La digitalización y los avances en la tecnología de la información y la comunicación han revolucionado todos los aspectos de la vida moderna. Si bien un ecosistema digital conectado que entrelaza la infraestructura crítica ofrece un enorme potencial para la innovación y el desarrollo, también los riesgos de ataque. La forma en que un país implementa su ciberdefensa y responde a las oportunidades y riesgos que surgen en el ciberespacio juega un papel crucial en su crecimiento y seguridad.
Aunque todos reconocemos los riesgos inminentes que plantean los ciberataques, ¿somos conscientes de la magnitud del impacto que dichos ataques pueden tener en un país y su gente? Según sus motivos y la escala del ataque, los ciberataques se pueden clasificar en cuatro grupos:
- 1) Los atacantes patrocinados por el estado son personas u organizaciones no estatales que cuentan con el apoyo discreto de una entidad gubernamental.
- 2) Los hacktivistas son individuos o grupos de individuos que utilizan los ciberataques como una forma de expresar el extremismo político o ideológico.
- 3) Las redes delictivas organizadas son grupos de personas malintencionadas que forman empresas centralizadas para realizar actividades ilegales con fines de lucro.
- 4) Los delincuentes individuales de bajo nivel son piratas informáticos que comprometen dispositivos individuales o redes organizativas para obtener ganancias monetarias o personales.
Las ciberamenazas se han convertido en un desafío de seguridad complejo y en constante evolución. Implementar una ciberdefensa bajo un enfoque completo e integral para mejorar la seguridad de TI tanto en el ámbito físico como en el virtual con ciberdefensa, por ello Sareeka A. G., Consultora de Producto de ManageEngine, destaca algunos puntos trascendentales para tomar medidas:
- Fortalecer la seguridad física. Las organizaciones gubernamentales y privadas que albergan información sensible deben proteger sus instalaciones de ataques físicos mediante un escrutinio cuidadoso y permitiendo la entrada solo a personas autorizadas. Debe emplearse una combinación de identificadores como códigos de acceso, tarjetas de identificación y datos biométricos. La vigilancia las 24 horas, así como el mantenimiento adecuado y el aislamiento físico de los servidores y dispositivos sensibles, son esenciales para evitar que los atacantes tengan acceso manual a las instalaciones y manipulen.
- Localizar y corregir vulnerabilidades. Realizar una evaluación de riesgos es uno de los primeros pasos hacia la creación de una ciberdefensa y un entorno de TI seguro. Enumerar todos los activos de datos, identificar las vulnerabilidades asociadas y la probabilidad de que sean comprometidas, y estimar la magnitud del impacto. Con esta información, clasificar cada activo de datos como entidad de alto, medio o bajo riesgo y aplicar los controles de protección adecuados es muy importante. El seguimiento continuo de toda la información y los eventos de seguridad es fundamental para supervisar el estado de la red de TI de una organización. Las técnicas de redes privadas virtuales (VPN) y autenticación multifactor (MFA) se pueden utilizar para proteger las conexiones a través de redes no confiables y para evitar el uso indebido de credenciales, respectivamente. Tener sistemas actualizados y aplicar parches de software oportunos también puede ayudar a proteger los dispositivos de red.
- Prevenir ataques internos. Si bien los mecanismos de ciberdefensa del perímetro, como los cortafuegos y los servidores proxy, pueden ayudar a prevenir intrusos, abordar los ataques internos requiere una estrategia diferente. Los iniciados ya poseen los permisos necesarios para acceder a los activos críticos que quieren comprometer. Un estado-nación adversario podría comprometer las credenciales de una persona con información privilegiada o incentivar a un empleado de confianza a trabajar para él. Con la ayuda de las tecnologías de aprendizaje automático (ML) e inteligencia artificial (AI), se puede establecer un comportamiento de referencia para todas las cuentas de usuario y entidades en una red. Al comparar las actividades actuales de un usuario o entidad con el comportamiento de referencia, se pueden detectar actividades sospechosas y se puede alertar a los administradores de TI.
- Automatizar la respuesta a amenazas. Las herramientas SIEM avanzadas se pueden personalizar para realizar funciones de respuesta a amenazas automatizadas, como suspender cuentas maliciosas o denegar temporalmente el permiso para realizar ciertas actividades. En caso de un ataque, esto permite a los administradores de TI limitar los daños, proteger los activos supervivientes y ayudar en la continuidad del negocio. Las herramientas modernas de ciberseguridad tienen la capacidad de correlacionar grandes registros de eventos, deducir ciberataques inminentes y advertir a los expertos en seguridad. Estas herramientas también generan informes extensos que ayudan en el análisis forense de un ciberataque.
- Regular la ciberseguridad. Además de las posibles formas de prevenir los ciberataques desde el punto de vista de la seguridad de TI discutidas anteriormente, la protección del ciberespacio requiere la formulación y el despliegue eficiente de estrictas leyes y regulaciones cibernéticas. Las reglas bien definidas que describen explícitamente las actividades delictivas y las sanciones y castigos asociados proporcionarán un enfoque sistemático y legal para hacer frente a los ciberataques y atacantes.
Al igual que los límites geográficos o físicos, el ciberespacio de un país requiere vigilancia y seguridad constantes. Como primer paso para comenzar, los gobiernos deben reconocer el peligro que los delitos cibernéticos pueden representar para una sociedad y actuar en consecuencia. Garantizar la seguridad digital es un esfuerzo combinado, pues sin la participación activa de los individuos, las leyes cibernéticas serían solo decretos en papel. El camino a seguir es coordinar una respuesta de múltiples agencias y ejecutar medidas preventivas y contractivas contra las ciberamenazas en proporciones razonables.