En el vasto e interconectado reino del panorama digital se está gestando una insidiosa tormenta. Esta tormenta, tal y como revela el Coordinador Nacional Holandés para la Seguridad y la Lucha contra el Terrorismo (NCTV) en su Evaluación de la Ciberseguridad en los Países Bajos 2022, se está convirtiendo rápidamente en la nueva norma: ciberataques y ataques internos orquestados por agentes de estados-nación (The National Coordinator for Counterterrorism and Security, 2022). Un ejemplo bien conocido que ejemplifica la magnitud de las ciberamenazas de los estados-nación es el ciberataque a SolarWinds. Este incidente tuvo consecuencias de gran alcance, creando una ola de trastornos para numerosas organizaciones.
A medida que estas amenazas siguen aumentando, expertos en ciberseguridad como Marcel Van Kaam, de KPMG, y John Mancini, de Vectra AI , dan un paso al frente como hábiles navegantes, guiándonos a través del traicionero terreno de las ciberamenazas de los estados-nación. Estos fueron los temas del seminario web de KPMG y VectraVectra AI sobre ciberresiliencia frente a las amenazas de los Estados nación , emitido el14 de junio y disponible bajo demanda aquí. El tercer miembro del panel fue John O'Callaghan (JC), que se incorporó a Vectra AI AI tras experimentar en primera persona el ataque a SolarWinds mientras trabajaba para la empresa. En este blogpost, vamos a destacar los temas tratados y la información compartida por nuestro panel de KPMG y Vectra AI.
Desvelar los actores de la amenaza del Estado-nación:
Para empezar con urgencia, es evidente que para navegar por formas de trabajo cada vez más internacionales y contrarrestar los ciberataques patrocinados por el Estado, las organizaciones deben comprender el panorama más amplio de las amenazas y elaborar una estrategia de seguridad acertada. Esta estrategia incluye distinguir las amenazas genuinas de los falsos positivos y reconocer el papel fundamental de la eficacia de la seguridad a través de las personas, los procesos y la tecnología. Las tecnologías basadas en IA pueden desempeñar un papel clave para aumentar la eficacia de las capacidades de detección y respuesta.
Para reforzar la estrategia de seguridad, también es esencial comprender a las partes adversarias con las que se está tratando. En el caso de los actores de amenazas del Estado-nación, hablamos de grupos o individuos que reciben apoyo de los gobiernos y trabajan en nombre de las agencias de inteligencia para llevar a cabo operaciones cibernéticas alineadas con los objetivos estratégicos de su nación. Estos adversarios despliegan técnicas sofisticadas como las Amenazas Persistentes Avanzadas (APT, por sus siglas en inglés ) y aprovechan importantes recursos, como capacidades técnicas avanzadas, operaciones de espionaje y una amplia financiación. Para mantener una negación plausible, las agencias de inteligencia operan en secreto, con el objetivo de permanecer en el anonimato y negar cualquier implicación. Por lo tanto, más que centrarse en la atribución, las organizaciones deben equiparse con defensas sólidas y estrategias de respuesta eficaces contra un amplio espectro de amenazas, comprendiendo así el panorama de amenazas más amplio en lugar de centrarse en adversarios específicos.
El panorama de las amenazas gira en torno a los objetivos de los atacantes de los Estados-nación. Los que se centran en aumentar la influencia política tienden a dirigirse a los departamentos gubernamentales, que siguen siendo el principal objetivo de los ciberataques de los Estados-nación. Para obtener ventajas económicas, se dedican al robo de propiedad intelectual, apuntando a una amplia gama de sectores como instituciones de investigación, industrias de defensa, tecnologías emergentes e incluso artículos aparentemente cotidianos. Las infraestructuras críticas, como las redes eléctricas, los sistemas de comunicación y los ferrocarriles, constituyen otro sector en el que los Estados-nación suponen un grave peligro. Los ciberataques dirigidos a sabotear estos sistemas vitales pueden desencadenar trastornos sociales generalizados e infligir graves daños económicos. Marcel señaló una tendencia preocupante según la cual varias naciones están cada vez más dispuestas a asumir mayores riesgos, combinando acciones de represalia física o militar a los ciberataques.
Para arrojar más luz sobre estos recientes avances de los actores de las amenazas de los Estados-nación y su modus operandi, nuestro panel debatió las nuevas tendencias y puntos de vista. John hizo hincapié en la ineficacia de las medidas de prevención tradicionales contra amenazas avanzadas como phishing, los días cero y otros exploits bien probados. En su lugar, se habló de la importancia de centrarse en las actividades internas de las organizaciones para detectar y responder con prontitud a las inevitables brechas. Marcel se alineó con las perspectivas de John, hablando de ciberataques muy avanzados que implican vulnerabilidades de software desconocidas y ataques a la cadena de suministro. Sin embargo, también hizo hincapié en que muchas organizaciones aún carecen de una preparación adecuada en materia de ciberseguridad, descuidando a menudo prácticas básicas que se convierten en puntos principales de explotación.
