La ciberseguridad en la Quinta Revolución Industrial

Participe en una conversación sobre los efectos de los cambios rápidos en la sociedad y los negocios, que han impulsado el desarrollo de una ciberseguridad mejor y más efectiva.

Imagine cómo sería su vida sin ordenadores ni otros dispositivos digitales que ahora damos por supuestos. Si hiciera inventario, ¿cuántos dispositivos tiene en su empresa y en su casa? ¿Y cuántos lleva encima ahora mismo? Ahora piense en la experiencia de generaciones anteriores: entretenimiento, viajes, comunicaciones, e incluso cosas tan sencillas como leer un periódico o un libro.

Las revoluciones industriales cambian vidas y brindan excelentes oportunidades de crecimiento tanto para los individuos como para la sociedad. Hasta el momento, hemos vivido cinco. La primera de ellas empezó alrededor de 1750, y la quinta hace tan solo unos años. Por tanto, tenemos gran experiencia tanto en reconocer sus efectos como en aprovechar sus ventajas. Además, somos expertos en evolucionar a partir de las enormes disrupciones que causan.

La Primera y la Segunda revolución: La evolución de las industrias

La Primera Revolución Industrial fue el presagio de una enorme ola de innovación. Las fábricas brotaron rápidamente en las grandes ciudades y se empezaron a fabricar más productos que nunca. Sin embargo, a medida que aumentaba la productividad, el número de puestos de trabajo disminuía, y la calidad de vida de determinados segmentos de la sociedad cayó en picado. Finalmente, la sociedad (y la economía) solventaron la falta de trabajo con nuevos puestos que servían a las nuevas industrias pesadas. Las empresas necesitaban más trabajadores cualificados para construir las máquinas que producían más máquinas. Como resultado, regresaron los puestos bien remunerados, y la sociedad se recuperó.

Después, sin embargo, vino la Segunda Revolución Industrial, también conocida como Revolución Tecnológica, porque dio lugar a una fase de rápidos descubrimientos científicos y de estandarización industrial. Desde finales del S. XIX hasta buena parte de principios del S. XX, la producción en masa transformó las fábricas en catalizadoras de la productividad. Como resultado, mientras sufríamos una nueva fase de pérdidas de trabajo y agitación social, también vimos un aumento del número de trabajadores cualificados y puestos de trabajo mejor remunerados, que permitieron a los trabajadores disfrutar de mejores hogares y de una mayor movilidad.

La Tercera y la Cuarta revolución: La evolución de la sociedad moderna

La Tercera Revolución Industrial empezó a finales del S. XX, cuando la necesidad de una mejor automatización impulsó la llegada de la electrónica, posteriormente de los ordenadores, y a continuación la invención de Internet. Los avances tecnológicos marcaron el inicio de una transformación económica fundamental, que vino acompañada de una mayor volatilidad. Además, los nuevos métodos de comunicación convergieron con la rápida urbanización en todo el mundo y los nuevos regímenes energéticos, como las fuentes renovables.

Después vino la Cuarta Revolución Industrial, que algunos consideran que duró hasta poco antes de la pandemia. Los avances tecnológicos del periodo anterior facilitaron la introducción de la computación personal, los dispositivos móviles y el Internet de las cosas (IoT), que nos forzaron a redefinir los límites entre el mundo físico, el digital y el biológico. Los avances en la inteligencia artificial (IA), la robótica, la impresión 3D, la ingeniería genética, la computación cuántica y otras tecnologías se sumaron a las presiones sociales que desdibujaron las fronteras tradicionales hasta el punto de crear confusión.

La Quinta Revolución Industrial: La fusión social

Muchos pensadores globales creen que nos encontramos en plena Quinta Revolución Industrial, en la que se han inaugurado nuevos parámetros de productividad, que van más allá de la medición del rendimiento de los humanos y las máquinas en el lugar de trabajo. Estamos presenciando la fusión entre las habilidades humanas y las eficiencias de las máquinas en este contexto. Las esferas física, digital y biológica son ahora intercambiables y están entrelazadas. Por tanto, no se trata solo de conectar a las personas con máquinas, sino también de conectar los dispositivos con otras máquinas, todo ello en aras de la creatividad y la productividad humanas.

Un aspecto extraordinario de la Quinta Revolución Industrial es que se está produciendo a una velocidad sin precedentes. Por ejemplo, las redes remotas y las comunicaciones inalámbricas aumentaron enormemente como consecuencia de la pandemia de COVID, ya que el trabajo desde casa se volvió habitual para el personal occidental, con la consecuente fusión entre el trabajo y el hogar. De igual forma se fusionaron también la educación y el hogar. No obstante, otras fusiones no resultan tan fáciles de diferenciar, como la información y la desinformación, las noticias y la propaganda, las acciones políticas y el terrorismo, etc., lo cual se traduce en una fusión entre el crimen y la ciberseguridad.

