En la actualidad, el riesgo de sufir un incidente de Seguridad de la Información es muy alto, además de que pueden tener un impacto crítico en las organizaciones de todos tamaños y a gobiernos de todos los países. La pregunta es, ¿se responde correctamente a los incidentes? La fuga de información confidencial resulta en ataques de suplantación de identidad, como por ejemplo, cuando a nuestro nombre se solicitan créditos otorgando documentos y datos personales confidenciales obtenidos de manera ilícita.

Los ataques relacionados con ransomware han paralizado las operaciones de sistemas de hospitales, laboratorios de investigación, universidades e infraestructura crítica. 

Los vectores de ataque utilizados generalmente incluyen exploits de vulnerabilidades explotables conocidas en aplicaciones de acceso remoto, mecanismos inseguros de autenticación, credenciales de acceso e ingeniería social mediante correos, llamadas y mensajes en redes directamente a los usuarios que se busca afectar.

En mayo del 2021 el más reciente ataque de ransomware a la empresa Colonial Pipeline afectó sus sistemas, haciendo imposible la operación de más de 8 mil kilómetros de tuberías responsables por la mitad del abastecimiento de gasolina de la costa Este de Estados Unidos de América durante varios días.

Han salido a la luz detalles de la negociación donde se detalla que la empresa pagó cerca de 5 millones de dólares para restablecer el acceso a sus sistemas, esto a pesar de tener respaldos de la información.

También se conoció que los atacantes pertenecen a un grupo llamado DarkSide y que la operación no solamente cifró la información, sino que también la extrajo previamente con la finalidad de publicarla si el pago de la extorsión no se completaba.

Es importante aclarar que la detección y análisis de incidentes de Seguridad de la Información no es fácil y depende, entre muchas otras cosas, de actividades previas al incidente, que cada organización debe realizar para estar preparados y en alerta cuando la catástrofe acecha.

A lo largo más de 12 años de experiencia realizando investigaciones digitales, he podido identificar algunos factores de éxito determinantes para la solución y recuperación de ataques cibernéticos de alto impacto que a continuación describo:

1. Análisis de impacto al negocio

La organización debe ser capaz de responder a la pregunta: ¿Cuáles son nuestros procesos críticos? y tener identificados los sistemas y personas responsables por la operación de dichos procesos.

Al realizar un análisis de impacto al negocio podemos determinar las consecuencias de que una de estas funciones o procesos críticos dejen de funcionar correctamente. 

Cuando las personas que colaboran en una organización conocen los mecanismos que la hacen rentable (el moneymaker, en otras palabras), es posible establecer una relación entre los controles de prevención, protección y recuperación de ataques cibernéticos y el valor de lo que se está protegiendo.

2. Proceso de restauración de sistemas

Las organizaciones actualmente gastan buena parte de su presupuesto de tecnología en garantizar que los respaldos de información se lleven a cabo de manera puntual, eficiente y completa, lo cual por sí solo “debería” garantizar la recuperación ante un desastre. 

Desafortunadamente, los procesos de restauración de datos no están considerados como una estrategia para la pronta respuesta a incidentes de Seguridad de la Información que habilita al negocio, sino como una especie de “archivo muerto digital” que no considera el tiempo máximo de tolerancia. 

Apoyados con la información obtenida de un análisis de impacto, podremos determinar cuánto tiempo pueden permanecer servicios sin funcionar antes de que literalmente la organización cierre sus operaciones definitivamente.

Lo más importante de este proceso no es el respaldo de información, sino que las personas responsables de la recuperación estén entrenadas y tengan procesos claros y probados, así como un tiempo de recuperación aceptado por la Alta Dirección.

Cuando una organización es vulnerada y requiere restaurar de manera inmediata servicios y activos de información, la documentación, experiencia y entrenamiento, así como la tecnología, pueden actuar en detrimento del equipo de seguridad de la organización si no se logra realizar de manera exitosa. La práctica hace al maestro.

3. Identificación de activos de información

Si bien la mayoría de las empresas cuentan con un inventario de activos, en la práctica, la identificación de sistemas y comunicaciones hacia y desde la red es complicado. 

Para comenzar con la recuperación de un incidente de Seguridad de la Información, primero este se debe contener, lo cual es imposible si no se cuenta con una arquitectura que permita acciones como limitar el tráfico de una red a otra o identificar la dirección IP real de un activo que pasa por distintos controles de navegación.

Con el cambio de hábitos laborales debido a la pandemia el trabajo remoto aumentó y la tecnología de detección de amenazas como antivirus o EDR, así como de acceso remoto y navegación segura, adquirieron un alto nivel de importancia para todas las organizaciones a nivel mundial. 

Un componente clave al que estas herramientas contribuyen es a la identificación y contención de un ataque automatizado. La probabilidad de detectar y recuperarse de un incidente de Seguridad de la Información aumenta considerablemente cuando se tienen este tipo de controles en todos los sistemas de la organización.

Las organizaciones que tienen arquitectura de seguridad que limita el acceso no autorizado a la red interna y controles que protegen de la ejecución de código malicioso logran en su mayoría evitar y contener ataques destructivos como los descritos anteriormente.

4. Doble factor de autenticación

Las credenciales de acceso son un dolor de cabeza para los equipos de administración de tecnología, los cuales deben generar, distribuir, almacenar y destruir las contraseñas de manera segura.

Las organizaciones que cuentan con mecanismos como el doble factor de autenticación habilitado para operaciones críticas o acceso remoto, incrementan su resistencia a ataques de manera significativa. Con la adopción de servicios e infraestructura en la nube, las consolas y portales de administración y sitios de correo electrónico implementan esta tecnología de manera muy sencilla y tienen gran éxito para prevenir ataques donde las credenciales de acceso fueron comprometidas.

Estas son algunas de las principales actividades dentro de las organizaciones que ayudan a recuperarse exitosamente de un incidente de Seguridad de la Información.

La investigación de dichos incidentes requiere habilidades y conocimientos relacionados con la extracción y preservación de evidencia y análisis forense digital, el cual debe ser realizado por profesionales entrenados con conocimientos y experiencia comprobable para no afectar el resultado de las investigaciones. 

En el caso de las organizaciones que tienen configuraciones en sus sistemas para garantizar que la generación y el manejo de evidencia digital apoye a la solución de los casos, el análisis forense digital determina de manera infalible el origen y actividades maliciosas realizadas.

Una investigación forense digital conducida por un consultor certificado es exitosa cuando responde las preguntas: ¿Qué fue lo que sucedió exactamente?, ¿Cuál fue el vector de ataque inicial o mecanismo de acceso y cuáles fueron los sistemas afectados?, ¿Qué controles de seguridad fallaron al prevenir el incidente de Seguridad de la Información? y más importante, ¿Cómo garantizamos que esto no vuelva a suceder?

Para salvaguardar la Seguridad de la Información, es indispensable la prevención con procesos claros y completos para elevar la resistencia a ataques cibernéticos, capacitar y certificar al personal responsable de responder a un incidente (entre las certificaciones que pueden ayudar en esta tarea se encuentra CHFI de EC-Council) y tener una cultura que fomente la detección, identificación y recuperación de operaciones.

Por David Schekaiban
Director de Seguridad de la Información de código verde