Si recibes un ciberataque, es posible que no te des cuenta. Y es que algunos ‘crackeos‘ tienen el objetivo de recabar datos de forma periódica o dar acceso a un ciberdelincuente a tu equipo para que pueda manejar de forma remota algunas funciones. Por eso, tratarán de pasar lo más desapercibido posible. Un evento malicioso puede permanecer activo sin que el usuario se dé cuenta durante días, meses o incluso años.
Un ejemplo reciente es ‘Sea Turtle’. Este ciberataque, que ha sido desvelado por el grupo de inteligencia Talos, consiguió sustraer nombres de usuarios y contraseñas de agencias gubernamentales en Oriente Medio y el Norte de África de al menos 13 países. Y lo hizo desde enero de 2017 hasta principios de 2019. Es decir, estuvo dos años actuando sin que nadie se percatase del incidente.
Para evitar este tipo de situaciones, las organizaciones cada vez se apoyan más en una técnica denominada ‘Threat Hunting’. Este procedimiento proactivo pretende encontrar y eliminar los ciberataques que han logrado traspasar las barreras de seguridad sin saltar la alarma; frente a las investigaciones tradicionales, realizadas tras detectar una actividad potencialmente maliciosa.
Así se desprende del último informe de seguridad de Cisco, que analiza los detalles sobre esta disciplina, incluyendo sus beneficios, cuándo y cómo aplicarla. Incluso cuando no se descubre una amenaza concreta, a menudo identifica debilidades y políticas a reforzar, reduciendo la superficie de ataque para futuros ciberdelincuentes.
Tiempo de Detección y Tiempo de Remediación
Aunque las organizaciones están mejorando a la hora de construir defensas, detectar amenazas y evitar brechas, el 65% de los responsables de seguridad –CISOs– siguen encontrando difícil determinar el alcance de un ataque, contenerlo y remediarlo, según el informe anual Cisco CISO Benchmark Study 2019.
Es así como los CISOs están midiendo más la efectividad de la seguridad en función del ‘Tiempo de Remediación’ -del 30% en 2018 al 48% en 2019-, y menos en función del ‘Tiempo de Detección’ y del ‘Tiempo de Parcheo’. Técnicas como Threat Hunting, IA/ML y una mayor automatización permiten reducir estos tiempos.
