3 pasos para neutralizar el ciberespionaje industrial

Ransomware, gusanos, troyanos bancarios, mineros de criptomonedas, adware, redes de bots, phishing, smishing, ingeniería social… muchos son los instrumentos que los ciberdelincuentes utilizan para atentar contra sus víctimas. Pero si hay una amenaza que compañías de todo el mundo y los propios gobiernos temen es el espionaje industrial.

En la era de la digitalización, cuando las distancias se miden por un clic de ratón o un simple scroll en la pantalla del smartphone, las fronteras desaparecen y cualquiera puede intentar robar información de valor a una empresa que se encuentra físicamente muy alejada.

Esto pone en el punto de mira a negocios locales, internacionales y especializados en todo tipo de actividad, incluyendo compañías tecnológicas, centros de investigación, la Administración y cuerpos militares.

Los organismos que trabajan con activos sensibles y datos confidenciales son el objetivo ideal de los espías cibernéticos, que buscan acceder a material que les permita lograr una ventaja competitiva o dañar la reputación de sus rivales. Por ejemplo, robando patentes y avances en I+D+i (investigación, desarrollo e innovación).

En otros casos también pretenderán lucrarse vendiendo los recursos que han obtenido durante sus sesiones de vigilancia ilegal. La meta es común, no varía de un proceso a otro. Se trata de sacar partido a una información que no les corresponde por derecho y a la que no deberían tener acceso, ya sea para ganar rédito económico o para un posicionamiento estratégico.

Más allá de sus graves consecuencias, el ciberespionaje se caracteriza por estar apoyado por algún Estado nación y por el carácter sofisticado de sus campañas, que son mucho más difíciles de descubrir que otras operaciones delictivas.

La mayoría de las veces este espionaje viene respaldo por técnicas de hackeo como las amenazas persistentes avanzadas (APT) para aguantar a escondidas durante meses o años y provocar todavía más daño.

Prevención y detección temprana contra el riesgo

Pero eso no quiere decir que todo esté perdido frente a los ciberdelincuentes. Es posible luchar contra sus acciones. De hecho, existe un plan de tres fases que las compañías deberían aplicar para neutralizar las tentativas de espionaje industrial: identificar el riesgo, prevenir y detectar para obstaculizar.

El peligro al que se enfrentan tiene dos vertientes. Desde el punto de vista puramente técnico, puede existir un fallo en el hardware que forma parte del parque informático corporativo o programas de software sin parchear. Esto se convierte en una clara puerta de entrada para terceros.

Pero no es la única opción. Además de las vulnerabilidades en los equipos utilizados, el factor humano se vuelve determinante. El eslabón más débil en la cadena de seguridad empresarial siguen siendo las personas. Sea por accidente o por una baja concienciación en estos temas, los empleados ocupan la posición perfecta para acabar convertidos en aliados en la sombra de agentes externos. Sobre todo, aquellos con acceso a documentos clasificados.

Una vez que los riesgos de compromiso están claros y se ha hecho una evaluación del estado de seguridad de la compañía, el siguiente movimiento consiste en pasar a la acción. Lo mejor que le puede pasar a una organización es que los ciberdelincuentes no sean capaces de desplegar el ataque que tenían planificado porque la infraestructura permanece férrea.

Para ello, hay que actuar antes de que se haya producido la agresión. Mantener el sistema actualizado, controlar todas las descargas y las conexiones de dispositivos, gestionar los permisos de acceso, activar la autenticación multifactor, formar al personal en buenas prácticas o instalar software específico de protección son medidas básicas que ninguna empresa debería obviar para anticiparse a las amenazas.

Esto incluye configurar cortafuegos DNS para proteger la red, porque impedirán la conexión de spyware con un servidor de mando y control y, por tanto, la exflitración de datos. Otra solución consiste en desplegar una red honeypot con la que detectar escaneos.

¿Y si aun así queda algún resquicio por el que entrar? Entonces habrá que estar preparado para descubrir indicadores de compromiso y frenar los planes de los criminales. Para cazar anomalías es importante trabajar con los datos, correlacionar eventos y monitorizar todo lo que sucede en directo. Lo bueno es que la tecnología existe y cada vez es más inteligente.

TEHTRIS EDR y XDR

Los ciberespías optan por la discreción para no ser detectados y hacerse con la mayor cantidad de datos sensibles a su alcance. Soluciones de ciberseguridad disponibles en el mercado, como TEHTRIS EDR, permiten desbaratar este propósito al evitar puntos ciegos en los endpoints.

Las siglas EDR corresponden a detección y respuesta en los terminales. La solución desarrollada por TEHTRIS actúa en tiempo real y en modo SaaS, incluyendo la remediación sin intervención humana.

Con voluntad de prevenir, identificar y reaccionar en cualquier momento del día frente a las amenazas, tanto aquellas que ya son conocidas como las más desconocidas, se puede configurar para una defensa autónoma en base a criterios predeterminados. Por ejemplo, para la emisión de una alerta o para la neutralización. Incluye varios motores de detección y propiedades de inteligencia artificial.

TEHTRIS EDR entrega una visión completa de lo que sucede en la red. Y, por otro lado, presta su ayuda si se produce un ataque. El módulo Autostart contribuye a las tareas de monitorización, en tanto que ofrece la opción de investigar detalles pasados hasta identificar el inicio del compromiso.

Esta solución se encuentra perfectamente integrada en la TEHTRIS XDR Platform, una plataforma de detección y respuesta extendida que posibilita una visión holística de la ciberseguridad. Combina diversos componentes como EDR, EPP, MTD, SIEM, honeypots, NTA, DNS Firewall o Zero Trust Response para lograr un intercambio dinámico y facilitar a los analistas el bloqueo de los intentos de ciberespionaje.

TEHTRIS XDR está diseñada para no tocar los datos de los clientes ni hacer copias, ya que no accede a sus documentos. Es la única plataforma que le permite al cliente elegir quién puede acceder a sus datos entre sus equipos, el equipo del SOC y el proveedor de XDR.

Su motor CYBERIA se encarga de eliminar falsos positivos, atajar problemas complejos y, en definitiva, simplificar el trabajo de protección en infraestructuras de gran tamaño, heterogéneas y distribuidas.

La tecnología de TEHTRIS ha sido desarrollada en Europa, donde también está alojada, para garantizar la confidencialidad de los datos. Su propuesta de actuación contra los ciberataques pone las bases para un mundo hiperautomatizado, inteligente y seguro.