En un escenario donde las amenazas cibernéticas evolucionan a un ritmo vertiginoso, comprender las tendencias y desafíos que rodean la protección de nuestros activos digitales se torna esencial. En una conversación exclusiva con Alberto Pinedo, National Technology Officer de Microsoft, hemos tenido la oportunidad de adentrarnos en el apasionante mundo de la ciberseguridad.
A través de esta entrevista, Pinedo brinda información valiosa sobre la evolución reciente de la ciberseguridad y las tendencias de futuro, ofreciendo una visión detallada de un mundo en constante cambio, donde la colaboración entre el sector público y privado, así como la innovación tecnológica, desempeñan un papel fundamental.
— Para comenzar, ¿cuál ha sido la evolución reciente de la ciberseguridad y cuáles serán las tendencias clave en el futuro?
Estamos viendo un constante aumento de ciberamenazas en los últimos años, lo que ha impactado significativamente la confianza en la tecnología. Esto ha resaltado la necesidad imperante de mejorar las defensas cibernéticas en todos los niveles. En cuanto a la respuesta para fortalecer la ciberseguridad, se observa una creciente colaboración entre sectores público y privado.
Para entender esa necesidad de colaboración es necesario considerar el concepto de umbral de ciberpobreza, que es el nivel mínimo de recursos necesarios para una protección adecuada frente a las ciberamenazas. Esto plantea numerosos interrogantes, que desde Microsoft hemos estado abordando en el último año. Nos estamos encontrando con muchas medianas y pequeñas empresas que nos están preguntando qué es lo mínimo que deben tener para subsistir en este mundo de ciberamenazas y cómo les podemos ayudar.
En Microsoft, dedicamos nuestros esfuerzos a ser parte de la solución para superar el umbral de ciberpobreza. Actualmente, colaboramos con el gobierno y empresas privadas para ayudar a aquellas organizaciones que lo necesitan. Contamos con un conocimiento sólido del panorama de las ciberamenazas, analizando diariamente casi 65.000 millones de señales y procesando 750 millones de señales por segundo. Esto nos proporciona una visión precisa de la situación global y nos permite bloquear 4.000 ataques de contraseñas por segundo, además de rastrear a cerca de 300 grupos de ciberdelincuentes.
En resumen, las tendencias que anticipamos para el próximo año incluyen una mayor colaboración, tecnologías más avanzadas para superar los umbrales de ciberpobreza y una mayor eficiencia en el uso de las tecnologías de ciberseguridad.
— ¿Podría explicarnos a grandes rasgos cuáles son los datos más destacados que se desprenden del Microsoft Digital Defense Report 2023?
En nuestro último informe, proporcionamos datos concretos sobre la evolución del panorama de las ciberamenazas, así como información detallada sobre los desafíos que se vislumbran en el futuro y las oportunidades para superarlos.
En primer lugar, es importante destacar los avances significativos, tanto en los ataques cibernéticos a infraestructuras críticas por parte de ciberdelincuentes como en las herramientas positivas que estamos desarrollando para combatir estas amenazas.
El informe aborda varios aspectos cruciales. En primer lugar, enfatiza la importancia de la higiene básica de seguridad, que, creemos, puede protegernos contra el 99% de los ataques. Esto implica el uso de autenticación multifactor, la gestión de endpoints y medidas como XDR (detección y respuesta extendida) y anti-malware, así como la actualización constante para evitar vulnerabilidades y la protección integral de datos sensibles de la empresa.
El informe también destaca el aumento de los ataques de ransomware, con un seguimiento de 123 grupos de afiliados que utilizan ransomware como servicio. Se observa un cambio en la estrategia, con un enfoque en el cifrado remoto en lugar de infiltrarse en las redes de las víctimas. Es relevante que aproximadamente el 70% de estos ataques se dirigen a empresas con menos de 500 empleados y provienen de dispositivos no gestionados, lo que resalta un vector de ataque importante.
