Skip to main content

La ciberseguridad protege los sistemas informáticos, redes y datos frente a ataques digitales, accesos no autorizados y daños. Las amenazas específicas de ciberseguridad incluyen diversas actividades maliciosas que buscan comprometer la integridad de los datos, la privacidad y la funcionalidad de los sistemas digitales, como la piratería, los virus y los ataques de phishing.

Para enfrentar estos desafíos, los CTO deben aprovechar herramientas de ciberseguridad para detectar, prevenir y mitigar eficazmente las amenazas. Desde software de seguridad para endpoints hasta plataformas avanzadas de inteligencia sobre amenazas, contar con las herramientas adecuadas es esencial para proteger los sistemas, garantizar la privacidad de los datos y mantener la confianza en el entorno digital actual.

Las amenazas de ciberseguridad están en todas partes, y el rápido crecimiento del SaaS, los servicios en la nube y la infraestructura crítica automatizada ha transformado lo que antes era una molestia en una amenaza significativa.

Want more from The CTO Club?

Create a free account to finish this piece and join a community of CTOs and engineering leaders sharing real-world frameworks, tools, and insights for designing, deploying, and scaling AI-driven technology.

Este campo es un campo de validación y debe quedar sin cambios.
Name*

Los CTO deben proteger su tecnología. Sin importar la industria o el nivel de riesgo percibido, deben anticipar, interceptar y responder a un entorno de ciberdelincuencia en constante evolución.

¿Qué Son las Amenazas de Ciberseguridad?

Una amenaza de ciberseguridad es cualquier ataque intencionado contra un sistema informático por parte de actores maliciosos. Estas amenazas adoptan muchas formas, desde intentos simples de acceso no autorizado por un actor solitario hasta masivos ataques multinacionales a sistemas de seguridad mediante múltiples vectores, incluidos estados nacionales y organizaciones no estatales.

Los sistemas en la nube son frecuentemente el objetivo de estos ataques, así que vale la pena saber a qué te enfrentas.

Según Taylor, en los últimos 2-3 años, los atacantes han pasado de campañas masivas y oportunistas de phishing a ataques altamente dirigidos y con ingeniería social.

"Están utilizando IA para elaborar correos electrónicos más creíbles, imitar el comportamiento de ejecutivos e incluso manipular voz y video", afirma. "El perímetro ya no es el firewall, ahora es el usuario final, o el firewall humano."

"Para adaptarse, las organizaciones deben ir más allá de una capacitación de rutina. Necesitan educación continua, atractiva y de refuerzo positivo: todos necesitan entrenamiento, no culpa."

Tipos de Amenazas de Ciberseguridad

Las amenazas de ciberseguridad toman muchas formas, cada una con su astuta manera de causar estragos. Veamos algunas:

  1. Ataques de Phishing: Estos ingeniosos correos electrónicos o mensajes que se hacen pasar por legítimos suelen engañar a las personas para que entreguen información confidencial. Son como estafadores digitales.
  2. Malware: Esta categoría amplia incluye virus, gusanos y ransomware. Piensa en el malware como el intruso no deseado que se cuela en tu sistema para robar, dañar o tomar el control.
  3. Ransomware: Un tipo especialmente dañino de malware. Te bloquea el acceso a tus datos y exige un pago para liberarlos. Es como un secuestrador de datos.
  4. Ataques DDoS (Denegación de Servicio Distribuida): Imagina un aluvión de tráfico que satura tu sistema, impidiendo que funcione. Eso es un ataque DDoS: un atasco digital con intenciones maliciosas.
  5. Inyección SQL: Aquí, los atacantes explotan una vulnerabilidad en la base de datos para acceder a datos ocultos, como si forzaran una cerradura digital.
  6. Exploits de Día Cero: Son ataques contra vulnerabilidades de software desconocidas por el proveedor. Es como encontrar y aprovechar un pasaje secreto antes de que pueda ser sellado.
a group of images on a purple background that represents the different types of cybersecurity threats, from phishing attacks to ransomware.

Cada amenaza supone un riesgo real, y evolucionan constantemente. La ciberseguridad no es solo un tema de TI; es una parte esencial de nuestra vida digital. La urgencia por protegerse de estas amenazas nunca ha sido tan grande. Mantenerse informado y alerta es vital.

Ataques de Intermediario (Man-in-the-Middle)

Seamos honestos: la mayoría pensamos que entendemos los ataques Man‑in‑the‑Middle. “Ah, sí, alguien se interpone entre dos partes que se comunican, lo entiendo.”

Pero tras limpiar las secuelas de estos ataques en tres empresas diferentes, puedo decirte que hay un mundo de diferencia entre entender el concepto y reconocer cuándo estás siendo atacado.

