Puntos de entrada comunes #1 – ITaaS (IT como servicio) Parte 1
Según el Informe sobre Ciber amenazas 2022 de SonicWall, casi todas las categorías de ciberataques han incrementado su volumen en el año pasado. Las cifras indican una conclusión innegable. Las redes de las PYMES están bajo asedio. De hecho, vamos a calificarlo como lo que es. Es una guerra. Y aunque los ciberataques no consistan en ejércitos tradicionales en el campo de batalla, el libro de estrategia «El arte de la guerra», del antiguo general militar chino Sun Tzu, sigue teniendo validez:
Atacar los puntos débiles del adversario es un uso mucho más eficaz y eficiente de los recursos de la nación… la clave es saber dónde están los puntos débiles y cuándo efectuar el ataque.
Atacando al eslabón más débil
Es así de sencillo. Atacar al enemigo en su punto más débil. Para las empresas de hoy, la pregunta inevitable es: ¿Dónde está el eslabón más débil de tu negocio? Para muchas organizaciones, la respuesta puede ser inesperada. Tu proveedor de servicios informáticos de confianza. Los proveedores de servicios informáticos han proporcionado a las empresas servicios y recursos de IT a los que muchas PYMES nunca han tenido acceso. Pero estar conectados digitalmente con los proveedores de servicios y socios comerciales nos expone también a sus riesgos. Sun Tzu destacó la importancia de conocer a tu enemigo. Para las PYMES de hoy en día, la pregunta puede ser: ¿conoces bien a tu proveedor de IT como servicio (ITaaS)? ¿Están lidiando con las mismas luchas empresariales que amenazan la resistencia cibernética de tantas empresas hoy en día?
Una historia de vulnerabilidad común
En CYREBRO presenciamos con frecuencia cómo los atacantes se aprovechan de los eslabones débiles. Recientemente investigamos un caso que involucraba a tres empresas de seguros que utilizaban el mismo proveedor de IT. Cuando los atacantes obtuvieron acceso a una de las empresas debido a un ataque de ransomware, rápidamente se trasladaron al servidor de gestión de los proveedores de IT para obtener acceso a sus otros clientes. Esto resultó ser increíblemente fácil, ya que el proveedor utilizaba un sistema operativo de hace 11 años y una cartera de software obsoleta y anticuada que estaba plagada de vulnerabilidades. A través de este único servidor de gestión, los atacantes pudieron acceder a las redes de múltiples empresas con facilidad. Por desgracia, historias como esta son demasiado comunes.
Igualar las condiciones con la IT como servicio
Hay grandes razones por las que tantas organizaciones recurren a proveedores externos para obtener diversos servicios de IT. Las PYMES suelen carecer de la experiencia y la financiación necesarias para adquirir y mantener el nivel de innovación e infraestructura de IT que se necesita hoy en día para competir en un mundo transformado digitalmente. También carecen de las herramientas y los conocimientos necesarios para protegerse suficientemente de los ciberataques, lo cual es un problema porque las PYMES son un objetivo principal para los hackers.
En consecuencia, muchas PYMES están recurriendo a los modelos de ITaaS, en los que un proveedor de IT ofrece servicios informáticos como un producto básico, personalizando paquetes que agrupan la gama deseada de hardware, software y soporte por una cuota de suscripción. Además de la ventaja de un presupuesto OPEX predecible, unos costes de inversión iniciales mínimos y ventajas fiscales, los suscriptores tienen acceso a un soporte técnico experto, actualizaciones periódicas de software y ciclos de actualización de hardware, y una supervisión continua
La confianza cero incluye a tu proveedor de IT
Los especialistas en ciberseguridad recomiendan ahora a los responsables de IT que adopten un marco de confianza cero para las redes actuales. Esto requiere una mentalidad de «nunca confíes, siempre verifica» con respecto a todas tus solicitudes de conexión, incluso las que se originan dentro de la propia red. La confianza cero implícita incluye también a tus proveedores de IT, especialmente a los que suministran los componentes y servicios que impregnan toda tu red. El hecho de que tu proveedor de IT sea una referencia para ti, no significa que no esté tomando atajos que puedan exponer a tu empresa a riesgos innecesarios.
