El panorama de la ciberseguridad ha experimentado una transformación dramática, yendo mucho más allá de los días del malware molesto como el «Love Bug» o el «Blaster Virus». El ciberdelito ha evolucionado hasta convertirse en una empresa sofisticada y con fines de lucro valorada en miles de millones.
Según un estudio en Riesgo cibernético y ciberseguridad: una revisión sistemática (2021), cibercrimen global Costará casi 1 billón de dólares en 2020.. El Banco Mundial proyecta que esa cifra aumentará aumentar a 10,5 billones de dólares para 2025. Este crecimiento exponencial pone de relieve una enorme brecha entre el costo financiero de los ataques y las capacidades de defensa existentes.
Las primeras amenazas cibernéticas a menudo estaban impulsadas por la ideología. Pero una vez que los atacantes descubrieron la rentabilidad del cibercrimen, los métodos de monetización evolucionaron: spam, botnets, criptominería y ahora ransomware como servicio. Hoy en día, las organizaciones enfrentan un aluvión constante de amenazas cada vez más sofisticadas, lo que exige un replanteamiento completo de las estrategias de seguridad.
Para cualquier director de seguridad de la información (CISO), jefe de seguridad de TI o proveedor de servicios gestionados (MSP) que comienza un nuevo rol, las principales prioridades dentro de los primeros 100 días son claras: detener tantos ataques cibernéticos como sea posible, dificultar la vida de los ciberdelincuentes y hacerlo sin alienar al equipo de TI. Esto sólo se puede lograr mediante un enfoque proactivo que dé prioridad a la prevención.
Prevención proactiva mediante aplicación y control de comportamiento.
Una parte importante de los ciberataques…estimado en 70% a 90%—involucrar macros de Office. Deshabilitarlos es una ganancia rápida que rara vez interrumpe los flujos de trabajo. Las macros se utilizan a menudo para descargar ejecutables o instalar herramientas de acceso remoto (RAT), que los atacantes utilizan para ganar persistencia.
En lugar de intentar detectar todos los archivos maliciosos, Lista de aplicaciones permitidas bloquea todo el software de forma predeterminada y permite solo programas explícitamente aprobados. Esto bloquea automáticamente malware, ransomware e incluso herramientas legítimas como TeamViewer o GoToAssist de las que los atacantes suelen abusar.
Las organizaciones también necesitan controlar lo que pueden hacer las aplicaciones permitidas. Ringfencing™ evita que aplicaciones como Microsoft Word inicien otros programas como PowerShell. Esto ayuda a neutralizar exploits como follina que puede ejecutar código malicioso sin la interacción del usuario.
Control de red y terminales
Varios cambios de bajo esfuerzo pueden reducir significativamente las superficies de ataque:
Deshabilite SMBv1. Este protocolo obsoleto fue explotado en el ataque de ransomware WannaCry y hoy en día rara vez se necesita.
Controle los puertos RDP y SMB. De acuerdo a Ciberseguridad Asiaque hace referencia a datos de Sophos, los métodos de cifrado remoto estuvieron involucrados en aproximadamente El 70% de los ataques de ransomware en 2024. Restrinja el acceso únicamente a fuentes confiables.
Elimine las VPN a menos que sea esencial. Las VPN se han aprovechado en ataques de ransomware debido a firewalls sin parches y configuraciones deficientes. Si es necesario, restrinja el tráfico por origen y destino.
Bloquee la mayor parte del acceso saliente a Internet desde los servidores. En muchos casos, los servidores no necesitan conectarse a Internet. Bloquear el acceso saliente evita las descargas de carga útil, como se vio en los ataques a SolarWinds y Exchange.
Incluso los dispositivos aparentemente internos pueden quedar expuestos si los usuarios abren puertos para acceder a los sistemas de trabajo desde casa. Esto resalta la necesidad de políticas de enrutamiento y firewall de denegación predeterminada.
Gestión de identidad y acceso.
