Instructure, creador de Canvas, llegó a un acuerdo con hackers tras dos brechas, generando controversia. El "acuerdo" no ofrece garantías, subraya los peligros de negociar con ciberdelincuentes y la urgencia de una respuesta robusta.
Puntos Clave
- 01.Instructure, la empresa de Canvas, llegó a un "acuerdo" sin garantías con hackers tras dos brechas, generando polémica.
- 02.Negociar con ciberdelincuentes conlleva riesgos inherentes: sin seguridad de datos, incentiva ataques futuros y dilemas éticos.
- 03.La frecuencia de estos acuerdos, especialmente en casos de ransomware, subraya la inmensa presión sobre las organizaciones.
- 04.Una respuesta a incidentes robusta, detección avanzada, copias de seguridad inmutables, MFA y auditorías son cruciales.
- 05.El caso enfatiza la necesidad de medidas de seguridad proactivas en lugar de negociaciones reactivas y arriesgadas con atacantes.
¿Es llegar a un acuerdo con hackers una estrategia de ciberseguridad viable, o un juego arriesgado? Instructure, la compañía detrás del ampliamente utilizado sistema de gestión de aprendizaje Canvas, anunció recientemente que "llegó a un acuerdo" con actores de amenazas que habían vulnerado sus sistemas en dos ocasiones. Este movimiento inusual plantea preguntas críticas sobre la respuesta a incidentes y las líneas difusas de la negociación con ciberdelincuentes.
¿Qué ocurrió exactamente durante los incidentes de seguridad de Instructure?
Instructure, un proveedor destacado de tecnología educativa, experimentó no una, sino dos brechas de seguridad atribuidas al mismo grupo de amenazas. La brecha inicial implicó acceso no autorizado a sistemas internos, lo que llevó a la exfiltración de datos. Si bien los detalles específicos sobre el tipo y volumen de datos comprometidos siguen siendo algo opacos, la gravedad fue lo suficientemente significativa como para provocar una respuesta inusual por parte de la empresa.
La naturaleza repetida de los ataques por el mismo actor subraya posibles vulnerabilidades o mecanismos de acceso persistentes que no se mitigaron por completo después del primer incidente, destacando un desafío crítico para prevenir una nueva intrusión.
¿Qué significa "llegar a un acuerdo" en este contexto y cuáles son sus implicaciones?
Cuando Instructure declaró que "llegó a un acuerdo" con los hackers, inmediatamente encendió un debate dentro de la comunidad de ciberseguridad. Típicamente, tales acuerdos implican un pago (rescate) a cambio de la eliminación o no publicación de datos robados, y/o una promesa de no volver a atacar. Sin embargo, Instructure no proporcionó garantías de que los hackers cumplirían su parte del trato, es decir, abstenerse de publicar los datos exfiltrados o lanzar futuros ataques. Esta falta de términos ejecutables convierte el "acuerdo" en un acto de fe de alto riesgo, con la compañía depositando su confianza en adversarios conocidos por su deshonestidad.
La principal implicación es que Instructure ha validado potencialmente el modelo de negocio de los hackers sin recibir ninguna seguridad concreta para sus datos o su seguridad futura.
¿Cuáles son los riesgos inherentes y dilemas éticos de negociar con ciberdelincuentes?
Negociar con ciberdelincuentes presenta un campo minado de riesgos y dilemas éticos para cualquier organización. En primer lugar, no hay honor entre ladrones; una promesa de un hacker tiene poco peso. Los datos aún podrían venderse o filtrarse, y la organización sigue siendo un objetivo, potencialmente vista como una presa "fácil" dispuesta a pagar. En segundo lugar, incentiva futuros ataques, ya que los pagos exitosos financian y envalentonan a las empresas criminales.
En tercer lugar, podría violar marcos legales o regulatorios, especialmente si los atacantes son entidades patrocinadas por el estado o sancionadas. Además, sienta un precedente peligroso, implicando que las actividades ilícitas pueden monetizarse. Las empresas deben sopesar la presión inmediata de la publicación de datos frente a las consecuencias a largo plazo de involucrarse con actores de amenazas, incluida la posible erosión de la confianza pública si el acuerdo fracasa.
¿Qué tan comunes son negociaciones o pagos de rescate similares en incidentes de ciberseguridad modernos?
Desafortunadamente, las "negociaciones" con actores de amenazas, a menudo que implican pagos directos de rescate, se han convertido en una característica preocupantemente común del panorama moderno de amenazas cibernéticas, particularmente con el auge de los modelos de ransomware como servicio. Las organizaciones, bajo una inmensa presión para restaurar operaciones y prevenir fugas de datos, con frecuencia consideran o incluso ejecutan pagos.
Los informes indican que un porcentaje significativo de víctimas de ransomware paga el rescate, aunque un número sustancial aún no recupera todos sus datos o enfrenta ataques repetidos. La decisión de pagar es compleja, a menudo impulsada por un análisis de costo-beneficio del tiempo de inactividad, los esfuerzos de recuperación y las posibles multas regulatorias versus el monto del rescate, a pesar de que las agencias de aplicación de la ley generalmente aconsejan no hacerlo debido a los riesgos mencionados anteriormente.
¿Qué estrategias de respuesta a incidentes robustas deben adoptar las organizaciones para evitar tales situaciones?
Para evitar la posición poco envidiable de negociar con hackers, las organizaciones deben implementar estrategias de ciberseguridad robustas, proactivas y reactivas. Los pasos clave incluyen:
- Plan Integral de Respuesta a Incidentes: Desarrollar y probar regularmente un plan detallado que cubra la detección, contención, erradicación, recuperación y análisis post-incidente. Esto asegura una respuesta coordinada y efectiva.
- Detección Avanzada de Amenazas: Implementar herramientas de seguridad sofisticadas como EDR (Endpoint Detection and Response) y SIEM (Security Information and Event Management) para identificar y responder a las amenazas rápidamente.
- Copias de Seguridad y Recuperación de Datos: Mantener copias de seguridad inmutables y externas de datos críticos, aisladas de la red, para facilitar la recuperación sin depender de las demandas del atacante.
- Autenticación de Múltiples Factores (MFA): Forzar el uso de MFA en todos los sistemas y servicios para reducir significativamente el riesgo de acceso no autorizado mediante credenciales comprometidas.
- Auditorías de Seguridad y Pruebas de Penetración Regulares: Identificar y remediar proactivamente las vulnerabilidades antes de que los atacantes puedan explotarlas.
- Capacitación de Empleados: Educar al personal sobre phishing, ingeniería social y prácticas de computación segura, ya que el error humano sigue siendo un vector de ataque significativo.
- Asesoría Legal y de Relaciones Públicas: Involucrar a expertos legales y de relaciones públicas desde el principio de un incidente para gestionar la comunicación y navegar por posibles obligaciones legales.
El caso de Instructure sirve como un duro recordatorio de que, si bien un "acuerdo" podría ofrecer un respiro temporal, mitigar verdaderamente los riesgos cibernéticos requiere un compromiso inquebrantable con los fundamentos de seguridad y una postura firme contra la validación de actividades criminales.
