CAPÍTULO 4: Prevención de amenazas a la ciberseguridad y mejores prácticas

Fuente:  https://unsplash.com/photos/uh5TTKr5e_w

Introducción

El panorama de las amenazas está en constante cambio. Con el cambio en las motivaciones detrás de los ataques, desde la interrupción de un sistema individual, la interrupción del servicio, las interrupciones de la red, patrocinadas por el estado, la economía sumergida y la reciente extracción de rescates, todo el mundo se ve ahora obligado a revisar sus medidas de seguridad contra sus sistemas o infraestructuras de informática. Atrás quedaron los días en los que el atacante tenía que hacer esfuerzos razonables, hacer ingeniería inversa para desarrollar un “exploit” (exploit es una palbra inglesa que significa fragmento de software, fragmento de datos o secuencia de comandos o acciones, utilizada con el fin de aprovechar una vulnerabilidad de seguridad de un sistema de información para conseguir un comportamiento no deseado del mismo), después de que se publicara un parche para una vulnerabilidad conocida. Con la disponibilidad de las herramientas y los “exploits” en línea, los atacantes ahora tienen que hacer un esfuerzo mucho menor para mejorar o construir nuevas herramientas de explotación para sus necesidades. Para contrarrestar estos ataques de manera eficaz, es necesario hacer una revisión exhaustiva de su postura de seguridad.

La prevención de las amenazas de ciberseguridad y la gestión de los incidentes se tratan de forma un poco diferente para las dos grandes categorías: las medidas adoptadas por las organizaciones y las medidas adoptadas por los individuos. Aunque el alcance de este documento se centra principalmente en los individuos, una visión rápida de las actividades utilizadas por una organización puede ayudar a construir una perspectiva completa.

Las organizaciones suelen alcanzar el objetivo mediante ciertas medidas populares – gestión de riesgos (de su sistema informático), creación de capacidades de gestión y respuesta a incidentes, revisión periódica de las métricas de ciberseguridad, despliegue de herramientas eficaces de detección y prevención, gestión continua de parches y, muy importante, formación de sus recursos humanos y sensibilización y mantenimiento de los mismos.

Los individuos adoptan medidas sencillas como la instalación de antivirus, la instalación de un cortafuegos, el uso de software/aplicaciones auténticas, la precaución con los archivos adjuntos al correo electrónico, la realización de copias de seguridad periódicas de los archivos, etc. Las medidas individuales se tratarán con más detalle en este documento.

Al final de este módulo, aprenderá:

• Visión general de las prácticas de prevención de amenazas y gestión de incidentes de amenazas
• Mejores prácticas populares sugeridas para proteger a una persona de las amenazas a la ciberseguridad
• Visión general de las tendencias futuristas seleccionadas en las amenazas de ciberseguridad.

Visión general de las prácticas de prevención de amenazas y gestión de incidentes de amenazas

Principales prácticas populares de las organizaciones – Las mejores prácticas de las organizaciones para defenderse de la ciberdefensa incluyen contramedidas básicas pero extremadamente importantes. Algunas de las prácticas clave son:

Gestión de riesgos – La minimización del impacto adverso y la necesidad de una base sólida en la toma de decisiones son las principales razones por las que las organizaciones implementan la Gestión de Riesgos en los sistemas informáticos. Los cambios en los recursos informáticos pueden introducir vulnerabilidades y cambiar el estado de riesgo general. Una Gestión de Riesgos eficaz ayuda a identificar cuáles son los recursos más críticos o sensibles, de modo que se puedan aplicar controles de seguridad más estrictos o se requieran más esfuerzos para protegerlos. La integración de la gestión de riesgos en el ciclo de vida del desarrollo del sistema ayuda a abordar la seguridad en todas las fases del ciclo de vida y permite obtener resultados eficaces.

Gestión de incidentes – Un Programa de Gestión de Riesgos eficaz incluye capacidades eficaces de Gestión y Respuesta a Incidentes. Un riesgo que no es prevenido por los Controles de Gestión de Riesgos establece un incidente. Las organizaciones deben contar con un sólido equipo de respuesta a incidentes, con funciones y responsabilidades claramente definidas, y con planes de gestión de incidentes para gestionar dichos incidentes con la intención de evitar que desemboquen en un desastre. La gestión de incidentes es más bien una gestión de crisis, por lo que las políticas y los procedimientos deben ser claros y fáciles de seguir. Los procedimientos deben revisarse y probarse periódicamente para aumentar su eficacia.

