SECURITY OPERATION 1

LLEGÓ LA
INTELIGENCIA
ARTIFICIAL… ¿Y
AHORA QUÉ?
Por Fernando Juliá
 NOTA DE TAPA 5

Los ciberataques no sólo han aumentado

significativamente, sino que también se han
vuelto más sofisticados. Los métodos de seguridad
tradicionales no son adecuados para prevenir
violaciones de datos en caso de ciberataques.
6 NOTA DE TAPA
Los ciberdelincuentes han
aprendido a usar nuevas técni-
cas y herramientas sólidas para
piratear, atacar y violar datos.
Afortunadamente, las tecnolo-
gías de inteligencia artificial (IA)
se han introducido en el cibe-
respacio para construir modelos
inteligentes para defender los
sistemas de los ataques.
La IA tiene un impacto significa-
tivo en la seguridad informática
en el mundo. Por un lado, la IA se
puede utilizar para construir sis-
temas defensivos como malwa-
re y detección de ataques a la
red; por otro lado, la IA podría
explotarse para lanzar ataques
más efectivos. Los avances en
las técnicas criptográficas y
de inteligencia artificial (IA) (en
particular, el aprendizaje auto-
mático y el aprendizaje profun-
do) se muestran prometedores
al permitir que los expertos en
seguridad cibernética contra-
rresten la amenaza en constante
evolución que representan los
adversarios.
Según un informe de IBM, los
principales adoptantes de IA
están monitoreando el 95 % de
las comunicaciones de la red y
reduciendo el tiempo para de-
tectar incidentes en un tercio.
También señala que los ejecuti-
vos informan una adopción ge-
neralizada de IA para operacio-
nes de seguridad, con un 93 %
que ya usa o está considerando
implementarla. Y agregan que
las empresas de mejor desem-
peño aumentaron su retorno de
la inversión en seguridad (ROSI)
en un 40 % o más y redujeron
los costos de filtración de datos
en al menos un 18 %.
Por su lado, Capgemini ase-
gura que las organizaciones
cuentan con la IA para ayudar
a los abrumados analistas de
ciberseguridad. Casi dos ter-
cios piensan que la IA ayudará
a identificar amenazas críticas.
El sesenta y nueve por ciento de
las organizaciones creen que la
IA será necesaria para respon-
der a los ataques cibernéticos.
También señalan que tres de
cada cuatro ejecutivos dicen
que el uso de IA permite que
su organización responda más
rápido a las infracciones, y que
tres de cada cinco empresas
dicen que el uso de IA mejora
la precisión y la eficiencia de
los ciberanalistas.
La inteligencia artificial y su
rol en ciberseguridad
“La Inteligencia Artificial (IA) es
la combinación de algoritmos
planteados con el propósito de
crear máquinas que presenten
las mismas capacidades que
el ser humano. En este caso
su rol en la ciberseguridad es
sumamente importante ya que
los ataques cibernéticos evo-
lucionan continuamente a un
ritmo cada vez mayor, hacién-
dose mucho más sofisticados
y peligrosos en comparación
con algunos años atrás”, indica
Alejandro Botter, gerente de in-
geniería de Check Point para el
sur de Latinoamérica.
Botter, de Check Point, suma
que las herramientas de segu-
ridad tradicionales utilizan mé-
todos basados en firmas para
identificar amenazas, pero este
enfoque es defectuoso y puede
pasar por alto muchos ataques.
Las herramientas de seguri-
dad avanzadas que usan IA/
ML (Maching Learning) pueden
identificar ataques conocidos y
desconocidos, lo que da como
resultado tasas de detección
cercanas al 100 % y minimiza
los falsos positivos. Con AI/ML,
no es necesario actualizar las
firmas, crear reglas o administrar
los esfuerzos de configuración.
Sí, puede haber “falsos positi-
vos” ocasionales, pero estudio
tras estudio señala que vale la
pena evitar la interrupción oca-
sional causada por un falso po-
sitivo para evitar un evento de
incumplimiento más impactante.
A su vez, Botter, de Check Point
señala un punto importante: “Su-
mado a esto, la realidad también
es que uno de los mayores pro-
blemas es que simplemente no
hay suficientes profesionales de
seguridad para mantenerse al

día con los aumentos de cibera-
menazas y todos los problemas
relacionados”
Para Arturo Torres, estratega de
inteligencia contra amenazas de
FortiGuard Labs para Latinoa-
mérica y Caribe, la inteligencia
artificial es la tecnología que a
través de máquinas o computa-
doras estudia el comportamien-
Check Point enfrenta
el desafío actual de la
rápida evolución de
amenazas incorporando
IA en su arquitectura
de seguridad unificada
de múltiples capas,
proporcionando un
sistema inteligente
en constante mejora
que logra prevenir
activamente ataques
complejos y sofisticados
to o patrones de seres vivos o
de codificación para después
replicarlos, implementarlos e
incluso mejorarlos utilizando la
información recopilada. El obje-
tivo principal de esta tecnología
es procesar una gran cantidad
de información para la toma de
decisiones utilizando técnicas
de predicción o clasificación.
“La IA, especialmente, puede
analizar continuamente mon-
tañas de datos recopilados de
dispositivos en toda la red para
identificar amenazas. También
puede investigar automática-
mente la afluencia de alertas
que tradicionalmente han re-
querido la entrada manual de
los equipos de seguridad, lo
que les permite tomar decisio-
nes mejor informadas, crear un
programa de seguridad más
proactivo y eficiente y ser más
rentable. Esto libera a los equi-
pos de seguridad para dedicar
más tiempo a perfeccionar la
estrategia, investigar amenazas
avanzadas y cultivar una cultu-
ra de conciencia cibernética”,
agrega Torres, de FortiGuard
Labs.
Torres no deja de señalar tam-
bién que en la ciberseguridad
las soluciones impulsadas por
AI se han vuelto un componen-
te clave y necesario para las
arquitecturas de seguridad ya
que, ante la falta de personal
con habilidades en este cam-
po, AI ayuda a reducir la carga
de trabajo de los equipos de
TI, monitoreando, analizando
y detectando cualquier activi-
dad anormal dentro de la red,
aislándola casi en tiempo real.
“La IA es un poderoso motor
para la transformación digital.
De acuerdo con el IBM Global
AI Adoption Index 2022, casi 7
NOTA DE TAPA 7
de cada 10 empresas en la re-
gión, aumentó su inversión de IA
con la pandemia. Esto eviden-
cia que la IA es un catalizador
para acelerar el impacto en el
negocio, generar disrupción y
desbloquear nuevas oportuni-
dades de mercado”, sostiene
Pamela Skokanovic, Security
Sales Manager, IBM Argentina,
Paraguay y Uruguay.
Alejandro Botter
Security Engineering Manager
- Región Sur de América Latina
de Check Point
Skokanovic, de IBM, indica que
a medida que los ciberataques
crecen en volumen y compleji-
dad, la IA está ayudando a los
analistas de operaciones de se-
guridad que cuentan con recur-
sos insuficientes a adelantarse
a las amenazas. Las tecnolo-
gías de IA, como el aprendizaje
automático y el procesamiento
del lenguaje natural, capturan
los insights de inteligencia de
8 NOTA DE TAPA
amenazas de millones de artí-
culos de investigación, blogs y
noticias, y brindan información
rápida a los profesionales de
seguridad para eliminar el ruido
de las alertas diarias, lo que re-
duce drásticamente los tiempos
de respuesta.
“Además, la IA puede aumentar
las habilidades de los analistas
de seguridad cuando se trata de
Arturo Torres
Estratega de FortiGuard Labs
para América Latina & Caribe
tareas para las no están com-
pletamente preparados, lo que
les permite hacer su trabajo de
manera más rápida, precisa y
eficiente”, agrega Skokanovic,
de IBM.
“La inteligencia artificial debe
tener la habilidad de aprenderlo
todo por sí misma, de adaptarse
y de tomar decisiones en situa-
ciones completamente nuevas
con una colección incompren-
sible de información multiforma-
to. Además, debe ser motivada
emocionalmente y tener la ha-
bilidad de pasar sus progresos
intelectuales a sus descendien-
tes”, afirma Fabio Assolini, Direc-
tor del Equipo de Investigación
y Análisis para América Latina
de Kaspersky, que agrega que
“En ciberseguridad, los robots
hacen una gran parte del trabajo
ya que encuentran e identifican
el malware y lo analizan; luego,
crean un “repelente”, lo prueban,
lo distribuyen, y lo incluyen en
la protección global. Todo esto
sucede (automáticamente) miles
de veces al día. Además, los ro-
bots siempre están aprendiendo
y la detección está corrigiéndo-
se y mejorando constantemente.
Solo una pequeña parte del tra-
bajo requiere de un ser humano
experto”.
Desde Kyndryl, Ariel Dubra, Cy-
bersecurity&Resilience Practice
Architect de la empresa, com-
parte que la Inteligencia Artificial
(IA) tiene un rol y una importan-
cia cada vez más preponderan-
te en la ciberseguridad, algo
que se replica, a su vez, con
el aprendizaje automático (Ma-
chine Learning). Estas tecnolo-
gías son capaces de analizar
rápidamente grandes conjuntos
de datos y rastrear una amplia
variedad de amenazas, como
ser malware, hasta análisis de
comportamientos sospechosos
que pueden resultar en un ata-
que mucho más sofisticado.
Para Dubra, de Kyndryl, las prin-
cipales funciones que se desta-
can de la Inteligencia Artificial
asociada a la ciberseguridad
son: “La Detección, debido a
la capacidad que tiene la Inte-
ligencia Artificial para identifi-
car el tráfico irregular a través
del aprendizaje automático, la
Predicción, dado a que ayuda
En Fortinet, sabemos que
la información cambia
situaciones y somos ese
aliado que ayuda a las
empresas a mantener
a la gente, dispositivos
y datos seguros,
brindándoles soluciones
amplias, integradas y
automatizadas que les
ayuden a protegerse
mejor
a predecir diferentes tipos de
amenazas analizando los da-
tos y haciendo predicciones
basadas en el entrenamiento
del sistema y la Respuesta,
automatizando la creación de
un parche o una solución mo-
mentánea virtual, para detener
una amenaza detectada o de-
sarrollar nuevos mecanismos

de protección en tiempo real”.
Por su parte, Andrés Mendoza,
Regional Technical Manager en
Zoho Corp y ManageEngine,
dice que LLa ciberseguridad
es uno de los muchos usos de
la inteligencia artificial, las em-
presas pueden utilizar la IA para
evitar tanto pérdidas financie-
ras como de tiempo. IA ofrece
información que permite a las
empresas comprender las ame-
nazas fácilmente, lo que reduce
los tiempos de respuesta y hace
que las empresas cumplan con
las mejores prácticas de segu-
ridad”.
Mendoza, de ManageEngine
suma que, por otro lado, el
aprendizaje automático (ML)
ayuda a reconocer patrones en
los datos para que las máquinas
puedan aprender de la expe-
riencia. Entonces, al aprovechar
la inteligencia de amenazas ci-
bernéticas, el aprendizaje auto-
mático y la inteligencia artificial,
las empresas pueden responder
a los problemas con rapidez y
confianza.
¿Ha llegado la Inteligencia
Artificial para quedarse?
Para Botter, de Check Point, se
ve una adopción de esta tecno-
logía: “En el 2018, el desarrollo
global de la IA en el mercado de
la seguridad cibernética alcanzó
los 7100 millones de dólares, y
se proyecta que alcance casi
u$s 30.9 mil millones para 2025.
Con una evolución y aumento
constante de los ciberataques
es imprescindible incorporar
nuevas tecnologías para poder
estar siempre un paso adelante
de los atacantes”.
Botter, de Check Point, también
apunta que es un segmento de
mercado que está llegando a
los ejecutivos de nivel C (CISO,
CIO, etc.). Una encuesta del Ins-
tituto CapGemini de 850 altos
ejecutivos de seguridad de la
información demostró que el
61% de las empresas ya no
pueden detectar intentos de
incumplimiento sin tecnología
de IA. Otro 48 % afirma que
tiene en sus planes aumentar
los presupuestos de IA en un
promedio del 29%. De ejecuti-
vos encuestados, el 75% dice
que actualmente está probando
casos de uso de seguridad ci-
bernética de IA.
Torres, de FortiGuard Labs tam-
bién observa un incremento en
la adopción de la inteligencia
artificial: ”De hecho, todas nues-
tras soluciones están impulsa-
das por IA y Machine Learning.
Ante un panorama cambiante y
creciente de ciber amenazas,
y la alta demanda de la indus-
tria para contar con profesio-
nales de ciberseguridad, la IA
se transforma en un recurso
vital para enfrentar estos retos,
NOTA DE TAPA 9
permitiendo a los equipos de
TI enfocarse en tareas que no
puedan ser resultas con el uso
de esta tecnología, para de este
modo proteger mejor a la gente,
los dispositivos y los datos”.
Torres, de FortiGuard Labs agre-
ga que un claro ejemplo es el
cómo podemos inspeccionar
una gran cantidad de archivos
en busca de contenido malicio-
so, en donde podemos detectar
a una nueva variante de malware
en un archivo malicioso y clasi-
ficarlo como una campaña de
malware conocida a través del
uso de esta tecnología, así como
predecir el comportamiento de
un dispositivo infectado.
“Con IA, las empresas pueden
armar rápidamente a los equi-
pos de seguridad con la infor-
mación, contexto e insights que
necesitan para tomar decisio-
nes y minimizar el impacto en la
experiencia del usuario”, suma
Skokanovic, de IBM Argentina,
“Por ejemplo, de acuerdo con
el estudio Cost of Data Breach
Report 2022, las organizacio-
nes que desplegaron comple-
tamente la automatización y la
IA en seguridad incurrieron en
un costo promedio menor en
filtraciones de datos, y lograron
un ahorro de 65.2% frente a las
que no, lo cual significó el mayor
ahorro de costos observado en
el informe. Además, su tiempo
de detección y contención es
10 NOTA DE TAPA
menor: 2.5 meses más rápido”.
Desde Kaspersky, Assolini apor-
ta otra mirada y comparte que,
en el mercado de la ciberseguri-
dad, se presentan nuevos y “re-
volucionarios” productos, como
por arte de magia, a través de
la inteligencia artificial pueden
resolver todos los problemas de
seguridad y proteger a todos y
a todo de cualquier amenaza
de un solo golpe: Mientras tan-
to, en realidad, dentro de estos
productos revolucionarios no
hay “tecnología reciente”. Hay
tecnología que data de la época
de ¡la máquina de vapor!
“Lo que sí existe es el aprendi-
zaje automático. Y las tecnolo-
gías de aprendizaje automático
se usan bastante desde hace
tiempo. Por ejemplo, en ciber-
seguridad, los robots hacen una
gran parte del trabajo. La burbu-
ja de la IA le quita credibilidad
al aprendizaje automático, uno
de los subcampos de la ciber-
seguridad más prometedores”,
agrega Assolini, de Kaspersky.
“Hemos notado un aumento
significativo en la adopción
de soluciones de cibersegu-
ridad basadas en Inteligencia
Artificial”, adiciona Dubra, de
Kyndryl, “La tecnología de IA
nos permite tener una amplia
variedad de casos de uso, tanto
sea en ciberseguridad, como
en la automatización de proce-
sos de negocio para mejorar el
rendimiento de las empresas en
el día a día. Si bien sabemos
que aún falta bastante para lo-
grar un nivel de madurez en la
adopción de estas tecnologías,
vamos por un buen camino para
los próximos años”.
Mendoza, de ManageEngine,
argumenta que la pandemia
ayudó a que las organizacio-
nes prioricen diferentes pro-
yectos e iniciativas de reforzar
la seguridad, ya que muchos
procesos o servicios debieron
ser expuestos para soportar el
trabajo remoto o híbrido. “En ese
sentido, varias organizaciones
empezaron a implementar he-
rramientas de SIEM o de ges-
tión de privilegios y que éstas
ya incluyen funcionalidades
soportadas por IA y ML como
es el caso de UEBA (User and
Entity Behaviour Analytics) que
permite identificar comporta-
mientos anómalos y alertar a los
administradores de esas des-
viaciones de actividades en su
infraestructura”.
El desafío de los CISO
“Sabemos que el mayor pro-
blema al que se enfrentan los
CISOs es que el personal de
seguridad suele estar sobrecar-
gado de trabajo y con la carga
de realizar un seguimiento de
las amenazas de seguridad
diarias. Aún más alarmante, un
estudio mostró que el 30% de
los equipos de seguridad ig-
nora o no alcanza a investigar
la mayoría de las advertencias
que reciben. Estas ideas pintan
un panorama aterrador”, denota
Botter, de Check Point.
Botter también explica que los
procesos AI/ML pueden auto-
matizar el análisis de incidentes
etiquetando automáticamente
cada amenaza como “Alta”,
“Media” o “Baja”, y pueden crear
un ticket, reunir y analizar los
datos apropiados de todas las
diversas herramientas. A partir
de ahí, el personal de seguridad
puede tomar decisiones inme-
diatas sobre los tickets precar-
gados que merecen la máxima
prioridad y actualizar las reglas
del firewall de forma rápida y
automática. Si bien AI/ML no
reemplazará al CISO, también
puede desempeñar un papel im-
portante en la automatización de
otros procesos, como el análisis
de tráfico de red, el análisis de
amenazas de correo electrónico
y la prevención de amenazas,
la protección de endpoints, el
código fuente y el análisis del
comportamiento del usuario, y
la protección del servidor de
aplicaciones o bases de datos.
Al aplicar inteligencia artificial y
aprendizaje automático, el equi-
po de seguridad puede mejorar
la eficiencia y reducir el riesgo.
A su vez, Torres, de FortiGuard

Labs, formula que a medida que
los ciberdelincuentes investigan
y llevan a cabo métodos auto-
matizados para crear, probar y
diseminar malware y otras ame-
nazas, los CISOs y sus equipos,
y las soluciones de seguridad
heredadas que tienen, pueden
verse abrumados por el gran
volumen de incidentes y aler-
tas que requieren correlación
e investigación. Es imposible
defenderse contra ataques
IBM no es sólo un
fabricante de tecnología.
Estamos en la primera
línea y trasladamos todo
ese conocimiento a las
soluciones y servicios
de seguridad. Hoy más
que nunca, las empresas
necesitan cambiar el
paradigma
automatizados mejorados con
dispositivos de seguridad ais-
lados, la correlación manual de
datos entre soluciones en silos
y respuestas manuales.
Torres, de FortiGuard Labs tam-
bién señala que “Tareas como
estas en el panorama actual de
amenazas han obligado a las
organizaciones a adoptar un en-
foque en gran medida reactivo
de la seguridad porque los equi-
pos de TI luchan por validar y
tapar los agujeros de seguridad
mientras mantienen las opera-
ciones en funcionamiento. En
un esfuerzo por seguir el ritmo
de las nuevas amenazas y una
huella de red en rápida expan-
sión, los equipos de seguridad
cibernética a menudo imple-
mentan productos puntuales
inconexos. Esto ha aumentado
la complejidad de la seguridad,
especialmente cuando la infor-
mación debe coordinarse en
una arquitectura de seguridad
desagregada. Como resultado,
muchos equipos de seguridad
se están quedando atrás a me-
dida que sus propias redes se
vuelven cada vez más com-
plejas, la cantidad de bordes
que deben protegerse continúa
expandiéndose y el panorama
de amenazas cibernéticas se
acelera”.
Para Skokanovic, de IBM Ar-
gentina, ”A medida que los ci-
berataques crecen tanto en vo-
lumen como en sofisticación, las
herramientas necesarias para
combatirlos también se com-
plejizan y encontrar a personas
con las habilidades adecuadas
resulta en un desafío para los
líderes. La demanda de talento
de seguridad se ha disparado
en los últimos años, pero la ofer-
ta no se mantiene al ritmo de la
NOTA DE TAPA 11
demanda. De acuerdo con un
estudio del 2019 de IBM Resi-
lient & Ponemon, el 75% de los
encuestados está enfrentando
una dificultad en la contratación
y retención de personal espe-
cializado en ciberseguridad”.
Skokanovic agrega que frente
a esta situación es fundamental
que se de atención y prioridad
a la formación de talento para
cerrar la brecha de habilidades.
Es esencial invertir en soporte
Pamela Skokanovic
IBM Argentina
Security Sales Manager
y capacitación para el personal
de operaciones de TI, así como
para garantizar que los equipos
de defensa tengan un conoci-
miento adecuado. A la par de la
formación de las personas, otro
factor a tener en cuenta es salir
de los procesos de selección
tradicionales. Distintas personas
pueden tener el tipo adecuado
de habilidades, aptitudes y la
12 NOTA DE TAPA
experiencia amplia y necesaria
para ocupar diversos roles clave
en el ecosistema de seguridad,
así no tengan un título de cuatro
años.
Dubra, de Kyndryl, explica que
“el crecimiento de la Inteligen-
cia Artificial muchas veces lo
vemos como un arma de do-
ble filo para los CISOs, ya que
las compañías se enfrentan a
una cantidad enorme de cibe-
rataques automatizados, que
Fabio Assolini
Director del Equipo de Investi-
gación y Análisis de Kaspersky
aumentan exponencialmente
en velocidad, variedad y com-
plejidad. Sin embargo, es esa
misma tecnología la que está
colaborando con los equipos
de ciberseguridad en la detec-
ción y respuesta a amenazas,
cambiando fundamentalmente
los paradigmas de defensa de
las organizaciones”.
Pero Dubra, de Kyndryl, sostie-
ne que, a la hora de considerar
adquirir una solución de ciber-
seguridad, su recomendación
es realizar algunas preguntas
iniciales para comprender la
profundidad de la solución y
cómo aplica el modelo de In-
teligencia Artificial que ayudará
a la organización. A modo de
ejemplos, menciona los siguien-
tes interrogantes: ¿Se pueden
obtener métricas de rendimien-
to?, ¿Podríamos obtener una de-
mostración práctica donde se
evidencie la mejor solución ante
una situación de un ataque?,
¿Quién posee los datos y meta-
datos que estará procesando la
solución? Esto último pensando
en el tipo de tratamiento y las
diferentes normativas o leyes
vigentes dependiendo el país.
A su vez Mendoza, de Manage-
Engine adiciona que la mayoría
de los administradores u organi-
zaciones asume que implemen-
tar IA es realizar el despliegue
de un chatbot de auto-servicio,
que es una sola de las varias
aplicaciones que tenemos en
el mercado, y ese concepto es
erróneo. “Por el lado de la ci-
berseguridad, no es necesario
desarrollar o armar algoritmos
desde cero para aprovechar
las ventajas que esta tecnolo-
gía nos brinda. Es por eso que
nos atrevemos a decir que los
desafíos en cuanto a desplie-
gue o implementación son mí-
nimos, lo importante es tener
la aceptación de la dirección y
top management para invertir
en ciberseguridad como un pilar
base de todas sus operaciones
y arrancar con los proyectos”.
La inteligencia artificial
debe tener la habilidad
de aprenderlo todo
por sí misma, de
adaptarse y de tomar
decisiones en situaciones
completamente nuevas
con una colección
incomprensible
de información
multiformato. Además,
debe ser motivada
emocionalmente y tener
la habilidad de pasar sus
progresos intelectuales a
sus descendientes
Cómo enfrentar este desa-
fío y qué deberían hacer las
empresas
“Sin duda los cibercriminales
también evolucionan en sus ata-
ques e incorporan la IA para ha-
cerlos más sofisticados. Es una
competencia sin fin. Lo impor-
tante es intentar estar siempre
un paso adelante para prevenir

posibles amenazas. El ciclo de
seguridad de una empresa debe
basarse en 4 etapas: predecir,
prevenir, detectar y responder.
Al integrar IA en este ciclo los
tiempos de respuesta se acor-
tan y mejora la seguridad”, se-
ñala Botter, de Check Point.
Torres, de FortiGuard Labs co-
menta que los CISOs ahora se
encuentran en constante bús-
queda de nuevas herramien-
tas para agregar a su arsenal,
a menudo solo para descubrir
que los ciberdelincuentes han
desarrollado una forma aún más
avanzada de atacar y eludir los
controles de seguridad existen-
tes. “Los enfoques y soluciones
de seguridad tradicionales de-
ben complementarse con mo-
delos alternativos, como IA y
automatización. Estas ventajas
permiten les permiten no solo
mitigar el riesgo provocado por
los ataques cibernéticos auto-
matizados con tiempos de res-
puesta más rápidos, visibilidad
más amplia y administración de
red simplificada, sino también
adelantarse a sus adversarios
cibernéticos”, comenta, y agre-
ga que al aprovechar las solu-
ciones que incorporan IA y au-
tomatización, los CISOs pueden
abordar de manera proactiva los
ataques cibernéticos automati-
zados de hoy y mantenerse un
paso por delante de los ciber-
delincuentes.
Asimismo, Torres, de FortiGuard
Labs, menciona que la asisten-
cia de ciberseguridad automa-
tizada no es una propuesta
de todo o nada, se pueden ir
agregando nuevas capacida-
des poco a poco, empezado
por ejemplo creando escenarios
“que pasaría si”, utilizando he-
rramientas como SEIM o SOAR,
y después agregar capacidades
más sofisticadas. “Otro aspecto
clave es incorporar expertos a
nuestro equipo con experiencia
en AI, o en su defecto capaci-
tarlos, esto ayudará además a
mantenerlos motivados ya que
puede venir acompañado de
una prospección de crecimiento
dentro de su plan de carrera,
lo que se traduce en retención
de talento que como hemos
comentado ya, es hoy más im-
portante que nunca”.
Y Torres, de FortiGuard Labs no
deja de sumar que “por último
tomar en cuenta cada espacio
de la superficie de ataque, en-
focando en soluciones de punto
de acceso y sandboxing, para
poder preparar a nuestras arqui-
tecturas ante cualquier intento
de ataque”.
“Como parte la transforma-
ción constante del mundo del
cibercrimen, diariamente hay
vectores de ataque nuevos y
en expansión, los atacantes
están cambiando a amenazas
adaptables y de múltiples va-
NOTA DE TAPA 13
riantes, y demás, están imple-
mentando IA y Automatización
para impulsar sus ataques. Los
profesionales de ciberseguridad
deben mantenerse actualizados
y aprovechar estas tecnologías
para tener información al día
sobre las amenazas cada vez
más sofisticadas que surgen y
evolucionan a diario. Además,
los apoyarán en la detección de
actividades maliciosas y frenar a
los ciberdelincuentes de forma
más rápida”, señala Skokanovic,
de IBM Argentina.
Skokanovic también mencio-
na que esto ayuda a tener un
plan de seguridad estratégico
robusto con un enfoque de se-
guridad evolucionado basado
en la Confianza Cero, es de-
cir, operar bajo el supuesto de
que una identidad autentica-
da, o la propia red, ya están
comprometidas y, por lo tan-
to, valida todo continuamente.
Este enfoque requiere que las
empresas unifiquen sus datos
de seguridad para abarcar en
forma envolvente el contexto de
seguridad alrededor de cada
usuario, dispositivo e interac-
ción. Para esta unificación y ac-
ción constante, la tecnología de
IA es una herramienta clave a la
hora de automatizar procesos y
recabar datos pertinentes para
garantizar la toma de decisiones
informada.
Finalmente, Skokanovic com-
14 NOTA DE TAPA
parte que “Es clave que las
empresas definan un plan de
seguridad estratégico, robusto,
capaz de reflejarse en la arqui-
tectura general, como tecnolo-
gías y herramientas, profesio-
nales involucrados, procesos y
modelos de gobernanza. La IA
es una aliada para abordar di-
ferentes desafíos. Sin embargo,
las organizaciones y proveedo-
res que emplean la IA tienen la
responsabilidad fundamental de
construir sistemas confiables y
garantizar que la tecnología se
diseña y utiliza de forma respon-
sable, en todas las instancias
del ciclo de vida de la IA. Para
IBM, tecnologías poderosas
como IA deben ser transparen-
tes, explicables y mitigar prejui-
cios dañinos e inapropiados”.
“Si bien se está volviendo evi-
dente que la Inteligencia Arti-
ficial en ciberseguridad será
completamente necesaria, la
implementación de la tecnolo-
gía también puede convertirse
en un nuevo vector de ataque.
Esto se produce debido a que
los ciberdelincuentes aprenden,
construyen y lanzan sus propios
esquemas de contraataque de
Inteligencia Artificial como res-
puesta. De hecho, los actores
malintencionados utilizarán sus
propias creaciones de software
de IA para intentar infiltrarse en
nuestros datos más valiosos”,
comparte Dubra, de Kyndryl.
Ahora, ¿esto significa que va-
mos a dejar de innovar o renun-
ciar a la lucha constante contra
la ciberdelincuencia?, se pre-
gunta Dubra, de Kyndryl, que
responde que la respuesta es
un rotundo no, ya que siempre
habrá una oportunidad de ser
más astutos que las entidades
que buscan dañarnos para su
propio beneficio, y para eso es
importante mantenerse actua-
lizados sobre las últimas ame-
nazas, para poder estar pre-
venidos, además de innovar
en soluciones y herramientas,
entre las cuales la IA tiene un
rol preponderante, para poder
utilizarlas a nuestro favor.
Dubra, de Kyndryl, a su vez se-
ñala que es importante desta-
car que una empresa necesita
integrar todas las herramientas
para asegurar la existencia de
estructuras capaces de prote-
gerse desde una perspectiva
de negocio. En este contexto,
es crucial asegurar la resilien-
cia, es decir, la capacidad de
las empresas y sus sistemas
para seguir operando, incluso
en caso de ataque, definiti-
vamente deben considerar la
Inteligencia Artificial dentro de
la estrategia de la compañía,
porque su adopción es clave
para estar un paso delante de
las potenciales amenazas, pero
no hay una formula específica
para seguir a la hora de imple-
mentar el mejor modelo como
un estándar general.
“Entonces, siempre se deben
considerar tres factores. En pri-
mer lugar, “los objetivos y los
riesgos”, aceptando riesgos que
son tanto conocidos como des-
conocidos, porque la IA ofrece
un poderoso potencial para
obtener información predictiva.
También debemos comprender
“el elemento humano”, ya que la
IA complementa el esfuerzo de
los equipos al ayudar a los ana-
listas a reducir errores, acelerar
el análisis y automatizar tareas
que requieren mucha mano de
obra. Y, por último, es importan-
te “centrarse en los casos de
uso” que necesita la compañía,
para que las organizaciones se
esfuercen en implementar di-
chos casos, basados en Inte-
ligencia Artificial, como primer
paso en cualquier iniciativa de
adopción de IA más amplia”,
concluye Dubra, de Kyndryl.
– Kyndryl: “La IA permite esta-
blecer potentes colaboraciones
entre profesionales y tecnología
que amplían nuestros conoci-
mientos, enriquecen nuestras
vidas e impulsan la cibersegu-
ridad de una forma que parece
ser mayor que la suma de sus
partes”
“Así como la tecnología y estas
nuevas funcionalidades pueden

aprovecharse para defenderse
de los ataques y nuevos mé-
todos de intrusión, los mismos
atacantes están buscando al-
ternativas para que esa misma
tecnología pueda usarse para
crear malware más robusto, ca-
paz de burlar controles estáticos
o reglas manuales de firewall,
IDS, IPS, entre otros. Es por eso,
que es mandatorio contar con
la IA/ML para defendernos y
La IA permite establecer
potentes colaboraciones
entre profesionales y
tecnología que amplían
nuestros conocimientos,
enriquecen nuestras
vidas e impulsan la
ciberseguridad de una
forma que parece ser
mayor que la suma de
sus partes
mantenernos a la vanguardia de
la seguridad”, explica Mendoza,
de ManageEngine.
Por otro lado Mendoza, de Ma-
nageEngine, aporta que “Antes
de implementar tecnología nue-
va es muy importante empezar
por entender lo que tenemos y
hacemos, con ese relevamiento
se puede priorizar dónde esté la
información sensible y qué esta-
mos haciendo para protegerla,
entender quién, cómo, desde
dónde consume dicha informa-
ción o accesos para claramente
definir el nuevo perímetro de lo
que está permitido y con esa
base empezar a restringir o ac-
tivar alarmas y notificaciones de
lo que esta fuera de ese rango,
incluso lograr remediación au-
tomática si es posible. En ese
momento podemos elegir entre
herramientas de SIEM, SOAR,
PAM, UBA, UEBA o incluso ar-
mar una estrategia basada en
Zero Trust para reforzar la se-
guridad y tener control de todo
lo que ocurre en la red”.
El aporte de los proveedores
de soluciones
Check Point
Desde Check Point Software
estamos continuamente de-
sarrollando y optimizando las
protecciones para reconocer y
prevenir las nuevas formas de
ataques.
Check Point utiliza varios mo-
delos de IA para mejorar la
predicción de ataques, que
están integrados en todos los
productos:
- Harmony (protección para
usuarios y acceso)
- Quantum (protección para
Red)
NOTA DE TAPA 15
- CloudGuard (protección para
infraestructura en la nube)
- Horizon (gestión unificada y
operaciones de seguridad)
- ThreatCloud (inteligencia de
amenazas)
Por ejemplo, Behavioral Guard
es uno de los motores de pre-
dicción de Harmony Endpoint y
aprovecha Harmony Endpoint
Forensics para identificar de
Ariel Dubra
Cybersecurity&Resilience
Practice Architect - Kyndryl
manera efectiva y única el com-
portamiento de malware nuevo
y desconocido y permitir una
clasificación precisa de las fami-
lias de malware. El motor com-
bina firmas de comportamiento
creadas por investigadores de
Check Point con un modelo
de IA que analiza patrones de
comportamiento para detectar
e identificar malware. Esta com-
binación única de firmas gené-
ricas y validación del modelo
16 NOTA DE TAPA
de IA permite la activación de
firmas que no se pudieron acti-
var anteriormente debido a las
altas tasas de falsos positivos.
Al incorporar la validación de
IA, la tecnología de Check Point
ignora el 99 % de los comporta-
mientos sospechosos y previene
con precisión sólo los ataques
genuinos.
Hace muy poco lanzamos nues-
tro nuevo producto Check Point
Andrés Mendoza
Regional Technical Manager
ManageEngine
Quantum Titan, una nueva ver-
sión de la plataforma de ciberse-
guridad Check Point Quantum.
El lanzamiento de Quantum
Titan presenta tres nuevos mó-
dulos de software que aprove-
chan la inteligencia artificial (IA)
y el Deep Learning para ofrecer
una prevención avanzada de
amenazas contra explotacio-
nes avanzadas del sistema de
nombres de dominio (DNS) y
phishing, así como seguridad
IoT autónoma. Check Point
Quantum Titan es ahora una de
las únicas plataformas de la in-
dustria que puede proporcionar
detección de dispositivos IoT y
aplicar automáticamente perfi-
les de prevención de amenazas
de Zero Trust para proteger los
dispositivos IoT.
FortiGuard Labs
Retomando un poco las prime-
ras preguntas, AI se ha con-
vertido en la clave para poder
combatir el esquema cambiante
y creciente de ciber amenazas,
y por ende las soluciones im-
pulsadas por IA son parte ya
del ADN de nuestros productos.
Esto a través de estos pilares:
IA en FortiGuard Labs: Du-
rante una década, nuest ros
investigadores de amenazas
globales han estado aplicando
el aprendizaje automático, las
redes neuronales artificiales y
otros análisis avanzados para
generar inteligencia global frente
a amenazas que potencie nues-
tros productos de prevención
de amenazas
IA implementada en línea: For-
tinet utiliza aprendizaje automá-
tico en particular, construido di-
rectamente dentro de nuestros
Firewalls de Siguiente Genera-
ción, Web Application Firewall,
Network Detection & Response
(NDR) y plataforma de protec-
ción de endpoint (EPP) para
brindar una prevención basa-
da en el comportamiento como
complemento de las técnicas
tradicionales.
IA para detección de amenazas
avanzadas: En combinación con
sensores distribuidos con aná-
lisis centralizado de Big Data,
“Antes de implementar
tecnología nueva es muy
importante empezar por
entender lo que tenemos
y hacemos, con ese
relevamiento se puede
priorizar dónde está la
información sensible y
qué estamos haciendo
para protegerla
Fortinet permite que las organi-
zaciones apliquen aprendizaje
automático, redes neuronales
artificiales y otros análisis con
el fin de detectar las ciber ame-
nazas de las que son objeto.
IA para acelerar la respuesta:
Para garantizar una respues-
ta oportuna a las amenazas,
a pesar de una abundancia
de productos de seguridad y

