La amenaza de la nube: cómo los intrusos cibernéticos explotan a terceros
Kevin R. Brock (Fundador y Director NewStreet Global Solutions LLC) y David X Martin (CEO y Perito en David X Martin LLC)/Brink News
Existe una creciente preocupación dentro de las comunidades de inteligencia de que gobiernos hostiles puedan invadir cibernéticamente las instituciones financieras, no para robar dinero, sino para contaminar, destruir y manipular datos.
La manipulación de datos es difícil de detectar, y los hackers pueden incluso apuntar a datos en el almacenamiento de respaldo para garantizar que la recuperación sea imposible. Los ataques cibernéticos que crean caos en el mantenimiento de registros, la precisión de las transacciones y las valoraciones de divisas podrían corroer la confianza pública hasta el punto de amenazar la estabilidad del sistema financiero.
La nube como una puerta de entrada
Una de las mayores exposiciones se encuentra en la nube. A medida que las cadenas de suministro se vuelven cada vez más complejas, las instituciones financieras dependen de terceros para proporcionar escala y agilidad.
Sin embargo, los proveedores externos son a menudo el vector que los intrusos cibernéticos explotan para alcanzar el objetivo deseado. Esto aumenta drásticamente la superficie de ataque por la que las empresas deben preocuparse. No es prudente confiar en que terceros atenderán sus necesidades de seguridad de la manera que lo haría.
Si confía en un conjunto débil de interfaces para interactuar con los servicios en la nube, pueden surgir problemas de seguridad relacionados con la confidencialidad, integridad, disponibilidad y responsabilidad. Algunos ejemplos: los atacantes ahora tienen la capacidad de usar su información de inicio de sesión (o la de sus empleados) para acceder de forma remota a datos confidenciales almacenados en la nube; falsificar y manipular datos a través de credenciales secuestradas; o inyectar malware, que se incrusta en los servidores de la nube. Y, si operan en conjunto, los atacantes pueden espiar, comprometer la integridad de la información confidencial e incluso robar datos.
La vulnerabilidad de las APIs
En segundo lugar, los servicios prestados son elásticos, ya que existen diferentes grados o niveles de servicio y seguridad. Esto fomenta un modelo de seguridad inconsistente. Las interfaces de programación de aplicaciones (API, por sus siglas en inglés) brindan a los usuarios la oportunidad de personalizar las características de sus servicios en la nube para satisfacer las necesidades del negocio, pero también les permite a los usuarios autenticarse, proporcionar acceso y encriptar los efectos, lo que puede crear vulnerabilidades. La mayor vulnerabilidad de una API radica en la comunicación que tiene lugar entre las aplicaciones, creando riesgos de seguridad explotables y nuevas superficies de ataque.
Por citar un caso reciente: en enero de este año, investigadores revelaron una característica de diseño común en la mayoría de los microprocesadores modernos que podría permitir que el contenido, incluidos los datos cifrados, se lea desde la memoria utilizando un código Javascript malicioso. Dos variaciones de este problema, llamadas Meltdown y Spectre, permiten ataques de canal lateral porque rompen el aislamiento entre aplicaciones.
Los empleados pueden entrar a la nube
Además, un empleado de esa empresa podría acceder a los datos almacenados en el servidor de un proveedor de la nube, y usted no tiene ninguno de los controles de personal habituales sobre esas personas.
En un ataque reciente a un banco en línea, el atacante era un ex empleado de la empresa de alojamiento web involucrado y supuestamente utilizó credenciales de firewall de aplicaciones web para obtener la escalada de privilegios.
Los datos sobre los servicios en la nube también se pueden perder por un borrado de datos erróneo por parte del proveedor del servicio, como sucedió recientemente con un gran minorista en línea. Para empeorar las cosas, la mayoría de las empresas no tienen planes de recuperación para los datos almacenados en la nube.
La conclusión es que las empresas deben asumir la responsabilidad de su riesgo hasta el final.
Desarrollar un enfoque centrado en los datos
Es importante que los líderes empresariales desarrollen estrategias que se adapten a los imperativos únicos de su institución y busquen el nivel más alto de mitigación de riesgos razonablemente alcanzable. La mayoría de las empresas piensan en la ciberseguridad como protección del entorno digital que abarca redes, servidores y aplicaciones. El problema con este paradigma es que la seguridad implementada no está necesariamente relacionada con los datos que está tratando de proteger.
La seguridad que se enfoca en proteger datos cruciales pregunta: “¿Cuáles son nuestros datos más importantes? ¿Qué personas, procesos y tecnología, si hay alguna, se implementan para proteger los datos? ¿Cuál sería el impacto de una violación específica de estos datos en la organización y cómo responderíamos?
Considere el uso de soluciones de prevención de pérdida de datos que pueden cifrar sus datos importantes con alta seguridad; proporcionar respaldo automatizado e información de auditoría precisa sobre el movimiento y manejo de datos confidenciales; e incluso bloquear la transferencia o eliminar los datos cuando se encuentran en puntos finales no autorizados.
La seguridad perimetral sin seguridad de datos es falsa seguridad.
Fortalezca su sistema inmunitario
Las empresas conscientes de las amenazas crean entornos de ciberseguridad similares al sistema inmunitario del cuerpo humano.
Cuando un germen rompe las barreras naturales del cuerpo, el sistema inmunitario monta una defensa de tres pasos: hace sonar la alarma, ataca el problema y luego se recupera y recuerda.
Estos son tiempos difíciles que suceden a la velocidad de la tecnología. La gestión de los riesgos muy reales para la infraestructura crítica, como nuestros sistemas financieros, requerirá un esfuerzo estratégico determinado, en gran medida por parte del sector privado.
Por primera vez en la historia reciente, es poco probable que los Estados Unidos y otros gobiernos puedan proporcionar un elemento disuasorio efectivo para una amenaza criminal significativa. No espere que el gobierno venga al rescate cuando su empresa experimente un ataque cibernético. En cambio, el mejor lugar para encontrar una mano amiga es en su propia empresa.