Cómo se ve un ataque MitM (No lo que piensa tu equipo de seguridad)

Olvida la definición del libro por un minuto. Así es como se ve realmente un ataque Man‑in‑the‑Middle en el mundo real:

  • No es obvio: Cuando uno de mis clientes fue afectado, su tráfico fue interceptado durante 47 días antes de que alguien se diera cuenta. Sin alarmas, sin problemas de rendimiento notorios, solo irregularidades sutiles en los datos de transacciones que la mayoría de los sistemas de monitorización pasaron por alto por completo.
  • Ocurre donde menos lo esperas: Todos se enfocan en las comunicaciones externas. Sin embargo, he visto ataques MitM devastadores entre sistemas internos – de servidor a servidor, de aplicación a base de datos – donde los equipos a menudo omiten los controles de seguridad que aplicarían externamente.
  • Rara vez es aleatorio. Los días de "disparar a todo lo que se mueve" quedaron atrás. Los atacantes de hoy han realizado tareas de reconocimiento durante semanas, identificando canales de comunicación de alto valor antes de atacar. Buscan tus sistemas de procesamiento de pagos, servidores de autenticación y puertas de enlace API.

La mecánica es sencilla pero brutalmente eficaz:

  1. El atacante se posiciona entre dos partes — usuario y aplicación, servidor y servidor, o dispositivo y red.
  2. Establecen conexiones cifradas separadas con cada lado, haciendo que ambos crean que están comunicándose directamente entre sí.
  3. Descifran, leen, potencialmente modifican y luego vuelven a cifrar el tráfico antes de reenviarlo.
  4. Ambas partes creen que tienen una conexión segura y privada, cuando no es así.

¿La parte más aterradora? Un ataque MitM bien ejecutado parece tráfico normal para la mayoría de las herramientas de seguridad. He visto SOCs con soluciones de seguridad millonarias que no los detectan en absoluto.

Técnicas de ataque que he visto tener éxito (A pesar de una "seguridad adecuada")

Después de investigar docenas de estos incidentes, aquí están las técnicas que logran superar incluso los programas de seguridad más financiados:

Escucha en redes Wi-Fi: Sigue siendo ridículamente eficaz

Lo sé, suena como Seguridad 101, pero funciona:

  • La trampa del salón ejecutivo del aeropuerto: Uno de mis clientes fabricantes sufrió el robo de las credenciales de su CEO en el salón ejecutivo de un aeropuerto. El atacante configuró un punto de acceso falso llamado "Executive_Lounge_Premium" con mejor señal que la red real. En menos de 20 minutos, el CEO se conectó y, sin saberlo, envió todo su tráfico a través del portátil del atacante. La empresa descubrió transferencias bancarias inusuales por un monto de más de 1 millón de dólares tres semanas después.
  • La "mejora" de la red del hotel: Otra técnica común consiste en que los atacantes se hagan pasar por soporte técnico, afirmando que están "actualizando la red del hotel" y entregando nuevos (y maliciosos) detalles de conexión. Tu equipo cree que está recibiendo un mejor servicio mientras que todo su tráfico pasa por el sistema del atacante.

Dicho esto, Craig Taylor, profesional de ciberseguridad certificado CISSP y Co-Fundador de CyberHoot, dice que la creencia más común es que los ataques Man-in-the-Middle (MITM) solo son un problema en redes Wi-Fi públicas o entornos no cifrados.

"En realidad, los atacantes pueden aprovechar una mala gestión de certificados, VPNs mal configuradas e incluso dispositivos comprometidos dentro de redes de confianza", añade Taylor. "A menudo los CTOs pasan por alto amenazas internas y asumen que el cifrado por sí solo es suficiente".

Suplantación DNS: Redireccionando tu hoja de ruta digital

El DNS es el sistema de navegación de Internet, y cuando se ve comprometido, te envía a destinos que parecen idénticos a lo esperado pero en realidad están bajo el control del atacante:

  • El redireccionamiento silencioso: Una organización sanitaria con la que trabajé tuvo su DNS comprometido durante meses. El atacante solo redirigía dominios específicos de alto valor: su procesador de pagos, el sistema EHR y el portal de correo electrónico. Todo parecía completamente normal para los usuarios, excepto que todas sus credenciales estaban siendo robadas.
  • La inyección dirigida: Atacantes más sofisticados no secuestran todo el tráfico DNS; esperan consultas específicas de alto valor (como sitios bancarios o sistemas de pago) antes de inyectar respuestas falsas. Este enfoque selectivo hace que la detección sea mucho más difícil.

El "Session Sidejack" – Una amenaza de ciberseguridad de la que nadie habla

Esta técnica apunta a las sesiones activas en lugar de las conexiones iniciales:

  • Robo de cookies a través de Wi-Fi sin protección: Un atacante en la misma red puede robar cookies de sesión de conexiones sin HTTPS, permitiéndole secuestrar sesiones activas sin credenciales de inicio de sesión.
  • El ataque por temporización entre sitios: He visto atacantes aprovechar pequeñas diferencias de tiempo en las respuestas para determinar si los usuarios han iniciado sesión en servicios concretos, y con esta información lanzar ataques de sidejacking dirigidos.

En una empresa de comercio minorista que asesore, un atacante robó las cookies de sesión de un administrador autenticado y procedió a exfiltrar datos de clientes durante semanas, todo mientras el administrador seguía usando el sistema sin ninguna señal de que algo iba mal.

