¿En qué medida han aumentado las ciberamenazas durante el largo año y medio de pandemia?
Desde Sophos no hemos observado tanto que estén incrementando el número de ataques, como que estos ataques sean cada vez más dirigidos y más dañinos, lo que provoca un impacto mayor. Precisamente acabamos de publicar el Informe de Ciberamenazas 2022 que apunta a una serie de factores para comprender esta situación. Por un lado, los ciberdelincuentes cada vez se están especializando más, con grupos cibercriminales especializados en escribir código, otros en dar servicio de RaaS (ransomware as a service), otros en lo que denominamos Initial Access Brokers, que son los que consiguen determinar qué empresas son más susceptibles de ser atacadas y consiguen entrar dentro de esas cuentas, para después ceder la siguiente acción a otro grupo cibercriminal. Esta especialización está permitiendo incorporar diferentes módulos para que terceros los puedan incorporar en sus ataques.
En segundo lugar, estos grupos están cada vez perfeccionando más sus técnicas de extorsión. Ya no solo se sirven de mandar un correo electrónico y avisar a la empresa de que sus sistemas han sido cifrados y que tienen que pagar un rescate, si no que utilizan diferentes técnicas como robar los datos para hacerlos públicos, o sacarlos a subasta, amenazar a los clientes, partners o directivos de la empresa con hacer pública la información, en incluso amenazarles con que van a tener que pagar grandes multas si sus datos se hacen públicos por infringir la ley de protección de datos.
Por otro lado, el informe revela que cada vez se están usando más herramientas lícitas de administración de sistemas y de simulación de adversario, lo cual hace más difícil saber que los atacantes están en tu entorno ya que es más difícil detectarlos y al mismo tiempo les permite ser más efectivos. Estamos viendo también que cada vez se están produciendo más ataques hacia entornos Linux. También siguen apareciendo nuevas familias de malware hacia entornos móviles, independientemente del sistema operativo. Y, por último, observamos que la Inteligencia Artificial se está incorporando tanto en atacantes como en defensores. Por supuesto que los defensores cada vez contamos con más técnicas de IA pero los atacantes también están utilizando estas técnicas para atacar.
¿Cuáles han sido los principales tipos de ciberataques en España?
España no ha sido distinta al resto del mundo. Desde el punto de vista del ransomware, que yo creo que es el que está haciendo más daño tanto a empresas como a administraciones públicas, hemos visto y estamos viviendo, importantes ataques. Por ejemplo, recientemente hemos visto un ataque a una cervecera española, detrás del cual estaba el ransomware Conti, pero también hemos sido testigos de ataques con REvil (utilizado en el ataque a Kasaya) y Ryuk. También hay presencia de los ransomware Ragnarok y Maze. Aquí en España, por ejemplo, no se han visto casos de DarkSide, como el famoso ataque que sufrió Colonial y que sigue estando en los medios de comunicación porque el FBI ha puesto precio a la cabeza de estos ciberdelincuentes. En general, son los mismos actores los que están actuando en España que fuera de nuestro país.
Lo que sí sabemos sobre los ataques de ransomware en España, según un estudio que hicimos desde Sophos, es que el coste medio de recuperación de un ciberataque es de en torno a 500.000 dólares, cifra que aumenta hasta 1,8 millones de dólares a nivel mundial de media. Esta cifra implica el coste total, desde la recuperación de los sistemas y la compra de infraestructura nueva hasta el tiempo de inactividad, el coste personal o incluso el rescate si se pagan. Si hablamos de sectores hemos visto como las Administraciones Publicas se han visto bastante afectadas, las aseguradoras y el sector sanitario, bastante comprometido y atacado además del sector de la educación, desde universidades, colegios, institutos. Por último, el sector industrial también se ha visto bastante atacado.
“Ofrecemos a nuestros partners la posibilidad de crecer tres veces el mercado a través de opciones como los servicios gestionados de seguridad en modelo de pago por uso”
La seguridad se ha convertido en la principal línea de negocio para muchos partners, ¿cuánto se han incrementado las ventas de seguridad en España?
El dato que publica IDC es que prevé que para el año 2021 el crecimiento en el sector de la ciberseguridad sea de un 8,1%, lo que revela que es un segmento con un crecimiento bastante alto. Nosotros en Sophos estamos creciendo a un ritmo muy superior. De hecho, en los últimos 5 años y de forma continuada, hemos ido creciendo a un ritmo de prácticamente 3 veces lo que crecía el sector. Y este año seguimos manteniendo un crecimiento de 3 veces lo que crece el sector. Lo que le ofrecemos a nuestros partner es la posibilidad de crecer 3 veces lo que crece el sector de la ciberseguridad gracias a nuestra tecnología y a nuestras soluciones. También y muy importante es la posibilidad de ofrecer servicios gestionados de Ciberseguridad en modelo de pago por uso (MSP)
¿Con cuántos partners trabajan en España y cuántos de ellos son proveedores de servicios?
En España trabajamos con algo más de 500 partners que de manera proactiva, es decir que están generando ventas cada trimestre. Si bien es cierto que trabajamos con más partners. Respecto a cuantos de ellos son proveedores de servicios de ciberseguridad diría que en torno a un 20% de esos 500 partners. De estos, hay algunos que tienen servicios especializados, que disponen de un SOC y que conocen bien la tecnología y la problemática de gestionar un servicio de ciberseguridad en sus clientes, y hay otros que son capaces de configurar determinados productos, desplegarlos y garantizar un nivel de protección básico.
Desde Sophos estamos haciendo un esfuerzo muy grande en formar a nuestros partners. Y no solo formarles en la tecnología, sino formarles para convertirles en verdaderos expertos en ciberseguridad. Con esta idea en mente hemos creado un Threat Hunting Academy, es decir una formación especializada en la búsqueda y detección de amenazas, y en lo que va de año ya han pasado por esta academia más de 1.700 personas y vamos por la segunda edición. Nos sentimos muy orgullosos de contribuir formando a expertos en ciberamenazas en nuestra red de partners.
Con Sophos es muy sencillo para nuestros partners ofrecer nuestros servicios, incluso aunque no cuenten con esa capacidad, ya que ponemos a su disposición los servicios de Managed Threat Response (MTR). Para aquellos partners que no tienen ni los expertos, ni el servicio 24/7, ni la capacidad de hacer esa búsqueda de Threat Hunting, nosotros lo hacemos por ellos, así nuestros partners pueden comercializar esos servicios de MTR y dejar que sea Sophos el que lleve a cabo el servicio. Por otro lado, para aquellos partners que sí tienen esa capacidad, tenemos el mismo servicio en su modalidad de ‘Notificación’ con lo cual, cuando nuestros expertos detectan cualquier tipo de actividad sospechosa en la cuenta, notificamos al partner que está gestionando el día a día con ese cliente de la actividad sospechosa detectada, para que sea el partner el que pueda llevar a cabo la acción de respuesta ante el posible incidente. Si el partner o el cliente no tiene esa capacidad, nosotros adquirimos esa responsabilidad y nosotros tomamos acción al 100%. Yo creo que esto es algo muy diferencial respecto de cualquiera de nuestros competidores que o solo notifican o no tienen esa modalidad de colaboración con los partners.