Revolucionando la seguridad de los datos para protegerlos de una nueva era de ciberataques
Con mayor frecuencia vemos en las noticias un aumento en el número y sofisticación de ciberataques. Con el teletrabajo implantado en cada vez más empresas, quienes conocen las vulnerabilidades en los sistemas de seguridad, y que quieren explotarlas, han utilizado este cambio propiciado por la pandemia como una oportunidad para atacar infraestructuras críticas, tanto gubernamentales como de empresas privadas.
El ataque reciente más sonado en Estados Unidos sucedió el pasado abril contra Colonial Pipeline, uno de los mayores operadores de oleoductos que suministra combustible a casi el 45% de la costa este de Estados Unidos. El ataque del grupo DarkSide obligó a Colonial a cesar sus operaciones mientras se reunía la información necesaria para determinar la naturaleza del ataque. Los atacantes accedieron a través de las credenciales de una cuenta VPN que permitía acceder al sistema de forma remota. Aunque la estaba en desuso, seguía activa y con acceso a la red de Colonial, que acabó pagando a DarkSide un rescate de 4,4 millones de dólares.
A nivel mundial, hay muchos ejemplos recientes similares al de Colonial que han llamado la atención de los expertos, en particular el ataque de Kimsuky a la red del Instituto de Investigación nuclear de Corea del sur (KAERI) en mayo de 2021. El KAERI, creado en 1959, es una organización gubernamental para la investigación y aplicación de la energía nuclear y un objetivo obvio para Corea del Norte ya que sólo el 26% de su población tiene acceso a la electricidad (según datos del 2019). La agencia de seguridad estadounidense confirma que es probable que Corea del Norte haya encargado a Kimsuky una misión de recopilación de información a nivel mundial. Al grupo también se le atribuyen otros ataques a Corea del Sur mediante el backdoor AppleSeed para sistemas Windows y Android. Tras hacerse público el ataque, KAERI emitió un comunicado explicando que una persona ajena no identificada había accedido a partes de sus sistemas, aprovechando un punto débil de su VPN. En respuesta, bloquearon la dirección IP y actualizaron su seguridad una vez que el ataque salió a la luz. Por ahora se desconoce el alcance de la brecha, pero el grupo podría haber accedido a información que beneficiaría a los programas nucleares de Corea del Norte, ya que KAERI tiene información sobre pequeños reactores modulares y otras fuentes de energía.
El grupo Egregor es una de las principales “bandas” que han adoptado un modelo de afiliación utilizando ransomware desarrollado por el grupo Maze. Parte de los integrantes de Egregor fueron detenidos en Ucrania en febrero de este año. Muchos expertos en seguridad creen que el grupo Egregor es un sucesor del grupo Maze que opera con un modelo de «Ransomware-as-a-Service», es decir, los desarrolladores de software malicioso alquilan el acceso a su herramienta de pirateo a cambio de una parte de los beneficios. La táctica consiste en bloquear los sistemas o en publicar en línea la información sensible, además de vender los datos robados en la dark web o utilizar la información robada para atacar a clientes y socios. A finales de 2020, el equipo de Maze emitió un comunicado de prensa en el que afirmaba que «el proyecto está cerrado«. Sin embargo, se cree que el grupo (que atacó a empresas como Cognizant, Chubb, ExecuPharm, Visser y Kimchuk en el 2020) no ha desaparecido, sino que está en un proceso de “rebranding”.
Lo que queda claro con ejemplos como estos es que las normas y prácticas de ciberseguridad actuales no son suficientes para proteger los datos. En los ataques de ransomware de mayor repercusión hemos visto a los ciberdelincuentes explotar vulnerabilidades en las VPN para acceder a los sistemas. Una vez han penetrado en los sistemas, pueden de acceder y filtrar datos. Modelos como el de confianza cero son un buen comienzo, pero no bastan por sí solos, ya que están diseñados principalmente para facilitar su uso y pueden resultar insuficientes contra los sofisticados ataques actuales
El número de ciberataques sufridos ha sido tal que hasta el presidente de los Estados Unidos, Joe Biden, emitió una orden ejecutiva el 12 de mayo de 2021 en la que afirma que «Estados Unidos se enfrenta a campañas cibernéticas maliciosas persistentes y cada vez más sofisticadas que amenazan el sector público, el sector privado y, en última instancia, la seguridad y la privacidad […]». Esta orden ejecutiva resalta la magnitud de un problema que nos afecta a todos, no sólo a EE. UU.
