22/03/2023 | Steve Sacks
El entorno de amenazas actual continúa evolucionando, eliminando los silos de riesgo e introduciendo nuevas vulnerabilidades para las organizaciones y sus miembros. Las empresas recurren cada vez más a estrategias de transformación digital para reducir costos y aumentar la eficiencia en todas las ubicaciones y sectores.
La incorporación de nuevas tecnologías presenta a las organizaciones tanto oportunidades comerciales para generar nuevos ingresos, así como riesgos comerciales a medida que se expande su superficie de ataque cibernético. Los actores nefastos confían cada vez más en los multidominios cuando atacan o explotan sus objetivos, como la autenticación multifactor (MFA), eludiendo el phishing y la clonación de insignias cifradas. Estas tácticas van en aumento; los actores de amenazas pueden aprovechar las técnicas de penetración física para superar los controles de seguridad cibernética avanzados, mientras que las técnicas de penetración cibernética se pueden aprovechar para degradar o vencer los controles de seguridad física. Reunir a los defensores de los ámbitos físicos y cibernéticos en su organización puede ser un primer paso crucial para disuadir y mitigar estas técnicas emergentes y proteger su negocio de manera más integral.
Amenazas convergentes
Los siguientes tres estudios de caso ilustran claramente la convergencia de las amenazas físicas y cibernéticas que enfrentan las organizaciones.
En octubre de 2022, el equipo de ciberseguridad de una empresa financiera con sede en EEUU identificó actividades anómalas dentro de uno de sus entornos de red. Tras una investigación, el equipo descubrió que el origen de las misteriosas actividades se relacionaba con un usuario que parecía estar en dos lugares a la vez. Se mostró que el empleado había iniciado sesión desde su casa, a millas de distancia de las oficinas de la empresa, pero también estaba iniciando sesión desde la propia oficina. La búsqueda llevó al equipo al techo del edificio donde encontraron un dron modificado que llevaba un dispositivo de adversary-in-the-middle (AiTM) que le permitió acceder a la red corporativa a través de la red inalámbrica de Internet (WiFi).
A lo largo de los años 90, un ciberdelincuente con sede en EEUU, Kevin Mitnick, se hizo un nombre al obtener acceso ilícito a redes organizacionales a través de una combinación de piratería e ingeniería social. Kevin falsificaba sus números de teléfono para que pareciera que estaba llamando desde dentro de una empresa objetivo y usaba estas credenciales para obtener acceso cibernético adicional o acceso físico a ubicaciones seguras. En 2017, después de volverse hacker de sombrero blanco, Kevin demostró su capacidad para clonar y duplicar tarjetas de acceso corporativas durante una ponencia en el evento Data Center World Conference en Los Ángeles.
En 2021, ESET analizó marcos maliciosos utilizados para atacar redes sin conexión directa a Internet o a cualquier otra computadora conectada a Internet, conocidas como redes air-gapped. El estudio encontró que cada ataque exitoso fue perpetrado mediante la introducción física de dispositivos de almacenamiento externo en el sistema informático de destino. Cada marco aprovechó las unidades USB como el "medio de transmisión física para transferir datos dentro y fuera de las redes objetivo air-gapped" durante el ataque. Ya sea que el dispositivo externo esté diseñado para implementar una carga útil de malware o extraer información confidencial, atacar con éxito estos sistemas críticos casi siempre requiere acceso físico a la red air-gapped para superar su falta de conectividad directa con el resto de la organización o Internet.
Estos estudios de casos resaltan el efecto desproporcionado que puede tener la combinación de técnicas de ataques cibernéticos y físicos en las tasas de éxito de los intentos de penetración maliciosa en las organizaciones objetivo. La convergencia también puede aplicarse al ámbito de la protección ejecutiva, donde el advenimiento de los dispositivos tecnológicos conectados y el Internet de las cosas ha ampliado la superficie de ataque mediante la cual los líderes pueden ser el objetivo de actores malintencionados. Evaluar y comprender las amenazas que enfrentan los ejecutivos en los ámbitos cibernéticos y técnicos es fundamental para el desarrollo de un plan de protección integral para esas personas y su círculo íntimo. El entorno actual hace que sea mucho más fácil para los actores de amenazas renunciar a la vigilancia física de un objetivo en lugar de la vigilancia técnica: rastrear sus dispositivos móviles o vehículos.
Fusión de la seguridad física y cibernética
¿Qué pueden hacer las empresas internamente para protegerse contra estas tácticas de amenazas emergentes? Una es la convergencia, la fusión de los equipos de seguridad física y seguridad cibernética, para crear un enfoque integrado para proteger y defender los activos y recursos de su empresa. Un paso fundamental en un plan de convergencia es desarrollar una amenaza de referencia común para el negocio que abarque todos los ámbitos de seguridad. Esto requiere un léxico mutuamente entendido en torno a los conceptos de seguridad que abarcan los ámbitos físicos y cibernéticos para permitir la comunicación cruzada entre los equipos. Además, es fundamental desarrollar una comprensión común de cómo las amenazas y los riesgos dentro de un ámbito tienen el potencial de afectar los controles y mitigaciones en el otro.
Hay tres pasos que su organización puede tomar para desarrollar esta comprensión básica de la interconectividad de sus programas de seguridad física y cibernética:
- Realizar una evaluación programática combinada que evalúe ambos programas de seguridad, generando una puntuación de madurez holística y una hoja de ruta para el progreso deliberado en todos los ámbitos.
- Implementar pruebas conjuntas de equipos rojos que incluyan tanto actividades ofensivas de redes cibernéticas como intentos de penetración física contra una ubicación específica o información deliberada dirigida a objetivos dentro de la organización. Estas actividades validan los controles de seguridad destinados a defenderse contra ataques físicos cibernéticos y ciberataques habilitados físicamente.
- Llevar a cabo un ejercicio de gestión de crisis para evaluar los procesos de respuesta y recuperación de crisis física y cibernética. Estos compromisos pueden ayudar a desarrollar la memoria muscular, lo que permite que ambas áreas desarrollen un enfoque conjunto para la gestión de riesgos dentro de la organización.
Abordar estas estrategias de protección a través de la lente de la convergencia puede ayudar a garantizar una protección holística tanto en el ámbito físico como en el cibernético.