"La Argentina, y toda Latinoamérica, se encuentra relegada en cuanto a inversión en seguridad y por eso es blanco fácil de ataques", advirtió Oscar Chavez Arrieta, vicepresidente para la región de Sophos, uno de los principales proveedores globales de sistemas de seguridad informática.

En la siguiente entrevista con iProfesional , Chavez afirmó que "las empresas en Latinoamérica ya saben que tienen que adoptar inteligencia artificial y ‘cloud’ pero lo que veo es temor de moverse hacia allá debido a la falta de entrenamiento".

Responsable del desempeño general y la dirección estratégica de Sophos en más de 50 países, incluidos Brasil, México, América Central, América del Sur y el Caribe, Chavez trabajó antes en Symantec, otro jugador fuerte del mercado de seguridad informática, donde dirigió la transformación de ventas en América latina. Durante su gestión, Sophos Latinoamérica ha crecido diez veces más que la industria de la seguridad, cuatro veces más rápido que la empresa.

-¿Cuáles fueron los principales vectores de ataques en 2018 en la Argentina? ¿Qué cambios sustanciales prevén en ese sentido con respecto a lo sucedido en 2017?

Los ataques dirigidos ganaron popularidad en el 2018, y cosecharon recompensas. Lo viejo es nuevo otra vez. Los delincuentes cibernéticos en 2018 pusieron ese mismo tipo de toque personal en el método de ataque más lucrativo del año.

Sophos ha estado siguiendo de cerca la creciente amenaza de ataques altamente dirigidos, en los que uno o más delincuentes ingresan manualmente en la computadora de una empresa, deshabilitan o evaden las herramientas de seguridad internas en tiempo real y lanzan malware en redes completas de máquinas, todo al mismo tiempo.

Una gran ventaja de esta metodología práctica es que les brinda a los atacantes la capacidad de trabajar a través de impedimentos que de otra manera evitarían la finalización de su tarea. En ocasiones, eso implica ejecutar comandos o software adicional que deshabilita los métodos de protección en "endpoints" o en la red.

Los documentos de Office han estado en el centro de los ataques durante varios años, pero la mayoría de ellos requieren que el usuario active el código de script de macros incrustado en los documentos.

Los atacantes de los últimos años dedicaron una cantidad considerable de esfuerzo a crear y refinar los documentos que incitan a las víctimas a tomar medidas específicas para deshabilitar las protecciones diseñadas para frustrar los scripts de macros maliciosos.

Aunque el conjunto de aplicaciones de Office lanza varios avisos de precaución en la ruta del usuario, aún se puede convencer a las personas para que habiliten las secuencias de comandos o desactiven el "modo de vista previa" para los documentos de Office que se originaron en una descarga de Internet o en un archivo adjunto de correo electrónico.

Los delincuentes utilizan herramientas especiales, llamadas "Builders", para generar estos documentos maliciosos. Las herramientas saben cómo escribir el código de explotación hostil o la macro en el archivo de documento.

En los últimos 12 meses, los fabricantes de Builder han hecho un cambio dramático lejos de explotaciones antiguas, algunas de las cuales han estado en uso durante muchos años.

Los exploits anteriores a 2017 representaron el contenido de menos del 3% de las muestras que examinamos en una encuesta reciente de SophosLabs sobre documentos maliciosos.

-¿Qué proyectan para 2019 en materia de vectores de ataques?

-Según nuestros expertos de SophosLabs, el "ransomware" (programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado, y pide un rescate a cambio de quitar esta restricción) oportunista no va a desaparecer, el malware para dispositivos móviles seguirá siendo un problema y los servidores continuarán sufriendo ataques.

Y, aunque en los últimos años las empresas han invertido en tecnología de próxima generación para proteger los puntos finales, la seguridad del servidor se ha desviado a pesar de los datos de alto valor que a menudo se almacenan allí.

Los ciberdelincuentes que se aprovechan de las vulnerabilidades de los servidores, posiblemente más difíciles de parchear o monitorear, pueden penetrar en la red de una empresa para infligir un daño grave, mientras que los "cryptominers" son capaces de pasar inadvertidos durante meses robando los recursos de la compañía, solo para mencionar algunos peligros.

Como resultado, en 2019 las compañías necesitarán repensar la seguridad de sus servidores con un enfoque en capas, que incluya protección específica para éstos. Otro punto importante que las empresas deben cuidar es la información subida al cloud, la cual necesita una administración y respuesta avanzada.

-¿Cómo se posiciona la región en cuanto a la adopción de soluciones con inteligencia artificial?

