Las herramientas y métodos para la protección de redes informáticas han seguido una larga evolución desde los años 70.
Llegados los 90, durante los primeros pasos de Internet, los manuales de los administradores de sistemas se centraban en el filtrado del tráfico entrante, tratando de hacer énfasis en que no todos los internautas eran fiables. Así que los responsables de ciberseguridad (Chief Information Officer o CIO) empezaron a dotar sus redes con todos los dispositivos que podían conseguir para protegerse de ese tráfico entrante (también conocido como tráfico INGRESS).
A raíz de las primeras campañas masivas de phishing a principios de la década de 2010 se hizo cada vez más evidente que alguien tenía que ocuparse también de la seguridad de los empleados y, más concretamente, de cómo los hackers se aprovechan de los errores y engaños (ingeniería social) para que un trabajador haga clic en los enlaces que recibe. El filtrado del tráfico saliente (también conocido como EGRESS) se convirtió entonces en una obsesión; la seguridad de los navegadores, los proxies y otras modalidades de software antivirus se convirtieron en productos imprescindibles que todas las consultoras de seguridad recomendaban a sus clientes.
Una respuesta adaptada a un riesgo real, que contribuyó a crear la imagen de la empresa como una fortaleza que un “supersoldado” debía defender contra múltiples enemigos. Para la defensa, eran necesarios una variedad de programas informáticos para proteger el terreno. El problema es que con el tiempo esa fortaleza a defender se convirtió en un blanco móvil: SaaS, TI en la sombra, la nube pública, subcontratas, asesores y teletrabajo desde el hogar eliminaron esos muros y ampliaron el perímetro.
Así que, a medida que la flexibilización de los puestos de trabajo avanzaba, los conceptos de “interior” y “exterior” se diluyeron. La idea de empresa como fortaleza de ciberseguridad ya no servía porque no se podía erigir una muralla alrededor de todos los puestos y terminales, cada vez más descentralizados y complejos y no se podían defender todas las áreas simultáneamente.
Además, se enfrentaba a un ejército cada vez más nutrido de ciberdelincuentes, bien entrenados y financiados. En este contexto, a finales de la década de 2010 y principios de la de 2020 llegó el ransomware; un método muy eficiente para que los hackers rentabilicen al máximo su inversión técnica y maximicen las ganancias ampliando sus ataques. Esas mismas técnicas de hackeo alcanzaron un nivel aún superior años después gracias al auge de las criptomonedas.
La gestión del tráfico de entrada dejó entonces de ser una prioridad en esta época: los cortafuegos y la monitorización periódica se convirtieron en el elemento más importante.
Estrategias de ataque
Ahora bien, en la última década se ha visto en repetidas ocasiones que comprometer la seguridad de una empresa o una institución gubernamental puede hacerse utilizando una de estas tres estrategias principales: atraer a los usuarios, usar explotación masiva (como ataques de 0day o contraseñas débiles) o recurrir a ataques dirigidos, muy similares a los anteriores, pero apuntando sólo a una vulnerabilidad o entidad específica, en lugar de grandes campañas indiscriminadas de phishing.
Según informes publicados por IBM X-force, aproximadamente el 47% de las agresiones iniciales actuales están relacionadas con la explotación de vulnerabilidades, mientras que el phishing representa el 40%. Si a eso se añade un 3% de credenciales robadas y un 3% de ataques de fuerza bruta, el resultado es que las agresiones relacionadas con el tráfico entrante pesan hoy un 53% en el total de las vulneraciones de seguridad.
Por otro lado, es importante tener en cuenta que una vez que un usuario está infectado con malware, la clave consiste en evitar que sus puestos de trabajo se conviertan en una puerta de entrada o base de operaciones para los ciberdelincuentes. Aquí es donde entra en juego el filtrado de salida. Aunque lo ideal es evitar la intrusión, existen métodos para mitigar las consecuencias y evitar que la fuente de la infección contamine a otros equipos en la red y que los criminales tengan acceso a ella.