¿Qué significa vivir un incidente de seguridad?

No es una novedad que el panorama de amenazas ha cambiado drásticamente a raíz de la pandemia, y que el aumento en la digitalización de las organizaciones para mantenerse vivas abrió huecos de seguridad que antes eran impensables, así como también es un secreto a voces que muchas organizaciones no están invirtiendo suficientemente en tecnología, procesos y gente (si es que logran reclutarla y luego retenerla).

Como imaginarán, justo esas son las condiciones más favorables para el cibercrimen de quienes han volteado a ver a Latinoamérica, no solo como un lugar de donde pueden extraer recursos, sino como una región en la que se pueden dar el lujo de ensayar nuevos vectores de ataque y ciberarmas, pero esto último lo dejaremos para otro artículo.

El equipo de respuesta a incidentes de Scitum, el SCITUM-CERT, ha sido testigo del aumento de ataques a organizaciones en México y Latinoamérica, por ejemplo, durante el año 2019, atendió 10 incidentes de seguridad, en 2020 fueron 21 casos, pero en 2021 la cifra ascendió a 60, tres veces más que en 2020, y como imaginarán en su mayoría fueron casos de centros de datos totalmente paralizados a causa de ransomware, aunque eso no excluye otros casos muy interesantes en los que el atacante estuvo por años oculto en la red, únicamente extrayendo información, sin causar ninguna actividad que llamara la atención, pero esto también da para otro artículo.

Todos estos incidentes de seguridad atendidos por el SCITUM-CERT nos permiten observar patrones de cómo se comportan las organizaciones ante un evento de ciberseguridad, pero aún más importante es analizar qué significa para ellas, más allá del estrés y la presión que sufren a todos los niveles. Especialmente les hablaré de los casos de ransomware que son los que le quitan el sueño a muchos CISO.

Negación

Como diría “Anna Freud” (sí, la hija de Sigmund Freud), la negación es un mecanismo de defensa de los seres humanos ante situaciones que nos rebasan, mediante la cual se rehúsan a aceptar la realidad. Y justamente esto es gran parte de lo que nos corresponde analizar como equipo de respuesta a incidentes.

Las organizaciones inicialmente se rehúsan a creer que años de trabajo en sistemas críticos para ellas estén simplemente cifrados o corrompidos y que tengan que empezar de cero; también rechazan creer que una empresa de seguridad con especialistas en la materia no tenga forma de descifrar el problema para que puedan volver a la normalidad en solo unas horas. Obviamente, quienes nos dedicamos al mundo de la ciberseguridad sabemos lo altamente improbable (y no quiero decir nulo, por aquello de que no existen absolutos en la vida) que es el que el atacante detrás del incidente esté usando un ransomware para el cual ya existe un decryptor, o bien que el artefacto malicioso contenga tantos errores para que pueda hallarse rápidamente una forma para revertir su daño. Por ello, entre más rápido las organizaciones superan esta fase de negación, más rápido pueden poner en marcha una estrategia para restaurar de manera segura, evitando reinfecciones.

Es un maratón, no un sprint

Una vez que las organizaciones entienden que no es posible descifrar sus equipos comprometidos y que se requiere una investigación en forma para entender el vector de ataque, el método de entrada usado por el atacante y la amplitud de la infección que en el caso de ransomware tiende a ir más allá de los equipos que fueron cifrados, viene la tentación de empezar, día y noche, a restaurar sistemas creyendo ilusamente que pueden volver a producción en una horas. Sin embargo, esto es un error, porque “queman” a los equipos al grado de que para el tercer día nadie puede sostenerse despierto a pesar de la cafeína, y por lo tanto las actividades de recuperación y de investigación comienzan a avanzar muy lentamente o se detienen.

Por lo anterior, resulta crucial pensar en un incidente de seguridad como un maratón y no como un sprint, ya que si las organizaciones lo ven como un maratón, organizarán sus recursos para que la mitad duerma mientras el resto avanza, buscará conseguir apoyo externo para la reinstalación de sistemas operativos y asignará un frente que se dedique a darle lo que sea necesario al equipo de respuesta a incidentes para lograr avanzar lo más rápido posible en la investigación, además de que concientizará a la alta dirección acerca de que les tomará semanas volver a la normalidad, y no horas o días como usualmente se espera.

Como dato cultural, a aquellas organizaciones con una alta preparación para recuperarse después de un incidente de ransomware, con buenos respaldos fuera de línea y una estrategia ensayada, les toma de tres a cuatro días devolver sus servicios más críticos a operación. De hecho, la industria de ciberseguridad aplaudió a JBS Foods en 2021, porque después de un ataque de ransomware, en tres días habían devuelto a producción sus sistemas más críticos, pero organizaciones como ellos son la excepción, no la regla. De hecho, lo que observamos en México y Latinoamérica es que a las organizaciones llega a tomarles semanas levantar sus servicios.