-La Argentina, y toda Latinoamérica, se encuentra relegada en cuanto a inversión en seguridad y por eso es blanco fácil de ataques. La evolución de los ciberataques de ransomware como Wannacry, Petya, SamSam y Matrix, el criptojacking y el robo o fuga de datos se han convertido en problemas importante para los negocios y, mientras en todo el mundo se ha avanzado en la adopción de soluciones anti-ransomware con inteligencia artificial (IA) y seguridad sincronizada, América latina aún se encuentra desprotegida.

Las empresas en Latinoamérica ya saben que tienen que adoptar inteligencia artificial y cloud pero lo que veo es temor de moverse hacia allá debido a la falta de entrenamiento.

-¿Qué mercados verticales creen serán los principales objetivos de ataques?

-Los ciberdelincuentes buscan el punto más débil, donde les es más fácil acceder. Los objetivos de ataques varían de acuerdo al mercado: en América latina el foco principal está puesto en ganar dinero, por lo que, por ejemplo, verticales como banca y retail son más propensos a ser blancos de ataques.

También la banca ha sido y seguirá siendo un vertical interesante para los ciberdelincuentes. El mercado financiero no sólo está siendo atacado, sino que no sabe cómo enfrentar el problema, tiene un excelente plan de contingencia, lo que no tiene es la posibilidad de entender la causa raíz de lo que lo está atacando y, como el malware también se basa en comportamiento, comienza a avanzar para otros lados.

-¿Cuáles son los claves de una estrategia de seguridad que deberían tener en cuenta las organizaciones ante este panorama?

-Para modificar este panorama y ser aún más sofisticadas que los hackers, es necesario que las empresas adopten un plan de ciberseguridad disruptivo, que haga posible adelantarse a los ataques, basándose en tres pilares:

* Adopción de seguridad en la nube: Está siendo más lenta en Latinoamérica que en otras partes del mundo, por lo que es importante desmitificar y destacar que la información no se va al cloud, sino que es allí donde se analizan los datos obtenidos y se generan reportes para identificar si estamos ante conductas propias de un usuario o si son ciberataques. La migración hacia el cloud hace que la protección sea más segura.

* Innovación: con el uso de IA y "deep learning", podemos empezar a descubrir si tenemos algún tipo de amenaza o vulnerabilidad. Los algoritmos tradicionales no son capaces de hacerlo. La mejor forma de prevenir y protegerse de un ataque no es no tenerlo sino contar con algún tipo de conducta basada en IA que permita identificar lo que el atacante está haciendo, ver hacia dónde va y cómo bloquearlo.  También es muy importante la seguridad sincronizada, que tanto el perímetro con el endpoint hablen el mismo idioma.

* La seguridad como servicio: Todos los productos de seguridad de TI se convertirán en servicios adaptados y administrados a medida que más organizaciones se den cuenta que no pueden escalar sus recursos lo suficientemente rápido para responder a las amenazas actuales.

Por lo tanto, para dejar de estar desprotegidas ante los ciberataques más avanzados, las empresas requieren de un nuevo perfilamiento con base en los riesgos propios de la industria y el aprovechamiento de soluciones avanzadas y de nueva generación en seguridad, con capacidades de conocimiento e inteligencia artificial para contrarrestar ciberataques que se vuelven aún más personalizados.

Latinoamérica necesita que las empresas sean responsables con sus clientes y con sus propios negocios, esto no es complicado, ya existe la tecnología.

-¿Qué líneas de productos creen que crecerán más en demanda este año? ¿Por qué?

-En los últimos años hemos visto en la industria la necesidad de soluciones más robustas para proteger las estaciones de trabajo, servidores y dispositivos móviles. Es por ello que vemos una gran demanda desde nuestros socios de negocio y de los clientes finales en utilizar herramientas de EDR (endpoint detect and response), tecnologías que los protejan de manera efectiva ante ataques de ransomware o de malware de día 0 y esto también es llevado a los dispositivos móviles.

Por último, una tendencia que viene creciendo en los últimos años es que las organizaciones están moviendo parte de su infraestructura a la nube pública como AWS (Amazon Web Services), Microsoft Azure o Google Cloud Platform lo que les facilita el mantenimiento del "datacenter". 

Pero mantener el seguimiento de esos activos, y mantenerlos seguros, es el desafío más difícil en la seguridad de la nube. Por esta razón la nueva solución de Sophos Optix ayuda a las empresas a tener mayor visiblidad, administración y control de los activos que tiene en diferentes nubes públicas.