El número de ciberataques aumenta anualmente en un promedio del 10%, mientras que cambian los objetivos y las metas de los ciberdelincuentes.
Cybersecurity Ventures señala que el número de ciberataques ha estado aumentando constantemente en los últimos años. Y se espera que la estadística incremente anualmente en promedio en un 10%.
Tabla de Contenido
Un Cambio de Objetivo
Al mismo tiempo, cambian los objetivos y las metas de los ciberdelincuentes. Por ejemplo, si hace unos años la mayoría de los ataques se realizaban con el objetivo de robar dinero, ahora predominan aquellos en los que se roba información específica. O, por ejemplo, la proporción entre el número de ataques masivos y los dirigidos también ha cambiado significativamente a favor de estos últimos. Esto significa que la mayoría de los ataques están bien organizados, planificados cuidadosamente y dirigidos a una empresa o industria específica. En otras palabras, los hackers se han vuelto más competentes y los ataques más sofisticados.
Ante esta situación, ¿qué hace el negocio? Hoy en día, las empresas están aumentando sus inversiones en ciberseguridad y esto no es sorprendente. Recordemos que, en primer lugar, la actividad hacker está en aumento. En segundo lugar, es cada vez más difícil enfrentarse a ella. Y, en tercer lugar, el daño en caso de que se materialicen los ciberataques es enorme.
Pero, ¿cuál es el precio de estos ciberataques? ExpressVPN acaba de describir el panorama general para el 2024. Las cifras, como verás, son impresionantes. Sin embargo, hay otra pregunta: “¿Qué peligros específicos representa un ciberataque para tu empresa?”.
Durante décadas, los expertos en seguridad han buscado evaluar mejor el daño de los ciberataques. Se han desarrollado escenarios de auditorías y metodologías para evaluar riesgos, y se realizan análisis de seguridad y pruebas de penetración. Las empresas también se enfocan en la capacitación y evaluación del personal para mejorar la seguridad, pero aún queda por evaluar la efectividad en la gestión de riesgos.
Pentesting, el Punto de Partida
Durante una prueba de penetración (pentest), se evalúan el sistema, las configuraciones de seguridad, dispositivos de red y servicios de soporte. Sin embargo, estas pruebas están limitadas por los recursos que se pueden atacar y los escenarios de comportamiento de los atacantes, lo que no permite afectar la infraestructura real. Si bien los expertos demuestran las capacidades de los delincuentes, generalmente se prohíbe llevar el ataque hasta su conclusión lógica para evitar daños significativos.
Esto condiciona la materialización del riesgo cibernético, dejando incertidumbres sobre la efectividad de los mecanismos de defensa y los privilegios de acceso de los atacantes en situaciones reales. Por ejemplo, si durante una prueba de penetración se accede al control de un horno en una planta de acero, se considera una amenaza real, aunque no se permitiría demostrar la detención completa del horno debido a posibles daños.
En la realidad, el propietario de esa planta hipotética de acero no está seguro de si realmente es posible detener el proceso de producción en un ataque real. ¿Y si al atacante no le alcanzan los privilegios? ¿O sí le alcanzan? Estas incertidumbres muestran la necesidad de pruebas más exhaustivas y realistas para evaluar la efectividad de las medidas de seguridad y la capacidad de respuesta ante amenazas cibernéticas.
Adversary Emulation o Cybertraining
El Adversary Emulation o cybertraining es una herramienta clave para obtener una imagen más clara: se trata de ataques controlados diseñados para evaluar y mejorar las habilidades del equipo de seguridad informática en la detección y respuesta a amenazas cibernéticas.
Es como un “gimnasio cibernético” (“cybertraining”) que se lleva a cabo en un entorno seguro. Los conocimientos adquiridos permiten aprender a identificar y detener a los verdaderos delincuentes en las etapas iniciales del ataque o incluso durante la fase de preparación.
Los escenarios de este tipo de entrenamiento pueden ser totalmente automatizados o involucrar a un equipo de atacantes (Red Team) compuesto por expertos en seguridad informática. El Red Team simula las acciones de un verdadero atacante, acercando así el cybertraining a la realidad.
Esta idea no es nueva y se alinea con las tendencias globales: existen entrenamientos a gran escala como Locked Shields de CCDCOE, en el que participan más de 1200 expertos en seguridad informática, o Cyber Defense Exercise de la Agencia de Seguridad Nacional de los EE. UU., que se realiza desde 2001.
En la vida real, los ciberataques no son tan predecibles: los delincuentes encuentran nuevas vulnerabilidades, utilizan malware que no es detectado por los antivirus y emplean otros enfoques inesperados.
El Cyber Range o Ciberpolígono (Cyber Polygons)
Quizás la mejor solución para este problema sea realizar ciberentrenamientos involucrando múltiples equipos que simulan ataques a la versión digital de la organización, una especie de “gemelo digital” que refleje la infraestructura real de la empresa.
El desarrollo de estos gemelos digitales se originó en la esfera industrial, donde se utilizan para simular diversas situaciones y evaluar la efectividad de las medidas de seguridad. Sin embargo, la creación de estos entornos, llamados ciberpolígonos o Cyber ranges, es una tarea compleja y costosa, principalmente llevada a cabo a nivel estatal o por grandes empresas.
La característica distintiva de este Cyber range es su carácter público y abierto: durante casi una semana, cualquier persona interesada en temas de ciberseguridad puede observar en línea los ciberentrenamientos en los que participan varias decenas de equipos de ataque y defensa, actuando en interés de empresas que están probando su tecnología, procesos comerciales y expertos en seguridad.
Palabras Finales
Los ciberpolígonos combinan todas las ventajas de la tecnología de gemelos digitales y ciberentrenamientos. Su uso suele ser más apropiado para empresas grandes que enfrentan riesgos cibernéticos significativos que podrían causar un gran daño.
El ciberpolígono es adecuado para aquellos que tienen una madurez avanzada en seguridad informática y buscan una seguridad práctica, transparente, efectiva y fundamentada. Cada organización tiene su propia infraestructura única, procesos y riesgos comerciales. Para verificar correctamente los riesgos y las consecuencias de su materialización, es necesario tener en cuenta esta singularidad.
Finalmente, las empresas pueden calcular de manera transparente el monto del daño virtual causado durante los ciberentrenamientos en la versión digital de su infraestructura, lo cual ahora se puede evitar.