Más allá del ámbito digital, Marcel se basó en su experiencia como oficial de inteligencia, destacando la importancia de reconocer las tácticas no digitales empleadas por los actores del Estado-nación. Estas tácticas abarcan una amplia gama de estrategias, como el reclutamiento de espías, la explotación de colaboraciones académicas internacionales, la difusión de información falsa, la realización de campañas de influencia política e incluso la toma de empresas para acceder a fuentes de información. Defenderse contra ataques tan polifacéticos resulta ser una tarea increíblemente difícil para las organizaciones.
Navegando a través de la tormenta: Medidas de protección para las organizaciones:
Para abordar esta difícil tarea, las organizaciones que deseen defenderse de las amenazas de los Estados-nación deben adoptar medidas estratégicas y proactivas. Es crucial iniciar conversaciones en los consejos de administración para crear conciencia y hacer hincapié en la importancia de preservar la ventaja competitiva de la organización. Al reconocer los riesgos tangibles que plantean las amenazas de los estados-nación, las empresas pueden infundir un sentido de urgencia y compromiso para abordar estos retos con eficacia. Así pues, para el último tema del seminario web, nuestro panel nos ilustró con su punto de vista sobre cómo las organizaciones pueden iniciar su andadura de enfrentarse y protegerse contra las amenazas de los estados-nación.
Para incorporar esta amenaza a su estrategia de ciberseguridad, las organizaciones deben empezar por comprender cómo se aplica específicamente el panorama de amenazas a su actividad principal, explicó Marcel. Esto implica identificar los escenarios de amenazas relevantes dentro del espectro de operaciones de inteligencia. Evaluar los posibles ciberataques, tener en cuenta el factor humano en los componentes básicos, comprender las implicaciones de la propiedad de entidades terceras y las leyes de inteligencia extranjera, y evaluar los riesgos asociados a las colaboraciones académicas internacionales son aspectos esenciales de este proceso.
Otro paso fundamental es cuantificar la brecha entre las amenazas identificadas y las capacidades de seguridad existentes. Evaluar las capacidades técnicas, de gobernanza y externas ayuda a las organizaciones a valorar la madurez, cobertura y eficacia técnica de sus medidas de seguridad. Es vital considerar el impacto monetario de las posibles violaciones y compararlo con el valor de la propiedad intelectual. Este análisis facilita las discusiones informadas con el director financiero, permitiendo la priorización de iniciativas de seguridad basadas en consideraciones de coste-beneficio.
Además, Marcel instó a las organizaciones a reconocer que las amenazas de los Estados-nación van más allá de los ciberataques. El espionaje, el reclutamiento interno, la difusión de información falsa y las campañas de influencia política son tácticas empleadas por estos actores. Evaluar las vulnerabilidades en estas áreas y aplicar las medidas de mitigación adecuadas es esencial para apuntalar las defensas. Marcel y su equipo de KPMG ayudan a los clientes a identificar el panorama de las amenazas, cuantificar las necesidades y facilitar el debate en los consejos de administración, tanto en el ámbito de la ciberseguridad como en el de la seguridad física, por ejemplo a través del curso de seguridad en los viajes dirigido a los empleados que viajan por negocios.
La realización de evaluaciones de riesgos exhaustivas, con la ayuda de expertos externos, es crucial para identificar las vulnerabilidades en toda la cadena de suministro de la organización, confirmó JC. Los profesionales externos proporcionan una evaluación objetiva y ofrecen nuevas perspectivas que el personal interno puede pasar por alto debido a prejuicios o distracciones. Algo de lo que fue testigo de primera mano en SolarWinds.
Desde una perspectiva muy técnica, John habló desde su experiencia para aconsejar a las organizaciones que empiecen por averiguar si ya han sufrido una brecha. Detectar las carencias actuales en materia de prevención y visibilidad permite centrar los esfuerzos en mejorar la cobertura, la eficacia y la rentabilidad de las inversiones en seguridad.
Conclusión: aprender a navegar en la tormenta
Ante la tormenta de ciberamenazas de estados-nación que se avecina, las organizaciones deben aceptar que los actores de amenazas nacionales están ahí fuera y motivados para atacarles, ya sea directamente o a través de un ataque a la cadena de suministro. Por lo tanto, es crucial prepararse de forma proactiva y fortalecer sus defensas, pero lo más importante es centrarse en la detección después del acceso inicial, ya que la prevención al 100% es simplemente imposible. Se trata de aprender a navegar en una tormenta que se cruzará en tu camino inevitablemente.
Mediante la participación en debates a nivel directivo, la comprensión de las amenazas específicas aplicables a su actividad principal, la cuantificación de las lagunas en las capacidades de seguridad y la realización de evaluaciones exhaustivas de los riesgos, las organizaciones pueden elaborar una estrategia de seguridad holística y equilibrada en la que la tecnología, los procesos y -lo que es increíblemente importante- las personas estén efectivamente conectados. A través de estas medidas estratégicas, las organizaciones pueden mitigar eficazmente los riesgos que plantean los agentes del Estado-nación, protegiendo su ventaja competitiva, y salir de la tormenta más fuertes que antes.
KPMG y Vectra AI pueden ayudar ya que estos temas, preguntas y adversarios dependen en gran medida de la organización en cuestión. Póngase en contacto con cualquiera de las personas indicadas a continuación para comentar cualquier duda o concertar una cita.
