Protección de datos empresariales, exfiltración y fuga de datos

La protección de datos empresariales cada vez es más compleja debida a la sofisticación de las técnicas, mecanismos y tecnologías empleadas por los ciberdelincuentes. Esto hace obligatorio el uso de estrategias, enfoques, mecanismos y tecnologías cada vez más avanzadas.

A día de hoy, para las empresas es esencial la monitorización continua de riesgos en Internet y la vigilancia de foros de eCrime de la Dark Web con el objetivo de detectar alguna posible exfiltración de datos propiedad de la empresa.

La Dark Web es el hábitat y refugio de actividades ilegales para los ciberdelincuentes, desde dónde evaden su detección, y desde dónde sacan rédito a sus actividades delictivas, por ejemplo con la venta de datos robados.

Este seguimiento y monitorización continua de riesgos en Internet y en la web profunda u oscura, requiere la utilización de herramientas y tecnologías potentes, innovadoras y muy avanzadas.

Lo que se busca en dicho análisis son menciones a la empresa y a algunos de sus datos corporativos, e incluso datos de clientes, usuarios, partners, o empleados. Los motores de búsqueda de la web profunda y los algoritmos de detección de amenazas permiten identificar cualquier actividad sospechosa al respecto.

Allí, en la Dark Web existen lo que se conoce como foros de eCrime a modo de mercadillos o puntos de encuentro para ciberdelincuentes que buscan vender y comprar información robada. Sí, es como un mercadillo para el mejor postor. Los datos robados de empresas concretas se ofrecen al peso, a cambio de dinero, en modo de criptomonedas generalmente, mediante subastas o venta directa.

Generalmente, la mayoría de las empresas, no cuentan con un equipo de IT dedicado a esta tarea ni con expertos en la materia. Por ese motivo, lo habitual es recurrir a servicios profesionales y especializados de ciberseguridad y ciberinteligencia, como los que ofrecemos en Zerolynx: Monitorización de Riesgos en Internet y Dark Web.

Para conseguir un elevado grado de confianza digital, y reconocimiento de marca y negocio por lo tanto, las empresas deben garantizar la confidencialidad, integridad, disponibilidad y trazabilidad de los datos que obtienen, crean, almacenan y gestionan. Sólo así las empresas podrán contar con un buen nivel de protección de la información y secretos empresariales.

Como sabemos, la Dark Web consiste en una "parte" oculta de Internet que requiere de navegadores específicos para acceder a ella y que es el caldo de cultivo para actividades ilegales, fraudulentas y delictivas.

Los foros de venta de datos robados y las comunidades de ciberdelincuentes dedicadas al eCrime son habituales en este entorno, siendo el escaparate y "tienda" donde los cibercriminales ofertan los datos corporativos que previamente han robado a una/s determinada/s empresa/s.

La primera línea de defensa debe consistir en la monitorización continua de riesgos en Internet, rastreando la web en busca de cualquier indicio de datos corporativos comprometidos, o que se encuentren a la venta (nombres de la empresa, direcciones de correo electrónico, información de clientes, etc.).

La exploración de los foros de eCrime en la Dark Web es otra de las actividades que debe realizarse en paralelo. Los datos más deseados e incluso solicitados son números de tarjetas bancarias, contraseñas, números de cuentas bancarias, números de identidad, etc.

Detectar la presencia de datos corporativos en la Dark Web es solo el primer paso. El siguiente paso crucial es el análisis de estos datos exfiltrados. Este análisis puede proporcionar información valiosa sobre la magnitud del ataque, los posibles puntos de entrada y las vulnerabilidades en la seguridad de la empresa.

Los equipos de seguridad cibernética pueden rastrear las actividades de los ciberdelincuentes en la Dark Web e incluso actuar como detectives e infiltrarse en sus comunidades para obtener información adicional de más valor.

Ambos componentes, tanto la monitorización continua de riesgos en Internet como el rastreo de foros de venta y eCrime en la Dark Web, son, por tanto, esenciales para lograr un enfoque integral y holístico, puesto que la protección de datos empresariales es esencial para la continuidad del negocio, la supervivencia y la reputación de una empresa.

¿Te ayudamos a averiguar si tu empresa ha sufrido alguna exfiltración de datos?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx

Si lo prefieres, contáctanos y hablamos.

Tan importante es protegerse como responder

Estar convenientemente protegidos es importante pero, cuando sucede algo, cuando se produce un ciberincidente o un ciberataque en la empresa, también hay que saber responder a él como se debe, sin dejar nada al azar si es posible, ejecutando un plan previamente definido y probado.

La respuesta a incidentes es vital. En esa situación podemos correr como pollos sin cabeza haciendo cosas que creemos que aportan pero no lo hacen, o ejecutar el plan de acción, el plan de contingencia, plan de recuperación, paso a paso, tal y como se ha definido que se deba hacer.

