Por qué los antivirus y suites de seguridad no son suficientes para tener a salvo tu información
Casi la mitad de las pymes no tiene un plan de respuesta a incidentes y un tercio de estas empresas no ofrece ningún tipo de formación en ciberseguridad a sus plantillas. En muchos casos, su estrategia de protección frente a los ciberataques se sustenta en torno al uso de antivirus y suites de seguridad. Pero… ¿son suficientes los antivirus y las suites de seguridad para proteger la información de las empresas?
Para calibrar la efectividad de los antivirus y las suites de seguridad debemos detenernos, en primer lugar, en las características de estas tecnologías. Los antivirus son programas que rastrean la presencia de malware en un dispositivo, eliminan archivos sospechosos, alertan sobre problemas de seguridad y paralizan procesos peligrosos.
Por otro lado, una suite de seguridad es un conjunto de aplicaciones como antivirus, firewalls, gestores de contraseñas o programas antifraude que se implementan en ordenadores y servidores para establecer una capa de protección más elevada que la que ofrece un simple antivirus.
A continuación, vamos a desgranar los motivos por los que antivirus y suites de seguridad no son lo suficientemente eficaces a la hora de proteger la información empresarial.
1. La tasa de falsos positivos de los antivirus y las suites de seguridad debe ser baja
Tanto los antivirus como las suites de seguridad son de uso común en los dispositivos personales y en los equipos corporativos. Para que su funcionamiento no altere la actividad diaria de las empresas, no pueden generar un número de alertas que no sea aceptable por los usuarios de estas soluciones.
¿Por qué? En estos casos las aplicaciones estarían generando más ruido y trabajo que beneficios. Esto se traduce en que:
- Los desarrolladores de antivirus y suites de seguridad buscan evitar falsos positivos. Es decir, supuestos casos de actividad maliciosa que resulta no ser un peligro, pero que, sin embargo, repercuten en la operatividad cotidiana de las empresas. Por ejemplo, porque el programa paraliza un proceso.
- Esta clase de tecnología se centra en alertar sobre amenazas que presentan un riesgo elevado.
- Es posible que se produzcan falsos negativos: casos maliciosos reales que no han generado alertas por parte de los antivirus o las suites de seguridad.
Así, una suite de seguridad con mecanismos de defensa como seguridad de red o cloud es una tecnología interesante para una empresa. Sin embargo, se tratan de herramientas automatizadas que buscan ser precisas para no bloquear procesos empresariales sin tener motivos lo suficientemente sólidos como para hacerlo.
2. La efectividad de los antivirus y las suites de seguridad se reduce ante comportamientos que no son técnicamente maliciosos
Precisamente, también debemos destacar que los antivirus y suites de seguridad son soluciones automatizadas que rastrean actividad maliciosa en un sentido técnico, de tal manera que estas tecnologías no son capaces de detectar y bloquear actividades maliciosas que técnicamente no lo son.
Por ejemplo, si un trabajador copia en un USB varios archivos de gran valor para su empresa como un listado de clientes y se lo lleva fuera de la compañía, el antivirus o la suite de seguridad empresarial no emitirá alerta ninguna. Al fin y al cabo, el profesional ha realizado una acción aparentemente cotidiana. Sin embargo, puede tratarse de una acción fraudulenta.
Muchas acciones maliciosas se escapan del alcance de las suites y antivirus
Otra casuística que podría darse es que se emplee Python para ejecutar un script. Hay muchas aplicaciones que lo hacen y resulta difícil identificar si el uso es verídico o no.
Por eso, al abordar la efectividad de los antivirus y las suites de seguridad en la protección de la información corporativa es importante tener en cuenta que estas tecnologías operan desde una perspectiva meramente técnica y no tienen en cuenta que algunas actividades pueden afectar a los negocios de manera crítica y que, incluso, pueden tratarse de fraudes.
3. Estas tecnologías son insuficientes para hacer frente a amenazas avanzadas
Asimismo, también debemos señalar que la efectividad de los antivirus y las suites de seguridad en la protección de información empresarial se resiente ante ciberataques sofisticados. ¿Por qué? Los grupos de ciberdelincuentes con más recursos y capacidades técnicas pueden poner en marcha técnicas, tácticas y procedimientos para evadir con éxito la detección de estas tecnologías.
