Hay una frase muy común en el día a día que dice: ‘de los errores se aprende’. Un concepto que en ciberseguridad se adapta perfectamente, porque después de un ataque se abren múltiples oportunidades para saber protegerse y minimizar los riesgos a futuro.
Microsoft nos invitó a vivir un proceso de este tipo, simulando un ciberataque en una empresa para entender cómo funciona ese contexto y cuáles son las decisiones qué se deben tomar en un momento de mucha tensión en el que lo económico, lo legal y lo ético está en juego al mismo tiempo.
Esta es la segunda sesión de este tipo que hace la empresa, continuando lo que sucedió con Contoso, una compañía ficticia que sufrió un ataque justo antes del Black Friday, afectando su reputación y ventas. Aunque la historia cambio.
Previo al aprendizaje
En la primera versión de este evento, vivimos cómo Contoso sufrió un ataque de ransomware, en el que le secuestraron los datos de sus usuarios y tuvieron que pagar un rescate para tenerlos de vuelta y que su nombre no se viera afectado.
Según Microsoft, el 68% de las empresas que pagan por la recuperación de datos logra volverlos a tener de vuelta. Así que la compañía ficticia tuvo suerte de ser parte de ese porcentaje, porque no estaba preparada para un ataque y el equipo de directivos tomó siempre malas decisiones.
Un año después las cosas cambiaron en Contoso. Contrataron a una CTO (jefe de tecnología), que tenía una amplia experiencia en ciberseguridad y estaban mucho más preparados para un posible ataque. Porque en estos casos la pregunta no es si van a hacer atacados o no, si no cuándo volverán a ser víctimas de un ciberdelincuente.
Y aquí empieza la segunda parte de la historia.
El inicio del nuevo ataque
Justo cuando el CEO de Contoso hablaba ante los medios de lo bien preparada que estaba la compañía. Un empleado descargó un archivo falso de un correo que supuestamente le había enviado el vicepresidente, pero en realidad un ciberdelincuente había tomado el control de esa cuenta.
En este primer escenario se vio un cambio importante en la política de la empresa, porque antes de acceder al documento falso, el empleado hizo el procedimiento adecuado para descartar un potencial ataque, sin embargo, su jefe lo autorizó a acceder al archivo. Ahí el ataque empezó.
La reacción de los directivos fue inmediata. El CEO se reunió con la jefe de tecnología y la encarga de asuntos legales para resolver la situación. Un panorama totalmente diferente frente al primer episodio, en el que nadie sabía cómo actuar y la preocupación pasaba más por el lado económico y la reputación de la empresa.
En este primer comité tomaron la decisión de apagar parte de los servidores para frenar el avance del delincuente e investigar el alcance del nuevo malware. Todo esto en medio de un proceso de compra que estaba haciendo Contoso para adquirir otra compañía ficticia llamada DMR. Por lo que había mucho en juego.
Aprender para tomar mejores decisiones
Para este momento, Microsoft nos preguntó a todos los asistentes si era necesario activar un plan de respuesta en medio de las sospechas o esperar a que el ataque se diera para ejecutarlo.
La mayoría optamos por siempre responder dependiendo el nivel de amenaza y tener un tipo de respaldo según el escalonamiento del ataque. Efectivamente así sucedió.
Contoso estaba mucho más preparada tras haber sido víctima un año antes. La CTO tomó las riendas de la situación, en medio del marco legal, ético y económico, por lo que se avisó a las autoridades y a DMR, la otra compañía ficticia, de la situación.
La forma en la que se frenó el avance de la amenaza fue mediante un proceso llamado honey tokens, que son trampas o señuelos que se les ponen a los delincuentes para direccionarlos y controlar la situación.
En este caso, el ciberatacante creyó haber tenido acceso a la cuenta de correo del CEO y al documento de adquisición de la otra compañía, pero en realidad fue una carnada que llevó a que la CTO pudiera descifrar su ubicación y que fuera arrestado. Aprendizaje después del error.
El 100% de la seguridad no existe, pero se puede estar cerca
Ningún mecanismo de defensa va a garantizar que una empresa o usuario nunca vaya a ser atacado. El desarrollo de la tecnología permite crear nuevas modalidades y los delincuentes suelen tener esa ventaja.
Pero el margen de error se puede hacer más pequeño cuando existe el conocimiento y la disposición de defenderse. El ejemplo de Contoso demuestra cómo el exceso de confianza es una puerta de entrada para los cibercriminales, pero cuando existen políticas de respaldo y un plan a seguir, las oportunidades de éxito son más grandes.
Según datos de Microsoft, el 90% de las empresas que aceptaron ser vulnerables mejoraron su postura de seguridad, ya que el 98% de los ataques pueden ser frenados con medidas básicas como saber que un correo es falso o tener contraseñas seguras.
Un panorama que demuestra que la ciberseguridad es fundamental en la actualidad, porque en el último año la demanda de personal en esta área aumentó un 350%.