Conviértete en un MVP de ciberseguridad: la NFL y CISA sobre cómo superar los desafíos de ciberseguridad

Tomás Maldonado, CISO de la National Football League, y Jeff Greene, director ejecutivo adjunto de la división de ciberseguridad de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), se unieron al CEO de Bitwarden, Michael Crandell, para una charla informal en el Open Source Security Summit para profundizar en las mejores prácticas de seguridad, los errores comunes y la amplia variedad de recursos disponibles para las organizaciones. También analizaron cómo las personas y las organizaciones pueden adelantarse a los ciberdelincuentes mediante parches de software frecuentes, conciencia sobre esquemas de ingeniería social y el uso de herramientas de seguridad como la autenticación multifactor y los administradores de contraseñas.

Después de pasar años como profesional de seguridad en firmas financieras de alto perfil, Maldonado ocupó un rol de CISO en una empresa de fabricación de productos químicos y cuenta con experiencia trabajando para compañías altamente reguladas. Maldonado bromeó: “La NFL me hizo pasar por un combine de ciberseguridad”.

En CISA, Greene y su equipo son responsables de la ciberseguridad, la reducción de amenazas cibernéticas y, en última instancia, de los ciberataques en los ámbitos federal, civil y ejecutivo. Aunque cada agencia tiene su propio CISO, CISA establece políticas y tiene la autoridad para emitir directivas. Greene, quien cuenta con 15 años de experiencia en ciberseguridad, anteriormente fue abogado. Antes de pasar a su rol actual, ocupó cargos en el sector privado y en el Instituto Nacional de Estándares y Tecnología (NIST).

Comprender la naturaleza y el alcance de las amenazas cibernéticas es fundamental en el panorama de la ciberseguridad, que está en constante evolución. Los ciberdelincuentes perfeccionan sus tácticas continuamente, por lo que es imprescindible que los equipos de seguridad se mantengan un paso adelante. A medida que surgen nuevas tecnologías, las nuevas vulnerabilidades y los problemas persistentes como el phishing y el ransomware siguen siendo desafíos importantes.

Las amenazas cibernéticas se presentan de diversas formas, cada una con riesgos únicos. El malware, por ejemplo, es un adversario formidable, con ataques cada vez más sofisticados y sigilosos. Esta categoría incluye virus, gusanos, ransomware y cryptojacking, todos capaces de causar estragos en los sistemas y datos.

Los ataques de phishing son otra amenaza persistente dirigida a organizaciones de todos los tamaños. Estos ataques suelen incluir correos electrónicos o mensajes engañosos que hacen que los destinatarios revelen información sensible. La educación, la concientización y las medidas de seguridad sólidas que detectan y bloquean estos intentos son clave para combatir el phishing.

El ransomware, un tipo de malware que cifra datos y exige un pago para liberarlos, es una preocupación importante. Las organizaciones deben mantenerse alertas y emplear protocolos de seguridad integrales para prevenir estos ataques y mitigar su impacto.

Prepararse para estos diferentes tipos de amenazas cibernéticas es esencial para identificar posibles vectores de ataque y organizar estrategias de mitigación eficaces. Al comprender estas amenazas e implementar medidas de seguridad proactivas, las organizaciones pueden proteger mejor sus redes, sistemas y datos sensibles contra los ciberataques.

Durante años, la NFL y CISA se han reunido entre 12 y 18 meses antes del Super Bowl. Con el Super Bowl 2025 programado para realizarse en Nueva Orleans, la NFL se aseguró de que las empresas que ofrecen servicios durante el Super Bowl comprendan los servicios de CISA, como ejercicios de simulación, capacitación, campañas de concientización, escaneo de vulnerabilidades y pruebas de penetración.

La NFL y CISA también colaboran para identificar y mitigar amenazas persistentes avanzadas y ciberataques sofisticados y prolongados que buscan robar información sensible o sabotear operaciones. La computación en la nube introduce desafíos únicos de ciberseguridad, por lo que es crucial proteger la infraestructura en la nube contra configuraciones incorrectas y controles de acceso inadecuados.

Por ejemplo, una tienda de donas cerca del Super Bowl podría aprovechar herramientas como un escaneo público de los sitios web de acceso público de la tienda para asegurarse de que no haya vulnerabilidades abiertas a explotación. CISA también puede ofrecer objetivos básicos de seguridad que darán a las organizaciones ideas para mejorar su seguridad.

CISA cuenta con asesores de ciberseguridad en todos los estados que pueden interactuar con empresas que enfrentan amenazas potenciales. Aunque el tipo de amenaza que puede enfrentar una empresa de energía probablemente sea más grave que la de una tienda de donas, incluso una tienda de donas probablemente maneje grandes cantidades de información personal y pueda beneficiarse de los escaneos de vulnerabilidades. CISA también está muy enfocada en ayudar a las empresas a prevenir ataques de ransomware y a evaluar y priorizar su respuesta. Greene afirmó: “Si creemos que una empresa está bajo ataque en este momento o está siendo objetivo de un ataque, nos comunicaremos directamente y recomendaremos medidas contra ciberataques en las que deberían enfocarse”.

