No vamos a escribir mucho más del teletrabajo, ni de cómo hay básicos que tenemos que tener en cuenta a la hora de habilitar el acceso a la oficina y los recursos en remoto. De eso ya se ha escrito muchísimo en todos los medios, con mayor o menor precisión, ya que sabemos que cuando se llega a la esfera de la opinión, todo el mundo es especialista… Como con la selección española de fútbol en cada europeo o mundial, ¿quién no es un experto seleccionador de fútbol?
Así que, obviando el primer asunto ya bastante manido, lo que veo y me preocupa es la cantidad de cosas que al poner activo el teletrabajo de modo “abrupto y disruptivo” en las compañías, nos hemos dejado atrás. La seguridad comienza con el conocimiento de ser uno mismo, de las costumbres personales, de la forma de actuar, del conocimiento que tienen de ti los compañeros de trabajo… Ese punto en el que todo hacker se enfoca a la hora de preparar un ataque dirigido, que en ese momento ni es ciber ni es nada… ese punto en el que es algo que trasciende lo digital y se plasma en la fase de investigación, similar a la de cualquier ámbito, incluso el policial.
Las primeras fases de lo que supone la seguridad han sido las más vulneradas en esta época de desenfreno. Ha empezado a dar igual quién se conectara a la oficina, mientras estuviera conectado y produjera algo. Incluso en algunos casos, ese último aspecto no era tampoco el objetivo final. Eso sí, por favor, ¡conectados todos!
Pues bien, mi hijo podría haberse conectado a mi trabajo, yo a su clase online, incluso habernos conectado al trabajo de nuestro entrañable vecino y al inicio nadie se hubiera dado cuenta… ¿durante cuánto tiempo?, eso no importa, al ciberdelincuente le vale con unos segundos.
Sin darnos cuenta, ni importarnos, los controles –que ya casi no apreciamos por lo obvios que son– se eliminaron de nuestro sistema. Pensemos un poco: Yo cuando voy a la oficina, lo primero que hago de manera inconsciente al entrar al parking es ver los coches de los compañeros que están en la oficina. Después entro y saludo a mi compañera de recepción, que obviamente me saluda y que sabe de manera inconsciente que me puede pasar llamadas, que me puede consultar algo, etc. encima, me conoce, y me pregunta si me pasa algo, si no me ve bien… es más, si no soy alguien de la compañía, seguro que ni me deja pasar o da la voz de alarma, aunque mi tarjeta de fichaje o código o cualquier técnica digital diga que soy quien no soy.
No quiero contar más sobre correlaciones de todas estas cosas que se llaman puntos o datos de valor y que consiguen “inferir” si mi comportamiento es habitual, esas correlaciones se hacen en fases muy tempranas fuera del ámbito digital de manera diaria, de manera rutinaria sin que además nos demos cuenta, y fuera de la gestión de IT y de las manos de cualquier responsable en seguridad. Con lo que esa información y control perimetral que hemos perdido, deberíamos de poder implementarla en modo digital si queremos seguir con nuestro nivel de seguridad IT… ese perímetro de seguridad IT que se fue a la nube en un momento dado de este decenio se ha vuelto a colapsar porque hay esta otra capa “no valorada e invisible” de seguridad perimetral que muchos dábamos por hecho pero que no se había inventariado.
Pero, sacándolo a la luz y reflexionando un poco, como estamos haciendo en este artículo, estamos en disposición de hacer mucho con las capacidades tecnológicas actuales. Para ello, existe la cibervigilancia, transferible a cualquier superficie de ataque y, como no, también usuario.
Tirar de conocimiento de usuario, comportamientos habituales, patrones seguidos, información profunda de usuario, todo esto confiere capacidades similares, si no las mismas, que eran invisibles. Eso sí, lo que no es invisible es el coste que tenemos encima de la mesa para cubrirlo. La IA se ha convertido en un aliado en este sentido y el trabajo de muchas compañías de ciberinteligencia así lo contrastan. Tendencias como el UEBA.
Si ya las estadísticas publicadas por Verizon Data Breach Investigations Report en 2017 nos ofrecían datos como que el 69% de las organizaciones reportan incidentes de intento de robo de datos, por amenazas internas, el 81% de las infracciones involucran credenciales robadas o débiles, el 91% de las empresas reportan programas inadecuados de detección de amenazas internas… ¿qué vamos a encontrar en este periodo de “incertidumbre” y actividad ciberdelictiva que supone la pandemia?
Desde esta perspectiva de la monitorización y el control del comportamiento de los usuarios, existe tecnología que hace que los sistemas aprendan ¿a dónde se conectan de manera normal los usuarios?, ¿a qué aplicaciones?, ¿desde qué dispositivos?, ¿a qué servicios?, ¿con qué credenciales? Y lo hace con un aprendizaje automático. Se introduce el concepto de “machine learning” para realizar análisis estadísticos y detectar cuándo hay una desviación en los patrones establecidos, lo que muestra cuando esas anomalías podrían inferir una amenaza real.
Pero hay que tener claro que las herramientas que implementan UEBA no pretenden reemplazar los sistemas de control y monitorización, sino los complementan, les añaden visión para mejorar la postura de seguridad general de las organizaciones.
En conclusión, lo importante para las compañías es adoptar un enfoque proactivo de la seguridad, en lugar de posicionarse como reactivos sobre impactos, y así sustentar esa pieza importante que es el acceso del usuario con una mayor visibilidad del comportamiento de los mismos.
Alhambra IT
Area Manager - Cybersecurity
