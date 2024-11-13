Los adversarios de los estados nación están cambiando su enfoque, pasando de la destrucción de datos a la priorización del sigilo y el espionaje. Según el Informe de Defensa Digital 2023 de Microsoft, “los atacantes de los estados nación están aumentando sus inversiones y lanzando ciberataques más sofisticados para evadir la detección y lograr prioridades estratégicas”.
Estos actores representan una amenaza crítica para la infraestructura y los datos protegidos de Estados Unidos, y comprometer cualquiera de los recursos podría poner en riesgo a los ciudadanos.
Afortunadamente, hay una ventaja en estos esfuerzos maliciosos: la información. Al analizar las tácticas de los estados nación, las agencias de gobierno y las empresas privadas están mejor preparadas para rastrear, gestionar y mitigar estos ataques.
La Cybersecurity & Infrastructure Security Agency (CISA) identifica cuatro actores prolíficos de estados nación: el gobierno chino, el gobierno ruso, el gobierno de Corea del Norte y el gobierno iraní. Cada uno de estos actores utiliza varios métodos para comprometer la seguridad y obtener acceso a las redes de las víctimas.
Según el director asociado de caza de amenazas de la CISA, Jermaine Roebuck: “Estos incluyen phishing, el uso de credenciales robadas y la explotación de vulnerabilidades sin parches o configuraciones erróneas de seguridad. Realizan un extenso reconocimiento previo al ataque para conocer la arquitectura de la red e identificar vulnerabilidades. Con esta información, estos actores patrocinados por el estado explotan vulnerabilidades en dispositivos orientados al perímetro y usan las configuraciones erróneas del sistema para obtener acceso inicial. A menudo utilizan código de explotación disponible públicamente para vulnerabilidades conocidas, pero también son hábiles para descubrir y explotar vulnerabilidades de día cero. Una vez que obtienen acceso a las redes de víctimas, los actores avanzados utilizan técnicas living-off-the-land (LOTL) para evitar la detección”.
Al comprender las técnicas y tácticas utilizadas por los actores de amenazas, las organizaciones están mejor preparadas para asignar recursos de seguridad limitados donde serán más efectivos. “Conocer estas tácticas permite a los defensores aplicar conceptos de seguridad específicos y clases de tecnologías para mitigar a los actores adversarios y centrarse en propiedades y valores de datos claramente definidos para detectar sus técnicas”, dice Roebuck.
En otras palabras, cuanto más aprendan las empresas y agencias sobre los métodos de ataque de los estados nación, mejor.
Si bien las acciones de cada país ofrecen insight para la ciberseguridad estadounidense, hay otro componente en una defensa eficaz: volver a lo básico.
Estos enfoques no son mutuamente excluyentes, por ejemplo. Al mismo tiempo, las agencias de gobierno necesitan identificar y desmantelar campañas de desinformación: es tan crítico como garantizar que los sistemas incluyan autenticación multifactor (MFA) resistente a manipulaciones para reducir el riesgo de compromiso.
Según Roebuck, otras recomendaciones de la CISA incluyen:
"Las organizaciones deben realizar sesiones de capacitación periódicas sobre el reconocimiento de los intentos de phishing y la práctica de una buena higiene cibernética", dice. "Según fuentes confiables de Open-Source Intelligence (OSINT), el 75 % de las intrusiones fueron ‘sin malware’. Esto significa que los actores de amenazas 'entraron por la puerta principal' con cuentas válidas obtenidas mediante phishing e ingeniería social. Los usuarios deben estar bien capacitados para identificar técnicas de ingeniería social y correos electrónicos de phishing".
Para limitar los problemas relacionados con las credenciales, Roebuck recomienda que todas las cuentas tengan contraseñas seguras y únicas, y sugiere que las empresas cambien las credenciales predeterminadas. “Las contraseñas sólidas y únicas evitan el acceso no autorizado al hacer que sea mucho más difícil, y limitan el daño al garantizar que los actores de amenazas no puedan acceder fácilmente a otras cuentas, reducir los ataques comunes dirigidos a contraseñas predeterminadas o débiles, proteger la información confidencial y mejorar la seguridad general”.
La naturaleza coordinada de los ataques de los estados nación significa que ninguna empresa ni organismo gubernamental es una isla. En cambio, son los esfuerzos cooperativos de las organizaciones los que hacen posible una mayor seguridad.
La CISA también está haciendo su parte para ayudar. Roebuck señala el asesoramiento conjunto de la agencia sobre la República Popular China (RPC), que proporciona acciones recomendadas para detectar, mitigar y corregir las amenazas emergentes. "Sin embargo, sabemos que los sofisticados actores de amenazas de los estados nación evolucionan constantemente sus TTP", dice. “En consecuencia, la CISA tiene una sólida asociación con agencias de gobierno, socios comerciales y de infraestructura crítica para proporcionar información aplicable en la práctica para combatir la evolución de la actividad cibernética maliciosa, como la República Popular China”.
CISA también publicó recientemente el plan Operational Cybersecurity Alignment (FOCAL) del Poder Ejecutivo Civil Federal (FCEB), que ofrece una hoja de ruta para ayudar a las organizaciones del sector público y privado a mejorar la coordinación de la ciberseguridad y defenderse mejor contra las amenazas de los estados nación.
En última instancia, el consejo de seguridad de Roebuck es sencillo: "Para protegerse contra la mayor prevalencia de actores maliciosos, implemente y mantenga una solución eficaz para detectar intrusiones y expulsar a los atacantes lo más rápido posible".
