Información clave sobre el cumplimiento: Cómo detener el movimiento lateral y mejorar la autorización

No es de extrañar que los reguladores tengan claras sus expectativas de limitar las opciones de los atacantes, con requisitos como:

• Reglamento General de Protección de Datos (RGPD): Artículo 32 — Adoptar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, mediante controles como la segmentación de red

• Normas de seguridad de datos del sector de las tarjetas de pago (PCI DSS) v4.0: Requisito 1: implementar firewalls para proteger los datos del titular de la tarjeta de crédito y asegurarse de que los firewalls están configurados para restringir las conexiones entre redes de confianza y no fiables

• Organización Internacional de Normalización/Comisión Electrotécnica Internacional (ISO/IEC) 27001: separe la información y las instalaciones de tratamiento de datos para proteger la confidencialidad, integridad y disponibilidad de la información

La superficie de ataque actual no es solo más amplia, sino más profunda, y comprende una serie de capas complejas que son producto de las prisas de una empresa por innovar. Esto incluye varios entornos de nube, contenedores de rápida aparición, miles de API que dirigen a datos y aplicaciones de IA que acceden y difunden información confidencial de forma autónoma. 

Todas estas capas presentan vulnerabilidades que ofrecen a los atacantes más oportunidades para navegar libremente por una red comprometida y obtener acceso no autorizado a datos confidenciales y propiedad intelectual. Sin las configuraciones adecuadas y la aplicación de los principios de privilegios mínimos, estos activos se vuelven vulnerables al robo de credenciales y a la derivación de privilegios.

Depende de su organización identificar y abordar cualquier brecha que pueda dar lugar a movimientos laterales, filtraciones de datos y costosas multas. Las prácticas de seguridad, como la búsqueda de amenazas y el análisis de comportamiento, pueden detectar comportamientos inusuales de los usuarios y posibles ataques, y permiten a su empresa adelantarse a las amenazas persistentes avanzadas.

En una entrada anterior del blog de nuestra serie sobre el cumplimiento, defendíamos la aplicación de una mentalidad de seguridad por capas a su proceso de ensamblar los controles y las herramientas necesarias para satisfacer las exigencias normativas. 

Por ejemplo, si su empresa está sujeta a mandatos que requieren evaluaciones de riesgos, su mentalidad de seguridad por capas debería preguntarse: ¿Qué capacidades puedo añadir para demostrar que, si una capa falla, otra seguirá en pie? 

En esta publicación, exploraremos las capas para identificar, contener y prevenir ataques de movimiento lateral, a la vez que mejoramos los controles de autenticación y autorización.

El parque de TI medio no solo amplió su superficie, sino que creó nuevos anexos, plantas y conexiones virtuales con los parques de TI de otras organizaciones. Y es difícil para los reguladores mantenerse al día con los riesgos resultantes. 

Por ejemplo, en enero de 2023 la UE publicó una actualización de la Directiva sobre seguridad de las redes y la información (NIS2) para ampliar el mandato original de NIS2. Tan solo dos años después, los rápidos avances en IA han provocado cambios masivos en la forma en que las empresas hacen negocios y en la forma en que los agentes maliciosos atacan las innovaciones de IA de las empresas. 

Nuevas amenazas como la inyección rápida de LLM y la exfiltración de datos de IA ponen en peligro la inversión global de 632 000 millones de dólares en IA que IDC prevé que se realizará hasta 2028. Es posible que los métodos de ataque más modernos no tengan capítulos en normativas actualizadas como NIS2, RGPD o PCI-DSS v4.0. Sin embargo, una filtración es una filtración, y los organismos reguladores multarán a las empresas por incumplimiento. 

Esto es lo que ocurre con la protección de API. Cada vez que un cliente, partner o proveedor interactúa digitalmente con una empresa, hay una API en segundo plano que facilita un intercambio rápido de datos. Los ciberdelincuentes que, en el pasado, habrían organizado rutas de ataque complejas ahora entienden que pueden simplificar sus planes de juego dirigiéndose a las API.

Por ejemplo, los atacantes pueden explotar los terminales de API que son vulnerables a una autorización a nivel de objeto comprometida (BOLA) manipulando los ID de objeto en las solicitudes de API. Esta vulnerabilidad permite el movimiento lateral en la red, de modo que los atacantes pueden omitir la autorización, escalar los privilegios y obtener acceso a los datos de los clientes. 

La BOLA suele estar causada por defectos de lógica empresarial y muchas implican comprobaciones de autorización mal configuradas. Los errores de configuración fueron la causa más citada de incidentes de seguridad de API entre los profesionales de seguridad de aplicaciones encuestados en el Estudio de impacto de seguridad de API de 2024. 

Estas son algunas de las prácticas recomendadas para reforzar su estrategia de seguridad de API con el fin de limitar el movimiento lateral, mitigar la actividad maliciosa y corregir los ataques en curso con una autorización sólida.