Los administradores de contraseñas ayudan a proteger contra el ransomware al permitir que los usuarios generen contraseñas seguras y únicas para cada sitio que visitan. Esto reduce el riesgo de reutilizar contraseñas y evita que las personas recurran a contraseñas más débiles simplemente porque son fáciles de recordar, lo que disminuye la probabilidad de robo de credenciales.

Desafíos de ciberseguridad al gestionar datos sensibles

Las empresas que operan como una “organización de organizaciones” enfrentan muchos desafíos únicos de ciberseguridad. La NFL supervisa 32 clubes, cada uno con sus propias líneas de negocio adicionales.

“Las prácticas, los protocolos y los programas de seguridad que diseñamos están alineados con las recomendaciones de ciberseguridad del NIST. Por supuesto, también nos aseguramos de aprovechar los servicios que ofrece CISA. Los clubes individuales entienden cómo la liga puede ayudarlos y también cómo pueden beneficiarse localmente de los servicios gubernamentales de ciberseguridad”. - Tomás Maldonado

Los clubes individuales suelen trabajar estrechamente con empresas y servicios locales, y transmiten las mejores prácticas de seguridad que observan a sus proveedores de la cadena de suministro.

Prevenir ciberataques requiere un enfoque integral para mitigar riesgos y proteger datos confidenciales. Las empresas deben invertir en soluciones que protejan sus sistemas de amenazas tanto internas como externas.

Los administradores de contraseñas pueden ayudar a los usuarios a generar y almacenar contraseñas complejas de forma segura. Fomentar el uso de contraseñas seguras y únicas, y cultivar una cultura de ciberseguridad, puede evitar que los ciberdelincuentes obtengan acceso a los sistemas y dotar a los empleados de las herramientas y los recursos necesarios para identificar y escalar posibles amenazas. Implementar la autenticación multifactor (2FA) agrega una capa adicional de seguridad al exigir que los usuarios proporcionen dos formas de identificación antes de acceder a los sistemas, lo que reduce el riesgo de acceso no autorizado, incluso si las contraseñas se ven comprometidas. Cifrar los datos confidenciales garantiza que no puedan leerse sin la clave de descifrado, incluso si son interceptados. Configurar alertas para actividades sospechosas o maliciosas permite que los equipos de seguridad respondan rápidamente a posibles amenazas. Al invertir en estas soluciones y adoptar mejores prácticas, las empresas pueden responder eficazmente a los ciberataques y proteger sus datos confidenciales para que no se vean comprometidos.

“En los años transcurridos desde [SolarWinds], hemos logrado avances increíbles en la implementación de detección y respuesta en endpoints en más de 60 agencias federales. Ahora podemos analizar ciberamenazas y conectar esos puntos proverbiales entre agencias. Hemos podido usar nuestros recursos para detectar actividad maliciosa que evadió nuestras tecnologías de detección en endpoints porque, al verlo todo en conjunto, nos dimos cuenta de que algo no estaba bien. Pudimos detener lo que consideramos algunos ataques de última generación”. - Jeff Greene

Al pasar de la seguridad corporativa y sus oportunidades y desafíos, Crandell señaló que, a pesar de nuestras sofisticadas tecnologías de seguridad, el error humano sigue siendo una de las principales causas de las brechas. Les preguntó a Maldonado y Greene sobre estrategias y prácticas que pueden adoptarse para fomentar un mejor comportamiento.

“Intento impulsar la concientización y la educación con mi equipo sobre los tipos de amenazas que enfrentamos como organización”, dijo Maldonado. “También me enfoco en las amenazas de seguridad que las personas pueden enfrentar en su vida personal. Aunque a algunos les gusta ver a su personal como el eslabón más débil, yo lo veo desde la perspectiva de que nuestro personal es nuestro mayor activo. Si tengo 15,000 personas en mi organización, potencialmente tengo 15,000 evangelistas de seguridad”.

“Si puedo llegar a ellas y lograr que estén más informadas en ciberseguridad, podrían ser buenos centinelas o evangelistas para ciertos controles de seguridad… En última instancia, las personas tienen buenas intenciones y quieren hacer lo correcto”. - Tomás Maldonado

Maldonado también señaló que las personas aún dependen mucho de los nombres de usuario y las contraseñas. Dijo que la NFL ha intentado pasar de contraseñas a frases de contraseña porque cree que esto hará que sean más difíciles de descifrar para los adversarios y, al mismo tiempo, más fáciles de recordar para las personas.

