En los últimos años, la ciberseguridad ha cambiado de forma considerable. El primer malware data de los años 70 y dio pie a la creación del primer antivirus -el denominado Reaper-, pensado para detectar qué ordenadores estaban infectados con el malware Creeper y eliminarlo. Desde entonces, la ciberseguridad ha ido adquiriendo más y más importancia hasta convertirse en un área fundamental para cualquier organización.
Hemos evolucionado del software basado en listas negras de virus que actuaba contra lo conocido para enfrentarse a la profesionalización del cibercrimen de los 90, pasando por establecer perímetros de seguridad y estrategias heurísticas que contemplaban el análisis de conducta; hasta al antes y al después que supuso la aparición de Stuxnet en 2010, el primer ejemplo conocido de arma pensada para la ciberguerra. En este momento, el malware pasó a ser mucho más sofisticado, hasta el punto se volvió sigiloso y prácticamente indetectable, surgiendo los primeros ataques zero-day o de día cero.
Tal es la rapidez a día de hoy de los atacantes en descubrir estas vulnerabilidades de día cero en el software, que según el Informe de Seguridad en Internet de WatchGuard Technologies, durante el primer trimestre de 2020, el 67% del malware fue cifrado – es decir, se entregó a través de protocolos HTTPS –. Y no solo eso, sino que el 72% del malware cifrado fue clasificado como de día cero, de manera que no existe una firma de antivirus que lo frene, volviéndose más indetectable para las organizaciones. Estos datos van en consonancia con las predicciones de Gartner, quien asegura que durante 2020 los ataques de malware que recurrirán al cifrado serán del 70%.
Ataques de día cero: la ciberpandemia
Sin lugar a dudas la pandemia por Covid-19 y el aumento repentino en la cantidad de personas que teletrabajan han influido en estas cifras. Una tendencia que ha aumentado de manera significativa la superficie de ataque, obligando a las empresas a reforzar sus medidas de ciberseguridad para asegurarse de no sufrir a manos de los cibercriminales.
Y es que, si pensamos en el equivalente cibernético de la pandemia COVID-19, podría ser un ataque de propagación automática utilizando uno o más exploits de día cero. Dado que los ataques de día cero rara vez se descubren de inmediato, llevaría su tiempo identificar el virus y evitar que se propague. Y llegado el caso, si se propagara a través de una red social con, por ejemplo, 2 mil millones de usuarios; un virus con una alta tasa reproductiva no tardaría más de cinco días en infectar a más de mil millones de dispositivos. Y lo más inquietante: todavía no se dispone de parches ni antivirus que puedan hacer frente a este tipo de ataque.
Para minimizar y mitigar las amenazas procedentes de malware cifrado día cero, hay una serie de consejos que los equipos de IT y analistas deben tener en cuenta a la hora de planificar la ciberseguridad de su organización:
- Es necesario que las organizaciones cuenten con soluciones avanzadas de detección y de respuesta basadas en el comportamiento; ya que las soluciones antivirus tradicionales no suelen ser resistentes a este tipo de ataques. Además, debe incluir la inspección del protocolo HTTPS como requisito indispensable en todas las estrategias.
- Estas estrategias deben incluir servicios de seguridad multicapa que actúen en todos los endpoints. Además, estos servicios y soluciones deben estar basados o ejecutarse en el cloud, para que los procesos de triaje, investigación y reacción sean inmediatos y efectivos.
- A la hora de detener la actividad de este tipo de malware, las herramientas han de utilizar técnicas de inteligencia artificial, machine learning e inteligencia de amenazas con las que buscar patrones de comportamiento sospechosos. Como resultado del análisis obtenido, deben ser capaces de generar una alerta de aviso que priorice según la gravedad de la amenaza y que contenga toda la información necesaria para una actuación más ágil.
La solución Adaptive Defense 360 permite una monitorización continua, mediante el registro y supervisión de toda la actividad de los procesos en los puestos para detener el software no confiable en el momento de la ejecución, detectar amenazas avanzadas en tiempo real, responder en segundos y recuperarse de forma instantánea. Así evitaremos que los intrusos se cuelen por los agujeros que aún no conocemos, y estaremos a salvo de vulnerabilidades explotadas por ataques zero-day.