escasez de profesionales de
ciberseguridad, Fortinet ofrece
un panel único de visibilidad,
análisis y automatización a lo
largo de Security Fabric, entor-
nos de múltiples proveedores
y procesos de seguridad bien
definidos.
IBM
IBM no es sólo un fabricante de
tecnología. Estamos en la prime-
ra línea y trasladamos todo ese
conocimiento a las soluciones
y servicios de seguridad. Hoy
más que nunca, las empresas
necesitan cambiar el paradigma
y fortalecer su sistema inmunoló-
gico digital. La esperanza, no es
una estrategia de seguridad. Lo
único que uno puede controlar
es la preparación y fallar en la
preparación, es prepararse para
fallar en un mundo donde todo
es digital.
Es clave que las empresas im-
plementen un enfoque transver-
sal y holístico de seguridad, bajo
una visión híbrida, abierta y co-
laborativa. De esa manera, van
a aumentar su ciberresiliencia,
haciendo frente a los diferentes
tipos de ciberamenazas. Es fun-
damental que entiendan que te-
ner una seguridad exitosa es un
trabajo constante, una estrategia
en curso. Es un compromiso con
la organización, sus empleados,
clientes, socios y un verdadero
cambio cultural.
Por otra parte, IBM está hacien-
do varias cosas para promover
la colaboración de la industria
de la seguridad con el fin de
combatir esta nueva era de
ciberdelito. Por ejemplo, para
acelerar la colaboración, se
lanzó la Open Cybersecurity
Alliance (OCA) en 2019, una ini-
ciativa de seguridad de código
abierto encabezada por IBM y
McAfee, a la que recientemente
han ingresado otros 16 actores
importantes entre los que se
encuentran VMware, F5, entre
otras. El objetivo de OCA es ha-
cer que la tecnología de seguri-
dad sea más interoperable entre
las categorías de productos y
los proveedores, mediante los
estándares abiertos.
Kaspersky
A diferencia de las empresas
emergentes, nosotros prote-
gemos a los usuarios con una
gigantesca infraestructura en
la nube, la cual es capaz de
resolver rápida y efectivamente
tareas mucho más complejas.
Y sí, es por ello que utilizamos
tantos modelos diferentes de
aprendizaje automático.
Kyndryl
La ciberseguridad es un tema
complejo por sí mismo, pero la
Inteligencia Artificial puede ser
una poderosa herramienta para
ayudar a protegerse de los ata-
NOTA DE TAPA 17
ques. La IA permite establecer
potentes colaboraciones entre
profesionales y tecnología que
amplían nuestros conocimien-
tos, enriquecen nuestras vidas
e impulsan la ciberseguridad de
una forma que parece ser mayor
que la suma de sus partes.
Con tecnología y análisis de úl-
tima generación, los servicios
de respuesta y operaciones de
ciberseguridad de Kyndryl es-
tán diseñados para ayudar a
las organizaciones a detectar,
clasificar, investigar y responder
con confianza a amenazas de
seguridad avanzadas. Nuestra
solución integral de adminis-
tración de amenazas integra
pruebas ofensivas, servicios de
seguridad administrados, Inte-
ligencia Artificial y respuesta
a incidentes para un enfoque
integral de la administración de
amenazas.
ManageEngine
Desde ManageEngine conta-
mos con varias herramientas
que pueden ser identificadas en
esta página especial relaciona-
da a la ciberseguridad: https://
www.manageengine.com/latam/
soluciones-de-ciberseguridad-ti.
html además de una guía que
permite a los administradores
conocer los principales desa-
fíos y cómo podemos ayudar-
los a tener visibilidad, control
y remediación.
18 NOTA DE TAPA
Inteligencia Artificial y Machine
Learning: una respuesta óptima
frente a los nuevos retos en
seguridad
Por Alain Karioty, Vicepresidente para Latam de Netskope
La rápida adopción de servicios en
la nube como SaaS/IaaS/PaaS en
la empresa ha suscitado una impor-
tante migración de los datos, desde
los confines de los centros de datos
corporativos a los localizados en la
nube, los cuales, además, escapan
al control empresarial. Esta evolu-
ción, unida al crecimiento del trabajo
remoto e híbrido y a la imparable
digitalización obliga a una transfor-
mación de la seguridad, desde las
tradicionales pilas de dispositivos de
seguridad ubicados en las instala-
ciones hasta la seguridad entregada
desde la nube.
Security Service Edge (servicio de
seguridad en el borde o SSE), tér-
mino acuñado por Gartner, repre-
senta una nueva plataforma donde
los servicios de seguridad, como la
puerta de enlace de seguridad web,
el agente de seguridad de acceso a
la nube, el acceso a la red basado
en confianza cero o el firewall, se
entregan desde la nube para permitir
a los usuarios realizar su trabajo de
forma segura y reducir el riesgo de
verse comprometidos o pierdan sus
datos.
Entre las características de SSE
destaca el acceso a los datos ba-
sado en confianza cero, ya que
estas soluciones aplican políticas
de seguridad fundamentadas en
el contexto, cuya información se
convierte en el distintivo virtual que
permite, deniega o recomienda el
acceso de un usuario a los activos
digitales corporativos; y la detección
de amenazas internas y externas,
para garantizar que los usuarios in-
ternos no filtren datos sensibles de
forma inadvertida o maliciosa, y las
empresas cuenten con una capa de
defensa añadida para proteger sus
datos frente a amenazas del exterior.
El papel de la IA/ML en las solu-
ciones SSE
El rol fundamental de la IA y ML
en ciberseguridad es de suma im-
portancia, no solo para simplificar
Alain Karioty
procesos y para el cumplimiento
de regulaciones y privacidad, sino
también para la detección de acti-
vidades de manera más precisa, lo
que mejora la fiabilidad y veracidad,
aspectos vitales en industrias con
recursos limitados. Una solución SSE
eficaz debe tener la capacidad de
extraer información contextual muy
rica al procesar el tráfico de red y
aplicar las políticas de confianza
cero en el acceso a los datos. Para
tomar la decisión de acceder a los
datos se tienen en cuenta tanto la
sensibilidad que presentan los que
salen de la empresa como los indi-
cadores de amenaza que presentan
los que proceden del exterior. Y en
estas dos áreas, la inteligencia artifi-
cial (IA) y el aprendizaje automático
(ML) han demostrado ser excelentes
para brindar la oportunidad de pasar
rápidamente de la identificación y la
respuesta manual, a la mitigación
automatizada.
Así, y frente a las soluciones tradi-

cionales de seguridad de datos
que utilizan una combinación de
expresiones regulares, palabras
clave y diccionarios para identificar
los datos sensibles, la clasificación
de datos basada en el aprendizaje
automático reduce los errores y el
exceso de falsos positivos, al ofre-
cer decisiones de clasificación de
alta veracidad. Dichas decisiones
se apoyan también en algoritmos de
procesamiento de lenguaje natural
(NLP), muy adecuados para resolver
este problema.
Netskope ha desarrollado modelos
de NLP para clasificar documen-
tos comunes para el negocio como
formularios de impuestos, nóminas,
contratos comerciales, o acuerdos
de confidencialidad. Al utilizar estos
modelos preconfigurados, los admi-
nistradores de seguridad no necesi-
tan recurrir a expresiones regulares
u a otros patrones dificultosos o que
lleven a error a la hora de identificar
aquellos documentos con informa-
ción sensible a proteger.
Las imágenes son otro elemento
a proteger. De hecho, en Netsko-
pe Security Cloud, el 20% de los
documentos que se escanean son
imágenes, como archivos JPG y
PNG. Aunque hasta ahora la forma
más habitual de clasificarlas ha sido
a través de un motor de reconoci-
miento óptico de caracteres (OCR),
la ineficacia demostrada por este
tipo de soluciones con las imágenes
actuales exige un cambio. La clasi-
ficación de imágenes mediante el
aprendizaje automático proporciona
una forma rápida y eficaz de iden-
tificación y ayuda a las empresas
a proteger aquellas que contienen
datos personales. Las empresas
pueden cumplir así con las regu-
laciones sobre privacidad (CCPA,
RGPD/GDPR, LGPD, etc.)
Detección de amenazas
Las amenazas internas, perpetradas
por empleados malintencionados o
descontentos que roban datos y los
comparten en el exterior, siguen sien-
do uno de los mayores problemas a
los que se enfrentan las empresas.
Netskope Intelligent SSE mantiene un
registro de todas las actividades de
los usuarios y aplica algoritmos de
IA/ML para detectar comportamien-
tos anómalos. Además, la solución
realiza una puntuación de riesgo
para cada usuario, que posterior-
mente se introduce en las políticas
de confianza cero de acceso a los
datos. Así, por ejemplo, un usuario
con una mala puntuación se le podrá
negar el acceso a datos sensibles.
Una forma muy común de detectar
amenazas como el malware y el
ransomware es mediante el uso de
firmas de vulnerabilidades y exploits.
Los indicadores de compromiso,
como los hashes defectuosos de
archivos y las URL maliciosas, son
también otras técnicas utilizadas
para detectar amenazas. Sin em-
bargo, cuando se trata de vulnera-
NOTA DE TAPA 19
bilidades desconocidas o amenazas
de día cero, hace falta algo más.
Netskope ha desarrollado con éxito
modelos de IA/ML para detectar
amenazas en archivos ejecutables
(denominados archivos PE), así como
en formatos de documentos comu-
nes como PDF y documentos de
Microsoft Office. En Netskope Next
Gen Secure Web Gateway (gateway
de seguridad web de nueva gene-
ración o NGSWG), los modelos de
IA/ML se utilizan para clasificar las
URLs, así como el contenido web
perteneciente a los sitios de phishing
que tienden a robar las credenciales
de los usuarios. La IA/ML también se
utiliza para clasificar los sitios web y
bloquear contenido inapropiado para
los usuarios de la empresa.
Sin duda, los algoritmos de IA/ML
pueden ayudar a resolver una va-
riedad de problemas que se ven
comúnmente en las empresas. Sin
embargo, y cuando se trata de solu-
ciones SSE, hay que tener en cuenta
que estos algoritmos de IA/ML tienen
que estar optimizados para ejecutar-
se y devolver una decisión en tiempo
real para ser eficaces. Con el tiem-
po, va a haber muchos más casos
de uso desafiantes donde la IA/ML
puede ser utilizada para resolverlos
de manera efectiva.
Netskope, seguirá a la vanguardia
tecnológica abordando presentes
y futuros desafíos y ayudar a las or-
ganizaciones a resolver cualquier
problema de seguridad en la nube.
 NOTA DE TAPA 21

EL ROL DE LA
CIBERSEGURIDAD
EN EL EDGE
Por Fernando Juliá

Un entorno de TI de borde, como los que se encuentran

en las fábricas industriales, puede tener una gran
cantidad de puntos finales distribuidos que proporcionan
una gran superficie de ataque para los ciberdelincuentes
y los piratas informáticos.
22 INFORME ESPECIAL
La gestión de este riesgo re-
quiere la implementación ade-
cuada de la segmentación de
la red y varios dispositivos de
seguridad. Edge Computing
implica conectar dispositivos
y sistemas de punto final a una
red.
Estas conexiones ofrecen po-
sibles vías de ataque para los
piratas informáticos. Mitigar
estos riesgos de ciberseguri-
dad requiere soluciones que
abarquen las mejores prácti-
cas de seguridad para dispo-
sitivos, redes y aplicaciones.
Esto también requiere accio-
nes por parte del usuario para
mantener su nivel requerido de
ciberseguridad.
Los incidentes de ciberata-
ques contra las redes de TI
se han ido intensificando a ni-
vel mundial. Esto, combinado
con la creciente adopción de
dispositivos IoT, la convergen-
cia de las redes de TI y OT
(tecnología de operaciones), y
el uso de sistemas analíticos
y de administración basados
en la nube, ha llevado a que
la ciberseguridad sea una
preocupación urgente para
los propietarios y operadores
de TI perimetrales. Los ries-
gos de ataques cibernéticos
están empeorando debido a
la naturaleza cada vez más
distribuida de TI.
La tendencia de la computa-
ción perimetral está colocando
cada vez más dispositivos ter-
minales en la periferia de las
redes informáticas, lejos de
los centros de datos centrali-
zados y más seguros. Esto ha
aumentado drásticamente la
superficie de ataque disponi-
ble para los ciberdelincuentes
y los piratas informáticos.
Por dónde vienen los ata-
ques
“Mientras mayor sea la can-
tidad de dispositivos finales
(endpoints) se amplía la su-
perficie de ataque, porque
estos dispositivos necesitan
conectarse a diferentes redes
y aplicaciones, haciendo difí-
cil la segmentación necesaria
para evitar que los atacantes
aprovechen esas conexio-
nes. Entonces la naturaleza
distribuida de estos ambien-
tes Edge, aumenta también
el riesgo de vectores de ata-
que comunes como: malware,
vulnerabilidades sin parchar,
credenciales comprometidas,
phishing a los administrado-
res o configuraciones débiles
en los dispositivos”, expone
Francisco Lugo, Ingeniero de
Soluciones LATAM para Be-
yondTrust.
Lugo, de BeyondTrust agrega
que “Incluso dispositivos muy
simples como UPS (Uninte-
rruptible Power Supply), cá-
maras de seguridad, senso-
res ambientales y otros, al
requerir conectarse al Edge
o a Internet, constituyen po-
tencialmente un eslabón débil
en aspectos de seguridad. Un
atacante podría obtener ac-
ceso no autorizado a alguno
de estos dispositivos, y si la
segregación de la red no es
la adecuada, le permitirá ex-
plorar otras redes y moverse
lateralmente”.
Por su lado, Vladimir Villa,
CEO de Fluid Attacks, sostie-
ne que “Edge computing y la
producción de dispositivos IoT
avanzan de manera cada vez
más acelerada, aumentando
la cantidad de sistemas que
guardan y manejan datos y,
consecuentemente, la super-
ficie de ataque. Por eso, el
riesgo de sufrir fuga de datos
y ataques de denegación de
servicio es más alto. El punto
de entrada de un ciberdelin-
cuente puede ser u n siste-
ma con configuraciones no
apropiadas, un mecanismo
de autenticación inseguro o
controles de acceso inapro-
piados, y a partir de este
primer acceso, o al explotar
componentes vulnerables del
software, puede llegar a com-
prometer otros dispositivos
conectados a la red, datos y
la disponibilidad de servicios.
En Fluid Attacks, el 75% de

los sistemas que evaluamos
este año utilizaban componen-
tes de software vulnerables y,
además, entre los cinco pro-
blemas más riesgosos para la
infraestructura encontramos
la configuración inapropiada
de servicios y mecanismos de
autenticación inseguros”.
“Entre los vectores que ge-
neran mayor falta de seguri-
dad en Edge Computing hay
dos que se destacan y están
Francisco Lugo
Ingeniero de Soluciones LATAM
para BeyondTrust
relacionados con la falta de
criptografía y la autenticación”,
comenta Luiza Dias, Directora
Presidente de GlobalSign Bra-
sil, que agrega “En el primer
caso se trata de los datos en-
viados sin cifrar en las redes
compartidas o abiertas, lo que
genera vulnerabilidad en la in-
formación enviada. Por otra
parte, los dispositivos que no
tienen autenticación robusta en
sus puertas físicas y virtuales
abiertas debido a descuidos
en sus diseños, lo que tam-
bién representa un riesgo de
violación”.
Según Germán Patiño, Vice-
presidente de Ventas para
Latinoamérica en Lumu Te-
chnologies, el trabajo remoto
amplía la superficie de ata-
que ya que los dispositivos
corporativos se conectan a
diferentes tipos de redes. “Esto
dificulta que las organizacio-
nes puedan tener visibilidad
de activos comprometidos. El
incremento de dispositivos IoT
en la red. Ya que usualmente
no es fácil instalar soluciones
de antivirus en estos disposi-
tivos, y esto hace que sean al-
tamente vulnerables”, comenta
Patiño, de Lumu, que sostiene
que la mayor capacidad de
procesamiento en la red hace
que los atacantes quieran sa-
car ventaja para infectar los
activos con malware dedicado
a criptominería.
Al ser una arquitectura distri-
buida, Edge Computing se en-
frenta a nuevos riesgos tanto
físicos como lógicos. Sobre
los primeros hay que reseñar
que, en un escenario centra-
lizado, el control del acceso
físico a los servidores se ofre-
cía por las capacidades de las
políticas de acceso al centro
INFORME ESPECIAL 23
de datos principal, mientras
que ahora se debe tener ese
control en cada sucursal ase-
gurando que solo el personal
autorizado tenga acceso físico,
indica Hugo Riveros, Solutions
Engineering Manager de Nets-
kope LATAM.
“En lo que respecta al punto
de vista lógico, podemos ci-
Un ambiente Edge puede
tener una variedad muy
amplia de dispositivos
finales, aumentando y
haciendo más compleja
la superficie de ataque.
Controlar los flujos
de tráfico de red y
administrar las sesiones
privilegiadas en redes
industriales, es también
administrar la seguridad
de sensores y otros
dispositivos”
tar dos riesgos principales: la
exposición directa a Internet
o a la red WAN, y el acceso
no autorizado a los recursos
de Edge Computing mediante
diferentes interfaces posibles”,
agrega Riveros de Netskope, y
suma que “Al encontrarse en
un ambiente distribuido, ya no
24 INFORME ESPECIAL
toma ventaja de la protección
de los elementos centrales de
seguridad, como IPS, IDS, Fi-
rewall entre otros. Por lo ante-
rior, es de vital importancia que
el acceso a la intranet, extranet
o Internet esté protegido desde
la misma oficina remota con
una solución igualmente dis-
tribuida con funcionalidades
de seguridad y de separación
Vladimir Villa
CEO de Fluid Attacks
de instancias para topologías
específicas en la WAN. En este
frente, tiene vital importancia
soluciones de WAN inteligen-
tes conocidas como SD-WAN
(Software defined WAN)”.
Riverso, de Netskope, no deja
de puntualizar que, por otro
lado, existen diferentes inter-
faces para brindar acceso,
por ejemplo, a ethernet, WIFI,
BLE, WIFI y 4G, entre otras.
Es importante tener control de
las interfaces de acceso dis-
ponibles y además garantizar
que los dispositivos o usuarios
que deben tener acceso úni-
camente son los autorizados.
Para esto es de suma impor-
tancia contar con soluciones
de microsegmentación y de
análisis del comportamiento
del usuario, de tal forma que,
por ejemplo, un sensor de tem-
peratura que usa Edge Com-
puting, solo acceda al recurso
indicado y no pueda acceder
a otros sistemas, como el ser-
vidor de videovigilancia.
“Tanto el acceso físico como
lógico no autorizado siempre
son cuestiones relevantes
para considerar. Por un lado,
los dispositivos de procesa-
miento perimetrales deberían
seguir principios de seguridad
al igual que lo hacen los sis-
temas alojados en la Nube o
en Data Centers tradicionales.
Por ejemplo, es muy relevante
el principio de seguridad que
propone el “Zero Trust”, en el
que cada pedido de acceso a
un equipo o a cargas de pro-
cesamiento pasa por un es-
crutinio granular que asegura
el acceso solo a identidades
o procesos autorizados”, sos-
tiene Diego Taich, socio de
PwC Argentina de la práctica
de consultoría en cibersegu-
ridad & IT.
Taich, de PwC Argentina, agre-
ga que en el caso del “Edge
Computing”, dado que la capa-
cidad de procesamiento pue-
de estar contenida en hardwa-
re o dispositivos ubicados en
zonas al aire libre, de tránsito
intenso de personas o alejadas
de los sistemas de monitoreo
visual, se debe considerar al
En una época en que
las organizaciones y
sus clientes necesitan
disponer de sus datos
en la nube en mayor
cantidad y de manera
más rápida, deben
hacerse pruebas de
seguridad continuas de
la infraestructura que
los soporta, para así
evitar que estos sean
comprometidos a causa
de ciberataques
acceso físico como un riesgo
relevante.
En el caso de SonicWall, Edi-
lson Cantadore, Director, So-
lutions Engineering LATAM de
la empresa, comparte que el
primer punto a entender en
la implicación de usar Edge
Computing es la expansión
del perímetro de seguridad.
A medida que acercamos los

recursos informáticos a los
usuarios, es decir, los sacamos
de los perímetros de control
tradicionales, ya sea en una
nube privada, híbrida o en un
Data Center convencional, am-
pliamos intensamente nuestros
puntos de exposición que, por
supuesto, necesitan seguridad
al igual que otros recursos alo-
jados en silos de infraestructu-
ra de TI tradicionales.
“A la hora de decidir acercar
los recursos informáticos y,
Es necesario contar
con seguridad para
los dispositivos más
cercanos
en consecuencia, los datos al
usuario, se multiplican los pun-
tos de exposición a los más
variados vectores de ataque
y explotación de vulnerabilida-
des. Aumenta en gran medi-
da la exposición de los datos
recopilados, manipulados y
almacenados localmente, y
también se debe evaluar se-
riamente la preocupación por
la fuga de información (DLP)”,
agrega Cantadore, de Soni-
cWall.
Javier Bernardo, Head of Stri-
kers de Strike, suma que hoy
en día volvemos a tener una
creciente necesidad de que el
procesamiento de datos esté
ubicado cerca de los usuarios
en dispositivos del tipo “Edge
Computing” principalmente
para reducir la latencia y ace-
lerar el análisis de los datos,
sensores, etc. Esto significa
que los datos se procesan y
almacenan cada vez más en
dispositivos IoT o equipos in-
dustriales en ubicaciones re-
motas geográficamente distri-
buidos cerca del usuario.
“Los modelos convenciona-
les de ciberseguridad no son
adecuados para esta redistri-
bución. A medida que la tecno-
logía vuelve a avanzar hacia el
borde <Edge>, estos modelos
corren el riesgo de exponer los
activos de datos corporativos y
retrasar la transformación digi-
tal. Las arquitecturas clásicas
normalmente se benefician
de los enfoques de ‘defense
in depth’, donde los controles
de seguridad de varias capas
protegen los datos ocultos en
el back-end”, agrega Bernardo,
de Strike.
Bernardo, de Strike, señala a
su vez que los vectores comu-
nes de amenazas a la ciberse-
guridad para la infraestructura
crítica incluyen organizaciones
criminales y ataques sponso-
INFORME ESPECIAL 25
reados por estados, supply
chain attacks, sistemas de
control obsoletos (el firmwa-
re de un dispositivo de Edge
computing es fundamental
para su seguridad) la mani-
pulación del firmware podría
permitir que un atacante utilice
un dispositivo para transmitir
datos “falsos o corruptos” a
los sistemas de control. Otros
Luiza Dias
Directora Presidente de
GlobalSign Brasil
vectores son la falta de seg-
mentación de redes y tecno-
logía operativa, dependencias
de soluciones “Air Gapped”,
vulnerabilidades sin parches,
explotación de servicios no uti-
lizados, ransomware, falta de
alertas, logins inadecuados,
falta de topologías de red y
amenazas internas.
Adiciona su opinión el Chief
de estrategia de seguridad en
26 INFORME ESPECIAL
Tenable, Nathan Wenzler, que
comenta que la propia natu-
raleza de las arquitecturas de
Edge Computing hace que los
tipos de sistemas y dispositivos
utilizados sean increíblemente
susceptibles a sufrir ciberata-
ques. El hecho de acercar la
potencia de procesamiento y
los datos a los usuarios finales
para aumentar la velocidad y
reducir la latencia creó una
situación en la que los dispo-
sitivos eficientes, construidos
específicamente, se convierten
en puntos de acceso.
“Centrarse más en la eficiencia
significa que hay menos op-
ciones sólidas para construir
controles y configuraciones
de seguridad fuertes en esos
dispositivos para protegerlos
de la explotación. Y es debido
a la falta de opciones de segu-
ridad sólidas en ellos que estos
dispositivos son más suscepti-
bles a las técnicas de ataques
más comunes, dando un punto
de acceso fácil para realizar
un mayor número de ataques
contra el resto del entorno”,
sostiene Wenzler, de Tenable.
Asimismo, Claudio Muñoz-Vi-
vas, TELECOM DC POWER
& OSP, Sales Application En-
gineer Team Leader en Ver-
tiv, dice que algunos de los
vectores más frecuentes son:
versiones de firmware obsole-
tas en dispositivos de TI con
vulnerabilidades de seguridad
conocidas, tecnología here-
dada que no cumple con los
protocolos de seguridad y
estándares de encriptación
modernos, certificados de
seguridad autofirmados o ca-
ducados en dispositivos de
gestión; usuarios con privile-
gios de acceso excesivos que
los ciberdelincuentes podrían
explotar; falta de visibilidad de
las actividades de los usuarios
que podrían afectar negativa-
mente a la infraestructura de IT,
falta de actualización de listas
de usuarios y/o administrado-
res que mantienen acceso y
poca o ninguna gestión de
configuración estandarizada.
Qué medidas básicas debe
de tomar una empresa
“Al igual que en otros ambien-
tes, es muy importante cumplir
con mejores prácticas de se-
guridad informática como tener
un programa de mitigación de
vulnerabilidades, aplicar me-
didas típicas como controles
de tráfico de red, anti-malwa-
re, accesos administrativos,
segregación de privilegios,
y finalmente disponer de un
equipo de profesionales para
monitoreo y respuesta a in-
cidentes”, sostiene Lugo, de
BeyondTrust.
Lugo, de BeyondTrust expli-
ca que en ambientes de Edge
Computing se destacan dos
requerimientos de seguridad:
buscar que los dispositivos
finales soporten protocolos
de comunicación segura (por
ejemplo, mediante TLS - Trans-
port Layer Security), y disposi-
tivos que permitan control de
acceso basado en roles. Esto
no siempre es factible, pero es
preferible porque disminuye los
riesgos de un atacante toman-
do el control remoto de estos
dispositivos, y aumenta las
propiedades de confiabilidad
y disponibilidad, que son tan
relevantes en estos ambientes.
Villa, de Fluid Attacks, opina
que un primer paso para las
empresas que desarrollan
tecnología es definir que se
sigan requisitos de seguridad
del desarrollo del software
para así ofrecer sistemas e in-
fraestructura seguros para sus
usuarios. En edge computing,
esto significa, entre otras co-
sas, asegurar que los servicios
se mantengan disponibles y
que los sistemas tengan me-
canismos de protección con-
tra modificaciones y accesos
no autorizados, permitiendo
salvaguardar la información
confidencial.
“La política de la organización
debe considerar educar sobre
la responsabilidad compartida
de la seguridad en la nube,

hacer pruebas integrales de
seguridad del software conti-
nuamente, remediar las vulne-
rabilidades que se detecten,
divulgar los hallazgos y las
mejoras realizadas, entre otros
procesos. Además, un apoyo
para legitimar los procesos,
políticas y responsabilidades
es que las organizaciones ha-
gan de la ciberseguridad un
tema a tratar en la agenda de
la junta directiva”, agrega Villa,
de Fluid Attacks.
Mayor capacidad de
procesamiento en la red y
una superficie de ataque
más amplia representa
un atractivo perfecto para
los adversarios
“Cuando se considera una po-
lítica activa de seguridad para
Edge Computing es necesario
pensar desde la concepción
del dispositivo. Se debe con-
siderar que una vez instala-
do, es muy difícil intervenir un
dispositivo. Por ese motivo, al
momento de diseñarlo, de pro-
yectarlo, ya se esté pensando
en la seguridad que requerirá.
A partir de esta planeación se
evita uno de los principales
inconvenientes que afronta la
industria, que es la dificultad
al momento de implementar
seguridad en un dispositivo ya
producido”, comparte Dias, de
GlobalSign Brasil.
Dias, de GlobalSign agrega
que cuando se desarrolla IoT
se debe considerar que la in-
tervención manual suele ser
costosa o difícil una vez que se
ha implementado un dispositi-
vo en el campo. Por ese moti-
vo se debe tener en cuenta la
caducidad de un certificado,
ya que de fallar generaría fa-
llas también en el dispositivo.
De allí que los mecanismos de
renovación deben ser sólidos.
Sobre esto, Patiño, de Lumu
Technologies, manifiesta que
“En el pasado, las estrategias
de seguridad se diseñaban
sobre la idea de que los ata-
cantes estaban fuera de la
red. Una estrategia moderna
de ciberseguridad, que esté
a la altura de los desafíos que
plantea el Edge Computing, se
construye sobre la hipótesis
de que ya la red está com-
prometida y se debe probar
lo contrario”.
Por su parte, Riveros, de Nets-
kope, asevera que, para tener
una política activa de seguri-
dad, se deben tener en cuenta
una serie de medidas trans-
cendentales. Así pues, antes
INFORME ESPECIAL 27
de adquirir una solución de
Edge Computing es importante
validar sus capacidades de se-
guridad y las buenas prácticas
para realizar el endurecimiento
del equipo, teniendo en cuenta
las recomendaciones de fir-
mware, protección de interfa-
ces y de su almacenamiento
local.
“También, es recomendable
Germán Patiño
Vicepresidente de Ventas para
Latinoamérica, Lumu Technologies
garantizar la disponibilidad de
mecanismos de seguridad fí-
sica para acceso al equipo;
seguir las recomendaciones
del fabricante, creando una po-
lítica de actualización periódica
de software, con su debido
proceso de gestión de cam-
bios; y asegurar las comunica-
ciones, usando protocolos de
red como TLS, desde y hacia
28 INFORME ESPECIAL
el dispositivo”, explica Riveros,
de Netskope, que agrega que
“Por último, es esencial que, a
nivel de red, únicamente los
dispositivos asignados tengan
acceso al servidor, mientras
que, en una sucursal remota,
además de contar con funcio-
nalidades de seguridad en la
conexión hacia Internet y la
WAN, idealmente con solucio-
Hugo Riveros
Solutions Engineering Manager de
Netskope LATAM
nes SDWAN (Software defined
WAN) y SSE (Secure service
Edge)”.
“Una de las cuestiones funda-
mentales es entender cómo las
nuevas arquitecturas híbridas,
que incluyen Data Centers tra-
dicionales, Edge Computing,
Cloud, y personas y disposi-
tivos IoT interactuando, son
acompañadas por niveles de
seguridad acordes. Como pri-
mer paso, contar con un enten-
dimiento integral de los riesgos
asociados al Edge Computing
es importante para poder esta-
blecer medidas de seguridad
apropiadas”, adiciona Diego
Taich, de PwC Argentina.
Por su lado, Cantadore, de So-
nicWall, remarca que, en pri-
mer lugar, evalúe la madurez
de los usuarios y los sistemas
alojados de forma remota, e
identifique posibles fallos sis-
témicos. Edge Computing im-
plica procesar datos lo más
cerca posible del origen de
esos datos y, por lo tanto, las
preocupaciones de seguridad
también deben trasladarse a
este “edge”.
“En segundo lugar, estimar los
riesgos e implicaciones de es-
tas vulnerabilidades y qué pa-
sos y tecnologías se necesitan
para garantizar una operación
segura y, luego, modelar las
herramientas de protección y
comunicación para que sean
viables desde el punto de vis-
ta del negocio. La visión de
seguridad en silos ya no es
fácilmente modelada en este
escenario donde el “edge” se
mueve junto con los usuarios
y/o sistemas involucrados”, adi-
ciona Cantadore, de SonicWall.
En el caso de Strike, Bernardo
enumera cuatro mejores prác-
ticas para abordar la ciberse-
guridad en Edge Computing
de forma coherente y reducir
drásticamente el riesgo de in-
cidentes:
1. Criterios de selección de dis-
positivos: Seleccionar dispo-
sitivos que se pueda verificar
que hayan sido desarrollados
por proveedores que siguen
un proceso de ciclo de vida de
desarrollo seguro (SDL) bien
implementado. O, si hablamos
de dispositivos ICS, se debe
seguir el estándar IEC 62443.
2. Diseño de red segura: No
En una estrategia Multi-
cloud, son los clientes
los responsables de
mantener una postura
integral de seguridad
solo debe elegir dispositivos
de red desarrollados y optimi-
zados para la seguridad y la
privacidad de los datos, sino
que la red misma, por supues-
to, también debe diseñarse,
implementarse y administrarse
con la seguridad como prin-
cipal preocupación, con con-
ceptos básicos como el uso de
una red privada virtual (VPN)
que emplea túneles encripta-
dos, implementa firewalls y usa
sistemas de control de acceso.

