Cisco: “Las empresas deberían entrenar a sus empleados con simulacros de ciber-ataques”

Los ciber-delincuentes han identificado a los usuarios finales de tecnología como el eslabón más fácil para atacar y conseguir sus propósitos. En su rutina habitual al abrir emails y descargarse archivos adjuntos de remitentes supuestamente seguros, o navegar en webs a priori de confianza, pueden liberar, inconscientemente, ataques con múltiples objetivos: bloquear sistemas, robar información, forzar transacciones económicas, etc.

Estas prácticas son altamente peligrosas en un entorno empresarial. Cisco cuenta con una división enfocada a la prevención de los ataques que tienen su origen en el contenido que manejan los empleados en sus interrelaciones y comunicaciones digitales: Cisco Content Security Team.
Hemos charlado con Alberto Torralba, Consulting System Engineer que pertenece a este equipo de trabajo, para conocer cómo pueden hacer frente las empresas a unas amenazas que, parece ser, están irremediablemente ‘condenadas’ a sufrir.

El diagnóstico que hacéis los expertos está claro, pero ¿son conscientes las organizaciones de sus vulnerabilidades en ciberseguridad?

Hay de todo, no se puede generalizar. Las hay que tienen unas políticas de seguridad muy agresivas y las hay con comportamientos muy laxos. Pero sí es verdad que hoy en día todas tienen algún sistema de seguridad, ya sea de contenido, perimetral, antivirus… La diferencia es que unas implantaciones están mejor, otras peor… lo mismo que los productos, unos son más válidos, otros menos. Eso sí, donde flaquean más es, justamente, en proteger el entorno del usuario final y en concienciarle de sus vulnerabilidades y de la transcendencia de sus acciones.

¿Existe algún tipo de empresa que tenga un perfil más atractivo para concentrar los ataques de los ciber-delincuentes?

Todas son susceptibles de sufrir un ataque porque los hackers se han dado cuenta de que lo más sencillo es atacar a los usuarios no a las empresas. La falta de rigurosidad de las políticas de seguridad determina que esto sea más o menos fácil. Lo veo, por ejemplo, en las incidencias con CryptoLocker, que son las que más me estoy encontrando últimamente. Es un software que, cuando un usuario se lo descarga, cifra el disco duro y se visualiza una web en la que se requiere un pago en bitcoins para descifrarlo. El objetivo no son las empresas, lo que se busca es que los usuarios paguen. Es un ataque con un mecanismo conocido que si tiene éxito es porque las políticas de seguridad son excesivamente relajadas.

¿Es posible que una empresa esté blindada al 100% en ciberseguridad?

La experiencia nos ha demostrado que no se puede parar el 100% de los ataques. El objetivo es impedir los máximos posibles, si es el 97% mejor que el 95%. Y para luchar contra ese tanto por ciento que es imposible repeler es imprescindible utilizar herramientas que analicen qué ha pasado y, sobre todo, contar con usuarios conscientes que apliquen a sus interacciones en el ordenador, como mínimo, las mismas pautas que se les aconseja en otros ámbitos, como utilizar contraseñas seguras para sus tarjetas bancarias, etc. Con estos dos elementos combinados, se reduciría ese porcentaje impredecible.

¿Qué aporta Content Security a este escenario?

Content Security engloba a esos elementos de seguridad que intentan analizar la información que va a visualizar el usuario. Otras áreas se centran en analizar posibles amenazas antes de que lleguen a las infraestructuras, servidores, puertos, ordenadores, servicios, etc. En este caso, hablamos de analizar lo mismo que ve un usuario. Se trabaja sobre ataques de ingeniería social. Es decir, al usuario se le presenta una información sobre la que no va a sospechar porque está habituado a ella. El objetivo es ayudarle a reconocer que lo que ve no es lo que parece.

