Ciberseguridad: el enemigo en casa

Hace tiempo que la seguridad corporativa se enfrenta a un cambio de paradigma. Hasta hace algunos años, las empresas tenían un perímetro bien definido que debían proteger. Y dentro del mismo, todo quedaba protegido.

Pero ahora, con el teletrabajo, la nube y el acceso distribuido esa muralla ha saltado por los aires. El enemigo está en casa. O podría estarlo.

Los empleados tienen acceso a los recursos corporativos a distancia. Y si puede acceder un trabajador, cualquiera con sus credenciales también puede hacerlo.

Ya no tienen que forzar su entrada. Sólo tienen que valerse de alguna artimaña para robar dichas credenciales y acceder como si fueran usuarios legítimos. Así pues, lo que antes se consideraba un ataque externo ahora, puede originarse desde dentro.

“Históricamente, un insider se refería a alguien físicamente dentro de la empresa, como un empleado o un contratista con acceso físico a las oficinas. Sin embargo, los usuarios ahora están en todas partes, los datos a menudo residen en la nube y el perímetro tradicional se ha disuelto. Cualquiera que obtenga acceso a este entorno de confianza es, por definición, un insider”, afirma Tony Fergusson, CISO en Residencia de la empresa de seguridad en la nube Zscaler.

De este modo, si un dispositivo es comprometido con malware y acceso de comando y control, el atacante obtiene automáticamente los mismos privilegios que un insider legítimo. “Los ciberdelincuentes ya no necesitan hackear la entrada en las empresas, simplemente inician sesión”, apunta.

El reto de descubrir al enemigo en casa

El experto de Zscaler advierte que detectar a los ciberdelincuentes que se infiltran en los sistemas corporativos supone un reto cada vez más complicado, ya que los ciberdelincuentes han perfeccionado sus métodos para comprometer identidades o dispositivos. Y una vez dentro, sus movimientos imitan a la perfección los de un empleado autorizado.

“Cuanto más cerca están estos adversarios de los sistemas críticos y los datos sensibles, más difícil se vuelve para las medidas de seguridad tradicionales diferenciarlos de empleados genuinos o administradores del sistema”, explica.

Este enfoque silencioso es conocido como “vivir de la tierra” (LOTL, por sus siglas en inglés). Esto permite que los atacantes usen herramientas, credenciales y procesos ya presentes para evitar señales de alerta.

Del zero trust al negative trust

Esta capacidad de los ciberdelincuentes para pasar desapercibidos hace que la monitorización continua y el análisis del comportamiento sean más importantes que nunca.

Por eso, la compañía de ciberseguridad destaca la importancia de centrarse en el comportamiento de los usuarios, no sólo en la identidad, con el fin de frenar amenazas internas antes de que escalen.

Así pues, es esencial contar con una estrategia zero trust, como ya hemos contado en alguna ocasión. Pero Fergusson defiende que debe complementarse con un enfoque negative trust, para evitar la posibilidad de que el enemigo se cuele en casa.

El experto explica que esta estrategia se basa en la imprevisibilidad y el engaño controlado. “La previsibilidad es un riesgo que muchas empresas pasan por alto. Al hacer los sistemas impredecibles, se dificulta el avance de los atacantes y se facilita su detección”, aclara.

Asimismo, la compañía de seguridad en la nube advierte que las empresas deben mejorar significativamente su desempeño en la detección de comportamientos maliciosos.

Y más aún ahora, que los adversarios están dispuestos a pagar a empleados para filtrar datos o simplemente entregar cookies de autenticación.

“En una era donde el acceso es el nuevo perímetro, el comportamiento es la única señal verdadera de confianza”, sentencia Fergusson.