Compromiso del correo electrónico empresarial: El MitM más rentable

Los ataques MitM basados en correo electrónico han incrementado notablemente su sofisticación:

  • La modificación de la factura: Los atacantes monitorean los intercambios de correos electrónicos entre empresas, luego interceptan y modifican facturas en PDF para cambiar los datos de pago. He visto empresas perder millones porque nadie llamó para verificar los "cambios bancarios" repentinos mencionados en un correo electrónico.
  • El truco del dominio similar: Una vez, una empresa de construcción con la que trabajé perdió $927,000 cuando un atacante registró "constructioncorp-invoices.com" (su dominio real era "constructioncorp.com") y comenzó a enviar correos electrónicos desde ahí. La diferencia sutil pasó desapercibida durante semanas.
Upgrade your inbox with more tech leadership wisdom for delivering better software and systems.

Upgrade your inbox with more tech leadership wisdom for delivering better software and systems.

Este campo es un campo de validación y debe quedar sin cambios.
Name*

Amenazas de ciberseguridad en la cadena de suministro

He visto demasiados CTO obsesionarse con reforzar sus propios sistemas mientras ignoran por completo una vulnerabilidad enorme: el software y los servicios que ingresan a su entorno provenientes de proveedores "de confianza".

Seré directo: tu cadena de suministro probablemente es tu eslabón más débil, y los atacantes lo saben.

Cómo son las amenazas de ciberseguridad en la cadena de suministro

Olvídate del concepto abstracto. Esta es la realidad de los ataques modernos a la cadena de suministro:

  • El ataque que nunca ves venir: Cuando una gran empresa de logística a la que asesoré fue vulnerada, no fue a través de su perímetro fuertemente defendido, sino mediante una actualización rutinaria de un sistema de gestión de inventarios confiable. La actualización estaba firmada digitalmente, había pasado todos los controles de seguridad y se desplegó automáticamente en más de 400 servidores. La puerta trasera permaneció indetectada durante 143 días.
  • El caballo de Troya perfecto: Los ataques a la cadena de suministro son devastadoramente eficaces porque viajan a lomos de software legítimo de proveedores confiables. Funcionan con los mismos privilegios y acceso que el propio software confiable. He visto código malicioso implementado por tus propios administradores, quienes estaban "realizando mantenimiento rutinario".
  • El radio de impacto es enorme: Cuando un proveedor de servicios financieros fue comprometido a través de su canal de desarrollo, el código malicioso se distribuyó a 734 bancos y cooperativas de crédito simultáneamente. Esto no es un solo sistema comprometido; son cientos o miles a la vez.

Las empresas de SaaS enfrentan un riesgo considerable de terceros debido a su dependencia de socios, contratistas y subcontratistas que proveen servicios esenciales pero pueden carecer de estándares y prácticas de ciberseguridad comparables.

"Esto es especialmente cierto para organizaciones más boutique, pero también se da en entidades más grandes", afirma Jeff Le, socio director en 100 Mile Strategies y Visiting Fellow en el National Security Institute. "Las empresas de SaaS pueden no someter a sus socios al mismo nivel de escrutinio, inventario o rigor en la formación que a sus socios internos y partes interesadas."

Los gobiernos de todo el mundo enfrentan desafíos similares, pues suelen depender de herramientas básicas como hojas de Excel y listas estáticas para rastrear a sus socios. Una supervisión efectiva requiere monitoreo continuo más allá de las operaciones internas, incluyendo la evaluación proactiva de entidades de terceros.

"Las pruebas de penetración y los red team son útiles, pero se necesita más que evaluaciones puntuales", añade Le.

Por qué la seguridad tradicional fracasa por completo

Tu manual estándar de seguridad falla estrepitosamente frente a los ataques a la cadena de suministro:

  • La verificación de firmas no sirve: Las actualizaciones comprometidas están firmadas digitalmente por el proveedor legítimo usando sus certificados reales, y tus herramientas de seguridad las ven como 100% legítimas.
  • El monitoreo de comportamiento no lo detecta: Como el código malicioso se ejecuta dentro de una aplicación confiable, su comportamiento suele confundirse con actividades legítimas.
  • Las evaluaciones de proveedores generan falsa confianza: He visto empresas con auditorías de seguridad impecables convertirse en la fuente de enormes compromisos de la cadena de suministro pocas semanas después.

El ataque de SolarWinds no fue una anomalía, sino un anticipo de la nueva normalidad. La mayoría de los CTO con los que hablo siguen sin estar preparados en absoluto para esta realidad.