Segmentando a tu proveedor de IT
Los proveedores de servicios informáticos ocupan un lugar destacado en la lista de objetivos de los hackers. Esto se debe a que, una vez comprometidos, los atacantes pueden infiltrarse en sus clientes. Esto es más fácil cuando un proveedor de IT gestiona de forma centralizada todas las redes de sus clientes a través de un único servidor, lo que da una gran ventaja a los atacantes.
Por ejemplo, una gran clínica ortopédica del sureste de Estados Unidos llegó recientemente a un acuerdo de 1,5 millones de dólares por una infracción ocurrida cuatro años antes. Fue sólo una de las tres organizaciones sanitarias que los hackers pudieron vulnerar gracias a las malas prácticas de ciberseguridad de un determinado proveedor de IT que las tres contrataron. En este caso, el proveedor se conectaba a sus clientes utilizando una contraseña idéntica desde un único servidor mediante una conexión VPN. Otros ejemplos más famosos son el ataque a la cadena de suministro de SolarWinds en 2021 y el ataque a Kaseya ese mismo año
Una de las razones del creciente número de ataques a la cadena de suministro en los últimos años es la falta de supervisión. Sin una visibilidad adecuada, nunca se puede saber lo que realmente está ocurriendo dentro de los distintos sectores de tus operaciones de red.
Software pirata
Una de las principales razones por las que las PYMES se ponen en contacto con los proveedores de ITaaS son los costes de inversión y mantenimiento del software y el hardware adquiridos. Por supuesto, tu proveedor de IT también debe incurrir en estos costes, lo cual hace que sea tentador utilizar un software menos costoso que no ofrece las mismas características y capacidades que las soluciones más populares.
En algunos casos, se puede utilizar software pirata, una práctica en la que el software se instala en máquinas sin licencia. Por ejemplo, el software adquirido para un cliente se instala también en las máquinas de otros clientes. Según la Business Software Alliance, la mayoría de los países siguen teniendo tasas de software sin licencia del 50% o más. Aquellos que, a sabiendas o sin saberlo, utilizan software pirata no reciben los beneficios de la licencia, tales como el soporte técnico, las actualizaciones de software y las mejoras gratuitas. Y lo que es más importante, el software pirata constituye una violación de la ley de derechos de autor. Los infractores pueden ser multados con hasta 150.000 dólares por cada caso
Software obsoleto
¿Puedes creer que más del 12% de los ordenadores que están en funcionamiento hoy en día en todo el mundo siguen utilizando Windows 7? Microsoft dejó de dar soporte a Windows 7 en enero de 2020. Esa es la última vez que Microsoft lanzó actualizaciones de seguridad para este sistema operativo que fue lanzado en 2009. Los sistemas operativos obsoletos tienen una mayor superficie de ataque, lo que proporciona a los atacantes una lista bien documentada de vulnerabilidades de las que pueden aprovecharse.
Un ejemplo clásico fue el ataque WannaCry que se propagó por todo el mundo en 2017, aprovechando una vulnerabilidad conocida en Windows XP, que para entonces había llegado a su EOL (fin de vida). Actualizar el sistema operativo del conjunto de ordenadores de una empresa es una tarea que lleva mucho tiempo y que es fácil de posponer, e incluso ese día puede no llegar nunca. Es imperativo asegurarse de que los usuarios de tu empresa tengan el software más actualizado en sus sistemas, no sólo por razones de seguridad, sino por las características innovadoras que se lanzan continuamente hoy en día.
La necesidad de verificar
Lo más probable es que tu proveedor de IT esté haciendo un buen trabajo y prestando servicios informáticos que cumplen con las estrictas normas de ciberseguridad. Pero en un mundo de confianza cero, la necesidad de verificar esa prestación de servicios es crucial para garantizar que tus proveedores de IT no generen los eslabones débiles que los hackers pueden utilizar para colarse en tu propia red. La necesidad de eliminar la vulnerabilidad ante tu enemigo es tan importante hoy como lo era en la época de Sun Tzu. Por eso, una supervisión adecuada por parte de un tercero debería formar parte de toda estrategia de ciberseguridad hoy en día.