Revisión periódica – Las organizaciones deben supervisar continuamente las métricas de seguridad y revisar su eficacia, periódicamente. Esto ayuda a conocer la efectividad de los controles de seguridad implementados, reajustar los existentes o implementar controles adicionales para gestionar la Seguridad de la Información.

Herramientas de detección/prevención – La mayoría de las organizaciones tienen sistemas de detección o prevención de intrusiones, o ambos, para detectar y proteger la red de ataques maliciosos o violaciones. Además de detectar amenazas o ataques, el IDS (del inglés Intrusion Detection System, Sistema de Detección de Intrusos) también puede utilizarse para identificar problemas con la política de seguridad de una organización, documentar las amenazas existentes y utilizar la información para actualizar los programas de concienciación para evitar que los usuarios violen las políticas de seguridad de la información de la organización. El ajuste regular de estas herramientas para maximizar la precisión en el reconocimiento de las amenazas reales y minimizar el número de falsos positivos ayuda a detectar y defender eficazmente los ataques nuevos y de día cero.

Gestión de parches – Las organizaciones deberían revisar su proceso de gestión de parches y ampliarlo a todos los sistemas informáticos. El aumento de los ataques a los dispositivos Internet de las cosas (IoT) puede abordarse incluyendo las actualizaciones del firmware en el proceso de gestión de parches de la organización.

Formación y sensibilización – Las personas son el mayor riesgo para cualquier organización. Sus acciones por error, accidente, falta de conocimiento y tal vez ocasionalmente con intención maliciosa conducen a incidentes. Proporcionar formación periódica sobre conocimientos operativos y campañas de concienciación sobre los conceptos de seguridad de la información les ayudará a contribuir a la gestión de la seguridad de la información. Incluya en las sesiones de formación la concienciación sobre el manejo de archivos adjuntos al correo electrónico, Phishing, Vishing, Click-jack, Ingeniería Social, etc. Compruebe la eficacia de la formación de concienciación, periódicamente.

Para los particulares, las mejores prácticas son simples.

La buena noticia es que, en la mayoría de los casos, algunas organizaciones de seguridad bastante importantes se interponen entre el consumidor y el hacker, por ejemplo, el equipo de SecOps de Verizon o AT&T. Aun así, hay medidas preventivas que deberías tomar para ayudar a garantizar la seguridad de tu información y que se discuten en detalle en la siguiente sección de este documento.

Sugerencias de buenas prácticas populares

Medidas de seguridad populares

Contraseña: Para evitar que usuarios no autorizados se conecten de forma inalámbrica a nuestro router, roben nuestra conexión a Internet e incluso accedan a otros ordenadores de nuestra red local, éstos suelen estar protegidos con una contraseña. Sin ella, el acceso no es posible. Sin embargo, estas contraseñas suelen ser débiles y fáciles de piratear. Si revisamos nuestro router, seguramente encontraremos alguna de estas 3: admin/admin; admin/password; admin/. Una vez que han accedido a nuestro router, los hackers tienen total libertad para cambiar la contraseña del Wi-Fi e impedirnos el acceso a cualquier dispositivo que utilicemos. Para evitarlo, debemos cambiar la contraseña de acceso por defecto de la red Wi-Fi suministrada por nuestro proveedor de Internet. Estas contraseñas están configuradas con un algoritmo que está al alcance de cualquiera. Así, con sólo leer un tutorial en Internet podríamos hacer un mal uso de esa información nosotros mismos. Por lo tanto, debemos asignar una contraseña que cumpla con todas las medidas de seguridad:

• Contenga minúsculas, mayúsculas, números y letras.
• No utilice fechas de nacimiento, nombres de mascotas, comidas favoritas y otros datos fáciles de adivinar.

Codificación: Debemos tener cuidado con lo que publicamos en nuestras redes sociales. En ellas se almacenan grandes cantidades de información sobre las actividades que realizamos, los lugares que visitamos, las personas con las que nos relacionamos, nuestras aficiones, la comida que nos gusta, etc. Toda esta información puede ser utilizada por un atacante para conocer nuestro perfil o planificar y lanzar ataques personalizados como el phishing que mencionamos en la primera parte de esta guía. Además, la información recogida puede ser utilizada incluso para secuestros o extorsiones.

¿Cómo saber qué aplicación es segura? En tecnología móvil, la mayoría de los servicios de mensajería como WhatsApp, por ejemplo, ofrecen un sistema de encriptación en todas nuestras conversaciones. Esto significa que sólo nosotros y la persona con la que nos comunicamos podemos leer los mensajes, impidiendo el acceso a terceros. De hecho, y aunque el ciberdelincuente pudiera obtener toda la información compartida, sólo vería códigos que no podrían ser descifrados.