Defensa ante amenazas de ciberseguridad

Defenderse de los ataques a la cadena de suministro requiere un enfoque fundamentalmente diferente, pero no significa abandonar a tus proveedores ni construir todo internamente:

  • Mi opinión impopular: Confianza cero para las actualizaciones: Incluso las actualizaciones firmadas de proveedores de confianza deben tratarse como potencialmente comprometidas. Una organización de atención médica con la que trabajé implementó una política de 72 horas de pruebas en un entorno aislado para todas las actualizaciones de software antes de hacer el despliegue generalizado. En seis meses, detectaron dos actualizaciones comprometidas que de otro modo habrían pasado desapercibidas.
  • Las listas de materiales de software (SBOM) son innegociables: Empieza a exigir SBOM detallados a cada proveedor. Cuando un cliente del sector manufacturero hizo esto obligatorio, descubrieron que el 40% de sus proveedores ni siquiera podía generar una lista completa de los componentes de su software. Esa es una señal de alerta que no puedes ignorar.
  • Autoprotección de aplicaciones en tiempo de ejecución (RASP): Implementa soluciones que detecten y bloqueen comportamientos sospechosos sin importar su origen. Esto brinda defensa incluso cuando las aplicaciones de confianza se comportan de manera maliciosa.
  • Segmentación de proveedores que realmente funciona: Crea segmentos de red que limiten lo que tus proveedores pueden acceder, incluso cuando su software funciona como fue diseñado. Un minorista al que asesoré restringió el software de su proveedor de punto de venta para que solo accediera a lo necesario. Cuando ese proveedor fue comprometido más adelante, el ataque se contuvo en un pequeño subconjunto de sistemas.

Los ataques a la cadena de suministro no van a desaparecer; de hecho, están aumentando en frecuencia y sofisticación. Pero con el enfoque correcto, puedes reducir drásticamente tu exposición sin frenar la operación del negocio.

No seas el CTO que tiene que explicarle al consejo por qué confiaste más en la seguridad de un proveedor que en la tuya. Construye seguridad asumiendo que incluso tus socios más confiables pueden estar comprometidos, porque eventualmente alguno lo estará.

Pasos Prácticos

Tras implementar protecciones contra ataques MitM en diversas organizaciones, esto es lo que realmente funciona en la práctica:

Controles Técnicos que Ofrecen Resultados

  • Fijación de certificados con alternativas: La fijación estándar de certificados suele fallar fácilmente. Implementa fijación dinámica con modos de fallo apropiados. Un cliente financiero redujo su exposición ante ataques MitM en un 87% mientras mantenía la disponibilidad de su app al 99,9% usando este enfoque.
  • Implementación de DNS sobre HTTPS (DoH): Mover tus consultas DNS a canales cifrados previene muchas técnicas MitM. Una vez implementado correctamente, resulta casi invisible para los usuarios, y reduce drásticamente la superficie de ataque.
  • Autenticación multicanal: Verifica acciones críticas a través de un canal distinto. Cuando un cliente del sector salud puso en práctica la verificación fuera de banda para los cambios en el acceso a sistemas de proveedores, detuvieron tres intentos MitM en el primer mes.
  • Confianza cero también para el tráfico interno: La idea de que el tráfico interno es "seguro" está obsoleta. Implementa la misma verificación para las comunicaciones entre servidores que harías para el tráfico externo.

Cambios de Proceso que Detienen Amenazas de Ciberseguridad de Raíz

  • La regla de verificación en dos canales: Cualquier cambio financiero (datos bancarios, información de pagos) debe verificarse por un canal de comunicación distinto. Esta sencilla política detuvo el 94% de los intentos de fraude financiero en una empresa con la que trabajé.
  • La política de "solo contactos conocidos": Establece un directorio de contactos verificados para proveedores y socios clave, y solo procesa solicitudes financieras provenientes de estos contactos pre-verificados.
  • La revisión de anomalías en transacciones: Implementa sistemas automatizados que señalen cambios repentinos en los patrones de transacciones, como cuentas bancarias nuevas, importes inusuales o destinatarios inesperados.

El Factor Humano: Hacer que la Seguridad Sea Intuitiva

  • Microentrenamiento de tres minutos: Olvídate de capacitaciones largas de seguridad. He implementado videos de seguridad de 3 minutos a través de Slack/Teams enfocados en una amenaza específica a la vez. La participación y retención mejoraron enormemente comparado con la formación tradicional.
  • La cultura de "pausa y verifica": Fomenta una cultura en la que verificar se celebre, no se vea como una molestia. Reconoce públicamente a los miembros del equipo que detecten intentos MitM potenciales mediante la verificación.
  • El programa de ataques simulados: Realiza ataques MitM simulados (pero éticos) con regularidad a tu equipo. Las empresas que hacen esto ven una reducción del 76% en intentos exitosos de ingeniería social a lo largo del tiempo.

Implementación de Amenazas de Ciberseguridad

Mira, lo entiendo: estás equilibrando la seguridad y la operatividad del negocio.

Aquí tienes un enfoque por fases que no destruirá la productividad:

  1. Empieza con los objetivos de mayor valor: Primero, protege los sistemas financieros, los servicios de autenticación y las transferencias de datos sensibles. Obtendrás el 80% del beneficio de protección con solo el 20% del esfuerzo.
  2. Introduce procesos de verificación: Añade pasos de verificación humana para cambios críticos antes de implementar controles técnicos que puedan interrumpir las operaciones.
  3. Despliega los controles técnicos gradualmente: Comienza con la monitorización antes de bloquear, implementa primero en entornos de prueba y asegúrate de tener procedimientos claros de reversión.
  4. Haz visible la seguridad sin que sea intrusiva: Las mejores protecciones contra ataques MitM son aquellas que los usuarios apenas notan, pero que dejan claro que la protección está activa.