Además, se ha producido un aumento significativo en los ataques de contraseñas y en los intentos de phishing dirigidos a empresas, con cerca de 150.000 intentos diarios en un período de tiempo específico. Esto refleja el auge de los kits de phishing como un negocio en crecimiento para los ciberdelincuentes.
Los ataques de denegación de servicio también han experimentado un aumento, con alrededor de 1.700 ataques diarios, lo que destaca la importancia de las medidas de mitigación. Actualmente, estamos siguiendo a 14 grupos especializados en este tipo de ataques.
El informe también analiza el papel de los actores vinculados a Estados-Nación en campañas de espionaje, con un cambio hacia un mayor enfoque en desinformación. Los países más atacados son Ucrania, el Reino Unido, Francia, Polonia e Italia en Europa, mientras que Israel es el foco actual en Oriente Medio.
Otro aspecto crucial se refiere a la seguridad de los dispositivos IoT, donde el informe señala que el 78% de ellos tienen vulnerabilidades y aproximadamente la mitad no pueden ser parcheados debido a sistemas operativos obsoletos. Esta tendencia ha experimentado un aumento notable desde 2019, lo que plantea desafíos significativos en la protección de la superficie de ataque.
Finalmente, el informe aborda el uso de inteligencia artificial y grandes modelos de IA en ciberseguridad, así como la importancia de la colaboración en la lucha contra las amenazas cibernéticas. Microsoft está comprometido en colaborar con terceros, tanto públicos como privados, para mejorar el conocimiento colectivo sobre ciberamenazas y desmantelar redes de ciberdelincuentes. Además, se destaca la inclusión de género en el talento de ciberseguridad, con un grado de inclusión en España por encima de la media europea, lo que subraya la importancia de la diversidad en este campo.
— ¿Y cuáles fueron los sectores y organizaciones más afectados, según los datos de vuestro informe?
Si resumimos los sectores más afectados, comenzamos con las Organizaciones No Gubernamentales (ONGs) y entidades no gubernamentales. Luego, observamos que los gobiernos, las instituciones educativas y las empresas tecnológicas que gestionan infraestructuras críticas han sido objeto de ataques, y es importante destacar que hemos registrado un alto porcentaje de compromisos en estos sectores.
Con relación a esto, el informe resalta las campañas de desinformación, especialmente durante los procesos electorales, con un enfoque en todos los países miembros de la OTAN. Cerca del 36% de todas las incursiones se dirigen hacia estos Estados miembros. Aquí, observamos diversas estrategias. Los actores con vínculos a China buscan dos objetivos principales: aumentar su influencia y recopilar información o inteligencia a través de campañas de ciber espionaje. Por otro lado, Irán ha expandido sus operaciones hacia África y América Latina, mientras que Corea del Norte se enfoca principalmente en la captación de criptomonedas y ataques específicos contra la cadena de suministro.
— ¿Cuál es el papel de la inteligencia artificial en las actividades de los ciberdelincuentes?
Nuestros equipos del Security Operations Center ha observado un notable incremento en la automatización de los ataques. Este aumento representa un desafío significativo, ya que una mayor superficie de ataque genera más señales y, por lo tanto, una mayor cantidad de datos a procesar. Sin embargo, el número de analistas sigue siendo el mismo. Es aquí donde la Inteligencia Artificial juega un papel fundamental, pues se utiliza para analizar amenazas en una superficie de ataque en constante crecimiento, para responder y recuperarse de incidentes, mejorar la monitorización y la detección, y validar las soluciones identificadas por los analistas. Además, desempeña un papel crucial en la formación del personal y en la gestión integral de la seguridad, incluyendo la gestión de riesgos y la vigilancia de cumplimiento, entre otras funciones.