Descubra y explore los efectos de la Quinta Revolución Industrial y de la ciberseguridad

Curiosamente, un porcentaje muy alto de ataques de ransomware tienen éxito porque las personas se saltan o ignoran los protocolos de ciberseguridad, simplemente porque no creen que vayan a ser víctimas de un ataque. Desafortunadamente, puede decirse lo mismo de las organizaciones que aún no han priorizado la actualización de su tecnología de seguridad. Muchos propietarios y directivos no entienden las amenazas y creen que solo las empresas más grandes sufren ataques de ransomware. Hay informes de amenazas actuales que demuestran que la tendencia a no implementar una solución de ciberseguridad más eficaz es errónea, y que es lo que está causando más problemas.

La pregunta de los 10,5 billones de dólares (coste estimado anual del cibercrimen para el año 2025) es cuánto esfuerzo vamos a invertir para corregir esta tendencia. El cibercrimen es una de las consecuencias más complejas de nuestras “revoluciones.” Debido al aumento de nuevas amenazas, la tecnología y el comportamiento están evolucionando rápidamente. Tomar responsabilidad e implementar nuevas tecnologías de ciberseguridad nos ayudará a mitigar los riesgos actuales.

Reserve su plaza y obtenga más información en nuestro próximo seminario virtual MINDHUNTER 9, que tendrá lugar en junio.

¿Qué es el cryptojacking y cómo afecta a su ciberseguridad?

Las criptomonedas han pasado a formar parte integrante de las finanzas mundiales. Son altamente portátiles, mantienen su valor, pueden intercambiarse por productos y servicios, y cada vez son más populares entre los consumidores no especializados.

Asimismo, pueden constituir una interesante herramienta de inversión para los inversores propensos al riesgo. Por supuesto, se ganan y se pierden fortunas en un abrir y cerrar de ojos, ya que muchas criptomonedas (p.ej. Bitcoin, Ethereum, Cardano) son altamente volátiles, y sus valores a veces se disparan hasta alcanzar cifras astronómicas o caen en picado en cuestión de días o semanas. Sin embargo, hay otras formas menos arriesgadas de ganar dinero con las criptomonedas, y una de ellas es la “criptominería.”

¿Qué es la criptominería? Se lo explicamos

La criptominería es un proceso por el cual se validan las transacciones de criptomonedas en los libros de contabilidad públicos distribuidos. Cada transacción está vinculada a la anterior y a la siguiente, creando una cadena de registros con sello de tiempo. En eso consiste esencialmente una cadena de bloques.

Una de las ventajas de la criptominería es que prácticamente cualquiera puede participar sin invertir en la moneda. Por ejemplo, si mina usted Bitcoins, recibirá Bitcoins como compensación por completar bloques de transacciones verificadas que se añaden a la cadena de bloques. Procesar un bloque de moneda lleva unos 10 minutos.

Solo necesita conocimientos mínimos para conectarse a la red de las criptomonedas, una conexión fiable a Internet, uno o dos servidores decentes y una fuente de alimentación estable. Cuanta más potencia de servidor tenga a su disposición para su operación de criptominería legítima, más bloques podrá procesar y más dinero ganará.

Sin embargo, este proceso tiene un inconveniente. Los mineros solo ganan dinero cuando completan el procesamiento de datos más rápidamente que los demás, y hay cientos de mineros intentando procesar el mismo bloque al mismo tiempo. Por este motivo, los mineros constantemente buscan formas de aumentar su tasa de hash (parámetro que mide la potencia computacional de procesamiento de bloques). Cuantos más hashes se produzcan por segundo, más dinero puede ganar.

Hay gente que elude completamente el proceso legítimo y se pasa al cryptojacking.

¿Por qué el cryptojacking es una amenaza creciente?

Es muy sencillo: el cryptojacking es criptominería, solo que el minero utiliza el ordenador de otra persona sin su consentimiento. Normalmente, las víctimas no tienen la menor sospecha de que sus ordenadores están siendo utilizados para esta práctica, a menudo a través de malware introducido por phishing u otro tipo de ataque.

En abril de 2018, SonicWall empezó a hacer un seguimiento de las tendencias del cryptojacking. En ese momento, la empresa registró casi 60 millones de ataques de cryptojacking en un año. Sin embargo, tal como indica el Informe de Ciberamenazas 2022 de SonicWall, los precios de las criptomonedas alcanzaron nuevos picos en 2021, y los ataques de piratería informática ascendieron a 97 millones, lo cual representa un aumento de casi el 62% desde 2018.