Más allá de esas herramien-
tas, la red debe implemen-
tarse utilizando un esquema
de “defensa en profundidad”
(Defense in Depth). Otra prác-
tica recomendada es el uso
de dispositivos de sistema de
detección de intrusos (IDS).
3. Instalación/configuración del
Los dispositivos
conectados a Internet
están cambiando
los paradigmas de
computación, y por ende
la ciberseguridad debe
seguir evolucionando
y acompañando las
nuevas arquitecturas de
redes y procesamiento,
incluyendo la protección
de los dispositivos de
Edge Computing y el IoT
en su paraguas
dispositivo: Antes de usar un
dispositivo de Edge compu-
ting, se debe realizar un aná-
lisis adecuado para compren-
der cómo se comunica y cómo
se comporta el dispositivo en
el caso de uso que el cliente
necesita operar. Esto implica
usar y aplicar un hardening
provisto por el proveedor, reali-
zar escaneos de puertos y ga-
rantizar que se apliquen todas
las actualizaciones y parches
de firmware, entre otras cosas.
4. Operación y mantenimien-
to: Si bien existen aplicacio-
nes específicas pueden tener
tácticas únicas y específicas
para garantizar la seguridad,
existen ciertas prácticas que
se aplican a todas las aplica-
ciones de Edge computing.
Entre ellos se incluyen la ges-
tión de parches, análisis de
vulnerabilidades y las pruebas
de penetración. Y finalmente,
también es importante consi-
derar la seguridad física como
parte de la estrategia general
de ciberseguridad.
Wenzler, de Tenable, asevera
que no hay una única respues-
ta correcta a esta pregunta. “El
Edge Computing es un con-
cepto de arquitectura, y puede
ser implementado de muchas
maneras diferentes, utilizando
muchos tipos diferentes de tec-
nologías y dispositivos como
puntos de acceso”, dice.
“Sin embargo, tener una com-
prensión completa de estos
puntos en su entorno de Edge
Computing es el primer paso
crítico para determinar cuáles
serán los mejores controles de
seguridad para su organiza-
ción. Sin visibilidad, terminará
con puntos ciegos de dispositi-
INFORME ESPECIAL 29
vos fácilmente comprometedo-
res, lo que dará a los atacantes
una gran ventaja para entrar
en su entorno sin ser notados.
Por lo tanto, se debe comenzar
con tener visibilidad y luego
debe decidir qué medidas se-
rán las mejores para mitigar el
riesgo que presenta su entorno
de Edge Computing”, agrega
Wenzler, de Tenable.
Diego Taich
Socio de PwC Argentina de la prác-
tica de consultoría en ciberseguridad
& IT
Asimismo, Muñoz-Vivas, de
Vertiv, indica que cuando se
trata de establecer estándares
de seguridad, los líderes de TI
deben garantizar el uso de los
últimos protocolos de seguri-
dad y algoritmos de cifrado
mientras aplican perfiles de
seguridad estrictos para blo-
quear el acceso a su solución
OOB.
30 INFORME ESPECIAL
“Abordar las vulnerabilidades
de seguridad conocidas tam-
bién significa garantizar que
los dispositivos de IT se ac-
tualicen con el firmware más
reciente, que se cambien to-
das las credenciales prede-
terminadas en los sistemas de
IT y que solo se utilicen los
certificados firmados por las
autoridades. Todos los certifi-
cados deben rotarse con fre-
cuencia”, suma Muñoz-Vivas,
de Vertiv.
Las mejores prácticas para
implementar ciberseguridad
en el Edge
“La serie de estándares ISA/
IEC 62443 (International Socie-
ty of Automation/International
Electrotechnical Commission)
presenta los requerimientos
que deben cumplir las par-
tes involucradas en estos
sistemas de automatización,
para aumentar la integridad,
confiabilidad y seguridad de
los sistemas de control in-
dustriales, incluyendo Edge
Computing”, sostiene Lugo,
de BeyondTrust, que agrega
“Entre las principales, están
la administración activa y el
mantenimiento correcto de los
dispositivos que consumirán
los servicios del Edge, e im-
plementar un diseño seguro
de la red, que permita crecer
pero que esté correctamente
segmentado”.
Para Villa, de Fluid Attacks,
las compañías que desarrollan
tecnología deben pensar en la
seguridad de su software, para
lo cual recomiendan realizar
pruebas de seguridad conti-
nuas desde el comienzo del
ciclo de vida del desarrollo.
Estas deben combinar el uso
de herramientas automáticas,
que escanean el software en
búsqueda vulnerabilidades,
y pruebas manuales por ex-
pertos, ya que estos últimos
pueden encontrar las fallas
más complejas, como lo son
la configuración inapropiada
de los servicios de la nube y
de controles de acceso, me-
canismos inseguros de autenti-
cación y secretos en el código,
entre otras.
“Además, las vulnerabilidades
detectadas deben ser reme-
diadas tan pronto como sea
posible, priorizando aquellas
que representen el mayor ries-
go para la disponibilidad de
los sistemas y la integridad
de los datos. En Fluid Attac-
ks, descubrimos que quienes
monitorean y evitan desplegar
versiones inseguras de su sof-
tware toman 30% menos tiem-
po en su remediación”, com-
parte Villa, de Fluid Attacks.
“Entre las mejores prácticas a
considerar en ciberseguridad
se destaca el análisis de ries-
go a cada paso. Es decir, en
el proceso completo del dis-
positivo, desde la concepción
y desarrollo de un dispositivo
hasta su implementación”,
asevera Dias, de GlobalSign
Brasil.
En el caso de Lumu Tech-
nologies, Patiño afirma que
las organizaciones deberían
asegurarse de que sus pro-
veedores, terceros y cadena
de suministro no representen
un riesgo para la seguridad de
su red. Adicionalmente, todas
organizaciones que incluyan
soluciones tipo SaaS para su
operación deberían asegurar-
se de que dichas soluciones
cuenten con certificaciones
tipo SOC2, Privacy Shield,
entre otras que evidencien
las buenas prácticas sobre
las que están construidas y
soportadas.
“Entre las recomendaciones
para mantener una estrategia
de ciberseguridad acertada
pasan, implantar el control de
acceso y la vigilancia para me-
jorar la seguridad física en el
borde, controlar la configura-
ción y el funcionamiento del
borde desde las operaciones
centrales de TI (Secure Ac-
cess Service Edge SASE) y
establecer procedimientos
de auditoría para controlar los
cambios de alojamiento de da-
tos y aplicaciones en el borde”,

agrega desde su conocimiento
Riveros, de Netskope.
Asimismo, hay que aplicar el
mayor nivel de seguridad de
red posible entre los disposi-
tivos/usuarios y las instalacio-
nes de borde. (Descubrimiento
de dispositivos, perfilamiento,
análisis de comportamiento,
granularidad del contexto y
microsegmentación) así como
supervisar y registrar toda la
Libérese con la
ciberseguridad sin límites
de sonicwall, cuando las
amenazas son ilimitadas,
sus defensas deben ser
ilimitadas
actividad del borde, en particu-
lar la relacionada con las ope-
raciones y la configuración,
agrega Riveros, de Netskope.
Entre las mejores prácticas
que Diego Taich, de PwC Ar-
gentina enumera, se encuen-
tran:
1- Zero Trust: las arquitecturas
basadas en este deben ser
consideradas para asegurar
datos, servicios, y activos de
la red en general.
2- Protección de los end-
points: agregar capacidades
de análisis de comportamien-
to y aprendizaje de máquina
para poder detectar amenazas
como las que hoy plantean los
ransomware.
3- Monitoreo activo 7x24 de
eventos de seguridad: con el
objetivo de poder identificar
y detener un ataque en sus
fases más tempranas, y que
no llegue a convertirse en un
incidente severo.
4- Identificación periódica de
vulnerabilidades; para poder
remediar rápidamente aque-
llas cuestiones que pueden
ser explotadas por los ciber
atacantes.
5- Seguridad Física, por ejem-
plo, en los equipos de borde
que procesen datos prove-
nientes de dispositivos IoT, se
deberían considerar medidas
de seguridad en el acceso y
el monitoreo.
Desde SonicWall, Cantadore
define cómo sería una práctica
eficiente de ciberseguridad
en Edge:
1- Almacenamiento y movi-
miento de datos: identificar lo
relevante para ser tratado y
transmitido, reduciendo el vo-
lumen de datos a proteger ya
sea en almacenamiento local o
en transmisión y compartición
con otros sistemas corporati-
vos centralizados.
2- Desafíos en la configuración
INFORME ESPECIAL 31
de plataformas de seguridad
distribuidas y dispositivos/
usuarios de red: asegurar que
las políticas de seguridad apli-
cadas a los diferentes sistemas
sean consistentes y actuali-
zadas de forma centralizada,
evitando posibles errores de
configuración que se reflejen
en la exposición innecesaria e
indeseada de las plataformas
y los datos involucrados. Estos
Edilson Cantadore
Director, Solutions Engineering,
LATAM, SonicWall
mismos criterios de configu-
ración y control de las plata-
formas de seguridad deben
extenderse a los sistemas y
dispositivos protegidos, iden-
tificando y mitigando las posi-
bles fallas que estos puedan
ofrecer si están mal configura-
dos y conectados a las redes
de servicio.
3- Selección cuidadosa de
32 INFORME ESPECIAL
dispositivos: Edge Computing
implica también un uso inten-
sivo de IoT. La selección de
dispositivos desarrollados por
fabricantes que siguen están-
dares seguros en el ciclo de
desarrollo de sus productos es
relevante para la adopción de
plataformas menos vulnerables
a ataques.
4- Diseño de red adecuado
Javier Bernardo
Head of Strikers de Strike
que segrega los dispositivos
según su uso y exposición: las
redes segmentadas y correc-
tamente diseñadas reducen
el riesgo de propagación de
amenazas cuando logran su-
perar las barreras de seguri-
dad implementadas, reducien-
do así los impactos negativos
a enfrentar cuando potencial-
mente se presenten-
5- Mantenimiento y monitoreo:
es relevante la necesidad de
un monitoreo permanente
de las plataformas, sistemas
y dispositivos implementa-
dos, buscando consistencia
y efectividad en las políticas
de protección estipuladas. La
volatilidad inherente de los sis-
temas modernos implica un
monitoreo permanente para
garantizar que cualquier falla
se detecte de manera efectiva
y se corrija de manera opor-
tuna.
“Empezar por la visibilidad.
Tener una comprensión com-
pleta del entorno de Edge
Computing es el único primer
paso real que se debe dar
para luego construir un mejor
programa de ciberseguridad.
A partir de ahí, determina lo
que los dispositivos y puntos
finales que estás utilizando son
capaces de hacer en términos
de controles de seguridad y
comienza a aplicar cualquier
medida para protegerlos”, sos-
tiene Wenzler, de Tenable.
Wenzler, de Tenable agrega
que esto puede consistir en
centrarse en la seguridad de
los datos o en los límites de la
segregación de la red, si se
trata de dispositivos informá-
ticos ligeros como los dispo-
sitivos IoT de tipo comercial.
O bien, podría significar la
creación de configuraciones
de endurecimiento estándar
y su aplicación en todos los
dispositivos para bloquear el
posible acceso o uso externo.
Las mejores prácticas que uti-
lizamos en nuestros entornos
en la nube y en las instalacio-
nes no son diferentes para los
entornos de Edge Computing,
pero estas prácticas pueden
La naturaleza altamente
distribuida de las
soluciones de Edge
computing y tecnologías
IT híbridas hace que sea
más difícil protegerlas
de los ciberdelincuentes.
Cualquiera que sea el
enfoque que adopten las
organizaciones deben
considerar a la seguridad
desde el comienzo de
sus implementaciones
ser más difíciles de implemen-
tar debido a la naturaleza li-
mitada de los puntos finales
involucrados.
Por su lado, Muñoz-Vivas, de
Vertiv, señala que Algunas
buenas prácticas son: confi-
guración de la red que pue-
da reforzar el control de los
sistemas de IT mediante la

creación de una red de ad-
ministración fuera de banda
(OOB) que esté separada de
la red de producción y luego
bloquear el acceso directo a
la red a los dispositivos OOB.
También hacer cumplir el uso
de software de administración
central como punto de entrada
único a la red OOB es ideal
para mejorar la seguridad y el
control. Más allá del software,
los líderes de IT deben asegu-
rarse de que los siguientes ac-
tivos de hardware sean parte
de una estrategia de adminis-
tración remota: procesadores
de servicio, infraestructura
virtual, dispositivos de red y
almacenamiento, unidades de
distribución de energía en rack
(rPDU), unidades de fuente de
alimentación ininterrumpida
(UPS) o cualquier dispositivo
IP direccionable.
Los desafíos en una era mul-
ti-cloud y la IoT
“Es importante mencionar la
diferencia entre IoT (Internet
of Things) y el IIoT (Industrial
Internet of Things). Los dispo-
sitivos IIoT requieren mayor ni-
vel de seguridad y tolerancia
a fallos, compatibilidad con
muchas otras tecnologías,
mayor precisión en tiempos
de respuesta, y otras carac-
terísticas que los hacen más
especializados que los típicos
IoT’s de consumidores finales,
como televisores o cámaras
inteligentes. Un ejemplo de IIoT
puede ser un interruptor eléc-
trico, capaz de ser habilitado
o deshabilitado por software”,
indica Lugo, de BeyondTrust.
Lugo, de BeyondTrust, agrega
que un desafío muy importante
es el aumento de la compleji-
dad de la arquitectura, porque
especialmente en redes indus-
triales es necesario mantener
la resiliencia y disponibilidad
de los servicios, y con el au-
mento en la cantidad de dis-
positivos es más difícil decidir
cómo asegurarse de que ac-
cedan únicamente los sujetos
requeridos por la organización,
y también se hace más difí-
cil monitorear para encontrar
accesos no autorizados. Esto,
sumado al aumento de la con-
vergencia entre redes IT y OT,
en muchos casos requerida
para Edge Computing, hace
aún más difícil proteger estos
dispositivos que comúnmente
ejecutan software inseguro.
Para Villa, de Fluid Attacks, el
mayor riesgo que represen-
tan el entorno multi nube y la
IoT es la fuga de datos. Este
tipo de incidentes es propicia-
do por vulnerabilidades en el
software o en su cadena de
suministro. En el primer caso,
principalmente, la seguridad
INFORME ESPECIAL 33
de los datos personales y de
marca depende especialmente
de la autenticación.
“Si una aplicación tiene pro-
blemas con el mecanismo de
autenticación, entonces todos
los demás controles están
comprometidos. Otras vulne-
rabilidades que los hackers
éticos encuentran frecuente-
mente son credenciales guar-
dadas en el código fuente o el
que las aplicaciones generen
tokens que tienen una vida útil
muy prolongada, propiciando
el robo de sesión. En cuanto a
los ataques a las cadenas de
suministro, se encuentra como
factor facilitador el uso de de-
pendencias y software de
terceros con vulnerabilidades
conocidas en la tecnología.
Por lo anterior, el desafío de
ciberseguridad se encuentra
en el desarrollo del software”,
indica Villa, de Fluid Attacks.
“Al iniciar un ecosistema IoT
pueden generarse obstáculos
en el manejo de las identida-
des, principalmente cuando
están basadas en certificados.
En ese momento, surgen pro-
blemas cuando las credencia-
les se pueden exportar desde
el dispositivo para habilitar su-
plantación de identidad, sostie-
ne Dias, de GlobalSign Brasil.
según Dias, de GlobalSign
Brasil, otro desafío importante
está dado por la diferencia en
34 INFORME ESPECIAL
los protocolos que utilizan los
fabricantes. Se debe resaltar
que el ciclo de vida de los dis-
positivos es más largo que el
de una computadora, por lo
que requieren muchas más ac-
tualizaciones de firmware, pro-
cesamiento, almacenamiento,
ancho de banda limitado y
consumo de energía. Lo que
requiere un esfuerzo adicional
al momento de aprovechar la
vida útil de los dispositivos.
El crecimiento en escala de los
dispositivos también presenta
un desafío para la seguridad.
Con el desarrollo de nuevas
tecnologías como 5G, IoT pue-
de vivir una explosión en can-
tidad de dispositivos, lo que
representa miles de millones
de puertas de entradas para
nuevos ataques.
Sobre el tema, Patiño, de Lumu
Technologies, comparte que
“Los desafíos consisten prin-
cipalmente en asegurar la vi-
sibilidad de amenazas y com-
promisos en la red. Es de vital
importancia que las organiza-
ciones puedan medir de forma
continua e intencional la exis-
tencia de contactos entre sus
dispositivos y la infraestructura
de los adversarios. De esta
forma pueden anticiparse con
precisión y eficacia ante los
ataques de forma temprana”.
Riveros, de Netskope, propone
otro escenario: “Adoptar una
estrategia Multi-cloud no sig-
nifica que la seguridad pueda
ser delegada en los proveedo-
res de nube, quienes obvia-
mente disponen de controles
y herramientas de seguridad.
Al contrario, son los clientes
quienes deben responsabi-
lizarse de mantener una es-
trategia integral de protección
que no abarque la seguridad
en la nube, sino la arquitectura
Multicloud completa (usuarios
remotos, acceso a las aplica-
ciones, protección de datos,
amenazas, etc.)”
En el caso de IoT, además de
la protección del acceso a
la información local, también
se debe considerar que, en
muchas ocasiones, los dis-
positivos IoT acceden a apli-
caciones basadas en nube
en contextos y proveedores
de nube diferentes compar-
te Riveros, de Netskope, que
agrega que No obstante, si ha-
blamos de desafíos, podemos
citar de manera concreta el
riesgo derivado de la existen-
cia de múltiples plataformas en
la nube, las cuales suponen
una superficie de ataque más
amplia con nuevas vulnerabili-
dades, que requieren nuevas
herramientas para mantener
la seguridad y el cumplimiento
en entornos de nubes.
Riveros, no deja de señalar
que en lo que respecta a go-
bernanza de los datos y cum-
plimiento de la normativa, no
hay que pasar por alto el hecho
de que trasladar las aplicacio-
nes a la nube no excluye de la
necesidad de cumplir ciertos
requisitos de gobernanza de
datos. Asimismo, dice que es
imprescindible mantener polí-
ticas de seguridad uniformes
y consistentes en varias nu-
bes, y que es necesario saber
qué está conectado a mi red
y cómo se comporta. “Como
la seguridad debe ser un es-
fuerzo constante, es necesario
realizar un monitoreo perma-
nente del comportamiento del
dispositivo, de tal forma que,
si se presenta una conducta
anómala, se puedan tomar las
acciones pertinentes”, enfatiza
Riveros, de Netskope.
Taich, de PwC Argentina se-
ñala entre los desafíos de se-
guridad:
- Diseño no seguro: la mayoría
de los dispositivos IoT no ha
sido diseñado considerando
principios de seguridad, por lo
tanto, uno de los desafíos es
que las próximas generaciones
de dispositivos contemplen as-
pectos básicos de autentica-
ción, autorización y registro de
eventos de seguridad.
- Gestión de identidades: la
gestión de las identidades
de los usuarios y procesos a
los que acceden recursos de

las distintas Nubes son clave
para reconocer si estamos o
no ante la misma identidad en
cada pedido de acceso a un
recurso, y qué permisos se le
deben conceder.
- Estandarización de la gestión
Los dispositivos Edge
Computing pueden
no parecer un objetivo
valioso, porque
tienen pocos datos
almacenados en ellos,
pero son puntos de
entrada clave en el resto
de tu red, especialmente
porque son muy fáciles
de comprometer.
No asumas que los
ciberatacantes no están
interesados en estos
dispositivos. Al contrario,
son objetivos ideales
para poner un pie en la
puerta y lanzar ataques
más devastadores contra
el resto del entorno
de seguridad de la nube: la
falta de estandarización de los
entornos Cloud lleva al desplie-
gue de múltiples soluciones de
seguridad que se solapan en
distintos puntos, así también
como a distintos procesos de
gestión, y a la necesidad de
contar con conocimientos muy
variados.
- Confidencialidad: la protec-
ción de la confidencialidad
de los datos es un verdadero
desafío, considerando que la
Nube es utilizada muchas ve-
ces como plataforma para el
aprendizaje de máquina en
procesos que incorporan IA,
y que se suelen utilizar sets
de datos muy grandes que
pueden contener información
sensible y que no se encuentra
protegida de forma adecuada.
Desde SonicWall, Cantadore
comparte que el reto es en-
tender y asimilar el modelo
de responsabilidad compar-
tida inherente al entorno de
la nube, qué tipo de servicio
en la nube se contrata y, de
esta manera, atender los as-
pectos de seguridad que se
demandan de acuerdo con
su responsabilidad directa. Y
señala que para la parte en la
cual el usuario es responsable
de administrar, es necesario
utilizar algunas estrategias:
- Cifrado: garantizar que los
datos almacenados estén pro-
tegidos y que el transporte de
datos también se realice a tra-
vés de canales cifrados.
- Asegúrese de que los dis-
positivos de acceso se mane-
jen correctamente (parches,
INFORME ESPECIAL 35
protecciones de punto final),
que los IoT sean dispositivos
seguros de origen conocido y
que cumplan con los requisitos
de seguridad predefinidos.
- Controle a los usuarios a me-
dida que los necesite con un
enfoque ZTNA; controle cada
conexión remota, consideran-
do siempre el contexto de la
demanda, y ponga a dispo-
Nathan Wenzler
Chief de estrategia de seguridad
en Tenable
sición solo lo que el usuario
necesita y cuando lo necesita.
“La transmisión de datos entre
dispositivos IoT y la nube, y
entre ellos, también plantea
riesgos de seguridad. Las to-
pologías de Edge Computing
pueden combinar múltiples
estándares de red, incluidos
protocolos de red específicos
de IoT como NB-IoT y Sigfox,
así como tecnologías más con-
36 INFORME ESPECIAL

vencionales como WiFi o 4G. cada vez más por herramien-
La capacidad informática limi- tas de IA, como los sistemas
tada de algunos dispositivos de análisis de comportamiento
IoT se suma a los desafíos de de usuarios y entidades. Estas
proteger dichas redes”, propo- son herramientas que aumen-
ne Bernardo, de Strike. tan o complementan lo que
Bernardo comenta aparte que hace el profesional de la segu-
los sistemas de IDS/IPS y Fi- ridad, creando una detección
más rápida de anomalías.
Por otro lado, Wenzler, de Te-
nable, explica que El mayor
Edge no es una desafío proviene de la natu-
extensión de la nube raleza de estos dispositivos.
ni un subconjunto de Al estar construidos para la
5G. Edge Internet es velocidad y la eficiencia, en
una transformación contraposición a la seguridad
fundamental de cómo se y la privacidad, son intrínseca-
realiza la computación. mente vulnerables y fáciles de
Estamos pasando de una atacar y comprometer.
nube centralizada a una “Muchos fabricantes se cen-
arquitectura habilitada tran únicamente en la funcio-
por el borde, y eso nalidad y ven la seguridad
significa que comienza a como un factor de coste inne-
implementar nodos más cesario. Aunque muchos con-
cerca del usuario con sideran que estos dispositivos
más mayor capacidad son casi desechables y que
de procesamiento de los no necesitan ser protegidos,
datos ya que tienen pocos datos crí-
ticos almacenados en ellos,
la verdad es que a medida
que se conectan más y más
dispositivos IoT a las redes
rewalls son la medida de se- de todo el mundo, crean una
guridad adoptada con mayor enorme superficie de ataque
frecuencia en los diversos ti- que es fácil de comprometer y
pos de redes de Edge compu- aprovechar para atacar objeti-
ting. Afortunadamente, dada la vos internos más valiosos. Son
creciente complejidad de las fáciles de instalar, fáciles de
redes perimetrales, la seguri- escalar en grandes cantida-
dad de la red se ve impulsada des y pueden desplegarse en
cualquier tipo de nube pública
o incluso en un entorno local.
Por ello, suponen un enorme
reto de seguridad desde el
punto de vista de la visibilidad
básica, además de contar con
capacidades limitadas a bordo
para asegurar los dispositivos
antes de ponerlos en servicio”,
agrega Wenzler, de Tenable.
Claudio Muñoz-Vivas
TELECOM DC POWER & OSP,
Sales Application Engineer Team
Leader en Vertiv
“Con 5G y crecimiento peri-
metral, IoT dará un gran paso
adelante. Muchas organizacio-
nes tienen dispositivos que se
pueden conectar para obtener
nuevos conocimientos, pero
carecían de las capacidades
de integración de datos, la
potencia de procesamiento
y el presupuesto para que

esto sucediera”, comparte
Muñoz-Vivas, de Vertiv.
La propuesta desde los pro-
veedores
BeyondTrust
En general, alguien debe ad-
ministrar los sistemas y dispo-
sitivos de la red industrial y en
el Edge, y BeyondTrust puede
proteger a los administradores
de estos sistemas; evitando
que conozcan contraseñas
de altos privilegios, que ten-
gan accesos directos hacia
los mismos, y evitando tam-
bién que requieran cuentas
de altos privilegios en siste-
mas operativos de propósito
general. Incluso cuando estos
administradores necesitan ac-
cesos remotos a dispositivos
IoT o IIoT, y cuando se nece-
sita segregar estos accesos
mediante zonas de recursos,
BeyondTrust puede aportar
en aspectos de Identidades
Privilegiadas, Autenticación,
Autorización y Auditoría.
Esto mitiga riesgos de phi-
shing, robo de credenciales,
explotación de vulnerabili-
dades mediante conexiones
directas, y distribución de
malware que se ejecuta con
privilegios de administrador.
Es necesaria la entrega de
sesiones privilegiadas hacia
sistemas industriales (ICS -
Industrial Control Systems),
para los operadores o los en-
cargados del mantenimiento,
y es donde principalmente
BeyondTrust puede ayudar.
En redes industriales (OT -
Operational Technologies), es
muy importante el manejo de
tráfico de red, básicamente
flujos, puertos y protocolos;
conocer estos puertos es co-
nocer las funcionalidades de
sensores y otros dispositivos,
y por esto último, administrar
las sesiones privilegiadas que
se transportan con este tráfico
de red es también administrar
la seguridad de sensores y
otros dispositivos.
Fluid Attacks
Fluid Attacks se especializa
en pruebas de seguridad con-
tinuas en una gran variedad
de sistemas, entre los que se
encuentran la infraestructura
de la nube y el software de
dispositivos IoT. Usamos una
combinación de herramientas
automáticas y métodos ma-
nuales para evaluar, desde
el comienzo del ciclo de vida
del desarrollo del software, la
arquitectura e integridad de
los controles de seguridad, las
capacidades de detección y
respuesta a las amenazas y
las funcionalidades de la in-
fraestructura susceptibles de
ser explotadas. Por nuestro
INFORME ESPECIAL 37
enfoque integral, los resultados
de nuestras pruebas mues-
tran tasas muy bajas de falsos
positivos y falsos negativos.
Además, dado que facilitamos
la priorización y la asignación
de responsabilidades de re-
mediación inmediata de las
vulnerabilidades que se de-
tectan durante el desarrollo,
nuestros clientes pueden evitar
fallos en producción, costos
mayores de remediación o
ataques como fugas de datos.
GlobalSign
Es importante contar con
infraestructura para la ge-
neración de certificados en
velocidad compatible con la
línea de producción de dis-
positivos. Así como también
contar con certificados y llaves
compatibles con chips TPM de
mercado, que proporcionan
seguridad sin impactar en la
performance del dispositivo.
El TPM permite un sistema en
el que ciertas garantías de se-
guridad se pueden demostrar
criptográficamente a una parte
remota, pero la identidad es-
tándar integrada en el dispo-
sitivo TPM es insuficiente por
sí sola para la tarea
Lumu Technologies
Queremos que cualquier or-
ganización, sin importar su ta-
maño, sector de la industria,
38 INFORME ESPECIAL
o arquitectura de red, puedan
implementar una práctica de
medición continua e intencio-
nal de compromisos. Para esto
tenemos disponible nuestra
herramienta Lumu Free, que
permite en 3 pasos identificar
si la red está presentando con-
tactos con atacantes, de esta
forma cualquier organización
puede iniciar su viaje hacia el
estado de cero compromisos.
Netskope
En el marco de la estrategia de
SASE (Secure Access Service
Edge) de Netskope, contamos
con soluciones que permiten
a las organizaciones simplifi-
car su estrategia de seguridad
manteniendo altos estándares
de protección y rendimiento.
- Netskope Security Service
Edge ayuda a eliminar los
puntos ciegos al entender el
SaaS, el IaaS y la web con
extrema. La protección de da-
tos de 360º salvaguarda los
datos en todas partes a través
de la galardonada DLP en la
nube y cifrado. La protección
avanzada contra amenazas
detiene los ataques evasivos
que atraviesan SaaS, IaaS y
la web para infligir daños. Una
nube Control total de SaaS,
IaaS y web, desde una plata-
forma nativa en la nube que
se escala automáticamente.
- Netskope SD-WAN ofrece
un acceso seguro y de alto
rendimiento a todos los usua-
rios remotos, dispositivos, si-
tios y nubes, por lo que los
clientes se benefician de la
seguridad de confianza cero
con la optimización de la red.
Como complemento a la SSE
inteligente, la seguridad de
la red está integrada en el
SASE Gateway para abordar
los requisitos locales como el
stateful firewall para asegurar
el tráfico este-oeste. La com-
putación de borde, incluida
en el Gateway, soporta apli-
caciones de valor añadido,
incluyendo IDS/IPS, Azure
IoT Edge, Thousand Eyes,
y otros desplegados como
contenedores a través de la
orquestación de un solo clic
y la gestión automatizada del
ciclo de vida.
- Netskope IoT: La solución
de seguridad IoT de Netsko-
pe proporciona un contexto
granular de dispositivos, con
un identificador único de dis-
positivos y una tecnología de
clasificación de autenticidad
para descubrir dispositivos
gestionados y no gestiona-
dos en la red corporativa.
La solución analiza además
cientos de parámetros de los
dispositivos descubiertos y
aprovecha la rica inteligencia
contextual para la clasificación
de dispositivos, la evaluación

de riesgos, el control de acce-
so granular y la segmentación
de la red, facilitando la segu-
ridad de confianza cero para
los dispositivos IoT.
PwC Argentina
Brindamos -entre otros- servi-
cios de Ciberseguridad ofen-
siva (pentesting, ejercicios de
ingeniería social, identificación
de vulnerabilidades, análisis
de código, etc.), defensiva
(SOC – monitoreo 7x24 de
eventos de seguridad y ge-
neración de alarmas ante ci-
ber-ataques, CiberInteligen-
cia, Respuesta a incidentes,
etc.), Hardening de sistemas
y redes, etc. Ayudamos a ase-
gurar los entornos físicos, así
como a concientizar y capaci-
tar a las personas sobre temas
de ciberseguridad.
SonicWall
La propuesta de SonicWall
de “Boundless Cybersecu-
rity” o Ciberseguridad sin
límites apunta exactamente
a satisfacer esta demanda
hiperdistribuida, donde tanto
los recursos informáticos y de
datos como los usuarios utili-
zan una movilidad intensa. Al
colocar las soluciones de se-
guridad donde se encuentran
los usuarios, los datos y los
sistemas, logramos una capa-
cidad de seguridad ilimitada
y sin fronteras.
Con soluciones que pasan
por protección perimetral,
Data center, Cloud y SaaS,
SonicWall se integra a la per-
fección al mundo digital redi-
señado bajo los conceptos de
Multi-Edge Computing.
Strike
En Strike ayudamos a las
empresas a acceder a ci-
berseguridad de alta calidad
de manera rápida y flexible.
Nuestra plataforma cuenta
con Strikers de primera línea
entre los cuales tenemos es-
pecialistas expertos en realizar
pentest sobre dispositivos IoT
y Edge Computing. En el pasa-
do hemos ayudado a mejorar
la seguridad de gran variedad
de este tipo de tecnologías.
Tenable
Nuestras soluciones nos per-
miten descubrir y actualizar
continuamente la superficie
de ataque, es decir, el inven-
tario de dispositivos y recursos
en la nube que el cliente tie-
ne expuestos. Estos incluyen
algunos que no sabían que
estaban ahí. Entonces pode-
mos evaluar ese inventario
para encontrar las vulnerabi-
lidades que tienen un riesgo
significativo de convertirse en
un ataque. Estas incluyen vul-
nerabilidades de software y de
INFORME ESPECIAL 39
configuración, y pueden ser
descubiertas incluso antes de
que las nuevas aplicaciones
entren en producción.
La cobertura total de la su-
perficie de ataque es la clave.
Vertiv
Las soluciones en contenedo-
res específicos y acondicio-
nados para Centro de Datos,
así como la infraestructura
integrada, los microcentros
de datos y los centros de da-
tos modulares prefabricados,
brindan potentes capacidades
informáticas y de otro tipo, al
tiempo que ofrecen velocidad
de comercialización y seguri-
dad física.
Las soluciones de Edge IT
integran Equipos de aire
acondicionado de precisión,
con controles climáticos y de
enfriamiento con eficiencia
energética, distribución de
energía eléctrica y conectivi-
dad de red como UPS con
baterías de Litio o VRLA. Los
equipos de TI generalmente
también optan por software
y dispositivos de monitoreo y
administración remotos para
ayudar a garantizar que las
soluciones del borde de la red
funcionen como se espera. En
nuestras soluciones se desta-
can: infraestructura integrada,
micro data centers y data cen-
ters modulares prefabricados.
NOTA DE TAPA 41
INFORME ESPECIAL 43
44 INFORME ESPECIAL
El rol de la Inteligencia Artificial
en la era de trabajo remoto y
ciberdelincuencia generalizada
Por Miguel Llerena, Vicepresidente para Latinoamérica de Tanium
La Inteligencia Artificial (IA) se trata
de un sistema al que se le ha ense-
ñado a realizar tareas específicas
sin que se hayan programado ex-
plícitamente. Este es el factor que
permite a las soluciones de ciber-
seguridad analizar y aprender datos
con mayor eficiencia y precisión,
esto la convierte en la nueva prio-
ridad de la ciberseguridad en los
departamentos TI en las empresas.
La IA es una tecnología en cons-
tante evolución, y sus algoritmos
permiten el aprendizaje automático,
conocido como machine learning,
que ayuda al sistema a aprender
patrones, y adaptarse para simpli-
ficar la respuesta a los riesgos de
incidentes.
Los profesionales de la cibersegu-
ridad son inundados por muchas
tareas, exceso de datos, falta de
tiempo y poca disponibilidad de
habilidades, por lo que la IA pue-
de tener un gran impacto para los
gerentes de IT.
Un enfoque de Inteligencia Artificial
proporciona una mayor concien-
cia de eventos que suceden en el
punto final y a través de múltiples
disparadores. La Inteligencia Ar-
tificial puede entonces aumentar
la cantidad de señal para priorizar
eventos para que no se pierda en
el ruido.
La Inteligencia Artificial también
ofrece otro beneficio, ya que los
puntos finales comúnmente tienen
mucho espacio libre en disco y pue-
den almacenar datos en ellos más
económica y eficientemente que
en un Data Lake (lago de datos). Si
esto se hace, también ofrece una
mayor profundidad de los datos
históricos para las investigaciones
y la respuesta.
Los sistemas de IA de Tanium co-
nocidos como Intelligent Edge co-
laboran categorizando los ataques
según el nivel de amenaza.
Protección de datos
Intelligent Edge de Tanium, funcio-
na mediante la implementación de
técnicas de aprendizaje automático
de IA para escanear y calificar rá-
pidamente datos en movimiento,
tales como correos electrónicos,
Miguel Llerena
mensajes de texto, documentos y
archivos adjuntos asociados.
Protección en endpoint
El administrador de seguridad de
Tanium logra un nivel más avanzado
de prevención a través de recomen-
daciones de políticas y automatiza-
ción que combina inteligencia de
comportamiento de administradores
y usuarios, indicadores de compro-
miso (IoC) y anomalías históricas
para identificar amenazas.
La simplicidad lo es todo
Los líderes de TI y seguridad ne-
cesitan datos rápidos, procesables
y confiables para optimizar su se-
guridad y operaciones y gestionar
continuamente su riesgo. La Inteli-
gencia Artificial puede proporcio-
nar todo eso, y con una poderosa
simplicidad.
Al llevar la inteligencia y el análisis
de datos al límite, las organizaciones
obtienen la velocidad, la visibilidad y
los conocimientos necesarios para
sobrevivir y prosperar en esta nueva
era de trabajo remoto y ciberdelin-
cuencia generalizada.
INFORME ESPECIAL 45
46 EVENTOS

Diana Torres, Asistente Administrativo de SourcePoint; Dámaris Carrero, Área de Marketing de SourcePoint; y Elmer Carrero, Gerente Comercial de SourcePoint

SourcePoint llevó a cabo un curso ¿Qué soluciones corporati-

vas están comercializando?

