El robo de identidades es una amenaza creciente dentro del actual entorno digital. Los ciberdelincuentes se han dado cuenta de que resulta más eficaz, rápido y barato robar credenciales e iniciar sesión con ellas que intentar piratear controles técnicos.
Para un atacante, ahora es demasiado fácil convertir esa identidad comprometida en un incidente de ransomware o de filtración de datos. Al tener los detalles de acceso de un solo empleado, se pueden mover lateralmente, robando más credenciales, escalando privilegios, comprometiendo servidores o endpoints, y descargando a su vez datos sensibles de la organización.
Las identidades privilegiadas serían como las llaves del reino, las cuales explotarían los atacantes para robar las joyas de la corona. Por desgracia, la mayoría de las organizaciones no son conscientes de este riesgo, dada la naturaleza difícilmente detectable de estos ataques.
Los equipos de seguridad deben considerar las herramientas de detección a su disposición para localizar usuarios comprometidos, así como cualquier movimiento lateral en los entornos de la organización, antes de que se produzcan daños demasiado graves.
El correo electrónico, un punto de entrada clave
Los ciberdelincuentes saben que hay personas con acceso a datos importantes de una organización, y que se puede engañar a muchas de estas con relativa facilidad para que hagan una acción que ponga en peligro la seguridad de la empresa. La mayoría de ataques comienza con un simple email.
Los ataques por correo electrónico siguen dominando el panorama de amenazas en todo el mundo y, por supuesto, también en España. Según el informe State of the Phish de 2023, elaborado por Proofpoint, entre las organizaciones españolas que experimentaron un intento de ataque de phishing en 2022, un 90% fue infectado finalmente. De estos ataques, un 41% registró robo de credenciales o compromiso de cuentas, dando a los atacantes acceso a datos confidenciales.
Muchos de los ataques en la actualidad se basan en estas identidades comprometidas, incluido el ransomware. Los datos de Proofpoint muestran que el 89% de las organizaciones en España experimentó un intento de ataque de ransomware basado en correo electrónico el año pasado, de los cuales un 72% sufrió una infección exitosa. Además, el 65% de empresas españolas participantes en el estudio de Proofpoint declaró haber sufrido pérdida de datos como consecuencia de la acción de una persona con acceso a información privilegiada.
Queda claro, por tanto, que la seguridad del correo electrónico es fundamental. Mediante una combinación técnica de reglas para el gateway de email, análisis avanzado de amenazas, autenticación del email y visibilidad de las aplicaciones cloud, las organizaciones pueden bloquear la mayoría de ataques dirigidos antes de que lleguen a los empleados.
Sin embargo, se debe considerar toda la cadena de ataque para una estrategia eficaz de protección, que abarque las amenazas a las que se enfrentan continuamente los empleados y sus identidades.
Romper la cadena de ataque
Mientras tanto, los atacantes van a seguir recurriendo al mismo método: dirigirse a empleados por correo electrónico en un intento de afianzarse dentro de la organización objetivo y moverse lateralmente para hacer tanto daño como sea posible. Dependen de esta técnica porque, sencillamente, funciona y así será a menos que las organizaciones se planteen cómo romper los eslabones de la cadena de ataque.
En cuanto a las oportunidades que tienen las organizaciones para ello, un primer paso sería detener el compromiso inicial. Aquí es donde una sólida estrategia de seguridad del correo electrónico es crucial. Desde ataques de Business Email Compromise (BEC), toma de control de cuentas cloud o ciberdelincuentes que utilizan terceros o proveedores de confianza para comprometer a la organización, un solo correo electrónico puede provocar un compromiso. A partir de ahí, el ciberdelincuente puede tener acceso a un dominio, así como a las cuentas de correo electrónico, y tener la capacidad de cometer un fraude.
Lo preocupante de todo es que las cuentas comprometidas pueden pasar a menudo desapercibidas, sin dejar indicadores de compromiso o pruebas de malware. Pese a la aparición de soluciones de gestión de cuentas privilegiadas (PAM) y autenticación multifactor (MFA), estos ataques siguen aumentando. En caso de no detectarse, las organizaciones se enfrentan a un problema aún mayor, como son la escalada de privilegios y el movimiento lateral dentro de las redes.
Para combatir esto, las organizaciones necesitan tecnología que identifique y dé respuesta a los usuarios comprometidos, además de eliminar lo que los atacantes necesitan para completar su crimen: el acceso a cuentas privilegiadas. Un enfoque único de detección y respuesta a amenazas de identidad (ITDR) ayudará a remediar los riesgos de identidad privilegiada y a comprender las posibles ramificaciones del compromiso, como el acceso a datos críticos y a la propiedad intelectual. A través de estos sólidos controles técnicos, las organizaciones pueden evitar usurpaciones de identidad y compromisos iniciales. No obstante, como ocurre con todas las amenazas, es importante seguir una estrategia que combine personas, procesos y tecnología.
La seguridad es una responsabilidad compartida. Hay que capacitar a las personas, en todos los niveles de una organización, para que comprendan la seguridad y los comportamientos de riesgo que pueden conducir a infracciones. Los programas de formación y concienciación son esenciales, pero no existe un modelo único. Es necesario asegurarse de que este programa se desarrolla desde la perspectiva del usuario, y que sea relevante tanto para su trabajo como para su vida personal.
En España, según Proofpoint, el 66% de las organizaciones forma a sus empleados en asuntos de seguridad que tienen que ver explícitamente con su organización, pero solo un 46% de estas empresas incluye en este programa de formación a todos sus empleados.
Más del 99% de las ciberamenazas requiere una interacción humana para tener éxito. Las personas, al ser tan vitales para un ataque, tienen que formar parte de la defensa. Los ciberdelincuentes se pasan día y noche intentando penetrar en las redes, los sistemas y los datos de una organización. Lo menos que podemos hacer es ponérselo difícil para que trabajen un poco más.
Por Emiliano Massa, vicepresidente de área en Proofpoint para la región del sur de Europa