El pasado jueves 29 de septiembre se dio a conocer la noticia del hackeo al sistema de cómputo de la Secretaría de la Defensa Nacional (Sedena) por parte del grupo internacional de hackers “Guacamaya”; mismo que fue confirmado al día siguiente, durante la denominada “mañanera”, por el presidente Andrés Manuel López Obrador.
En este sentido, se habla de la extracción de 6 terabytes de información confidencial, recopilada a lo largo de los últimos 10 años, exhibiendo a detalle las actividades operativas y de inteligencia de la institución como partes militares, tarjetas confidenciales, fotos, videos, redes de vínculos y contactos, bases de datos, archivos, conversaciones, contratos y planes.
Información sobre narcotraficantes, nombres y apellidos de los soldados que participan en operativos de alto impacto, y el número de militares desplegados en cada lugar y en cada misión, también es parte de la información que supuestamente se encuentra expuesta en la red.
“Cualquier ataque exitoso contra el gobierno conlleva el riesgo de la seguridad nacional, particularmente cuando es un ministerio de defensa el que ha sido atacado. La exfiltración y exposición de datos de defensa puede poner en riesgo los sistemas de seguridad nacional y puede exponer información personal sensible. Es imposible saber a corto plazo cuáles serán las consecuencias a largo plazo de esta brecha de datos. Como en cualquier brecha, dependerá de la naturaleza de los datos que se hayan visto comprometidos”, explicó en entrevista con Reseller, Omar Alcalá, director de ciberseguridad para Tenable América Latina y el Caribe.
Información que circula en la red maneja una posible vulnerabilidad como resultado de una evolución de “ProxyShell”, una flaqueza del servidor Microsoft Exchange. Sin embargo, no se ha dado a conocer información a detalle pues, de acuerdo con Jesús Ugalde, ingeniero de Preventa en Licencias OnLine México, obtener un veredicto oficial de la raíz causa de los incidentes no es tan inmediato.
¿Qué sigue después del ataque?
No obstante, los pasos a seguir después del ataque son vitales para las víctimas. Desde la óptica del especialista de LOL, después de la vulneración, como en cualquier ataque cibernético o incidente de seguridad informática, ya sea de organizaciones gubernamentales o empresas privadas, se debe de definir un plan de acción y de recuperación de incidentes.
“Basándonos en las mejores practicas, los puntos que se deben de considerar son: Prevención, Detección, Recuperación y Respuesta”, precisó Ugalde.
En complemento, el especialista de Tenable señaló que cuando se identifica una brecha y se declara un incidente de seguridad, la situación es siempre intensa y de ritmo rápido, ya que todos los implicados se apresuran a tratar de resolver el problema y mitigar los daños que se producen.
“Puede ser similar a un estado de pánico, pero con cierta estructura en el proceso dada por los manuales de respuesta a incidentes de seguridad formales”.
En este sentido, la respuesta a los incidentes suele centrarse en la identificación de la amenaza, el aislamiento del problema para evitar más daños y, a continuación, la eliminación completa de la amenaza para que pueda producirse un proceso de restauración de los sistemas, aplicaciones, datos o procesos empresariales comprometidos.
“A continuación, todos los esfuerzos se centran en proteger y restaurar los sistemas afectados por una violación de datos; el enfoque suele ser muy técnico y está diseñado para que las tecnologías vuelvan a funcionar en un estado normal con el fin de apoyar las funciones organizacionales normales”, manifestó Alcalá.
Gobierno, en la mira de los hackers
De acuerdo con Tenable, el sector gubernamental fue el más atacado en América Latina en 2021, con el 26% de las violaciones reveladas públicamente, según su informe Retrospectiva del Paisaje de Amenazas 2021.
“La dependencia generalizada de sistemas digitales cada vez más complejos y los métodos de ataque más agresivos están dando lugar a crecientes ciberamenazas que superan la capacidad de las sociedades para prevenirlas y gestionarlas eficazmente. En 2021, hubo un aumento del 19,6% de las vulnerabilidades y exposiciones comunes (CVEs) reportadas, un aumento del 241% con respecto a 2016”, precisó Alcalá.
Cómo abordar la ciberseguridad de mi empresa
Sin embrago, esto no quiere decir que la iniciativa privada está exenta de este tipo de riesgos. Por lo que lo peor que pueden hacer las organizaciones es pensar “a mí no me va a pasar” y la mejor forma de defenderse es estar preparados, por lo que el entrevistado dijo ser momento de que las organizaciones replanteen cómo están abordando su ciberseguridad.
“Todos los gobiernos y organizaciones necesitan una visibilidad unificada de su superficie de ataque para poder medir su riesgo cibernético con el fin de anticipar las consecuencias de un ciberataque y concentrarse en su prevención. Adicionalmente la práctica de una ciber-higiene básica tiene la capacidad de reducir drásticamente el nivel de riesgo cibernético”, aclaró el especialista de Tenable.
El especialista de LOL detalló que, a medida que los atacantes intentan explotar de forma agresiva las debilidades de ciberseguridad de las corporaciones, los equipos de ciberseguridad se enfrentan a retos cada vez mayores entre los que incluyen una visibilidad limitada de la superficie de ataque, limitaciones de recursos humanos y tecnológicos.
“Esta nueva realidad requiere que transformemos nuestro programa de protección hacia una estrategia de gestión de exposición mucho más amplia, proporcionar una plataforma de gestión de exposición que converja de diferentes puntos, una visibilidad completa de toda la infraestructura para poder generar un análisis de priorización de riesgos, y así, poder predecir o anticipar las consecuencias de un ataque cibernético, sumado a un análisis verticalizado y alineado ante de las necesidades de negocio las diferentes organizaciones con KPIs claros ,evaluaciones a nivel riesgo cibernético continuos”, precisó Ugalde.
Más prevención y menos reacción
Si bien, ningún ataque es igual a otro, ya que la información revelada y la manera en la que afecta a cada organización dependerá de ella misma, su industria y el tipo de información. De esta manera, ante el entorno de amenazas que vivimos, es indispensable que cada gobierno y organización tengan una visión adecuada de su riesgo cibernético.
Escenario ante el cual, los programas de seguridad actuales son reactivos cuando deberían ser proactivos. No obstante, actualmente la mayoría de las soluciones de seguridad se basan en eventos puntuales, lo que deja a los equipos de seguridad en un estado constante de combate, en lugar de identificar y reducir el riesgo.
“Cuando los cibercriminales evalúan la superficie de ataque de una empresa, no piensan en términos de silos organizativos. Buscan la combinación adecuada de vulnerabilidades, desconfiguraciones y privilegios de identidad. Las organizaciones tampoco deberían operar en silos cuando se trata de ciberseguridad, sino que deberían considerar toda la superficie de ataque en una visión unificada. Finalmente, se debe considerar una postura de preparación ante la materialización de un ataque, la llamada respuesta a incidente, que nos permita estar preparados cuando las defensas preventivas no sean suficientes”, concluyó Alcalá.