Palabras de advertencia

He tenido que arreglar demasiados desastres causados por ataques MitM exitosos, y todos tienen algo en común: todos pensaban "no nos va a pasar" o "ya estamos protegidos". La realidad es que estos ataques tienen éxito precisamente porque explotan esta falsa confianza.

No esperes hasta tener que explicarle a la junta directiva cómo tu empresa transfirió $2 millones a la cuenta de un atacante para empezar a actuar. Comienza por lo básico: cifrado, verificación y concienciación, y construye desde ahí.

Panorama de amenazas

Desde que el gusano Morris colapsó sistemas informáticos vitales en 1988, el código malicioso ha estado atacando vulnerabilidades en redes protegidas. Los gusanos son especialmente relevantes en el mundo interconectado del SaaS, ya que pueden replicarse por sí mismos sin necesitar un anfitrión, desplazándose por las redes. 

Katie Sanders

Perspectiva de la industria

Un studio de Odaseva realizado en septiembre de 2022 determinó que el 48% de las organizaciones experimentaron un ataque de ransomware en los 12 meses anteriores. De estos, el 51% fueron ataques dirigidos específicamente a activos SaaS, lo que convierte a este segmento en el más atacado del mercado tecnológico. Con un coste medio de cada brecha de datos que asciende a $4.45 millones, y más de 700.000 plataformas SaaS actualmente en funcionamiento en el mundo, el potencial de daño es inmenso.

Amenazas específicas de ciberseguridad para plataformas SaaS

Los riesgos de seguridad toman varias formas y tienen efectos distintos según el tipo de infraestructura que afecten. Por ejemplo, el 43% de las organizaciones afirman con cierto grado de certeza que han sufrido al menos una brecha de datos que puede atribuirse a una mala configuración de su sistema SaaS.

Un 63% adicional dice que no puede estar seguro de si las malas configuraciones de SaaS son las responsables. Mientras tanto, otra encuesta señala que casi la mitad de las empresas de SaaS encuestadas pasan por alto vulnerabilidades.

En contraste, solo el 17% de las brechas han sido causadas por malas configuraciones de IaaS. Parte de esto parece deberse a la prevalencia de estructuras de permisos demasiado complicadas, que prácticamente garantizan intentos regulares de acceso no autorizado.

Las empresas de todo el mundo actualmente están gestionando más de 40 millones de permisos individuales en sus diferentes sistemas SaaS, lo que para los profesionales de la seguridad de datos podría ser como una jungla llena de depredadores.

Aún peor son los sistemas de defensa defectuosos que muchas organizaciones están usando. La empresa promedio tiene casi 4,500 cuentas de usuario internas sin autenticación multifactor (MFA). Dado que la MFA es, probablemente, la medida más eficaz para prevenir brechas de datos, esto crea un núcleo blando que puede ser explotado por prácticamente cualquier atacante que consiga atravesar la primera barrera.

La vulnerabilidad única que comparten las redes SaaS ha llevado al auge del modelo de responsabilidad compartida en la defensa contra ciberataques. Esto divide el trabajo de forma clara entre los usuarios y los proveedores de la nube.

Aunque el lugar exacto donde se establece el límite varía, el modelo básico implica que los usuarios se responsabilizan de los activos que suben a la nube mientras que el proveedor de ciberseguridad gestiona la seguridad de las aplicaciones nativas en la nube.

Dicho esto, Le señala que CSET es clave para alinear a la dirección y a los equipos en torno a expectativas compartidas y procedimientos operativos estándar. Además, sostiene que la ciberseguridad debe ser una responsabilidad colectiva en toda la organización, y no solo del CISO o del personal técnico, ya que el error humano sigue siendo el eslabón más débil de la cadena de seguridad.

"Con la proliferación de herramientas ofensivas impulsadas por IA, como el ransomware como servicio y otros exploits nefastos, los principios de confianza cero deben extenderse al nivel ejecutivo y de la junta directiva para demostrar que la seguridad es una prioridad, no solo un eslogan", añade Le.

Construyendo una cultura de concienciación

Una buena seguridad de la información comienza con un equipo vigilante y consciente de las amenazas que enfrenta. Eso inicia con un mayor conocimiento de los riesgos, que puedes abordar de varias maneras.

Las reuniones trimestrales o mensuales para todo el personal y un módulo de formación anual son un buen inicio.

Los empleados con acceso a información sensible deberían recibir recordatorios y formaciones de reciclaje más frecuentes, idealmente de manera mensual o más.

Habla en su idioma: riesgo, ingresos y reputación. He tenido éxito enmarcando las amenazas cibernéticas como riesgos comerciales, no problemas técnicos. Por ejemplo, en vez de decir, “Necesitamos protección de endpoints”, digo: “Esta inversión reduce la posibilidad de un ataque de ransomware que podría paralizar las operaciones y costar $250K en tiempo de inactividad”.