A la hora de navegar por Internet, se recomienda hacerlo en aquellos sitios web en los que se coloque HTTPS en la barra de direcciones, lo que además proporciona al usuario un cifrado extra. Cuando la URL de un sitio web empieza por https: //, el ordenador está conectado a una página que le habla en un lenguaje codificado, a prueba de invasores y más seguro. Y debemos navegar en este tipo de sitios web especialmente cuando realizamos compras online, siempre y cuando estén vinculados a pasarelas de pago electrónico reconocidas como Visa, Mastercard, Paypal, entre otras.

Cortafuegos: Una herramienta adicional para protegerse de las amenazas de Internet es el uso de un cortafuegos. Se trata simplemente de una herramienta de seguridad que controla qué aplicaciones tienen acceso a Internet y qué conexiones pueden acceder a nuestro ordenador. Los cortafuegos suelen estar programados para reconocer automáticamente las amenazas, por lo que suelen ser fáciles de usar y no interfieren en el uso que hacemos del ordenador.

VPN Red Privada Virtual: Otra muy buena medida es utilizar una VPN (Red Privada Virtual), que es una tecnología de red que nos permite crear una red local (LAN) aunque estemos navegando a distancia y necesitemos pasar la información por una red pública. Una VPN crea una especie de túnel y evita que cualquiera pueda captar y utilizar esa información. De este modo, nos aseguramos de que todo lo que sale de nuestros dispositivos está encriptado hasta que el receptor del mensaje recibe esa información. Esto puede evitar los ataques “man-in-the-middle”, un tipo de amenaza en la que el ciberdelincuente adquiere la capacidad de desviar o controlar las comunicaciones entre las dos partes.

Antivirus: Es fundamental mantener nuestro sistema operativo actualizado y utilizar el mejor antivirus para que nos alerte y proteja de posibles amenazas. También es importante ejecutarlo periódicamente para encontrar y eliminar el malware, así como realizar actualizaciones automáticas. Si nos debatimos entre comprar una licencia de antivirus o conseguir uno gratuito, debemos tener en cuenta que aunque la mayoría de los programas gratuitos son de gran calidad y ofrecen un nivel de seguridad razonable para los usuarios domésticos, no siempre ofrecen el mismo nivel de protección. La mejor opción sería consultar con un experto, y si es posible, elegir un antivirus que tenga soporte técnico para ayudarnos con la configuración.

• La mejor opción es no confiar inocentemente en lo primero que nos llega a la bandeja de entrada del correo electrónico, en ese enlace que nos ofrece un producto gratuito, en ese usuario que nos quiere agregar a una red social y que no conocemos, etc.
• Hay que pensárselo dos veces antes de realizar cualquiera de esas acciones: si algo es demasiado bueno para ser verdad, es muy probable que sea fraudulento o perjudicial.
• Siempre es recomendable utilizar filtros de spam que ayuden a bloquear los correos masivos que puedan contener malware.
• Hay que tener cuidado si alguien, incluso un amigo con buenas intenciones o un miembro de la familia, nos da un USB o un disco extraíble para insertarlo en nuestros ordenadores. Podrían haber escondido malware en él sin siquiera saberlo. Por ello, es fundamental escanear con un antivirus cada elemento que introduzcamos en nuestros dispositivos o descarguemos de la web.
• Además, hay que acostumbrarse a hacer copias de seguridad de nuestro dispositivo periódicamente para minimizar la pérdida de datos.

Dispositivos como un teléfono inteligente, una tableta, una televisión inteligente; electrodomésticos inteligentes como frigoríficos u hornos; incluso termostatos, persianas, puertas y luces controlados desde el teléfono. Esto es el Internet de las cosas o IoT. Actualmente, todos estos dispositivos se conectan a través de conexiones Wi-Fi, Bluetooth o infrarrojos y se comunican con un control central que suele encontrarse en el mismo domicilio o en el servidor central del fabricante. La tendencia muestra que habrá más dispositivos que personas en cada casa. Y estos dispositivos desempeñan un papel cada vez más importante en la vida doméstica.

Sin embargo, el IoT representa un difícil reto para la seguridad. Los sensores de todos los dispositivos domésticos, incluso los robots aspiradores que se han hecho tan conocidos en los últimos años, pueden almacenar información valiosa sobre nuestros hogares. La marca internacionalmente conocida Roomba almacena información sobre las dimensiones de las casas y planea venderla a otras grandes empresas tecnológicas.