Cryptojacking is on the rise

A diferencia del ransomware, que depende de la visibilidad de los mensajes y emails de phishing, los cryptojackers hacen su trabajo de forma desapercibida en segundo plano. Solo puede saber que su red o sus dispositivos se han visto afectados mediante la monitorización del gráfico del rendimiento de la CPU o si nota que el ventilador de un dispositivo funciona con mayor intensidad de lo normal.

Durante los últimos dos años, hemos observado una tendencia de los equipos de ransomware a cambiar a otras actividades, como el cryptojacking. Un motivo aparente de ese cambio es que el rendimiento de la inversión de un plan y una variedad de ransomware (que llevan meses de trabajo de desarrollo) disminuye cuando acaban en fuentes públicas, como VirusTotal.

Al igual que cualquier otra persona al frente de un negocio rentable, los cibercriminales tratan de ser ágiles y flexibles. Por ello, buscan activamente diferentes formas de cumplir sus objetivos económicos. El cryptojacking ofrece agilidad gracias a la relativa facilidad con la que puede implementarse junto con otras actividades criminales.

El atractivo de la criptominería.

Con un coste reducido y un riesgo prácticamente inexistente, los cibercriminales ven muchos incentivos para optar por la criptominería como modelo de negocio. Además, gran parte de la criptominería puede automatizarse mediante software. No obstante, la volatilidad de las criptomonedas y los crecientes precios de la energía están sometiendo a los mineros a una gran presión. En 2018, los criptomineros legítimos podían ganar $100/día. Actualmente, sin embargo, esos beneficios se han visto reducidos a la mitad, y la criptominería legítima se ha vuelto más difícil y complicada.

En consecuencia, según el Informe de Ciberamenazas de SonicWall, el cryptojacking ilegal vuelve a estar en auge. En el primer trimestre de 2021, se produjeron 34,2 millones de ataques de cryptojacking, la mayor cifra trimestral desde que SonicWall empezó su seguimiento. Y lo que es más preocupante, en diciembre, con diferencia el peor mes de 2021 en cuanto a ataques de cryptojacking, se registraron 13,6 millones. Si bien diciembre de 2021 no eclipsa la cifra alcanzada en marzo de 2020 de 15,5 millones, ocupa un claro segundo lugar, lo cual está lejos de ser un punto de partida óptimo para 2022.

¿He sido infectado por un malware de cryptojacking?

Los criptomineros, interesados en su potencia de procesamiento, deben hallar un equilibrio entre pasar desapercibidos y maximizar sus beneficios. La cantidad de recursos de CPU que tomen dependerá de sus objetivos.

Si roban menos potencia, es más difícil que los usuarios, que no sospechan nada, se den cuenta. Si roban más, obtienen más beneficios. Por supuesto, en ambos casos, el rendimiento se verá afectado. Sin embargo, si el umbral es lo suficientemente bajo, podría resultar difícil distinguir al minero de un software legítimo.

Los administradores de las empresas pueden buscar procesos desconocidos en su entorno, y los usuarios finales del software de Windows deberían iniciar Process Explorer de Sysinternals para ver qué están ejecutando. Los usuarios de Linux y macOS deberían utilizar System Monitor y Activity Monitor respectivamente por el mismo motivo.

Cómo defenderse contra cryptojackers maliciosos.

El primer paso para defenderse contra los criptomineros es detener este tipo de malware en la pasarela mediante firewalls o soluciones de seguridad del correo electrónico (seguridad del perímetro), que es una de las mejores formas de eliminar las amenazas conocidas basadas en archivos.

Puesto que también los cryptojackers tienden a reutilizar código antiguo, es relativamente fácil detectarlos. SonicWall prevé sin embargo que todavía se producirá un aumento de las variantes y técnicas nuevas de cryptojacking, ya que los cryptojackers disponen de tiempo para desarrollar más herramientas. Además, el cryptojacking aún podría convertirse en el método preferido de los perpetradores de ataques por lo sigiloso que es. Al causar un daño reducido e indirecto a las víctimas, el riesgo de ser descubierto es mínimo y se amplía la vida útil de un ataque exitoso.

Si la variedad de malware es desconocida (nueva o actualizada), eludirá los filtros estáticos de la seguridad perimetral. Si un archivo es desconocido, será enrutado a un sandbox para su inspección.

La solución multimotor SonicWall Capture Advanced Threat Protection (ATP), equipada con tecnología RTDMI™, ha demostrado ser altamente efectiva en la prevención de malware evasivo, ya que éste que puede evadir un motor, pero no el resto.

Si tiene un endpoint que no se encuentre detrás de esta configuración típica (p. ej. en itinerancia en un hotel o aeropuerto), debe implementar un producto de seguridad de endpoints que incluya detección del comportamiento.

