(*) Fuente: Informe ENISA Threat Landscape 2013
A finales de 2013, ENISA, la Agencia Europea encargada de la protección de redes y IT publicó su informe anual sobre la situación de los ataques en el entorno de la Unión Europea, con una descripción detallada de las principales amenazas, su ámbitto habitual de operación y su frecuencia respecto a los datos recogidos del año anterior. Es bastante alarmante que estos ataques crecen en casi todas las áreas, excepto en cuatro donde permanecen estables.
A éste análisis se une el realizado en la Estrategia de Ciberseguridad Nacional donde se identifican los ataques procedentes de países extranjeros como una de las amenazas más persistentes.
Estos informes se publican anualmente desde 2012 con el objetivo de dar a conocer a los Gobiernos y organizaciones el escenario donde actúan los atacantes, identificar las principales formas de ataque y en base a una buena información poder preveer y reaccionar cuando éstos ocurran.
A pesar de la crisis de los últimos años, la estabilidad económico social europea y en general del mundo occidental ha permitido abordar multitud de proyectos que años antes eran impensables. La dependencia de sectores críticos como el Sanitario y el de Distribución en la solidez de sus redes y en su protección, hace que se hayan convertido en objeto del deseo para los atacantes.
Llama la atención que los pasos para los distintos tipos de ataques son los mismos: identificación del objetivo a atacar previo análisis de su vulnerabilidad; medio utilizado para ello, desde donde encontramos robo de credenciales digitales a creación de páginas falsas web o incluso inserción de código malicioso, explotación del ataque, control de los servidores internos de la organización y acciones posteriores.
Ahora bien, ¿quien es el atacante? El ser humano está acostumbrado desde su origen a defenderse de enemigos más o menos conocidos que han actuado por el factor sorpresa. Pero, ¿que pasa cuando estos enemigos son superiores en tamaño, recursos y conocimiento? El mismo informe identifica como atacantes:
- Empresas, que buscan en la extracción ilícita de información conseguir la ventaja competitiva que no pueden conseguir de otra manera.
- Países enemigos, que han trasladado los escenarios habituales de tensión al ciberespacio, atacando objetivos militares o infraestructuras críticas. En este punto se da además la circunstancia de que el propio estado soporta económicamente estas actividades.
- Los llamados "hacktivistas", es decir, usuarios del entorno Internet para hacers oir su protesta y que no dudan en generar acciones de envio masivo de correo, causando en muchos casos la pérdida del servicio.
- Cibercriminales, en sus diversas formas organizadas o aisladas.
- Empleados, que no quedan exentos de acciones criminales contra sus propias organizaciones.
En este escenario son imprescindibles herramientas capaces de:
- Identificar el origen y destino de los ataques.
- Responder en tiempo real a las acciones detectadas como sospechosas, asi como revertirlas cuando termine la amenaza.
- Orientadas al usuario
- Pudiendo tratar de igual manera el tráfico entrante como el saliente.
- Exactas y actualizadas.