La razón principal del aumento de los ciberataques es que cada vez es más fácil, más económico y más rápido ejecutarlos. Aún así, un cibercriminal gana mucho menos dinero que los profesionales de seguridad informática.
A continuación analizamos los resultados principales del informe Flipping the Economics of Attacks, publicado este mes. Se basa en una encuesta que le encargó Palo Alto Networks al Instituto Ponemon.
El Instituto Ponemon encuestó a más de 10.000 individuos que decían tener habilidades de hacking en los Estados Unidos, el Reino Unido y Alemania, y que habían participado en algunos de los eventos de la industria. La muestra final del estudio está conformada por 304 encuestas, es decir que la tasa de respuesta fue solo de 2,9%.
El informe se centra principalmente en los siguientes temas:
- La motivación económica de los atacantes
- Por qué los ataques exitosos están aumentando
- Cuál es el punto de inflexión, es decir, el momento en que los agentes maliciosos deciden cancelar el ataque
La motivación económica
El estudio demuestra que la motivación para el 69%1 de los atacantes es el dinero. Reveló que los atacantes reciben en promedio 28.744 dólares al año trabajando 705 horas en sus ataques. Los autores del estudio compararon estas cifras con los salarios en la industria de la seguridad y descubrieron que los atacantes ganan 29% menos que el salario promedio de los profesionales de seguridad informática, tanto en los sectores públicos como privados.
El atacante típico hace 8.26 ataques por año con un éxito del 42%
Los datos de la encuesta en los que se basan estos cálculos2 son bastante interesantes. Un atacante necesita 70 horas1 para llevar a cabo un ataque contra una infraestructura típica de seguridad informática, mientras que en el caso de una infraestructura de seguridad de alto nivel, el número asciende a más del doble: 147 horas.
El atacante típico hace 8.261 ataques por año con un éxito del 42%1. De esos ataques exitosos, solo el 59%1 tiene un beneficio distinto de cero. Si no tiene éxito, el ataque consume 2091 horas antes de ser cancelado. El beneficio por ataque exitoso es $14.7111, mientras que las herramientas de hacking especializadas cuestan $1.3671 por año.
Por qué están aumentando los ataques exitosos
La encuesta demostró que los atacantes se están beneficiando de las "herramientas de hacking automatizadas, con las que el ataque tiene más probabilidades de ser exitoso". El 68% de los encuestados estuvo de acuerdo o muy de acuerdo con esta afirmación. Según más de la mitad (56%) de los encuestados, "el tiempo y los recursos que necesita un criminal para realizar un ataque con éxito han decrecido con el tiempo".
El tiempo y los recursos que necesita un criminal para realizar un ataque con éxito han decrecido
En cuanto a los costos para ejecutar ataques cibernéticos, el valor extrapolado de su disminución, según las estimaciones de los encuestados, es del 25%. Las principales razones son: el aumento del número de exploits y vulnerabilidades conocidas (el 67% está de acuerdo o muy de acuerdo), el perfeccionamiento de las habilidades de los atacantes (52%), la mejora de las herramientas empleadas (46%), la mayor colaboración dentro de la comunidad (22%), así como la mejor inteligencia sobre organizaciones específicas (20%)3.
En qué momento los actores maliciosos cancelan sus ataques
La planificación y ejecución de un ataque cibernético contra una organización con una infraestructura de seguridad informática típica requiere entre 1 y 24 horas, según el 53% de los expertos en amenazas que participaron en la encuesta. El segundo plazo para montar un ataque en el que el 28% estuvo de acuerdo fue de 1 a 7 días.
Como el 42% de los ataques cibernéticos tienen éxito (este valor es extrapolado; la mayoría estuvo de acuerdo en que el intervalo, en porcentajes, era de entre 51% y 75%, donde 26% de los encuestados estuvo de acuerdo); el tiempo es el enemigo principal de un atacante. La encuesta indica que cuanto más tiempo transcurre antes de que un ataque exitoso sea ejecutado, las probabilidades de que la organización sea capaz de detenerlo son mayores.
El tiempo es el enemigo principal de un atacante
Por ejemplo, un retraso de cinco horas en la realización de un ataque exitoso disuade 13% de los ataques1, y si el retraso es de 20 horas, disuade 36% de los ataques1. Un criminal desiste del ataque y pasa a un nuevo objetivo después de haber trabajado al menos nueve días1 en dicho ataque sin tener éxito.
Cuál es la conclusión para las víctimas potenciales de los ciberdelincuentes
Esta encuesta nos brinda una perspectiva única sobre las tácticas operativas de los ciberdelincuentes. Sin embargo, la pregunta más importante (qué tecnologías de seguridad hay que utilizar para "detener o reducir los ataques") aquí está claramente dirigida a las grandes empresas (aunque la respuesta parece inclinarse hacia los productos en cartera de las soluciones patrocinadoras del estudio).
Resulta bastante extraño ver que el "intercambio de información sobre amenazas" se encuentra en el pedestal de las tecnologías de seguridad, mientras que las soluciones de seguridad para endpoints quedan relegadas muy por detrás de otras soluciones irrelevantes, como el uso del hacking como defensa, y soluciones obvias, como el uso de equipos "honeypot" con la intención de infectarse para capturar malware.
Al combinarse con cifrado, backup y recuperación de datos, las soluciones de seguridad hacen que los ataques se tornen económicamente inviables
Es cierto que todas ellas son herramientas útiles, pero por tratarse de grandes empresas, en este caso, los expertos en amenazas encuestados se focalizaron en las herramientas más pequeñas. De acuerdo con el informe, un ataque cibernético (si tiene éxito) tiene una rentabilidad de solo 15.000 dólares estadounidenses (valor aproximado). Este número es muy bajo en comparación con los 3,8 millones de dólares, que es el costo total promedio de una brecha de datos según otra encuesta del instituto Ponemon realizada en 2015, titulada 2015 Cost of Data Breach Study.
Además, las pequeñas empresas también pueden hacer uso del intercambio de información sobre amenazas, ya que existen soluciones avanzadas de seguridad para endpoints que contemplan esta tecnología. También conocida como Sistema en la nube de protección contra malware, recoge muestras de aplicaciones potencialmente maliciosas y otras amenazas posibles para realizar pruebas automáticas en modo sandbox y analizar su comportamiento, lo que resulta en la creación de firmas automatizadas si se confirma alguna característica maliciosa. Todos los usuarios que optan por utilizar esta tecnología toman parte en el "intercambio de información sobre amenazas".
Del mismo modo, algunas soluciones avanzadas de seguridad para endpoints también ofrecen otras tecnologías integradas que en la investigación de Ponemon solo se mencionan como tecnologías autosostenibles. Con las funcionalidades de Protección contra ataques de red, Bloqueo de exploits, Exploración avanzada de memoria, entre muchas otras, estas soluciones han dejado de ser de una mera detección basada en firmas para convertirse en soluciones de seguridad en múltiples capas que cubren todas las necesidades esenciales de la seguridad en Internet.
Al combinarse con soluciones eficaces para el cifrado, la creación de backups y la recuperación de datos, hacen que el sistema sea (aunque no impenetrable) lo suficientemente seguro como para que la mayoría de los ataques se tornen económicamente inviables.
1 Este número es un "valor extrapolado". Es similar a un valor promediado, pero que se calcula a partir de rangos de valores en vez de números exactos.
2 Los cálculos del informe se basaron en una amplia gama de supuestos. Para conocer más detalles, consulta el informe.
3 Se permitió elegir más de una respuesta.