Los dispositivos del Internet de las Cosas recogen datos sobre nosotros: saben qué programas de televisión vemos, qué decimos dentro de una habitación, a qué hora llegamos a casa, etc.

Visión general de las tendencias futuras de las amenazas a la ciberseguridad

¿Cómo de grave es el problema de la ciberdelincuencia? Un estudio de Cybersecurity Ventures predice que estos delitos costarán al mundo 6 billones de dólares al año en 2021. Los ciberdelitos se han convertido en grandes noticias, con grandes violaciones de datos y de seguridad en las empresas que generan titulares, y con amenazas cibernéticas procedentes de lugares extranjeros como China y Rusia que amenazan a las empresas y las elecciones estadounidenses.

Deepfakes es una combinación de las palabras «deep learning» y «fake». Los deepfakes se producen cuando la tecnología de inteligencia artificial crea imágenes y sonidos falsos que parecen reales. Un Deepfake puede crear un vídeo en el que se manipulan las palabras de una persona, haciendo que parezca que una determinada persona ha dicho algo que en realidad nunca hizo. Tecnología de voz Deepfake La tecnología permite falsificar las voces de otras personas -a menudo políticos, celebridades o directores ejecutivos- utilizando la inteligencia artificial.

Identidades sintéticas son una forma de fraude de identidad en la que los estafadores utilizan una mezcla de credenciales reales y fabricadas para crear la ilusión de una persona real. Por ejemplo, un delincuente puede crear una identidad sintética que incluya una dirección física legítima.

Utilizar la inteligencia artificial, los hackers son capaces de crear programas que imitan comportamientos humanos conocidos. Estos hackers pueden utilizar estos programas para engañar a la gente para que entregue su información personal o financiera. En estos ataques, conocidos como ataques de envenenamiento, los ciberdelincuentes pueden inyectar datos erróneos en un programa de Inteligencia Artificial. Estos datos erróneos pueden hacer que el sistema de Inteligencia Artificial aprenda algo que no se supone que deba aprender.

La idea de la computación cuántica es todavía nuevo, pero en su aspecto más básico, se trata de un tipo de computación que puede utilizar ciertos elementos de la mecánica cuántica. Lo importante para la ciberseguridad es que estos ordenadores son rápidos y potentes. La amenaza es que los ordenadores cuánticos pueden descifrar códigos criptográficos que a los ordenadores tradicionales les llevaría mucho más tiempo descifrar, si es que alguna vez pueden hacerlo.

A medida que más coches y camiones se conectan a Internet, aumenta la amenaza de ciberataques basados en vehículos. La preocupación es que los ciberdelincuentes puedan acceder a los vehículos para robar datos personales, rastrear la ubicación o el historial de conducción de estos vehículos, o incluso desactivar o tomar el control de las funciones de seguridad.

A medida que el mundo continúa adoptando la transformación digital, dado el ritmo de cambio, una inteligencia de amenazas fiable y procesable, se vuelve muy importante. Las medidas de inteligencia de amenazas más populares son:

Inteligencia sobre amenazas basada en los pares: La primera, y la más habitual, se basa en una encuesta a los responsables de seguridad o a personas similares en la que se pregunta por el tipo de amenazas que han sufrido. Este tipo de información puede ser especialmente valiosa si las personas entrevistadas trabajan en el mismo sector o viven en la misma región geográfica.

Informes sobre amenazas elaborados por expertos: La inteligencia sobre amenazas no sólo debe proporcionar una revisión histórica del panorama de las amenazas, sino también predecir los posibles puntos de evolución del malware y las estrategias de los ciberdelincuentes. Hay que empezar por los informes sobre amenazas elaborados por equipos profesionales de investigación de amenazas.

Fuentes de información sobre amenazas e inteligencia recopilada internamente: Además de estas fuentes de información, los responsables de la seguridad deben suscribirse a fuentes de información sobre amenazas en directo que proporcionen información sólida y procesable, así como a servicios que ofrezcan actualizaciones y recomendaciones en tiempo real desde la primera línea de la ciberseguridad.

La mejora de la capacidad de las organizaciones no sólo para defenderse adecuadamente de las tendencias de las amenazas actuales, sino también para predecir un amplio número de ataques futuros, requiere una inteligencia de amenazas que permita a las organizaciones ser proactivas. Esta capacidad de «ver el futuro» de las tendencias de las amenazas permite a las organizaciones no sólo defenderse más eficazmente contra los ataques actuales, sino también prevenir la próxima ola de ataques antes de que se produzcan.