El malware de criptominería puede operar utilizando un navegador o acceder a la red a través de un ataque sin archivos, de modo que las soluciones antiguas que vienen gratis con los ordenadores no los detectan.

Las soluciones de ciberseguridad basadas en el comportamiento, como Capture Client ATP, son capaces de detectar el malware que permite la criptominería y cerrar la operación. Entonces, el administrador puede poner en cuarentena y eliminar el malware rápidamente o, en caso de que un ataque haya dañado archivos del sistema, revertir el sistema al último buen estado conocido antes de que se ejecutara el malware.

Al contar con una combinación de defensas perimetrales y análisis del comportamiento, las organizaciones pueden combatir las formas de malware más nuevas, independientemente de la tendencia que sigan o de la intención que tengan.

Por qué la sanidad debe trabajar más (y mejor) para proteger al paciente

Según el Department of Health and Human Services (HHS) de los Estados Unidos, en los últimos treinta días, filtraciones de datos en casi cuarenta organizaciones sanitarias de veinte estados pusieron en peligro casi 1,8 millones de registros individuales.

Desgraciadamente, esto es solo un ejemplo de lo que promete ser otro año devastador: el informe sobre filtraciones del HHS indica que, en lo que va de 2022, se han visto afectados más de 9,5 millones de registros (figura 1), después del récord del año pasado, que fue de casi 45 millones de pacientes comprometidos.

Mientras la frecuencia de los ataques al sector sanitario sigue en alza en todo el mundo, —con ataques recientes en Costa Rica, Francia y Canadá, entre muchos otros— el total global seguramente será mucho mayor.

Cómo se hackea una organización sanitaria

Los incidentes relacionados con los servidores de red y el correo electrónico siguen siendo los principales vectores y suponen más del 80 % del total (figura 2).

Figura 1

Image describing Figure 1 Chart

Figura 2

Image describing Figure 2
Image describing Figure 2

El historial de cada paciente contiene mucha información demográfica y de salud, dividida en 18 identificadores, tal y como se definen según la norma de privacidad HIPPA. Esos 18 identificadores incluyen los siguientes:

  1. Nombre
  2. Direcciones
  3. Todas las fechas: nacimiento, admisión, alta, fallecimiento, etc.
  4. Números de teléfono
  5. Número de fax
  6. Dirección de e-mail
  7. Número de la Seguridad Social
  8. Número de historial
  9. Número de asociado al seguro de salud privado
  10. Número de cuenta bancaria
  11. Número de certificado o licencia
  12. Identificadores, número de serie y matrícula del vehículo
  13. Identificador y número de serie de dispositivos
  14. URL Web
  15. Dirección IP
  16. Identificadores biométricos (huella dactilar o de voz)
  17. Foto de la cara
  18. Cualquier otra característica que pueda identificar inequívocamente a la persona.

Los delincuentes están ávidos por conseguir los registros médicos (EHR) o la información médica personal (PHR) porque son útiles para una amplia gama de aplicaciones delictivas, como robo de identidades, fraude a las aseguradoras, extorsión, etc. Como esos datos se pueden utilizar fraudulentamente de muchísimas formas, los ciberdelincuentes pueden venderlos a un precio más alto en la web oscura. Mientras, esas acciones fraudulentas causan un estrés financiero y mental a largo plazo para las personas cuya información se ha robado.

Aunque existen organismos con jurisdicción internacional que luchan contra el hackeo y que están bien equipados y financiados, los ciberdelincuentes siguen actuando con impunidad y sin miedo a que los atrapen. Dado que las tácticas, las técnicas y los procedimientos (TTP) de hackeo evolucionan y cada vez evaden mejor la detección, las instalaciones sanitarias ya no se pueden arriesgar a tener unas prestaciones de seguridad inadecuadas o mal preparadas.

Para muchas a las que han pillado con la guardia bajada, el impacto sobre los pacientes, proveedores y contribuyentes afectados ha sido catastrófico. Además de los riesgos que las filtraciones de datos suponen para las organizaciones sanitarias (HDO), también pueden afectar a la capacidad de las instalaciones para proporcionar unos cuidados de vida o muerte. En un reciente informe del Ponemon Institute, se indica que el 36 % de las organizaciones sanitarias encuestadas dijo que, debido a los ataques de ransomware, veía más complicaciones con los procedimientos médicos, y el 22 % dijo que había experimentado un aumento en la tasa de mortalidad.

Cuando las vidas dependen de la disponibilidad del sistema sanitario, la ciberseguridad sanitaria tiene que trabajar más y mejor para asegurarse de la seguridad del paciente y de poder prestar los cuidados en cualquier momento y lugar.