En cuanto a los objetivos de los ciberdelincuentes, se centran en gobiernos, think tanks (grupos de reflexión), organizaciones no gubernamentales, instituciones educativas y empresas que gestionan infraestructuras críticas. Las notificaciones de ataques a este tipo de infraestructuras representan un 41% de las cifras. En el caso de los gobiernos y las organizaciones no gubernamentales, son blanco de actores de Estado-Nación que buscan ventajas geopolíticas, como la interrupción de elecciones locales, espionaje y sabotaje de infraestructuras críticas, que pueden ser ataques altamente sofisticados y difíciles de detectar, con graves consecuencias. Este tipo de ataques suelen implicar la infiltración en sistemas con el fin de llevar a cabo operaciones de ciber espionaje y mantener una presencia persistente para obtener información valiosa en el contexto geopolítico.
En el sector educativo, la dinámica es ligeramente diferente, ya que los ciberdelincuentes perciben que tienen un acceso inicial más fácil para obtener información relevante, como datos sobre política, comunidades científicas e innovación tecnológica, entre otros aspectos.
— Uno de los cauces más importante para luchar contra el cibercrimen es la cooperación entre entidades. ¿Cómo crees que se puede impulsar y potenciar la colaboración público- privada en materia de ciberseguridad?
En Microsoft hemos asumido un papel activo en la promoción de la colaboración entre entidades públicas y privadas. Un ejemplo concreto de ello es nuestra adhesión al Cybertech, una iniciativa del Foro Económico Mundial que se centra en cuatro grandes estrategias. La primera es combatir los ciberataques de manera efectiva. La segunda, implica fomentar la asociación y la colaboración para mejorar la comprensión del entorno y del panorama de ciberseguridad, así como el conocimiento sobre las ciberamenazas. La tercera se concentra en la protección de nuestros clientes, usuarios y, en última instancia, la ciudadanía. Por último, la cuarta estrategia se enfoca en la capacitación y el desarrollo de habilidades en ciberseguridad.
Centrándonos en la faceta asociativa y de colaboración, participamos activamente en el proyecto Cybercrime Atlas, también promovido por el Foro Económico Mundial. Este proyecto busca crear una base de datos global que recopile información sobre las actividades de ciberdelincuentes, basándose en el análisis de alrededor de 13 a 14 grupos de criminales cibernéticos. Su objetivo principal es facilitar la colaboración entre investigadores, autoridades nacionales y empresas para combatir de manera más efectiva las amenazas cibernéticas. Cuenta con la participación de empresas de diversos sectores, entre las que está Microsoft, así como PayPal y el Santander Group, entre otros. Esta colaboración fortalece la independencia y el conocimiento en el campo de la ciberseguridad.
Además, también estamos involucrados en áreas específicas, como el seguimiento de la procedencia (provenance) para luchar contra campañas de desinformación y falsificaciones, así como la detección de imágenes sintéticas utilizadas en campañas de phishing o para aumentar la credibilidad de ataques cibernéticos.
En cuanto a la formación y la divulgación tecnológica, hemos ampliado nuestra iniciativa de desarrollo de competencias en ciberseguridad en 28 países, prestando especial atención a la capacitación de mujeres, ya que esta área presenta una brecha de género significativa.
En resumen, creemos que el fortalecimiento de la colaboración entre el sector público y privado es fundamental para abordar los desafíos de la ciberseguridad, y estamos comprometidos en promover esta cooperación en diferentes frentes.
— Microsoft Security Copilot es una herramienta poderosa que aborda los desafíos emergentes en ciberseguridad. ¿Puede explicarnos cuáles son las ventajas y las herramientas integradas en esta solución?
Microsoft Security Copilot utiliza un modelo de lenguaje masivo respaldado por la inteligencia global de amenazas de Microsoft, así como por las capacidades de nuestros productos de ciberseguridad, que incluyen Microsoft Defender XDR, Microsoft Sentinel, Intune, Purview y la capacidad de integrar datos de seguridad de terceros. La forma de operar de esta herramienta es bastante sencilla: proporciona a los clientes una consola desde la cual pueden realizar preguntas en lenguaje natural.
