El constante cambio de paradigma con respecto a la dinámica empresarial trae consigo una amplia gama de peligros estrechamente relacionados con el alcance de la plataforma tecnológica que maneja cada empresa.

En otras palabras, cuanto más amplia sea la arquitectura de red de su empresa (y aquí hacemos referencia directa a sus políticas de BYOD y BYOT) para interactuar a través del ciberespacio, más amplio debería ser el alcance y el análisis de su ciberexposición.

Ahora, ¿está familiarizado con el concepto de ciberexposición? Analicemos este nuevo enfoque.

Conceptos básicos sobre la ciberexposición

Para comprender completamente el alcance y el propósito de la ciberexposición, primero debemos entender qué son los vectores de ataque. ¿Sabes lo que significan con respecto a la ciberseguridad?

Básicamente son las rutas que utilizan los piratas informáticos para lograr un ataque dirigido. En otras palabras, los vectores de ataque son la metodología utilizada para explotar las vulnerabilidades del sistema.

Cabe mencionar que muchos piratas informáticos explotan más de un ataque vectorial para lograr sus objetivos; y esto suele traducirse en pérdidas para su negocio.

Índice de ciberexposición

Como puede ver, consiste en una serie de datos que describen las características de los ciberataques realizados principalmente mediante la divulgación de datos y la exposición de credenciales.

Estas características revelan el modus operandi de la segmentación de grupos de piratas informáticos y, por lo tanto, el índice de ciberexposición de la empresa se determina clasificando los riesgos expuestos en un rango de 5 a 0 en un período de tiempo determinado. Profundicemos en este índice.

Variables del índice de exposición cibernética

Como se mencionó recientemente, se compone de tres factores principales:

Divulgación confidencial

Si bien las leyes y políticas regulan la información confidencial y, en principio, los datos confidenciales nunca deben almacenarse localmente en discos duros o dispositivos portátiles ni enviarse por correo electrónico sin la debida autorización; todos estos casos son prácticas habituales. En consecuencia, las infracciones internas aumentan el riesgo de que se divulgue información confidencial.

En este escenario, los vectores de ataque son el rastreo, la suplantación de identidad y la caza de ballenas, y el resultado puede variar desde el robo de identidad hasta la manipulación o el robo de datos (planes de negocios, valoración de empresas, secretos comerciales) y ataques de ransomware.

Credenciales expuestas

Por otro lado, esta práctica tiene muchos seguidores entre los piratas informáticos que quieren ponerse a prueba y ganar reconocimiento y popularidad entre sus pares. Consiste en decodificar y revelar credenciales y nombres de usuario, contraseñas y combinaciones para acceder a datos y sistemas privados.

Además, la mayor ventaja que tienen los piratas informáticos para aprovechar esta vulnerabilidad del sistema es la conocida práctica de los usuarios de reciclar las contraseñas y utilizar sus datos personales para crearlas. Al igual que ocurre con la divulgación confidencial, las credenciales expuestas pueden fomentar la explotación de brechas internas para robar o secuestrar datos confidenciales y abrir la puerta al temible ransomware.

Segmentación de grupos de hackers

Anonymous es el primer nombre que me viene a la mente cuando se habla de la segmentación de grupos de hackers. Independientemente del color de sus sombreros o de los intereses que puedan perseguir, lo cierto es que los miembros de estos grupos ponen sus conocimientos al servicio del terrorismo.

Es decir, un grupo de hackers que convergen en genios y poder se centran en la destrucción de un grupo objetivo; entendiendo por grupo objetivo una lista de empresas con características específicas elegidas específicamente para ser desestabilizadas o incluso neutralizadas.

Como metodología o vector de ataque, los piratas informáticos establecen y comienzan su actividad con un manifiesto público que revela y explica los motivos de sus acciones, seguido de sus listas de ataques dirigidos elegidas deliberadamente. Sin embargo, el modus operandi específico y la fecha exacta de sus ataques permanecen en secreto para preservar el elemento sorpresa y ampliar su alcance.

