En toda Europa, Oriente Medio y África (EMEA), las organizaciones deben mejorar su juego cuando se trata de abordar los factores humanos que conducen a violaciones de datos e incidentes de seguridad cibernética, según la empresa de telecomunicaciones Verizon, que esta semana emitió una llamada de atención en el En la compilación del DBIR, que se puede descargar para revisarlo aquí, Verizon analizó 8.302 incidentes de seguridad en la región, de los cuales el 72% fueron violaciones confirmadas, y descubrió que poco menos de la mitad (49%) de estos se originaron internamente, lo que apunta a un alto grado de error humano y otros errores, como el uso indebido de privilegios, provocados por una falta de conciencia o capacitación. De hecho, en incidentes de seguridad cibernética confirmados, Verizon encontró tres factores detrás del 87% de las infracciones: errores varios, intrusión en el sistema e ingeniería social. Este porcentaje fue aproximadamente el mismo que la cifra del año pasado, con una «fuerza contraria potencial» identificada por Verizon como una mejora aparente en la práctica de denuncias: ahora parece que más personas pueden detectar un correo electrónico de phishing y más personas los denuncian. A nivel mundial, un total del 68% de las infracciones (incluyan o no a un tercero) involucraron una acción humana no maliciosa, es decir, alguien cometió un error o fue víctima de un ataque de ingeniería social. «El elemento en las infracciones muestra que las organizaciones en EMEA deben continuar combatiendo esta tendencia priorizando la capacitación y creando conciencia sobre las mejores prácticas de seguridad cibernética», dijo el vicepresidente de Verizon Business para EMEA, Sanjiv Gossain. «Sin embargo, el aumento de los autoinformes es prometedor e indica un cambio cultural en la importancia de la concienciación sobre la seguridad cibernética entre la fuerza laboral en general». Los días cero son una amenaza persistente Aun así, la prevalencia de filtraciones de datos inducidas por humanos no debería enmascarar otras amenazas críticas. A nivel mundial, la explotación de vulnerabilidades como punto de entrada inicial por parte de actores maliciosos en el período del informe (del 1 de noviembre de 2022 al 31 de octubre de 2023) aumentó desde el año pasado, representando el 14 % de todas las infracciones observadas que el equipo de Verizon rastreó. El aumento fue impulsado por el alcance y el mayor volumen de explotación de día cero por parte de actores de ransomware, en particular la violación de transferencia de archivos MOVEit que se desarrolló en mayo y junio de 2023, y vio una explotación masiva por parte de la pandilla de ransomware Clop/Cl0p, lo que probablemente sesgue las estadísticas un poco. «La explotación de vulnerabilidades de día cero por parte de actores de ransomware sigue siendo una amenaza persistente para las empresas, debido en gran parte a la interconexión de las cadenas de suministro», dijo Alistair Neil, director senior de seguridad para EMEA en Verizon Business. «El año pasado, el 15% de las infracciones involucraron a un tercero, incluidos custodios de datos, vulnerabilidades de software de terceros y otros problemas directos o indirectos de la cadena de suministro». Verizon señaló que, en promedio, a las organizaciones les toma alrededor de 55 días remediar el 50% de las vulnerabilidades críticas (que pueden ser de día cero o no) una vez que los parches están disponibles, mientras que la explotación masiva de las vulnerabilidades más graves puede tomar tan solo cinco días. Esto se basa en un análisis del catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad e Infraestructura de Ciberseguridad (CISA), ampliamente utilizado. Reacción de la industria Como siempre, el DBIR de Verizon fue muy esperado en el mundo de la seguridad y muy debatido después de su lanzamiento. Entre los que comentaron sobre los hallazgos de Verizon se encontraba William Wright, director ejecutivo de Closed Door Security, un proveedor de servicios de seguridad administrados (MSSP) con sede en Escocia, quien dijo que a pesar del constante ruido de violaciones de alto perfil, las organizaciones estaban claramente muy lejos de la madurez cibernética. «El DBIR de Verizon muestra que siguen siendo los errores de seguridad básicos los que ponen en riesgo a las organizaciones, como largos períodos entre el descubrimiento y la reparación de vulnerabilidades, y empleados que no están capacitados adecuadamente para identificar estafas», dijo Wright. “Esto debe cambiar como prioridad porque ninguna empresa puede permitirse el lujo de apostar o arriesgarse con la higiene cibernética. Basta con mirar a Change Healthcare: la violación se ejecutó a través de una credencial de empleado no segura y la organización ahora enfrenta más de mil millones en pérdidas. Ninguna otra organización quiere encontrarse en esta situación”. “En cambio, las organizaciones deben adoptar procesos en los que los parches se apliquen con frecuencia y las vulnerabilidades críticas reciban actualizaciones inmediatas, incluso si están fuera de las ventanas regulares de parches. Los empleados deben recibir capacitación periódica y se debe adoptar MFA para aumentar las defensas contra el phishing. Esto también debe probarse minuciosamente para garantizar que no haya lagunas que puedan poner en riesgo una empresa”, afirmó Wright. Saeed Abbasi, gerente de investigación de vulnerabilidades en Qualys, dijo que el aumento en la explotación de vulnerabilidades era motivo de especial preocupación y destacó la necesidad de una gestión urgente y estratégica. “Aconsejamos a las organizaciones que implementen estrategias integrales y proactivas, incluidas medidas de seguridad basadas y sin agentes, para prevenir posibles infracciones. Además, las organizaciones requieren una estrategia de defensa de múltiples capas, que integre herramientas de detección avanzadas, marcos de confianza cero y una gestión rápida de parches”, dijo Abbasi. “Dada la creciente complejidad e interconexión de las cadenas de suministro, este enfoque holístico de la ciberseguridad es esencial. Estas redes a menudo son blanco de amenazas cibernéticas, que afectan no solo a organizaciones individuales sino que también se extienden a interacciones con terceros y a la cadena de suministro en general”. Otros también se dieron cuenta de los problemas relacionados con la explotación de vulnerabilidades que surgieron en el DBIR de Verizon. JJ Guy, director ejecutivo de Sevco Security, una plataforma de gestión de exposición, dijo que la solución al creciente volumen de exploits no era un problema de seguridad, sino organizativo. «Los CISO son responsables de la seguridad de la red empresarial, pero no tienen la autoridad ni la responsabilidad de mantener el inventario de activos en esa red ni de remediar las vulnerabilidades de esos activos», dijo Guy. “Nadie debería sorprenderse de que un modelo organizacional disfuncional conduzca a malos resultados y que el 10% de las vulnerabilidades más críticas y activamente explotadas, según lo rastreado por CISA, sigan sin parchear después de un año. Los líderes organizacionales deben alinear la rendición de cuentas y la responsabilidad de estas actividades críticas, o los equipos de TI y seguridad necesitan mejores herramientas para colaborar entre líneas departamentales”. Y Kevin Robertson, director de operaciones de MSSP Acumen, con sede en Glasgow, tuvo duras palabras para una organización en particular. “Los delincuentes claramente confían en los días cero para lanzar ataques a las empresas, a menudo basándose en retrasos en las ventanas de parcheo de las organizaciones. Microsoft debe asumir la responsabilidad de esto, de lo contrario, son sus valiosos clientes los que sufren las consecuencias reales”, afirmó.