Con frecuencia, cuando oímos hablar de ciberseguridad pensamos en tecnología e infraestructuras informáticas. Y es lógico, ya que la constante actividad de las organizaciones por su naturaleza y, sobre todo, por la dinámica y exigencias del mercado, puede llegar a desempeñar una actividad de 24*7*365, requiriendo de la infraestructura necesaria para ello.

A la enorme actividad organizativa hay que añadir, pues, la gestión de la red de dispositivos, equipamientos y sistemas que, además, debido al avance de la digitalización por el Covid19, necesitan estar conectados con sistemas externos. Esto puede conformar un entorno crítico, ya que soportan una gran cantidad de información confidencial. Y la información confidencial es sin duda una de las piezas más valiosas para un cibercriminal.

¿Qué puede hacer un ciberdelincuente con esos datos? Desde realizar fraudes administrativos y económicos, hasta vender los ficheros a otros cibercriminales.

Piensa en alguna información relevante para el desarrollo de tu negocio. ¿Cuánto estaría dispuesta a pagar tu competencia para tener esos datos? ¿Cuánto pagarías tú por tener los de tu competencia? Esto los ciberdelincuentes lo saben y solo tienen que poner un precio.

¿Cómo proteger la información confidencial en la empresa?

En primer lugar, para proteger la información de nuestras compañías debemos usar herramientas y tecnologías que permitan controlar accesos no permitidos, bloquear virus y ataques varios, registrar cada uno de los accesos a información protegida y controlar otras vulnerabilidades de la evolución tecnológica, como la llamada IoT.

Estas herramientas y tecnologías deberían ser suficientes para proteger a cualquier compañía de los ciberataques. Sin embargo, estos siguen sucediéndose aún teniendo la infraestructura debidamente trabajada. ¿Por qué? ¿Por qué esta tecnología que es imprescindible no es suficiente para proteger la información de la empresa?

Porque el factor humano es un elemento esencial de la ciberseguridad.

La tecnología puede cubrir las brechas de la infraestructura informática, pero no incide en el comportamiento de las personas, comúnmente denominadas el eslabón más débil.

Los usuarios de los sistemas deben de comprender y aplicar los consejos sobre el uso de los dispositivos a los que tienen acceso, y para ello han de estar motivados a hacerlo, lo que requiere cambios en las actitudes e intenciones.

La robustez de un plan de ciberseguridad es el equilibrio entre personas, procesos y tecnología.

“Eso solo les pasa a las grandes empresas”

Es fácil negar la existencia de un problema o de una necesidad si la entiendes como algo ajeno a tu realidad. Si, además de no ser conscientes de ello, te bombardean con constantes advertencias difusas y recomendaciones tediosas sobre cómo gestionar la Ciberseguridad, lo cómodo es aferrarnos a la creencia de que “eso sólo les pasa a las grandes corporaciones”.

Entonces un día cualquiera, sin darte cuenta, una de las gestiones cotidianas que tienes sobre la mesa resulta ser un ciberataque y la información confidencial de la empresa y tus datos quedan expuestos. Todo parecía normal, no había nada sospechoso (aparentemente), y de pronto te están pidiendo elevados rescates económicos para recuperar el control de tu propia empresa. O puede ser tarde, porque ya has hecho las transferencias objetivo a sus cuentas.

No se trata únicamente de una pérdida económica, sino de un daño en la reputación de la compañía que en el caso de los ciberataques es siempre exponencial.

La concienciación como herramienta

Estas situaciones son mucho más habituales de lo que imaginamos. Para poder evitarlas, además de concienciar hay que conseguir influir en las personas para que adopten nuevos comportamientos.

Esto pasa por desvincularnos de las formaciones teóricas y conseguir que los usuarios puedan experimentar incidentes cibernéticos similares a los de la vida real para construir una cultura empresarial cibersegura basada en la responsabilidad, confianza, comunicación y cooperación.

Desde Grupo Paradell ayudamos a las organizaciones con la implementación de herramientas que ponen el foco en el riesgo que supone el factor humano, permitiendo una influencia periódica y frecuente del personal, adaptada a las necesidades de cada empleado, de cada puesto de trabajo y de cada departamento.

Si quieres saber cómo puedes medir los niveles de riesgo por departamento en tiempo real, visualizando las áreas con mayor o menor riesgo y el nivel de respuesta hacia la ciberseguridad que tienen tus empleados, podemos hablar. o, si lo prefieres, escríbenos y te diremos qué soluciones son las más adecuadas para tu negocio, también en función de cada empleado y/o departamento.

Tras el análisis de los datos de nuestra actividad en el ejercicio 2019, podemos destacar que las investigaciones privadas en el ámbito laboral contratadas por empresas a Grupo Paradell crecieron un 21% en el año 2019 respecto al ejercicio 2018.

Destacan principalmente dos tipos de conductas fraudulentas:

El 27% de los encargos tienen como objetivo la verificación de bajas fraudulentas.

Un 22 % de los temas laborales tienen relación con actividades que se encuadrarían en la esfera de la competencia desleal. Destaca en este ámbito como en años anteriores que los investigados tenían un puesto de mando medio o superior dentro de la jerarquía de la empresa en la que prestan sus servicios.

El resto de las investigaciones se reparte en control de equipos comerciales (12%), cobros indebidos de proveedores (11%), sustracción de efectivo (9%), fugas de información (9%), uso de horas sindicales (5%) y  robo de material (5%).

