Informe sobre Adversarios Activos: en la unión está la fuerza

En mis casi 30 años como profesional de la seguridad de la información, me he dado cuenta de que a menudo intentamos resolver los problemas equivocados. El mercado de la seguridad puede ser un lugar muy ruidoso y, aunque no faltan datos que consumir, a menudo nos cuesta encontrar la información adecuada. La relación señal-ruido nunca ha sido peor, y necesitamos información precisa y oportuna para estar al día de una función tan crítica y que evoluciona tan rápidamente.

A veces hacemos las preguntas equivocadas

Recuerdo haber realizado una «auditoría de seguridad», que supongo que ahora llamaríamos más acertadamente prueba de penetración, alrededor de 1996. La organización tenía un firewall Check Point y algunos servidores UNIX, y el firewall bloqueaba todo excepto FTP y SMTP a los equipos Sun Solaris que había detrás. El servidor FTP estaba completamente abierto y había sido requisado para alojar warez, y el servidor SMTP era Sendmail y estaba configurado como un relé abierto. La pregunta que querían responder era: «¿Está el firewall configurado y funcionando correctamente?». La respuesta era sí, pero, aun así, tenías un problema de seguridad muy grave.

Cuando empecé a trabajar en Sophos en octubre de 2003, la gente pedía a gritos firewalls para clientes y software antispyware. Lo que podría haber sido más eficaz en ese momento habría sido adoptar el recién lanzado proceso Martes de Parches y desactivar la compatibilidad con scripts en Outlook y Outlook Express, o bloquear el uso de macros, o desactivar Autorun, o cualquier combinación de estos ajustes que ahora resultan obvios. A menudo nos distraen los problemas visibles, como las barras de herramientas del navegador, en lugar de los problemas invisibles más críticos.

Decir verdades difíciles

La mayoría de nosotros buscamos el consejo de nuestros compañeros y, a menudo, juzgamos nuestra propia madurez y progreso en materia de seguridad en comparación con ese mismo grupo de compañeros. A alto nivel, esto funciona bien, pero empieza a fallar cuando nos fijamos en nuestros fracasos. Entra en escena nuestro amigo (?) el acuerdo de confidencialidad: todo lo que aprendemos de nuestros errores debemos mantenerlo en secreto. Se nos prohíbe discutir o compartir las lecciones aprendidas. Lamentablemente, he visto el efecto de esto cientos de veces cuando las organizaciones deciden, por cualquier motivo, ocultar los problemas bajo la alfombra. Su decisión individual puede haber tenido sentido para cada organización, pero en Sophos vimos cómo, uno tras otro, los clientes caían como fichas de dominó por los mismos problemas. Como es de esperar, esto ha sido un factor determinante en nuestros continuos esfuerzos por operar con la mayor transparencia posible, ya sea en los meses de análisis y revisión de datos que se dedican a cada informe o en proyectos de toda la empresa, como el Pacific Rim de 2024.

El peor resultado del peligro legal al que se enfrentan generalmente las empresas y los ejecutivos por sus fallos de seguridad es que luego tienen que ver cómo otros repiten sus errores una y otra vez. Probablemente. Es difícil saberlo, ya que las otras víctimas tampoco pueden revelar sus errores.

De Bangkok a Calgary

Cuando John Shier tuvo la idea del Informe sobre Adversarios Activos hace seis años, me entusiasmó inmediatamente. Su motivación era aprender más sobre lo que ocurría después de que los atacantes obtuvieran el acceso inicial a las organizaciones objetivo, pero lo que me entusiasmaba era que por fin podríamos tener una forma de compartir realmente las causas fundamentales para ayudar a los responsables de seguridad a aprender de los errores de sus compañeros. Al anonimizar y agregar muchos casos, podríamos llegar al núcleo de los problemas sin dañar la reputación o la confianza de nadie.

El informe de este año se basa en más de 600 casos de todo el mundo y de diversos sectores. A pesar de toda esta variedad, los datos muestran que muchas organizaciones se enfrentan a problemas fundamentales similares que las llevan a situaciones en las que es necesaria una respuesta a incidentes.

Por ejemplo, aunque solo el 16 % de los incidentes en 2025 implicaron una vulnerabilidad explotada, puede ser útil examinarlo más detenidamente para saber qué priorizar al planificar nuestros parches. Profundizando más, el 52 % de las vulnerabilidades explotadas se encontraban en dispositivos de seguridad y el 33 % en aplicaciones conectadas a Internet. Por no mencionar el dominio absoluto de CVE-2024-40766, la vulnerabilidad de SonicWall de gran repercusión, en los resultados de este año, algo que comentamos en el informe. Esto pone de manifiesto dónde muchos de nosotros tenemos trabajo por hacer y dónde es necesario replantearse en 2026 las prácticas recomendadas del sector en materia de priorización de parches. A lo largo de este año, los autores del Informe sobre Adversarios Activos publicarán más datos sobre esta línea de investigación.

Allons-y

Todos tenemos mucho trabajo por delante, y este informe está aquí para ayudaros a orientar vuestros esfuerzos. Es el mejor informe hasta la fecha y el más extenso desde que comenzamos a publicarlo en 2020. Al igual que con el informe del año pasado, hemos compartido nuestros datos con Verizon para que los incluya en el Informe de investigación de violaciones de datos (DBIR) de este año. También compartimos los datos en nuestro GitHub con ánimo de transparencia; la publicación de este año incluirá datos del periodo comprendido entre 2022 y 2025.

Te animo a que leas el informe completo para beneficiarte de las ideas de los autores, ya que a menudo los detalles son los que marcan la diferencia, y nuestros investigadores pueden ayudarte a aplicar una perspectiva útil para interpretar los resultados. Si decides explorar los datos más a fondo obteniendo una copia de GitHub y realizando análisis adicionales, nos encantaría que nos lo contaras.

Lee el artículo completo en inglés aquí.