Tras un programa de aceleración en EE.UU., el economista Alessandro Albani ocupa el puesto de Offensive Security Specialist de Yarix en Montebelluna (Italia), ayudando a diferentes empresas europeas a fortalecer el nivel de seguridad de sus negocios.
Hemos entrevistado a Albani para hablar del trabajo diario del especialista de ciberseguridad y compartir información sobre amenazas, riesgos y ciberincidencias.
– Ocupas el puesto de Offensive Security Specialist en Yarix, una de las empresas de seguridad informática más reconocidas de Italia. Explíquenos qué actividades desempeñas en la empresa.
En primer lugar, gracias por el reconocimiento. Volviendo a tu pregunta, las actividades de las que me ocupo pueden agruparse en cuatro tipos principales:
- Evaluaciones de vulnerabilidad, en las que, mediante el uso de software específico, realizo escaneos automatizados para detectar todos aquellos problemas que sean fácilmente detectables, como versiones de componentes vulnerables, uso de contraseñas por defecto o de protocolos inseguros.
- Pruebas de penetración, en las que analizo personalmente los sistemas y aplicaciones informáticas de una empresa en busca de vulnerabilidades que puedan ser explotadas o, más en general, en busca de formas de saltarse las medidas de seguridad implantadas.
- Campañas de concienciación sobre seguridad: básicamente, se trata de crear campañas de phishing ad hoc en las que se evalúa el nivel de preparación de los empleados ante distintos tipos de escenarios. El objetivo es saber si, ante un correo electrónico de apariencia legítima en el que se solicitan credenciales para entrar en un determinado servicio, el empleado está dispuesto a introducirlas imprudentemente o a informar del hecho a un superior o al departamento informático para verificar que efectivamente procede de la empresa.
- Red Teaming, en el que se define junto con el cliente un perímetro de actividades permitidas y no permitidas y luego, ciñéndose a él, se utilizan las tácticas o técnicas que se consideren oportunas para conseguir piratear los sistemas de la empresa y escalar privilegios cuando sea necesario. Se empieza por recopilar información sobre la empresa, sus empleados y los portales y servicios que utilizan. A continuación, se evalúa su nivel de seguridad y luego se determina la estrategia que garantizará la mayor probabilidad de éxito en la consecución del objetivo. Es la actividad que más se aproxima al comportamiento de un actor malicioso real.
– ¿Cómo contribuyes con tu trabajo a que las empresas sean más seguras?
Al exponer vulnerabilidades que pueden ser explotadas por un atacante malintencionado, ofrezco a los clientes con los que interactúo la oportunidad de tomar conciencia de ellas y aplicar las medidas correctoras para neutralizarlas, o al menos mitigarlas, antes de que puedan utilizarse realmente para perjudicar a la empresa.
– ¿Qué tipo de cuestiones crees que es más urgente abordar para la seguridad de la mayoría de las empresas?
Sin duda, la falta de concienciación por parte de los empleados. Esto no se debe a que las personas sean el «eslabón débil», sino a que son el principal vector de ataque para un agente de amenazas.
En la mayoría de los incidentes de ciberseguridad, el primer acceso a los sistemas de una empresa se produce al hacerse con las credenciales de un empleado o proveedor, que a menudo ha sido víctima de un ataque de phishing. Por ello, considero muy importante que las empresas preparen adecuadamente a sus empleados para los riesgos de ser objetivo de un actor malicioso.
– ¿Cuáles son los riesgos cibernéticos más frecuentes en los últimos meses?
La migración de muchos sistemas corporativos a la nube y a infraestructuras virtualizadas ha visto surgir nuevas tácticas, técnicas y procedimientos (TTP) para vulnerar estos entornos. Como resultado, se ha producido un aumento de los incidentes de ransomware en los que los atacantes, aprovechando también vulnerabilidades relacionadas con las plataformas VMWare vSphere y ESXi, han sido capaces de obtener acceso y privilegios administrativos que han dado lugar al cifrado de diversos activos corporativos en múltiples ocasiones.
Otro riesgo constante es el que plantea el robo de información: software malicioso que suele residir en aplicaciones crackeadas instaladas por descuido por los usuarios en sus dispositivos y que permite substraer información sensible sin que el usuario lo sepa.
No obstante, es bueno tener en cuenta que existen diferentes aspectos de la gestión de la ciberseguridad en las empresas: este mes se publicó un informe de Yarix sobre dicho tema, con los puntos de vista de cada equipo (Security Operations Centre, Incident Response, Cyber Threat Intelligence y Red Team) y que recoge las principales tendencias en ciberseguridad.
– En la actualidad, ¿cuáles son las ciberincidencias más comunes que podrían evitarse fácilmente?
La mayoría de las incidencias se deben al robo de credenciales, mediante métodos como el phishing, que a menudo se venden en la dark web. Otros culpable son las configuraciones incorrectas juntos con los componentes obsoletos y vulnerables, que son aprovechados por los atacantes para acceder a los sistemas corporativos.
La probabilidad de que se produzca un incidente debido a estas dos causas podría reducirse en gran medida realizando campañas de concienciación en materia de seguridad que eduquen al personal sobre los riesgos de los ataques de ingeniería social, y llevando a cabo evaluaciones periódicas de vulnerabilidades que saquen a la luz los problemas en el perímetro externo de la empresa en una fase temprana.
– De cara al futuro, ¿cuáles cree que serán las amenazas más peligrosas para la ciberseguridad de empresas y organizaciones?
Las posibilidades que ofrecen la Inteligencia Artificial (IA) y el aprendizaje automático (AM) están en su mayor parte aún por explorar, pero todos podemos ver su enorme potencial, incluso en la vida cotidiana. La ciberseguridad no queda al margen de la llegada de estas tecnologías, que sin duda cambiarán las reglas del juego.
Es probable que los actores maliciosos las utilicen cada vez más para crear nuevos métodos de ataque. Gracias a la ayuda de estas tecnologías, la barrera de entrada también se ha reducido en gran medida, e incluso aquellos sin grandes conocimientos técnicos pueden suplir esta carencia con la ayuda de chatbots cada vez más eficaces.
Sin embargo, es importante tener en cuenta que las mismas tecnologías también se están utilizando con gran efecto en el lado defensivo: las soluciones basadas en IA permiten comprobar el funcionamiento del hardware y el software llevando a cabo análisis de amenazas para prevenir ataques. Los algoritmos de aprendizaje automático son capaces de examinar con mayor eficacia y rapidez la enorme cantidad de datos que circulan por las redes en tiempo real y aprenden a reconocer patrones que indican una amenaza.
De cara al futuro, es difícil decir con seguridad cómo se establecerán estas tecnologías en el panorama de la ciberseguridad, pero es muy probable que ambas desempeñen un papel clave en su configuración.
