La justificación última de la seguridad de la información es la necesidad de defender los datos, también frente a los ciberdelincuentes y agentes de amenaza que pretenden monetizar los datos robados para obtener beneficios ya sean geopolíticos o económicos. En los últimos tiempos hemos observado que los atacantes han triplicado los réditos que obtienen de la exfiltración de datos. Cobran por devolver datos robados, por destruir esos mismos datos y además por revelar qué modificaciones han realizado en los datos devueltos.
Imaginemos ahora la cadena de ataque, pero empecemos por el final, cuando el ciberdelincuente ha alcanzado su objetivo, es decir, filtrar los datos. En las organizaciones, los datos no están a la vista, para evitar que cualquiera pueda acceder a ellos. Tienen reglas de acceso que se rigen por quién los solicita. Por ejemplo:
- Un sitio de Microsoft 365 SharePoint tiene reglas de acceso que determinan quién puede descargar archivos sensibles.
- Las credenciales de inicio de sesión de la máquina de un usuario definen quién puede acceder a los archivos de ese equipo.
Estén donde estén, la clave para acceder a los datos está en la identidad. Los ciberdelincuentes son conscientes de ello: saben que, si consiguen la identidad, pueden llegar a los activos más valiosos de una organización. Así que, con el fin de acceder a esos archivos, planifican su ataque, se desplazan lateralmente de una identidad a otra y elevan sus privilegios.
En esta partida de ajedrez, el atacante podría hacerse con las credenciales vulnerables de la cuenta de un administrador local, lo que lo convertiría en un administrador paralelo y le permitiría acceder a los archivos corporativos. En la fase posterior al ataque, la actividad inmediata del perpetrador consiste en desplazarse lateralmente para comprometer identidades.
El papel decisivo del correo electrónico para que los atacantes lleguen a la fase final
Si continuamos analizando retrospectivamente las jugadas de la cadena de ataque a la cadena de suministros, surgen varias preguntas, como: “¿Cuál fue la jugada de apertura del agresor?” y sobre todo “¿Cómo consiguió entrar en la organización?”.
Pues bien, ciñéndonos al tema de la identidad, la forma externa que esta adopta es la omnipresente dirección de correo electrónico. El nombre completo del usuario en el directorio, sus credenciales de inicio de sesión al ordenador, su identidad en Microsoft 365... todo está vinculado entre sí y se presenta externamente en forma de dirección de correo electrónico.
Lamentablemente, los ciberdelincuentes lo saben, y por ese motivo:
- El correo electrónico sigue siendo el principal vector de amenazas que utilizan.
- Siguen recurriendo al correo electrónico para distribuir malware.
- Las estafas Business Email Compromise (BEC) representan un problema que cuesta a las organizaciones miles de millones de dólares en todo el mundo.
- Los ataques de phishing de credenciales se distribuyen por correo electrónico.
- El correo electrónico sigue siendo la jugada de apertura para muchos atacantes.
También es el motivo por el que en Proofpoint creemos que hay que empezar por proteger a las personas. Cuando los ciberdelincuentes dirigen sus ataques contra las personas, atacan sus direcciones de correo electrónico, sus identidades y los datos a los que esas identidades tienen acceso.
Y es el motivo por el que somos únicos. Ningún otro proveedor del mercado puede reunir las piezas necesarias para defenderse ante las jugadas de un ciberdelincuente: desde la apertura hasta el desenlace.
Nuevas innovaciones para romper la cadena de ataque
Recientemente, hemos anunciado multitud de innovaciones en todas nuestras plataformas para ayudarle a combatir las amenazas comunes que cada vez son más frecuentes. Desde hoy, esas innovaciones le ayudan a protegerse de ataques maliciosos por correo electrónico, detectar y prevenir amenazas basadas en la identidad y defender datos delicados.
Una de esas innovaciones es la protección ante riesgos en la cadena de suministro. Las relaciones de confianza con proveedores son un vector de ataque en alza: 69% de las organizaciones han experimentado un ataque de cadena de suministro el año pasado, y los CISOs lo consideran como una de sus mayores preocupaciones. Descubre como Proofpoint Supplier Threat Protection ayuda a las organizaciones a gestionar el riesgo, defendiendo de forma proactiva contra ataques de correo electrónico y evitar problemas en la cadena de suministro.