El poder de las auditorías regulares de ciberseguridad

Debes respaldar tu programa de formación con auditorías de seguridad regulares. Esto es un componente fundamental de la mayoría de las estrategias de gestión de riesgos y mitigación. Puedes revisar tanto la arquitectura de seguridad interna como los ataques externos mediante actores de amenazas simulados.

Los esfuerzos de hacking ético pueden identificar debilidades y explotar vulnerabilidades de forma que podrían no detectarse con revisiones internas menos intensivas.

Invierte en las herramientas y tecnologías adecuadas

Si bien las personas son esenciales, solo pueden hacer lo que sus herramientas les permiten. Tómate el tiempo de invertir en software de ciberseguridad que realmente haga más seguras tus redes.

Herramientas esenciales de ciberseguridad para SaaS

Algunas herramientas de seguridad son tan básicas que todo el mundo debería tenerlas. Además de lo más obvio como una buena protección de firewall y contraseñas sólidas, prueba estas para empezar:

Piense en cómo gestiona sus permisos. Existen muchas herramientas que le ayudan a restringir el acceso no autorizado a datos sensibles y al mismo tiempo permiten inicios de sesión rápidos y seguros a las personas autorizadas. Estas herramientas están disponibles en el mercado por parte de varias empresas, pero todas se dividen en las mismas cuatro categorías:

  • Control de acceso obligatorio (MAC)
  • Control de acceso basado en roles (RBAC)
  • Control de acceso discrecional (DAC)
  • Control de acceso basado en reglas (RBAC o RB-RBAC)

Evaluar y seleccionar soluciones ante amenazas de ciberseguridad

A medida que agregue funciones de seguridad, es importante no exagerar. Una herramienta es solo una herramienta, y el martillo más caro del mundo es un pisapapeles cuando en realidad necesita un destornillador. Invierta únicamente en las herramientas que pueda utilizar y enfoque la selección en equipar a los equipos en lugar de perseguir los gadgets más llamativos.

Por ello, necesita una forma de evaluar las herramientas de seguridad a medida que las va probando. Idealmente, sus métricas serán objetivas y verificables por todas las partes, en lugar de simplemente basarse en lo que le gusta. Concéntrese en la escalabilidad de la herramienta, su capacidad de integrarse con su sistema operativo y aplicaciones actuales, y qué tan bien puede utilizarse en un ecosistema SaaS dinámico.  

Taylor señala que un enfoque poco convencional pero efectivo es el phishing "positivo". "Las organizaciones que convierten en juego la ciberseguridad y recompensan el buen comportamiento generan una cultura de concienciación.

Ya no es seguridad de "te pillé", ahora es seguridad de "estamos en esto juntos", continúa.

CISA: Tu arma secreta que la mayoría de los CTOs pasa completamente por alto

Hablemos del recurso más infrautilizado en su arsenal de seguridad. Mientras gasta seis cifras en herramientas de seguridad sofisticadas y consultores, hay una agencia gubernamental que, de manera silenciosa, publica inteligencia que podría ahorrar a su empresa millones, y la mayoría de los CTOs que conozco apenas la están aprovechando.

Por qué CISA no es solo otro acrónimo gubernamental

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) no es una oficina burocrática que difunde advertencias anticuadas.

Se ha convertido en una potencia en ciberseguridad que merece su atención:

  • Ellos ven lo que usted no ve: CISA tiene visibilidad sobre infraestructuras críticas, sistemas gubernamentales y miles de brechas en el sector privado. Cuando implementé las recomendaciones de CISA después del ataque a SolarWinds, identificamos indicadores de compromiso en nuestro entorno que ninguna de nuestras herramientas comerciales detectó, tres semanas antes de que nuestro proveedor de seguridad publicara reglas de detección.
  • Son más rápidos que sus proveedores: Tras una vulnerabilidad de día cero importante el año pasado, CISA publicó una guía de mitigación accionable en 48 horas, mientras la mayoría de los proveedores de seguridad aún estaban redactando sus correos de marketing sobre la amenaza. El tiempo es el recurso más valioso durante un ataque, y CISA siempre responde cuando más importa.
  • Hablan el idioma tanto del CEO como el técnico: Sus recomendaciones equilibran la profundidad técnica con el impacto empresarial, perfecto para traducir amenazas a su equipo ejecutivo sin diluir los detalles técnicos cruciales que su equipo de seguridad necesita.

Dicho esto, según Jeff Le, director general de 100 Mile Strategies y investigador visitante en el Instituto Nacional de Seguridad, implementar las mejores prácticas de CISA trabajando con empresas y soluciones que siguen los principios de Secure by Design ayuda a reducir variables desconocidas. Sin embargo, agrega que ha visto a organizaciones dar mayor prioridad a la configuración de seguridad para Microsoft 365 y Google Workspace.

"Ambos utilizan recursos que promueven una visibilidad ampliable, que es aún más relevante en entornos en la nube y ayuda a cubrir brechas y mitigar riesgos", continúa.