Enmarcado en el framework de ciberseguridad del NIST (Instituto Nacional de Estándares y Tecnología), la respuesta ante incidentes cobra toda la importancia que se merece, pues se sustenta en sus funciones principales desde un punto de vista holístico: identificar, proteger, detectar, responder y recuperar.

La respuesta ante incidentes de ciberseguridad por tanto se erige como un pilar fundamental que permite minimizar impacto y daños, así como salvaguardar la integridad de los activos de información. Esto de muy necesario en empresas y organizaciones.

Alineado con el NIST el enfrentarse a un ciberincidente, consiste en detectar, contener y mitigar los efectos de un ataque. Su objetivo esencial es reducir el impacto y restaurar la normalidad operativa de la empresa lo antes posible y del mejor modo posible.

Por otra parte, la experiencia es madre de la ciencia y debemos tener muy en cuenta las lecciones aprendidas tras haber sufrido un ciberincidente. Así, con ese conocimiento de lo vivido, podemos prepararnos para prevenir futuras situaciones similares.

Pero, entonces, ¿Qué debemos hacer exactamente en caso de que se produzca un incidente? Debemos seguir un guion (adaptado y personalizado a nuestra empresa). Ese guion se traduce en unas pautas a seguir en determinadas fases de actuación o de evolución del propio ciberincidente, que también determina el NIST:

• Fase de Preparación. El incidente aún no ha tenido lugar pero la empresa ya se prepara para ello, con el objetivo de estar prevenidos y saber cómo actuar cuando suceda. Los responsables de la ciberseguridad deben definir y establecer los controles, políticas, procedimientos y equipos de respuesta adecuados. Además se pueden realizar ejercicios de simulación para estar preparados para cuando algo ocurra realmente.

• Fase de Detección. Cuanto antes nos demos cuenta, antes reaccionaremos y menos impacto tendrá el incidente, por lo que la detección temprana es vital. Para poder hacerlo, las empresas deben contar con herramientas de monitorización (tráfico por la red, estado de sistemas y dispositivos, etc.). Recabar toda la información y todas las evidencias posibles, a efectos de un forense informático posterior, también es de mucha importancia.

• Fase de Análisis. Cuando se ha detectado el incidente, debemos conocerlo, saber cómo actúa y valorar su peligrosidad potencial. El análisis del tráfico de red por ejemplo, nos ayuda a identificar actividad sospechosa, patrones no habituales, comportamientos extraños, etc. Con ello conoceremos no solo el origen del incidente, sino su gravedad, alcance y naturaleza.

• Fase de Contención. Es el momento de actuar para detener, por lo que la empresa debe de tomar medidas para evitar la propagación del ataque (isolation o aislamiento de sistemas afectados, desactivación de cuentas comprometidas, aplicación de actualizaciones y parches disponibles, etc.).

• Fase de Erradicación. Ahora ya podemos eliminar la amenaza que ha causado el incidente e incluso dejar sin capacidad de actuación al ciberatacante.

• Fase de Recuperación. Tratemos de volver a la normalidad aunque, de momento (y es muy probable) ésta no pueda ser aún del 100% como antes del ciberincidente. La empresa debe restaura sistemas y servicios afectados, realiza pruebas, garantizar que ya no existe amenaza e ir asegurando la continuidad del negocio.

Hasta aquí llegaría el marco de actuación del NIST, pero, además, sugiere realizar otras actividades de interés y relevancia, aunque sea a toro pasado, que dependerán de cada empresa.

La primera de ellas es tomar nota de las lecciones aprendidas. Como decíamos, la experiencia es madre de la ciencia y, por tanto, aprendamos del incidente sufrido. Debemos evaluar lo sucedido desde todas las perspectivas y anotar lo que se hizo bien, lo que se hizo mal, el por qué salió bien o mal y los resultados.

Al final deberíamos tener un documento de best practices e incluso, de esa recopilación y reflexión, deberíamos poder generar, enriquecer y mejorar el plan corporativo de respuesta a incidentes que nos servirá el día de mañana como guion para actuar en caso de nuevos incidentes.

En todo este proceso debemos tener en cuenta además aspectos también importantes como la coordinación, la colaboración, la comunicación, la correcta gestión y preservación de evidencias del ataque.

Como ves, no es algo tan trivial como parece y debe ser definido y guiado por expertos en ciberseguridad.

Nuestro servicio de Respuesta Ante Incidentes, presta a las organizaciones apoyo técnico en la evaluación y contención de los incidentes de seguridad que tu empresa pueda sufrir, con un personal experto te ayudará a contener el problema y a tomar las medidas necesarias para restablecer el servicio.

¿Hablamos?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx

Si lo prefieres, contáctanos y hablamos.