¿Qué pasa si el mayor riesgo de ciberseguridad no es el ataque que más temes, sino la vulnerabilidad que olvidaste o que nunca supiste?
Muchas organizaciones temen que la próxima infracción provenga de un ataque altamente sofisticado y tan avanzado que nada pueda detenerlo. Este miedo es comprensible, pero la verdad suele ser más incómoda.
Arquitecto Consultor Principal XDR – Internacional, Oficina del CTO, Barracuda.
En muchos casos, la infracción no comienza con una amenaza abrumadora. Comienzan dejando un punto ciego, como un parche perdido, una cuenta inactiva, un dispositivo fuera del control de seguridad corporativo o un firewall abierto. Estas pequeñas lagunas que son fáciles de pasar por alto son exactamente el tipo de lagunas que los atacantes saben cómo encontrar.
Esa es la realidad, y uno de los hallazgos clave de nuestro informe reciente, que encontró que en la mayoría de los casos, son los problemas de seguridad evitables los que abren la puerta. Los cortafuegos sin parches, los puntos finales no autorizados, las identidades latentes y las configuraciones erróneas siguen brindando a los actores de amenazas las oportunidades que necesitan.
¿Por qué los atacantes se centran más en la identidad que en la infraestructura?
Porque comprometer una identidad suele ser más fácil y silencioso que atacar un sistema.
Una vez que los atacantes comprometen una identidad, ya no pueden forzar la entrada. Están entrando por una puerta de confianza y este es un cambio importante que estamos viendo ahora.
Los nombres de usuario y contraseñas robados pueden proporcionar acceso a servicios en la nube, correo electrónico y herramientas de acceso remoto, y las credenciales válidas permiten a los atacantes mezclarse fácilmente con la actividad normal del usuario.
A partir de ahí, pueden aumentar los privilegios, moverse lateralmente y convertir el acceso limitado en un mayor control sobre el entorno.
A veces, la velocidad con la que esto sucede es asombrosa. En un caso, descubrimos que el tiempo entre la infracción inicial y la ejecución de un ataque de ransomware completo fue de solo tres horas.
En otro incidente del mundo real, los atacantes obtuvieron acceso a través de una cuenta desactivada que se creó originalmente para un proveedor externo y nunca se desactivó después de que se rescindió el contrato. Una cuenta olvidada acaba convirtiéndose en la raíz del ransomware.
¿Las organizaciones siguen expuestas a brechas en los endpoints y firewalls?
Sí, y a escala. Los atacantes buscan activamente portátiles, tabletas o servidores empresariales desprotegidos que queden fuera de los controles de seguridad normales, ya que estos dispositivos pueden proporcionar una forma de eludir las defensas corporativas.
El problema no siempre es la falta de equipo de seguridad. Según nuestra experiencia, al observar miles de entornos diferentes, el problema a menudo se reduce a una falta de configuración consistente. El equipo de seguridad que se desactiva accidental o intencionalmente presenta un riesgo importante para la seguridad. El peligro puede verse exacerbado porque los equipos pueden tener una falsa sensación de seguridad al instalar la herramienta en primer lugar.
También sabemos que muchas organizaciones están intentando administrar demasiadas herramientas de seguridad con recursos limitados y cuando los equipos están sobrecargados, es más probable que se produzcan errores de configuración. Aquí es donde los atacantes suelen obtener su ventaja.
Esto también ayuda a explicar por qué estrategias de ataque relativamente simples siguen siendo tan efectivas.
Los actores de amenazas continúan explotando vulnerabilidades conocidas, algunas de las cuales existen desde hace años, que se pueden encontrar en sistemas heredados, como servidores o aplicaciones más antiguos.
Aún más interesante, a partir de nuestro análisis de datos del año pasado, descubrimos que la mayoría de los incidentes de ransomware explotaron los firewalls a través de un CVE o una cuenta vulnerable.
¿Por qué los ataques modernos son cada vez más difíciles de identificar?
Algunos de los comportamientos más maliciosos pueden parecer inquietantemente legítimos.
Los actores de amenazas dependen cada vez más de tácticas de abandono de la tierra (LOTL), utilizando herramientas legítimas ya presentes en el entorno para realizar acciones maliciosas.
Uno de los ejemplos más claros son los ataques de malware sin archivos que utilizan PowerShell como método de ejecución principal.
Esto plantea un serio desafío para los defensores. PowerShell se utiliza ampliamente para la administración y el mantenimiento legítimos de TI. Cuando la actividad maliciosa imita las operaciones normales, resulta mucho más difícil distinguir el comportamiento de amenaza del negocio habitual.
Es uno de los puntos ciegos más difíciles que enfrenta una organización hoy en día: no es una amenaza que se pueda ver claramente, sino una que parece algo familiar.
¿Cómo puede la IA agente empeorarlo?
La IA está ayudando a los actores de amenazas a moverse más rápido, adaptarse más rápido y escalar sus esfuerzos de manera más eficiente.
A medida que los actores de amenazas adopten la IA agente, es probable que se acelere la explotación de vulnerabilidades comunes. Estas tecnologías pueden ayudar a los ciberdelincuentes a escanear continuamente el entorno, detectar configuraciones vulnerables en cuestión de minutos y reescribir códigos maliciosos sobre la marcha para evitar la detección.
En otras palabras, los mismos problemas descuidados que ya son peligrosos hoy pueden quedar más expuestos mañana.
Es por eso que las vulnerabilidades de seguridad fundamentales ya no pueden tratarse como problemas menores. En un entorno donde los ataques pueden lanzarse y adaptarse más rápidamente, los controles deficientes de gestión de identidades, los sistemas sin parches y los dispositivos no administrados se vuelven mucho más costosos.
Entonces, ¿qué deberían hacer las organizaciones ahora?
Comience con lo básico y trátelos como estratégicamente importantes, no como tareas domésticas operativas.
Algunas de las mejoras más rápidas y efectivas incluyen: autenticación multifactor consistente y controles de acceso sólidos; Un enfoque disciplinado para la gestión de parches y la protección de datos y capacitación periódica sobre concientización sobre seguridad cibernética para los empleados.
Pero cerrar completamente los puntos ciegos requiere más que correcciones aisladas porque la resiliencia depende de la visibilidad. Cuanto más fragmentada esté la seguridad, más fácil será pasar por alto señales críticas. Pero cuando las organizaciones tienen visibilidad de extremo a extremo y gestión integrada en todo su entorno, pueden identificar vulnerabilidades tanto obvias como ocultas.
Una estrategia de seguridad integrada es una combinación de tecnología de detección avanzada impulsada por IA con un SOC totalmente automatizado. Trabajar con un proveedor que pueda brindar esa protección las 24 horas del día, los 7 días de la semana a través de una plataforma de seguridad administrada integral reduce la carga de los equipos internos.
Y en eso se basa la resiliencia cibernética a largo plazo: no solo en defenderse de ataques espectaculares, sino también en cerrar las brechas cotidianas de las que dependen los atacantes.
Como siempre digo; La brecha que lo cambia todo muchas veces comienza con algo que parece muy pequeño.
Contamos con el mejor software de firewall para pequeñas y medianas empresas (PYMES).
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