La orden ejecutiva establece acciones audaces por parte del gobierno federal para mejorar la seguridad de las instituciones estadounidenses, incluyendo la colaboración con el sector privado. Dentro de la orden ejecutiva, el presidente Biden pretende modernizar la ciberseguridad del gobierno federal de múltiples maneras mediante la adopción de nuevas prácticas de seguridad. En primer lugar, avanzando hacia una arquitectura de confianza cero, para, después, «acelerar el movimiento hacia servicios seguros en la nube… [y] centralizar y agilizar el acceso a los datos de ciberseguridad para impulsar el análisis y así identificar y gestionar los riesgos de ciberseguridad». La orden detalla los pasos necesarios para lograr las best practices, incluyendo la adopción de «la autenticación multifactor y el cifrado de los datos en reposo y en tránsito […]»
Estas nuevas “mejores prácticas” deberían ser totalmente coherentes con las principales regulaciones que protegen la información personal hoy en día. En el caso de normativas como la HIPAA, la CCPA, el NY DFS y el GDPR, el cumplimiento se realiza empleando protocolos de ciberseguridad para proteger la información personal. Las protecciones pueden venir a través de un modelo de confianza cero o de alguna otra forma. Pero la adición de la autenticación multifactorial y el cifrado de datos añade al paradigma de cumplimiento existente protecciones mejoradas.
En definitiva, el objetivo del nuevo mandato apunta hacia la forma en la que se debería entender la seguridad de la información: impedir que un atacante pueda acceder a la información, aunque haya logrado infiltrarse con éxito en la red de la organización. Para lograrlo, el cifrado es fundamental para que los datos sólo puedan ser descifrados por usuarios autorizados, incluso si esta información es robada o filtrada por el atacante. Aunque los atacantes consigan acceso a ficheros disponibles, el cifrado previene que puedan acceder a la información.
Conocer la diferencia entre ciberseguridad y seguridad de la información es fundamental porque dictan cursos de acción diferentes.
- La ciberseguridad es el arte de proteger redes, dispositivos y datos de cualquier acceso no autorizado o de un uso ilegal y la práctica de asegurar la confidencialidad, la integridad y la disponibilidad de la información.
- La seguridad de la información es más especializada y específica, ya que comprende las medidas que protegen y defienden la información asegurando su disponibilidad, integridad y confidencialidad.
Por definición, tanto ciberseguridad como seguridad de la información son caminos hacia un mismo objetivo (proteger la información), pero las prácticas estándar de ambas son, en realidad, diferentes. La administración de identidades (IAM), columna vertebral de muchos programas de ciberseguridad, funciona de forma muy parecida a un castillo con muros que funcionan como una medida de ciberseguridad más amplia, pero que no garantiza la integridad de la información en caso de infracción. Dadas las circunstancias adecuadas, como en los ejemplos mencionados anteriormente, cualquier hacker experto puede acceder a la red protegida por IAM – en nuestro paralelismo, habrá destruido los muros de ese castillo – y por tanto puede tener acceso a cualquier archivo.
Este riesgo potencial es el motivo por el que los archivos deben de estar encriptados: para evitar el acceso y la filtración de información y, así, mantener la integridad de estos. Con un sistema de cifrado desvinculado de IAM que proteja los datos reales, un hacker puede obtener credenciales y acceder a los archivos confidenciales, pero no podrá utilizarlos o descifrarlos.
Durante el año 2020 presenciamos un aumento de los ciberataques, ya que un gran número empresas necesitaron adaptarse al trabajo en remoto con modelos híbridos o estrictamente de trabajo desde casa, aún sin estar preparadas para una plantilla trabajando en remoto. Con esto, se amplió la superficie de ataque para hackers.
Llevar a cabo este cambio sin una infraestructura adecuada conllevaba, en muchísimos casos, que un gran número de empleados accedieran a los datos de la empresa desde sus dispositivos personales – cada dispositivo con diferentes niveles de seguridad. Sin una inspección exhaustiva, la empresa no puede conocer si esos dispositivos estaban en riesgo antes de comenzar a trabajar en remoto.
HP realizó un estudio recientemente en el que contribuyó la empresa internacional de análisis independiente KuppingerCole. En el estudio se analizan los riesgos de ciberseguridad asociados al trabajo a distancia y se ha descubierto que: «El 70% de los trabajadores encuestados admite que utiliza sus dispositivos de trabajo para tareas personales, mientras que el 69% utiliza ordenadores portátiles o impresoras personales para actividades laborales. Casi un tercio (30%) de los trabajadores remotos encuestados han dejado que otra persona utilice su dispositivo de trabajo.» A este comportamiento preocupante se unen dos nuevas tendencias. En primer lugar, la probabilidad de que un empleado caiga en un esquema de phishing porque no está en la oficina y duda de si reportar el problema por miedo a haber hecho algo mal. En segundo lugar, un aumento del 238% en el volumen de ciberataques a nivel mundial durante la pandemia.