Portafolio WithSecure donde Hoy nos convoca en el

evento la cer tificación de

certificó a socios de negocios nuestros Socios de Ne-

g o c i o s e n l o s p ro d u c t o s
de WithSecure: EndPoint,
SourcePoint es un distribuidor mayorista de soluciones corporativas de TI en Perú y la EDR, Gestión de Vulnera-
región andina, especializado en ciberseguridad, mayorista exclusivo de WithSecure en b i l i d a d e s , P ro t e c c i ó n d e
el ese país. Realizaron un evento en que capacitaron y certificaron a sus socios, donde Microsoft 365 y Salesforce.
tuvimos la oportunidad de entrevistar a Elmer Carrero, Gerente Comercial de SourcePoint.
¿Cuáles son las ventajas/
bondades de su programa
¿Cuáles son las líneas más que hoy por hoy son in- de socios?
fuertes para su negocio? dispensables en la indus-
tria actual. Se trata de N u e s t ro e n f o q u e e s c re -
WithSecure, anterior men- una empresa finlandesa, cer con nuestros Par tners
te conocido como F-Se- una de las más importan- y Socios Evangelizadores,
cure Business, desde tes y reconocidas en Eu- conservando la lealtad y
1988 lidera la investiga- ropa en ciberseguridad, respeto del trabajo con
ción y el desarrollo de la que cotiza en el NASDAQ nuestros clientes actuales
seguridad cibernética, desde 1999. y buscando lograr nuevos.
 EVENTOS 47

d a r l e s a n u e s t ro s s o c i o s
y clientes comunicación y
acceso directo al sopor te
l o c a l 8 x 5 o 2 4 / 7 d e l p o r-
tafolio de productos en el
idioma local, así como dar
valor agregado a la compra
de sus licencias. Siempre
d e s a r ro l l a m o s u n t r a b a j o
c o o rd i n a d o c o n n u e s t ro s
partners y socios de ne-
gocios.

¿Cuáles son hoy las catego-

rías más demandadas?

A c t u a l m e n t e , s o n l a p ro -
Es primordial para nosotros ¿Cuál es el valor agregado tección del EndPoint con
la fidelidad y lealtad en que le brindan a sus clientes? Gestión de Vulnerabilida -
nuestra palabra y compro- des y el EDR o Detección
mi so; la protección 100% Contamos con un Hub de y Respuesta de Incidentes.
d e sus proyectos y clien- Ciberseguridad WithSecu- Vemos que aún el nicho de
t e s ; g a r a n t í a e n re n o v a - re . E l l o n o s p e r m i t e b r i n- mercado para la protección
ciones; y acompañamiento
profesional en cibersegu-
r i d a d y c i e r re d e v e n t a s .
Gracias a la confianza y
comunicación directa con
S o u rc e P o i n t , l a m a rc a n o
solo espera que hagamos
números, sino que creemos
un ecosistema de Socios
de Negocios satisfechos y
q u e ide n ti fiquen que ven-
d e r W i th Se c ure es un ne-
gocio y no una decepción
y dolor de cabeza cuando
l l egue n la s renovaciones,
donde otras marcas fallan
t rem e n da m ente.
48
48 EVENTOS

de Microsoft 365 es míni-
mo, ya que las empresas
aún no comprenden el tipo
de seguridad compar tida
que han aceptado con los
proveedores de la nube.
¿Cuál es el objetivo princi-
pal de este curso Portafolio
WithSecure?
como los de hoy? ¿Qué per-
fil de empresas invitaron?
¿Cómo van a trabajar con
estos canales en el futuro?
L o s p re s e n t e s s o n 1 0 0 %
n u e s t ro s S o c i o s d e N e g o -
cios. Es un evento cerrado
de especialistas en ven-
tas y técnicos que hoy se
han cer tificado para lograr
subir sus niveles de des-
cuento con el fabricante
y, a d e m á s , p u d i e r o n t o -
mar un conocimiento más
a m p l i o d e l o s p ro d u c t o s
que ofrecemos, de la fi-
l o s o f í a d e l f a b r i c a n t e y,

Ante las constantes ame-

nazas y ciberataques, el
objetivo primordial de esta
capacitación es dotar a
nuestros par tners y socios
e v a n g e l i z a d o re s c o n l a s
herramientas, el conoci-
miento adecuado y la com-
prensión de cómo pueden
ayudar a frustrar la ciber-
d e l i n c u e n c i a y c re a r u n a
cultura de ciberseguridad.

¿Qué expectativas tienen

o qué esperan de eventos
50 EVENTOS

Ekoparty: volvió presencial el

la inminente adopción masiva
generan un interés colectivo
frente a una oportunidad que

gran evento de seguridad de la promete ser el futuro. Pero tam-

bién existen cientos de atacan-
tes alrededor del mundo que
Argentina utilizan esta tecnología para
sus propios beneficios, apun-
tando a víctimas de bajo riesgo
Del 2 al 6 de noviembre se celebró el mayor evento de la comunidad de hacking de
y alta recompensa.
Latinoamérica. La edición 2021 contó con charlas, talleres, networking, contenido La charla de Francis Guiber-
audiovisual y actividades de todo tipo, workshops, espacios de Red Team, Blue Team, nau hizo un recorrido por los
Bug Bounty, Mobile Hacking, Lockpicking, DevSecOps, Ingeniería Social y más componen fundamentos del blockchain, la
fueron parte de la agenda del evento que desde hace más de 16 años expone los últimos anatomía de los ataques más
hallazgos en seguridad ofensiva, complementados con las mejores prácticas de seguridad comunes, y su impacto en el
defensiva. Por Fernando Juliá lavado de activos. Entre ellos,
se destacan: Inside Jobs - Exit
Scams, Criminales y Amena-
Charlas y conferencias casi 4 mil millones de dólares zas avanzadas persistentes
El mundo de los blockchains, (APTs), “Ataques a Exchanges
DÍA 1 criptomonedas y contratos inte- Centralizados” (CEX), y HTTP
Crypto Crimen ligentes crece cada día más, y Response Smuggling.
En los últimos 10 años, 154 ata- junto con ello lo hacen también Hasta hoy, muchas veces cuan-
ques costaron a la sociedad los ataques. La alta demanda y do se reportan estas vulnera-

bilidades, no se consideran
críticas. Sin embargo, las téc-
nicas de Request smuggling
permiten evadir controles de
seguridad, obtener acceso no
autorizado a datos sensibles,
y hasta comprometer usuarios
de una aplicación web.
SAP
Los ataques para conseguir
datos sumamente confidencia-
les son cada vez más frecuen-
tes. Frente a ello, las empresas
más importantes del mundo
confían en otras el cuidado
de su información financiera,
de recursos humanos y todos
sus procesos de negocios. Una
de las empresas encargada
de estas tareas, y elegida por
miles de empresas alrededor
del mundo, es SAP.
Sin embargo, pese a su expe-
riencia en el campo, existen
vulnerabilidades en el siste-
ma que, de ser explotadas por
atacantes, pueden generar
consecuencias muy graves.
Durante 2020, el equipo de
investigadores de seguridad
de Onapsis se enfocó en tres,
y presentó sus hallazgos en
Ekoparty: SAP RECON, SAP
CM P2P Communication, SAP
JAVA RCE.
Big Data, ¿cómo protegerse de
las inseguridades y vectores
de ataques?
Si bien cuando hablamos de
Big Data, hablamos del alma-
cenamiento de grandes volú-
menes de información, hay que
tener en cuenta además los
numerosos factores que ha-
cen a su ecosistema y que son
indispensables a la hora velar
por la seguridad de los datos.
Existen 4 capas que componen
el Big Data y por las que pasa
la información: Data Ingestion,
Data Storage, Data Processing
y Data Access. En este caso,
Sheila A. Berta desarrolló una
metodología para el análisis y
cuidado de los datos que con-
siste en analizar la estructura,
desarmando capa por capa,
para ver la seguridad de cada
componente y estar seguros de
estar cubriendo todas las fases
con las que se quiere trabajar.
A su vez, brindó una serie de
EVENTOS 51
recomendaciones de seguri-
dad a tener en cuenta para
evitar los vectores de ataque
que pueden aparecer en las
distintas capas: Reducir la
superficie de ataque, uso Fi-
rewall, cambio de credencia-
les, Implementar la autentica-
ción, Administrar autorización,
e implementar comunicaciones
seguras.
DÍA 2
Ataques y amenazas informáti-
cas: ¿qué herramientas ayudan
a prevenirlos, ¿cómo actúan
las empresas y cómo darnos
cuenta a tiempo?
La segunda jornada de Eko-
party dio lugar al conocimien-
to de numerosos ataques que
reciben los usuarios cada día.
Para algunos de ellos hay he-
52 EVENTOS
rramientas y métodos de pre-
vención, otros aún le ganan al
sistema.
El comienzo del día estuvo a
cargo de Saransh Rana, Div-
yanshu Mehta y Harsh Varagi-
ya, de India, quienes brindaron
una gran explicación sobre la
seguridad centralizada y la
detección de configuracio-
nes de AWS Lambda, a tra-
vés de un sistema escalable
que otorga visibilidad sobre
amenazas, configuraciones
inseguras como bases de da-
tos expuestas, y políticas de
permisos laxas.
Luego, tuvieron lugar Pablo
Artuso e Ignacio Favro con su
charla “De 0 a millones de dó-
lares en un par de paquetes:
Comprometiendo sistemas SAP
en Internet sin autenticación”,
donde revelaron 3 vulnerabili-
dades de una de las empresas
que maneja los datos de las
empresas más importantes del
mundo.
Más tarde y desde Hawaii,
Patrick Wardle, top security
researcher y speaker habitual
de Ekoparty, mostró una de las
últimas vulnerabilidades de
macOS, su área de especiali-
zación. Se trata de una vulnera-
bilidad que logró evadir diver-
sos mecanismos de seguridad
del sistema operativo, como
File Quarantine, Gatekeeper
y Notarization, y les permitió
a los atacantes comprometer
sistemas macOS con apenas
un par de clics por parte del
usuario.
Para cerrar el día, Rafael Sele-
ma Marques, desde Brasil, con
su charla “Revisiting ring3 API
hooks: tricks to defeat analysis
tools… Even the famous ones”.
En ella, presentó dos técnicas
que son utilizadas actualmen-
te, a las cuales nombró “Egg
hook” y “Hollow hook”, que uti-
lizan distintos tipos de malware
(código malicioso) para evadir
herramientas de análisis.
DIAL: ¿la herramienta ideal
para la detección de amena-
zas en la nube?
DIAL es una herramienta pron-
ta a lanzarse, desarrollada para
prevenir y detectar amena-
zas específicamente en AWS
-Amazon Web Services, un
proveedor de servicios en la
nube-. Entre sus beneficios se
encuentran:
- Detectar de forma nativa un
evento de AWS en tiempo real
(<5 segundos)
- Es infinitamente escalable
- Facilita el aumento de la co-
bertura de seguridad de cual-
quier recurso de AWS
- Es fácil de implementar en va-
rias cuentas de AWS al ser una
implementación de un solo clic
- Es altamente rentable, ya que
no tiene servidor sobre AWS
Lambda.
DÍA 3
Durante la tercera jornada de
Ekoparty, expertos en ciber-
seguridad revelaron sus últi-
mos hallazgos, así como las
herramientas y métodos más
factibles para hackear diversos
sistemas y brindar seguridad

a la sociedad.
Por la mañana, desde Estados
Unidos, Douglas McKee y Phi-
lippe Laulheret brindaron una
charla sobre vulnerabilidades
en dispositivos médicos y el
peligro de que una de las he-
rramientas más utilizadas en
estas instituciones, la bomba
de infusión, sea comprometida
y mal utilizada para robar in-
formación, subir o bajar dosis
de medicación a los pacientes,
o mostrar indicadores falsos.
Más tarde, desde Israel, Raul
Onitza-Klugman y Kirill Efimov
contaron cómo se podrían ex-
plotar vulnerabilidades en en-
tornos de desarrollo integrado
(IDE) para perpetrar ataques
no solo a una organización,
sino a toda su cadena de su-
ministro.
Desde Estados Unidos, Valen-
tina Palmiotti brindó su charla
llamada “Kernel Pwning with
eBPF: a Love Story”, donde
comenta lo popular que se ha
vuelto eBPF entre los desarro-
lladores, una tecnología que
permite extender las capacida-
des del kernel de Linux de for-
ma fácil y segura sin necesidad
de escribir código; así como
vulnerabilidades en esta herra-
mienta que podrían permitir la
ejecución de código malicioso
por parte de un atacante.
Para cerrar, Salvador Mendoza
reveló las claves de “Pinata”
o “PIN Automatic Try Attack”,
un método que podría permitir
dar con el número PIN de una
tarjeta mediante técnicas de
fuerza bruta.
Una historia de amor: eBPF,
la herramienta preferida de
los desarrolladores para hac-
kear de forma fácil el Kernel
En informática, un núcleo o
Kernel es un software que
constituye una parte funda-
mental del sistema operativo.
Debido a su importancia, es
frecuente que los atacantes
desarrollen mecanismos para
comprometer este componen-
te y así afectar al sistema por
completo. Para trabajar con
el kernel, los desarrolladores
utilizan distintas herramientas;
una de las más populares ac-
tualmente es eBPF -Extended
Berkeley Packet Filter-, un filtro
de paquetes de Berkeley que
permite que los programas se
ejecuten sin tener que cambiar
el código fuente de Kernel o
agregar módulos adicionales.
Ataque Pinata: ¿cómo con-
seguir el pin de una tarjeta
de contacto EMV?
La utilización de tarjetas de
contacto EMV bancarias para
realizar transacciones es muy
común en muchos países. Su
proceso es simple: autentica-
ción (cuando se ingresa y re-
EVENTOS 53
conoce la tarjeta), verificación
de la transacción (por medio
de firma, pin) y autorización
(cuando se acepta o declina
la transacción). Allí, el factor
importante que realiza la ac-
ción es el chip de la tarjeta al
ponerse en contacto con el
lector de la terminal.
Sin embargo, tal como descu-
brió y expuso Salvador Mendo-
za en su charla en Ekoparty,
existen métodos que podrían
permitir dar con el PIN de una
tarjeta. El ataque “PINATA” (PIN
Automatic Try Attack) utiliza
técnicas de fuerza bruta para
probar miles de combinaciones
bajo las siguientes condicio-
nes:
Talleres
¿Cuántas vidas le quedan a un
hacker? Cuando evitar la cárcel
no es un juego
La criminalización de la acti-
vidad de los hackers muchas
veces está ligada a la falta de
información y de actualización
de las normativas de cada
país. Para quienes trabajan
en ciberseguridad el hecho
de denunciar inconsistencias
o sistemas vulnerados se tor-
na en ocasiones un potencial
peligro personal.
Dotar al hacktivismo de ilegali-
dad hace verosímiles las cau-
54 EVENTOS
sas que se inician alrededor de
los que se aventuran a contar
que algo no está funcionando
bien en términos de seguridad
informática. Durante la última
jornada de Ekoparty, la confe-
rencia de ciberseguridad más
importante de Latinoamérica,
algunos de los debates se cen-
traron en el insuficiente marco
legal que existe en la región y
casos de aquellos que fueron
procesados por el uso de le-
gislación obsoleta.
El taller de Avoiding Jail (evi-
tando la cárcel) empezó en
2020. “Buscamos concienti-
zar sobre la informalidad de
actividades de seguridad no
autorizadas, y dar a conocer
sus límites legales”, comenta
Marcelo Temperini, Abogado
especializado en cibercrimen
y director de la propuesta.
En Argentina existe una ley de
delitos informáticos, del año
2008 (Ley Nº 26.388), que, si
bien vino a realizar un ajuste
necesario desde el punto de
vista social, se considera que,
en la actualidad, parte de esa
normativa termina afectando el
desarrollo de los investigado-
res de infosec. “Puntualmen-
te, desde Ekoparty se ha pro-
puesto desde el año pasado,
una modificación al art. 153
bis, que pretende agregar una
excepción a la pena para el
caso que el/la investigador/a
reporte una falla de buena fe y
con la intención de proteger un
interés público (por ejemplo,
los datos de los ciudadanos)”,
detalla Temperini.
“Entendemos que es importan-
te formar parte de una libertad
necesaria para poder aportar
conocimiento a la sociedad, y
que los verdaderos propieta-
rios de los sistemas sean los
que tengan consecuencias por
estar enriqueciéndose a costa
de un sistema informático inse-
guro, que termina poniendo en
riesgo información (sensible o
no) de las personas”, finaliza
Temperini.
Wardriving
Desde la Ekoparty, el mayor
encuentro de expertos en ci-
berseguridad de Latinoaméri-
ca, desarrollaron un año más
el “Wardriving”, una actividad
que tiene como objetivo hacer
una comparativa en el tiempo
para analizar la evolución de
la seguridad de las redes Wi-
Fi. A través de este desafío,
los participantes recorrieron la
ciudad en micro este jueves 4
de noviembre, buscando redes
WI-FI usando un software con
un GPS y antenas especial-
mente diseñadas. Luego, iden-
tificaron geográficamente estas
redes en un mapa y analizaron
su nivel de seguridad en base
a los protocolos que utilizan.
“Los datos demuestran que
está aumentando la seguridad
de las redes en la ciudad. Sin
embargo, este campo se actua-
liza y cambia constantemente.
Hoy en día existe un protocolo
nuevo llamado WPA3, que he-
mos visto en una sola red a lo

largo de nuestro recorrido. Si
bien esto nos demuestra que
hay bastante para evolucionar,
comparando con resultados de
años anteriores, podemos de-
cir que estamos yendo por un
buen camino”, explicó Agustín
Osorio, coordinador del War-
driving de Ekoparty.
Empresas presentes
Tuvimos la oportunidad de po-
der charlar con algunas de las
empresa presentes durante las
jornadas. Esto es lo que com-
partieron con ITware Latam.
DELL
Para Dell la Ciberseguridad es
uno de los tópicos más impor-
tantes dentro de las organiza-
ciones y una de las priorida-
des de la empresa, nada nos
detiene para ayudar a frustrar
las amenazas cibernéticas con
infraestructura y dispositivos
intrínsecamente seguros, con
detección completa de amena-
zas, capacidad de respuesta
y protección de datos.
Estuvimos mostrando nuestras
soluciones sobre Seguridad
con la complejidad tecnológica
que garantizan la protección
de los datos. Nuestro mensa-
je principal fue: Los ataques
cibernéticos nunca cesarán,
pero con Dell Technologies
puede tener la tranquilidad
de que sus datos y recursos
de TI están seguros, protegi-
dos y disponibles. Nada nos
detiene para ayudar a frustrar
las amenazas cibernéticas con
infraestructura y dispositivos
intrínsecamente seguros, de-
tección completa de amenazas
y respuesta a ellas, protección
de datos y Cyber Recovery.
Otro tema fue cómo la Resi-
liencia cibernética, como una
mirada holística, desde la pre-
vención hasta la recuperación.
Existe una incertidumbre de los
CISO, ya que cerca del 65% de
los tomadores de decisiones
de TI no confían mucho en que
sus datos/sistemas puedan re-
cuperarse por completo, adi-
cional a que las organizaciones
están administrando 10 veces
los datos en comparación con
hace 5 años, casi 15 PB en pro-
EVENTOS 55
medio ahora y más del 60% de
las organizaciones han experi-
mentado una pérdida de datos
debido a una vulnerabilidad
explotada.
STRIKE
Santiago Hernández, Cloud
Engineer
Desde Strike nos parece clave
estar presentes como Sponsors
oradores en este evento, que
es la conferencia de cibersegu-
ridad más grande de Latinoa-
mérica y reúne a los referentes
del sector de ciberseguridad
en la región. Somos una em-
presa que provee ciberseguri-
dad de alta calidad a todo tipo
de compañías, y por eso nos
pareció fundamental estar en
contacto con las compañías
más importantes de Latam en
un evento tan emblemático
como Ekoparty.
56 EVENTOS
Además, fuimos speakers del
Sponsors Track y expusimos
la charla “The Bugs Kitchen”,
donde analizamos cómo fun-
ciona el mundo del pentesting
por dentro, los bugs más co-
munes con los que se encuen-
tran en sus actividades y las
técnicas más creativas que se
pueden utilizar para evitarlos.
Por último, contamos con un
Stand con juegos, demos en
vivo y premios.
Sin dudas, Ekoparty es un
evento donde se explora la im-
portancia de la ciberseguridad.
Desde Strike, fue fundamental
poder transmitir la relevancia
de contar con seguridad de
calidad desde el primer día,
sin importar la industria o ta-
maño de la empresa. En ese
aspecto, la CISOs Summit y el
Sponsors Track fueron piezas
claves para transmitirles a los
asistentes cómo nuestros Stri-
kers (hackers éticos) trabajan
y encuentran vulnerabilidades
de formas creativas, tanto en
startups como en compañías
de gran escala. Fue muy im-
portante que nos hayan es-
cuchado y haber conocido a
los asistentes, y estamos muy
agradecidos por toda la ex-
periencia.
CloudHesive
Soy Axel Bria, nosotros brinda-
mos consultoría a compañías
para todo lo que es migra-
ción de cargas de trabajo a
la nube, consultoría y solucio-
nes de AWS específicamente,
y estamos acá porque esta-
mos incursionando en lo que
tiene que ver con seguridad
informática, ampliando nuestro
stock de productos y también
reforzando nuestro abanico de
servicios.
Trabajamos en base a servicios
gerenciados de seguridad, y
estamos apuntando a mejorar
más sobre este tipo de tareas.
Del evento esperamos poder
difundirlo que hacemos en
CloudHesive, poder conocer
tecnología de vanguardia, lo
que se está haciendo en el
mercado, estar al tanto de todo
lo que se vaya hablando en las
conferencias y poder justamen-
te también acercarnos a las
personas que trabajan de esto,
para que sepan que hacemos,
y que con todo gusto puedan
sumarse a nuestro equipo.
Fortinet y Consulting Services
Rosa Perín, marketing manager
Consulting Services
Hoy en día estamos presentes
en el Centro de Convenciones,
acompañando a Fortinet. No-
sotros de nuestro lado somos
Consulting Services, uno de los
principales partners de Forti-
net, que es una de las princi-
pales marcas mundiales a nivel
global en ciberseguridad.
Fortinet principalmente está
abocado sí a empresas, pero
justamente las empresas es-

tán formadas por personas,
entonces tratamos de que por
lo menos todas las personas
que asistan puedan conocer,
sobre todo desde la vocación
laboral, que puedan saber que
pueden contar con capacita-
ciones laborales, que pueden
certificarse, pueden tener un
montón de cosas que se lle-
van ellos mismos en cuanto a
conocimiento técnico que hoy
en día en el mercado es lo más
importante, y desde ese lado
Fortinet acompaña a cada per-
sonal de cada empresa para
que pueda generar un conoci-
miento y tener certificaciones
que son fundamentales para
ingresar al mercado laboral.
Banco Galicia
Banco Galicia fue parte de la
conferencia de ciberseguridad
con un enfoque especial en
el metaverso; permitiendo ex-
plorar las nuevas aplicaciones
de las tecnologías inmersivas
en la prestación de servicios
bancarios.
El banco visualizó al metaverso
como un elemento clave en el
futuro de la banca; sobre todo
en las áreas de atención y fide-
lización de los clientes.
Pedro Adamovic, chief infor-
mation security officer (CISO)
de Banco Galicia, dijo “Traji-
mos una experiencia inmersiva
donde podés pasar un rato en
otro ámbito, recorrer dos ha-
bitaciones e interactuar con
sus objetos. Con esto quere-
mos mostrar lo que se viene, la
posibilidad de que desde una
casa hasta un banco existan
en una vida paralela”.
Acerca de esta meta futura,
Banco Galicia reconoció que
el mayor obstáculo en el uso
de esta tecnología es su propia
novedad, encontrándose de
momento, en una especie de
estado embrionario. Logran-
do superar esto, el metaverso
tendría posibilidades ilimitadas
para la apertura y ejecución
de sucursales y transacciones
tecnológicas sin ningún tipo
de frontera más que el mismo
metaverso.
Ekoparty: reivindicar al ta-
lento local
Durante las jornadas vividas tu-
EVENTOS 57
vimos la oportunidad de char-
lar con Leonardo Pigñer, CEO
de Ekoparty y uno de los fun-
dadores del evento también.
“Bueno, la Eko vos sabes que
tiene 18 años de historia y un
poco respondiendo a tu pre-
gunta por qué hay tantos cam-
bios en la Eko. En el 2019, que
fue la última eco presidencial,
que daba para mucho más,
pero no podíamos realizar o
materializar todo lo que quería-
mos. Porque nos faltaba tiem-
po. Siempre fue un proyecto
colaborativo donde el tiempo
que te queda es el que utilizas
para el evento, es un esfuerzo
de la Comunidad. Pero noso-
tros sentíamos que se podía
hacer mucho más”, comenta
Ya en 2020, los primeros meses
como que hicieron un cambio
y crearon una organización al-
rededor de Ekoparty, que se
58 EVENTOS
dedicara solamente a orga-
nizar la conferencia. Pigñer
comenzó ahí a trabajar para
ponerle foco solamente a esto,
y a los pocos meses les agarró
la pandemia. Pero fue una gran
oportunidad para reinventar
la Ekoparty, como les pasó a
todos.
“Y nos pusimos a repensar el
evento, qué podíamos hacer
ya que no teníamos un evento
grande, presencial. Hicimos
virtual durante la pandemia,
y fue muy bien, fue tremendo,
y también nos permitió hacer
un montón de cosas más, y
fuimos trabajando mucho en
eso. Y la verdad que nosotros
en la pandemia no paramos
ni un solo segundo y desde
la Comunidad se generaron
muchísimas cosas, y se sumó
mucha gente a la Comunidad
de Ciberseguridad, por el es-
fuerzo que todos veníamos ha-
ciendo y también por cosas
que pasaba, por el aumento
de los ciberataques y el ci-
bercrimen”, sostiene Pigñer.
Y es natural ahora que ya vol-
vió la presencialidad con un
evento más grande, porque
se sumó más gente y quieren
darle lugar a todos. Cuando
arrancaron los fundadores de
18 años atrás no había una
Ekoparty, no había nadie que
pudiera compartir conocimien-
to. Era difícil, y el evento nació
por eso, nació para compartir,
porque hacía falta un espacio
para aprender y compartir. Ha-
bía espacio para empresas
que les hablaban a empresas,
pero no para el que después
Leonardo Pigñer, CEO de Ekoparty
terminaría trabajando en ellas.
“Para el que tenía esa pasión
por la tecnología, por el cono-
cimiento, no había un espa-
cio para aprender, todo era
más comercial, y queremos
seguir manteniendo ese es-
píritu, haciendo ese esfuerzo
para incluir y dar todas las
oportunidades a los que están
comenzando, porque fueron
las que no tuvimos nosotros
cuando arrancamos hace 20
años atrás”, indica el directivo.
Y por eso están contentos que
se sume tanta gente joven, y
trabajan hasta con escuelas
secundarias técnicas, que
empiezan a palpar lo que es
trabajar en equipo, trabajar
con otra gente del exterior.
“Recién preguntaba en el au-

ditorio ¿para quiénes era su
primera Eko?, y la mitad levan-
tó la mano, eso es impactante.
Ellos son el futuro de todo lo
que estamos haciendo y van
a terminar adueñándose de la
Eko y dándole formas que to-
davía no imaginamos”, agrega.
“Cuando arranqué mi sueño
era conseguir trabajo en ci-
berseguridad. Ahora vienen
los chicos acá y tienen a em-
presas de todas partes del
mundo contratando, buscando
talento. Se hacen amigos que
también te facilitan el acceso
a conseguir un empleo. Eso
de seguir generando oportu-
nidades está buenísimo, y por
eso fuimos también creando la
Ekoparty Academy, la Acade-
mia de Hackers, por donde ya
pasaron 600 chicos”, cuenta
Pigñer.
Este año nació Eko Jobs, que
lo que hace es conectar a las
empresas con los chicos que
cruzaron, la gente que fue a
compartir, para que puedan
conseguir su primer traba-
jo, darles una mano en ese
sentido, porque el ambiente
ya necesitaba una profesio-
nalización, pero estaba muy
disperso.
Había un déficit enorme a nivel
mundial de profesionales ya
de antes de la pandemia, y
con ella se incrementó. Pero
lo que Pigñer siempre dice
es que faltan oportunidades,
porque talento tenemos muchí-
simo en Argentina. Los bue-
nos consiguen trabajo rápido.
Una vez que te insertaste en
el mercado, puedes trabajar
para Estados Unidos para un
montón de lugares. “Lo que
tenemos que facilitarles a los
que están comenzando. Que
se metan y después ya está,
hacen su camino. Esa primera
oportunidad es la más difícil”.
Tuvieron 40 charlas en total, un
récord, y de altísimo nivel. De
entre ellas Pigñer rescataría la
charla de Juan Guerrero sobre
cibercrimen en Latinoamérica,
más que nada porque es un
tema del que no se conoce y
no se habla acá en la región
y no hay muy pocos estudios
regionales. Como no hay un
interés económico atrás de
los estudios, pocos se dan a
conocer, y se necesita bac-
kground local. Otra charla
que le gustó mucho fue la de
Sebastián García y Verónica
Valero, que son dos argenti-
nos que van a estar en Praga
haciendo una investigación
en una universidad, y van a
contar los riesgos de privaci-
dad en las redes de telefonía.
Que uno piensa en WhatsA-
pp, Facebook, y otras redes
sociales, pero telefonía ya es
vieja, y como toda tecnología
tiene sus falencias, y hay que
EVENTOS 59
tener cuidado para no exponer
nuestra privacidad.
“Y otra charla que señalaría
es la de Dan Borgogno y la
de Iliana Barrionuevo, que
son dos investigadores cor-
dobeses. Dan famoso acá en
la Eko porque ganó dos veces
el premio a la mejor charla, por
la charla de cómo hackear la
SUBE, cómo hackear el DNI
Digital al año siguiente, y este
año va a contar cómo armar,
clonar un sistema de pagos
con tu teléfono celular”, añade
el directivo.
Pigñer finaliza con un mensaje
a la comunidad: “Me parece
que el esfuerzo de generar
nuevo talento es una de las
cosas más importantes de
la Eko. Lo que creo es que
para una tener una sociedad
más segura necesitamos más
hackers, porque es un poco el
luchador de la libertad, el que
expone los riesgos de privaci-
dad, que va a cuidar tus datos,
y a veces las empresas y los
países no lo hacen. Para los
que estamos en la industria
es importante entender que
es un esfuerzo de todos, que
Ekoparty lo estamos haciendo,
necesitamos que nos acompa-
ñen, y todos los que quieran
participar desde la comuni-
dad, desde las empresas a
venir a colaborar acá están las
puertas abiertas para hacerlo”.
60 CAREER DEVELOPMENT

Desafío: La fuerza de trabajo en nidades de crecimiento o promoción.