Clasificación de riesgos

En términos de exposición cibernética, las variables de clasificación de riesgos son:

Contraseñas de texto claro

En primer lugar, descubrimos que las contraseñas de texto sin cifrar se clasifican como de alto riesgo porque casi el 50% de los usuarios reutilizan sus contraseñas.

Contraseñas cifradas

A continuación, las contraseñas de tipo hash o las contraseñas cifradas se clasifican como de riesgo medio. Si bien son difíciles de descifrar, existen precedentes y estudios de casos que disminuyen su eficacia.

Listas de ataques dirigidos

Encontrar el nombre de una persona en una lista de ataques dirigidos puede resultar abrumador; sin embargo, supone una amenaza significativamente baja en términos estadísticos.

Esto se debe a que, la mayoría de las veces, el ataque real rara vez tiene lugar y se limita al único intento. Por motivos relacionados con la relación coste/inversión, la mayoría de las personas no sufren un ataque real, lo que se traduce en una clasificación de bajo riesgo.

Por el contrario, el riesgo aumenta casi en un 100% cuando el nombre de una organización aparece en una lista de ataques dirigidos. Una vez más, la verdadera culminación del ataque depende de tantas variables que deja una brecha considerable entre la amenaza y el éxito, por lo que, para una empresa, figurar en una lista de ataques dirigidos es un riesgo medio.

Divulgación confidencial

En el caso de las empresas, la divulgación confidencial se clasifica como un riesgo de nivel medio debido a que la divulgación no autorizada de datos confidenciales (como documentos internos, correos electrónicos y fuentes de código) aumenta al 50% las probabilidades de sufrir un ciberataque.

¿Cómo se clasifican las empresas en el índice de exposición cibernética?

Cada empresa obtiene una puntuación de ciberexposición en función de las variables y los riesgos a los que se expone. Las puntuaciones de exposición se dividen en 6 categorías:

Categoría 5

Las empresas de esta categoría tienen el 1% más alto de riesgo de exposición cibernética. En otras palabras, son empresas con protocolos de seguridad y un seguimiento prácticamente nulo.

Categoría 4

Esta categoría incluye a las empresas que representan el 25% del riesgo de exposición cibernética. Entre estas empresas se encuentran aquellas que, aunque tienen sistemas de seguridad, no cuentan con protocolos bien definidos a seguir.

Categoría 3

Las empresas de esta categoría representan un 50% del riesgo de exposición cibernética con una tendencia al alza. Estas empresas cuentan con sistemas y protocolos de monitoreo, pero presentan deficiencias marcadas que pueden aumentar el riesgo de exposición.

Categoría 2

Esta categoría reúne a las empresas con un 50% de riesgo de exposición cibernética con una tendencia decreciente. Este grupo generalmente reúne a empresas con sistemas que cumplen con los protocolos de monitoreo y seguridad digital en proceso de consolidación continua.

Categoría 1

Las empresas de esta categoría corren un 25% del riesgo de exposición cibernética. Reúne a empresas con una cultura consolidada en términos de seguridad digital e informa sobre el mínimo de fallos.

Categoría 0

Las empresas de esta categoría tienen un historial impecable de no exposición a riesgos en los últimos 12 meses.

¿Cómo mitigar los impactos de los ataques mediante el uso de la ciberexposición?

Cyber Exposure es un nuevo enfoque para controlar los activos. Modifica y complementa la visión tradicional de la seguridad y la protección de los activos corporativos. Esta visión integra el seguimiento en vivo y en tiempo real de todos sus activos, ya sea el IoT, los dispositivos móviles o estáticos y los elementos de red locales, basados en la nube e híbridos.

A partir de esta imagen en vivo, comienza a evaluar y analizar con precisión sus activos desde un nuevo enfoque basado en la exposición y el riesgo. Como resultado de este nuevo enfoque de los activos empresariales, obtiene datos críticos más confiables en función de la madurez de la seguridad de la información de su empresa y de su capacidad para responder a las amenazas y priorizar las soluciones inmediatas.

Ahora, ¿sabe qué herramienta puede brindarle una imagen completa de su empresa en relación con la exposición cibernética? Tenable.io lo es. Venga y descubra con nosotros más de sus ventajas.