En su estudio, HP también descubrió que: «El 71% de los empleados encuestados dicen que acceden a más datos de la empresa y con mayor frecuencia ahora desde casa que antes de la pandemia – siendo los tipos de datos a los que más se acceden: datos de clientes y operativos (43% cada uno) y registros financieros y de recursos humanos (23% cada uno)». Acceder a esta información forma parte de su trabajo y es una función necesaria que deben realizar. Si el sistema se basa sólo en IAM, el acceso está puede quedar disponible para cualquier atacante avanzado.
Esta “nueva normalidad” laboral allana el camino para que cualquier hacker avanzado, en el lugar y momento adecuados, pueda atacar con éxito a más empresas que nunca. Mientras continúa el debate sobre el trabajo desde casa y muchas empresas ya han adoptado modelos en los que el trabajo en remoto convive con el trabajo en la oficina, la ciberseguridad y la seguridad de la información son más importantes que nunca.
La Solución de Atakama
Los empleados requieren acceso a los datos que necesitan para realizar sus tareas. Con Atakama, pueden acceder a los datos mientras permanecen protegidos en todo momento con el cifrado multifactor. Esta estrategia es la única manera de asegurar que el IAM quede separado de la seguridad de la información, protegiendo así a la empresa en caso de que un atacante comprometa el sistema o vulnere la red.
Atakama ha desarrollado un software de encriptación a nivel de archivo que funciona con una gestión de claves distribuidas. El cifrado a nivel de archivos es el futuro y la respuesta a los ataques actuales, ya que los sistemas basados en identidades federadas y raíces de confianza siguen fallando y no pueden actuar solos. El cifrado no es un problema que se resuelva con un sistema IAM, ya que a menos que los archivos se cifren por separado, cualquiera que tenga credenciales puede acceder a la red y descifrar los datos disponibles.
El elemento humano es el eslabón más débil de la red, y los empleados que trabajan desde casa corren un mayor riesgo de sufrir amenazas de ciberseguridad.
Atakama está construido con un diseño de confianza cero para datos en reposo y en tránsito que se apoya en la gestión de claves distribuidas. El sistema de Atakama proporciona un cifrado multifactor en archivos críticos sin nombres de usuario ni contraseñas. En su lugar, cada archivo está protegido con su propia y única clave de cifrado, que se distribuyen de forma automática a cada usuario que tiene acceso a los archivos encriptados y habilitados con Atakama. El sistema ofrece facilidad de acceso para aquellos que necesitan acceder a los archivos protegidos, manteniendo la seguridad, eliminando la brecha entre la seguridad y la usabilidad creando un sistema que están “sigue” a los archivos se encuentren dónde se encuentren.
Atakama funciona en tres pasos:
- Cada archivo es encriptado con su propia y única clave utilizando AES de 256 bits, un algoritmo de encriptación estándar del NIST de grado militar. A continuación, cada clave se divide en múltiples fragmentos y se distribuye a través de los dispositivos físicos de cada usuario autorizado que ejecuta Atakama (en segundo plano e invisible para el usuario final). No hay claves maestras, un servidor de claves o un almacenamiento de claves centralizado a los que un hacker pueda tener acceso.
- Cuando un usuario accede a un archivo, se ve y se siente muy parecido a una solución de multifactor, 2FA o SSO, donde recibe una notificación push en la aplicación Atakama Mobile que se ejecuta en un dispositivo, una interacción que la mayoría de la gente conoce y a la que está acostumbrado (por ejemplo, con muchas soluciones de correo personal). La experiencia para el usuario final se siente como si estuviera desbloqueando el archivo con su dispositivo y tan fácil como abrir una aplicación y pulsar un botón.
- Por último, cuando el usuario aprueba el desbloqueo del archivo en su teléfono, el dispositivo envía un fragmento de clave para ese archivo al ordenador, donde se reconstituye la clave y se descifra el archivo. Es un sistema sin fisuras, eficiente y fácil de usar. Al desligar el acceso a los archivos del IAM, Atakama ofrece una verdadera seguridad en la integridad de la información.
La potente solución de cifrado de Atakama impide el acceso no autorizado a los archivos. A menos que un atacante tenga acceso a dos dispositivos físicos (por ejemplo, teléfono y ordenador) pertenecientes al mismo usuario, no podrá acceder a los archivos cifrados y no existe la posibilidad de robar numerosos archivos a la vez durante un ataque. Estas características permiten a Atakama proporcionar una seguridad adicional cuando tantas empresas se enfrentan a la posibilidad de ataques cada vez más sofisticados.
Si te gustaría conocer cómo Atakama puede ayudar a tu empresa, puedes ponerte en contacto con MICROMOUSE.