No poder encontrar talento calificado
fue en realidad el problema de menor
ciberseguridad impacto según este análisis.
Aunque casi todas las iniciativas tuvie-
Persiste una necesidad crítica de profesionales de ciberseguridad en medio de un ron un impacto positivo en la dotación
de personal, descubrimos que las
año de evolución cultural y laboral. Les compartimos un resumen del extenso estudio
organizaciones con iniciativas para
realizado por (ISC)2
capacitar al talento interno (asignacio-
nes de trabajo rotativas, programas
2022 es un año altamente formativo Abordando la brecha en la fuerza de tutoría y alentar a los empleados
para la profesión de ciberseguridad, y laboral fuera de la seguridad cibernética a
continúa cambiando y evolucionando Algunos factores ciertamente están unirse al campo) tenían menos pro-
con el mundo que la rodea. fuera del control de una organización: babilidades de tener escasez.
Estimamos el tamaño de la fuerza la- la demanda de empleados de segu-
boral de seguridad cibernética global ridad cibernética aumentará a medi- La automatización también se está
en 4,7 millones de personas, el más da que el panorama de amenazas volviendo más frecuente en la ciber-
alto que jamás hayamos registrado. Sin continúe creciendo en complejidad seguridad: el 57 % la ha adoptado hoy
embargo, según nuestra investigación, y la oferta no siempre pueda mante- y un 26 % adicional planea adoptarla
el campo de la ciberseguridad todavía nerse al día. en el futuro, y aunque no es probable
necesita urgentemente más profesio- Este análisis sugiere que los proble- que reemplace a los trabajadores de
nales. Para proteger adecuadamente mas con un impacto más negativo ciberseguridad en ningún momento
a las empresas interindustriales de son aquellos que las organizaciones en el futuro previsible, la automatiza-
amenazas modernas cada vez más pueden controlar: no priorizar la ciber- ción de procesos que son coherentes
complejas, las organizaciones están seguridad, no capacitar suficiente- y repetibles libera a los trabajadores
tratando de llenar el vacío mundial de mente al personal y no ofrecer oportu- para que se concentren en tareas de
3,4 millones de trabajadores de ciber-
seguridad.
Si bien la fuerza laboral de seguridad
cibernética está creciendo rápidamen-
te, la demanda está creciendo aún
más rápido. El análisis de la brecha de
la fuerza laboral de seguridad ciberné-
tica de (ISC)2 reveló que, a pesar de
agregar más de 464 000 trabajadores
el año pasado, la brecha de la fuerza
laboral de seguridad cibernética ha
crecido más del doble que la fuerza
laboral con un aumento interanual del
26,2 %, por lo que es una profesión
que necesita más gente.

mayor nivel.
El estudio encuentra que los gerentes
de contratación de seguridad ciber-
nética que tenían una relación laboral
sólida con su departamento de recur-
sos humanos tenían muchas menos
probabilidades de tener una escasez
significativa de personal en sus orga-
nizaciones. Sin embargo, solo el 52
% de los encuestados dijo que los
gerentes de contratación tienen una
relación laboral sólida con RR. HH., y el
40 % de los gerentes de contratación
dijeron que el departamento de RR.
Qué significa esto para las orga-
nizaciones
Combatir la escasez de personal no es
una tarea fácil, pero los hallazgos de
nuestra investigación arrojan algunos
puntos clave donde las organizaciones
pueden enfocarse: Comprenda cuál
es su brecha; Hacer hincapié en la
formación interna; los desafíos más
asociados con la gran escasez de
personal fueron la falta de énfasis en
la seguridad cibernética en toda la or-
ganización, la capacitación insuficiente
del personal y la falta de vías para el
crecimiento; Trabaje con RRHH, no
contra ellos cuando contrate para
ciberseguridad. Aquellos que no lo
hicieron tenían más de 2,5 veces más
probabilidades de tener una escasez
significativa de personal en compara-
ción con aquellos que han construido
una relación sólida con RRHH.
Cultura del equipo de cibersegu-
ridad
La cultura de la empresa define en
gran medida la experiencia de los em-
pleados. Da forma al entorno social en
el que operan los empleados afecta la
forma en que se comunican y colabo-
ran con colegas dentro de su propio
equipo y en toda la organización. Y
puede influir en qué tan satisfechos y
apoyados se sienten por su empleador
en general, lo que en última instancia
influye en las respuestas a la pregunta
“¿debo quedarme o debo irme?”
Entender la experiencia del emplea-
do de seguridad
El estudio encuentra que, para mu-
chos, la satisfacción laboral sigue sien-
do alta. Sin embargo, la satisfacción de
los encuestados fue menor con sus
equipos específicos (68 %), departa-
mentos (62 %) y organización general
(60 %). La infelicidad tendía a provenir
de la cultura y los problemas del lugar
de trabajo, más que del propio trabajo
de ciberseguridad. Las siguientes tres
razones para dejar un trabajo están to-
das relacionadas con las condiciones
del lugar de trabajo: cultura negativa,
CAREER DEVELOPMENT 61
agotamiento y equilibrio deficiente en-
tre el trabajo y la vida personal.
Que influye en la experiencia del
usuario
¿Cuáles son los factores más impac-
tantes que impulsan tanto las puntua-
ciones altas como las bajas?
- No invitar y valorar los aportes de los
trabajadores contribuye significativa-
mente a una EX deficiente
Se preguntó a los encuestados qué
problemas tenían un impacto negativo
en su satisfacción laboral. La respuesta
más común fue tener “demasiados
correos electrónicos/Tareas”. Esto no
es sorprendente, considerando la pre-
valencia de la escasez de personal.
Sin embargo, el exceso de trabajo de
los empleados, ya sea que esté rela-
cionado con una dotación de personal
inadecuada o no, no afectó negativa-
mente los puntajes EX tanto como una
variedad de problemas culturales y
organizacionales.
- Las organizaciones que hacen que
los empleados se sientan escuchados
62 CAREER DEVELOPMENT
tienen personal más feliz
Por otro lado, las iniciativas más co-
munes que las organizaciones han
implementado para mejorar el EX de
los empleados se centran en la flexibi-
lidad laboral, incluido el trabajo remoto.
Sin embargo, tales programas, aunque
ahora muchos trabajadores los consi-
deran adaptaciones esenciales, no son
los más impactantes.
El trabajo remoto duplica la
adopción
El trabajo remoto tiene un impacto sus-
tancial en la experiencia de los emplea-
dos. Las calificaciones EX promedio de
los encuestados que trabajan comple-
tamente a distancia (54,4) y el trabajo
flexible (53,4) son más altas que las
que se requieren para estar a tiempo
completo en la oficina (48,0). Un 59%
dijo que siempre prefiere trabajar de
forma remota. Más de la mitad consi-
deraría cambiar de trabajo si ya no se
les permitiera trabajar de forma remota.
El 62 % de los profesionales de ciber-
seguridad que no son gerentes dicen
que son más productivos cuando tra-
bajan desde casa; esto se compara
con solo el 35% de los gerentes que
dijeron que el personal remoto no es
tan productivo como el personal en
el sitio.
Qué significa esto para las or-
ganizaciones
La cultura del equipo de ciberseguri-
dad es crucial para reducir la rotación
de empleados y aumentar la produc-
tividad. Nuestro estudio encontró que
al personal de seguridad cibernética
generalmente le encanta el trabajo de
seguridad cibernética, pero eso no
significa que siempre estén contentos
en su organización o equipo en parti-
cular. Los empleados insatisfechos son
menos productivos y es más probable
que se vayan, lo que les cuesta a las
organizaciones tiempo y recursos va-
liosos para reemplazarlos.
Además de los problemas de reten-
ción, el 68 % de los empleados Low
EX dicen que la cultura del lugar de
trabajo afecta su efectividad para res-
ponder a los incidentes de seguridad
cibernética. Los hallazgos clave para
las organizaciones que buscan prevenir
problemas con la experiencia de los
empleados son los siguientes: Valore
la voz de su empleado; Las iniciativas
EX dan sus frutos; Las opciones de
trabajo flexibles se han convertido en
la norma; Prepárese para una fuerza
laboral cambiante.
Trayectorias profesionales
Están surgiendo nuevas tendencias
y perspectivas, es decir, la evolución
está motivando a las personas ya las
organizaciones a valorar la educación,
las certificaciones y las habilidades
prácticas de manera diferente a como
lo hacían en el pasado.
Para los trabajadores más jóvenes,
más caminos conducen a la ciberse-
guridad. Casi la mitad de los encues-
tados menores de 30 años pasan a
la ciberseguridad desde una carrera
fuera de TI. Es más probable que los
profesionales más jóvenes usen su

educación en seguridad cibernética
o un campo relacionado (23 %) como
un trampolín para ingresar a la profe-
sión o pasar de un campo totalmente
diferente (13 %) fuera del panorama de
TI o seguridad cibernética.
Algunos incluso son reclutados des-
pués de su propia educación en ci-
berseguridad (12%). A medida que los
encuestados se acercan a las edades
de 50 a 54 años, observamos un pico
en la cantidad de empleados que han
utilizado una carrera en TI como su
camino hacia el campo (74 %), lo que
demuestra que esta práctica muy po-
pular ya no es la fuente principal para
contratar a personas más jóvenes.
talento en ciberseguridad
Para los nuevos empleados, la expe-
riencia y las habilidades prácticas son
cada vez más importantes. De 2021
a 2022, las habilidades prácticas y
la experiencia se han convertido en
calificaciones más importantes para
quienes están considerando trabajar
en la profesión de ciberseguridad. En
particular, se está poniendo más én-
fasis en la experiencia laboral de TI
relevante (29% a 35%), habilidades
sólidas para resolver problemas (38%
a 44%) y experiencia laboral relevante
en ciberseguridad (31% a 35%).
La importancia omnipresente de las
certificaciones recibió menos prioridad
este año (29 % frente a 32 %), al igual
que las calificaciones o capacitaciones
en ciberseguridad (17 % frente a 23
%), los títulos de posgrado (10 % frente
a 13 %) y los títulos universitarios (10
% vs 14%)
El doble de personas ve la promoción
interna como su próximo hito profesio-
nal vs cambio de trabajo. A pesar de
la alta rotación de ciberseguridad
en 2022, los encuestados indica-
ron que generalmente preferirían la
promoción interna (30 %) a conse-
guir un nuevo trabajo (15 %); esto se
compara con mudarse a un nuevo
campo dentro de la ciberseguridad
(12 %), convertirse en un contratista
independiente (6 %) o iniciar un ne-
gocio (6 %)
Certificaciones
Las certificaciones están evolucio-
nando como un instrumento para el
crecimiento de habilidades, a diferen-
cia de una plataforma de lanzamiento
de carrera. El 96 % de los encues-
tados de nuestra muestra obtuvo al
menos un tipo de certificación. En el
pasado, la mayoría de los profesio-
nales de ciberseguridad eligieron las
certificaciones como un medio de
progresión profesional y desarrollo
profesional (53 %). El principal im-
pulsor para obtener certificaciones
en el futuro está impulsado por la ne-
cesidad de mejorar sus habilidades
(64 %) y mantenerse al día con las
tendencias de ciberseguridad (53 %).
Aquellos empleados con un año de
experiencia o menos en su organi-
zación están aún más ansiosos por
utilizar las certificaciones como un
medio para mejorar sus habilidades
(69 %) frente a aquellos que han es-
tado en sus empresas durante más
de dos años (62 %)
El 89 % de nuestros encuestados
afirmó que obtuvo al menos una
certificación independiente del pro-
veedor, por ejemplo, (ISC)2 , ISA-
CAREER DEVELOPMENT 63
CA o CompTIA, o del proveedor, por
ejemplo, Microsoft, Amazon, CISCO.
El 50 % de los encuestados obtuvo
una certificación de proveedor neutral
en los últimos tres años frente al 52 %
que obtuvo una de un proveedor en
el mismo período de tiempo.
Cómo impacta esto en las orga-
nizaciones
La fuerza laboral está cambiando de
abajo hacia arriba, y hemos obser-
vado que la próxima generación de
empleados de seguridad cibernética
está reemplazando las expectativas
tradicionales con nuevos caminos y
conjuntos de habilidades obtenidos
de una amplia gama de antecedentes
educativos, experiencias y certifica-
ciones.
Reclute para una gama más diversa
de habilidades y perspectivas. Ampliar
los esfuerzos de contratación de su
equipo más allá de aquellos con expe-
riencia en TI es una oportunidad para
mejorar su estrategia de mitigación
de riesgos.
Certificaciones: utilícelas como cons-
tructores de carrera, no como barre-
ras.
Esta tendencia ya ha comenzado, con
más de la mitad de las organizaciones
ofreciendo reembolsos por certifica-
ciones de terceros y otras simplifican-
do sus requisitos en torno a certifica-
ciones específicas de proveedores;
esto representa una disminución del
55 % en 2021 al 38 % en 2022. Casi
la mitad de los empleados menores
de 30 años son ingresar a la profesión
de ciberseguridad con antecedentes
fuera de la industria de TI.
CAREER DEVELOPMENT 65
66 SECURITY ARCHITECTURE
Enfoque basado en el riesgo
para los informes de seguridad
cibernética
Un informe de BitSight
Enfoque basado en el riesgo
para los informes de seguridad
cibernética
Un informe de BitSight
No hay duda al respecto: el
panorama actual de la ciber-
seguridad está evolucionando
más rápido que nunca. Desde
la migración en curso a la nube
hasta el cambio generalizado al
trabajo remoto, hay una variedad
de factores que hacen que la
superficie de ataque de su em-
presa se expanda rápidamente,
lo que lo expone a riesgos ciber-
néticos nuevos y cambiantes, al
tiempo que hace que sea cada
vez más difícil obtener una visi-
bilidad amplia y continua en sus
activos críticos.
Al mismo tiempo, se le asigna
la tarea de cumplir con las ex-
pectativas cambiantes de su rol
con tiempo y recursos cada vez
más limitados.
La comunicación efectiva entre
los diferentes niveles de una or-
ganización de seguridad ciber-
nética, desde los profesionales
hasta los gerentes, el C-suite y
el board, puede marcar la di-
ferencia entre los sistemas se-
guros y los incidentes masivos.
Y los informes, lejos de ser un
trámite o un trabajo pesado, son
el mecanismo central de esta
comunicación.
Al adoptar un enfoque basado
en el riesgo para los informes
de seguridad cibernética, puede
evaluar el rendimiento en función
de la exposición real a las ame-
nazas cibernéticas, proporcionar
un contexto procesable, resal-
tar el valor de sus esfuerzos de
seguridad cibernética y asegu-
rarse de aprovechar al máximo
su tiempo y recursos limitados.
INFORMES VS. ALERTAS
Una distinción importante: cuan-
do nos referimos a informes, nos
referimos a recopilaciones de
datos e información recopilada
por personas, no a alertas ge-
neradas automáticamente por
herramientas de software.
Las alertas automáticas, aun-
que enormemente valiosas, no
pueden sustituirse por una co-
municación interpersonal real.
En primer lugar, simplemente
hay demasiadas alertas para
tomarlas todas en serio.
En segundo lugar, las alertas
generadas por las máquinas
son demasiado fáciles de des-
cartar sin que un ser humano
las entienda, las traduzca a un
lenguaje no técnico y las use
para abogar por un cambio pro-
cesable.
En una encuesta de Imperva,
el 53% de los encuestados in-
dicó que, entre todo el ruido,
el Centro de Operaciones de
Seguridad (SOC) de su orga-
nización ha tenido problemas
para identificar qué incidentes
de seguridad son críticos. Para
hacer las cosas más complejas,
el SOC se estira más que nun-
ca, y muchos equipos tienen
que abordar funciones adicio-
nales, como el soporte remoto,
en nuestro entorno operativo
“nuevo normal”.
En muchos casos, las alertas por
sí solas son insuficientes. Para
tomar las alertas y convertirlas
en informes procesables, los
equipos de seguridad deben
evaluar el contexto y tener ins-
trucciones sobre cómo separar
la señal del ruido.
¿QUÉ ES LA NOTIFICACIÓN
BASADA EN RIESGO?
El contenido de los informes de
ciberseguridad es muy variable

y depende de la naturaleza del
informe, su creador y su desti-
natario. Sin embargo, hay ciertos
factores que se pueden utilizar
para determinar si cualquier
informe de ciberseguridad es
efectivo:
-¿Transmite el informe informa-
ción procesable en contexto?
-¿Es el informe lo suficiente-
mente conciso para que los
hallazgos clave no queden en-
terrados?
- ¿Es el lenguaje del informe lo
suficientemente claro para que
lo entienda una audiencia no
técnica?
-¿El informe relaciona los hallaz-
gos con el riesgo cibernético?
Cuando las organizaciones ca-
recen de informes internos signi-
ficativos sobre seguridad ciber-
nética, generalmente se puede
atribuir a la falta de cumplimiento
de uno o más de los criterios
enumerados anteriormente.
Es más probable que se pasen
por alto los informes que brin-
dan números sin información o
contexto, especialmente si el
lector no tiene las habilidades o
el conocimiento para sacar con-
clusiones de los datos. Los infor-
mes que contienen demasiada
información o información que
es demasiado técnica pueden
SECURITY ARCHITECTURE 67
causar frustración, lo que lleva
a los lectores a desear tener “un
traductor de mano, como el que
usan en Star Trek”, como dijo un
alto ejecutivo.
Entre estos componentes, el
último: ¿relaciona el informe
los hallazgos con el riesgo ci-
bernético?, puede ser el más
importante. Esta pregunta cons-
tituye la base de un enfoque de
información basado en el riesgo.
Los informes de seguridad ci-
bernética basados en el riesgo,
a diferencia de los informes in-
tegrales, basados en el cumpli-
miento o basados en incidentes,
son el enfoque más adecuado
68 SECURITY ARCHITECTURE
para reducir la exposición real
de una organización a las ame-
nazas cibernéticas.
Seguir un enfoque basado en
el riesgo para los informes de
seguridad cibernética puede
ayudar a las personas y los equi-
pos en todos los niveles de una
organización a concentrarse en
los problemas más importantes
sin ser víctimas de la fatiga de
alertas y las advertencias igno-
radas.
¿Qué aspecto tienen los infor-
mes de ciberseguridad basados
en riesgos?
Hay muchas formas de practi-
car la elaboración de informes
basados en el riesgo, pero las
siguientes recomendaciones
pueden ayudar a su organiza-
ción a lograrlo.
- Coloque los elementos de ma-
yor riesgo al frente y al centro
del informe.
- Asigne una “puntuación de
riesgo” a los hallazgos o reco-
mendaciones clave.
- Ponga los hallazgos en con-
texto comparando las métricas
con el desempeño anterior, los
pares y los competidores.
- Enmarcar el riesgo en términos
comerciales para ayudar a los
ejecutivos y líderes
- Una guía práctica para la ela-
boración de informes de ciber-
seguridad basados en el riesgo
para comprender las ramifica-
ciones de los hallazgos.
PISTAS DE CONTEXTO
Las métricas presentadas en el
vacío rara vez son procesables.
¿Qué significa, por ejemplo, que
su firewall haya detenido 1.500
intrusiones este mes? ¿Es eso
mucho o poco?
Un informe de ciberseguridad
basado en el riesgo ofrece ha-
llazgos en contexto, lo que ayu-
da al destinatario a comprender
qué papel juega un número en
el panorama general de riesgos
de la organización. Este contexto
puede incluir cualquiera de los
siguientes:
Desempeño pasado: ¿Cómo
fueron estos mismos números
el mes pasado o el último tri-
mestre? ¿Estás mejorando o
empeorando con el tiempo?
Concentración de riesgos:
¿Cómo se están desempeñan-
do las diferentes unidades de
negocios y subsidiarias en su
organización?
Puntos de referencia de la in-
dustria: ¿Cómo se compara su
desempeño con el de sus pares
y competidores?
Cuantificación financiera: ¿Qué
está en juego financieramente
con su postura de riesgo actual?
Marcos de seguridad ciber-
nética: ¿Cómo se alinean sus
hallazgos con los marcos de
seguridad cibernética para su
industria, como el marco NIST
para mejorar la seguridad de la
infraestructura crítica, los con-
troles de seguridad crítica CIS,
ISO 27001 o PCI DSS?
Con el contexto apropiado, los
profesionales, gerentes, ejecu-
tivos y miembros de la Junta
pueden tomar decisiones más
seguras sobre ciberseguridad,
asignando los recursos apropia-
dos a los proyectos con mayor
probabilidad de reducir el riesgo
en toda la organización.
INFORMES BASADOS EN
RIESGOS PARA MIEMBROS
DEL BOARD
Las juntas directivas se han
involucrado cada vez más en
la supervisión de la seguridad
cibernética durante la última dé-
cada. El inicio de esta tendencia
se remonta a la filtración de da-
tos de Target en 2013, después
de la cual una firma asesora re-
comendó que se reemplazaran
siete de los diez miembros de la
junta por no supervisar adecua-
damente el riesgo cibernético
como parte de sus funciones.
Este informe marcó un cambio
importante en la política de se-
guridad cibernética corporativa,
con ejecutivos y miembros de
la Junta asumiendo un papel
mucho más práctico.
Como el eslabón superior en la
cadena de informes de seguri-
dad cibernética, las juntas tienen
la responsabilidad de crear una
cultura en la que cada eslabón
posterior, desde ejecutivos hasta

gerentes y profesionales, informe
sobre información procesable y
basada en el riesgo cibernético
real.
-Riesgo frente a cumplimiento
Para los miembros de la Jun-
ta, es imperativo comprender
la diferencia entre la seguridad
cibernética en lo que respecta
al cumplimiento y la seguridad
cibernética en lo que respecta
al riesgo cibernético real.
Las juntas, al ser responsables
ante los reguladores, tienen mo-
tivos para preocuparse por el
cumplimiento de la seguridad
cibernética. Sin embargo, a
menudo hay una gran diferen-
cia entre el cumplimiento y la
verdadera seguridad. Lograr el
cumplimiento y alcanzar un nivel
aceptable de riesgo son objeti-
vos discretos y deben tratarse
como tales.
Con este fin, los directores de-
ben asegurarse de que los in-
formes de los CISO y los CIO al
Directorio no se centren exclu-
sivamente en el cumplimiento
o el riesgo, sino que sigan el
progreso hacia los objetivos en
cada una de esas áreas.
-Creación de una cultura de
transparencia
Para operar de manera efectiva,
las juntas necesitan una imagen
completa del riesgo cibernético
de su organización, lo que a su
vez requiere que los miembros
de la junta puedan confiar en
la información que proviene de
sus ejecutivos de seguridad ci-
bernética.
Construir esta confianza requie-
re que las juntas se concentren
en crear una cultura en la que
nadie tenga miedo de decir la
verdad sobre los problemas de
seguridad cibernética, incluso si
el riesgo son objetivos discretos,
y esa verdad es potencialmente
dañina, como un error humano
que permitió que una amenaza
que debía ser tratada como tal
ingresara a una red o la falla de
un individuo para parchear un
determinado programa.
Si bien las juntas normalmen-
te no tienen el tiempo o la ex-
periencia para verificar puntos
de datos individuales, pueden
aprovechar las herramientas de
SECURITY ARCHITECTURE 69
monitoreo continuo, como califi-
caciones de seguridad, para ver
de un vistazo si la información
que proviene de sus ejecutivos
refleja el estado real y en tiempo
real del riesgo cibernético en
toda la organización.
- Preguntas que las juntas de-
berían estar haciendo Sobre
Ciberseguridad
• ¿Cuál es el estado actual del
riesgo cibernético en la organi-
zación?
• ¿Cuáles son las mayores bre-
chas en nuestros programas de
ciberseguridad?
• ¿Qué estamos haciendo para
cerrar estas brechas y mitigar
el riesgo cibernético?
• ¿Estamos asignando recursos
en función del nivel de riesgo?
• ¿Somos conscientes de las
amenazas importantes que afec-
70 SECURITY ARCHITECTURE
tan a nuestra industria?
• ¿Nuestra estrategia de ciber-
seguridad está alineada con
nuestra estrategia comercial?
• Si ocurre un ataque ciberné-
tico o una violación de datos,
¿estamos preparados para res-
ponder?
• ¿Están claramente articuladas
las responsabilidades del perso-
nal de ciberseguridad?
INFORMES BASADOS EN
RIESGO PARA EJECUTIVOS
“Las juntas y los comités están
repletos de informes, que inclu-
yen docenas de indicadores cla-
ve de rendimiento e indicadores
clave de riesgo (KRI). Sin embar-
go, los informes a menudo están
mal estructurados, con niveles
de detalle inconsistentes y, por
lo general, demasiado altos. Las
investigaciones indican que la
mayoría de los ejecutivos de TI
y seguridad usan hojas de cál-
culo compiladas manualmente
para informar los datos de ries-
go cibernético a sus directorios;
Como era de esperar, muchos
miembros de la junta están insa-
tisfechos con los informes que
reciben”, Medición del Riesgo
Cibernético y la Ciberseguridad
Holística Enfoque, McKinsey,
2018
En sus informes a otros ejecuti-
vos y juntas directivas, los eje-
cutivos de seguridad cibernética
deben hacer el difícil trabajo de
poner los conceptos técnicos
en contexto para las personas
no técnicas. Los informes basa-
dos en riesgos proporcionan un
marco para lograr esto.
Para responder a la pregunta
“¿qué significa esto?”, no es
necesario que los ejecutivos
eduquen a sus superiores so-
bre la tecnología que sustenta
un determinado KPI. En cambio,
deben relacionar el hallazgo con
el riesgo cibernético. Por ejem-
plo: ¿Qué significa que tenemos
un número de puertos abiertos
superior a la media? Significa
que tenemos un 9 % más de
riesgo de sufrir una filtración de
datos que la empresa promedio
de nuestra industria.
- Informes estratégicos
Además de agregar contexto
y hacer que los informes sean
menos técnicos, los ejecutivos
de seguridad y riesgo pueden
realizar presentaciones más
atractivas para la junta directiva
y otros ejecutivos al incluir un
componente estratégico.
En lugar de informar estricta-
mente sobre la postura de se-
guridad cibernética actual, los
ejecutivos pueden aumentar el
impacto de los informes al di-
señar una hoja de ruta de su
visión estratégica. Al incluir sus
objetivos a corto, mediano y
largo plazo para la seguridad
cibernética de la organización y
poner las métricas de seguridad
cibernética en el contexto de
estos objetivos, los CIO y CISO
pueden demostrar la efectividad
de ciertas iniciativas.
Además, los ejecutivos de segu-
ridad y riesgo deben tratar de
poner sus informes en el con-
texto de la estrategia comercial
general. La gestión de riesgos
cibernéticos siempre debe es-
tar alineada con el marco más
amplio de gestión de riesgos
empresariales de una organiza-
ción. Los directores financieros,
los directores ejecutivos y los
miembros de la junta tomarán la
información de un informe de se-
guridad cibernética y tratarán de
comprender cómo afectará sus
objetivos más amplios; los eje-
cutivos pueden ayudar en este
proceso llegando a sus propias
conclusiones e incluyéndolas en
sus informes.
- Obtener los recursos adecua-
dos
Una de las funciones principales
de los informes de seguridad ci-
bernética en este nivel es ayudar
a los superiores con sus decisio-
nes presupuestarias y de asig-
nación de recursos. Por ejem-
plo, si un CISO está solicitando
una nueva solución tecnológica
para mejorar la ciberseguridad
general, una buena Junta con-
siderará los informes anteriores
como parte de su proceso de
diligencia debida.
Un problema común que surge

en este proceso es la incapaci-
dad por parte del departamento
de ciberseguridad para probar la
efectividad de una solución de-
terminada, ya sea un programa
de software, una nueva contra-
tación o alguna otra iniciativa.
Históricamente, esto ha sido di-
fícil; después de todo, aparte de
algunos KPI complejos que una
junta puede comprender o no,
la única medida visible de la efi-
cacia de una solución de ciber-
seguridad es si la organización
es víctima de un ciberataque o
no. La información basada en
riesgos tiene el poder de revo-
lucionar este proceso.
Usando una solución como las
calificaciones de seguridad, los
ejecutivos pueden rastrear los
cambios en el riesgo ciberné-
tico real contra los plazos de
ciertas implementaciones de
soluciones.
Por ejemplo, si su organización
invirtió mucho en capacitación
de concientización sobre seguri-
dad y su calificación de malware
disminuyó significativamente,
esa correlación se puede usar
para solicitarle a la Junta una
mayor inversión. Este tipo de
contexto y visibilidad es más
importante que nunca ya que,
según los datos de BitSight, has-
ta el 85 % de la fuerza laboral
en algunas industrias cambió
al trabajo remoto en marzo de
2020.
Si bien este nuevo entorno ope-
rativo abre la red corporativa a
nuevas vulnerabilidades, tam-
bién requiere una variedad de
nuevos tipos de inversiones para
permitir que los equipos trabajen
de manera segura y eficiente
en casa.
- KPI que los ejecutivos pueden
usar en sus informes
Los directores ejecutivos y los
miembros de la junta a menu-
do se quejan de la naturaleza
altamente técnica de los KPI de
ciberseguridad. Para combatir
esto, los ejecutivos pueden usar
KPI como los siguientes, que son
fáciles de entender o contienen
un contexto integrado:
• Clasificación de seguridad
• Calificación promedio de se-
guridad del proveedor a lo largo
del tiempo
• Calificación de seguridad pro-
medio de la industria
• Intentos de intrusión dentro
de un período dado
• Cadencia de parches
• Tiempo medio de detección
• Tiempo medio para resolver
• Frecuencia de respaldo
• Tasa de éxito de la prueba
de phishing
• Puntuaciones de capacita-
ción en concientización sobre
seguridad
INFORMES BASADOS EN
RIESGOS PARA GERENTES
Los administradores de seguri-
SECURITY ARCHITECTURE 71
dad y riesgos tendrán responsa-
bilidades diferentes según sus
funciones específicas y el tama-
ño y la estructura de sus orga-
nizaciones. Sin embargo, todos
comparten una responsabilidad
crítica: sintetizar la información
y reportarla a la alta gerencia y
ejecutivos.
Los gerentes juegan un papel
único. Son responsables de
hacer operativas las decisio-
nes tomadas por el liderazgo y
asignar recursos para ejecutar
la estrategia. En muchas orga-
nizaciones, los gerentes pueden
experimentar una desconexión
entre lo que creen que su equipo
necesita y lo que se le ha dado
a su equipo para trabajar.
Los informes basados en riesgos
pueden resolver este problema.
Si un gerente puede compren-
der el impacto comercial que
ciertos problemas tienen en el
riesgo cibernético general de su
organización y comunicar este
impacto de manera efectiva,
puede alinear más estrecha-
mente la comprensión de sus
superiores sobre la seguridad
cibernética de la organización
con la suya propia.
- Escoger y elegir
Un administrador de ciberseguri-
dad podría tener acceso a miles
de puntos de datos. Lo que elijan
para informar puede tener un im-
pacto en el significado que pue-
72 SECURITY ARCHITECTURE
den transmitir a la cadena. Elija
pasar demasiados o muy pocos
datos (o datos sin contexto), y la
falta de una comunicación clara
podría conducir a un incidente
de seguridad importante.
Para los gerentes, gran parte del
trabajo de los informes basados
en riesgos se reduce a elegir los
indicadores de desempeño más
relevantes. Este no es un llama-
do para seleccionar los datos
para cumplir con una agenda,
sino más bien para limitar la
cantidad de indicadores totales
informados para evitar inundar a
los destinatarios y relacionar los
hallazgos con el contexto más
amplio de las metas y estrate-
gias de toda la empresa y KPI.
¿Cómo debe un gerente decidir
qué indicadores incluir en sus
informes?: Usando una meto-
dología de informes basada en
el riesgo, los indicadores que
se correlacionan más estrecha-
mente con el riesgo cibernético
real deben tener prioridad.
- Informes continuos mediante
paneles
Los informes seleccionados son
extremadamente importantes
para garantizar que la informa-
ción importante se comunique
a las personas adecuadas. Sin
embargo, la generación de in-
formes es solo una pequeña
entrada en una larga lista de
responsabilidades de los ad-
ministradores de seguridad y
riesgos. Muchos gerentes sim-
plemente estarán demasiado
ocupados para compilar infor-
mes detallados con la frecuencia
que les gustaría.
Ingresa al tablero. Muchas so-
luciones nuevas de ciberseguri-
dad incluyen integraciones que
les permiten exportar continua-
mente ciertos datos al software
del tablero. Los gerentes ahora
tienen la opción de seleccionar
un tablero que la alta dirección
y los ejecutivos pueden consul-
tar siempre que deseen obtener
una imagen rápida de la ciber-
seguridad o el riesgo. Al crear
un tablero, es importante que
los gerentes recuerden la impor-
tancia del contexto: los tableros
deben estar alineados con los
KRI y los KPI para maximizar el
impacto.
Equipados con esta herramienta
de referencia continua, los ejecu-
tivos pueden tomar decisiones
que consideren más de cerca
las condiciones reales en el de-
partamento de ciberseguridad.
- Tablero de Ciberseguridad
Calificación de seguridad: estas
medidas sintetizadas del des-
empeño de ciberseguridad de
una organización se actualizan
continuamente.
Se ha demostrado de forma in-
dependiente que algunas cla-
sificaciones de seguridad se
correlacionan con el riesgo de
violación de datos. Incluya un
promedio de la industria o una
meta preestablecida para agre-
gar contexto a esta calificación.
Grados de vector de riesgo:
algunas plataformas de clasi-
ficación de seguridad brindan

a los usuarios la capacidad de
ver grados en vectores de riesgo
específicos, como servidores de
malware o cadencia de parches.
Estos se pueden elegir en fun-
ción de su relevancia para la fun-
ción específica que se informa.
Incidentes recientes: una fuen-
te de datos de un SIEM puede
mostrar a los ejecutivos cuántas
y qué tipos de amenazas se es-
tán detectando en los sistemas
de una organización.
Inteligencia de amenazas: ¿Qué
tipos de malware se han en-
contrado en los sistemas de la
organización? ¿Qué amenazas
están afectando a la industria
en general?
Datos de capacitación de con-
cientización sobre seguridad: el
riesgo relacionado con el usuario
es una de las áreas de riesgo
menos abordadas en muchas
organizaciones. Incluir datos que
ilustren la efectividad de la capa-
citación de concientización (ta-
sas de finalización, puntajes de
pruebas, resultados de pruebas
de phishing, etc.) puede ayudar
a ilustrar su importancia.
INFORMES BASADOS EN RIES-
GOS PARA PRACTICANTES
Para las personas encargadas
de realizar el trabajo práctico
real de mitigar el riesgo ciber-
nético en una organización, la
vida diaria es una serie cons-
tante de decisiones de asigna-
ción de recursos. Y en nuestro
entorno operativo de “nueva
normalidad”, tomar estas de-
cisiones puede ser más difícil
que nunca. Después de todo,
muchos profesionales de la ci-
berseguridad están asumien-
do nuevas responsabilidades,
como el soporte general de TI,
mientras enfrentan el desafío
de trabajar con presupuestos
cada vez más reducidos. Tener
el tiempo de uno atado a un
proyecto significa necesaria-
mente una incapacidad para
trabajar en otro.
-Pronóstico del éxito
Los profesionales pueden
utilizar informes basados en
riesgos para demostrar su efi-
cacia y ayudar a sus gerentes
a decidir dónde se necesitan
más sus habilidades.
Uno de los mejores métodos
para generar informes basados
en riesgos a nivel profesional es
la previsión, que puede identi-
ficar el curso de acción óptimo
para mejorar su postura de ries-
go de ciberseguridad mode-
lando diferentes escenarios y
rutas de remediación. Armado
con estos conocimientos, es
más fácil que nunca obtener
respuestas a preguntas difí-
ciles pero importantes sobre
dónde gastar los presupuestos
de seguridad, qué conjuntos de
actividades reducirán el riesgo
más rápidamente y si se deben
SECURITY ARCHITECTURE 73
cambiar las implementaciones
de tecnología.
Al demostrar que el impacto
evitará que la organización al-
cance sus objetivos de riesgo
establecidos, el profesional
puede argumentar con éxito
que la seguridad del correo
electrónico debe seguir sien-
do una prioridad.
CONCLUSIÓN
En un panorama de riesgo ci-
bernético definido por infraccio-
nes de alto perfil y amenazas
en constante evolución, todos
los tipos de organizaciones
deben analizar detenidamente
el estado de su comunicación
interna. Y ahora, dado que las
empresas trabajan con una
fuerza laboral cada vez más
remota, tener conversaciones
claras y basadas en datos so-
bre el riesgo cibernético nunca
ha sido más importante. Ya se
han aprendido las lecciones
de que la mala comunicación
puede conducir a incidentes
devastadores: es hora de que
los líderes tomen esas leccio-
nes en serio.
Los informes de ciberseguri-
dad basados en riesgos son el
mejor mecanismo para mejorar
la comunicación interna sobre
ciberseguridad y desarrollar
una estrategia de gestión del
rendimiento de la seguridad
verdaderamente eficaz.
74 SECURITY ARCHITECTURE
Cómo convertir una estrategia de
ciberseguridad en realidad
Un marco holístico de gestión del rendimiento. Cómo convertir una estrategia de
ciberseguridad en realidad. Por Kaustubh Wagle, Shoaib Yousuf, Yasser Alswailem,
Mohammed Almengash, and Fatimah Alturkistani, para BCG -Boston Consulting Group.
La frecuencia y el costo de los
ataques cibernéticos se está
acelerando. A nivel mundial, se
estima que el costo del delito
cibernético aumentó de u$s 445
mil millones en 2015 a más de
u$s 2,2 billones en la actualidad.
La frecuencia y el tamaño de
las violaciones de datos están
creciendo exponencialmente en
todas las industrias (Gráfico 1).
En 2021, organizaciones líderes
en casi todos los sectores in-
formaron ataques importantes,
incluidas empresas tecnológi-
cas, automotrices y entidades
gubernamentales.
Mientras tanto, los avances en
IA e Internet de las cosas (IoT),
combinados con la adopción
acelerada por la pandemia de
arreglos de trabajo flexibles y la
digitalización generalizada de las
organizaciones, han aumentado
exponencialmente tanto nuestra
dependencia de la cibersegu-
ridad (CS) como el potencial
de ataques. La transición a 5G
introduce otra gama completa
de vulnerabilidades peligrosas
relacionadas con el software.
Según el Instituto Brookings, “las
redes y los servicios esencia-
les que definen nuestras vidas,
nuestra economía y nuestra
seguridad nacional nunca ha-
bían tenido tantos participantes,
cada uno dependiente del otro,
y ninguno de los cuales tiene la
responsabilidad final de la segu-
ridad cibernética”.
Mirando hacia el futuro, la com-
putación cuántica, que puede
generalizarse en tan solo 5 a
10 años, dejará obsoletos los
estándares de cifrado actuales,
con importantes implicaciones
adicionales para la cibersegu-
ridad.
La ciberseguridad se ha con-
vertido en una prioridad crítica
de gestión de riesgos para las
organizaciones del sector públi-
co y privado por igual. El gasto
en seguridad de la información y
tecnología de gestión de riesgos
ha aumentado drásticamente
y se estima que alcanzará los
168.000 millones de dólares a fi-
nales de 20222. La competencia
por el escaso talento es feroz:
Se estima que 3,5 millones de
puestos de trabajo en ciberse-
guridad en todo el mundo que-
darán vacantes este año.
En este contexto, los directores
ejecutivos, las juntas directivas
y los accionistas están ansio-
sos por comprender la efecti-
vidad y el valor de su inversión
en seguridad cibernética y su
contribución general al negocio.
Un artículo reciente de Gartner
enumeró las siguientes “cinco
preguntas de seguridad que
definitivamente hará su Junta”,
así como su justificación subya-
cente y cómo podría responder
un líder de seguridad:
-Incidente: ¿Cómo sucedió esto?
¿Pensé que tenías esto bajo
control? ¿Qué salió mal?
-Compensación: ¿Parece que
estamos 100% seguros? ¿Está
seguro?
-Paisaje: ¿Qué tan malo es ahí
afuera? ¿Qué pasa con lo que
pasó en la empresa X? ¿Cómo
nos va en comparación con los
demás?
-Riesgo: ¿Sabemos cuáles son
nuestros riesgos? ¿Qué te man-
tiene despierto en la noche?
-Desempeño: ¿Estamos asig-
nando adecuadamente los re-
cursos? ¿Estamos gastando lo
suficiente? ¿Por qué gastamos
tanto?
Ante tales preguntas, los CISO