Los usuarios de Bitwarden que buscan una alternativa a las contraseñas hechas con caracteres generados aleatoriamente también pueden beneficiarse de las frases de contraseña. Las frases de contraseña se pueden crear con el Generador de frases de contraseña de Bitwarden o la ventana emergente de creación de elementos dentro de la caja fuerte.

“Si enseñas a las personas a proteger su información personal, ya sean datos de tarjetas de crédito o de cuentas bancarias, trasladarán esas habilidades —casi automáticamente— a su vida profesional”, dijo Greene. “Pero todo esto se centra en el problema a corto plazo, y hay un problema fundamental a más largo plazo… No deberíamos vivir en un entorno en el que un error momentáneo pueda llevar a un ciberdelincuente a vaciar una cuenta bancaria, robar secretos de seguridad nacional o derribar infraestructura crítica. Eso ocurre porque el software y la tecnología de los que dependemos se construyen de forma insegura”.

“A corto plazo, debemos hacer todo lo que hemos discutido y, a largo plazo, debemos cambiar la forma en que se construye esta tecnología. Necesitamos que sea sólida como una roca desde el principio. Necesitamos seguridad desde el diseño”. - Jeff Greene

Algunos ejemplos de seguridad desde el diseño incluyen:

• Usar autenticación multifactor.

• Informar vulnerabilidades conocidas.

• Contar con un sistema para detectar vulnerabilidades.

• Asegurarse de que ningún dispositivo o sistema venga con un nombre de usuario y una contraseña predeterminados.

Las organizaciones deben cambiar de inmediato los nombres de usuario y las contraseñas predeterminados por contraseñas o frases de contraseña seguras y únicas, preferentemente gestionadas y protegidas por un administrador de contraseñas con cifrado de extremo a extremo como Bitwarden.

Greene también anima a todos a consultar el sitio web de CISA para obtener más información sobre el compromiso oficial Secure by Design.

A medida que las ciberamenazas siguen evolucionando y volviéndose más sofisticadas, el rol de la IA y el aprendizaje automático en la ciberseguridad cobra cada vez más importancia. Es fundamental que las empresas adopten tecnologías capaces de detectar y responder a ciberamenazas en tiempo real, lo que reduce significativamente el riesgo de filtraciones de datos y otros ciberataques. Con la detección de amenazas en tiempo real, los algoritmos de IA y aprendizaje automático pueden analizar rápidamente enormes cantidades de datos, identificando patrones y anomalías que podrían indicar una ciberamenaza. Al analizar datos históricos, la IA puede predecir ciberamenazas futuras y ayudar a las organizaciones a prepararse para posibles ataques.

“A medida que la IA se vuelve más común, los profesionales de seguridad deben comprender mejor los posibles riesgos de seguridad que plantea la IA generativa y cómo podemos implementar principios de seguridad desde el diseño para sentar una base sólida para la seguridad de los datos”, dijo Maldonado. Él cree que los principios de seguridad desde el diseño deben integrarse desde el inicio, a medida que los futuros desarrolladores aprenden a escribir código. “Existe un incentivo para que los desarrolladores aprendan a programar muy rápido, de modo que puedan lanzar un producto al mercado lo antes posible”, dijo Maldonado.

“Debemos pasar de una mentalidad que premia a las empresas que lanzan productos rápidamente a una que premie a las empresas que priorizan cuidadosamente la seguridad y la incorporan desde el principio. Es posible que las empresas cumplan sus objetivos de mercado y, al mismo tiempo, protejan a los usuarios para que sus datos no se vean comprometidos”. - Tomás Maldonado

Este enfoque proactivo permite que los equipos de seguridad se adelanten a los ciberdelincuentes y mitiguen los riesgos antes de que se materialicen. Los sistemas impulsados por IA pueden responder automáticamente a las amenazas detectadas y neutralizarlas antes de que causen daños significativos. Esto reduce la carga de trabajo de los equipos de seguridad y garantiza una respuesta rápida y eficaz ante los ciberataques. Al aprovechar la IA y el aprendizaje automático, las organizaciones pueden fortalecer su postura de ciberseguridad y proteger mejor sus datos frente a amenazas emergentes.

“Todos tenemos la capacidad de mejorar la seguridad de nuestras vidas digitales y de nuestras empresas. Por intimidante que parezca, la mayoría de los ciberataques no son sofisticados y la mayoría de los atacantes son perezosos. Si tú, como individuo o pequeña empresa, haces lo básico —aplicar parches y actualizaciones, tener instaladas herramientas de seguridad como administradores de contraseñas y usar autenticación multifactor— estarás por delante de la mayoría de los ciberdelincuentes”. - Jeff Greene

¿Listo para convertirte en un MVP de ciberseguridad con la gestión de contraseñas? Comienza con una prueba empresarial gratuita de 7 días o regístrate para obtener una cuenta individual gratuita.