Tecnología

¿Son capaces los sistemas automatizados de detectar todos los ataques de los hackers que reciben las compañías?

Detectan problemas con rapidez, pero tienen altos índices de falsos positivos y falsos negativos

Los hackers, como los virus, también mutan y en este caso crean nuevos métodos y formas de vulnerar sistemas, hacer chantaje y robar datos confidenciales a las empresas. Pero los sistemas de defensa, incluso los automatizados, apenas le siguen el paso.

El reporte anual sobre ciberseguridad de la firma Microsoft, dado a conocer la semana anterior, advirtió que los hackers incrementaron “con rapidez” su grado de sofisticación y están utilizando técnicas que dificultan su detección.

Por ejemplo, trasladaron su infraestructura a servicios en la nube para ocultarse, haciéndose pasar por legítimos y desarrollan nuevas maneras para encontrar vulnerabilidades en los sistemas de las compañías.

Utilizan nuevas técnicas para el robo de credenciales, con tácticas y carnadas para ganar la curiosidad y aprovechar los descuidos de los usuarios (el típico phishing), en lugar de crear virus o software malignos (malware), aprovechando que las alertas y las defensas están bajas debido al traslado de los colaboradores a sus hogares por teletrabajo.

Las campañas de phishing se transmutan constantemente para evadir la detección y penetrar sistemas (incluyendo redes virtuales privadas y los dispositivos de Internet de las cosas) con el fin de inutilizar equipos a cambio de dinero (ransomware) y robar datos confidenciales.

“Se han vuelto expertos en evolucionar sus técnicas para incrementar su índice de éxito”, dijo Tom Burt, vicepresidente de seguridad y confianza para el cliente de Microsoft.

Defenderse obliga a las empresas a desplegar una muralla virtual completa y donde los sistemas automatizados son uno de los componentes.

“No es recomendable pensar que una herramienta resolverá totalmente el problema de ciberseguridad”, dijo Andrés Casas, socio de Cyber Risk Deloitte.

Las empresas deben complementar el uso de diferentes sistemas de protección con una cultura interna, capacitación y conciencia de las amenazas.

Bien armadas

Las herramientas y tecnologías de seguridad evolucionaron para alcanzar más precisión a la hora de identificar vulnerabilidades (originadas por errores de programación y de configuración de software e infraestructura) y patrones de ataques.

Se apoyan en algoritmos de inteligencia artificial, aprendizaje de máquina, big data y analítica. También abarcan más lenguajes de programación y permiten analizar todo tipo de aplicaciones.

“La mayoría de fabricantes ya ofrecen características para evaluar la infraestructura ubicada en las instalaciones de las empresas y para administrar la seguridad de los recursos en la nube”, explicó Gabriel García, gerente de ciberseguridad y privacidad de PwC.

Se pueden utilizar también pruebas de cacería de amenazas (threat hunting), apoyadas en la ciencia de datos, que han ganado relevancia en los modelos proactivos de protección al no depender de las alertas que genera un sistema de gestión de eventos o SIEM (por sus siglas en inglés).

Las tecnologías de simulación de ataques y violaciones (BAS, por sus siglas en inglés) también deben estar incluidas entre las soluciones de ciberseguridad. García explicó que se trata de tecnologías emergentes de simulación automatizada que imitan los ataques que realizan los hackers.

Para una compañía la ventaja de las herramientas avanzadas de ciberseguridad es la rapidez con la cual se puede identificar y reportar un ataque, tiempo de alto valor para una empresa y que marca una diferencia sustancial para no verse más comprometida.

Todas las herramientas automatizadas existentes brindan una aproximación inicial al riesgo, pero deben complementarse con el análisis de los especialistas, pues los fallos y debilidades de los sistemas informáticos son de tan variable complejidad que aún las tecnologías más avanzadas no son capaces de detectarlos completamente.

Las herramientas además tienden a reportar vulnerabilidades que luego se comprueba no existen (falsos positivos). También sucede que puede existir una fuga real (falso negativo) que no es detectada. Este es el mayor problema, pues crea una sensación de falsa seguridad.

“Las herramientas tienen altas tasas de falso positivos y negativos, pero son rápidas en arrojar sus reportes”, dijo Vladimir Villa, CEO de Fluid Attacks.

Villa explicó que las vulnerabilidades deterministas (predecibles y no ambiguas) pueden identificarse con los sistemas automatizados. En cambio, las vulnerabilidades no deterministas (no predecibles y ambiguas) deben ser identificadas por el equipo de informáticos de ciberseguridad.

¿Qué hacer, entonces?

La defensa de los sistemas y de la información disponible en la compañía obliga a identificar, primero, cuál es su nivel de exposición y riesgo, para definir cómo explorar las herramientas de ciberseguridad y el tipo de respuesta que deben brindar ante los ataques.

Casas, de Deloitte, recomendó que si la exposición no es tan significativa, puede hacer uso de una mezcla de controles tradicionales y habilidades existentes. El problema, advirtió, es obviar que los ataques cambian y se enfocan en presas fáciles.

Los firewalls, sistemas de detección de intrusos y otros sistemas de seguridad a nivel del perímetro (de redes y equipos de usuarios) no son suficientes, se enfocan en la efectividad de los controles en puntos específicos y no necesariamente están relacionados con el valor de los activos.

Obligatoriamente hay que considerar implementar las soluciones avanzadas, pensando en la detección de las vulnerabilidades, el monitoreo del tráfico anómalo y la gestión de los accesos, así como en obtener información de inteligencia y correlacionar eventos.

Las herramientas automatizadas también deben permitir dar prioridad a respuestas basadas en errores y en los riesgos de que los activos críticos queden comprometidos, así como deben permitir a los administradores ingresar en forma remota a través de paneles y consolas en la nube.

Todo eso se debe complementar con personal especializado en ciberseguridad, quienes deben tener la capacidad para entender el contexto de una vulnerabilidad y cómo se planea y ejecuta un ataque, creando un balance entre la rápida identificación de vulnerabilidades y la precisión o efectividad.

Se debe contemplar planes y procedimientos de respuesta confiables, así como proceder a la investigación de los incidentes.

Las empresas e instituciones tambień deben desarrollar las capacidades y protocolos para responder y recuperarse de los incidentes de seguridad informática, así como para mantenerse en alerta permanente. “Ninguna defensa es infalible”, recordó García, de PwC.

Carlos Cordero Pérez

Carlos Cordero Pérez

Carlos Cordero es periodista especializado en temas tecnológicos. Escribe para El Financiero y es autor del blog "La Ley de Murphy".

LE RECOMENDAMOS

En beneficio de la transparencia y para evitar distorsiones del debate público por medios informáticos o aprovechando el anonimato, la sección de comentarios está reservada para nuestros suscriptores para comentar sobre el contenido de los artículos, no sobre los autores. El nombre completo y número de cédula del suscriptor aparecerá automáticamente con el comentario.