Un repaso a la ciberseguridad: del antivirus simple a las estrategias ‘zero trust’

En los últimos años, la ciberseguridad ha cambiado de forma considerable. Según se consolidaba el uso de Internet y avanzaba la tecnología dentro del ámbito social y empresarial, surgían nuevas generaciones de amenazas que suponían un verdadero reto para las compañías y la seguridad de sus activos.

El malware no es algo ajeno al mundo digital. El primero que se conoce data de los años 70 – cuando aún estaba en pie ARPANET y el Internet tal y como lo conocemos hoy en día no existía –, y se popularizó con el nombre Creeper por el mensaje que mostraba al autoejecutarse (“I’m the Creeper, catch me if you can!”). Este virus dio pie a la creación del primer antivirus, el denominado Reaper, pensado para detectar qué ordenadores estaban infectados con Creeper y eliminarlo.

Desde entonces, la ciberseguridad ha ido adquiriendo más y más importancia hasta convertirse en un área fundamental para cualquier organización. Si bien es cierto que las necesidades de antaño no eran, ni mucho menos, iguales que las actuales, la capacidad camaleónica de la seguridad informática para adaptarse al avance tecnológico ha permitido que las empresas eleven la protección de sus recursos y entorno dentro de sus estrategias.

Los años 90 y el despegue de la ciberdelincuencia

La oleada de ataques que se vivieron en los años 90 hizo que la ciberseguridad tuviera que evolucionar a marchas forzadas. Con la llegada de Internet y la proliferación de la era de la conectividad, la ciberdelicuencia empezó a profesionalizarse, centrándose en el uso de técnicas de ataque para robar dinero.

Para hacer frente a esta situación, los antivirus se extendieron como la pólvora: un software basado en listas en negras de virus que actuaba contra lo conocido, por lo que su franja de acción era muy limitada. En esta época, además, de desarrolló el primer firewall de “inspección de estado paquetes”, pensado para añadir una nueva capa de protección al ser capaz de ayudar a prevenir ataques contra conexiones en curso y determinados ataques DoS.

Desde finales de la década y hasta bien entrados los años 2000, el auge en la adopción del email dio pie al surgimiento de técnicas de ingeniería social, que convivieron con la explotación de vulnerabilidades de sistemas operativos, hardware y aplicaciones. Una vez más, los métodos de protección tuvieron que adaptarse a las nuevas necesidades, y los firewalls y antivirus se volvieron mucho más robustos, empezando a ser capaces de detectar virus no conocidos hasta el momento.

Para protegerse, las empresas comenzaron a establecer perímetros de seguridad, y llevaron a cabo estrategias heurísticas que contemplaban el análisis de conducta, el incremento de actualizaciones o el análisis automatizado de malware para detectar el comportamiento de malware anómalo y desconocido, y actuar en consecuencia.

2010 supuso un antes y un después en muchos sentidos. Por un lado, en 2010 surgió Stuxnet, el primer ejemplo conocido de arma pensada para la ciberguerra. Por otro, el malware pasó a ser mucho más sofisticado, hasta el punto se volvió sigiloso y prácticamente indetectable, surgiendo los primeros ataques zero-day o de día cero.

Ante este panorama, las organizaciones, tanto gubernamentales como privadas, no tuvieron otra que reformular todo aquello que tenían establecido y que conocían. La protección pasó a ser fileless y centrado en métodos y servicios de atestación 100% que incorporaban tecnologías como el machine learning o la inteligencia artificial. Así, partiendo del análisis de comportamiento basado en un contexto, quienes trabajábamos por ir un paso más allá fuimos capaces de desarrollar soluciones para detectar, analizar y frenar todo tipo de malware y goodware. El siguiente paso fue la introducción de estrategias avanzadas, técnicas anti-exploits dinámicas y servicios de Threat Hunting y de investigación para frenar los ataques Living-off-the-Land que empezaban a surgir, dar una respuesta efectiva en la ciberguerra y garantizar la protección 100% de los activos y endpoints, dentro y fuera del perímetro.

Estrategias ‘zero trust’ y soluciones EDR, la nueva norma

Toda esta evolución ha desembocado en soluciones avanzadas que utilizan IA, machine learning y enfoques ‘zero trust’ o de confianza cero para reforzar las capacidades claves de prevención, reducir drásticamente la superficie de ataque en los endpoints y ofrecer una rápida respuesta ante incidentes.

Los hackers están absolutamente profesionalizados, formando parte de organizaciones que desarrollan sus propios agentes maliciosos y métodos de ataque para paralizar actividades laborales, actuar contra infraestructuras críticas, cometer fraude y una infinidad de fechorías más. Por ello, los servicios de ciberseguridad efectivos deben basarse en cuatro principios: prevención, detección y respuesta, visibilidad en tiempo real e histórica, clasificación del 100% de procesos, y análisis de comportamientos heurísticos y detección de IoAs (indicadores de ataque).

Si comparamos el presente con hace 30 años, podemos ver que hemos vivido una auténtica revolución en materia de seguridad. Tanto los proveedores de servicios y soluciones como las organizaciones nos hemos tenido que adaptar continuamente al surgimiento de nuevas innovaciones para garantizar una óptima y eficaz gestión y control de las amenazas. La ciberseguridad ha crecido de la mano de la tecnología, y es importante saber adaptarse a las necesidades de la era digital, marcadas por los impulsos recientes y profundos de la digitalización y la inteligencia artificial.

Juan Santamaría, CEO de Panda Security