Skip to main content
Marsh logo

Artículo

Mejorar la resiliencia cibernética con simulación de adversarios

Resiliencia cibernética con simulación de adversarios Mejorar la resiliencia cibernética con simulación de adversarios

06/21/2024

En el mundo de la ciberseguridad, la prevención y la preparación son fundamentales para proteger a las organizaciones contra las constantes amenazas cibernéticas. En ese sentido, hoy una de las estrategias más efectivas para fortalecer las defensas y mejorar la resiliencia de una organización, es realizar ejercicios de simulación de adversarios. 

Estos ejercicios permiten a los equipos de ciberseguridad y respuesta ante ciberincidentes validar su conocimiento, sus procesos y herramientas, para enfrentarse así a ataques reales. ¿En qué consiste la simulación de adversarios? ¿Por qué son importantes este tipo de ejercicios para las organizaciones?  

¿Qué son y para qué sirven los ejercicios de simulación de adversarios?

Los ejercicios de simulación de adversarios son pruebas controladas de ataques cibernéticos, diseñadas para evaluar la capacidad de una organización para detectar, responder y recuperarse de las amenazas. 

Estos ejercicios imitan las tácticas, técnicas y procedimientos utilizados por los ciberdelincuentes, para que los equipos de ciberseguridad puedan poner a prueba sus defensas en un entorno seguro y controlado. Al simular ataques reales, las organizaciones pueden identificar vulnerabilidades, y evaluar su postura de seguridad para mejorar sus estrategias de respuesta.

¿Cómo responderían los diferentes procesos y controles de seguridad en tu organización en un ataque real?

La simulación de adversarios brinda la oportunidad de poner a prueba los procesos y controles de seguridad en un entorno controlado y seguro. Del mismo modo, según el nivel de sofisticación de este tipo de pruebas, se pueden integrar incluso este tipo de soluciones avanzadas a las herramientas de seguridad implementadas en la red de la organización. Esto con el objetivo de validar su correcto funcionamiento y la configuración adecuada ante los escenarios evaluados.

¿Qué debe tener en cuenta su organización para llevar a cabo procesos de simulación de adversarios? 

  • Desarrollar capacidades de detección temprana: Estas simulaciones permiten a los equipos identificar brechas en la detección de amenazas y mejorar la capacidad de detectar actividades maliciosas en las etapas iniciales.
  • Contra con una respuesta efectiva: Al simular ataques reales, los equipos pueden practicar y mejorar sus procesos de respuesta ante incidentes, lo que les permite actuar de manera rápida y eficiente en caso de un ataque real.
  • Fomentar la colaboración y comunicación: Este tipo de ejercicios estimulan la colaboración entre los diferentes equipos de seguridad, mejorando su comunicación y su coordinación durante un incidente real.
  • Capacidad de evaluación de la postura de seguridad: Los ejercicios generan una evaluación objetiva del personal, los procesos y las tecnologías de ciberseguridad integradas en la organización, identificando áreas de mejora y permitiendo la implementación de medidas correctivas.

Cuatro etapas clave de la simulación de adversarios

Durante los ejercicios de simulación de adversarios, se utilizan diferentes técnicas y herramientas para simular una amplia gama de amenazas cibernéticas, considerando estos cuatro (4) pasos clave.

1. Esta metodología, pone a prueba varios escenarios relacionados con algunas de las principales ciberamenazas, entre las que se incluyen las siguientes:

  • Phishing: A través de la simulación de correos electrónicos fraudulentos diseñados para sobrepasar los controles de seguridad, se obtiene información confidencial, como contraseñas o datos de tarjetas de crédito. En este caso, se analiza si los controles que realiza la organización de correos entrantes permiten reconocer ataques que integren estas mismas tácticas de campañas avanzadas.
  • Malware: Esto consiste en recrear escenarios reales en el entorno de la organización, retando los controles de seguridad ante muestras de malware reales o simulando el comportamiento real de un artefacto malicioso. El objetivo es evaluar la efectividad de los sistemas de detección y respuesta ante amenazas avanzadas.
  • Ransomware: Esta simulación busca validar la capacidad de la organización para detectar y contener, así como recuperarse frente a ataques de ransomware. Esto incluye la validación de todas las fases que suelen formar parte de este tipo de amenazas: 
    • Distribución: Correos electrónicos de phishing, descargas de archivos infectados, sitios web comprometidos o a través de vulnerabilidades en sistemas y redes.
    • Infiltración: Simulación del compromiso de un activo interno que busca vulnerabilidades y utiliza diferentes técnicas para infiltrarse en el sistema. Esto puede incluir la explotación de vulnerabilidades de software, el uso de contraseñas débiles o el aprovechamiento de puertas traseras existentes.
    • Ejecución: Simulación para llevar a cabo modificación de parámetros en el sistema, baja o modificación de controles de seguridad, comunicación con entidades maliciosas externas para la filtración de datos, y la simulación de algoritmos de cifrado fuertes para bloquear el acceso a los archivos.

2. Acceso no autorizado: Simulación de intentos de acceso no autorizado a los sistemas y redes de la organización. Esto permite evaluar la efectividad de los controles de autenticación y autorización, así como la capacidad de detectar y responder a intentos de intrusión.

3. Comunicación con entidades maliciosas: Simulación de interacciones con actores maliciosos, como hackers o grupos de ciberdelincuentes, para evaluar la capacidad de la organización para detectar y responder a intentos de comunicación no autorizada o actividades sospechosas.

4. Brechas de datos: Mediante la simulación de brechas de datos, se evalúa la capacidad de la organización para detectar y responder a la filtración de información confidencial. Esto incluye evaluar la efectividad de los controles de seguridad de datos y la capacidad de respuesta ante una brecha de datos.

Estos ejercicios son una buena oportunidad de practicar, mejorar y perfeccionar los procesos de respuesta ante ciberincidentes. La evaluación de la efectividad de los planes de acción, la coordinación entre los diferentes equipos de seguridad y la comunicación durante un incidente real, a través de planes de simulación detallados que se personalizan a partir de la experiencia de nuestros consultores especializados y la ciberinteligencia obtenida de casos reales, son sumamente relevantes para desafiar a la organización como lo haría un atacante en la vida real, utilizando las mismas técnicas, tácticas y procedimientos.

En Marsh Advisory, diseñamos y ejecutamos ejercicios personalizados adaptados a las necesidades específicas de cada organización. Ayudamos a nuestros clientes a mejorar sus niveles de madurez, para hacer frente al panorama de ciberamenazas actual. Cuando su resiliencia sea puesta prueba, un consultor de Marsh estará con usted en los momentos que importan. ¿Está listo para descubrir el poder de la perspectiva?

Autores

Alberto Martinez

Alberto Martínez

Líder de Consultoría en Riesgo Cibernético para México

Oscar Santoyo

Oscar Santoyo

Líder de Servicios de Respuesta ante Ciberincidentes

Placeholder Image

Edson Villar

Líder Regional de Consultoría en Riesgo Cibernético, Marsh Advisory LAC