Cerrar Menú Blogs
Cerrar
Buscar
Suscribirse
Ingresa o registrarse
Las opiniones de los blogueros son de su estricta responsabilidad y no representan la opinión de este portal.
Profile image
Economía Mundo Opinión

De la cíber seguridad pasiva a la investigación activa

Por:

Ingresa o regístrate acá para seguir este blog.

Seguir este blog
Imagen tomada de CSO Online, https://www.csoonline.com/article/3269341/cyber-attacks-espionage/a-first-quarter-look-at-cybercrime.html
@isitreallysafe

@isitreallysafe

En este blog iniciaré una serie de publicaciones acerca de la relación entre las áreas de cíber crimen y cíber seguridad, la importancia de las investigaciones tras los ataques informáticos y la confianza entre el sector privado y las unidades cyber de policía. En esta primera entrada aportaré una corta descripción acerca de lo que puede entenderse por cíber seguridad y cíber crimen como áreas de trabajo, para concentrarme luego en las clasificaciones en las que, en mi criterio, se encuentran las organizaciones en materia de cíber seguridad. De aquí pasaré a explicar cómo estas dos áreas se encuentran y se apoyan mutuamente.

En los blogs que seguirán a éste, que publicaré en las siguientes semanas, continuaré desarrollando este tema intentando responder preguntas como ¿cuándo y por qué debe hacerse una investigación tras un ataque informático? ¿quién debe hacer esa investigación? ¿cuándo deben las organizaciones compartir información sobre los ataques con las unidades cyber de policía?

Por ahora, daré inicio a la primera parte de esta secuencia de blogs hablando un poco acerca de la relación entre cíber seguridad y cíber crimen, así:

Se puede generalizar y decir que, en general, la cíber seguridad se enfoca en la protección de la información y de la infraestructura propias o de los clientes de quien provee estos servicios, mientras que el área de cíber crimen se encarga del análisis de las conductas maliciosas, que pueden o no ser delictivas dependiendo de la jurisdicción, de la identificación de los responsables y el estudio de sus tácticas, técnicas y procedimientos (TTPs, por sus siglas en inglés) y de su posterior judicialización, cuando ésta es posible.

Las dos áreas se acercan en la medida en la que hay un mayor nivel de experiencia y conocimiento, o un mayor nivel de exposición y riesgo. Si se piensa en un modelo de pirámide, en la base estaría el nivel básico de cíber seguridad, en el medio un nivel más avanzado y en la punta se encontraría un nivel que pasa de la defensa pasiva a la acción investigativa.

Niveles en cíber seguridad e interacción con cíber crimen

En el nivel básico, que es el nivel en el que se encuentra la gran mayoría de organizaciones, la cíber seguridad implementa controles de acceso, levanta barreras y controla el uso de recursos, pero no pasa de esto. Piense, por ejemplo, en las organizaciones que tienen un esquema elemental de seguridad en el que cuentan con algún producto de detección de malware, controlan el acceso de usuarios a su red y tal vez hasta implementan un firewall.

En el nivel medio, en el que se encuentran organizaciones con un nivel más específico de madurez en esta área, la cíber seguridad frecuentemente implementa y cumple con estándares internacionales de seguridad, o al menos le gustaría sinceramente hacerlo, y busca conocer acerca de las formas de malware más nuevas y de los métodos de ataque recientemente detectados para configurar la infraestructura a defender de forma correspondiente. En este nivel de la pirámide, la información acerca de los TTPs suele ser obtenida por los funcionarios del área a través de la información publicada por las empresas que ofrecen las aplicaciones más comunes contra malware, así como a través de foros o grupos de seguridad en los que con frecuencia se comparte esta clase de información, ocasionalmente incluso proviniendo de individuos inquietos que detectan los nuevos TTPs. Piense, por ejemplo, en organizaciones de un mayor tamaño que cuentan con equipos de cíber seguridad que administran la seguridad de su infraestructura informacional y, por ejemplo, reciben reportes de productores de aplicaciones contra malware para luego adecuar las reglas de los enrutadores y de los firewalls de sus organizaciones con el fin de mitigar esos vectores de ataque específicos.

A un nivel más alto aún, cuando la exposición al riesgo es más alta y el nivel de conocimiento es más específico, se encuentran las organizaciones para las que limitarse a cumplir con estándares de seguridad y recibir reportes o boletines de seguridad no es suficiente. Estas organizaciones tienen la necesidad de ir un paso más allá para minimizar su nivel de riesgo a uno que sea aceptable.

Pasando a la investigación activa

Las organizaciones en este nivel responden a los ataques con investigaciones más o menos profundas que les permiten, cuando menos, identificar la infraestructura usada por los atacantes, los vectores de ataque utilizados y, posiblemente, la identidad y la ubicación de esos atacantes. Estas organizaciones entienden su necesidad de contener el ataque en el menor tiempo posible (para lo que necesitan identificar esa infraestructura criminal), minimizar su impacto y neutralizar a sus adversarios (siendo la judicialización de los casos la mejor forma de conseguir esto, con frecuencia debiendo buscar la colaboración de autoridades judiciales y policiales en diferentes países).