En qué puede ayudarle SonicWall

Durante las últimas tres décadas, SonicWall ha trabajado con los prestadores para ayudar a construir un sistema sanitario en mejor estado. Durante este tiempo, nuestras innovaciones nos han permitido cumplir con nuevas expectativas relacionadas con la mejora de la seguridad, aumentar la eficiencia operativa y reducir los costes de TI.

Hoy, SonicWall trabaja individualmente con cada organización para establecer una estrategia de defensa completa que coincida con sus objetivos de negocio y ponga a los profesionales sanitarios en una buena posición para el éxito. Al aprovechar nuestra amplia y profunda experiencia en las operaciones y los procesos del sector sanitario, SonicWall ayuda a las HDO a evitar sorpresas y a pasar más tiempo centradas en su misión principal: asegurar la salud y el bienestar de las comunidades a las que sirven.

El viaje desde «creo que estoy protegido» a «estoy seguro de que estoy protegido» comienza con la estrategia de ciberseguridad sin límites de SonicWall. Este enfoque aporta seguridad, gestión centralizada, analíticas avanzadas y una gestión de amenazas unificada en toda la cartera de soluciones de seguridad de SonicWall para formar la Capture Cloud Platform. El diagrama de arquitectura de la figura 3 muestra que las soluciones de seguridad SonicWall para red, borde, endpoint, nube, dispositivos inalámbricos, acceso Zero Trust, web, correo, dispositivos móviles e IoT se integran como una sola plataforma de seguridad.

Figura 3

Image describing architecture

Con SonicWall Capture Cloud Platform, la ciberseguridad de las organizaciones sanitarias puede trabajar más y mejor, al organizar una estrategia de defensa personalizada y por capas para satisfacer sus necesidades concretas o implementar todo el stack para establecer una estrategia de seguridad coherente en toda su infraestructura crítica. Al combinar estas soluciones de seguridad, se proporciona a las HDO la defensa por capas necesaria, junto con un framework de seguridad para obtener una gestión centralizada, gestionar los riesgos y cumplir con las leyes sobre protección de datos.

Descargue el libro blanco de SonicWall Ciberseguridad sin límites para un sector sanitario más seguro y descubra cómo reforzar la ciberseguridad del sector sanitario, y hacer que la atención proporcionada al paciente sea más eficiente, resiliente y segura.

SonicWall reconoce a sus partners y distribuidores por su excelente rendimiento en 2021

2021 ha sido un año excepcional para SonicWall, y gran parte de nuestro éxito se lo debemos a nuestros partners y distribuidores de EMEA. Este grupo tan dedicado ha trabajado incansablemente para ayudar a proteger a nuestros clientes durante más de una década, aprovechando las soluciones de SonicWall y su inigualable servicio de atención al cliente para protegerlos contra la creciente ola de ciberdelincuencia, y por ello les damos nuestro más sincero agradecimiento.

De un amplio grupo de nominados, se eligió un partner por región en cada categoría para ser reconocido por su sobresaliente desempeño en 2021. Estas selecciones se realizaron en base a factores como el volumen de negocio anual, la distribución del porfolio, las actividades en línea, la tasa de éxito de los proyectos y el nivel de certificación, junto con su nivel de compromiso y la calidad del trabajo en equipo con SonicWall.

“El éxito de SonicWall siempre ha dependido de la entrega de soluciones de seguridad altamente eficientes a través de sus valiosos partners y distribuidores”, comenta el vicepresidente de SonicWall para EMEA, Terry Greer-King. “Estamos encantados de reconocer a estos extraordinarios partners de SonicWall SecureFirst que proporcionan servicios de seguridad de primera clase a organizaciones de todos los tamaños. Valoramos las relaciones leales que hemos construido con nuestros partners y clientes, y estos premios son una forma de reconocer su excelente trabajo.”

Nos complace anunciar los ganadores de los Premios SonicWall FY2022 en las siguientes categorías:

España

Reino Unido

Irlanda

Noruega

Alemania

Suiza

Austria

Italia

Francia

Arabia Saudí

Emiratos Árabes Unidos

Sudáfrica

Países Bajos y Bélgica

 

SonicWall felicita a todos los galardonados y les da las gracias por sus extraordinarios logros en 2021. Juntos, podemos hacer que el año 2022 sea aún más exitoso.

¿Desea obtener más información sobre las ventajas del Programa de Partners SonicWall SecureFirst y cómo unirse a nuestro valioso equipo de partners? Haga clic aquí para conocer todos los detalles.

Disfrute de la velocidad y la seguridad del soporte para TLS 1.3

Los mejores productosduran más. En los dos primeros años de fabricación del Ford Mustang (1965 y 1966), unos 1,3 millones de vehículos salieron de la línea de montaje en Dearborn (Míchigan), Metuchen (Nueva Jersey) y Milpitas (California). De todos ellos, es notable que, a día de hoy, 350.000 sigan en las carreteras, y si sus dueños los mantienen adecuadamente, siguen yendo del punto A al B igual de bien que cuando Johnson era presidente.

