México está bajo ataque. No se trata de agresiones armadas, pero sí de amenazas igualmente costosas para empresas y personas: los ciberataques.
Este tipo de delitos han aumentado 78 por ciento en México en lo que va de 2024, en comparación con 2023, según datos de la empresa mexicana de ciberseguridad Cyberpeace.
Cyberpeace es un veterano en la industria, con 10 años de experiencia en el mercado y cuenta con oficinas en Nuevo León, Ciudad de México y Morelos.
El equipo de Cyberpeace está compuesto por especialistas en ciberseguridad encargados de blindar a sus clientes, entre los cuales están algunos incluidos en la lista Fortune 500. Y entre sus partners se encuentran Watchguard, Wazuh, Shuffle y Microsoft.
Se atiende a empresas pequeñas, medianas y grandes, que tengan un flujo contante de datos. Por ejemplo, cuentan con clientes que requieren un alto grado de protección, como bancos.
Grupo REFORMA visitó el Centro de Operaciones de Seguridad (SOC) de Cyberpeace, ubicado en Cuernavaca, sede que ofrece planes de crecimiento de sus trabajadores, como certificaciones constantes en frameworks como Google Security Operations, aseguró Alejandro Romero, director general de Cyberpeace.
La compañía opera en esta sede con un Blue Team y un Red Team. El primero se dedica a la contención de ataques, mientras que el segundo realiza hacking ético, detectando vulnerabilidades en los sistemas de sus clientes para corregirlas.
El equipo incluye a Marco García, director de operaciones; Ulises Cervantes, director del Red Team; Arturo Durán, gerente del Red Team, y David Cárdenas, director de consultoría, quienes conforman el núcleo del SOC.
El SOC es un espacio físico: una sala equipada con monitores y computadoras operadas por analistas y especialistas en ciberseguridad, una cuadrilla joven con una media de edad de 25 años, atraído por el atractivo plan de carrera que ofrece Cyberpeace.
Desde esta “sala de guerra”, el Purple Team, es decir, la combinación del Blue y el Red Team, actúa como un grupo de guardianes digitales, vigilando los servidores y equipos de sus clientes.
García asegura que el equipo nunca se detiene, ni siquiera en días festivos. La protección es 24/7, los 365 días del año, y el equipo se organiza en diferentes turnos para cubrir la jornada completa.
Trabajan bajo el estándar “1-10-60”, es decir, 1 minuto para detectar, 10 minutos para investigar y 60 minutos para remediar. Aunque estos tiempos pueden variar; el compromiso es garantizar la protección.
Durante la visita se simuló un ataque del ransomware Akira, descubierto en marzo de 2023 y capaz de exfiltrar datos en la Deep Web antes de cifrarlos. Akira es uno de los ransomware más activos y ha infectado a más de 250 organizaciones, según la Agencia de Ciberseguridad de Estados Unidos.
Vilmerth Carrizosa, miembro del Blue Team, mostró una réplica del panel de Akira, que utilizan los cibercriminales. La ejecución de la infección no requiere conocimientos de programación; de hecho, es tan simple como hacer clic, aunque esto solo sucede después de que la red ha sido comprometida.
Al ser un ransomware como servicio (RaaS), Akira se ejecuta principalmente en ataques internos. En un escenario típico, alguien lleva una memoria USB con el malware y la conecta a un equipo de la red objetivo.
Este malware, explica Cervantes, se puede obtener en la Deep Web o en grupos de mensajería creados a partir del código de Telegram, obtenido en sitios como GitHub. Los cibercriminales suelen compartir el botín con los cómplices.
Tras ejecutar Akira, Carrizosa detalló que el malware se propaga entre los dispositivos, identificando las tareas activas y cifrando datos al concluir el proceso. Sin embargo, no es un procedimiento instantáneo.
Akira deja rastros y genera múltiples procesos anómalos que el Blue Team rastrea e identifica. Para detener su avance, pueden aislar el equipo infectado, interrumpiendo así la propagación del malware.
En ese momento se genera un ticket, un reporte detallado del incidente que se envía al cliente a través de la app SOC360, disponible para Android y iOS.
Además del bloqueo de amenazas y respuesta a incidentes, cuenta con servicios de Inteligencia de Amenazas, para protección personalizada; Evaluación de Riesgos de Ciberseguridad, para identificar y mitigar vulnerabilidades en tu infraestructura, y consultorías en ciberseguridad.
Los especialistas de Cyberpeace coinciden en que los ciberataques no cesarán, sino que se intensificarán con el uso de Inteligencia Artificial. Por ello, y ante la escasez de especialistas en ciberseguridad, la contratación de una empresa que ofrezca ciberseguridad como servicio se vuelve crucial para las organizaciones que no saben por dónde comenzar.