Estas organizaciones suelen ser grandes bancos, grupos empresariales con presencia en varios países, entidades gubernamentales, el sector justicia y las mismas fuerzas de seguridad. Sus bienes informacionales son de un altísimo valor y cualquier afectación a su reputación puede generar desde una pérdida en su participación de mercado hasta una caída considerable en el valor de sus acciones en bolsa.

Sin embargo, esta clase de respuesta investigativa, que requiere de ciertos recursos, conocimiento y experiencia, puede y suele ser apropiada para organizaciones de cualquier tamaño y cualquier sector. Dos criterios que pueden ayudar a decidir si es adecuado responder de esta forma frente a un incidente, son la potencialidad de que el ataque genere un impacto importante y el desconocimiento acerca de las motivaciones y los TTPs de los atacantes.

En realidad, la variedad de casos en los que debería existir una investigación tras un ataque es muy amplia, independientemente del tamaño o del perfil de la organización víctima porque, finalmente, las motivaciones, los recursos y los TTPs de los atacantes son en esencia desconocidos de manera inicial y porque el potencial impacto de un ataque puede alcanzar proporciones descomunales, teniendo en cuenta que al menos parte de ese impacto se puede mitigar, aún después del incidente.

Como ya mencioné, en las próximas semanas abordaré temas como cuándo y por qué debe iniciarse una investigación tras un ataque, quién debe realizar la investigación, cuándo deben las organizaciones compartir información con las unidades cyber de policía y qué corresponde a esas unidades cyber para conseguir que, efectivamente, las organizaciones confíen en ellas.

(Nota: La imagen que encabeza este blog fue tomada de csoonline.com).

Carlos Álvarez
blogladooscuro @ gmail.com
@isitreallysafe

(Visited 1.327 times, 1 visits today)
PERFIL
Profile image
Carlos Alvarez El lado oscuro de Internet

    Sigue a este bloguero en sus redes sociales:

  • twitter

Más posts de este Blog

  • Mundo

    LATAM CISO: Regional Cybersecurity Network

    [caption id="attachment_147" align="alignright" width="82"] @isitreallysafe[/caption] Under the auspices of Venable, LLP, a law and lobbying firm in Washington, D.C.,(...)

  • Mundo

    Rusia, ¿robando tráfico de Apple?

    [caption id="attachment_147" align="alignright" width="82"] @isitreallysafe[/caption] Según información publicada por BGPmon, Rostelecom, el más grande proveedor de conectividad ruso, estuvo(...)

  • Mundo

    LATAM CISO: Red de ciberseguridad a nivel regional

    [caption id="attachment_147" align="alignright" width="82"] @isitreallysafe[/caption] Bajo el auspicio de Venable, LLP, una firma de abogados y lobbying con sede(...)

  • Colombia

    Mi empresa fue hackeada: ¿reporto a la policía?

    [caption id="attachment_147" align="alignright" width="82"] @isitreallysafe[/caption] En el blog que publiqué hace unas semanas, titulado “De la cíberseguridad pasiva a(...)

Ver más

Lo más leído en Blogs

1

Galán sí sabe gobernar

No puedo dejar pasar este tema del agua sin preguntarme: ¿y(...)

2

Dios nos habla por medio de nuestros sueños

Dios nos habla por medio de nuestros sueños. Esta es una(...)

3

¿Sí valdrá la pena marchar?

Quizás eres como yo, de esos que siente que marchar es(...)

0 Comentarios
Ingresa aquí para que puedas comentar este post
Reglamento de comentarios

ETCE no se responsabiliza por el uso y tratamiento que los usuarios le den a la información publicada en este espacio de recomendaciones, pero aclara que busca ser la sombrilla de un espacio donde el equilibrio y la tolerancia sean el eje. En ese camino, disponemos de total libertad para eliminar los contenidos que:

  1. Promuevan mensajes tipo spam.
  2. El odio ante una persona o comunidad por su condición social, racial, sexual, religiosa o de situación de discapacidad.
  3. Muestren o impulsen comportamientos o lenguajes sexualmente explícitos, violentos o dañinos.
  4. Vulneren o atenten contra los derechos de los menores de edad.

Además, tenga en cuenta que:

  • - El usuario registrado solo podrá hacer un voto y veto por comentario.
Aceptar
¿Encontraste un error?

Para EL TIEMPO las observaciones sobre su contenido son importantes. Permítenos conocerlas para, si es el caso, tomar los correctivos necesarios, o darle trámite ante las instancias pertinentes dentro de EL TIEMPO Casa Editorial.


El reporte de error fue enviado con éxito.

Debes escribir el comentario
¡Gracias! Tu comentario ha sido guardado
Tu calificación ha sido registrada
Tu participación ya fue registrada
Haz tu reporte
Cerrar
Debes escribir tu reporte
Tu reporte ha sido enviado con éxito
Debes ser usuario registrado para poder reportar este comentario. Cerrar