Para ello, hay que aplicar un enfoque heurístico al entorno de protección porque hoy en día todo está interrelacionado, los usuarios interactúan con emails, webs, redes sociales… y, en la misma línea, los distintos mecanismos de seguridad tienen que comunicarse entre sí: el sistema de correo necesita información de un IPS, de un firewall, de elementos de comunicación, etc. Los sistemas de protección tienen que compartir datos para ser más sólidos, de manera que un parámetro sin valor para uno per se, puede, por ejemplo, ser la clave que permita a otro catalogar una posible amenaza.

La capacidad de renovación de los ataques es realmente sorprendente. El malvertising, la inserción de malware en la publicidad, y el Snowshoe Spam son algunas de las últimas invenciones… Antes un spammer utilizaba siempre la misma red, con las mismas fuentes y enviaba, más o menos, la misma información. Con Snowshoe nos encontramos que ahora utiliza muchas redes y en vez de replicar el mismo ataque, intenta no repetir contenidos ni URL para simular que es la primera vez que aparece esa amenaza en Internet. La dinámica tradicional para burlar los ataques es acción/reacción; es decir, actúo porque he aprendido de un problema anterior. En este caso es muy difícil responder a algo que no sabes cómo va a ser ya que la vida de los ataques cada vez es menor. Es el caso de las URLs autogeneradas que pueden tener incluso una duración de tan sólo una hora y luego desaparecen. De nada sirve tenerlas, tras un primer ataque, en tu base de datos para detectarlas después porque ya no van a existir más.

¿Qué pueden hacer las organizaciones para que el usuario final no se convierta, inconscientemente, en la quinta columna de los ciber-delincuentes?

Es imprescindible que estén formados y entrenados. Es muy recomendable hacer simulacros de ataques. No basta con transmitirles unos conocimientos de prácticas seguras, hay que ponerlas en práctica, mostrarles en tiempo real una amenaza (virus, phishing, spam…), que actúen y vean las consecuencias. El problema es que a los empleados se les da formación, pero no se les entrena. Al igual que se hacen simulacros de riesgos laborales e incendios, las organizaciones deberían incorporar los de ciberseguridad.

Esa vulnerabilidad de los empleados debe contrarrestarse con herramientas tecnológicas adecuadas. Productos hay muchos y su coste suele ser determinante en la elección de unos u otros. Cada empresa debe valorar sus necesidades y sus capacidades, pero si su negocio está conectado a Internet, algo ya habitual, no debería buscar excusas para no prestar atención a las amenazas online, porque no es la empresa, sino el empleado el que va a recibir los ataques; no lo olvidemos: un usuario final con acceso a información corporativa, cuentas bancarias, etc.

Y a nivel TI, ¿qué prácticas son las más recomendables? ¿Los equipos TI tradicionales están preparados o se necesitan perfiles especializados en seguridad?

En la administración TI es fundamental tomar conciencia de que la infraestructura tecnológica tiene que estar siempre actualizada, desde los parches de los servidores a las versiones de los navegadores. Es uno de los fallos con los que nos encontramos más habitualmente. A veces, no se hace por falta de recursos pero es crítico tener una actitud proactiva en este sentido. También es muy recomendable, sobre todo en empresas con altos volúmenes o tipos de negocio muy sensibles en este área, contar con profesionales especialistas en seguridad; igual que los hay para redes, comunicaciones, etc. Pueden provenir de otro entorno TI, pero la formación específica es imprescindible.

Anteriormente apuntaba a la falta de rigurosidad de las políticas de seguridad como una de las causas del éxito de los ataques, ¿cómo configurar una política de seguridad correcta?

