Ciberataques: ¿debemos preocuparnos más de lo que lo hemos hecho hasta ahora?

Otro de estos factores que comparten estos ciberataques es que, en la mayoría de los casos, se producen mediante una empresa tercera, es decir, fuera del perímetro de seguridad de la gran organización, ya que cuentan con un nivel de madurez de ciberseguridad mucho menor. Y, por último, que suelen apalancarse en un error humano, que actúa como iniciador de la cadena, normalmente haciendo un simple clic en un enlace malicioso dentro de un correo electrónico.

¿Qué son las APIs y cuáles son sus principales vulnerabilidades?

Entrando en detalle de estos ataques y su naturaleza, y sobre todo en cómo poder evitarlos o minimizarlos, debemos reconocer el papel de las API (Application Programming Interface), un conjunto de reglas que permite que diferentes aplicaciones se comuniquen entre sí. Las API facilitan la integración de funcionalidades y datos entre sistemas, permitiendo, por ejemplo, que una aplicación móvil acceda a los datos de un servidor web.

Pero además de contar con múltiples ventajas necesarias para el mundo conectado en el que nos encontramos, también podrían tener importantes vulnerabilidades. Un error en su fase de diseño, implementación con la arquitectura o de su configuración, puede ser aprovechado por los atacantes, principalmente para obtener un acceso no autorizado, con el consecuente robo de datos, o para interrumpir un determinado servicio. Estos son algunos ejemplos:

• Inyección de código: ocurre cuando el atacante es capaz de insertar una pieza de código malicioso en una solicitud de la API, que al interactuar con una base de datos de la organización, devuelve al ‘hacker’ la información que él solicita.
• Autenticación y autorización insuficientes: se da cuando las API no verifican de manera adecuada la identidad del usuario o no controlan correctamente los permisos de acceso, lo que lleva a una brecha de seguridad por la que los atacantes pueden acceder a información confidencial.
• Limitación de rango y recursos: tiene lugar cuando no se han definido las limitaciones adecuadas en la utilización de la API, permitiendo a los atacantes realizar un número elevado de solicitudes en un espacio limitado de tiempo y colapsar el servidor.
• Exposición excesiva de datos: se produce cuando la API devuelve más datos de los necesarios en su respuesta a la petición realizada. En este caso, es consecuencia de un error de seguridad en el diseño que puede exponer información confidencial o de alta sensibilidad.

¿Y respecto al riesgo de terceros?

Recordemos que uno de los factores por los que se están viendo incrementados este tipo de ciberataques es a raíz de las terceras partes. De hecho, según datos de KPMG, el 65% de los incidentes de seguridad que se producen en la actualidad proceden de la afectación de un proveedor de servicios. Y es que las organizaciones dependen, cada vez más, de proveedores externos dentro de su cadena de valor de negocio. Estos terceros pueden ofrecer servicios en la nube, de desarrollo de software o soluciones muy específicas, pero con acceso a datos y conexiones a los servidores y procesos de negocio de la organización.

Así, los atacantes a menudo apuntan a estos terceros al entender que su nivel de ciberseguridad es menor, por lo que la superficie de ataque se ve ampliada, al comprometer toda la cadena de suministro de la organización. Esto se explica porque el ataque a un único proveedor puede afectar a múltiples organizaciones que dependen de sus servicios o afectar a datos sensibles, teniendo en cuenta que estas compañías a menudo tienen acceso a datos críticos y confidenciales.

¿Qué podemos hacer para elevar nuestro nivel de protección?

He aquí la pregunta clave y, antes de entrar a recomendaciones más específicas, el mayor consejo en ciberseguridad es trabajar en una estrategia a nivel de la organización, medir los riesgos y las vulnerabilidades, siendo capaces de cuantificar y orientar las inversiones y fomentar la concienciación. Porque el papel de los empleados y diferentes usuarios es clave para fortalecer la cadena.

Si nos centramos en consejos  en relación a APIs, destacamos:

1. Auditoría y monitorización: Supervisar de manera continua la actividad de las API para detectar comportamientos anómalos o intentos de acceso no autorizado.
2. Autenticación robusta: Implementar autenticación multifactor (MFA) para garantizar que solo los usuarios autorizados puedan acceder a los sistemas y datos a través de las API.
3. Reforzar el control de acceso: Limitar los privilegios de acceso a las API para reducir la superficie de ataque y evitar el acceso no autorizado, tanto a sistemas como a datos sensibles.
4. Cifrado de datos: Utilizar técnicas de encriptación para proteger la integridad y confidencialidad de los datos transmitidos a través de las API.
5. Actualizaciones y parches: Mantener actualizados los sistemas y software relacionados con las API para mitigar el riesgo de explotación de vulnerabilidades.

Por su parte, en relación a los riesgos vinculados a terceros, serían los siguientes, si bien las ultimas regulaciones a nivel europeo en ciberseguridad (DORA y NIS2) o el Cyber Security Framework de NIS (NIS CSF) hacen especial hincapié en estos aspectos:

• Proactividad en la evaluación de riesgos de terceros: Realizar evaluaciones de riesgos exhaustivas de los proveedores externos antes de la contratación y, en función de los niveles de riesgo, continuar evaluando periódicamente la seguridad de los proveedores hasta la finalización de la relación.
• Incluir requisitos contractuales de seguridad: Tales como cláusulas específicas de ciberseguridad en los contratos con proveedores, que definan tanto responsabilidades, como consecuencias. En este sentido, es fundamental exigir a los proveedores que cumplan con estándares de seguridad reconocidos en el mercado, e incluir de manera explícita la posibilidad de llevar a cabo auditorías específicas sobre sus sistemas.
• Establecer medidas específicas para la protección de datos de carácter personal: Por ejemplo, asegurar el cumplimiento de las regulaciones de aplicación, incluir mecanismos de cifrado para la comunicación de datos o exigir pruebas en el borrado de los mismos cuando sea de aplicación.
• Limitar los accesos y permisos: Únicamente a la información que deben utilizar para su trabajo. Asimismo, recomendamos dar acceso a información en entornos controlados, en vez de su envío por correo electrónico e implementar autenticación multifactor.
• Contar con un plan de respuesta a incidentes y ciber resiliencia: Exigir que los proveedores cuenten con un plan específico para la detección y respuesta de incidentes, así como un plan de resiliencia que contemple de manera explícita los servicios fruto de la relación.

Cómo abordar un futuro incierto

Dado el avance de la tecnología y la propia digitalización de las compañías, es importante comprender que los incidentes y ciberataques no van a desaparecer. De hecho, lo más probable es que continúen aumentando y que, con la utilización de IA generativa aplicada a la ciberseguridad y los progresos de la computación cuántica, estos se intensifiquen. Prueba de ello es que uno de cada tres encuestados en ‘Perspectivas España 2024’, informe elaborado por KPMG en colaboración con CEOE, reconoce haber sufrido algún ciberincidente en los últimos 12 meses

Por tanto, la única vía de actuación es seguir trabajando, principalmente en la prevención y en la concienciación, fijando la idea de que la ciberseguridad se basa en la confianza y que no es un ámbito de actuación únicamente del CISO o de los equipos de Tecnología, sino que se debe vertebrar y articular en toda la organización. Para que sea totalmente efectiva, la ciberseguridad ha de partir de una estrategia aprobada por el Comité de Dirección y dotada de los recursos necesarios para su ejecución.