La autenticación multifactor (MFA) es fundamental para todas las cuentas remotas, incluidas Microsoft 365, Google Workspace, registradores de dominios y herramientas de acceso remoto. Incluso si una contraseña se ve comprometida, MFA puede bloquear el acceso no autorizado.
Eliminar derechos de administrador local También limita lo que pueden hacer los atacantes. Si bien los atacantes no necesitan derechos de administrador para ejecutar ransomware, eliminar estos privilegios puede impedirles deshabilitar las herramientas de seguridad. Se debe otorgar acceso privilegiado por aplicación utilizando herramientas de elevación, no asignarse a los usuarios en general.
Protección de datos y visibilidad de acceso
BitLocker o un cifrado de disco completo similar debe estar habilitado en todos los dispositivos que lo admitan. Ayuda a evitar la manipulación a nivel de arranque y protege los discos duros virtuales contra el montaje o la copia.
Los controles granulares de acceso a archivos reducen el riesgo al garantizar que los usuarios y los programas solo accedan a los archivos que realmente necesitan. Por ejemplo, los clientes SSH como PuTTY deberían restringirse a archivos de registro y de texto. Es posible que el director financiero necesite acceso a los datos financieros de la empresa, pero alguien del departamento de marketing probablemente no. Esto ayuda a prevenir la filtración de datos y los intentos de cifrado masivo.
Las unidades USB deben estar bloqueadas de forma predeterminada. Estos dispositivos se pueden utilizar para introducir malware o robar información confidencial. Se pueden conceder excepciones para unidades cifradas y aprobadas caso por caso.
La auditoría integral de la actividad de archivos (seguimiento de lecturas, escrituras, eliminaciones y movimientos) en endpoints, almacenamiento en la nube como OneDrive y medios extraíbles ofrece información crucial tanto durante la respuesta a incidentes como durante el monitoreo proactivo.
Gestión de vulnerabilidades y visibilidad del tiempo de ejecución
La aplicación de parches sigue siendo una de las prácticas de higiene cibernética más efectivas, aunque ejecutadas de manera inconsistente. Muchos ataques tienen éxito aprovechando vulnerabilidades que han tenido parches disponibles durante meses o años. Las organizaciones deberían automatizar la aplicación de parches para sistemas operativos y aplicaciones de terceros, incluido el software portátil.
Los sistemas heredados siguen siendo comunes, incluso años después de que finalice el soporte oficial. Las soluciones de seguridad deben tener en cuenta la infraestructura moderna, así como las plataformas más antiguas, como Windows XP, que todavía existen en entornos de producción.
Los equipos de seguridad también necesitan visibilidad en tiempo real de lo que se está ejecutando, no solo de lo que está instalado. Las extensiones de navegador no supervisadas, los ejecutables sin firmar en las carpetas de Descargas o las herramientas con capacidades de cifrado pueden representar riesgos graves.
Filtrado de contenido web debería extenderse más allá de los dominios maliciosos para bloquear herramientas en la nube y plataformas de intercambio de archivos no aprobadas. La TI en la sombra sigue siendo una fuente líder de problemas de gobernanza de datos.
Detección y respuesta gestionadas
Las herramientas de detección y respuesta de endpoints (EDR) solo son efectivas si alguien está observando las alertas. Un centro de operaciones de seguridad (SOC) 24 horas al día, 7 días a la semana, o un proveedor de detección y respuesta administradas (MDR) es esencial para contener los ataques en tiempo real. El aislamiento rápido de máquinas o cuentas de usuarios infectadas puede evitar un compromiso masivo.
El mercado de la ciberseguridad se está moviendo hacia un modelo que enfatiza la prevención por defecto, el control granular sobre aplicaciones e identidades, y la detección y respuesta administradas en tiempo real. Con políticas claras, monitoreo continuo y aplicación automatizada, las organizaciones pueden eliminar categorías enteras de riesgo antes de que los atacantes siquiera se afiancen.
Fuente