Eutimio Fernández

Así se desprende del Informe Semestral de Seguridad de Cisco 2015, que analiza las principales tendencias de ciberseguridad durante la primera mitad del presente año y desvela cómo la evolución hacia el Internet of Everything y la transformación digital están generando nuevos vectores de ataque y nuevas oportunidades de lucro para los cibercriminales.

Para Eutimio Fernández, director de Seguridad en Cisco España, “los cibercriminales están innovando con rapidez, ya se trate de malware, kits de explotación o técnicas de ransomware. Y una aproximación únicamente reactiva no es suficiente: las organizaciones deben adoptar tecnologías integradas capaces de trabajar conjuntamente para reducir el tiempo de detección y mitigación de las ciberamenazas de cientos de días a horas o incluso minutos, exigiendo a los proveedores soluciones y servicios contrastados con capacidad para prevenir, detectar y bloquear los ataques incluyendo funcionalidades de seguridad retrospectiva”.

En concreto, el semestre ha estado caracterizado por amenazas asociadas con Flash y explotadas por kits como Angler, la evolución de ransomware o campañas de malware ‘mutante’ como Dridex.

Amenazas que requieren imperiosamente reducir los tiempos de detección, que actualmente se sitúan entre los 100 y 200 días, según las estimaciones de la industria, frente a las 46 horas de media que ofrecen las soluciones de nueva generación como Cisco Advanced Malware Protection (AMP) que incluye seguridad retrospectiva.

Las conclusiones del análisis también inciden en la necesidad de adoptar soluciones integradas en lugar de puntuales, apostar por proveedores contrastados y apoyarse en servicios profesionales de evaluación y recomendación. Igualmente, la industria y los expertos en geopolítica demandan un nuevo marco regulatorio global de ciberseguridad para poder sostener el crecimiento económico en la nueva economía digital.

Aprovechar vulnerabilidades y evolución de ramsomware

En concreto, el informe de Cisco señala el impacto de Angler que, con un índice de éxito del 40 por ciento, es actualmente uno de los exploit kit más sofisticado y utilizado, debido principalmente a su capacidad para aprovechar las vulnerabilidades de Flash, Java, Internet Explorer y Silverlight y para evitar su detección mediante ‘domain shadowing’, una técnica que consiste en utilizar el registro de los dominios de usuarios para crear subdominios e insertar contenido malicioso.

Asimismo señala el aumento de la explotación de vulnerabilidades de Adobe Flash, integradas en exploits como Angler y Nuclear. Para los expertos en seguridad de Cisco, esto se debe a la falta de parcheo automatizado en las empresas y a las escasas actualizaciones inmediatas por parte de los consumidores.

En la primera mitad de 2015 el número de vulnerabilidades de Adobe Flash Player detectadas por el sistema Common Vulnerabilities and Exposure (CVE) se ha incrementado un 66 por ciento frente a 2014. Si se mantiene este ritmo, Flash podría establecer un nuevo récord en cuanto a número de CVEs detectados a lo largo del año.

También alerta el documento sobre la evolución de ransomware, el malware que restringe el acceso a determinadas partes del sistema infectado y pide un rescate a cambio de eliminarlo, sigue siendo enormemente lucrativo para los cibercriminales, quienes crean nuevas variantes continuamente con el agravante de que están completamente automatizadas y se ofrecen desde la ‘web profunda’, solicitando el rescate en ‘cripto-monedas’, como bitcoin, para evitar su rastreo.

Finalmente está el malware mutante, como Dridex, detrás del que están ciberdelincuentes con amplios conocimientos, que lanzan constantemente campañas capaces de mutar rápidamente para evitar las medidas de seguridad, y que incluyen técnicas como alterar rápidamente el contenido de los e-mails, archivos adjuntos o sitios web de referencia y lanzar otras nuevas, forzando a los antivirus tradicionales a detectarlas nuevamente.

Ante ese escenario, caracterizado por la batalla entre cibercriminales y proveedores de seguridad, marcada principalmente por la mayor y más rápida innovación en técnicas de ataque y defensa, que genera riesgo e incertidumbre en empresas y usuarios, Cisco recomienda el que los proveedores se centren en el diseño de soluciones de seguridad integradas, que ayuden a las organizaciones a ser más proactivas y a establecer políticas alineadas con los usuarios, los procesos y la tecnología. Y más en concreto, adoptar y, en su caso, desarrollar:

• Defensa integrada.- Las organizaciones demandan soluciones de seguridad integradas en lugar de puntuales, que permitan incluir la seguridad en todas partes y reforzarla en cualquier punto, desde el data center hasta los terminales, las oficinas remotas y el cloud.
• Servicios profesionales.- La proliferación de amenazas avanzadas, dinámicas y persistentes, la creciente carencia de expertos en ciberseguridad y la fragmentación de la industria requiere que las organizaciones se apoyen en servicios profesionales efectivos.
• Marco regulatorio global de ciber-seguridad.- Es necesario establecer un marco regulatorio global y cohesionado en el que participen múltiples gobiernos y empresas para evitar problemas jurisdiccionales a la hora de hacer frente a las ciberamenazas, resolver los problemas geopolíticos y sostener el crecimiento económico.
• Proveedores contrastados.- Para que un proveedor tecnológico pueda considerarse contratado y fiable debe integrar la seguridad desde el principio, en todas sus soluciones y a través de todo su ciclo de vida, desde el proceso de desarrollo y test hasta la cadena de suministro y soporte.

Más información y acceso al informe completo pulsando en este enlace, en este vídeo en el que John Chambers y John N. Stewart analizan las principales conclusiones del informe y en la infografía anterior.