Ransomware como servicio (RaaS) Un resumen de este evento.

El ransomware como servicio (RaaS) es una de las modalidades cibercriminales que más toma fuerza en la actualidad. El restaurante La Matriarca en Medellín, fuye el escenario donde varios expertos en cabeza de Juan David Valderrama, pudieron exponer sus perspectivas sobre el ciberdelito y el papel de los CISOS en las empresas para construir esquemas de ciberseguridad más eficientes contra las amenazas.

Ricardo Dos Santos: "La clave es no confiar, sino verificar siempre"

«Zero Trust debe cubrir varias aristas, varios elementos. Uno de esos elementos es la data, la información. Definitivamente es el activo más importante que tiene nuestra compañía y por lo tanto debemos protegerla. Asegurarnos que donde esté, esté segura y solo accedan las personas que necesitan y tengan los permisos necesarios para consultarla»

Para esto, Dos Santos recalcó que se deben asegurar todas las aristas o vectores de ataque que son el oro de los ciberatacantes. Para esto por ejemplo para cuidar la data se puede hacer un proceso estricto de, clasificación y protección de la información. Otro de los elementos clave mencionados, es el cuidado y protección de las aplicaciones, ya que muchas empresas sacrifican la seguridad de sus aplicativos en función de tener una respuesta más veloz a las demandas del mercado.

«Con el lanzamiento de nuevas aplicaciones o nuevos servicios, entramos en un nuevo reto, que es el de la seguridad. Por la premura de sacar un nuevo servicio, posiblemente cometamos errores que conlleven una vulnerabilidad y puedan ser usados por los atacantes.»

Dos Santos considera que la tercera arista importante de cubrir son las redes. Para él, la segmentación tanto cuando se trabaja On Premise a cuando se trabaja en la nube es una de las claves principales de seguridad. Desde su experiencia, esto permite reducir los riesgos si una de las redes es vulnerada. La cuarta arista, son los dispositivos sobre los cuales se debe controlar la validez de la identidad y el nivel de acceso permitido. Posterior a la pandemia, los trabajadores empezaron a conectarse aún más desde múltiples dispositivos y ubicaciones, por tal motivo, se debe validar cuáles son de confiar y también verificar que cuenten con el nivel de protección requerida, según la estrategia de ciberseguridad que tenga la organización.

La quinta y última arista que mencionó Ricardo Dos Santos durante su intervención fue el usuario, también conocido como el eslabón más débil. Aquí «comprometer o usurpar la identidad del usuario» Es el principal método de los ciberatacantes para acceder a los sistemas, las redes o la información de una empresa. Específicamente para cuidar la identidad del usuario, Dos Santos recomienda:

Cuidar muy bien el aprovisionamiento y crear al usuario otorgando estrictamente los privilegios que necesita para sus funciones
Automatizar el proceso de aprovisionamiento para hacerlo mucho más ágil y seguro
Aplicar de forma periódica y consistente un sistema de Gobierno de Identidades (IGA) que incluya la validación de los permisos otorgados
Mejorar la autenticación de los usuarios generando doble factor o multi factor de autenticación.
Aprender los patrones de comportamiento en sistema de los usuarios para poder tomar medidas cuando el comportamiento sea anómalo.
Aplicar un proceso de custodia estricto sobre las cuentas privilegiadas

Para finalizar, Ricardo Dos Santos hace un recordatorio importante sobre la importancia de proteger todas esas aristas mencionadas anteriormente, dada la complejidad de los sistemas hoy en día (híbridos, multinube, servicios SaaS, etc.) La revisión de todas estas dimensiones y la validación sistemática y periódica constituye una de las acciones más relevantes para poder ejercer una política Zero Trust fuerte.

Juan David Valderrama: Ransomware como servicio RaaS, la industrialización del ciberdelito

«El ransomware es uno de los flagelos más importantes y el que más está comprometiendo a las compañías» con esta frase inició su intervención el experto en Consultor en Ciberseguridad quien luego lo definió como un tipo de malware que busca cifrar la información o dejarla indisponible para las personas que quieran acceder a esta. Luego que esto ocurre, suele aparecer un aviso en la pantalla del computador solicitando un monto determinado, generalmente en Bitcoins u otras criptomonedas de carácter anónimo que pueden equivaler entre 5.000 hasta millones de dólares.

