Tecnología

Las páginas web y empresas que ofrecen monitoreo de ciberataques en tiempo real

LR

Colombia recibe en promedio 2.898 ataques ciberneticos al día según Eset, lo cual es proporcional al tamaño empresarial del país

Karen Pinto Duitama

El reporte de ciberseguridad en Latinoamérica ‘ESET Security Report 2022’ arrojó que 48% de las empresas de América Latina sufrió algún tipo de incidente de seguridad en el último año; y por países, Colombia está en tercer lugar con 12% de la cantidad de hallazgos logrados por la compañía especialista en detección de amenazas.

En el informe también se deja claro que el mundo cibernético es un espacio protagonista en la seguridad de los países y que hay un alto volumen de varios tipos de ataques en el espacio informático, un ejemplo de ello sería el crecimiento del ciberespionaje. “Desde el laboratorio de Eset Latinoamérica hemos cubierto campañas de espionaje dirigidas a entidades gubernamentales de la región. Una de las más recientes fue la llamada Operación Discordia, descubierta en mayo de2022, que utilizaba códigos espía y de control remoto en equipos de compañías pequeñas y medianas, así como de entidades gubernamentales en Colombia”, señaló Eset en el reporte.

Teniendo en cuenta este escenario, encontramos portales que realizan monitoreo en tiempo real a los ataques cibernéticos a nivel global y que pueden ser de gran ayuda para identificar cuales son los países que se están viendo más afectados y cuales son los tipos de ataques más frecuentes en ese momento.

Gráfico

Entre los diferentes portales están: Kaspersky, Fireeye, Bitdefender, Check Point, Lookinglass, Talos y Netscout. Cada uno ofrece un mapa en tiempo real de los ataques, aunque hay algunos diferenciales entre cada portal; por ejemplo FireEye muestra el top cinco de industrias con más reportes, y el ranking de países según donde proceden los ataques, mientras que Netscout tiene filtros para los datos por ancho de banda, tipo y categoría de los eventos, entre otros.

Kaspersky

Kaspersky

FireEye

FireEye

Bitdefender

Bitdefender

Check Point

Check Point

LookingGlass

LookingGlass

Talos

Talos

Netscout

Netscout

Hablamos con Kaspersky para conocer cómo funciona el monitoreo y cuáles son sus fuentes de información y qué utilidad puede tener para quienes lo consultan. El director del equipo de Investigación y Análisis para América Latina de Kaspersky, Fabio Assolini, explicó que los datos de detecciones y bloqueos que se muestran en el mapa se obtienen a través de la Kaspersky Security Network (KSN), la nube global de amenazas de la compañía.

“El ataque se refleja en nuestro mapa en el momento de la detección en los dispositivos que tienen nuestro software instalado y que acordaron participar de la KSN. Los datos colectados son anónimos, o sea, solo sabemos el tipo de la amenaza y el país”, dijo Assolini sobre el proceso de reporte de las amenazas.

Además comentó que al visualizar los gráficos de la plataforma las empresas pueden detectar cuáles son las tendencias de ataques en sus países, y un ejemplo de ello sería conocer qué de acuerdo con la KSN, los ataques de spam y phishing a las corporaciones suceden generalmente durante los fines de semana, mientras los ataques de ransomware son más comunes los lunes.

El director también explicó que las siglas que aparecen en la parte inferior del portal corresponden al flujo de ataques detectados según diferentes módulos:

  • OAS (On-Access Scan): Detección de malware durante el escaneo On- Access
  • ODS (On Demand Scanner): Detección de malware durante el análisis bajo pedido
  • MAV: Detección de malware durante el escaneo MAV cuando aparecen nuevos objetos en una aplicación de email
  • WAV (Web Anti-Virus): Detección de malware durante el análisis Web Anti-Virus
  • IDS (Sistema de Detección de Intrusos): Detección de los ataques a las redes
  • VUL (Vulnerability Scan): Detección de vulnerabilidades encontradas en los softwares populares
  • RMW (Ransomware): Detección del ransomware
  • KAS (Kaspersky Anti-Spam): Muestra el tráfico sospechoso y no deseado descubierto por las tecnologías de Filtrado de Reputación de Kaspersky
  • BAD (Detección de Actividad Botnet): Muestra estadísticas sobre direcciones IP de víctimas de ataques DDoS y servidores botnet

Para mayor profundidad y tener una asesoría de cómo leer los datos y cómo actuar frente a los posibles ataques a una compañía, varias de las empresas que crean estos monitoreos públicos cuentan con servicios más completos, tal es el caso de Trellix (creadora de FireEye) o Bidefender que venden servicios para hogares y empresas.

