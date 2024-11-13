Los adversarios de los Estados-nación están cambiando su enfoque y pasan de la destrucción de datos a priorizar el sigilo y el espionaje. Según el Informe de Defensa Digital 2023 de Microsoft, “los atacantes de los Estados-nación están aumentando sus inversiones y lanzando ciberataques más sofisticados para evadir la detección y lograr prioridades estratégicas”.
Estos actores representan una amenaza crítica para la infraestructura y los datos protegidos de los Estados Unidos, y comprometer cualquiera de los recursos podría poner en riesgo a los ciudadanos.
Afortunadamente, estos esfuerzos maliciosos tienen una ventaja: la información. Al analizar las tácticas de los Estados-nación, las agencias de gobierno y las empresas privadas están mejor preparadas para rastrear, gestionar y mitigar estos ataques.
La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) identifica a cuatro prolíficos actores estatales: el gobierno chino, el gobierno ruso, el gobierno norcoreano y el gobierno iraní. Cada uno de estos actores utiliza varios métodos para comprometer la seguridad y obtener acceso a las redes de las víctimas.
Según el director asociado de búsqueda de amenazas de CISA, Jermaine Roebuck: "Estos incluyen el phishing, el uso de credenciales robadas y la explotación de vulnerabilidades sin parches y/o configuraciones erróneas de seguridad. Realizan un reconocimiento exhaustivo previo al compromiso para aprender sobre la arquitectura de la red e identificar vulnerabilidades. Con esta información, estos actores patrocinados por Estados explotan vulnerabilidades en dispositivos expuestos en el perímetro y aprovechan configuraciones incorrectas de los sistemas para obtener acceso inicial. A menudo utilizan código de explotación disponible públicamente para vulnerabilidades conocidas, pero también son expertos en descubrir y explotar vulnerabilidades de día cero. Cuando obtienen acceso a las redes de víctimas, los actores avanzados utilizan técnicas de vida fuera de la tierra (LOTL) para evitar la detección".
Al comprender las técnicas y tácticas utilizadas por los actores de amenazas, las organizaciones están mejor preparadas para asignar recursos de seguridad limitados donde serán más efectivos. "Conocer estas tácticas permite a los defensores aplicar conceptos de seguridad específicos y clases de tecnologías para mitigar a los actores adversarios y centrarse en propiedades y valores de datos claramente definidos para detectar sus técnicas", afirma Roebuck.
En otras palabras, cuantas más empresas y agencias aprendan sobre los métodos de ataque a los Estados-nación, mejor.
Si bien las acciones de cada Estado-nación ofrecen conocimiento protector para la ciberseguridad, hay otro componente en la defensa efectiva: volver a lo básico.
Estos enfoques no son mutuamente excluyentes, por ejemplo. Al mismo tiempo, las agencias de gobierno necesitan identificar y desmantelar las campañas de desinformación, es tan crítico asegurar que los sistemas incluyan autenticación multifactor (MFA) resistente a manipulaciones para reducir el riesgo de compromiso.
Según Roebuck, otras recomendaciones de CISA incluyen:
"Las organizaciones deben realizar sesiones de formación periódicas sobre el reconocimiento de los intentos de phishing y la práctica de una buena higiene cibernética", afirma. “Según fuentes fiables de inteligencia de código abierto (OSINT), el 75 % de las intrusiones fueron ‘sin malware’. Esto significa que los actores de amenazas 'entraron por la puerta principal' con cuentas válidas obtenidas a través de phishing e ingeniería social". Los usuarios deben estar bien entrenados para identificar las técnicas de ingeniería social y los correos electrónicos de phishing.
Para limitar los problemas con las credenciales, Roebuck recomienda que todas las cuentas tengan contraseñas seguras y únicas y sugiere que las empresas cambien las credenciales por defecto. "Las contraseñas seguras y únicas evitan el acceso no autorizado al dificultar el acceso no autorizado, limitan los daños al garantizar que los actores de amenazas no puedan acceder fácilmente a otras cuentas, reducen los ataques comunes dirigidos a contraseñas predeterminadas o débiles, protegen la información confidencial y mejoran la seguridad general".
La naturaleza coordinada de los ataques a los Estados-nación significa que ninguna empresa o agencia gubernamental es una isla. En su lugar, son los esfuerzos cooperativos de las organizaciones los que hacen posible la mejora de la seguridad.
CISA también está haciendo su parte para ayudar. Roebuck señala el asesoramiento conjunto de la agencia sobre la República Popular China (RPC), que proporciona acciones recomendadas para detectar, mitigar y remediar las amenazas emergentes. "Sin embargo, sabemos que los sofisticados actores de amenazas de los Estados nación evolucionan constantemente sus TTP", afirma. “En consecuencia, CISA tiene una sólida alianza con agencias de gobierno, socios comerciales y de infraestructura crítica para proporcionar información que se puede ejecutar para combatir la actividad cibernética maliciosa en constante evolución, como la República Popular China”.
CISA también publicó recientemente el plan de alineación de la ciberseguridad operativa (FOCAL) del Poder Ejecutivo Civil Federal (FCEB), que ofrece una hoja de ruta para ayudar a las organizaciones del sector público y privado a mejorar la coordinación de la ciberseguridad y a defenderse mejor de las amenazas de los Estados-nación.
En última instancia, el consejo de seguridad de Roebuck es sencillo: "Para protegerse contra la creciente prevalencia de actores maliciosos, implemente y mantenga una solución eficaz para detectar intrusiones y expulsar a los atacantes lo antes posible".