Pero, cuestiones estéticas aparte, ¿eso los convierte hoy en una buena elección para alguien que conduce a diario? En una prueba de choque realizada con cualquier vehículo moderno —o en una carrera con cualquiera de los Mustangs modernos—, un Mustang de primera generación quedaría completamente sobrepasado. En los modelos antiguos, las medidas de seguridad que hoy damos por descontadas, como los airbags, el asistente de mantenimiento de carril, la detección de punto ciego y los frenos antibloqueo, brillan por su ausencia. Esos coches pueden ir muy bien para sacarlos algún domingo a dar una vueltecita por la ciudad, pero ¿llevaría en ellos a su familia?

Cuando un producto puede ser la diferencia entre convertirse en algo muy valioso o propiciar un absoluto desastre, ese producto tiene que ser lo más seguro posible. Eso también es aplicable a otra innovación que ha salido de Milpitas: Los firewalls de SonicWall. Para saber si su elección actual sigue siendo la opción correcta, es útil echar un vistazo a las innovaciones que han aparecido desde entonces, y si suponen simplemente una mejora gradual o un avance gigantesco. En el caso del soporte de cifrado TLS 1.3, no hay duda de que se trata de lo segundo.

TLS 1.3 es la última versión de seguridad de la capa de transporte, que ofrece un cifrado fiable para las comunicaciones digitales a través de internet. Y, al igual que ha sucedido con el Mustang, las innovaciones modernas han dado un salto enorme en dos áreas: la seguridad y el rendimiento.

TLS 1.3: La seguridad es lo primero

Desde que la tecnología SSL original se introdujo en 1994, con cada nueva versión hemos intentado resolver los problemas de las versiones anteriores, manteniendo la compatibilidad con las versiones antiguas. Pero, por desgracia, mantener una compatibilidad hacia atrás significaba que se conservaban muchos procedimientos de cifrado innecesarios o vulnerables.

Esos procedimientos de cifrado antiguos hacían que lo cifrado fuera susceptible de ataque, ya que ofrecía a los delincuentes un vector a través del que esquivar los nuevos avances en seguridad, en favor de una protección más antigua y débil. Algunos de los procedimientos de cifrado que persistieron hasta TLS 1.2 eran tan débiles que permitían que un atacante descifrara el contenido de los datos sin necesidad de tener la clave.

Con TLS 1.3 esa filosofía da un giro fundamental. Debido al fuerte aumento en ataques como Lucky13, BEAST, POODLE, Logjam y FREAK, que dependen de esas vulnerabilidades para transmitirse, la Internet Engineering Task Force (IETF) decidió eliminar esos procedimientos de cifrado, y el TLS 1.3 resultante es mucho más seguro gracias a eso.

También es más privado. En anteriores versiones, incluida la 1.2, las firmas digitales no se utilizaban para asegurar la integridad del protocolo de enlace, sino que se limitaban a proteger la parte de ese protocolo después de la negociación del conjunto de cifrado o cipher suite, lo que permitía a los atacantes manipular la negociación y tener acceso a toda la conversación.

En TLS 1.3, el protocolo de enlace está cifrado, y solo el remitente y el destinatario pueden descifrar el tráfico. Esto no solo hace que sea virtualmente imposible para alguien externo escuchar las comunicaciones entre cliente y servidor y que sea mucho más difícil para los atacantes lanzar ataques de intermediario, sino que también protege las comunicaciones existentes, incluso si las comunicaciones futuras quedan comprometidas.

TLS 1.3: Una seguridad  más rápida

Con TLS 1.3, el proceso del protocolo de enlace no solo es más seguro, sino también más rápido. El protocolo de enlace de cuatro pasos necesario para TLS 1.2 necesitaba dos intercambios de ida y vuelta entre los sistemas, con la consiguiente latencia y consumo de ancho de banda y energía.

Esas ralentizaciones afectaban especialmente al número creciente de dispositivos de la internet de las cosas (IoT), que tienen problemas para gestionar las conexiones que necesitan mucho ancho de banda o mucha energía, pero que también tienden a necesitar el cifrado, sobre todo, debido a una débil seguridad integrada.

No obstante, con un solo intercambio de claves y bastantes menos procedimientos de cifrado soportados, TLS 13 utiliza un ancho de banda considerablemente menor. Y como solo necesita una ida y vuelta para completar el protocolo de enlace, es significativamente más rápido. La característica de tiempo de ida y vuelta cero (0-RTT) de TLS 1.3 es incluso más rápida: en posteriores visitas, ofrece un tiempo de latencia igual al de un HTTP sin cifrar.