Luego de esto, explicó que existen varios modelos de distribución del ransomware que pueden ser:

Ataques individuales: Están hechos por ciberdelincuentes que ya han desarrollado su propio ransomware y van dirigidos a una compañía en particular. Son ataques con alto grado de sofisticación y comprometen a un gran número de máquinas dentro de las organizaciones.
Campañas masivas: Son acciones de gran escala donde los ciberdelincuentes distribuyen el ransomware a múltiples compañías con diferentes técnicas de propagación como correos electrónicos de Phishinhg o técnicas especializadas que permiten explotar alguna vulnerabilidad del sistema y que les permita propagar el ransomware en el sistema.
Ransomware como servicio RaaS: En esta modalidad, el o los ciberdelincuentes desarrollan este tipo específico de malware para luego ofrecerlo a otros actores como un modelo de servicio completo similar al SaaS. El creador del RaaS ofrece sus servicios a través de la Dark Web o Deep Web, proporciona la infraestructura, ofrece servicio técnico completo y personalización del ransomware facilitando el ataque y mejorando la efectividad del mismo.

Luego de esta explicación, el experto puso varios casos reales sobre la mesa como lo son el de Keralty (Sanitas) en Colombia quienes luego de más de 8 meses aún continúan con problemas de acceso a la información de exámenes de pacientes. Otro ejemplo es el de Audifarma quienes sufrieron este tipo de ataque en su página web y también en su aplicación lo que les dificultó la prestación de servicios. En Medellín, el reconocido grupo EPM también fue víctima, así como Famisanar (Cafam) con fallas en la atención de sus servicios.

Valderrama también comentó que uno de los principales problemas de recibir un ataque de ransomware es que la víctima sufre una doble extorsión donde además de exigírsele el pago de un monto para el rescate de la información hay una amenaza que consiste en la exposición y/o venta de dicha data que es confidencial de las compañías y además en muchas ocasiones, información privada de los usuarios. Esto además, genera una preocupación adicional en las empresas ya que las entidades de control y garantías de la información pueden intervenir e imponer sanciones millonarias por la exposición de dicha información.

Algunos de los datos más ilustrativos que presentó el consultor de ciberseguridad están relacionadas con el informe generado por una reconocida empresa mundial de tecnología que en la cual se expresan cifras asociadas a los costos que puede generar una brecha de seguridad:

Costo promedio de una brecha de seguridad: 4.45 millones de dólares
Costo promedio de un ataque de ransomware: 5.13 millones de dólares (Teniendo en cuenta el 24% de los ataques reportados)
Tiempo promedio en identificar y contener una brecha: 277 días.

Algunos de los aspectos más infortunadamente interesante de este modelo es la facilidad de acceso para los ciberdelincuentes. Además, los creadores de RaaS anuncian casi que con total libertad que tienen «El mejor kit de ransomware como servicio» o «Puedo ofrecer servicio de soporte 24/7 los 365 días del año» o «Solo por hoy, obtén un descuento del 80% por hacerte afiliado». Incluso dentro de los foros hay espacio para las reseñas positivas que validan la efectividad del RaaS desarrollado por ciertas persona o grupo cibercriminal y sus costos pueden estar desde decenas, centenas o miles de dólares al mes.

Juan David Valderrama también puso sobre la mesa otro elemento a considerar y que ratifica al RaaS como un servicio alineado con las dinámicas del mercado legal es que cuenta con modelos de ingreso, como por ejemplo:

Tarifa única para acceder al programa de ransomware
Cuotas mensuales o anuales por una suscripción al servicio
Programas de afiliados en los que los clientes pagan una comisión al proveedor
Una división porcentual directa de las ganancias del rescate entre el proveedor del RaaS y el cliente

Después, el consultor de ciberseguridad, explicó el papel que juegan los distintos actores en lo que denominó el «Ecosistema RaaS» entre los que están el agente de acceso inicial (IAB) que es quien explota la vulnerabilidad en una empresa determinada y logra dar acceso a los sistemas en dirección cliente – víctima; los afiliados de ransomware como servicio que son los encargados de infectar directamente a la víctima y acceder directamente a los sistemas y por último el operador de ransomware que es quien se encarga del desarrollo, actualización y mantenimiento del RaaS.

