de seguridad de Veritas Technologies.

Muchos proveedores de la nube no ofrecen garantías de que un cliente que utilice su servicio tenga sus datos protegidos. "De hecho, muchos llegan a tener modelos de responsabilidad compartida en sus términos y condiciones, que dejan claro que es el cliente quien tiene la responsabilidad de proteger sus datos", agrega Jelley.

7. La seguridad es tarea del departamento o equipo de seguridad

"Todo el mundo tiene la debida diligencia o responsabilidad de asegurarse de que practica operaciones comerciales éticas", anota Omotolani Olowosule, candidato a doctor en la Universidad de Loughborough (Reino Unido). "La concienciación y el buen comportamiento en materia de seguridad deben imponerse en toda la organización".

Olowosule añade que los empleados menos concienciados de los departamentos no informáticos deberían recibir una formación adecuada para asegurarse de que entienden el riesgo y saben cómo afrontar algunos de los problemas más frecuentes.

8. La formación en seguridad que se imparte una vez al año proporciona a los empleados los conocimientos adecuados

Muchas empresas exigen a sus empleados que asistan a una formación de seguridad en línea con regularidad. La gente ve un breve clip y responde a algunas preguntas. Aunque la gente aprueba el examen, este tipo de aprendizaje no es necesariamente eficaz.

"No ofrece un contenido atractivo", señala la consultora de seguridad Sarka Pekarova. "No capta su atención y les hace recordar los principios enseñados o los procesos y procedimientos necesarios en caso de un incidente de seguridad".

9. Contratar a más personas resolverá el problema de la ciberseguridad

En lugar de buscar personas para contratar, las empresas deberían priorizar la retención de sus profesionales de ciberseguridad. Deberían invertir en ellos y ofrecerles la posibilidad de adquirir nuevas habilidades.

"Es mejor tener un grupo más pequeño de profesionales de TI altamente capacitados para mantener una organización a salvo de las amenazas y ataques cibernéticos, en lugar de un grupo más grande y dispar que no está equipado con las habilidades adecuadas", anota McShane. "Aunque la contratación de nuevos miembros del equipo puede ser beneficiosa, el tiempo y el dinero que una empresa gasta en la contratación de nuevos empleados puede utilizarse de forma más eficaz para reforzar su infraestructura de seguridad".

10. Los humanos son el eslabón más débil

La mayoría de los ataques comienzan con las personas, pero las organizaciones deberían dejar de culparlas y adoptar un enfoque holístico, sostiene la consultora de seguridad, Sarka Pekarova. Sugiere dar la vuelta a esta idea. "Si proporcionamos a los humanos el apoyo adecuado, prosperarán y se convertirán en el eslabón más fuerte de nuestra red", afirma.

Utilizamos los "activos humanos" por una razón, añade. Si se aplican políticas y procedimientos adecuados, como la confianza cero, y si las personas reciben suficiente apoyo, pueden aumentar la seguridad de una organización.

11. Todo se puede automatizar

La automatización de los procesos relacionados con la seguridad puede parecer atractiva para una organización, porque puede ahorrar tiempo y dinero. Sin embargo, debe utilizarse con moderación. "Confiar ciegamente en la automatización puede, de hecho, crear lagunas en la calidad y la precisión de una evaluación de seguridad", anota Steven Walbroehl, cofundador y CISO de Halborn. "Esto lleva a pasar por alto las vulnerabilidades y crea riesgos de seguridad imprevistos".

Walbroehl sostiene que ciertas tareas complejas es mejor dejarlas en manos de los humanos porque requieren intuición e instinto, de los que carecen las máquinas. "Todavía no he visto una herramienta automatizada que pueda simular el proceso de pensamiento realizado por un probador de penetración hábil tratando de hackear o explotar los pasos de la lógica empresarial o la autenticación sofisticada", señala.

12. Si resolvemos el último ataque, estaremos a salvo

Las empresas suelen centrarse en el último ataque, pasando por alto otras cosas relevantes y no construyendo suficientes capacidades para prevenir futuros incidentes. "Centrarse solo en lo que ha sucedido es una buena manera de ser golpeado por lo que viene", comenta Bramson. "Las amenazas y los ataques cambian constantemente. Hay que tener un programa que se adapte y se prepare para lo desconocido".

13. Cambiar la contraseña cada 90 días hará que sus cuentas sean más seguras

"Exigir a sus usuarios que cambien sus contraseñas en algún horario solo garantiza que tendrán contraseñas terribles", comenta Dan Petro, investigador principal de Bishop Fox. Según él, es la forma perfecta de hacer que los usuarios elijan contraseñas cortas y sencillas como "Winter2022".

William Malik, vicepresidente de estrategias de infraestructura de Trend Micro, está de acuerdo. "Los malos actores pulverizan las contraseñas cuando consiguen un montón de ellas, lo cual es mucho más frecuente que cada 90 días". Añade que el uso de caracteres especiales no hará que las contraseñas sean más seguras. En su lugar, se debe animar a los usuarios a elegir contraseñas largas y habilitar la autenticación multifactor.

14. Si los datos son sensibles, hay que encriptarlos

"Demasiados desarrolladores tratan el cifrado como si fuera un polvo mágico: Lo espolvorea sobre los datos y por arte de magia se vuelven seguros", señala Petro. A menudo, los desarrolladores no piensan en dónde se almacena la clave o quién es el atacante en ciertos escenarios. "La criptografía es un tema complicado y demasiados desarrolladores acaban envolviéndose en una falsa sensación de seguridad pensando que han "encriptado" sus datos y que, por tanto, están a salvo", añade.

