Red Team vs Blue Team: simulacros de ciberguerra por Kinomakino

Joaquín Molina Kinomakino - Security Advisor

"La guerra cibernética es muy lucrativa. Las Fuerzas de Seguridad del Estado reconocen que mueve más dinero ya el cibercrimen que el narcotráfico y que el número y profesionalidad de esos ataques es cada vez mayor", afirma nuestro Security Advisor Joaquín Molina (Kinomakino).

Estamos en guerra. Empresas y organismos públicos y privados sufren a diario sabotajes y secuestros en una contienda que se libra en el ciberespacio. Contratar en la dark web un ataque de denegación de servicio que puede sabotear, colapsar y paralizar una empresa durante 24 horas cuesta poco menos de 400 euros -que se cobran si tiene éxito-. Sus datos pueden quedar secuestrados debido a un ataque de ransomware y el rescate que le pedirán será en bitcoins, para que sea casi imposible de localizar. Los malos han cambiado su atuendo criminal de máscara o media en la cabeza por un cómodo pijama y un buen ordenador.

Esta guerra cibernética es muy lucrativa. Las Fuerzas de Seguridad del Estado reconocen que se mueve más dinero actualmente en el cibercrimen que en el narcotráfico y que el número y la profesionalidad de esos ataques es cada vez mayor. El Instituto Nacional de Ciberseguridad de España (INCIBE) cifró en 120.000 los incidentes registrados en 2017, un 140 por ciento más en solo dos años. Y todo hace indicar que se volverá a batir este negativo record en 2018.

Frente a esta realidad ciberbélica, en las empresas realmente concienciadas se está imponiendo una filosofía de entrenamiento militar, llamada Red Team vs Blue Team. Estamos hablando del mal contra el bien, del ataque contra la defensa, de simular una situación real donde el atacante (red) tiene como objetivo alcanzar la bandera objetivo: el teléfono del CEO, su agenda, sus contactos o los datos y acturas de clientes y proveedores. El defensor (blue) tiene que utilizar las herramientas de las que dispone para repeler o minimizar en la medida que pueda ese virulento ataque, que no tiene aviso previo. Antivirus, firewalls, configuraciones de seguridad, políticas de contraseñas, sistemas de defensa, incluso la ingeniería social -el poder de manipular a los humanos- son elementos que un atacante comprueba, y que un defensor debe ser capaz de manejar.

No esperen ver a Gila avisando por teléfono si está el enemigo para acordar la hora del bombardeo. Éste llegará un sábado a altas horas de la madrugada o en el momento que menos esperen. Las conclusiones de estos ejercicios muestran a las claras las vulnerabilidades de una organización y las líneas que se deben seguir para mejorar. Desde mi experiencia en el mundo de la ciberseguridad, debo indicar que hoy las empresas dedican muchos recursos a la parte red y menos de los que deberían a la parte blue. Está muy bien saber por dónde te pueden atacar, pero es mejor protegerse y estar preparado.

Pongamos un ejemplo. Una empresa sufre el robo de una cuenta de correo y un criminal se hace pasar por un proveedor. El hacker envía un email con una cadena de facturas anteriores con ese cliente, indicando que por favor haga la transferencia de cierta cantidad de una factura a un nuevo número de cuenta… y el cliente víctima ingresa el importe en esa cuenta sin sospechar. Adiós dinero. ¿Es un simulacro muy profesional?

Esto ya está pasando. Es más, no somos muchas veces conscientes de ello. Los últimos informes marcan que una compañía tarda 252 días en detectar, contener y remediar una incidencia de ciberseguridad. ¡Más de 8 meses! Pensar en el alcance de un ciberataque en ese periodo de tiempo debería hacernos temblar a todos.

Expongamos otro caso. Un hacker puede conseguir en cinco minutos, gracias a una aplicación, todos los correos electrónicos de una empresa que aparecen en una red social empresarial -el del CEO, el director financiero, el IT, …- y atacarlos para intentar acceder a ellos. Imaginaos tener acceso a esos mails, sus conversaciones, los datos de clientes, proveedores, etc. Imaginaos que podemos enviar correos desde esa cuenta a toda la organización para hacerles llegar un virus ransomware que secuestre toda la infraestructura tecnológica, exigiendo un pago por devolverles el control -y en bitcoins, para que sea prácticamente imposible localizar los pagos-. ¿Quién no abriría un email de su CEO?

Todos somos conscientes de que vivimos en un mundo hiperconectado y también hiperexpuesto. Cualquier empresa que use internet, tenga una página web, utilice correos electrónicos, y no hablemos ya de si lo utiliza para como base para su negocio (ecommerce), debe replantear su estrategia de ciberseguridad si no tiene en su agenda reforzar su empresa frente a posibles ataques, contando con profesionales del sector, internos o externos, pero capaces de monitorizar, detectar, actuar y enseñar.

Cuando hablamos de enseñar, de educar, hay que poner un especial foco tanto en la empresa como en la sociedad. Seis de cada diez ciberataques que sufre una organización proceden de los propios empleados, por esa falta de formación y concienciación. En este punto todos deberíamos hacer una importante reflexión: si nuestro sistema educativo está afrontando cómo educar a nuestros jóvenes en competencias digitales para que lideren la transformación digital que todos esperamos, no debemos olvidarnos de la ciberseguridad.

Si nuestros jóvenes de hoy no son plenamente conscientes de los riesgos que existen en el ciberespacio, crearemos una generación de millennials plenamente digitales, pero desprotegidos, tanto en el campo profesional, como en el personal.

Podemos tener la mejor seguridad perimetral y el mejor antivirus del mundo, pero si las personas que componen una organización no son nuestra primera barrera de defensa estamos perdidos. Les abriremos un pasaje de primera clase hacia lo más valioso que tenemos: nuestros datos. Y el daño potencial, a nivel económico, operativo y reputacional, puede llevarse por delante el trabajo de toda una vida.

Como conclusión, "podemos tener la mejor seguridad perimetral y el mejor antivirus, pero si las personas de la organización no son la primera barrera de defensa estamos perdidos. Abriremos un pasaje de primera clase hacia lo más valioso: nuestros datos".