¿Está su firewall a la altura?

Los expertos calculan que entre el 80 y el 90 % de todo el tráfico de red actual está cifrado. Pero muchos firewalls antiguos no tienen en absoluto la capacidad ni la potencia de procesamiento para detectar, inspeccionar y mitigar los ciberataques enviados a través del tráfico HTTP, no digamos ya, para utilizar TLS 1.3, lo que hace que sean unas autopistas estupendas para que los hackers implementen y ejecuten su malware.

Según el Informe de Ciberamenazas 2022 de SonicWall, desde 2020 a 2021, el malware enviado a través de HTTP ascendió espectacularmente un 167 %. Dicho eso, SonicWall registró 10,1 millones de ataques cifrados en 2021, casi tantos como en 2018, 2019 y 2020 en conjunto.

Teniendo en cuenta que una media del 7 % de clientes acusan un ataque cifrado cada mes, la probabilidad de que su organización se convierta en un objetivo este año es enorme. Pero si su firewall no puede inspeccionar el tráfico cifrado y si tampoco puede inspeccionar TLS 1.3, nunca lo sabrá hasta que no sea demasiado tarde.

SonicWall soporta cifrado TLS 1.3

Los firewalls SonicWall Gen 7 tienen mucho que ofrecer: Combinan una mayor densidad de puertos y un mayor rendimiento de prevención de amenazas con un completo análisis de malware, una simplicidad sin comparación y un rendimiento líder en el sector. Pero una de las características que realmente diferencian los Gen 7 (y sus predecesores, capaces de ejecutar SonicOS Gen 6.5) es que soportan el cifrado TLS 1.3.

Los NGFW con SonicOS Gen 6.5 y posteriores ofrecen inspección TLS completa, descifrado de datos, verificación de amenazas potenciales y recifrado para una transmisión segura, todo ello mientras garantizan que pueda seguir disfrutando de un rendimiento óptimo y una visibilidad completa.

Al fin y al cabo, los cortafuegos —igual que el Mustang clásico– no tienen detección de puntos ciegos para manejar el tráfico cifrado de hoy en día. Por ello, las soluciones más antiguas quedan rápidamente obsoletas cuando se comparan con tecnologías nuevas. No permita que los firewalls de ayer multipliquen el riesgo de vulnerabilidades en su red: actualice a SonicWall Gen 7 hoy.

Entienda el framework y las evaluaciones de MITRE ATT&CK – Parte 2

(Nota: En la Parte 1, explicamos el framework MITRE ATT&CK y cómo se evalúan los productos por su eficacia y eficiencia de detección. Échele un vistazo aquí si todavía no lo ha visto.)

Con el aumento prácticamente generalizado de los ataques, asegurarse de que su sistema de seguridad esté actualizado es más importante que nunca. Sin embargo, como CISO, evaluar las soluciones de ciberseguridad de varios proveedores puede suponer un reto. ¿Cómo puede saber que realmente recibe la solución por la que ha pagado? Aquí tiene algunos consejos importantes:

  • Desconfíe de los errores, retrasos y cambios de configuración excesivos: Los proveedores que tienen numerosos retrasos se llevan el mérito por detecciones que realizan utilizando medios que normalmente se salen del flujo de trabajo habitual de la herramienta — lo cual significa que sus empleados tendrán que hacer lo mismo. Los proveedores con gran cantidad de cambios de configuración sintieron la necesidad de modificar sus prestaciones de detección durante la prueba. Intente averiguar si estos cambios son comprensibles o si la prueba fue manipulada.
  • Desconfíe de las altas cifras de Telemetría y bajas cifras de Técnicas: Los proveedores que presumen de altas cifras de Telemetría pero no tienen muchas Técnicas cuentan con una herramienta que no automatiza la correlación de los eventos. Esto significa que sus empleados deberán hacerlo manualmente o que pueden producirse retrasos e imprecisiones considerables a la hora de unir los puntos. Estos retrasos llevan a retrasos en la respuesta, que a su vez aumentan el riesgo.
  • Desconfíe de los proveedores que inventan sus propios sistemas de puntuación: Hemos visto a muchos proveedores disimular malos resultados con estadísticas y cifras que parecen positivas pero que en realidad no tienen ningún sentido. Estadísticas como “Contexto por Alerta” y “Detección del 100%” (cuando al mirar con más detalle se aprecia que claramente son detecciones fallidas) son un sinsentido. Lea la letra pequeña.