15. Si el sitio web tiene un candado verde junto a la URL, entonces ese sitio es seguro

Tal vez eso era cierto hace una o dos décadas, cuando el tráfico rara vez estaba encriptado y el costo de conseguir un certificado HTTPS válido era elevado. Hoy en día, los ciberdelincuentes pueden obtener certificados para sus sitios web maliciosos de forma gratuita.

"Mi consejo: Compruebe primero los sitios web en su motor de búsqueda favorito y, en caso de duda, escriba siempre su URL manualmente, en lugar de hacer clic en los enlaces", señala Dan Demeter, investigador de seguridad de Kaspersky.

16. Somos demasiado pequeños para ser un objetivo

Todavía hoy, demasiadas empresas creen que no son lo suficientemente relevantes como para ser víctimas de un ciberataque. "Si tiene una exposición, es un objetivo... y todo el mundo tiene exposición", señala Bramson. "Los ciberatacantes pueden dirigirse específicamente a una empresa, o pueden establecer ataques generales, para ver quién queda atrapado en su red. De cualquier forma, en algún momento se sufrirá un ataque".

Los datos de los clientes son una mercancía valiosa que se vende en la web oscura, y los sitios web comprometidos pueden entregar malware. "Las pymes suelen carecer de recursos para implementar y gestionar un programa de seguridad de la información adecuado, lo que las convierte en presas fáciles", anota Giaquinto.

17. Las amenazas graves son responsabilidad del gobierno

Cuando se trata de seguridad, cada organización debe hacer su parte. "Los federales no pueden protegerlos a todos: ya les cuesta bastante protegerse del incesante ataque de las amenazas persistentes avanzadas", señala Engle.

Las leyes y los reglamentos son como las retiradas de vehículos, añade. "Tiene que haber muchos choques para que el gobierno redacte, examine y apruebe algo, y luego salga a la luz. Por tanto, la acción gubernamental suele llegar mucho después de que el riesgo se haya hecho realidad", afirma Engle.

18. Los ataques a la cadena de suministro pueden detenerse parcheando todo el software y hardware interno de terceros

DJ Sampath, cofundador y director general de Armorblox, desearía que fuera así de sencillo. "Aunque las fallas de software y los sistemas sin parches proporcionan a los atacantes una superficie de ataque perfecta para operar, no son los únicos medios a su disposición", afirma. "Las empresas deben echar un vistazo exhaustivo a la gestión de sus proveedores, incluyendo el compromiso del correo electrónico empresarial (BEC), la toma de cuentas y los movimientos laterales dentro del entorno de un proveedor".

El costo de la inacción puede ser alto. "Un caso de estudio que ejemplifica este peligro es la condena de un hombre lituano por el robo de más de 120 millones de dólares en un esquema fraudulento de BEC", añade Sampath.

19. Sus datos están a salvo tras el firewall corporativo

El modelo híbrido ha sacado a las empresas de su zona de confort. "Con todo el mundo trabajando desde casa, la red corporativa ya no es el perímetro de seguridad", anota Giaquinto. "Ahora tienen que volver a centrarse en aplicar técnicas de confianza cero y entender que la identidad -independientemente de la ubicación- es el nuevo perímetro de seguridad".

Las organizaciones están implementando soluciones innovadoras de infraestructura de clave pública (PKI), que "desempeñan un papel fundamental en la habilitación de entornos de confianza cero al consolidar y automatizar el despliegue, el descubrimiento, la gestión y la renovación de los certificados digitales que verifican las identidades de los dispositivos, los usuarios y las entidades", afirma Giaquinto.

20. Las pruebas exhaustivas de software pueden evitar los ataques

Probar el software es siempre una buena idea, y hacerlo con diligencia ayuda. Pero los atacantes pueden encontrar vulnerabilidades, comenta Satya Gupta, cofundador y director de tecnología de Virsec. Menciona PrintNightmare. "En esta vulnerabilidad, en julio del 2021, Microsoft parcheó el código de Windows 2003. Está claro que Microsoft dispone de muchos recursos y, sin embargo, no pudo encontrar la vulnerabilidad", afirma.

En los últimos años, un número cada vez mayor de organizaciones han establecido programas de recompensas por errores para incentivar a los hackers de sombrero blanco. Si no se gestionan adecuadamente, estos programas pueden proporcionar una falsa sensación de seguridad.

21. Cargar código Java arbitrario y no fiable es perfectamente seguro

"Esto puede parecer lo más obvio del mundo, pero entonces, ¿por qué aparentemente todos los programas de Java siguen haciéndolo?", se pregunta Petro. "Quizá el 2022 sea el año en el que los programas Java dejen por fin de cargar intencionadamente código remoto arbitrario. Se puede esperar".

22. Debemos permitir que las fuerzas de seguridad descifren las comunicaciones cifradas de extremo a extremo para que nos mantengan seguros

Los gobiernos de todo el mundo están luchando por aprobar leyes que permitan a las instituciones policiales interceptar, almacenar e incluso desencriptar los mensajes instantáneos intercambiados en aplicaciones como WhatsApp, Telegram y Signal.

"El rechazo a estas leyes por parte de la sociedad civil y de los expertos en seguridad se basa en principios firmes: todo individuo tiene un derecho inalienable a la privacidad", afirma Sabina-Alexandra Stefanescu, investigadora de seguridad independiente. "En los países en los que los periodistas y activistas se enfrentan a una dura opresión procedente del partido o la coalición en el poder, la mensajería y el almacenamiento de archivos cifrados son los últimos bastiones de los que disponen para llevar a cabo sus investigaciones".

El investigador independiente sostiene que este tipo de legislación podría hacer más daño que bien, ya que puede hacer que todas las personas sean vulnerables y que todos los dispositivos sean menos seguros.