Le expresa también que "una estructura clara que conecte las operaciones con el Marco de Ciberseguridad de NIST 2.0 brinda a todos una hoja de ruta y recordatorios para volver a mantener una higiene básica y reducir la complejidad innecesaria, especialmente enfocándose en los aspectos de gobierno e identificación."

Cómo responder ante incidentes de ciberseguridad

Bien, ya ha implementado excelentes herramientas de seguridad y todo el mundo en la empresa está alerta acerca de la información confidencial. Aun así, ocurre una brecha, y está sucediendo ahora mismo. ¿Qué hacer?

Planificación de la respuesta ante incidentes

Idealmente, ya contará con un plan que pueda consultar cuando llegue la emergencia inevitable. Diferentes tipos de ataques requieren diferentes estrategias y quizás necesite varios planes de respuesta. Esto significa que antes de poder responder a la amenaza, debe identificarla y activar su respuesta.

Una vez que haya identificado la amenaza (en este caso, un ataque DDoS), debe aislarla lo más rápido posible. La compartimentación de datos es su aliada aquí, como los compartimentos estancos en un barco de vela. Con cortafuegos internos y una respuesta rápida, normalmente puede limitar el acceso del atacante y el tiempo que puede permanecer en sus sistemas.

El siguiente paso es la erradicación. En el caso de un ataque DDoS, puede iniciar un bloqueo de IP. Podría cambiar a servidores de reserva, alertar a su proveedor de servicios en la nube y avisar a las autoridades para que inicien una investigación. Espere hasta que termine el ataque antes de comenzar los esfuerzos de recuperación.

Comunicación de Crisis por Amenazas de Ciberseguridad: Interna y Externa

La comunicación entre los interesados es crucial aquí. Puede que necesite que muchas personas trabajen juntas desde diferentes ubicaciones para detener la amenaza de manera efectiva. Como en la fase de detección y respuesta inicial, debe tener un plan para configurar los canales de comunicación lo antes posible e incluir varias opciones con rutas diversas, para que ningún canal pueda ser comprometido por completo.

Por ejemplo, si sus sistemas de memos internos y correo electrónico están bajo ataque, todos deben saber cómo identificarlo y tener claro que usted enviará mensajes de texto en su lugar. En casos extremos, incluso podría comunicarse por DM con los líderes de equipo a través de redes sociales.

Análisis y Recuperación Posterior al Incidente

Cuando todo haya terminado, es momento de recuperarse. Restaure cualquier dato perdido e intente que su sitio web vuelva a estar en línea. Revise los registros para ver dónde se produjo el daño y restaure sus respaldos. Organice una reunión posterior al incidente para establecer qué ocurrió, dónde estaba la debilidad y cómo mejorar de ahora en adelante.

El Motor de Inteligencia de CISA: Cómo Utilizarlo

Deje de tratar las alertas de CISA como otro boletín de seguridad que llena su bandeja de entrada. Así es como los CTO exitosos aprovechan este recurso:

  • El Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) es oro puro: El KEV de CISA no pierde el tiempo con vulnerabilidades teóricas: se enfoca exclusivamente en aquellas que realmente están siendo explotadas. He ayudado a empresas a crear flujos de trabajo de parches automatizados que se activan directamente con las actualizaciones del KEV, reduciendo su tiempo promedio de remediación de 27 días a solo 4 días.
  • Sus alertas deben guiar los protocolos de respuesta: Una organización de salud a la que asesoré construyó plantillas de respuesta basadas en las categorías de alertas CISA, con acciones pre-aprobadas para cada nivel de severidad. Esto eliminó la parálisis decisoria durante los incidentes y aceleró su tiempo de respuesta promedio en un 64%.
  • Inteligencia específica del sector que no consigue en otros lugares: Los equipos de gestión de riesgos sectoriales de CISA ofrecen información de amenazas específica para cada industria que los proveedores comerciales no pueden igualar. Este tipo de inteligencia es invaluable para industrias reguladas que necesitan comprender a fondo su panorama de amenazas.

Más Allá de las Alertas de Amenazas: Servicios de CISA que Aportan Valor Real

CISA ofrece servicios gratuitos que rivalizan con aquellos por los que paga a sus proveedores:

  • DNS protector: imprescindible: Su servicio de DNS Protector bloquea dominios maliciosos basándose en inteligencia federal y está disponible sin costo para infraestructuras críticas públicas y privadas. Cuando una empresa de energía con la que trabajé lo implementó, vio una reducción del 72% en intentos de phishing exitosos en solo 90 días.
  • El proyecto SCuBA para seguridad en la nube: El proyecto de Aplicaciones Empresariales Seguras en la Nube (Secure Cloud Business Applications) de CISA brinda orientación precisa para la seguridad en la nube, sin el humo y espejos del marketing de los proveedores. Sus recomendaciones básicas han ayudado a múltiples clientes a cerrar brechas críticas de seguridad en la nube que herramientas comerciales pasaron por alto.
  • Pen testing gratuito que no está usando: A través de su programa de Evaluación de Riesgos y Vulnerabilidades, CISA ofrece a organizaciones de infraestructura crítica pruebas de penetración gratuitas. No se trata de analistas novatos: son profesionales experimentados que han visto los peores ataques en varias industrias.

