Costa Rica. Los ciberataques perpetrados a varias instituciones de Costa Rica, en el primer semestre de este año, han puesto de relieve la necesidad de que todas las organizaciones, ya sea públicas o privadas, cuenten con estrategias y programas sobre ciberseguridad.
El pasado 17 de abril, el Grupo Conti publicó un anuncio en la «dark web» (red oscura) sobre un ataque a instituciones gubernamentales costarricenses, entre estas, el Ministerio de Hacienda.
Al principio, hubo escepticismo, pero después se confirmó que la plataforma tecnológica y la base de datos de esta entidad había sido «atacada, encriptada y secuestrada» por este grupo y se confirmó que otras instituciones había sido atacadas, resumió Juan Bustos, gerente de país de SISAP en Costa Rica, firma regional enfocada en la seguridad de la información.
«Se conoce esto como un ataque sin precedentes, algo muy atípico, porque es un ataque directo a la institucionalidad de un gobierno de parte de un grupo de ciberdelincuentes», expresó Bustos.
A cambio de devolver la información, el grupo pidió al gobierno un «rescate» de $10 millones, el cual no fue pagado. «Esto nos deja un aprendizaje muy doloroso, y creo que también ha servido para encender una luz ‘amarilla’ en función de la posibilidad de estos ataques», comentó Bustos.
Prevención
Un aspecto que resaltó Bustos es que todos los vectores de ataque que utilizan estos grupos «son extremadamente conocidos», por lo que las organizaciones deben estar claras de que hay «esfuerzos e inversiones que hay qué hacer».
«No deberían existir empresas donde la ciberseguridad no es algo sustancial», resaltó Bustos, sobre todo porque estas están inmersas en un proceso de transformación digital. De ahí que las organizaciones deben de tener en cuenta cosas puntuales: asegurar sus respaldos, lo que permitirá que en caso de que estos sean afectados por un incidente, estos ayudarán a poner en producción los servicios, lo que en el caso de instituciones públicas «es vital».
«Las organizaciones tienen que tener un buen plan de respaldo probado y certificado, y que estén fuera de línea», destacó Bustos. Otra buena práctica es que el personal de la organización tengan conciencia del valor de la información y los datos.
«El eslabón más débil en todo lo que hagamos para protegernos en ciberseguridad somos usted y yo: las personas. El que la da clic al correo que no tengo que darle soy yo», recalca el gerente de SISAP.
Del 100 % de la inversión que las organizaciones de la región destinan a ciberseguridad, solo el 2 % está dirigido al educación para el personal.
Los puntos finales de conectividad (computadoras, teléfonos, impresoras o cualquier conectado a la red) debe de contar con las protecciones necesarios: un antivirus actualizado. «El factor común de las organizaciones que fueron atacadas en nuestro país: tenían un buen muy buen antivirus, pero un porcentaje relativamente medio no estaban actualizados», apuntó Bustos.
Recomendó poner atención a los «parches» o actualizaciones de los sistemas, que a veces se van dejando de lado. Este es uno de los vectores de ataque más conocidos. Por otra parte, Bustos recomendó cuestionarse qué instituciones de un país atacarían los ciberdelincuentes.
Planes
Durante la Feria Virtual FSO: El ADN del sector financiero, impulsada por la firma EY, expertos alertaron sobre la importancia de contar con un plan de respuesta a los ataques cibernéticos y, lo esencial que es realizar simulacros de crisis para poner a prueba las capacidades, los mecanismos e infraestructura de recuperación de datos y medir su eficacia. «Es fundamental que las organizaciones sepan muy claramente cuál es su entorno de amenazas y de las cuales son susceptibles», dijo EY en un comunicado.
Las estrategias de ciberseguridad deben ser aterrizadas a programas de ciberseguridad, para poner acciones constantes y sistemáticas, dijo, por su parte Bustos. «La experiencia, lo que nos ha dicho, es que las instituciones o empresas que tienen un programa sistemático de ciberseguridad, no es que dejan de ser atacadas, pero su riesgo se disminuye», expresó Bustos.
«Para las empresas e instituciones el principal factor de riesgo es la reputación corporativa, un activo importante que corre peligro si durante un ataque cibernético no se sabe o no se cuenta con las capacidades adecuadas de respuesta y recuperación para gestionar las crisis correctamente», agregó EY.
Lo que hay que tener presente
Estas son algunas de la recomendaciones que las firmas proponen en cuanto a ciberseguridad
1- Respaldos
Las organizaciones deben de tener buenos respaldos de datos y bibliotecas, validados de que estén limpios y fuera de línea e implementar de urgencia evaluación de vulnerabilidades y mitigación a los servidores, comenzando por los más críticos.
2- Precauciones
También hay que asegurar que los usuarios que tienen cuentas de correo no abran ni hagan clic en correos e hipervínculos sin estar seguros de que vienen de un origen genuino y confiable. Se sugiere restringir al máximo la navegación.
3- Respuestas ante una crisis
Crear un Plan de manejo de crisis, definiendo las funciones de las personas que participarán y el portavoz. Validar que sus proveedores también cumplan con estas recomendaciones, para reducir su riesgo de interrupción de cadena de suministro.
4- Acciones
Revisar bitácoras de los “firewalls” para detectar tráfico saliente anormal (indicación que están exfiltrando datos). Asegurarse que los usuarios que tienen cuentas de correo no abran ni hagan clic en correos e hipervínculos sin estar seguros de que vienen de un origen genuino y confiable.
5- Puntos finales de conectividad
Asegurarse que de todos los ENDPOINT (puntos finales de conectividad como computadoras, teléfonos, impresoras o cualquier conectado a la red) tengan una versión reciente (menos de una semana) de su protección (ANTIVIRUS o ENDPOINT SECURITY) idealmente de última generación o que incluya EDR.
6- Copias
Habilitar bitácoras detalladas en sus “firewalls”, IPS, Anti-spam, gateway de navegación, servidores críticos, con suficiente tamaño para que no se sobre escriban por lo menos en dos meses. Sacar frecuentemente copia de las bitácoras y almacenarlas fuera de línea, para poder hacer una investigación forense en caso de que se comprometan los dispositivos.
Fuente: La Prensa Gráfica.
