En un entorno digital cada vez más desafiante en el que los cibercriminales se arman con nuevos ataques cada vez más sofisticados, la ciberseguridad se ha convertido en una prioridad estratégica para las organizaciones. En su ponencia en TheWave, «Durmiendo con tu enemigo», Aitor De La Pinta, ingeniero en sistemas de Fortinet, revela las tácticas, técnicas y procedimientos de ataque más usadas y las herramientas existentes para detectarlas y contenerlas con el fin de salvaguardar a las organizaciones.
El ciclo del ciberataque: de la intrusión a la persistencia
Aitor describe cómo los ciberatacantes inician sus campañas utilizando diversas técnicas para acceder a los sistemas de las víctimas. Destaca que el phishing, a través de correos electrónicos o redes sociales, es la técnica más común. Una vez dentro, los atacantes mantienen su presencia sin ser detectados, pivotando y ejerciendo persistencia que les permiten garantizar un acceso continuo a los sistemas y datos comprometidos. Finalmente, ejecutan el ataque deseado, ya sea la instalación de malware o ransomware, o la filtración de información sensible, antes de abandonar el sistema.
Este proceso demuestra que, en una fase inicial, es posible teorizar y mantener bajo control el tipo de ataque y los movimientos habituales de los ciberdelincuentes. Esto permite detectar actividades anómalas dentro del sistema, proteger la información y los demás sistemas a tiempo, y neutralizar el ataque. Sin embargo, este control se ve comprometido cuando entran en juego los ataques monitorizados con inteligencia artificial (IA) y los ataques de día cero.
Ataques día 0 y nuevos vectores de ataque
A través de los ataques de día cero «zero-day attacks», los ciberdelicuentes tienen la posibilidad de crear cada día más de 500.000 variantes nuevas de malware a través de herramientas de IA como WormGPT que retan constantemente a los sistemas de detección. Estos masivos y novedosos ataques se demuestran en la drástica reducción en el tiempo de infección de una organización: de 5,5 días en 2021 y 4,5 días en 2022 a menos de 24 horas en 2023.
Junto a las nuevas técnicas de infección, surgen medios de ataque más sofisticados. El auge del teletrabajo ha aumentado el uso de servicios en la nube, que, aunque esenciales, suelen estar menos protegidos que los sistemas físicos, exponiendo información sensible. Además, los deepfakes, creados con inteligencia artificial, se utilizan para suplantar identidades en entrevistas o reuniones virtuales, engañando a los usuarios y facilitando el acceso no autorizado.
Evitar el «monstruo de Frankenstein» y el «derrumbe del muro»
Aitor utiliza la analogía del «monstruo de Frankenstein» para referirse al uso de múltiples herramientas distintas con el objetivo de combatir los ataques de manera más eficaz. Sin embargo, advierte que, al intentar integrar estas herramientas, no siempre se obtiene el resultado esperado, lo que puede generar un entorno fragmentado y poco eficiente. Para evitar este problema, empresas como Fortinet ofrecen soluciones que permiten crear una «malla de ciberseguridad», integrando las diferentes herramientas de manera coherente y eficiente, lo que facilita una defensa más robusta y unificada.
Por otro lado, introduce el concepto del «derrumbe del muro», que alude a la desaparición del concepto tradicional de perímetro de red. Con el auge del teletrabajo y la adopción generalizada de servicios en la nube, el perímetro de red ha cambiado radicalmente. Ya no existe un límite claro entre lo interno y lo externo, lo que ha llevado a la adopción de la filosofía de confianza cero. Este enfoque asume que ya se ha producido una brecha de seguridad y, por lo tanto, aplica controles rigurosos de acceso y monitoreo continuo para minimizar los riesgos.
Enfrentando amenazas avanzadas: herramientas de SecOps
Para combatir ataques avanzados, las organizaciones deben contar con herramientas de SecOps como Digital Risk Prevention Service (DRPS) para el reconocimiento y monitoreo de la exposición digital; EPP, EDR y XDR de protección basada en firmas y comportamientos avanzados; NDR para detección de amenazas en la red o SOAR, sobre automatización y orquestación de respuestas.
La ciberseguridad es un campo en constante evolución, y las organizaciones deben estar preparadas para enfrentar amenazas cada vez más sofisticadas. Adoptar una arquitectura de seguridad integrada y utilizar herramientas avanzadas de IA puede marcar la diferencia en la protección contra ataques cibernéticos.