• Establezca relaciones claras entre los usuarios y los recursos a los que suelen acceder; por ejemplo, definiendo líneas de base de comportamiento mediante algoritmos de aprendizaje automático (ML) que puedan detectar patrones de acceso anómalos

• Implemente capacidades de protección en tiempo de ejecución que puedan distinguir entre actividades normales y sospechosas con API

• Responda a los comportamientos sospechosos integrando una solución de seguridad de API con su pila existente; la solución debe detectar comportamientos de alto riesgo y bloquear el tráfico sospechoso antes de que pueda acceder a los activos críticos

Estas prácticas de seguridad de API son buenas tanto para la resiliencia cibernética como para la el cumplimiento normativo, tanto si está protegiendo una empresa o una agencia gubernamental, como una organización de atención sanitaria regulada por la HIPAA.

A medida que los equipos de ciberseguridad establecen controles para cumplir las normativas más recientes, puede resultar frustrante darse cuenta de que las brechas de seguridad, que ya son difíciles de por sí, pueden dar lugar a un incumplimiento. Por ejemplo, el Reglamento sobre la resiliencia operativa digital (DORA), que entró en vigor en enero de 2025, exige explícitamente la protección de las tecnologías de la información y la comunicación (TIC) mediante sólidos controles de seguridad de la red. Y esto se aplica no solo a las instituciones financieras cubiertas, sino también a los terceros de los que dependen para los sistemas y servicios de TIC.

Hemos hablado de cómo DORA requiere una mejor visibilidad del riesgo. Ahora vamos a explorar la conexión entre mejorar la visibilidad de la red y limitar la movilidad de los atacantes. 

En concreto, DORA pide adoptar un enfoque basado en el riesgo para establecer una gestión sólida de la red y la infraestructura, que incluya capacidades automatizadas que aíslen los activos afectados durante los ciberataques. DORA requiere diseñar conexiones de red que permitan una segmentación instantánea para evitar la propagación de ciberamenazas como los ataques de ransomware. 

Lamentablemente, muchos equipos de seguridad con los que hablamos carecen de visibilidad en tiempo real de las comunicaciones de red y no ven señales que indiquen movimiento lateral de los atacantes que han vulnerado el sistema ni que apunten a la propagación de amenazas como el malware. Esto resulta especialmente difícil en un entorno de TI complejo que implica componentes locales y de nube.

Muchos equipos de ciberseguridad han implementado una línea de base de controles de segmentación que dividen la red en segmentos más pequeños y aislados. Cada segmento opera de forma independiente y el acceso entre ellos está controlado. El objetivo: reducir la superficie de ataque y limitar la propagación de amenazas.

Recomendamos llevar este enfoque un paso más allá con la microsegmentación definida por software. 

La microsegmentación permite a los equipos de ciberseguridad crear segmentos aún más pequeños y granulares dentro de la red. Cada microsegmento puede tener sus propias políticas de seguridad y controles de acceso, como privilegios mínimos, para identificar, aislar y mitigar el tráfico de red malicioso. 

Por ejemplo, con las herramientas de microsegmentación adecuadas, los equipos de seguridad pueden crear políticas que bloqueen, segmenten y restrinjan la forma en que las aplicaciones interactúan entre sí y con el sistema. Aislar los activos dentro de unos límites claros puede ayudar a las organizaciones a:

• Remediar vulnerabilidades que pueden ser utilizadas por malware o aplicaciones comprometidas, lo que es una amenaza clave identificada por reglamentos como el DORA 

• Reducir la complejidad de la elaboración de informes para cumplir con las normativas que requieren realizar auditorías periódicas y documentar las medidas de seguridad

Buscar herramientas de seguridad que ofrezcan recomendaciones de IA, plantillas para solución de problemas de ransomware y otros casos de uso habituales, con atributos de carga de trabajo precisos, como procesos, usuarios y nombres de dominio. En combinación con la arquitectura Zero Trust, estas herramientas de seguridad pueden ayudar a garantizar una autorización y unos controles de acceso más sólidos, independientemente de la cuenta de usuario o el activo implicados.

Creemos que el cumplimiento de las normativas de seguridad exige un enfoque que se asemeje en gran medida a cómo las empresas implementan estrategias de seguridad por capas para proteger todas las capas de la superficie de ataque. 

En esta serie de blogs, hemos explorado los retos comunes de cumplimiento y hemos analizado las prácticas recomendadas que están directamente relacionadas con lo que los reguladores actuales exigen más allá de las tácticas tradicionales, como las herramientas de seguridad de red heredadas. Al final, una gran seguridad puede dar lugar a programas de cumplimiento más sólidos. Busque las futuras entradas que exploren la conexión entre proteger la empresa y cumplir los requisitos normativos.