Para finalizar su intervención, Valderrama hizo una serie de recomendaciones para protegerse del ransomware que aplican tanto para empresas como para personas en el ejercicio de sus labores cotidianas. Estas fueron:

Concientización y capacitación del personal en materia de ciberseguridad
Copias de seguridad regulares y almacenadas de forma segura
Actualización y parcheo de software
Utilizar soluciones de seguridad avanzadas
Restringir al máximo los privilegios de acceso
Filtrado de contenido web y correos electrónicos
Segmentación de redes
Auditorías de seguridad regulares
Monitorización de la red y detección temprana
Política de contraseñas fuerte
Control y ejecución de archivos y aplicaciones
Contar con un plan de respuesta a incidentes

Samuel Yohai: "Lo más importante que podemos hacer desde una asociación sin ánimo de lucro, es ayudar a generar conciencia"

El Presidente Ejecutivo de la Cámara Colombiana de Informática y Telecomunicaciones presentó su Informe de Ciberamenazas en Colombia en el cual presentó información y cifras relevantes en materia de ciberseguridad en el país.

Luego, Yohai habló sobre el programa SAFE (Seguridad Aplicada para el Fortalecimiento Empresarial) que pertenece al Centro de Investigación del programa Tic Tac que dirige el CCIT y cuya finalizad es generar un esfuerzo estrecho entre sector público, privado y expertos en torno a la ciberseguridad en Colombia que cada vez toma mayor relevancia en la discusión y las acciones empresariales para poder enfrentar el «riesgo y el dolor de cabeza más importante que pueda llegar a tener cualquier empresa y que son precisamente los riesgos cibernéticos». Yohai, presentó algunas cifras importantes que permiten ver la importancia de la ciberseguridad para las empresas.

65.700 fue el número de casos registrados / denunciados de ciberataques a empresas. La cifra anterior corresponde a un aumento aproximado del 30% (solo en casos denunciados) lo que equivale a un denuncio aproximadamente cada minutos. Los tipos de ataques más comunes son el secuestro y hurto de información (ransomware), el acceso abusivo a los sistemas y la violación de los datos personales

Samuel Yohai, hizo énfasis en la importancia de la denuncia por parte de públicos y privados ya que esto permite en primer lugar la formalización del caso y la activación del proceso jurídico y en segundo lugar, permite tener más información lo que deriva en estadísticas y cifras más claras que a su vez mejoran las acciones para enfrentar y recuperarse de un ciberataque.

Otro de los puntos importantes que el experto mencionó es que si bien las empresas que están en las ciudades principales son el objeto más deseado por los ciberdelincuentes, se reciben ataques en todo el país. Además, estos ataques tampoco discriminan significativamente entre tipo de industrias ya que empresas de todos los sectores han sido objeto o víctima de la actividad ciberdelincuencial. Esto es producto, en gran medida, de la transformación digital que atraviesan las empresas y que junto a los grandes beneficios que conllevan, traen consigo nuevos retos y riesgos nuevos en ciberseguridad.

Finalmente, Yohai extendió algunas recomendaciones para poder asumir los retos de seguridad que implica la transformación tecnológica dentro del sector privado y público. Entre estas destacan fortalecer las capacidades de detección temprana; contar con un plan de reacción ante un ciberataque; apoyar la creación de la Agencia Nacional de Asuntos Digitales y Espaciales; contemplar y aplicar las bondades de la I.A. para la ciberserguridad, minimizar el impacto en la afectación de la información comprometida y aplicar una política Zero Trust cada vez más eficiente y robusta.

Para finalizar, el experto hizo una invitación a todos los CISOS de Colombia para que se inscribieran en la plataforma C2USER, que hace parte del programa SAFE mencionado anteriormente y que busca que las personas que ocupan este cargo dentro de las empresas tengan la posibilidad de contactarse, intercambiar conocimiento e información relevante del sector y lo más importante, unir esfuerzos para combatir enfrentar el cibercrimen.

Teniente Coronel Milena Realpe "Si nosotros no denunciamos, no cuenta"

La intervención de la Jefe de Maestrías de la Escuela Superior de Guerra inició con un balance y algunas reflexiones sobre el informe de las principales amenazas hecho por el Foro Económico Mundial (FEM) y hace énfasis en una frase del director del FEM, Klaus Schwab: «Una de las características de la IV Revolución Industrial es que no cambia lo que hacemos, cambia lo que somos»

El informe que expone la Teniente Coronel dice que estamos ad portas de una crisis global que tiene mucho que ver con la transformación digital. Estas nuevas dinámicas tienen implicaciones geopolíticas y geoeconómicas y aquí la autosuficiencia digital de los países o la promesa de trasferencia tecnológica y del conocimiento hacia países menos desarrollados en este aspecto jugará un papel clave para poder enfrentar los retos que supone este proceso. Esta desigualdad tecnológica, se traduce en un diferencial de competitividad y capacidad de respuesta ante amenazas muy diferenciado entre los países que son potencia y los que son dependientes de la transferencia.

