A medida que crecen las ciberamenazas, las organizaciones necesitan conocer el alcance de su exposición a la ciberdelincuencia y la calidad de sus defensas. Probar los controles de seguridad puede tener un papel crucial en la obtención de este conocimiento.
Nuestra encuesta 2022 Executive Risk Survey en Aon a líderes de la alta dirección y otras personas de altos cargos en EE.UU., el Reino Unido y Europa reveló que el 40% de las personas encuestadas, afirmaron que sus organizaciones dedicaban una gran cantidad de tiempo a hacer frente a la amenaza de los ciberataques.
El nivel de preocupación de los ejecutivos y ejecutivas no es sorprendente: según el Centro de Denuncias de Delitos en Internet (IC3) del FBI, la agencia recibió un número récord de denuncias en 2021. Las pérdidas totales superaron los 6.900 millones de dólares, y los ataques al correo electrónico corporativo representaron la mayor parte de estos.
Las pruebas de ciberseguridad identifican los puntos en los que una organización puede ser vulnerable a los ataques online, lo que le permite dirigir sus defensas adecuadamente. Estas pruebas son algo más que un ejercicio técnico. También implican comprender la naturaleza humana.
«En el ámbito de la ciberseguridad, los equipos de pruebas hacen algo más que sentarse detrás de un teclado», declara Erin Whitmore, Director of Thought Leadership de Aon Cyber Solutions. «Tienen que examinar exhaustivamente a un cliente, su red y cómo los ciberdelicuentes van a atacarla. Las personas encargadas de estas pruebas son una especie rara dentro de la ciberseguridad: son como los James Bond del mundo de la ciberseguridad.»
En profundidad
Entre quienes realizan pruebas de ciberseguridad, los «red teams», es decir, grupos que desempeñan el papel de ciberatacantes sofisticados para ayudar a detectar vulnerabilidades, ocupan un nicho distintivo y valioso.
«En cualquier otro contexto, lo que hacen sería ilegal», afirma Whitmore. «A veces, en estas evaluaciones, entran físicamente en los espacios para comprobar la seguridad. Se les podría contratar como ‘nuevos empleados’ para ver lo rápido que pueden comprometer la red desde dentro.»
Los “red teams” consideran todo tipo de manipulaciones para identificar las vulnerabilidades del sistema, al igual que harían los ciberdelincuentes reales.
Probar la ciberseguridad
Las pruebas de ciberseguridad pueden incluir varios elementos, como las evaluaciones de “red team” y de ingeniería social. En ciberseguridad, la ingeniería social implica probar la resiliencia cibernética de una organización intentando explotar una serie de vectores de ataque diferentes, incluido el propio personal de la organización.
«Cuando realizamos pruebas de ingeniería social, no sólo evaluamos cuántos usuarios y usuarias hacen clic en un enlace e introducen sus credenciales, sino que también hacemos un análisis de contraseñas en el que las examinamos y le decimos al cliente hasta qué punto son seguras», explica Miranda Skar, Senior Security Testing Consultant de Aon. Establecer requisitos más estrictos para las contraseñas e identificar las que ya han sido comprometidas podría ayudar a las organizaciones a reducir el riesgo de éxito de los ataques de ingeniería social o de «credential stuffing» (reutilización de credenciales robadas).
El mantenimiento de la ciberseguridad también puede incluir la comprobación del hardware de una organización y sus conexiones con los dispositivos del Internet de las Cosas (IoT). Este tipo de prueba de seguridad busca vulnerabilidades en el código informático, el hardware no reforzado o las tecnologías de IoT de la organización.
Un proceso en constante evolución
Actualmente, lanzar un ciberataque es más fácil que nunca. Por otro lado, la naturaleza de las pruebas de ciberseguridad ha evolucionado a la par que las aplicaciones web, junto a la creciente digitalización de las empresas.
Faisal Tameesh, Technical Director de Aon Cyber Solutions, explica que desde el auge de la Web 2.0 (sitios web y aplicaciones que incorporan contenidos generados por los usuarios) las pruebas de aplicaciones web se han convertido en el tipo de prueba predominante.
Los tipos de ciberamenazas también evolucionan, y los encargados de las pruebas de ciberseguridad tienen que mantenerse al día.
«Siempre es el juego del gato y el ratón», señala Tameesh. «Cuando las empresas idean formas de detener determinados ataques, los agentes maliciosos idean nuevas formas de atacar. Sucede a un ritmo acelerado porque elementos como el ransomware se han convertido en algo casi comercializado. Así que, como hacker ofensivo, realmente tienes que dedicar tiempo a investigar.»
Abordar el factor humano
Dado que un porcentaje tan elevado de ciberataques se basa en la ingeniería social, como las estafas de phishing, las personas encargadas de las pruebas de ciberseguridad, deben tener en cuenta el comportamiento humano.
«En muchas de las evaluaciones de ingeniería social, en realidad ponemos a prueba a los empleados», indica Skar. «Está garantizado que si tienes 100 empleados, alguien va a hacer clic en un enlace dañino si el correo electrónico burla los controles técnicos.»
Por tanto, se requiere una combinación de formación y controles técnicos para ayudar a reducir el riesgo de ciberamenazas.
«Hay que configurar los controles técnicos para impedir que esos correos dañinos lleguen a su destino», aconseja Skar. «Y debes formar a tus empleados para asegurarte de que saben cómo gestionar adecuadamente los correos que sí llegan.»
Las ventajas de las pruebas exhaustivas
La intervención de un “red team” puede ser la herramienta más completa del arsenal de ciberseguridad de una empresa. «Una empresa que opte por este tipo de pruebas recibirá la evaluación más asertiva de la situación de su ciberseguridad», afirma Whitmore. En sus intentos por sobrepasar todos los aspectos de la seguridad de una organización, estos equipos pueden ayudar a proteger el acceso a las redes y los datos de los empleados.
«Para una persona común, un hacker es alguien que está en una habitación oscura y lleva una sudadera con capucha», señala Whitmore. «Pero los “red team” son mucho más que eso.»
El riesgo de Ciberataques / violación de datos está considerado en el Nº1 dentro de los riesgos que más preocupan a las empresas. Accede a nuestra Encuesta Global de Gestión de Riesgos 2021 > Encuesta Global de Gestión de Riesgos 2021 de Aon