Desde el primer día, la guerra entre Estados Unidos e Irán se ha desarrollado en el ciberespacio. Ahora estamos viendo cómo la guerra cibernética llega a las empresas de atención médica, bancos y otras empresas estadounidenses.
Al igual que en otros conflictos geopolíticos recientes, los ciberataques están desempeñando un papel en este conflicto más allá del espionaje pasivo.
El artículo continúa a continuación.
Pero es importante saber que la mayor vulnerabilidad no suele ser la sofisticación de los atacantes. Más bien, su objetivo es la falta de preparación en materia de ciberseguridad entre las organizaciones.
La brecha de ejecución empresarial
Los manuales y los planes pueden ayudarnos a sentirnos preparados, pero muchas organizaciones se equivocan al asumir que ese papeleo equivale a una verdadera preparación.
Para responder eficazmente a un ataque real, hay una coreografía que debe ocurrir en términos de coordinación interdepartamental, toma de decisiones de alto riesgo y comunicación de liderazgo. Sólo en la práctica de ejecución real las organizaciones pueden realmente prepararse y los atacantes no cuentan con usted.
Para decirlo de otra manera, si aún no has probado a tus equipos en escenarios simulados de guerra cibernética, no estarán listos durante un ataque real.
Las amenazas persistentes avanzadas (APT) con motivaciones geopolíticas suelen ser responsables de un ataque a largo plazo en el que intrusos vinculados a una nación hostil obtienen acceso no autorizado y no detectado a una red para robar datos confidenciales o sabotear sistemas. A diferencia de los típicos ataques de atropello y fuga, las APT están muy dirigidas y duran meses o años para lograr objetivos específicos como el espionaje o el robo de propiedad intelectual.
Por ejemplo, un ciberataque en diciembre de 2023 contra el mayor proveedor de telecomunicaciones de Ucrania, Kyivstar, dejó sin servicio móvil y de Internet a millones de usuarios en todo el país. Más tarde, los investigadores revelaron que los atacantes obtuvieron acceso a la red meses antes de la interrupción oficial, que se remonta a mayo de 2023.
Ese día era Kyivstar, pero muchas otras empresas podrían ser víctimas de este ataque paciente, cuenta.
Cuando lo que parece ser una discrepancia menor podría en realidad ser el comienzo de un sofisticado ataque de un Estado-nación, no hay lugar para la vacilación. Los equipos necesitan desarrollar una memoria muscular que los capacite para responder de manera eficiente.
El activo de seguridad más poderoso: las personas
Todo el mundo se pregunta: ¿pero qué pasa con la IA? ¿Puede la IA ayudar a defenderse de la guerra cibernética?
Seguro, pero lo mejor es que lo conduzcan personas.
Las herramientas de inteligencia artificial pueden detectar rápidamente anomalías y analizar cantidades masivas de actividad, pero al final del día, una buena seguridad tiene que ver tanto con las personas como con la tecnología. Los equipos de seguridad más sólidos no sólo son técnicamente competentes, sino que también son comunicadores eficaces.
Incluso en las APT administradas por estados-nación, muchos ataques comienzan con fallas o elusión de controles de seguridad básicos, como cuando alguien hace clic en un enlace fraudulento o descarga un archivo comprometido.
El simple hecho de lograr que toda una organización empresarial coopere de manera confiable con los protocolos y prioridades de seguridad proporciona un enorme impulso de seguridad y es una tarea increíblemente humana. La IA puede ayudar a los equipos de seguridad a trabajar de manera más eficiente y permitir que las personas sean más proactivas, pero no es una solución milagrosa contra las amenazas persistentes.
Consideremos una empresa global de servicios financieros en medio de estas crecientes tensiones con Irán. La empresa tiene sólidas políticas de ciberseguridad y sofisticadas herramientas de seguridad de inteligencia artificial sobre el papel, pero no coordina ni toma decisiones regularmente con la organización en general.
Un analista de SOC detecta varios intentos de inicio de sesión inusuales y una actividad inusual en la estación de trabajo de un empleado. La actividad se marca y finalmente se confirma como una infracción. Sin embargo, debido a que no existe un protocolo de comunicación claro entre el equipo de seguridad y la organización en general, como el liderazgo y el equipo responsable de los sistemas afectados, las decisiones de respuesta se estancan.
Decisiones de aislar el sistema, realizar una actualización o rebote o informar al SOC y a los equipos de liderazgo sin instrucciones claras a las partes afectadas.
Para cuando las medidas de contención se aprueban y comunican en toda la empresa, los atacantes ya se han adentrado más en la red y han accedido a datos personales.
En las revisiones posteriores a los hechos, el problema no es la falta de equipos o políticas de seguridad. Es que existe una desconexión entre los protectores de la organización y aquellos a quienes protegen. Las defensas cibernéticas sólidas y efectivas dependen tanto de una comunicación y una toma de decisiones sólidas en toda la empresa como de la detección técnica.
Garantizar la seguridad en un entorno geopolítico incierto
Las tensiones internacionales seguirán impulsando la actividad cibernética, ya sea que las organizaciones estén preparadas o no.
Las organizaciones que se recuperan rápidamente tratan la preparación cibernética como un circuito de retroalimentación continua entre la tecnología y su gente. Optimizan su respuesta a través de ejercicios de práctica constante, identifican vulnerabilidades tempranamente y perfeccionan la forma en que sus equipos coordinan, comunican y escalan amenazas potenciales en toda la empresa.
Al repetir los ciclos de simulación con frecuencia para identificar vulnerabilidades durante los ejercicios y traducir los resultados en mejoras, como la actualización de los manuales de estrategia, las reglas de detección y los protocolos de comunicación generales, los equipos experimentarán una madurez continua en lugar de una preparación silenciosa para situaciones específicas.
Las empresas no pueden controlar la política mundial, pero sí pueden controlar su preparación. Quienes sobreviven a cualquier tipo de ciberataque están tres pasos por delante: quienes practican responder antes de que se produzca una crisis, en lugar de luchar para hacer frente a los daños en respuesta.
En una era en la que los incidentes geopolíticos pueden transformarse rápidamente en incidentes cibernéticos, la preparación no se trata solo de herramientas, sino también de qué tan bien se desempeñan las personas cuando se desarrolla un incidente.
Hemos clasificado los mejores firewalls para pequeñas empresas.