deben poder evaluar e informar
sobre la madurez de su progra-
ma de seguridad cibernética en
función de los riesgos y resulta-
dos de alto nivel y demostrar a
los miembros de la Junta cómo
se está desempeñando su or-
ganización en comparación con
su industria y sus pares. Discutir
los riesgos con los altos ejecu-
tivos también ha demostrado
ser un desafío, en ausencia de
un lenguaje común que pue-
dan entender tanto las partes
interesadas técnicas como las
no técnicas.
El problema para los CISO es
que estas partes interesadas
generalmente carecen del co-
nocimiento técnico necesario
para comprender los detalles
de las iniciativas de seguridad
cibernética, incluso a nivel de
la Junta. Las métricas de segu-
ridad altamente técnicas deben
resumirse en información preci-
sa, fácil de entender y relevante
para el negocio para la adminis-
tración, la Junta y las reuniones
de accionistas. Aquí es donde
la gestión del rendimiento de la
ciberseguridad puede ayudar.
La gestión del desempeño de la
ciberseguridad es un proceso
para evaluar la madurez de su
programa de ciberseguridad,
vinculando sistemáticamente
múltiples niveles de riesgo, mé-
tricas, inversiones y retornos.
Cuando forman parte de un
proceso continuo y coherente,
estas mediciones dinámicas ba-
sadas en datos son indicadores
valiosos de la postura de ciber-
seguridad de una organización.
Establecer un programa de
gestión del desempeño de la
seguridad cibernética ayuda a
establecer una línea de base y
priorizar lo que es importante
para el negocio, asegurando la
alineación con los objetivos or-
ganizacionales y el apetito por el
riesgo, mejorando la visibilidad y
logrando mejores resultados de
su inversión en seguridad. Medir
el desempeño de la seguridad
cibernética a través de una va-
riedad de métricas relevantes
permite a las organizaciones
enfocarse en mejoras, reducien-
do la vulnerabilidad a través de
acciones correctivas.
La gestión del rendimiento de
la ciberseguridad permite a los
SECURITY ARCHITECTURE 75
CIO y CISO responder a las pre-
guntas anteriores, además de:
- ¿Cómo nos estamos desem-
peñando frente a nuestro(s)
marco(s) de control de ciber-
seguridad adoptado(s)?
- ¿Cuál es nuestro nivel de ma-
durez actual?
- ¿Estamos haciendo las in-
versiones adecuadas? De no
ser así, ¿dónde es necesario
aumentar las inversiones y por
qué?
- ¿Cuál es nuestra inversión futu-
ra ideal en términos de tasa de
ejecución en ciberseguridad?
- ¿Cuánto riesgo tendremos una
vez que se alcance nuestra tasa
de ejecución?
A partir de 2019, Saudi Telecom
Company (stc) se asoció con
Boston Consulting Group (BCG)
para introducir un marco sólido
de gestión del desempeño de
la ciberseguridad como parte
76 SECURITY ARCHITECTURE
de un programa de transfor-
mación de la ciberseguridad
más amplio. Su propósito era
rastrear el progreso y el impacto
de la ejecución del programa al
tiempo que proporcionaba una
imagen completa de la madurez
de la ciberseguridad de stc. El
marco ha sido implementado,
revisado y mejorado durante los
últimos tres años y ha permiti-
do a stc realizar con éxito su
estrategia de ciberseguridad.
En este documento, stc y BCG
desean compartir la experiencia
y las lecciones aprendidas a lo
largo de este viaje.
Marco de Gestión del Des-
empeño
Dé forma a la práctica de ci-
berseguridad y establezca la
dirección
Un marco de gestión del des-
empeño efectivo se deriva de
la estrategia de seguridad ci-
bernética, que a su vez está
impulsada por la visión y la mi-
sión del programa CS. La visión
y la misión de la ciberseguridad
juegan un papel fundamental
en la comunicación del propó-
sito de la ciberseguridad a las
partes interesadas, el desarrollo
de una estrategia de CS y la
medición de su desempeño y
éxito. Alinear la dirección de la
ciberseguridad con la estrategia
comercial es extremadamente
importante para reflejar el con-
texto interno y externo, mitigar
los riesgos y habilitar el negocio.
Un marco sólido de gestión del
desempeño se define de arriba
hacia abajo. Los indicadores
clave de rendimiento (KPI) y las
métricas se derivan de iniciati-
vas para lograr objetivos estraté-
gicos relacionados con áreas de
enfoque y capacidades de CS
(por ejemplo, riesgo, gobierno,
cumplimiento, defensa) que dan
forma a la práctica de seguri-
dad cibernética y aseguran la
alineación comercial.
Cuantificación de la postura y
madurez de la ciberseguridad
Si bien la mayoría de las organi-
zaciones son conscientes de los
riesgos cibernéticos, la madu-
rez del programa de seguridad
cibernética es desigual. Es de
vital importancia para las organi-
zaciones tener una comprensión
precisa de dónde están y cuál
es la mejor manera de mejorar.
El desempeño robusto de la ci-
berseguridad comienza con un
marco bien definido que permite
a las organizaciones elevar y
comparar el desempeño en una
amplia gama de capacidades
de CS, incluida la estrategia, la
alineación comercial, los mode-
los operativos, la gobernanza,
el riesgo, el cumplimiento, la
defensa, etc.
En 2019, con soporte de BCG,
stc estableció un Marco de
 SECURITY ARCHITECTURE 77

Ciberseguridad detallado. El
marco identifica 30 iniciativas
para dar forma a las prácticas
de ciberseguridad y establecer
la dirección, hacer cumplir la
estrategia, desarrollar capa-
cidades de CS y asegurar el
negocio. Refleja los estándares
internacionales y las mejores
prácticas de NIST, ISO 27001 y
Gartner. Junto con el marco, se
estableció y definió un modelo
de madurez personalizado (Ane-
xo 3), que muestra los niveles de
madurez para cada capacidad
de ciberseguridad. El modelo
se utiliza en las evaluaciones
de verificación de estado para
determinar la línea de base, así
como los objetivos anuales pro- Definir la gestión y las mé- la pregunta: ¿vamos por buen
gresivos para la madurez de la tricas del rendimiento de la camino?
ciberseguridad. ciberseguridad El índice de madurez mide los
stc adoptó una estrategia de avances en las capacidades
La gestión y la medición del seguridad cibernética y desa- de seguridad. Responde a la
desempeño de la seguridad ci- rrolló su marco de gestión del pregunta: ¿estamos mejorando?
bernética deberían permitir que desempeño con la asistencia Los KPI transformacionales mo-
los CISO generen automática- de BCG, como parte de un es- nitorean el impacto de cumplir
mente tableros visuales dinámi- fuerzo mayor para transformar con nuestros objetivos estraté-
cos para que los utilicen la junta y avanzar en la madurez de sus gicos hacia una organización
directiva, el equipo ejecutivo y capacidades de seguridad ci- de seguridad más sólida. Res-
las operaciones de seguridad. bernética. El marco de gestión ponden a la pregunta: ¿esta-
Además de proporcionar una del rendimiento mide el éxito mos logrando un impacto en
imagen de los riesgos y el ren- a través de tres conjuntos de el negocio?
dimiento actuales, los tableros métricas, cada una centrada en Cada métrica de rendimiento se
cuidadosamente construidos se un aspecto diferente del rendi- compone de conjuntos conec-
vinculan con objetivos estratégi- miento. Del más granular al más tados de KPI. Los KPI son los
cos y de madurez a más largo estratégico: indicadores críticos del progre-
plazo, destacando las brechas El índice de ejecución rastrea so hacia un resultado previsto.
y los requisitos de inversión y la implementación de iniciati- Proporcionan un enfoque para
las responsabilidades. vas estratégicas. Responde a la mejora estratégica y opera-
78 SECURITY ARCHITECTURE
tiva, crean una base analítica
para la toma de decisiones y
ayudan a mantener la atención
en lo que más importa. Como
dijo Peter Drucker, “lo que se
mide, se hace”.
Dentro del marco de gestión
del desempeño, cada iniciativa
de estrategia de seguridad ci-
bernética se traduce en KPI de
madurez, que luego se agregan
en un índice de madurez para
el programa de seguridad ciber-
nética en todas las iniciativas. El
nivel de madurez por iniciativa se
calcula agregando los niveles de
madurez individuales de sus KPI.
Por ejemplo, ‘Arquitectura de se-
guridad’ es una iniciativa que
puede incluir KPI de madurez
en torno a la arquitectura de la
red, la arquitectura de la aplica-
ción y la arquitectura del punto
final. Otro ejemplo es ‘Protección
de puntos finales’, que podría
traducirse en KPI relacionados
con una suite de protección de
puntos finales, una solución DLP
y la integración del Centro de
ciberdefensa (CDC).
Todos los KPI se basan en medi-
ciones. Pueden ser cualitativos o
cuantitativos, con métricas cua-
litativas reportadas como pala-
bras en niveles, declaraciones y
letras y las cuantitativas reporta-
das como números, incluyendo
proporciones y proporciones.
Por ejemplo, ‘Desarrollo y Man-
tenimiento de Marcos’ es un KPI
cualitativo, medido en términos
de niveles de madurez: Marcos
L1 no desarrollados, Marcos L2
desarrollados, Marcos L3 in-
cluyen procesos de alto nivel,
Marcos L4 incluyen partes inte-
resadas relevantes y Marcos L5
han sido revisado en los últimos
12 meses.
Los propietarios de métricas
cualitativas deben proporcio-
nar pruebas de finalización para
garantizar una medición objetiva,
como el marco revisado en los

últimos 12 meses, la alineación
validada o los cambios imple-
mentados y documentados. El
tiempo desde la ocurrencia del
incidente hasta la detección es
un KPI cuantitativo, medido por
el tiempo promedio de ocurren-
cia hasta la detección de inci-
dentes de seguridad.
Implementando el Nuevo En-
foque
Al igual que con tantos progra-
mas de transformación, la im-
plementación fue clave para el
éxito de la estrategia de ciberse-
guridad de stc. En esta sección,
compartimos lo que funcionó
para stc: algunas decisiones que
valieron la pena y las lecciones
aprendidas en el camino.
El apoyo ejecutivo es funda-
mental
El apoyo ejecutivo es el factor
clave de éxito más importante.
La gestión efectiva del des-
empeño de la ciberseguridad
depende de la voluntad de los
ejecutivos de priorizar, reforzar
y participar de manera conti-
nua en los esfuerzos de mejo-
ra de la ciberseguridad. No es
solo la tecnología la que debe
cambiar, sino el comportamien-
to de las personas en toda la
organización, y eso requiere el
compromiso del liderazgo. Los
ejecutivos pueden demostrar su
apoyo de varias maneras, por
ejemplo:
- Participando en el desarrollo
de KPIs que conectan la visión
y estrategia de negocio con el
desempeño en ciberseguridad.
- Educarse a sí mismos y a la
Junta para que puedan hacer
mejores preguntas y tomar de-
cisiones comerciales que se
alineen con los objetivos de ci-
berseguridad.
- Invertir los recursos necesarios
para cumplir con los objetivos
de madurez de ciberseguridad.
- Alentar a los dueños de nego-
cios a involucrarse y alinearse
en torno a sus KPI y objetivos
de ciberseguridad.
Comience con su estrategia
de ciberseguridad
La estrategia es el punto de
partida para lograr un valor co-
mercial real de un programa de
ciberseguridad. La estrategia de
ciberseguridad incluye visión,
misión, objetivos estratégicos,
iniciativas estratégicas, KPI y
métricas. Su alineación con la
estrategia corporativa y el plan
de inversiones es crucial; La ci-
berseguridad es un habilitador
comercial clave a medida que
las organizaciones se vuelven
cada vez más grandes consu-
midoras de tecnología y datos.
Busque KPI que vinculen la es-
trategia de ciberseguridad con
los objetivos estratégicos cor-
porativos.
SECURITY ARCHITECTURE 79
Asegúrese de que su estrategia
de ciberseguridad no sea solo
un documento estático, sino que
incluya un proceso definido para
la ejecución y el seguimiento de
resultados. Especialmente por-
que está vinculado a la gestión
del desempeño, este es un es-
fuerzo continuo. stc descubrió
que la clave del éxito era man-
tener el progreso encaminado y
eliminar los obstáculos de mane-
ra oportuna, por lo que integrar
ese proceso en el desarrollo
de la estrategia evitará retrasos
posteriores.
Elija y defina los KPI correctos
Desarrollar indicadores clave
de rendimiento puede ser com-
plicado. Los KPI deben estar
bien definidos y ponderados
de acuerdo con los objetivos
críticos o centrales del nego-
cio. El Anexo 4 ilustra el enfoque
de stc para definir los KPI. El
titular no es suficiente. stc creó
una tarjeta para cada KPI que
resume su nombre, ID, afilia-
ción a la iniciativa, propietario,
frecuencia de medición, fuente
de datos, descripción y justifi-
cación, fórmula de medición,
nivel de rendimiento, objetivo y
ponderación del índice. Además
de hacer que CS y las partes
interesadas del negocio piensen
en los detalles de cada KPI, las
tarjetas aumentan la confiabili-
dad del seguimiento y brindan
80 SECURITY ARCHITECTURE
una consistencia importante en
diversos KPI.
- Nombre de KPI: refleja lo que
este KPI debe medir en un len-
guaje fácil de entender
- ID de KPI: código de identidad
único que se utilizará en el catá-
logo de KPI
- Iniciativa: nombre de la iniciativa
que se vincula a este KPI
- Propietario: persona respon-
sable de proporcionar métricas
de KPI al Equipo de Gestión del
Desempeño junto con evidencia
- Frecuencia de medición: ciclo
de informes para el KPI: puede
ser mensual, trimestral o anual
- Fuente de datos: herramienta o
método acordado para propor-
cionar evidencia de la métrica
de KPI informada, posteriormente
validada por el Equipo de Gestión
del Desempeño
- Justificación y descripción: ex-
plique el KPI en sí y por qué es
importante
- Fórmula: cómo calcular el valor
de KPI
- Nivel de desempeño: escala
para definir diferentes niveles
de madurez, para ser evaluados
contra el objetivo establecido
- Objetivos: nivel de madurez es-
perado que se logrará, general-
mente aumentando con el tiempo
-Peso: si tiene un KPI que tie-
ne sub-KPI, la ponderación se
asigna a través de los sub-KPI
proporcionalmente según la im-
portancia y la contribución.
Garantice un proceso claro
para la recopilación y valida-
ción de KPI
clave para un programa efectivo
en curso
stc estableció un equipo de
gestión del rendimiento formal
responsable de identificar los
KPI, recopilar informes y validar
datos. Los informes de KPI se
recopilan en función de su ci-
clo definido (mensual, trimestral,
anual) o por solicitud específica
de la gerencia. Los propietarios
de KPI proporcionan valores ac-
tuales al equipo de gestión del
rendimiento, incluida la eviden-
cia relevante para garantizar la
transparencia sobre cómo se
derivaron los valores y corrobo-
rar los valores proporcionados.
Esta clara rendición de cuentas
(propietarios de KPI, equipo de
gestión del rendimiento) es cla-
ve para un programa efectivo y
continuo.
Luego, el equipo de rendimiento
valida los valores. Si la evidencia
proporcionada no se correspon-
de con los valores enviados, so-
licitan al propietario del KPI que
vuelva a enviarla. Hay dos nive-
les generales de validación para
cada KPI:
Nivel 1: Precisión de la fuente
de datos. Asegurarse de que
la evidencia enviada sea de la
fuente de datos identificada en
la definición de KPI.
Nivel 2: Consistencia de los da-
 SECURITY ARCHITECTURE 81

tos. Asegurarse de que la eviden-

cia respalde y sea consistente
con el valor asignado. Por ejem-
plo, si la métrica cualitativa dice
“los marcos se han revisado en
los últimos 12 meses”, entonces el
registro de documentación debe
mostrar los cambios durante los
últimos 12 meses.
Después de validar los datos, el
equipo de gestión del rendimiento
agrega todos los valores recopi-
lados en el tablero para informar
a la gerencia.
Utilice el análisis de tendencias
para realizar un seguimiento del
rendimiento de la ciberseguridad
a lo largo del tiempo frente a los
objetivos de madurez
Una vez que se completa la etapa
de validación y se aceptan los Monitoreo, Revisión y Mejoras Especialmente cuando una or-
valores enviados para el ciclo, Continuas de Métricas de Ci- ganización está tratando de ras-
comienza el análisis, comparan- berseguridad trear los efectos de un cambio
do los valores reales de KPI con importante, o en otras situaciones
sus objetivos. Este es esencial- Informes periódicos y reunio- donde se necesita una retroa-
mente el paso que nos lleva de nes de comités limentación rápida, los informes
la medición del desempeño a la Las mediciones de KPI de ci- deben generarse y compartirse
gestión del desempeño. berseguridad y los niveles de mensualmente. Permiten a los
Los informes de análisis de ten- madurez a los que se agregan líderes empresariales monitorear
dencias deben capturar cualquier son información importante para los problemas de rendimiento y
desviación importante del obje- la toma de decisiones de CISO. brindar soporte oportuno.
tivo de madurez de ciberseguri- Pero también deben compartirse
dad del KPI o de las iniciativas más allá del departamento de stc utiliza dos informes prin-
de ejecución de la estrategia seguridad cibernética e incorpo- cipales de rendimiento de ci-
de ciberseguridad. Luego, los rarse en las revisiones del cuadro berseguridad:
resultados se proporcionan a la de mando integral del liderazgo. Informe de Alto Nivel de Métricas
alta dirección, que puede eva- Esto debería ocurrir al menos de Desempeño de Ciberseguri-
luar estas tendencias frente a los trimestralmente o, más común- dad. Indicadores seleccionados,
objetivos de ciberseguridad y los mente, mensualmente según las incluido el puntaje general del
objetivos estratégicos. necesidades de la organización. nivel de madurez junto con los
82 SECURITY ARCHITECTURE

puntajes de madurez para cada

iniciativa estratégica. Esto le da
a la alta dirección el “panorama
general” del desempeño de la
seguridad cibernética.
Informe detallado de métricas
de rendimiento de cibersegu-
ridad. Utilizado junto con el in-
forme de alto nivel, este informe
más detallado incluye puntajes
de nivel de madurez y análisis
para cada KPI, desglosado por
iniciativa y departamento. Este
informe generalmente lo utiliza la
alta dirección de ciberseguridad,
en discusión con los propietarios
de KPI.
Un Comité de Gestión del Des-
empeño (PMC) de seguridad
cibernética es responsable de
monitorear el desempeño y guiar
la ejecución de las Operacio-
nes y Estrategias Cibernéticas.
Usando el informe detallado de
métricas de desempeño de ci-
berseguridad como su principal
fuente de referencia, este comité
se reúne mensualmente para:
- Revise los KPI de cada depar-
tamento (KPI de la unidad de
estrategia y función)
- Valide los KPI y confirme que
siguen siendo adecuados para
su propósito
- Supervise el estado de ejecu-
ción de las iniciativas estratégi-
cas y los hitos objetivo
- Resalte y aborde las depen-
dencias y desafíos multifuncio-
nales

-Proporcionar apoyo según sea
necesario
- Realinear, actualizar y mejo-
rar la dirección estratégica del
sector y la excelencia operativa
Supervise los riesgos de ejecu-
ción de la estrategia y asegúrese
de que se consideren los pasos
de mitigación adecuados
-Mejore la ejecución estratégica
y operativa, actualizando proyec-
tos, tareas, procesos y procedi-
mientos según sea necesario
- Aprobar cualquier solicitud de
cambio de KPI
Gestión de cambios de KPI de
ciberseguridad
Los índices de madurez se uti-
lizan para medir la postura de
seguridad general de la orga-
nización. Siguiendo el principio
de “obtienes lo que mides”, es
importante elegir las métricas
correctas y ajustarlas si es ne-
cesario. Especialmente en el pri-
mer año de operación, o cuando
las condiciones cambian rápi-
damente, el enfoque debe ser
lo suficientemente flexible para
adaptarse al aprendizaje de la
experiencia. No es necesario es-
perar hasta el final de un ciclo de
mejora. Los KPI pueden ajustarse
durante el año si es necesario,
por ejemplo, si:
- Los mandatos o la estructura
de ciberseguridad han cambiado
- Se han publicado nuevas re-
gulaciones
- Se necesitan nuevas capaci-
dades.
El KPI existente o su defini-
ción no está dando la infor-
mación necesaria
Para ajustar un KPI, stc requie-
re que su propietario complete
una Solicitud de cambio (CR),
incluida la justificación del cam-
bio. Una vez que el gerente del
propietario del KPI aprueba la
solicitud, pasa al equipo de
gestión del rendimiento de ci-
berseguridad para su revisión
y comentarios. Finalmente, des-
pués de que el propietario del
KPI y el equipo de gestión del
desempeño estén alineados, el
PMC debe aprobar el CR.
Además de los cambios ad hoc
del tipo mencionado anterior-
mente, una organización debe
incluir revisiones y mejoras pe-
riódicas de las métricas en su
proceso de gestión del desem-
peño de la seguridad ciberné-
tica. Tal revisión podría cubrir
el fundamento, la fórmula, los
objetivos y el ciclo de informes
de cada KPI.
Descubriendo los Beneficios
Las empresas de todo el mun-
do están redoblando su enfo-
que en la ciberseguridad como
una capacidad crítica para el
negocio. Cada vez más, están
reconociendo la necesidad de
enfoques holísticos, integrados
SECURITY ARCHITECTURE 83
con su estrategia y objetivos co-
merciales. Desde que presentó
su estrategia de ciberseguridad
y su programa de gestión del
desempeño en 2019, stc ha vis-
to una serie de beneficios que
incluyen:
Una estrategia de ciberseguri-
dad integral que crea capaci-
dades, fortalece los controles
básicos, implementa controles
avanzados y agudiza el moni-
toreo.
Gestión robusta del rendimiento
de la ciberseguridad que jue-
ga un papel importante en la
elevación de la madurez de la
ciberseguridad, mejorando la
responsabilidad y la propiedad
de las tareas.
Mayor madurez en ciberseguri-
dad y alineación de la estrategia
en las subsidiarias del grupo.
(stc amplió el apoyo y la orien-
tación a las subsidiarias para
implementar la estrategia de
seguridad cibernética y medir
sus capacidades de seguridad
cibernética a través de paquetes
de rendimiento personalizados
para cada subsidiaria).
Con aumentos dramáticos en
el ritmo, la frecuencia y el cos-
to de los ataques cibernéticos,
las empresas buscan aprender
unas de otras, identificando y
adaptando las mejores prácti-
cas para moverse más rápido
y adelantarse a las amenazas
en evolución.
84 SECURITY OPERATIONS
2022: El año de la voz del CISO
Un informe de ProofPoint
Después de un año de una in-
terrupción sin precedentes, los
CISO de todo el mundo pasaron
2021 enfrentándose a nuevas
formas de trabajar. Pero después
de haber superado la prisa inicial
por implementar configuraciones
híbridas y en la nube y mantener
el negocio como de costumbre,
muchos ahora parecen sentirse
más en control de su entorno.
La lucha contra incendios ad
hoc ha sido reemplazada por
una estrategia más coherente.
Se han introducido nuevas po-
líticas, módulos de capacitación
y controles técnicos, todos di-
señados para los equipos más
distribuidos y dependientes de
la nube de hoy.
Como resultado, menos de la
mitad de los CISO encuestados
(48 %) sienten que su organiza-
ción está en riesgo de sufrir un
ciberataque significativo en los
próximos 12 meses, en compara-
ción con el 64 % del año pasado.
La creciente familiaridad con el
entorno de trabajo posterior a la
pandemia también ha hecho que
los CISO se sientan más equi-
pados para hacer frente a las
ciberamenazas. Si bien el 66 %
creía que no estaba preparado
para un ataque dirigido en 2021,
se redujo al 50 % este año.
Pero sentirse preparado o en
riesgo de un ciberataque es
completamente diferente a es-
tar preparado. En la mayoría
de los casos, esta creciente
confianza de los CISO es pro-
bablemente el resultado de
superar con éxito un evento
sísmico en lugar de cualquier
cambio tangible en los niveles
de riesgo o preparación.
Además, el hecho es que la
mitad de los CISO globales no
creen que su organización esté
lista para detectar, disuadir y
recuperarse de un ataque ci-
bernético. En el Reino Unido
y Alemania, esta cifra sube a
alrededor de dos tercios. Y en
Australia, más de las tres cuar-
tas partes dicen que su organi-
zación no está preparada.
También existe una desco-
nexión preocupante entre el
riesgo percibido y la prepara-
ción.
Muchos CISO aparentemente
son conscientes del problema,
pero no pueden o no quieren
implementar una solución efec-
tiva mientras luchan por identi-
ficar cuál de las muchas ame-
nazas comunes es probable
que ataque.
Ataques desde todos los án-
gulos
A medida que el panorama de
amenazas continúa creciendo
y evolucionando, una vez más
preguntamos a los CISO sobre
los métodos de ciberataque que
los mantienen despiertos por la
noche. Al igual que el año pasa-
do, los resultados demuestran
una preocupante falta de visi-
bilidad de las amenazas a las
que se enfrentan.
Las amenazas internas negli-
gentes, accidentales o crimina-
les (31 %), el compromiso del
correo electrónico empresarial
(BEC) (30 %), el compromiso
de la cuenta en la nube (30 %)
y los ataques distribuidos de
denegación de servicio (DDoS)
(30 %) lideran el camino. Mien-
tras tanto, la preocupación por
el ransomware aumentó solo 1
punto porcentual desde el año
pasado, a pesar de varios ata-
ques de perfil increíblemente
alto en los últimos 12 meses.
Por supuesto, no hay nada de
malo en una cautela general
ante una variedad de amena-
zas. Pero cuando los equipos
de seguridad no están seguros
de dónde provendrá el próxi-
mo ataque, es casi imposible
apuntar a las protecciones y
la capacitación donde más se
necesitan.
Se puede perdonar a los CISO

por esta falta de claridad des-
pués de una incertidumbre tan
reciente. El rápido ajuste a las
nuevas formas de trabajo, la ma-
yor dependencia de la nube y
los patrones de comportamiento
cambiantes han hecho que sea
increíblemente difícil clasificar
las amenazas y construir de-
fensas adecuadas.
Si bien la falta de claridad es una
preocupación, no es un proble-
ma insuperable. Más del 90 %
de los ciberataques comienzan
con el correo electrónico. Ya sea
ransomware, BEC o compromiso
de cuenta en la nube, proteger
la bandeja de entrada siempre
es el mejor lugar para comenzar.
Las personas como el nuevo
perímetro
Con dos años de trabajo remoto
a sus espaldas, la mayoría de
los CISO creen que los emplea-
dos comprenden el papel que
desempeñan en la protección
de sus organizaciones contra
las ciberamenazas. En general,
3 de cada 5 encuestados (60
%) están de acuerdo con esta
afirmación, frente al 58 % del
año pasado.
Alrededor de una cuarta par-
te, el 24%, está totalmente de
acuerdo.
La tendencia es más pronuncia-
da en Canadá y Australia, donde
la creencia en la comprensión
de los empleados ha aumentado
39 y 34 puntos porcentuales,
respectivamente, hasta el 87
% y el 75 %.
SECURITY OPERATION 85
Podemos atribuir gran parte de
este aumento en la compren-
sión de los empleados a las
medidas implementadas para
admitir configuraciones remotas
e híbridas a largo plazo. Mu-
chas organizaciones pasaron
los últimos dos años invirtiendo
en capacitación y protecciones
de seguridad cibernética que
se centraron en las personas.
Con equipos trabajando desde
cualquier lugar, hay menos én-
fasis en proteger el centro de
datos o la red de la oficina. Los
CISO ahora se dan cuenta de
que el perímetro es el usuario
y están tomando medidas para
equiparlos para defenderlo en
consecuencia.
En el otro extremo de la escala,
86 SECURITY OPERATIONS
los países con entornos empre-
sariales más formales o rígidos
pueden haber tenido dificulta-
des para realizar este ajuste.
Por ejemplo, en Arabia Saudita
y los Emiratos Árabes Unidos,
la creencia en la comprensión
de los empleados cayó más
bruscamente, 19 y 18 puntos
porcentuales, respectivamente,
hasta el 51 % y el 43 %.
La creciente creencia en la in-
teligencia de los empleados en
torno a la seguridad también
se refleja en otros lugares. Este
año, menos CISO creen que el
error humano es la mayor vul-
nerabilidad cibernética de su
organización, con solo el 56 %
de acuerdo.
La noción de que el 60 % de los
CISO cree que los usuarios en-
tienden sus responsabilidades
de seguridad, pero el 56 % cree
que son la ciberamenaza núme-
ro uno, genera varias señales
de alerta. Sugiere que muchos
CISO entienden que la mayoría
de los usuarios no están ade-
cuadamente capacitados para
el rol de ciberdefensa.
El Foro Económico Mundial in-
forma que el 95 % de los proble-
mas de seguridad cibernética
se deben a errores humanos,5
lo que destaca que muchos
CISO aún subestiman signifi-
cativamente el grado de riesgo
que representan sus usuarios.
Solo el 38 % de los CISO sau-
díes consideran a sus emplea-
dos su mayor vulnerabilidad
cibernética, seguidos de Italia
(43 %) y Japón (46 %).
Este también es el caso en el
sector de la educación, donde
solo el 47% cree que los usua-
rios son su riesgo más impor-
tante. En el otro extremo del
espectro, los CISO de servicios
comerciales y profesionales y
manufactura lideraron el camino
con un 61 % y un 60 %, respec-
tivamente, de acuerdo.
En otros lugares, las actitudes
han cambiado entre los CISO de
atención médica en los últimos
12 meses. Un poco más de la
mitad (52 %) cree que su gente
puso en riesgo su negocio este
año en comparación con el 48
% en 2021. Lo contrario es cier-
to en los servicios financieros,

donde el 52 % ahora cree que
su gente es el mayor riesgo ci-
bernético, en comparación con
el 61 % anterior año.
Riesgo, Trabajo Remoto y La
Gran Renuncia
La migración forzada a confi-
guraciones remotas e híbridas
en los últimos años ha servido
como un enorme caso de prue-
ba. Unos 24 meses después de
esta nueva forma de trabajar,
las organizaciones ven lo que
puede ofrecer en términos de
flexibilidad, ahorro de costos y
productividad.
También es popular entre los
empleados, y es probable que
esté aquí para quedarse. Ahora
que las personas forman el pe-
rímetro defensivo dondequiera
que trabajen, las organizacio-
nes necesitan una nueva es-
trategia.
Como muchos están descu-
briendo, el trabajo híbrido y
remoto hace que los usuarios
sean más vulnerables a los
ataques. Como mínimo, repre-
sentan un objetivo mucho más
atractivo para los ciberdelin-
cuentes.
Más de la mitad de los CISO
de todas las regiones están de
acuerdo en que los ataques diri-
gidos a sus organizaciones han
aumentado desde que adopta-
ron el trabajo híbrido masivo.
Con muchos ahora mucho más
cómodos en este entorno, no
debería sorprender que esta ci-
fra haya bajado del 58% en esta
época del año pasado. Aun así,
eso es un pequeño cambio; la
mayoría de los CISO aún se
enfrentan a un panorama de
ciberamenazas elevado.
Y este factor de riesgo está lejos
de ser el único problema que
ha surgido desde que el trabajo
híbrido se convirtió en la norma.
-La Gran Renuncia: un nuevo
reto para los equipos de se-
guridad
Los empleados están dejando
sus trabajos en números récord
por razones que van desde
el agotamiento posterior a la
pandemia hasta problemas de
cuidado de niños y cambios
en las prioridades de la vida
laboral. Pero cualquiera que sea
la causa, las implicaciones de
seguridad cibernética no están
sujetas a debate.
Cuando un empleado se va,
sus datos a menudo se van con
él. A veces, no es intencional,
como cuando las credenciales
guardadas residen en un dis-
positivo personal. Pero en mu-
chos casos, es deliberado. Los
ex empleados pueden sentirse
dueños de los datos en los que
trabajaron o llevárselos para
ayudarlos en su nuevo trabajo.
Cualquiera que sea la razón,
la tendencia ha hecho que a
SECURITY OPERATIONS 87
muchos CISO les resulte más
difícil proteger sus datos.
Esto se siente más en las orga-
nizaciones más pequeñas que
pueden tener menos controles
implementados: el 55 % de los
encuestados de empresas con
menos de 500 empleados está
de acuerdo en que proteger los
datos se ha convertido en un
desafío mayor en comparación
con sólo el 47 % de los CISO de
empresas más grandes (5.000
o más empleados)
Los datos no se van...
Los empleados lo mueven, y no
siempre intencionalmente. Las
personas que dejan un traba-
jo presentan otro problema de
protección de datos.
Los empleados distraídos por
la perspectiva de pastos más
verdes a menudo son más pro-
pensos a los tipos de acciones
que aprovechan los ciberdelin-
cuentes; comportamientos como
la mala gestión de contraseñas,
soluciones alternativas de se-
guridad y el uso de dispositivos
comerciales para uso personal.
Este tipo de comportamiento es
la causa más común de ame-
nazas internas, con investiga-
ciones recientes que muestran
que el 56 % de los incidentes
se deben a negligencia.6 A pe-
sar de esto, con más personal
fuera de la oficina con mayor
88 SECURITY OPERATIONS
autonomía sobre su higiene de
seguridad, internos comprome-
tidos, negligentes y maliciosos
son de igual preocupación para
los CISO del mundo.
Cómo están respondiendo las
organizaciones a los desafíos
del trabajo híbrido
La respuesta a esta creciente
amenaza ha sido mixta. Si bien
los CISO en países como Cana-
dá han fortalecido las políticas
de la era COVID para apoyar el
trabajo híbrido en curso, solo
alrededor de la mitad (51%) de
los CISO globales han hecho lo
mismo.
La mitad de los CISO globales
encuestados han aumentado la
frecuencia de la capacitación en
seguridad cibernética para los
empleados. Si bien es alenta-
dor, esto deja al 50 % en riesgo
frente a niveles crecientes de
ataques dirigidos. Las estrate-
gias de mitigación centradas
en la implementación de una
arquitectura de confianza cero y
la revisión de las soluciones de
protección contra la pérdida de
datos fueron una prioridad para
la mitad de los encuestados.
Finalmente, la subcontratación
de controles clave a proveedo-
res de servicios administrados
fue más frecuente entre las
empresas con 500 a 1000 em-
pleados.
Directorios, Buy-In y el resul-
tado final—Cómo Los CISO
se sienten
Dado el impacto duradero de
la ciberseguridad durante una
pandemia global, el trabajo del
CISO nunca ha sido más desa-
fiante o más crítico. Las increí-
bles demandas de los últimos
dos años han hecho que el rol
sea aún más destacado y han
alentado a los CISO a hacer oír
sus voces, alto y claro.
En general, los CISO de todas
las regiones creen que las ex-
pectativas de sus superiores y
colegas son excesivas. Dicho
esto, las opiniones de los CISO
varían ampliamente según el
país y han cambiado mucho
en el último año. Aun así, 1 de
cada 2 CISO siente que se en-
frenta a una tarea imposible.
En todos los verticales, los