De lo anterior se desprende la necesidad de que las naciones comprendan y protejan los nuevos dominios que se suman a los ya existentes que son los límites físicos. Estos nuevos dominios y como dice Realpe «Desde la doctrina militar» ya se comprende el ciberespacio, la información y lo cognitivo como dominios. Esto hace que todo el panorama de ciberseguridad deba entenderse desde una perspectiva multidominio e híbrida donde la batalla se libra en lo físico y lo digital.

Otro punto mencionado se dio en torno a ¿Qué pasaría si los grandes digitales (Google, Facebook, Instagram, Apple, YouTube, etc) decidieran cerrar sus operaciones? ¿Quién controla lo que pasará con esa concentración de información? sobre todo en un mundo donde la «Densidad Digital» aumenta y las personas en promedio tienen entre 2 o 3 dispositivos conectados a internet.

El panorama en Colombia, como mencionó la Teniente Coronel «Según fuentes abiertas» empresas de todos los tamaños y sectores están recibiendo ataques. A esto se le suma la multiplicidad de modalidades y factores de riesgo como:

Ataques en la cadena de suministro
Pérdida de la privacidad
El usuario como eslabón más débil (Falta de conocimiento, habilidades y protocolos)
Ataques dirigidos
Infraestructura crítica
Amenazas híbridas
Proveedores de servicios de TI
El dilema entre la información abierta y el aprovechamiento de cifras vs la reputación de las organizaciones públicas y privadas

Luego de esto, explicó la importancia de que los países contemplen la creación o el fortalecimiento de las CERT -CSIR – SOC. El primero de estos, es «El equipo grande que coordina los temas relacionados con ciberseguridad»; el segundo son los equipos internos (y preferiblemente sectoriales) y los terceros son los equipos de monitoreo y operaciones. En el país se viene trabajando desde 2008 en la materia y hoy en día somos miembros del Acuerdo de Budapest, contamos con COLCERT, MinTic se alinea a toda la discusión y toma de acción sobre las infraestructuras críticas.

Ya en el cierre, la Teniente Coronel habló sobre la importancia de crear una cultura de la ciberseguridad que debe empezar desde los colegios. «Si nosotros no cambiamos la educación desde los niños, los enseñamos a comportarse en ese ciberespacio como se comporta en la vida real, no hay cambio». Esto debe ir unido a una capacitación y creación de conciencia en las instituciones públicas y privadas para mejorar la capacidad con la que se enfrenta y la velocidad con la cual las empresas y organismos pueden recuperarse. Sobre este último punto dijo que la capacidad de articularse entre privados, públicos y particulares es clave y que es necesario legislar y dar fuerza al proyecto para la creación del Agencia Nacional de Seguridad Digital y Asuntos Espaciales.

Daniel Molina: "Si bien el CISO es el encargado de tocar la campaña, es el primer cuello que muere cuando hay un problema"

La intervención de Molina empieza con una situación muy frecuente que se vive dentro de las organizaciones y específicamente en el área de ciberseguridad y es que puertas adentro, los encargados exacerban la situación de ciberseguridad para obtener más fondos, pero puertas afuera minimizan la situación para evitar impactos en al reputación. Esta duplicidad da pie a sensaciones y acciones confusas. Luego de esto, empezó a hablar punto a punto sobre los «Principales Errores que cometieron otros CISOS en 2022 y cómo no repetirlos en 2023».