De ahí que los expertos en ciberseguridad hagan hincapié en que la efectividad de los antivirus y las suites de seguridad para proteger la información sea muy limitada en las grandes empresas, ya que estas organizaciones son el objetivo de grupos de amenazas persistentes avanzadas (APT, de sus siglas en inglés) y otros actores maliciosos de gran nivel.
Los APT pueden emular la actividad de un equipo de IT o de un software legítimo y, por lo tanto, evitar que los antivirus y las suites de seguridad lancen ningún tipo de alerta, aunque se esté produciendo un incidente de seguridad. Además, estas tecnologías presentan una limitación añadida: carecen de telemetría y, por lo tanto, no pueden proporcionar la información que Threat Hunters y otros profesionales de ciberseguridad necesitan para proteger a las empresas.
4. Antivirus y suites de seguridad vs. EDRs: La telemetría es clave
Precisamente, es importante tener en cuenta que los antivirus y las suites de seguridad no registran información sobre la actividad que se produce en un equipo como sí lo hace el EDR.
Esta tecnología supone una capa superior de protección frente a los incidentes de seguridad y proporciona información de gran valor que puede ser interpretada por los expertos en ciberseguridad para detectar patrones maliciosos que la tecnología no fue capaz de captar.
Dicho de otra manera, los antivirus y las suites de seguridad no se mueven en una escala de grises. Generan alertas cuando la probabilidad de que una actividad sea maliciosa es muy elevada. Sin embargo, no proporcionan información sobre otras actividades que podrían serlo.
Un servicio profesional es capaz de detectar ataques que una suite de seguridad o un antivirus pasarían por alto
Por el contrario, los EDR al proporcionar telemetría, permiten a los profesionales interpretar la información y cribar todas las actividades que se producen en la escala de grises para comprobar si se tratan de meras sospechas que no entrañan un peligro de seguridad o si, por el contrario, son acciones maliciosas.
Eso sí, debemos tener en cuenta que no todos los EDR son iguales. Por ejemplo, los servicios de Threat Hunting de Tarlogic solo emplean tecnologías homologadas que han sido previamente analizadas por los profesionales de la compañía para saber que son sólidas y que generan toda la información que se necesita para prestar estos servicios de ciberseguridad.
5. La importancia del talento humano en la protección de las empresas
Ninguna tecnología es infalible. Por eso, es fundamental que la estrategia de ciberseguridad de una empresa combine el uso de soluciones básicas como los antivirus y las suites de seguridad, con tecnologías más completas como los EDR y servicios de ciberseguridad especializados como Threat Hunting, Red Team o Blue Team.
De esta manera se estará cumpliendo un principio básico de la ciberseguridad: la defensa en profundidad mediante el despliegue de diversas capas. Renunciar a una defensa en profundidad puede resultar una temeridad para las pymes y, sobre todo, para las grandes organizaciones; se exponen a ciberataques que se salden con cuantiosas pérdidas económicas y la imposición de sanciones por no haber protegido los datos de manera adecuada.
De ahí que resulte crítico implementar servicios de Threat Hunting proactivo que analicen la información que reportan EDRs validados y puedan investigar continuamente para detectar las técnicas, tácticas y procedimientos maliciosos más avanzados y que pasan inadvertidos a tecnologías como los antivirus o las suites de seguridad.
Conclusiones
En definitiva, todas las empresas, sin importar su tamaño ni su sector de actividad, deben ser conscientes de que las suites de seguridad y los antivirus suponen una primera capa de defensa, pero no son suficientes a la hora de proteger su información y sus activos.
El uso de tecnología puntera y los conocimientos y la experiencia de profesionales especializados son críticos para prevenir, detectar y responder a los incidentes de seguridad. Si quieres más información sobre cómo proteger tu empresa de las múltiples amenazas a las que puede enfrentarse, ponte en contacto con nosotros sin compromiso.