CISO de empresas de nego-
cios y servicios profesionales
(57 %) son los que más sienten
la presión de las expectativas
excesivas entre sus pares. Los
CISO del sector educativo son
los menos presionados (39 %),
seguidos de los del comercio
minorista (42 %).
A la exigente y, a menudo,
ingrata carga de trabajo del
CISO se suma la percepción
de falta de apoyo de la sala
de juntas, que ha aumentado
desde 2021. Poco más de la
mitad (51 %) de los CISO glo-
bales coincidieron en que esta-
ban de acuerdo con la junta en
asuntos de ciberseguridad. en
2022. Esa es una fuerte caída
del 59% del año anterior.
Este cambio coincide con el
número de empleados de la
empresa, lo que subraya las
dificultades que enfrentan los
CISO en organizaciones más
pequeñas. Aún así, la caída en
el apoyo percibido de la jun-
ta directiva la sienten más los
CISO a cargo de grandes orga-
nizaciones (5000 empleados y
más), quienes pasaron del 71
% de acuerdo el año pasado
a solo el 51 % este año.
Esta falta de apoyo y acuerdo
no solo afecta la aceptación
y los presupuestos. Muchos
CISO también informan que
sus superiores afectan direc-
tamente su capacidad para
desempeñar sus funciones.
Más de la mitad (51 %) de los
CISO globales están de acuer-
do en que su línea jerárquica
puede obstaculizar la eficacia
de su trabajo. Esta opinión es
más prominente en el mundo
de los servicios empresaria-
les (58 %) y la tecnología (54
%). Pero es un problema mu-
cho menor en los sectores de
servicios financieros, medios
y educación, donde solo el
46% estuvo de acuerdo con
el sentimiento.
Las relaciones entre el CISO y
el C-suite también son tensas
en otras áreas. Solo la mitad de
los CISO globales encuestados
ahora cree que su organización
los posiciona para tener éxito,
en comparación con el 60 %
hace un año.
Los CISO de salud y educa-
ción se sintieron menos res-
paldados por su organización,
mientras que los de fabricación
y tecnología se sienten más
respaldados para llevar a cabo
con éxito sus responsabilida-
des.
-Enfoque en las prioridades
del CISO y las preocupaciones
de la junta
En lo que respecta a las prio-
ridades de seguridad de TI
para los próximos dos años,
los CISO a nivel mundial cali-
ficaron a sus tres principales
como:
SECURITY OPERATIONS 89
• Mejora de la protección de
la información (39 %)
• Mejora de la concienciación
sobre ciberseguridad (38 %)
• Consolidación y externaliza-
ción de soluciones y controles
de seguridad (36 %)
Si bien las dos primeras ca-
tegorías siempre ocupan un
lugar destacado en la agen-
da del CISO, es casi seguro
que la última está impulsada
por los eventos desde 2020.
Con los empleados trabajan-
do desde casa, en la oficina y
en cualquier lugar intermedio,
las configuraciones de TI son
cada vez más complejas. Eso
significa que requieren nue-
vas habilidades y más recursos
para asegurarlos.
La Gran Renuncia jugará un
papel aquí también. A medida
que los empleados cambian
de trabajo en gran número, las
organizaciones deben asegu-
rarse de tener siempre la expe-
riencia y el conocimiento para
implementar su estrategia ci-
bernética. La subcontratación
puede ser una forma asequible
y sencilla de hacer precisa-
mente eso.
Naturalmente, las prioridades
difieren entre industrias y orga-
nizaciones. Para las grandes
empresas con más de 5000
empleados, que probablemen-
te tengan las configuraciones
más complejas, la subcontra-
90 SECURITY OPERATIONS
tación es la prioridad principal
con un 41 %. Esto está muy por
encima del porcentaje entre
todos los demás tamaños de
empresa.
Entre las industrias, mejorar la
protección de la información
es la iniciativa más apremiante
para aquellos en TI, tecnología,
telecomunicaciones, servicios
financieros, manufactura y el
sector público.
Las prioridades también varían
de un país a otro. En el Reino
Unido, educar a los usuarios
es una prioridad, mientras que
el 46 % dice que la conciencia
sobre la seguridad es vital, un
ligero aumento con respecto
al año pasado. La educación
también se considera crítica
en otros lugares, encabezando
la lista en los EE. UU., Cana-
dá, los Países Bajos, España y
Australia. En Italia, el riesgo de
los proveedores sigue siendo
una preocupación principal,
ya que el 38 % de los CISO lo
mencionan como una de sus
tres principales prioridades
durante los próximos dos años.
La eficiencia es la mayor prio-
ridad para los CISO en Alema-
nia, Suecia y Japón, quienes
ven la consolidación y simpli-
ficación de las soluciones y
controles de seguridad como
su máxima prioridad.
- Preocupaciones de la junta
No hay duda de que los titu-
lares de seguridad cibernética
en los últimos dos años han

despertado las salas de juntas
de todo el mundo a los riesgos
cibernéticos de hoy.
Preguntamos a los CISO glo-
bales sobre sus principales
preocupaciones al conside-
rar el impacto de un ataque
cibernético en su negocio en
función de sus interacciones
con su directorio. Enumeraron
el tiempo de inactividad signi-
ficativo (37 %), la interrupción
de las operaciones (36 %) y el
impacto en la valoración del
negocio (36 %) como lo más
importante para los miembros
de la junta.
Por el contrario, la pérdida de
ingresos quedó en último lu-
gar, tal vez vista por algunos
como una consecuencia de las
principales preocupaciones en
lugar de un impacto directo.
Dicho esto, las organizacio-
nes más grandes (con más de
5000 empleados) eran las más
preocupadas.
En todo el mundo, los consejos
de administración de EE. UU.,
el Reino Unido y Francia ven el
impacto de un ataque ciberné-
tico material en la valoración
del negocio como la preocu-
pación más apremiante. En los
Países Bajos, Italia y España, el
daño a la reputación es la prin-
cipal preocupación. El tiempo
de inactividad significativo es lo
más importante para aquellos
en Alemania, Emiratos Árabes
Unidos, Australia y Singapur.
Conclusión
A medida que los CISO se han
adaptado en los últimos dos
años, muchos de ellos se sien-
ten más cómodos con el nivel
de riesgo al que se enfrentan.
Los sistemas de retazos y las
políticas ad hoc han sido re-
emplazados por defensas ci-
bernéticas más estratégicas.
Al mismo tiempo, los emplea-
dos ahora están bien versados
en trabajar fuera de la oficina.
Como resultado, los CISO
globales ahora creen que los
empleados comprenden me-
jor sus responsabilidades de
seguridad y que sus organiza-
ciones están mejor equipadas
para hacer frente a un ataque
cibernético.
Sin embargo, muchos pueden
estar cayendo en una falsa sen-
sación de seguridad. Los ata-
ques dirigidos, el ransomware
y las amenazas internas van en
aumento. Y dado que la mayo-
ría de los ataques cibernéticos
requieren interacción humana,
las personas siguen siendo el
mayor factor de riesgo. Que
relativamente pocos CISO ha-
yan reforzado las defensas
para proteger el perímetro de
personas a la luz del trabajo
híbrido es un motivo de gran
SECURITY OPERATIONS 91
preocupación.
Pero, una vez más, puede dar-
se el caso de que no puedan,
o no estén dispuestos, a empo-
derar a su gente. Al igual que
el año pasado, muchos CISO
no están de acuerdo con su
directorio en materia de ciber-
seguridad. Y más de la mitad
cree que su línea jerárquica
obstaculiza la efectividad del
trabajo.
La buena noticia: los CISO de
todo el mundo saben dónde
deben mejorar las cosas. Mu-
chos están tomando medidas
para mejorar las soluciones de
protección de la información y
la capacitación en concientiza-
ción sobre seguridad, las cua-
les serán vitales en entornos
híbridos a largo plazo. También
se reconoce la escasez de ha-
bilidades y recursos, y muchos
CISO planean subcontratar so-
luciones de seguridad en los
próximos años.
En general, los CISO pare-
cen haber abrazado el 2022
como la calma después de la
tormenta. Pero con el aumento
de las tensiones geopolíticas
y el aumento de los ataques
centrados en las personas,
se deben cerrar las mismas
brechas de concienciación,
preparación y prevención de
los usuarios antes de que el
mar de la ciberseguridad se
vuelva agitado una vez más.
92 SECURITY OPERATIONS
Guía para la seguridad de la
fuerza laboral remota
By Check Point Software
El mundo como lo conocemos
ha cambiado. En este nuevo
mundo, el trabajo ya no se rea-
liza principalmente en la oficina
corporativa.
Esto significa que ser productivo
requiere que estemos siempre
conectados, en todas partes,
sin importar dónde estemos, qué
dispositivo estemos usando, y
sin importar a qué aplicación
necesitemos acceder.
Lo que esto también significa
es que la superficie de ataque
nunca ha sido más amplia.
Para combatir el desafío y defen-
derse de ataques cada vez más
sofisticados, como el phishing y
el ransomware, las organizacio-
nes pueden seguir agregando
productos de seguridad indivi-
duales. Pero unir soluciones pun-
tuales las deja con brechas de
seguridad, visibilidad fragmen-
tada, administración compleja y
opciones limitadas para escalar.
En este documento, cubriremos
las diferentes amenazas ciber-
néticas que surgen del nuevo
espacio de trabajo distribuido y
las cinco protecciones impres-
cindibles para mantener seguros
a los usuarios remotos en todos
los vectores de amenazas.
EL TRABAJO GLOBAL SE
VUELVE REMOTO
El empleado en todas partes
El trabajo remoto es el nuevo
estándar, con el 81% de las or-
ganizaciones que han adopta-
do el trabajo remoto masivo y
el 74% planea habilitar el trabajo
remoto a gran escala de forma
permanente.
Esto hace que el empleado de
hoy sea el “empleado en todas
partes”, que puede (y trabaja) en
cualquier lugar y que utiliza múl-
 SECURITY OPERATIONS 93

tiples dispositivos para acceder la mitad (54 %) de los emplea- • Hubo un aumento del 93 % en
a Internet, a la red corporativa ya dos dijeron que habían recibido ransomware, y la cantidad de or-
muchas aplicaciones. El resulta- capacitación en seguridad es- ganizaciones afectadas a nivel
do es que los datos comerciales pecífica para el trabajo remoto, mundial se duplicó con creces
confidenciales fluyen continua- pero aproximadamente el 70 % durante la primera mitad de 2021
mente desde los dispositivos admite usar dispositivos corpora- con respecto a 2020.
corporativos y BYOD hacia la tivos para uso personal. Y ~60% • Durante 2020, se descubrieron
nube, IaaS y los centros de da- admite que permite que otros diariamente 100.000 nuevos sitios
tos, lo que expande la superficie miembros de su hogar usen sus web maliciosos y 10.000 nuevos
de ataque más que nunca. dispositivos corporativos para archivos maliciosos.
Las organizaciones deben habi- actividades como tareas esco- • En promedio, una nueva organi-
litar el acceso a cualquier aplica- lares, juegos y compras. zación se convirtió en víctima cada
ción desde cualquier ubicación 10 segundos en todo el mundo.
a través de cualquier dispositivo, El aumento global de los ci- Y la amenaza es muy real y puede
y asegurarse de que no solo sea berataques ser muy dañina. Por ejemplo, en
transparente. marzo de 2020, el gigante de la
Todo esto no ha pasado desa- industria hotelera, Marriott, reveló
La inevitabilidad de los errores percibido para los hackers. Para una nueva violación de datos que
no intencionales ilustrar, en el informe de seguri- afectó a 5,2 millones de huéspe-
dad cibernética de Check Point des del hotel. La infracción ocurrió
Para complicar aún más el desa- de 2021, se señaló que: cuando un pirata informático uti-
fío de la seguridad, los usuarios
remotos son más susceptibles a
las ciberamenazas. Según una
encuesta reciente de la industria
a 2000 empleados remotos de
todo el mundo, el 67 % admite
encontrar soluciones a las polí-
ticas de seguridad corporativas
para ser más productivos.
Esto incluye enviar documen-
tos de trabajo a direcciones de
correo electrónico personales,
compartir contraseñas e instalar
aplicaciones no autorizadas.
Desafortunadamente, mejorar la
concienciación sobre la seguri-
dad no hace completamente el
trabajo de reducir el riesgo. Se-
gún la misma encuesta, más de
94 SECURITY OPERATIONS
lizó las credenciales de inicio de
sesión de dos empleados de la
propiedad de la franquicia para ac-
ceder a la información del cliente
desde los sistemas de back-end
de una aplicación.
Como podemos ver, para man-
tener seguras las redes corpora-
tivas y los datos confidenciales,
las organizaciones no tienen otra
opción que recalibrar el enfoque
de seguridad en torno a los usua-
rios y accesos remotos.
Y el primer paso es asegurarse
de que cuentan con los cinco
elementos imprescindibles para
proteger eficazmente a la fuerza
laboral remota.
LAS 5 PROTECCIONES IM-
PRESCINDIBLES PARA USUA-
RIOS REMOTOS PUESTO FI-
NAL DE SEGURIDAD
Con un aumento del 93 % en los
ataques de ransomware en todo
el mundo durante los últimos 6
meses, los dispositivos de punto
final nunca han sido más vulne-
rables, y la seguridad de punto
final desempeña un papel funda-
mental para habilitar a su fuerza
de trabajo remota. Sin embargo,
nunca ha habido más puntos
finales para proteger, ya que las
empresas abrieron el acceso a
sus aplicaciones corporativas
desde computadoras portátiles
para garantizar la continuidad
del negocio. Mientras mantienen
la productividad, los usuarios
remotos son más propensos a
un comportamiento imprudente
y al incumplimiento de la política
corporativa.
Como resultado, están más ex-
puestos a ataques de phishing,
malware y ransomware. Y una
vez que la PC o computado-
ra portátil de un usuario está
infectada, la amenaza puede
moverse lateralmente e infectar
fácilmente otros dispositivos de
punto final y activos corporativos.
La protección de punto final
(EPP) y la detección y respues-
ta de punto final (EDR) sirven
como la primera y última línea
de defensa contra la creciente
ola de ataques de ransomware.
Los 5 pilares de una solución
robusta de seguridad para en-
dpoints
Anti-phishing
Defender a los usuarios de los
ataques de phishing (incluido el
phishing de día cero) mientras
usan sus buzones de correo o
navegan por Internet.
Anti-ransomware
Capacidades que monitorean los
cambios en los archivos en las
unidades de los usuarios para
identificar el comportamiento
del ransomware, como el cifra-
do de archivos ilegítimos, y para
bloquear un ataque, así como
para recuperar archivos cifrados
automáticamente.
Desarme y reconstrucción de con-
tenido (CDR)
CDR puede eliminar contenido
explotable al desinfectar docu-
mentos de cualquier elemen-

to dañino y entregar versiones
100% desinfectadas en segun-
dos.
Antibot
Protección contra infecciones im-
pulsadas por bots y exposición
de datos confidenciales.
Detección, remediación y respues-
ta automatizadas posteriores a la
infracción
Análisis, contextualización y
remediación de incidentes im-
pulsados por la automatización,
junto con una vista de ataque de
extremo a extremo, que cubre
los puntos de entrada, el movi-
miento lateral y el impacto en el
negocio.
ACCESO SEGURO A INTER-
NET
Trabajar fuera del firewall corpo-
rativo expone a los usuarios a
una gran cantidad de amenazas
basadas en Internet que, de lo
contrario, estarían bloqueadas
a nivel de red. Los trabajado-
res remotos pueden poner en
riesgo a sus organizaciones sin
querer al descargar archivos
infectados y visitar sitios de
phishing donde se roban las
credenciales corporativas.
Dado que Check Point descubre
más de 10 000 nuevos archivos
maliciosos y 100 000 nuevos
sitios web maliciosos todos los
días, evitar que las amenazas
lleguen a los usuarios se vuel-
ve crítico, y la detección y mi-
tigación retroactivas a menudo
resultan ser demasiado poco y
demasiado tarde.
Entonces, ¿cómo protege de
manera preventiva a los usua-
rios remotos cuando acceden a
Internet para el trabajo y el uso
personal y previene los últimos
ataques de phishing y malware?
Seis principios para seleccionar
una solución de acceso seguro
a Internet
Al seleccionar una solución para
garantizar un acceso seguro a
Internet, hay seis principios que
deben tenerse en cuenta:
Protección completa
Contra phishing, descargas y
sitios web maliciosos, pérdida
de datos, ransomware, exploits
de navegador, entre otros.
Seguridad preparada para el fu-
turo
Tecnologías de seguridad avan-
zadas que pueden bloquear
archivos maliciosos y ataques
de phishing nunca antes vistos.
Una experiencia de usuario per-
fecta
Bloquee los ataques basados
en Internet con un impacto mí-
nimo en la velocidad y la ex-
periencia de navegación del
usuario.
SECURITY OPERATIONS 95
Escala y simplicidad
Evite el tráfico de retorno a través
del centro de datos adoptando
un servicio de seguridad global
basado en la nube o, mejor aún,
implementando la seguridad di-
rectamente en el navegador.
Privacidad
Mantenga privado el historial de
navegación de los usuarios para
garantizar el cumplimiento de
GDPR y otras regulaciones de
protección de datos.
100% inspección de tráfico
Asegúrese de que se pueda ins-
peccionar todo el tráfico, inclui-
das SSL y las nuevas versiones
del protocolo HTTP.
ACCESO DE RED DE CON-
FIANZA CERO (ZTNA) A APLI-
CACIONES CORPORATIVAS
Los empleados remotos no pue-
den hacer su trabajo sin acceso
a sus aplicaciones corporativas.
Y para asegurarse de mantener
una productividad mejorada (in-
cluso cuando están fuera de la
oficina), necesitan un fácil acce-
so desde cualquier dispositivo,
ya sea un teléfono móvil, una
PC doméstica u otro dispositivo.
Si bien el acceso rápido es obli-
gatorio, también es fundamental
poder examinar a cada usuario
antes de que acceda a la red
y a las aplicaciones empresa-
96 SECURITY OPERATIONS
riales confidenciales, ya sea
alojadas en las instalaciones o
en la nube.
Tradicionalmente, las organiza-
ciones han confiado en la se-
guridad basada en VPN para
lograr la tarea y luego propor-
cionar a los usuarios un amplio
acceso a la red una vez auten-
ticados. Este enfoque ya no es
viable. Hoy en día, es necesario
proteger una superficie de ata-
que en constante cambio y tener
visibilidad de lo que los usuarios
están haciendo realmente.
Esta es la razón por la cual la
protección actual requiere una
arquitectura de confianza cero
que permita a los administrado-
res eliminar el riesgo de acceso
no autorizado y evitar el movi-
miento lateral dentro de la red.
6 principios para elegir la solu-
ción ZTNA óptima
Al emprender el camino hacia
el acceso de confianza cero,
es importante adherirse a los
siguientes seis principios y ase-
gurarse de que la solución que
elija permita su implementación:
Considere a todos los usuarios
Ofrezca acceso de confianza
cero en toda la organización,
incluidos terceros, como socios
y contratistas, al mismo tiempo
que brinda soporte para apli-
caciones web, bases de datos,
escritorios remotos y terminales
remotos SSH.
Acceso remoto cliente y sin cliente
Elija una solución que ofrezca
tanto métodos de implementa-
ción como la capacidad de es-
calar de forma segura el acceso
remoto en cuestión de minutos.
Experiencia de usuario
Elija una estrategia y productos
que creen la experiencia más
fluida y similar a SaaS para el
equipo.
Política de acceso con privilegios
mínimos
A un usuario en particular solo
se le deben otorgar los privile-
gios suficientes para permitirle
completar una tarea en parti-
cular. Por ejemplo, un ingeniero
que solo se ocupa de actualizar
líneas de código heredado no
necesita acceder a los registros
financieros.
Autenticación multifactor (MFA)
Verifique estrictamente la iden-
tidad de cada usuario que ac-
cede a la red utilizando múl-
tiples factores. Asegúrese de
que estos factores se puedan
ajustar según la sensibilidad de
los datos/recursos a los que se
accede.
Supervisar y auditar todo
Supervise y revise toda la acti-
vidad de los usuarios en la red
para identificar cualquier activi-
dad sospechosa en tiempo real.
CORREO ELECTRÓNICO Y
SEGURIDAD EN LA OFICINA
En el mundo empresarial moder-
no de hoy, ningún empleado, re-
moto o no, puede ser productivo
sin acceso a aplicaciones de
productividad y correo electró-
nico, como Office 365, Teams,
SharePoint, One Drive, Gmail,
Google Drive y más. Estas he-
rramientas no solo son funda-
mentales para hacer las cosas.
También son uno de los canales
más explotados por los piratas
informáticos, con ataques de
compromiso de correo elec-
trónico comercial (BEC), por
ejemplo, que representan más
del 50% de las pérdidas cau-
sadas por el ciberdelito.
Las 5 protecciones clave para
el correo electrónico y la oficina
Protección contra phishing en
tiempo real
Está totalmente automatizado y
basado en IA para evitar ata-
ques avanzados de phishing
y spear phishing nunca antes
vistos antes de que sucedan.
Protección de malware
Con CDR (desarme y recons-
trucción de contenido) para
entregar archivos adjuntos y
archivos limpios en segundos,
mientras bloquea el malware
evasivo a través del análisis de
archivos estático y dinámico

basado en IA.
Prevención de fugas de datos
Eso permite que se establezcan
políticas personalizadas para
necesidades específicas y que
bloquee automáticamente la in-
formación confidencial saliente
en el correo electrónico y las
aplicaciones de colaboración.
Prevención de amenazas internas
Para escanear y bloquear ame-
nazas que se originan en co-
rreos electrónicos desde dentro
de la red corporativa, y para
evitar el movimiento lateral.
Todo en torno a la seguridad en
una ventanilla única
Para garantizar una seguridad
total fácil de administrar y re-
ducir la complejidad operativa.
DEFENSA CONTRA AMENA-
ZAS MÓVILES (MTD)
Proteger los dispositivos móvi-
les corporativos nunca ha sido
fácil. Las tiendas de aplicacio-
nes contienen muchas aplica-
ciones maliciosas, es más difícil
detectar contenidos y archivos
adjuntos de correo electrónico
sospechosos cuando llegan
a un dispositivo móvil, y los
phishers a menudo explotan
vulnerabilidades que son es-
pecíficas de las aplicaciones
móviles y para las que a me-
nudo no existen filtros.
Pero el desafío ahora es ma-
yor que nunca. La movilización
masiva de la fuerza laboral glo-
bal al hogar significa que los
empleados remotos acceden
a datos corporativos desde dis-
positivos móviles más que nun-
SECURITY OPERATIONS 97
ca, a menudo a través de redes
Wi -Fi públicas que son fáciles
de comprometer, envían más
correos electrónicos, envían
mensajes con más frecuencia
y comparten más archivos que
nunca.
De hecho, durante el año pasa-
do, los investigadores de Check
Point observaron un aumento
en la cantidad de ataques re-
lacionados con dispositivos
móviles, así como métodos de
ataque completamente nuevos,
como ransomware móvil sofis-
ticado y MDM que se arman
para atacar a las organizacio-
nes. Solo en 2020, el 97 % de
las organizaciones se enfrentó
a amenazas móviles que usa-
ban varios vectores de ataque,
y el 46 % de las organizaciones
tenía al menos un empleado
SECURITY OPERATION 99
100 THREAT INTELLIGENCE
Endpoints: lo que no se ve sí
existe
By CrowdStrike
Cada día más empresas trasladan
más aplicaciones, infraestructura
y datos a la nube. El número de
endpoints que accede a ellos se
dispara. Un endpoint es cualquier
dispositivo que se pueda conectar
a una red, incluidos computadoras,
portátiles, teléfonos móviles, tablets
y servidores, así como cualquier
otro dispositivo que se pueda co-
nectar a Internet (Internet de las
cosas o IoT).
Por eso, el endpoint se conside-
ra una de las mayores fuentes de
riesgos para cualquier empresa. La
falta de visibilidad y escalabilidad
en este entorno expansivo plantea
un serio desafío para los equipos
de seguridad y TI encargados de
la protección de los endpoints,
y ahí, los sistemas de seguridad
antiguos no sirven realmente de
ayuda. Estas soluciones, desarrolla-
das en un principio para identificar
archivos de malware conocido, no
se diseñaron en ningún momento
para escalarse y ofrecer el nivel
de visibilidad necesario para pro-
teger el entorno expansivo actual,
objetivo de agresores que emplean
malware sin archivos, aprovechan
las vulnerabilidades de las plata-
formas y las aplicaciones, roban
y utilizan ilícitamente identidades,
e inyectan amenazas persistentes
avanzadas.
La complejidad se alía con el agre-
sor. Tener visibilidad y control de lo
que está pasando en los endpoints
es difícil, cuando no imposible, por
muchos motivos, debido princi-
palmente al creciente número de
endpoints que cambian de ubica-
ción con frecuencia. Los ciberde-
lincuentes aprovechan las lagunas
de seguridad derivadas de una
visibilidad insuficiente y una falta
de control para sacar partido de
la situación.
¿Qué hace falta para que los equi-
pos de seguridad y TI protejan los
endpoints con agilidad, eficiencia
y eficacia?
La protección de endpoints mo-
derna requiere una visibilidad total.
Una protección de endpoints ver-
daderamente eficaz debe propor-
cionar el máximo nivel posible de
seguridad, pero también ser fácil
de utilizar. La complejidad sobre-
carga a los equipos y los procesos,
e introduce lagunas de seguridad
que incrementan el riesgo de que
disminuya la productividad y se
dañe la reputación de una empre-
sa.
Para conseguir tanto seguridad
como simplicidad, la protección
de los endpoints debe incluir cinco
elementos clave:
1. Prevención para impedir la en-
trada del mayor número posible de
agentes maliciosos.
2. Detección para buscar y eliminar
ciberdelincuentes.
3. Threat hunting gestionado para
llevar la detección más allá de las
defensas automatizadas.
4. Inteligencia sobre amenazas
para conocer a los atacantes y

anticiparse a sus movimientos.
5. Gestión de vulnerabilidades e
higiene de TI para preparar y re-
forzar el entorno frente a amenazas
y ataques.
Estas cinco capacidades solo se
pueden implementar, integrar y
ofrecer a través de una plataforma
nativa de la nube que simplifique
las operaciones de seguridad y
cumpla los requisitos de veloci-
dad, flexibilidad y escalabilidad
necesarios para defenderse de
las amenazas más sofisticadas
de hoy en día.
Prevención: cierre la puerta a
los ciberdelincuentes
La protección de endpoints tradicio-
nal centrada en el malware —como
las soluciones antivirus— suele ser
eficaz únicamente frente al malware
conocido. Además, dado el au-
mento de las tácticas cada vez
más sofisticadas sin archivos ni
malware, resulta insuficiente ante
el panorama de amenazas actual.
Los equipos de seguridad y TI
necesitan la inteligencia de una
solución antivirus de nueva gene-
ración (NGAV) capaz de reconocer
y evitar malware conocido y de día
cero, ransomware, y ataques sin
archivos y sin malware. Las solu-
ciones NGAV avanzadas pueden
emplear análisis de comportamien-
to para buscar automáticamente
indicios de ataque y bloquearlos
mientras suceden.
A diferencia de las soluciones de
seguridad antiguas, que requieren
actualizaciones diarias que dejan
desprotegidos temporalmente los
endpoints, las soluciones NGAV
pueden utilizar aprendizaje auto-
mático para mantener la seguridad
actualizada, sin sobrecargar a los
equipos de seguridad y TI. Las me-
jores soluciones NGAV combinan
estas y otras técnicas avanzadas
que proporcionan la visibilidad y
el contexto necesarios para evitar
que las tácticas, técnicas y procedi-
mientos (TTP) de ataque modernos
logren su objetivo.
No obstante, como bien sabe todo
equipo de seguridad experimen-
tado, hasta la mejor estrategia de
prevención es insuficiente frente a
los ciberdelincuentes sofisticados
y con amplios recursos económi-
cos de hoy día. La solución más
segura para una empresa pasa por
combinar la prevención con una
THREAT INTELLIGENCE 101
estrategia de detección sólida para
identificar y bloquear cualquier ata-
que furtivo que consiga acceder.
Detección: halle y elimine a los
ciberdelincuentes que consigan
colarse
Cuando los ciberdelincuentes con-
siguen un primer acceso sin que
se disparen las alarmas, pueden
permanecer silenciosamente en un
entorno y provocar daños durante
días, semanas o incluso meses, sin
ser advertidos.
Las soluciones de detección y
respuesta para endpoints (EDR)
con funciones de prevención bien
integradas proporcionan la visibi-
lidad que necesitan los equipos
de seguridad para descubrirlos
lo más rápido posible. Para ello,
una solución EDR debe registrar
todas las actividades de interés
de un endpoint para someterlas a
102 THREAT INTELLIGENCE
una inspección exhaustiva, tanto
en tiempo real como a posteriori,
y completar estos datos con in-
teligencia sobre amenazas, con
el fin de suministrar el contexto
necesario para el threat hunting y
la investigación de las amenazas.
Los equipos de seguridad no de-
berían tener que dedicar tiempo
a escribir y ajustar las reglas de
detección. Una solución EDR efi-
caz cuenta con inteligencia para
detectar automáticamente activi-
dades maliciosas y presentar a
los equipos ataques reales, sin dis-
traerlos con falsos positivos y acti-
vidades lícitas. Mediante acciones
de respuesta eficaces, los equipos
pueden contener e investigar sis-
temas comprometidos, incluido el
acceso remoto sobre la marcha,
para tomar medidas inmediatas y
detener la intrusión de raíz.
Aunque las soluciones EDR avan-
zadas pueden detectar ataques
furtivos y descubrir amenazas
que hayan conseguido eludir los
sistemas de prevención, las em-
presas pueden dar un paso aún
más proactivo para proteger los en-
dpoints: incorporar threat hunters.
Threat hunting gestionado: ele-
ve la detección más allá de las
defensas automáticas
El threat hunting permite a las em-
presas aplicar un enfoque humano
y proactivo para buscar activa-
mente actividades sospechosas,
en lugar de confiar únicamente
en la tecnología, para detectar y
avisar de manera automática de
la actividad de un posible ciber-
delincuente.
El threat hunting gestionado sirve
de ayuda a empresas que care-
cen de recursos y expertos en
seguridad para descubrir a los
ciberdelincuentes e impedir que
las amenazas avanzadas acechen
silenciosamente su entorno. Un
equipo de threat hunting expe-
rimentado puede monitorizar su
entorno de manera ininterrumpida
para detectar actividades furtivas
maliciosas.
Los equipos de threat hunting ges-
tionado analizan las amenazas y
trabajan codo con codo con el per-
sonal interno para guiarle desde la
detección hasta la respuesta. Esta
interacción con expertos eleva el
nivel de sofisticación de los equi-
pos de seguridad y TI internos, no
solo en ese preciso momento, sino
también a la larga.
Los threat hunters adoptan un
enfoque proactivo en cuanto a la
protección de endpoints, gracias a
sus años de experiencia. Al tener
visibilidad del estado de los en-
dpoints y acceso a la inteligencia
adecuada sobre amenazas, no
solo son capaces de entender lo
que observan, sino que pueden
también anticiparse a las cibera-
menazas contra la empresa.
Inteligencia sobre amenazas: co-
nozca y anticípese a los ataques
Los agresores se mueven con
tanta rapidez y sigilo que a las
tecnologías y los profesionales
de la seguridad les resulta difícil
seguir el ritmo de las últimas ame-
nazas y protegerse de ellas con
antelación. Para responder con la
misma celeridad, las soluciones
de seguridad de endpoints deben
incorporar siempre inteligencia
sobre amenazas o tener la ca-
pacidad de integrar inteligencia
de terceros.
104 THREAT INTELLIGENCE
Qué esperar en ciberseguridad
para 2023
Por FortiGuard Labs
2022 fue un año en que la ciberse-
guridad estuvo en la mira de todos,
con un incremento en los ataques
con resultados devastadores.
FortiGuard Labs repasa las ten-
dencias más preocupantes en el
panorama cibernético para el año
que se avecina.
Una mirada retrospectiva a sus
predicciones para 2022
El año pasado, FortiGuard Labs
hizo varias predicciones sobre
cómo evolucionaría el panorama
de amenazas, que van desde que
los atacantes dedican más esfuerzo
a las actividades previas al ataque
hasta un número cada vez mayor
de intentos de ataque que afectan la
tecnología operativa (OT). Veamos
cómo les fue a algunas de tales
predicciones y cómo esperan que
evolucionen estas amenazas a me-
dida que planificamos para 2023.
El auge del ciberdelito persisten-
te avanzado
Predijeron un aumento de nuevas
vulnerabilidades y más actividad de
“mano izquierda”, o reconocimien-
to previo al ataque y armamento,
entre los atacantes que allanarían
el camino para escalar aún más el
crecimiento de Crime-as-a-Service
(CaaS). Y solo en la primera mitad
de 2022, la cantidad de nuevas
variantes de ransomware que iden-
tificaron aumentó casi un 100 % en
comparación con el período de seis
meses anterior.
Este crecimiento explosivo de nue-
vas variantes de ransomware se
puede atribuir principalmente a la
creciente popularidad de RaaS en
la dark web.
Al igual que la transmisión de me-
dios o las aplicaciones de entrega
de alimentos, anticiparon que las
organizaciones ciberdelincuentes
utilizarán servicios de modelo de
suscripción y comprarán ranso-
mware plug-and-play. Para agregar
más presión sobre las víctimas, los
operadores de RaaS a menudo
amenazan con filtrar datos robados
en la web oscura si no se cumplen
sus demandas.
Si bien la cantidad de variantes de
ransomware que se están introdu-
ciendo se está disparando princi-
palmente debido a RaaS, los pagos
de ransomware también están au-
mentando. La Red de Ejecución de
Delitos Financieros del Tesoro de
EE. UU. (FinCEN) informó que las
organizaciones pagaron casi u$s
600 millones en ransomware en la
primera mitad de 2021. El 72 % de
los encuestados afirma tener una
política de rescate y el procedimien-
to para el 49 % de ellos es pagar
el rescate directamente.
Ahora predicen que el mercado
de CaaS se expandirá significa-
tivamente hasta 2023 y más allá,
con nuevos exploits, servicios y
programas estructurados que
pronto se ofrecerán a los actores
de amenazas a través de modelos
de suscripción.