Capture Client y el Framework MITRE ATT&CK

SonicWall Capture Client está basado en SentinelOne, que proporciona la mejor protección autónoma de endpoints de su categoría, con antivirus de nueva generación, EDR (detección y respuesta para endpoints), y Visibilidad profunda. SentinelOne ha participado en las Evaluaciones de MITRE ATT&CK desde 2018, y en las de 2022 ha estado entre los mejores (emulando los grupos de amenazas Wizard Spider y Sandworm). A continuación ofrecemos un breve resumen de por qué SentinelOne es líder en protección contra los ataques, por delante de todos los demás proveedores.

  1. La protección autónoma detiene y resuelve los ataques de forma instantánea
    Los equipos de seguridad exigen soluciones capaces de seguir el ritmo de los cibercriminales. MITRE Protection determina la capacidad del proveedor de analizar rápidamente las detecciones y ejecutar resoluciones automatizadas para proteger los sistemas.
    Protección del 100%: (9 de 9 pruebas de MITRE ATT&CK)

    Fuente: www.sentinelone.com
  2. Las detecciones más útiles son las analíticas
    Las detecciones analíticas son detecciones contextuales creadas a partir de un conjunto de datos más amplio y combinan detecciones técnicas y tácticas.
    Detección del 100%: (19 de 19 pasos de ataques)
    99% – Máxima cobertura de análisis: (108 de 109 detecciones)
    Fuente: www.sentinelone.com
  3. Los retrasos en la detección minan la efectividad de la ciberseguridad
    El tiempo es un factor crítico tanto a la hora de detectar como de neutralizar un ataque. Las organizaciones que quieren reducir su exposición necesitan detecciones en tiempo real y resolución automatizada como parte de su programa de seguridad.
    100% en tiempo real (0 retrasos)
    Fuente: www.sentinelone.com
  4. La visibilidad asegura que ninguna amenaza pase desapercibida
    La visibilidad es el pilar de las prestaciones EDR y constituye un parámetro central de los resultados de MITRE Engenuity. Para entender lo que ocurre en la red y cazar amenazas con precisión, la tecnología de ciberseguridad debe ofrecer visibilidad. Los datos deben ser precisos y proporcionar una visión de extremo a extremo de lo que ha ocurrido, dónde ha ocurrido y quién ha sido, independientemente de la conectividad o el tipo de dispositivo.

Conclusión

Las evaluaciones de MITRE Engenuity ATT&CK siguen impulsando la industria de la seguridad, proporcionando al ámbito de la tecnología EDR una visibilidad y unas pruebas independientes muy necesarias. Como líder o profesional de seguridad, es importante ir más allá de las meras cifras y adoptar una visión integral de qué proveedores pueden proporcionar alta visibilidad y detecciones de alta calidad al tiempo que reducen la carga de su equipo de seguridad. A los CISOs, estos principios centrados en el producto les parecerán compatibles con el espíritu de los objetivos de MITRE Engenuity:

  1. La visibilidad y la cobertura de EDR son básicas y fundamentales: La base de una solución de EDR superior radica en su capacidad de consumir y correlacionar datos de forma económica y a escala aprovechando las ventajas de la nube. Cada dato pertinente debería ser capturado — con pocos errores o ninguno — para proporcionar amplitud de visibilidad al equipo de operaciones de seguridad. Los datos, específicamente los datos que capturan todos los eventos, son el pilar de la tecnología EDR y deberían ser considerados básicos y fundamentales y un parámetro clave de MITRE Engenuity.
  2. El contexto y la correlación creados automáticamente son indispensables: La correlación es el proceso de crear relaciones entre los puntos de datos individuales. Preferiblemente, la correlación debe ser realizada automáticamente por máquinas y a la velocidad de las máquinas, para que un analista no tenga que dedicar tiempo valioso a unir los datos manualmente. Además, esta correlación debería ser accesible en su contexto original durante largos periodos de tiempo por si fuera necesaria.
  3. La consolidación de las alertas en la consola es crítica: El principio de “centrarse en lo esencial” plantea un reto al centro de operaciones de seguridad y a los equipos IR modernos, que sufren una sobrecarga de información. En lugar de recibir alertas por cada dato de telemetría de un incidente y de sobrecargar al equipo del centro de operaciones de seguridad, ya saturado, asegúrese de que la solución agrupe automáticamente los puntos de datos en alertas consolidadas. Idealmente, una solución debe ser capaz de correlacionar la actividad relacionada en alertas unificadas para proporcionar una visión a nivel de campaña. Esto reduce el esfuerzo manual, ayuda contra la fatiga por las alertas y tiene la ventaja de que se requieren muchos menos conocimientos a la hora de responder a las alertas. Todo esto se traduce en mejores resultados para el centro de operaciones de seguridad en forma de tiempos de contención más breves y de una reducción general de los tiempos de respuesta.

Para ver de primera mano cómo Capture Client ofrece la mejor protección y detección de su categoría, acceda a una prueba gratuita haciendo clic aquí.