En promedio, una investigación de ransomware toma de cuatro a seis semanas, dependiendo del tamaño de la víctima, no obstante, la recuperación puede tardar menos, dependiendo de si los respaldos estaban fuera de línea y no estaban comprometidos, de que tenga suficiente infraestructura para reinstalar de manera limpia, de lo rápido que puedan adquirir tecnología que les permita implementar las recomendaciones del equipo de respuesta a incidentes de seguridad, de la ayuda externa que puedan conseguir para reinstalar, de la buena comunicación y capacidad para cooperar entre las áreas internas (sí es común que existan discusiones acaloradas entre las áreas de seguridad, sistemas e infraestructura y se desgasten en peleas acerca de quién tuvo la culpa del incidente, en lugar de enfocarse en la solución, lo que vuelve todo más lento), etcétera.

Lucha entre la recuperación y la investigación

Ya que la organización víctima entendió que se trata de un maratón y no de un sprint, aparece la lucha inevitable entre el tiempo asignado a la recuperación de los sistemas y el que necesita el equipo de respuesta a incidentes para la investigación.

Un error común es creer que cuando contratan un equipo de respuesta a incidentes, este les va a ayudar en la reinstalación y recuperación de sus sistemas, pero lo cierto es que la recuperación es responsabilidad absoluta de la organización, puesto que el equipo de respuesta a incidentes se especializa en la investigación del evento, la cual resulta crucial, porque en la medida en que analiza los artefactos maliciosos, mapea el vector del ataque, el método de entrada, la cantidad de información exfiltrada, la cantidad de equipos comprometidos, y un largo etcétera, emite recomendaciones que evitan que aquellos equipos reinstalados vuelvan a ser comprometidos y que otros equipos de la organización se sigan cifrando. Sin embargo, a pesar de que las organizaciones entienden la importancia de apoyar al equipo de respuesta a incidentes con lo que requiere, casi siempre hay una lucha por su atención a la investigación versus la recuperación, por ello asignar un punto de contacto dedicado a atender sus requerimientos resulta crucial para avanzar rápidamente.

Las carencias salen a relucir

No es secreto para nadie que en Latinoamérica la mayoría de las organizaciones sufren de obsolescencia, falta de inversión en infraestructura, falta de personal, falta de segmentación de redes, estrategias para recuperación ante un desastre, silos y falta de buenas relaciones entre áreas, entre muchos otros males. Estos males seguramente los responsables de riesgos, seguridad e infraestructura ya intentaron escalar a la alta dirección, pero no fueron escuchados en su momento.

Por lo observado en el SCITUM-CERT, estas carencias siempre salen a relucir durante un evento de ciberseguridad; tristemente muchas veces la investigación se obstruye porque alguien a quien le urgía restaurar formateó un servidor sin respaldarlo ya que, por una parte, no tiene infraestructura para respaldar, pero por otra parte tampoco cuenta con infraestructura para reinstalar desde cero el sistema. En otras ocasiones ya no pueden actualizar los sistemas porque simplemente son tan viejos que no hay actualizaciones para esas versiones, sus áreas de compras no trabajan a la velocidad necesaria para conseguirles la tecnología que necesitan para seguir las recomendaciones de seguridad, la lucha entre áreas es tal que les toma horas o días convencer a otras áreas de reinstalar equipos que no fueron cifrados pero que están comprometidos, la red es plana y empezar a hacer cambios resulta inviable porque el equipo de redes no acepta que eso es un problema, etcétera.

El mensaje es que, durante un incidente de seguridad, aquellas carencias que no eran tan obvias o con las que la organización estaba conforme, se manifiestan de manera acentuada, y ralentizan tanto la recuperación como la investigación.

Siempre hay exfiltración y la presión mediática puede venir tarde o temprano

Así como al inicio del incidente las organizaciones entran en negación de lo que está sucediendo, también les sucede a la hora de hablar de cuánta información extrajo el atacante antes de cifrar. La mayoría no quiere aceptar que, aunque en los primeros días de la investigación no se tenga evidencia de cuánta información fue exfiltrada, aparecerá en algún punto, y si el modus operandi del atacante incluye postear en su blog lo que extrajo si no hay un pago del rescate, es un hecho que tarde o temprano saldrá a relucir esta exfiltración.

Por lo anterior, una recomendación imperiosa es nunca decirle al consejo directivo o alta dirección que no hubo exfiltración, porque esa afirmación será refutada por el mismo atacante tarde o temprano; lo mejor es que la alta dirección sepa que es un hecho y que saldrá a la luz en algún punto, y que es justo cuando puede empezar la presión mediática y la de sus clientes, por ello, involucrar al departamento de relaciones públicas desde un principio es altamente recomendable para el correcto manejo de la crisis.

Como ven, un incidente de seguridad posee muchas aristas, más allá de lo técnico y, como en cualquier desastre, ayuda en gran medida el estar preparado y hacer simulacros sobre cómo responder, ya que esto permitirá visualizar puntos ciegos a los cuales se les puede hacer frente antes de la crisis.

[email protected]

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

¿Qué significa vivir un incidente de seguridad?

Deja tu comentario