Los ataques perimetrales se ge-
neralizan
Los dispositivos perimetrales, como
los sistemas OT y las redes de Inter-
net satelitales, alguna vez se consi-
deraron objetivos no tradicionales (y
menos populares) para los atacan-
tes astutos. Sin embargo, durante la
última década, han observado un
aumento en la sofisticación y el vo-
lumen de intentos de ciberataques
contra estos objetivos.
La convergencia casi universal de
las redes de TI y OT ha facilitado
que los atacantes accedan a los sis-
temas OT. Según el Informe sobre el
estado de la tecnología operativa y
la ciberseguridad de Fortinet 2022,
el 93 % de las organizaciones ex-
perimentó una intrusión dirigida a su
infraestructura de OT en los últimos
12 meses, y el 83 % experimentó
más de tres.
El año pasado, predijeron que los
actores de amenazas usarían cada
vez más los troyanos de acceso al
borde (EAT) para atacar los entor-
nos de borde, y vieron varios ejem-
plos de esto. Uno de esos ejemplos
observado por FortiGuard Labs
en marzo de 2022 fue un troyano
genérico llamado StartPage que
cambia la página de inicio de un
navegador para mostrar publicidad,
promover aplicaciones engañosas
o maliciosas, o explotar el navega-
dor para ejecutar amenazas. Impul-
só un aumento global en la entrega
de malware a dispositivos OT.
También predijeron que las redes
de Internet satelitales se converti-
rían en un nuevo objetivo para los
ciberdelincuentes. A medida que
el tamaño y la escala de estas re-
des continúan creciendo, también
lo hace la cantidad de intentos de
compromiso.
Esperan que continúen estos tipos
de ataques basados en satélites,
siendo los principales objetivos las
organizaciones que dependen de
la conectividad basada en satélites
para respaldar actividades de baja
latencia, como cruceros y buques
de carga, aerolíneas, plataformas y
oleoductos de petróleo y gas, y ser-
vicios remotos. oficinas de campo.
La motivación de los ciberdelin-
cuentes que buscan explotar los
dispositivos perimetrales es simple:
los objetivos como los sistemas OT
y las redes satelitales ofrecen a los
atacantes nuevos puntos de entra-
da al entorno de una organización.
El aumento de los bordes de la red
también significa que hay más lu-
gares para ocultar las amenazas
del tipo living-off-the-land, lo que
permite a los atacantes hacer que
sus operaciones maliciosas parez-
can actividades normales de la red
y pasen desapercibidas.
El ransomware y los wipers se
potencian
El secuestro de datos es cada vez
más desagradable y más caro. En
una encuesta global sobre ranso-
mware realizado por Fortinet, el 67
THREAT INTELLIGENCE 105
% de las organizaciones informaron
haber sufrido un ataque de ranso-
mware. Peor aún, casi la mitad dijo
que había sido atacada más de
una vez, y casi una de cada seis
dijo que había sido atacada tres o
más veces.
En 2021, comenzaron a ver los pri-
meros indicios de que los atacan-
tes estaban subiendo la apuesta
al agregar malware wipers a sus
ataques de ransomware. El malwa-
re Wiper, que se descubrió inicial-
mente hace una década, brinda a
los ciberdelincuentes la capacidad
de eliminar datos y paralizar la dis-
ponibilidad crítica del sistema, como
OT o equipos y servidores, a menos
que se cumpla una demanda de
rescate. Dado el nivel de conver-
gencia que han visto entre varios
métodos de ataque y amenazas
persistentes avanzadas (APT),
anticipamos que un número cre-
ciente de ataques de ransomware
se combinarían con capacidades
más destructivas como el malware
wipers.
Las tendencias del malware Wiper
revelan una evolución inquietante de
técnicas de ataque más destruc-
tivas y sofisticadas. La creciente
prevalencia del malware wiper es un
indicador de que estas cargas útiles
armadas no se limitan a un objetivo
o región y probablemente se usarán
en combinación con otros libros de
jugadas de ciberdelincuencia en el
futuro. La combinación de malware
de limpieza con ransomware re-
106 THREAT INTELLIGENCE
presenta una nueva combinación
viciosa que sube la apuesta para
los delincuentes que buscan extor-
sionar a sus víctimas.
Adaptando a la inteligencia arti-
ficial como arma
La IA ya se usa de manera defensi-
va para detectar comportamientos
inusuales de Internet de las cosas
(IoT) que pueden indicar un ataque,
generalmente por botnets. Y como
predijeron desde FortiGuard Labs,
los ciberdelincuentes han comen-
zado a aprovechar cada vez más
la IA para respaldar una multitud
de actividades maliciosas, que van
desde frustrar los algoritmos que
detectan la actividad anormal de la
red hasta imitar el comportamiento
humano.
Uno de esos ejemplos de atacantes
que utilizan la IA como arma es el
desarrollo de Deep fakes. El término
“deepfake” se utilizó por primera vez
hace cinco años. Este vector de ata-
que presenta una causa creciente
de preocupación. Existen varios
métodos para crear deepfakes y
las tecnologías están mejorando
rápidamente. Uno de los más popu-
lares es el uso de la red adversarial
generativa (GAN), que se entrena
para reconocer patrones mediante
algoritmos que también se pueden
usar para crear imágenes falsas.
Otro método es a través de algorit-
mos de inteligencia artificial llama-
dos codificadores, que se utilizan
en la tecnología de reemplazo e
intercambio de rostros. El deco-
dificador recupera e intercambia
imágenes de caras, lo que permite
superponer una cara a un cuerpo
completamente diferente.
Los deepfakes ciertamente repre-
sentan otro vector de amenaza
potencial que los equipos de segu-
ridad y sus organizaciones deben
considerar. Ya están viendo algunos
casos de piratas informáticos que
utilizan estas tácticas para apoyar
actividades delictivas.
Atracos a billeteras criptográficas

Las transacciones bancarias y las
transferencias electrónicas solían
ser los principales objetivos de los
ciberdelincuentes. Sin embargo, a
medida que los bancos mejoran
cada vez más sus medidas de se-
guridad, encriptando transacciones
y requiriendo autenticación de múl-
tiples factores (MFA), ahora es más
difícil para los piratas informáticos
interceptar estas transacciones.
Pero como dice el dicho, “Cuando
una puerta se cierra, otra se abre”.
Como se predijo, observan más ins-
tancias de malware diseñado para
apuntar a las credenciales cripto-
gráficas almacenadas y drenar las
billeteras digitales. Las billeteras
digitales son objetivos fáciles para
los piratas informáticos, ya que tien-
den a ser menos seguras.
Nuevas tendencias de ataque a
tener en cuenta en 2023
No es ningún secreto que los pira-
tas informáticos seguirán confiando
en ciertas tácticas de ataque proba-
das y verdaderas, particularmente
aquellas que son fáciles de ejecutar
y les ayudan a lograr ganancias
rápido. Sin embargo, el equipo de
FortiGuard Labs predice que sur-
girán varias tendencias de ataques
nuevas y distintas en 2023. Estos
son algunos de los desarrollos úni-
cos de ataques de seguridad para
los que hay que estar atentos el
próximo año.
Nuevas ofertas de crimen
como servicio
Dado el éxito de los ciberdelin-
cuentes con RaaS, predicen desde
FortiGuard Labs que un número
creciente de vectores de ataque
adicionales estarán disponibles
como servicio a través de la dark
web. Además de la venta de ran-
somware y otras ofertas de Malwa-
re-as-a-Service (MaaS), también
se comenzarán a ver nuevas so-
luciones criminales y un aumento
en la venta de acceso a objetivos
previamente comprometidos.
CaaS podría ser un modelo comer-
cial atractivo para los actores de
amenazas. Esperan ver más ofertas
llave en mano basadas en suscrip-
ción disponibles para los actores de
amenazas. Este modelo emergente
permitiría a los ciberdelincuentes
de todos los niveles implementar
ataques más sofisticados sin invertir
el tiempo y los recursos por adelan-
tado para elaborar su propio plan
único. Y para los ciberdelincuentes
experimentados, la creación y venta
de carteras de ataques “como ser-
vicio” ofrece un día de pago simple,
rápido y repetible.
Como resultado, prepárense para
que surja una cartera de CaaS am-
pliada en 2023 y más allá.
También anticipan que los acto-
res de amenazas comenzarán a
aprovechar los vectores de ataque
emergentes, como los deepfakes,
ofreciendo estos videos y grabacio-
nes de audio y algoritmos relaciona-
dos de manera más amplia para su
THREAT INTELLIGENCE 107
compra. Más allá de apuntar a cele-
bridades de alto perfil y funcionarios
públicos, esperan que los actores
de amenazas amplíen su alcance
para incluir personas influyentes,
particularmente aquellos con una
fuerte presencia digital.
Además de los deepfakes, predicen
que el reconocimiento como servi-
cio aumentará en popularidad. A
medida que los ataques se vuelven
más específicos, es probable que
los actores de amenazas contraten
“detectives” en la web oscura para
recopilar información sobre un obje-
tivo en particular antes de lanzar el
ataque. Al igual que los conocimien-
tos que se pueden obtener al con-
tratar a un investigador privado, las
ofertas de Reconocimiento como
servicio pueden ofrecer planes de
ataque, para incluir el esquema de
seguridad de una organización,
el personal de seguridad clave, la
cantidad de servidores que tienen,
las vulnerabilidades externas cono-
cidas e incluso credenciales com-
prometidas para la venta, y más,
para ayudar a un ciberdelincuente
a llevar a cabo un ataque altamente
dirigido y efectivo.
El lavado de dinero recibe un
impulso con la automatización
Para ayudar a hacer crecer una
organización criminal, los líderes y
los programas de afiliados suelen
emplear mulas de dinero, personas
que, a sabiendas o sin saberlo, se
utilizan para ayudar a lavar dinero
108 THREAT INTELLIGENCE
en nombre de un sindicato del cri-
men. Las mulas de dinero a menu-
do se reclutan a través de anuncios
y se utilizan para mover dinero de
forma anónima de un país o cuenta
bancaria a otro.
Esta mezcla de dinero generalmen-
te se realiza a través de servicios
de transferencia bancaria anóni-
mos o mediante intercambios de
cifrado para evitar la detección. El
uso de mulas desconocidas para
las transacciones y la reubicación
física del dinero ayuda a evitar de-
jar un rastro digital y sigue siendo
común. Los fondos a menudo se
fragmentan en lotes más pequeños
y luego se transfieren a través de
múltiples canales para evitar activar
las alertas exigidas por las leyes
contra el lavado de dinero.
Anticipan que los ciberdelincuentes
comenzarán a usar el aprendizaje
automático (ML) para la selección
de objetivos, ayudándolos a identi-
ficar mejor a las mulas potenciales
y reduciendo el tiempo que lleva
encontrar a estos reclutas.
También esperan que las cam-
pañas manuales de mulas sean
reemplazadas por servicios auto-
matizados que mueven dinero a
través de capas de intercambios
criptográficos, lo que hace que el
proceso sea más rápido y más di-
fícil de rastrear.
El lavado de dinero como servicio
está claramente en el horizonte.
Esto podría convertirse rápidamente
en parte de la creciente cartera de
CaaS. Y para las organizaciones
y personas que son víctimas de
este tipo de ciberdelincuencia, el
paso a la automatización significa
que el lavado de dinero será más
difícil de rastrear, lo que reduce las
posibilidades de recuperar los fon-
dos robados.
Las ciudades virtuales dan la
bienvenida a una nueva ola de
ciberdelincuencia
El metaverso está dando lugar a
nuevas experiencias totalmente
inmersivas en el mundo en línea,
y las ciudades son algunas de las
primeras en incursionar en esta
nueva versión de Internet impulsada
por la realidad aumentada (AR), la
realidad virtual (VR) y la realidad
mixta (MR).
Estas ciudades virtuales prometen
replicar experiencias y lugares de
la vida real: las personas pueden
crear avatares que luego pueden
trabajar, jugar, comprar y más en
un espacio virtual. Los minoristas
incluso están lanzando productos
digitales disponibles para su com-
pra en estos mundos virtuales.
Sin embargo, si bien estos nuevos
destinos en línea abren un mundo
de posibilidades, también abren la
puerta a un aumento sin preceden-
tes de la ciberdelincuencia. Consi-
dere que el avatar de un individuo
es esencialmente una puerta de
entrada a su información de iden-
tificación personal (PII), lo que los
convierte en objetivos principales
para los atacantes.
Debido a que las personas pue-
den comprar bienes y servicios en
ciudades virtuales, billeteras digita-
les, intercambios de cifrado, NFT
y cualquier moneda utilizada para
realizar transacciones, ofrecen a
los actores de amenazas otra su-
perficie de ataque. Estos bienes y
activos virtuales también se pueden
robar y revender. La piratería biomé-
trica también podría convertirse en
una posibilidad real debido a los
componentes impulsados por AR
y VR de las ciudades virtuales, lo
que facilita que un ciberdelincuente
robe el mapeo de huellas dactilares,
los datos de reconocimiento facial y
los escaneos de retina y luego los
use con fines maliciosos.
Jugando el (ataque) juego largo
Desde FortiGuard Labs predicen
que ciertas nuevas tecnologías
ofrecerán a los ciberdelincuentes
nuevas oportunidades de compro-
miso. Según lo que se sabe hoy
sobre las tecnologías emergentes,
como Web3, así como aquellas que
parecen ser más desenfrenadas y
destructivas que nunca, aquí hay
varias predicciones a largo plazo
sobre cómo podemos esperar que
evolucione el panorama de ame-
nazas, no solo en los próximos 12
meses, sino en los próximos años.
Wipeout
El malware Wiper ha tenido una rea-

parición espectacular este año, con
atacantes que introducen nuevas
variantes de este método de ata-
que de hace una década. Si bien
el crecimiento en la prevalencia del
malware de borrado en sí mismo es
alarmante, anticipan que los actores
de amenazas combinarán cada vez
más varias amenazas para maximi-
zar el nivel de destrucción continua
que pueden causar.
Por ejemplo, un ciberdelincuente
podría combinar fácilmente un
gusano informático con malware
de limpieza, lo que facilita que el
malware se replique rápidamente
y se propague más ampliamente.
Dada la vulnerabilidad adecuada,
dicho exploit podría causar una
destrucción masiva en un cor-
to período de tiempo. Esto hace
que el tiempo de detección y la
velocidad a la que los equipos de
seguridad puedan remediar sean
primordiales.
De cara al futuro, el uso de wipers
en combinación con otros vectores
de ataque es una de las mayores
amenazas emergentes a las que
nos enfrentamos como comunidad
de seguridad. Los wipers pueden
tomar potencialmente el ciberes-
pacio por asalto, impactando las
redes de TI en los sectores público
y privado en todo el mundo.
El Salvaje Oeste de la Web3
Web3 es una nueva iteración de
Internet basada en blockchain que
tiene como objetivo descentralizar
la propiedad de la economía digital.
Se está convirtiendo rápidamente
THREAT INTELLIGENCE 109
en la corriente principal, con un
número cada vez mayor de cor-
poraciones que comienzan a ex-
perimentar con las herramientas
Web3. Y es fácil ver por qué: Web3
ofrece a las organizaciones mu-
chos beneficios potenciales, como
facilitar que los equipos de desa-
rrollo implementen aplicaciones sin
administrar y mantener una nueva
infraestructura para respaldar ese
proceso.
Pero al igual que cualquier nueva
tecnología, Web3 no está exenta
de riesgos de seguridad. Web3 se
trata de que el usuario controle sus
propios datos. Y si hay algo que
hemos aprendido de los incidentes
de seguridad anteriores, es que los
usuarios suelen ser el eslabón más
débil. Y aunque el aspecto irrever-
110 THREAT INTELLIGENCE
sible de blockchain ofrece algunos
beneficios, también presenta desa-
fíos. Por ejemplo, las billeteras Web3
de hoy no usan MFA, dependen
solo de contraseñas y son difíciles
de recuperar si se pierden.
Anticipamos que antes de que
Web3 se generalice, veremos algu-
nas regulaciones introducidas sobre
cómo los nodos de red, los nodos
que son responsables de mante-
ner el estado de la red, abordan
las actividades fraudulentas y los
datos robados. Deben existir proto-
colos para que cuando se cometa
un fraude, la actividad se pueda
rastrear y contener de la misma
manera que lo hacen los bancos
cuando se comete un fraude no
autorizado.
Señalice los preparativos del
Q-Day
La computación cuántica comen-
zó hace más de cuatro décadas,
pero en los últimos años, tanto las
organizaciones del sector público
como privado han incrementado
sus inversiones en esta tecnología.
Un reciente informe de McKinsey
and Company afirma: “Si bien la
computación cuántica promete
ayudar a las empresas a resolver
problemas que están más allá del
alcance y la velocidad de las com-
putadoras convencionales de alto
rendimiento, los casos de uso son
en gran parte experimentales e hi-
potéticos en esta etapa temprana”.
La computación cuántica ya está
proporcionando un gran avance
en cosas como romper algoritmos
criptográficos previamente irrom-
pibles.
Aunque ciertas capacidades de
computación cuántica podrían
no ser ampliamente aplicables o
estar disponibles en la actualidad,
algunos expertos advierten que
el día cuántico (también llamado
Q-Day), el punto en el que las com-
putadoras cuánticas se vuelven lo
suficientemente poderosas como
para romper los mecanismos de
encriptación actuales, se acerca
rápidamente. Y mientras la comu-
nidad de seguridad está trabajando
para crear nuevos algoritmos de
encriptación diseñados para hacer
frente a las computadoras cuánti-
cas, este esfuerzo aún es un trabajo
en progreso.
Por ejemplo, hace solo unos meses,
el NIST anunció los ganadores de
un concurso de varios años en el
que se pidió a los participantes que
diseñaran nuevos estándares de
cifrado que pudieran defenderse
contra las computadoras cuánti-
cas. Uno de estos algoritmos de
encriptación poscuántica, Supersin-
gular Isogeny Key Encapsulation, o
“SIKE”, para abreviar, sufrió rápida-
mente un ataque cibernético de una
computadora de un solo núcleo que
rompió con éxito la encriptación.
Sin duda, la computación cuánti-
ca evolucionará y se volverá más
poderosa en el futuro, incluso más
allá de su eventual capacidad para
descifrar el algoritmo de cifrado. De-
bido a que la computación cuántica
eleva las capacidades de procesa-
miento en una cantidad insondable,
es posible que eventualmente los
ciberdelincuentes las utilicen para
actividades adicionales. Un ejemplo
potencial son los malos actores que
utilizan la computación cuántica
para armar la IA y luego aplicarla
a la aplicación fuzzing en la bús-
queda de nuevas vulnerabilidades
de día cero.
Defenderse contra el panorama
de amenazas en evolución
Los actores de amenazas pueden
estar ampliando sus respectivas
bolsas de trucos, pero la buena
noticia es que se están realizando
numerosos esfuerzos para hacer re-
troceder el ecosistema del delito ci-
bernético. El Departamento de Jus-
ticia (DOJ) vio victorias clave contra
los operadores de ransomware este
año. En enero, 14 miembros de la
notoria pandilla de ciberseguridad
REvil fueron arrestados en Rusia a
petición de las autoridades esta-
dounidenses.
Un mes después, dos personas
fueron arrestadas en la ciudad de
Nueva York. por conspirar para lavar
las ganancias de 119.754 bitcoins
que fueron robados de un cam-
bio de moneda virtual e iniciaron
más de 2.000 transacciones no
autorizadas. Las fuerzas del orden
han incautado más de 3600 millo-
nes de dólares en criptomonedas
112 THREAT INTELLIGENCE
Amenazas de seguridad en
entornos de Nube
By Huawei
Los entornos de datos y compu-
tación en la nube son cada vez
más versátiles, flexibles, accesi-
bles y móviles. De esta manera,
debemos asegurarnos de que las
personas, las empresas, las orga-
nizaciones y los gobiernos sean
conscientes de las amenazas a
la seguridad que existen en es-
tos entornos. En pocas palabras,
ningún entorno es completamente
seguro.
1 - Entornos de Nube: ¿Una
puerta abierta a las amenazas
de seguridad?
En los últimos años, los dispositi-
vos y las personas se han vuelto
más conectados a Internet, com-
partiendo información y recursos
computacionales, colaborando,
generando o consumiendo una
gran cantidad de datos. Particular-
mente en estos dos últimos años,
la transición al trabajo, el juego y
la educación a distancia se ha
acelerado, allanando aún más la
era del “mundo hiperconectado”.
Como una forma de apoyar el
procesamiento y almacena-
miento necesarios, la nueva era
de Internet también cuenta con
el soporte de la tecnología de
computación en la nube (o, del
inglés, Cloud Computing). En la
última década, la computación
en la nube ha evolucionado des-
de servicios esencialmente de
almacenamiento a servicios más
complejos, como Software como
Servicio (SaaS), Plataforma como
Servicio (PaaS), Infraestructura
como Servicio (IaaS.
Sin embargo, el potencial que
ofrece la computación en la
nube y sus máquinas virtuales
rara vez se utiliza hoy en día para
la ciberseguridad. Además, los
desafíos para mantener seguros
los entornos en la nube son enor-
mes y difieren de la seguridad
en entornos convencionales, ya
que un entorno en la nube tiene
diferentes niveles de responsabi-
lidad con respecto a la seguridad
cibernética.
Amenazas Crecientes
Resultados del Ponemon Institute,
que desde el año 2002 ha llevado
a cabo de forma independien-
te investigaciones y educación
relacionadas con la información
y la privacidad, indican que las
amenazas a la seguridad inter-
na han aumentado en número
y frecuencia y que desde el año
2020 dichas amenazas casi se
han duplicado.
Los principales ciberataques es-
tán relacionados con el ataque de
secuestro de datos, más conocido
como ataque de ransomware. A
modo de ejemplo, Sophos publicó
en su informe de investigación
“The State of Ransomware 2021”.
De las respuestas, el 37% de las
organizaciones fueron afectadas
por el ransomware en 2021, el
54% de las empresas afectadas

dijo que los cibercriminales fue-
ron capaces de cifrar sus datos
más significativos en el ataque y
el 96% de aquellos cuyos datos
fueron cifrados recuperaron sus
datos, no necesariamente des-
pués de que pagar el rescate.
Vemos un aumento en el número
y la diversidad de las violaciones
de seguridad, pero lo más preocu-
pante es la falta de comprensión
de las muchas formas en que
pueden ocurrir las violaciones de
seguridad y, lo que es más impor-
tante, el escaso conocimiento de
cómo se pueden seguir pasos
simples para evitar la pérdida de
datos personales o empresariales.
Nueva Forma de Trabajar y su
Impacto en la Seguridad
Las prácticas de trabajo flexibles
también se están consolidando en
las instituciones. El “hot desking”,
en el que las personas se mueven
por la oficina y usan el espacio
cuando y donde lo necesitan, de-
safía la organización tradicional
de la oficina y crea posibles pro-
blemas de ciberseguridad donde
los empleados tienen diferentes
niveles de autorización de segu-
ridad o antigüedad.
Este entorno permite a los em-
pleados acceder a datos, infraes-
tructura, software y otros recursos
informáticos que ofrece la em-
presa a través de computado-
ras, portátiles, tabletas o teléfonos
inteligentes, siempre y cuando
estén conectados a Internet. El en-
torno de nube se considera más
seguro para la institución que la
administración de los recursos
informáticos por parte de la propia
institución.
2. Computación en la Nube
Hoy en día, existen varios provee-
dores de servicios de computa-
ción en la nube (PSCC), por Ej,
instituciones que ofrecen servicios
en la nube. Un ejemplo de ellos
es Huawei Cloud. Sin embargo,
hay otras empresas tecnológicas
ofrecen este tipo de servicios des-
de las más conocidas hasta las
menos conocidas. Los principales
servicios en la nube que se ofre-
cen son: Software como Servicio
(SaaS), Plataforma como Servicio
(PaaS) e Infraestructura como Ser-
vicio (Iaas).
Los entornos de nube pueden ser
de tres tipos principales: públicos,
THREAT INTELLIGENCE 113
privados e híbridos. El entorno de
nube privada es el modelo que
proporciona mayor seguridad
y flexibilidad. El acceso a este
entorno es a través de una sola
institución, lo que hace que ésta
pueda operarlo con mayor control
y privacidad.
3. Amenazas de Seguridad en
el Entorno de Nube
Teniendo en cuenta el funciona-
miento y la arquitectura de los
entornos de nube, es importante
destacar que existen riesgos para
la seguridad (confidencialidad,
integridad y disponibilidad) y para
la privacidad de los sistemas e
información, tales como:
- Fuga y acceso no autorizado a
datos entre máquinas virtuales
que operan en el mismo servidor
- Falla de un proveedor de entorno
de nube de proteger y gestionar
información y datos confidenciales
114 THREAT INTELLIGENCE
- Divulgación de datos confiden-
ciales o críticos a las autoridades
y agencias gubernamentales sin
la aprobación/conocimiento del
usuario
- Fallas del sistema que pueden
hacer que el servicio en la nube
no esté disponible durante un lar-
go período de tiempo
- Compromiso de las aplicaciones
del cliente alojadas en el entorno
de nube
- Acceso a información confiden-
cial y propagación de software
malicioso
El entorno de nube aumenta el
potencial de amenaza debido a
su complejidad y a la ausencia de
una visión y control holísticos por
parte del cliente/usuario. En este
contexto, cuando nos referimos
a las ciberamenazas en entor-
nos cloud, las amenazas que más
destacan por estas característi-
cas se engloban brevemente en:
Ataque de denegación de servi-
cio; Amenazas internas; Menor
visibilidad de la infraestructura;
Uso no autorizado de la carga de
trabajo del entorno de nube; APIs
inseguras; Ransomware y fuga de
datos; Configuración incorrecta
del entorno de nube; Temas Re-
lacionados con el Cumplimiento
y las Regulaciones.
Otro factor que potencia las bot-
nets y los ataques DDoS son los
servicios ofrecidos en Internet
para generar estos ataques, tam-
bién conocidos como DDoS como
servicio o Malware como servicio.
Es importante identificar y defi-
nir, como referencia, el compor-
tamiento del tráfico normal para
poder detectar cualquier compor-
tamiento anormal. En este último
punto sobre la detección de ano-
malías, las técnicas avanzadas de
Ciencias de Datos, Inteligencia
Artificial y Machine Learning pue-
den ayudar significativamente.
Amenazas Internas
Hasta el 43% de las violaciones
de seguridad se originan dentro
de la organización. Los ataques
internos pueden ser maliciosos
(como en el caso de empleados
insatisfechos) o no intencionales.
La formación y la concienciación
adecuadas son la clave para mi-
tigar los ataques de información
privilegiada, junto con un estricto
control y políticas de acceso y
uso. Seguir los principios de mí-
nimo privilegio y confianza cero
es una buena práctica a la hora
de diseñar controles de acceso
al entorno de nube para limitar el
daño que los empleados pueden
causar.
Menor Visibilidad de la Infraes-
tructura
La naturaleza del uso de un pro-
veedor externo para la compu-
tación significa ceder el control
parcial de la infraestructura al pro-
veedor de servicios en la nube.
En este caso, la institución no es
propietaria de la infraestructura
física, por lo que es difícil tener
una visibilidad completa de su
infraestructura y uso de recursos,
especialmente sin los conocimien-
tos técnicos adecuados. El entor-
no de nube opera bajo un modelo
de responsabilidad compartida
entre el cliente y el proveedor de
servicios en la nube. Si bien esto
significa que el proveedor realiza
la gestión de la infraestructura físi-
ca, sigue siendo responsabilidad

de la empresa garantizar que la
carga de trabajo de los datos y
las aplicaciones en la nube per-
manezca segura.
Uso no Autorizado de la Carga
de Trabajo en la Nube
La mayoría de los grandes pro-
veedores operan en un modelo
de autoservicio. Esto facilita que
los usuarios aprovisionen y des-
provisionen cargas de trabajo
en tiempo real en función de sus
necesidades. Por otro lado, esta
facilidad de uso también conlleva
lo que se denomina Shadow IT, o
recursos de TI que los usuarios
crean y utilizan sin el conocimien-
to del personal de TI. Shadow IT
conlleva su propio conjunto de
riesgos, que incluyen (pero no
se limitan a): Mayor riesgo de
pérdida y fuga de datos; Cos-
tos inesperados; Infracciones de
cumplimiento.
Para evitar esta amenaza, es
esencial asegurarse de cumplir
con el principio de mínimo pri-
vilegio y autorizar la creación de
cargas de trabajo sólo a los usua-
rios que lo necesiten como parte
de su trabajo.
APIs Inseguras
Incluso con controles estrictos
en la infraestructura, las API de
aplicaciones inseguras pueden
traspasar las defensas del entorno
de nube y crear una puerta de en-
trada para los atacantes. Muchas
API tienen sus propias vulnerabi-
lidades de seguridad que, cuan-
do se explotan, pueden poner en
riesgo el entorno en la nube. Para
mitigar esta amenaza, es nece-
sario que el personal de TI revise
todas las aplicaciones externas
que cualquier equipo planea usar
y esté al tanto de cualquier riesgo
antes de la implementación.
Ransomware
El entorno de nube ha sido objeto
de gran interés para los ciberde-
lincuentes relacionados con este
tipo de secuestros. Ya existen di-
ferentes variantes de ransomware
que han demostrado ser capaces
de atacar datos en la nube y utili-
zar tecnologías basadas en ella.
Ejemplos de estas variantes son
Jigsaw, Petya, RANSOM_CER-
BER.cad y Ransomcloud.
Configuración Incorrecta del
Entorno de Nube
La infraestructura en la nube
requiere una serie de configura-
ciones. Una parte de la respon-
sabilidad de estos ajustes es del
proveedor de entorno de nube y
la otra parte en del cliente/usuario.
Dependiendo del tipo de servicio
(SaaS, PaaS e IaaS), el grado de
responsabilidad de la configura-
ción recae más en el proveedor
que en el cliente/usuario.
En todos los casos, tanto el cliente/
usuario como el proveedor tienen
un porcentaje de responsabilidad
THREAT INTELLIGENCE 115
en los ajustes y éstos deben reali-
zarse correctamente. A continua-
ción, se muestran algunos de los
problemas de configuración más
comunes que se encuentran en
la infraestructura de nube.
- Almacenamientos de acceso
público.
- Controles de acceso a recursos
inseguros.
- Credenciales expuestas en re-
positorios públicos.
Temas Relacionados con el
Cumplimiento y las Regula-
ciones
Con la aparición de nuevas nor-
mativas y la actualización de las
más antiguas a medida que cam-
bia el escenario, puede ser un
desafío para las organizaciones
mantenerse al día. El cumplimien-
to continuo de las normas en la
nube demuestra ser la principal
solución a los problemas norma-
tivos. Esto significa monitorear
constantemente la postura de
cumplimiento en la nube, en lu-
gar de trabajar sólo durante la
temporada de auditorías.
4. Responsabilidades de Se-
guridad en el Entorno de Nube
En general, la responsabilidad
de seguridad asigna el grado de
control que cualquier actor tiene
sobre la pila de arquitectura:
- Software como Servicio: El pro-
veedor de servicios de computa-
ción en la nube es responsable de
THREAT INTELLIGENCE 117
118 ACTUALIDAD