No hay nada más seguro que meter el PC en una caja fuerte, seguro que nadie lo hackea, pero así no se puede trabajar. La seguridad hay que balancearla con la capacidad de trabajo. Si prohíbes todo, dificultas los procesos que van a generar el dinero que sustenta el negocio, pero si permites todo, tendrás muchos problemas que lastrarán también el desarrollo de la empresa. En el equilibrio está la clave. Pero quizás sí es necesario ser más rigurosos para evitar dejar en manos de personas que no tienen conocimiento suficiente decisiones que pueden tener importantes consecuencias en seguridad. Eso es lo que ocurre si dejamos que entre un email y permitimos que el usuario sea quien decida si es bueno o malo, si puede activar un link o no, si se puede abrir un ejecutable libremente, etc. Ser más rigurosos significa que expertos y responsables de negocio tomen la decisión por él plasmándolo en políticas de seguridad, donde se defina qué hacer con cada situación en la que éste se puede encontrar.

¿Qué planteamiento y dinámicas transmite Cisco a sus clientes para afrontar con éxito una estrategia de seguridad?

Para nosotros, todo incidente de seguridad se vincula a tres fases: Antes, Durante y Después. El Antes se refiere a lo realizado para formar a los usuarios finales y al equipo TI, montar los elementos de seguridad, establecer unas políticas, etc. El Durante estará determinado por la capacidad de respuesta en función del nivel de actualización de los sistemas y de si se ha definido bien la política de seguridad. Y el Después está asociado a qué hacer si algo pasa la protección establecida. Se necesitan sistemas que nos den información después de un ataque, que permitan limpiar esos incidentes, determinando el camino que ha seguido la amenaza, y recuperar el estado anterior mediante la restauración de un backup.

Lamentablemente es una secuencia muy poco habitual en las organizaciones. Por otra parte, la protección que propone Cisco se basa en la participación de múltiples sistemas, no basta con un motor de análisis. La combinación de varios (antispam, antivirus, reputación…) acelerará el rechazo de un ataque dentro de un entorno colaborativo en el que se comparte continuamente información para que, si no es uno, sea otro el responsable de la decisión final.

¿Esa filosofía es la que está marcando la política de adquisiciones de Cisco?

La esperanza de vida de las tecnologías de nicho en seguridad pasa por su asociación o integración en proveedores más grandes donde se complementen con otros conocimientos. Es algo que Cisco ha sabido ver y por lo que se ha convertido en uno de los drivers del mercado. No hay más que repasar las primeras marcas en seguridad que están bajo su paraguas: ScanSafe, Sourcefire, ThreadGrid, IronPort, SenderBase, Cognitive… El conocimiento compartido entre todas se materializa en Cisco Talos Security Intellegence.

Cognitive ha sido su última incorporación, ¿qué novedades aporta respecto a otros sistemas de correlación de información?

La correlación de información siempre ha existido, la cuestión es cuanta inteligencia tiene tu sistema, qué algoritmos utilizas. En ese ámbito, Cognitive proporciona análisis del comportamiento en la navegación web mediante inteligencia artificial. Facilita datos a partir de la conexión sin necesidad de que haya contenidos. Pero es una tecnología para el Después que indicaba anteriormente. Permite detectar un incidente del que sin ella no se tendría conocimiento, pero la incidencia ya ha ocurrido, es necesario ejecutar una acción de limpieza y remediación.

¿De qué manera ofrece Cisco sus soluciones? ¿Hay algún entorno más seguro y sencillo a la hora de implementar seguridad? 

Proporcionamos las mismas tecnologías tanto en modalidad appliance, como para entornos virtuales y despliegues en la Nube.

Son las mismas, sólo varía la forma de instalar un sistema. El análisis sobre un email, una transferencia http o una transacción de red va a ser igual. Incorporar nuestra tecnología de Content Security es muy sencillo. Instalar una plataforma de correo de Cisco en un cliente no tiene por qué llevar más de 2 ó 3 horas. Lo más complicado es establecer las políticas seguridad con las que se va a utilizar: qué decisiones se toman, quién las toma, quién las escribe… Es como ver la tele, cambiar de cadena con el mando es muy fácil, lo que cuesta es decidir qué quieres ver.