LOS CONTRASTES

  • Martina López Investigadora de Seguridad Informática de ESET Latinoamérica

    “Se realizan monitoreos para comprender y analizar campañas maliciosas o tendencias en las distintas regiones. Así es como se destapan campañas reportadas por Eset como la campaña de espionaje ‘Bandidos’.

  • Daniel RojasDirector de marketing de BlueVoyant para Latinoamérica

    “La monitorización se realiza con supervisión continua y remediación de problemas, a menudo en minutos. Se establece en la nube del cliente, por lo que no tiene que entregar datos sensibles”.

  • Christiaan Beek Ingeniero senior de Trellix

    "Los actores de amenazas globales tienen una nueva artillería cibernética lista para desplegar en caso de una escalada y las organizaciones deben permanecer alerta".

Al igual que hay empresas que ofrecen servicios especializados de monitoreo de ciberataques, una de ellas es BlueVoyant, que cuenta con un portal en cual los clientes pueden visualizar los incidentes desde su nube empresarial.

Las capacidades internas y externas de ciberdefensa que tiene la empresa convergen en una plataforma basada en resultados llamada ‘BlueVoyant Elements’. El director de marketing de BlueVoyant para Latinoamérica, Daniel Rojas, explicó la metodología de su monitoreo: “Elements supervisa continuamente la red, los puntos finales, la superficie de ataque y la cadena de suministro de los clientes, así como la open, deep y dark web, en busca de vulnerabilidades, riesgos y amenazas; y toma medidas para proteger su negocio, aprovechando tanto la automatización impulsada por el aprendizaje automático como la experiencia dirigida por profesionales”.

Áreas de supervisión:
- Red interna con MDR (Managed Detection & Response).
- Cadena de suministro digital de software a los que está conectada su red con Terrain: 3PR (Third-Party Cyber Risk Management) y Sky: DRP (Digital Risk Protection) para supervisar sus datos y credenciales para detectar cualquier amenaza en la open, deep y dark web. Esto considerando que los terceros suelen ser el eslabón más vulnerable ante los ataques.

Otra empresa es Trend Micro que tiene servicios de monitoreo que hacen parte de la gestión en apoyo a los Centros de Operaciones de Seguridad (SOC) Security Operations Center). "Los clientes pueden acceder y utilizar toda esta información dentro de su propia gestión de monitoreo, prevención de ataques o detección de brechas de seguridad que se han generado dentro de sus redes", explicó Patricio Villacura, Regional Account Manager en Trend Micro.

De igual forma, realizan transmisión de información a plataformas de monitoreo a Centros de Transferencia de Tecnología (CTT) de entidades gubernamentales y organizaciones como la OEA. Y también tienen herramientas públicas como HouseCall que ofrece análisis gratuito online para la detección de virus.

Finalmente, la Investigadora de Seguridad Informática de Eset Latinoamérica, Martina López, explicó cómo son los ciberataques que se pueden encontrar en estos portales de monitoreo, y en el caso de Colombia destaca que los tipos de ataques son variados aunque en su mayoría buscan obtener la mayor cantidad de víctimas posibles como usuarios desprevenidos que pueden caer en un gusano informático que llega dentro de un correo electrónico o por un troyano que falsifica sitios bancarios.

También están, en menor medida, las amenazas dirigidas a medianas compañías hasta grandes y reconocidas marcas. “Estos últimos ataques se caracterizan por ser o bien lo más destructivos posible (como un ransomware, secuestrando el equipo hasta que la víctima pague), o silenciosos para poder persistir en los sistemas el mayor tiempo posible (como un código espía que busca y filtra documentos de importancia)”.

Hechos que ponen en riesgo la seguridad informática
López señaló que hay activos potencialmente vulnerables que abarca a toda la información confidencial no cifrada o protegida, y a servidores y conexiones que no estén resguardados ante ataques de red, o sistemas de la operatoria de la compañía que no tienen respaldo o Backup.

Esto podría generar que ante amenazas como ransomware, códigos espía o troyanos se dieran consecuencias como la filtración de información confidencial, la pérdida de confianza de los clientes e inclusive la caída de operación de la compañía.

TEMAS


Ciberseguridad - Ataques cibernéticos - Seguridad informática - vigilancia