Como recomendación recordar que siempre se debe tener presente al iniciar una investigación en el ámbito laboral que se deben cumplir los siguientes requisitos:

• Qué tal medida sea susceptible de conseguir el objetivo propuesto (juicio de idoneidad);

• Qué además, sea necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia;

• Que la misma sea ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto).

El threat hunting es una de las técnicas de lucha contra los ciberdelicuentes que más importancia está ganando, en la medida en que las empresas quieren ir por delante de las últimas ciberamenazas y responder con rapidez cualquier potencial ataque.

¿Qué es el threat hunting?

Threat hunting es la práctica de buscar de manera proactiva ciberamenazas que puedan estar pasando desapercibidas en una red. Se investiga en profundidad para detectar elementos maliciosos en su entorno que se hayan podido filtrar por las barreras iniciales de seguridad.

Una vez se ha colado, un potencial atacante puede permanecer sigilosamente dentro de la red durante meses mientras recaba datos, busca información confidencial o se hace con claves de acceso que le permitirán moverse con soltura dentro del entorno.

Una vez que el adversario ha logrado con éxito saltarse los controles y un ataque ha traspasado las defensas de la organización, muchas empresas carecen de las herramientas necesarias para evitar que la amenaza persista en el sistema. Por eso el threat hunting es un componente esencial en toda estrategia de defensa.

¿Cuándo tiene cabida el threat hunting?

El threat hunting complementa los procesos estándar de detección, respuesta y resolución de incidencias. Mientras las soluciones tecnológicas de seguridad analizan datos para generar alertas, el threat hunting trabaja en paralelo para obtener pistas a partir de esa información. Posteriormente, es analizada por humanos especializados y preparados para identificar cualquier señal de actividad del potencial atacante.

Así, esta búsqueda activa de amenazas que no han hecho saltar las alarmas se ha convertido en una de las principales tendencias en ciberseguridad en 2020. 

Los cazadores de amenazas y son expertos en identificar los signos de la actividad irregular y, asumiendo que los intrusos ya están en el sistema, inician la investigación para encontrar un comportamiento inusual que pueda confirmar la presencia de actividad maliciosa. 

¿Cómo funciona el threat hunting?

En esta búsqueda proactiva de amenazas la investigación suele dividirse en tres categorías principales:

1. Investigación impulsada por hipótesis.

Las investigaciones impulsadas por hipótesis a menudo se desencadenan por una nueva amenaza que se ha identificado gracias a la información disponible sobre las últimas tácticas, técnicas y procedimientos (TTP) de los atacantes. Una vez que se ha identificado un nuevo TTP, los threat hunters verificarán si los comportamientos específicos del atacante se encuentran en su propio entorno.

• Investigación basada en indicadores conocidos de riesgo o indicadores de ataque.

Este enfoque para la búsqueda de amenazas implica aprovechar la inteligencia táctica de amenazas para catalogar los indicadores de riesgo y ataque con nuevas amenazas asociadas. Estos luego serán el detonante que alertará a los threat hunters  para descubrir posibles ataques ocultos o actividad maliciosa en curso. 

• Analítica avanzada y machine learning.

El tercer enfoque combina un potente análisis de datos y aprendizaje automático para tamificar una enorme cantidad de información con el fin de detectar irregularidades que pueden sugerir actividad maliciosa potencial. Estas anomalías se convierten en pistas que son investigadas por analistas expertos para identificar amenazas que puedan pasar desapercibidas. 

Los tres enfoques requieren la participación humana directa, cuya combinación con recursos de inteligencia de amenazas y tecnología de seguridad avanzada es una protegerá de manera proactiva los sistemas y la información de una organización. 

El Threat hunting paso a paso.

El proceso de búsqueda proactiva de amenazas cibernéticas normalmente implica tres pasos: un desencadenante, una investigación y una resolución.

Paso 1: El detonante.

Un detonante señala hacia un sistema o área específica de la red que requiere una investigación adicional cuando se identifican acciones inusuales que pueden ser indicadoras de actividad maliciosa. A menudo, una simple hipótesis sobre una nueva amenaza puede ser el detonante del threat hunting. Por ejemplo, un equipo de seguridad puede buscar amenazas avanzadas que estén utilizando herramientas como el malware sin archivos para evadir las defensas existentes.

Paso 2: Investigación.

Durante la fase de investigación, el threat hunter se puede apoyar en soluciones tecnológicas para profundizar en los posibles riesgos de acción del malware en el sistema. La investigación continúa hasta que la actividad se considera benigna o se ha creado una imagen completa del comportamiento malintencionado. 

Paso 3: Resolución.

La fase de resolución implica la comunicación de información de actividad malintencionada relevante a las operaciones y los equipos de seguridad para que puedan responder al incidente y mitigar las amenazas. A lo largo de este proceso, los threat hunters recopilan tanta información como sea posible sobre las acciones, métodos y objetivos de un atacante. También analizan los datos recopilados para determinar las tendencias en el entorno de seguridad de una organización, eliminar las vulnerabilidades actuales y realizar predicciones para mejorar la seguridad en el futuro. 

Desde Grupo Paradell recomendamos la utilización de esta metodología tradicional para monitorizar e identificar de manera proactiva actividades sospechosas o potencialmente maliciosas con el objetivo de tomar medidas o minimizar, si no evitar, el daño, usada de forma combinada con otras soluciones inteligentes como la fórmula idónea para una óptima protección ante las posible amenazas.