Deepak Daswani, hacker ético, conferencista y autor de los libros “La amenaza hacker” y “Hackea tu mente: estrategias de crecimiento personal a partir de la filosofía hacker”, en una entrevista con IT ahora, habló sobre las amenazas y tendencias de ciberseguridad más relevantes para las empresas y seguridad en la migración a la nube.
Señaló que los ataques de ransomware son cada vez más sofisticados. Estos no solo cifran la información de las empresas y exigen un rescate económico, sino que también extorsionan a las compañías con la amenaza de publicar información sensible recopilada. Los ciberdelincuentes suelen pasar mucho tiempo infiltrándose en los sistemas, estudiando su estructura y recolectando datos valiosos. De esta manera, las empresas enfrentan la doble amenaza de perder el acceso a sus datos y de ver expuesta su información confidencial públicamente.
Otra amenaza frecuente es el fraude cibernético conocido como BEC (Business Email Compromise). Este ataque se dirige a empresas y organizaciones, donde los atacantes se hacen pasar por altos ejecutivos o empleados de confianza para engañar a otros dentro de la organización y obtener transferencias de dinero, información sensible o comprometer sistemas de seguridad. Los atacantes de BEC utilizan métodos sofisticados para infiltrarse inicialmente en los sistemas de correo electrónico. Una vez dentro, monitorean las comunicaciones durante un tiempo prolongado para entender las rutinas y procedimientos internos, utilizando contactos y correos electrónicos legítimos para cometer fraudes aprovechando la confianza y la apariencia de autenticidad.
En cuanto a las tendencias en ciberseguridad, Daswani mencionó que la nube está redefiniendo la manera en que las organizaciones protegen sus activos digitales, y destacó el uso de nuevos paradigmas como Zero Trust y SASE. Sobre los presupuestos de ciberseguridad para estrategias de migración a la nube, señaló que aunque las estimaciones de los fabricantes pueden servir como referencia, no es posible determinar con precisión los presupuestos adecuados, ya que estos varían en función de las necesidades y el tamaño de las organizaciones.
Enfatizó que, durante muchos años, los comités ejecutivos no han valorado suficientemente la importancia de invertir en seguridad, subestimando a menudo el presupuesto necesario para el despliegue y migración hacia una infraestructura segura. Para mejorar el entendimiento y las asignaciones presupuestarias en seguridad, los CISO y responsables de ciberseguridad han llevado a cabo sesiones de hacking ético, demostrando en tiempo real las vulnerabilidades para sensibilizar a los ejecutivos sobre la necesidad de aumentar el presupuesto destinado a seguridad. Sin embargo, en muchos casos, la urgencia de resolver problemas de seguridad solo se percibe después de que la organización ha sido víctima de un incidente.
Daswani indicó que la verdadera dificultad radica en tener un conocimiento profundo sobre la infraestructura de la organización, identificar las necesidades, localizar los servicios críticos y determinar qué se puede migrar a la nube. Identificar los entornos ideales, decidir cuándo realizar inversiones y despliegues necesarios y cuándo mantener la infraestructura existente requiere contar con el conocimiento adecuado y buscar la ayuda de expertos. La ciberseguridad abarca múltiples dominios que requieren la colaboración de profesionales especializados en arquitectura de seguridad, despliegue en la nube, transformación digital, entre otros. Todo este conocimiento no puede concentrarse en un solo profesional, sino que necesita un enfoque multidisciplinario.
Señaló que uno de los errores más comunes en entornos de nube es adoptar soluciones solo porque están de moda o sin un análisis técnico previo. Es esencial que cualquier migración a la nube sea auditada y verificada para asegurar que tiene niveles confiables de seguridad.
Y mencionó algunas prácticas de seguridad para una infraestructura resiliente
- Auditorías de seguridad periódicas, incluyendo hacking ético y compliance de la infraestructura existente.
- Monitorización del tráfico, recursos y activos tecnológicos.
- Clasificación de los activos según la criticidad.
- Plan de respuesta a incidentes adecuado al tamaño de la organización.
- Conocimiento para enfrentar incidentes: a quién llamar y dónde está la información sensible.
- Recuperación rápida de la operatividad de los servicios críticos.
- Concienciación en ciberseguridad del personal.
- Capacitación y demostraciones prácticas.
- Campañas de phishing para testear la seguridad.
- Políticas de seguridad.