Existen muchos temores de posibles ataques cibernéticos rusos como resultado del intento de toma de posesión de Ucrania por parte de Rusia. Quizás la mayor preocupación, y probablemente la más probable de materializarse, es que es probable que estos ataques cibernéticos se perfeccionen como represalia por los movimientos financieros de EE. UU. contra la economía rusa.

Los ataques cibernéticos no estarían diseñados para robar dinero o datos per se, sino para dañar la economía de los EE. UU. golpeando estratégicamente a los principales actores en los mercados verticales clave. En otras palabras, el gobierno ruso podría decir: “¿Está dañando nuestra economía y nuestra gente? Nosotros haremos lo mismo contigo.

Hasta el momento, no hay evidencia de un ataque a gran escala, pero podría lanzarse un ataque en cualquier momento.

Brad Smith, director ejecutivo de la firma de consultoría Edgile, dice que los líderes corporativos de TI y seguridad deben cambiar su forma de pensar durante la guerra en curso.

“Los cronogramas y la criticidad de las inversiones que las organizaciones deben hacer para defender su superficie de ataque deben cambiarse y verse desde un ángulo diferente y una perspectiva diferente”, dijo Smith.

Es demasiado tarde para invertir en seguridad sólida hasta que los ataques ya son visibles. «La amenaza ahora es existencial», dijo. “La naturaleza de aquello contra lo que estás tratando de protegerte ha cambiado fundamentalmente, por lo que tu comportamiento debe cambiar en consecuencia”.

También es clave recordar, dijo Smith, que los objetivos de los delanteros son diferentes de lo habitual. «La amenaza proviene de organizaciones que no están interesadas en tomar su información o mantener sus sistemas activos después», dijo Smith. “Simplemente están tratando de hacer el mayor daño posible para interrumpir los negocios y, por lo tanto, interrumpir la economía estadounidense”.

Esto plantea la pregunta de por qué aún no se han materializado ataques más visibles. ¿Ya han tenido lugar los ataques, plantando bombas de tiempo digitales en objetivos seleccionados para activarlas en un día/hora predeterminado o en el instante en que se emite un comando de activación? Esto tendría el resultado dramático de que todo explotara al mismo tiempo.

Varias agencias del gobierno de EE. UU. han advertido sobre ataques inminentes, pero la muy poca información que han proporcionado generalmente se reduce a: «Hacer lo que todo CISO corporativo sabe que debería haber hecho hace años».

Una de las mejores advertencias llegó el 24 de marzo de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA). Después de enumerar una variedad de sugerencias ciegamente obvias: «Establezca y haga cumplir políticas de contraseñas seguras para las cuentas». ¿En serio? ¿Quién no hubiera pensado en hacer eso? — CISA fomenta muchas más implementaciones de VLAN (especialmente para impresoras en red y dispositivos similares), así como diodos de comunicación unidireccionales.

A CISA también se le ocurre una idea general que necesitaba ser mucho más específica: «Hacer cumplir la autenticación multifactor (MFA) requiriendo a los usuarios que proporcionen dos o más datos (como nombre de usuario y contraseña más un token, por ejemplo, un tarjeta inteligente física o token de generador) para autenticarse en un sistema.

Primero, en 2022, CISA debería desalentar activamente las contraseñas. Las contraseñas corporativas deberían haber desaparecido hace años. En segundo lugar, algunos enfoques de MFA son mucho más seguros que otros. (No hablaré más sobre el peor enfoque de MFA de enviar mensajes de texto sin cifrar; no es más que una ciberseguridad terrible disfrazada de ciberseguridad decente). ¿Qué tal si fomentamos los enfoques de autenticación de las aplicaciones móviles, que son económicas y de fácil acceso?

Lo que CISA no dijo, y lo que Smith dio a entender claramente, es que los CISO y los CIO deben tomar la iniciativa y cambiar la forma en que piensan acerca de la fricción con los usuarios finales.

Hoy en día, los líderes de TI, seguridad y línea de negocios están aterrorizados de presionar a sus usuarios a través de demasiados pasos de autenticación, aunque por razones muy diferentes. Los ejecutivos de línea de negocio se preocupan por cualquier cosa que pueda ralentizar la eficiencia, mientras que los CISO se preocupan más por la frustración de los usuarios finales y la puesta en peligro de las protecciones.

Pero ahora es el momento de aumentar la rigurosidad de la autenticación y permitir que los usuarios finales aumenten su fricción. Después de todo, el objetivo del ataque no es tanto robar datos de clientes como cerrar operaciones. Piense en hospitales y plantas de energía y otros objetivos de alto valor. Estos ataques podrían fácilmente matar personas. Frente a este tipo de amenazas, ¿realmente cuentan unos minutos de incomodidad?

Dicho esto, hay un problema operativo aquí. ¿Qué pasaría si los ataques no se produjeran durante meses? O peor, ¿y si llegaran y nunca supiéramos cuándo estarían terminados? ¿Se supone que las empresas deben mantener una posición de guerra para siempre?

Esta no es una pregunta fácil de responder. Por un lado, los ciberladrones no militares seguirán existiendo y sus ataques serán cada vez más sofisticados. ¿No sugeriría eso que el pie de guerra debería ser permanente?

Además, la no fricción no significa necesariamente una autenticación débil o una ciberseguridad débil. Considere el análisis de comportamiento y la autenticación continua. No se trata tanto de una nueva seguridad como de una nueva forma de pensar sobre la seguridad. Y durante una guerra, las nuevas formas de pensar podrían ser lo que repele los ataques exitosos.

Derechos de autor © 2022 IDG Communications, Inc.

Share This