Confundir IoT, IT y OT: Todas deben contar con estrategias diferentes pensadas no solo desde la operación sino sobre, todo desde la seguridad.
No entender la diferencia entre contingencia y nueva realidad: la primera fue el proceso de transición y la segunda es el resultado y nueva forma empresarial de operar
Ser el CISO que no se merece la «C» (Chief) [Jefe]: Las personas capacitadas y especializadas en el área muchas veces no cuentan con el rol o la autoridad necesaria para reportar a la junta directiva y tomar decisiones en materia de ciberseguridad.
No seguir los consejos de Sun Tzu (El Arte de la Guerra): «El que sabe resolver las dificultades las resuelve antes de que surjan» Hay que ser más proactivos, menos reactivos.
Todos los datos cifrados, previamente robados, ahora son vulnerabilidades: la computación cuántica tiene el potencial de desencriptar esta información.
Permitir que compliance y auditoría definan el plan de seguridad: El experto en ciberseguridad se enfoca en lo crítico para la operación y la protección de datos e identidades, mientras que los expertos de estas áreas se enfocan en la eficiencia o el rendimiento del presupuesto.
Rehusarse a compartir información: «Si entramos a la Deep Web – Dark Web…los malos están compartiendo información ¿Por nosotros no?» En EEUU, en el año 1997 fueron creados los ISAC (Information Sharing and Analisys Center) Porque el Presidente Clinton, solicitó un análisis de infraestructuras críticas que terminó en «3 días a carcajadas» por parte de los expertos que le expresaron el alto nivel de vulnerabilidad de las mismas.
De lo anterior, hizo un aparte para elevar la necesidad de contar con organismos y mecanismos de colaboración e intercambio de la información similares. También aplaudió los esfuerzos de Colombia en esta materia tanto a nivel de leyes como de creación de equipos y organizaciones.
No entender el negocio que apoyamos: los CISO deben entender el core de negocio y las áreas más críticas para saber qué deben monitorear y proteger.
«Depositar la confianza Zero Trust en alguien que se la merece 0»: El piensa mal y acertarás es la base del Zero Trust. Proteger las credenciales no es suficientes, se necesita entender la estructura «los cimientos» para poder actuar en todos los vectores.
Confundir los dispositivos con identidad: En este sentido, un dispositivo puede alojar varias identidades con credenciales de acceso.

Efrén Yanez "Cómo me protejo frente a la pérdida de datos debido a la I.A. generativa"

El experto inició su intervención con hablando de la abundancia de este tipo de aplicaciones: «Hacemos una consulta y vemos 20 aplicaciones que generan contenido, imágenes y videos. Hay bastante para divertirse». Symantec cuenta con directrices y recomendaciones según el nivel de información (narrativa y no estructurada, comercial, financiera, informática, estructura de código, etc.) También, la tecnología le permite a través del Machine Learning, educar al usuario a través de ventanas emergentes que le alertan sobre malas prácticas o amenazas.

Pero ¿Qué riesgos para la seguridad representa el uso de la generativa? Lo primero es que ya se está utilizando para diseñar campañas de pshising, keyloggers, código malicioso, «Deep Fake». También se pueden diseñar máquinas virtuales y pedirle que ejecute códigos o se comporte como si fuese un sistema operativo determinado, es decir, puede funcionar como ambiente de pruebas.

Luego, mencionó que según Información de Ciberhaven y teniendo en cuenta la información de más de 1.5 millones de usuarios «Más de 8.2% de los empleados ha utilizado chat GPT desde su puesto de trabajo y el 6.5% ha pegado datos de la empresa». Esto desde la perspectiva de Yánez representa un riesgo ya que el mismo CEO admitió que la herramienta había sufrido una vulneración de datos y podía haber información comprometida. Esto se explica ya que:

Cualquier dato introducido en estas herramientas, pasa a ser de la propiedad de ellos y puede ser revisado por el personal que trabaja en esas compañías.
Empleados de grandes empresas como Samsung han puesto información confidencial de la empresa en estas herramientas de I.A.
Estas herramientas son capaces de recordar las conversaciones y los prompts que tienen con cada uno de sus usuarios
La información proviene y se dirige desde y hacia muchas partes del mundo, lo que implica políticas diferenciadas para el tratamiento de datos

Lo anterior, ha generado la necesidad de crear regulaciones para el uso de la I.A. generativa. Por ejemplo la Unión Europea está haciendo normativas para su uso; Italia a través del organismo DPA, prohibió el uso de ChatGPT y organismos especializados de diferentes países de la UE están trabajando para mejorar el uso y establecer un marco normativo que permita el buen aprovechamiento de esta tecnología sin detrimento de la seguridad de la información.

Finalmente comentó: «Quizá la frecuencia de estas reuniones (refiriéndose al evento) se queden cortas ya que el nivel de transformación que se viene, va a dar muchísimo de qué hablar. Cuando le pongas la inteligencia artificial al computador cuántico, todo afuera va a cambiar, las películas que hemos visto se van a hacer realidad. Pero a parte de todos esos cuentos y esas películas, si tenemos que estar preparados en valores y en el uso que le den otras personas, las personas que nos gobiernan, las que nos manipulan, van a tener una herramientas superior».

Estamos preparados para hablar de ciberseguridad

Si usted es CISO o pertenece al área encargada de ciberseguridad en tu empresa, queremos tener la oportunidad de tener una conversación y mostrarle como nuestro portafolio de soluciones especializadas puede mejorar áreas como la protección de punto final, prevención de pérdida de datos, manejo de accesos privilegiados, antimalware, protección de red, protección de e-mail y sobre todo una configuración de política Zero Trust en su organización.