Cuando el cliente plantea una cuestión, Security Copilot realiza un preprocesamiento en busca de contexto relacionado con esa pregunta, utilizando la información de señales proveniente de todas las herramientas mencionadas anteriormente. Luego, se pasa la duda al modelo de lenguaje natural, que previamente ha aplicado filtros de contenido y de abuso para garantizar un uso responsable de la inteligencia artificial. El modelo devuelve una respuesta, que es nuevamente procesada para asegurarse de que sea coherente con el contexto proporcionado por las herramientas.
La respuesta puede ser en forma de texto, una serie de recomendaciones de medidas o acciones a tomar, o incluso gráficos e imágenes que describen la evolución de un incidente en la red, combinando datos de networking, dispositivos e identidades. El valor que aporta esta herramienta radica en simplificar lo complejo, ayudando a los analistas de ciberseguridad a captar detalles que podrían pasar desapercibidos y aumentando su capacidad de análisis.
Es importante destacar que Security Copilot utiliza un modelo ya entrenado y no utiliza los datos de los clientes para mejorar o reentrenar el modelo. Esto garantiza la privacidad y el respeto de los derechos de autor de los clientes. En un anuncio reciente, Microsoft también se comprometió a defender a los clientes y pagar cualquier sentencia o acuerdo adverso en caso de que se les demande por una infracción de derechos de autor relacionada con el uso de Security Copilot. Esto está en línea con nuestros compromisos en cuanto a derechos de autor en nuestros productos y servicios.
— Para concluir con vistas al futuro, ¿qué innovaciones podemos esperar?
Hace algunas semanas, anunciamos una plataforma llamada Unified Security Operations Platform. Antes de explicar lo que nos depara el futuro, es importante tener en cuenta que los equipos de seguridad enfrentan más responsabilidades que nunca debido a la transformación digital. La superficie de ataque se ha expandido, lo que ha aumentado la complejidad en términos de ciberseguridad y herramientas. Los analistas deben lidiar con grandes cantidades de datos de diversas fuentes, algo que ralentiza la respuesta a las amenazas y aumenta la carga de aprender nuevas tecnologías y gestionar más riesgos. Además, esto conlleva costes adicionales.
La Unified Security Operation Platform tiene como objetivo abordar estos desafíos. Es una plataforma que consolida todas las herramientas necesarias para proteger los activos digitales de una organización en una sola solución, impulsada por la inteligencia artificial y la automatización.
En primer lugar, hemos llevado a cabo la integración de Microsoft Sentinel y Defender X de R, logrando que trabajen en conjunto de manera más eficiente. Además, hemos incorporado Security Copilot bajo un mismo panel de control, ofreciendo así una experiencia unificada. Esta unión se complementa con capacidades mejoradas gracias a la inteligencia artificial y funciones específicas para la detección y bloqueo automatizado de amenazas conocidas.
Otra innovación importante se centra en las recomendaciones de modelos de ingesta de datos. Proporcionamos una herramienta que sugiere los enfoques más adecuados para la ingestión de datos, teniendo en cuenta tanto la gestión de costes como las prácticas de almacenamiento.
Finalmente, no podemos pasar por alto la importancia del cumplimiento regulatorio, especialmente en un entorno normativo en constante evolución. Con regulaciones como la directiva NIS2 y otras en mente, nos comprometemos a ayudar a nuestros clientes a cumplir con estos requisitos. Esto implica abordar la gestión de riesgos, la detección de amenazas con Defender, la supervisión de la postura de seguridad, el monitoreo con Sentinel, la gestión del aseguramiento de operaciones tanto internas como externas de la cadena de suministro a través de diversas aplicaciones en la nube, así como la gestión integral de la seguridad y privacidad de datos con Purview. Además, contamos con las capacidades de cumplimiento y gobierno de datos de Microsoft 365.
En resumen, nuestro objetivo final es utilizar la inteligencia artificial para convertir preguntas en acciones concretas y desempeñar un papel colaborativo como un «copiloto» para los analistas de seguridad. Esto significa potenciar sus habilidades en lugar de reemplazarlos.
