"Debes encontrar la aguja en el pajar."

En el actual panorama de ciberseguridad, es casi un hecho que la mayoría de las empresas con capacidades digitales sufrirán un ataque cibernético en algún momento. Sin embargo, esto no implica que el impacto de un ataque tenga que ser catastrófico, incluso si tiene éxito. Ahí es donde entran en juego empresas como Semperis.

Recientemente, Semperis participó en InfoSecurity Europe, donde se discutieron las preparaciones para enfrentar ransomware y se llevó a cabo una simulación de mesa sobre ataques de ransomware que mostró las tácticas utilizadas por los equipos de ataque y defensa.

La simulación involucró la división de expertos en ciberseguridad en dos equipos: el equipo rojo, actuando como el grupo de ransomware, y el equipo azul, que representaba a los defensores en una instalación de agua. Se eligió una instalación de agua debido a la creciente cantidad de ciberataques a infraestructuras críticas, donde factores como la burocracia y la falta de recursos técnicos han dejado al sector público particularmente expuesto.

Guido Grillenmeier, tecnólogo principal de Semperis en EMEA, explicó que la burocracia puede llevar a que el sector público esté peor preparado para enfrentar desastres reales, a pesar de cumplir con la documentación requerida. La seguridad de las instalaciones públicas, como plantas de tratamiento de agua, es esencial, ya que puede afectar directamente la vida de las personas.

Durante el ejercicio, el equipo rojo exploró sus motivaciones y, finalmente, exigió un rescate considerable a la empresa de agua, que coincidía con el monto de la póliza de seguro. Aunque el equipo azul se negó a pagar, ambas partes fueron constantemente desafiadas.

Las simulaciones de este tipo son vitales, ya que los ataques de ransomware son difíciles de predecir. Semperis utiliza esta clase de ejercicios para capacitar a las empresas y ayudarles a recuperarse de ataques. La compañía lanzó recientemente su herramienta Ready1, diseñada para facilitar la respuesta a crisis mediante la preparación, colaboración y comunicación a nivel empresarial.

Sin embargo, contar con herramientas adecuadas no es suficiente. Grillenmeier señala que un plan de respuesta cibernética no garantiza protección efectiva. A pesar de que el 96% de las empresas posee un plan, el 71% ha enfrentado al menos un evento cibernético significativo que interrumpió funciones críticas en el último año, lo que demuestra que no basta con tener un plan.

Factores como la falta de comunicación entre equipos, roles poco claros y el uso excesivo de herramientas dispares contribuyen al tiempo de inactividad, y estos problemas pueden mitigarse mediante una adecuada preparación.

Es por esto que la regulación DORA de la UE exige pruebas de resiliencia operativa como parte de sus requisitos fundamentales. Las simulaciones, como la realizada durante el evento, son esenciales para la industria financiera y más allá, ya que obligan a las empresas a demostrar su preparación y responder ante un desastre.

Estos ejercicios brindan a los profesionales de la ciberseguridad una oportunidad para interactuar de manera crítica con todos los aspectos de un ataque en un ambiente más controlado, lo que les permite explorar diversas estrategias de defensa y ataque.