Cómo Hacer que CISA Funcione en su Programa de Seguridad

Así puede operacionalizar la inteligencia de CISA sin generar más trabajo:

  • Automatice las alertas de CISA dentro de su flujo de seguridad: Configure la integración directa de sus feeds en su sistema de tickets o plataforma SOAR. Un cliente del sector manufacturero redujo el tiempo de triaje de vulnerabilidades en un 40% automatizando las entradas de KEV de CISA directamente a tickets de parches priorizados.
  • Establezca una revisión periódica de CISA: Asigne a un miembro del equipo para que dedique 30 minutos semanales a revisar las nuevas publicaciones de CISA y comparta los hallazgos más relevantes en sus reuniones de seguridad. Esta pequeña inversión genera enormes dividendos.
  • Aproveche sus recursos de respuesta a incidentes antes de necesitarlos: Contacte con su equipo regional de CISA antes de que ocurra una crisis. Un minorista a quien aconsejé tuvo expertos de CISA en el sitio en cuestión de horas tras una brecha importante porque habían establecido esa relación meses antes.

Los líderes de seguridad más efectivos que conozco no solo consumen la inteligencia de CISA: participan activamente en sus programas de intercambio de información, proporcionando retroalimentación que fortalece todo el ecosistema.

No seas el CTO que, tras una brecha, corre a implementar las directrices de la CISA. Hazlas una parte integral de tu estrategia de seguridad hoy, y ganarás un aliado invaluable para defender a tu organización de amenazas que la mayoría de las herramientas comerciales no detectarán hasta que sea demasiado tarde.

Regulaciones de la Industria

Los gobiernos de todo el mundo adoran regular las industrias con gran carga tecnológica, y un buen incidente de seguridad clásico atraerá su atención como nunca. Prepárate para responder preguntas difíciles después de una brecha. 

Entendiendo el GDPR, CCPA y Otras Regulaciones

La Ley de Privacidad del Consumidor de California (CCPA) y el Reglamento General de Protección de Datos de la Unión Europea (GDPR) son el estándar de oro en regulaciones sobre seguridad de datos. Ambas son relevantes para las empresas que gestionan información a través de fronteras, ya que probablemente debas cumplir con ambas. 

El GDPR es probablemente el más restrictivo, ya que establece seis fundamentos legales específicos para que una empresa trate los datos del consumidor. El CCPA no hace esto, pero exige que todo el manejo de datos sea legal y no fraudulento. La norma de la UE es solo regulatoria, mientras que California cuenta con reguladores y un código legal específico desde el cual operar. 

Luego está HIPAA. Si tu empresa maneja historiales médicos en Estados Unidos, la Ley de Portabilidad y Responsabilidad de Seguros de Salud impone estándares y sanciones para la información médica en manos de entidades privadas. 

Mantente Seguro

El panorama de amenazas en ciberseguridad plantea nuevos retos a las organizaciones cada día. Para profundizar tu comprensión sobre cómo contrarrestar estas amenazas, explorar una variedad de libros sobre ciberseguridad puede ofrecer el conocimiento fundamental y las estrategias avanzadas esenciales para el arsenal de cualquier líder tecnológico.

Anticiparse a estas amenazas requiere conocimiento actualizado y una comunidad de líderes informados que compartan ideas y estrategias. Existen muchos recursos de ciberseguridad disponibles muy destacados para que puedas aprender más. Para los CTOs y líderes tecnológicos que se encuentran a la vanguardia de la innovación y defensa en ciberseguridad, únete a nuestro boletín para recibir consejos expertos y soluciones de última generación en ciberseguridad.

Preguntas frecuentes: Mejorando tu estrategia frente a amenazas de ciberseguridad

¿Cuáles son los primeros pasos a seguir después de identificar una amenaza de ciberseguridad?

No puedes combatir lo que no has identificado. Comienza por reconocer que el ataque está en curso o es inminente, luego aíslalo para limitar el daño que puede causar. Implementa tu plan de contención de emergencia e intenta detener el ataque. Finalmente, programa una reunión de retroalimentación para que el equipo de seguridad analice lo que sucedió, qué falló y qué funcionó bien.

¿Cómo puedo convencer a los interesados para que inviertan en la protección contra amenazas de ciberseguridad?

Los interesados tienen interés en la rentabilidad y funcionamiento continuos de tu empresa. Simplemente mostrar estadísticas sobre cuán comunes son los ataques y lo costosos que pueden ser es suficiente para la mayoría. Si aún no lo logras, intenta proponer algunas mejoras relativamente asequibles, como instalar MFA en tus redes Wi-Fi, para luego informar sobre los resultados obtenidos.

¿Cuál es un mito común sobre amenazas de ciberseguridad?

El mito más común sobre ciberseguridad es pensar que los ciberdelincuentes no tienen razones para atacar tu red. Incluso si no manejas tarjetas de crédito o información de seguridad nacional, lo más probable es que poseas información confidencial que vale algunos dólares. Los hackers motivados por el beneficio económico siempre estarán interesados en vulnerar tus sistemas.