Cinco oportunidades de negocio y emprendimiento en el sector de la ciberseguridad
Introducción
Las oportunidades de negocio en el sector de la ciberseguridad son diversas y dependen de múltiples factores. A la hora de emprender, una de las grandes preguntas del nuevo empresario radica en su oferta de servicios: ¿Cuál es mi valor diferencial frente a la competencia? ¿Cuál es mi público objetivo? Y si nos centramos en el sector de la ciberseguridad las preguntas se enfocan hacia la especialización; ¿en qué área puedo ser más de ayuda para una empresa? ¿Dirijo mis servicios y soluciones hacia las personas? ¿O hacia la infraestructura de la empresa?
La ciberseguridad de una empresa abarca ambos niveles, pero para cada uno de ellos existe una serie de medidas que son diferentes. Y aquí es donde el emprendedor y las start-ups tienen su papel más relevante. Dado su carácter versátil, este tipo de empresas de nueva creación pueden ofrecer servicios de ciberseguridad más granulares, económicos, rápidos y eficaces ante problemas de sobra conocidos y muy frecuentes.
En este artículo abordaremos cinco ideas que podrían suponer oportunidades de emprendimiento o de ampliación de las líneas de negocio en el sector, y estableceremos como criterio de categorización el público al que nos podríamos dirigir; por un lado la oferta de servicios de ciberseguridad hacia las personas de una empresa y, por otro, hacia la infraestructura tecnológica de la misma.
OPORTUNIDADES DE NEGOCIO EN CIBERSEGURIDAD PARA LAS PERSONAS
Mensajería instantánea y correo electrónico
Los intentos de fraude vía mensajería (phishing y smishing) son un problema muy grave, causan grandes pérdidas económicas, y requiere una atención constante. Por ejemplo, según [1], el porcentaje de europeos que recibió algún mensaje fraudulento entre el 2018 y 2020 oscila entre el 10 % y el 28 %, según el tipo de estafa (Ilustración 1). En 2021 el nº de estafas vía WhatsApp creció un 2000% [2].
Ilustración 1. % de europeos que declara haber experimentado algún tipo de fraude electrónico
Una start-up podría ofrecer un servicio complementario a los típicos filtros de mensajes que identifique y alerte de indicios comunes de fraude en mensajes recibidos. La detección podría automatizarse usando técnicas reconocidas internacionalmente (D3-MA, MITRE D3FEND [3]) y complementarse con métodos heurísticos (Ilustración 2).
Ilustración 2. Heurísticos de reconocimiento rápido de mensajes fraudulentos
Adicionalmente, podría ofrecer también que los exámenes complejos fueran examinados por expertos y formación personalizada en prevención para empleados. Estos servicios podrían permitir a las pymes tener un apoyo para mitigar la incidencia de fraudes electrónicos, cada vez más comunes y de efectos económicos y reputacionales potencialmente devastadores.
Huella digital
Los metadatos y la información empresarial expuesta se pueden usar en contra de las empresas para iniciar un ciclo de ataque (MITRE ATT&CK [4]), facilitar fraudes peligrosos (Ej.: fraude del CEO [5]) y daño reputacional. Explicamos varios ejemplos:
La información que una empresa, sus empleados o clientes exponen en la red (web, publicidad, documentos, blogs, redes sociales...) puede dar demasiadas pistas sobre sus operaciones y organización (Ilustración 3).
Ilustración 3. Página tipo "Conoce nuestro equipo". ¿Ofrece demasiada información a los delincuentes?
*Cuidado: Revelar demasiada información puede usarse para ataques de phishing: suplantar al CEO, dirigirse al empleado de la caja pagadora...
Los metadatos de recursos subidos a la red (documentos, fotos, videos, etc.) pueden dar pistas sobre la infraestructura o empleados de una empresa y pasar desapercibidos por no formar parte de su contenido. Hasta los aparentemente más inofensivos pueden tener un uso malicioso si caen en ciertas manos. (Ilustración 4).
Ilustración 4. Metadatos típicos de un archivo y su importancia a la hora de extraer información
Una start-up podría proporcionar un servicio de monitorización periódica, control y retirada de la información potencialmente dañina en la red. Podría incluir asesoramiento para crear políticas de comunicación, estudiar la información que los clientes exponen actualmente y en el pasado [6] y ofertar formación para prevenir filtraciones.
Adicionalmente, podría asesorar sobre cómo falsificar cierta información para engañar a atacantes (Deceive, fase del framework MITRE D3FEND [3]). Este servicio permitiría a las pymes reducir su huella digital al mínimo imprescindible, disminuyendo la probabilidad de ser una víctima de campañas de ataque que la usan, por ejemplo, para encontrar víctimas indiscriminadamente.
OPORTUNIDADES DE NEGOCIO EN CIBERSEGURIDAD PARA LA INFRAESTRUCTURA DE LA EMPRESA
En muchas empresas es frecuente tener infraestructuras (máquinas virtuales, contenedores...) en servicio con sus opciones de instalación por defecto, estén o no en algún proveedor de nube. Esto tiene un gran margen de mejora en temas de seguridad (Ilustración 5). También es frecuente y grave tener carencias en aspectos de configuración [7] y optimización de los recursos.
Ilustración 5. Escaneo de un sistema Linux Ubuntu 18.04 recién instalado y actualizado con Lynis [8] (puntuación sobre 100)
El principal problema es que la puesta a punto de una infraestructura requiere un conocimiento especializado y una inversión que podría no estar al alcance de una pyme. Todo esto puede mejorarse ampliamente con tecnologías de automatización, ofrecidas por start-ups especializadas.
Seguridad automatizada para empresas especializadas.
Una start-up podría ofrecer un servicio que estudie la situación de las infraestructuras de sus clientes y elabore e implemente, una vez aprobado, planes de mejora y mantenimiento personalizados automatizados. Para ello, creará una lista de controles de seguridad extraídos de procedimientos nacionales/internacionales validados con toda la información necesaria para su comprobación y aplicación (Ej.: CIS Benchmarks [9] (Ilustración 6), guías de implementación técnica de seguridad (STIG) [10], guías del Esquema Nacional de Seguridad (ENS) [11]...).
La personalización del plan de mejora es necesaria porque la aplicación directa de los controles de estas guías puede afectar a los servicios legítimos y al negocio de los clientes, por lo que la start-up se encargaría de maximizar la seguridad evitando estos problemas.
Ilustración 6. Control de seguridad del CIS Benchmark para Ubuntu 18.04LTS
Mejora de la configuración
Complementando lo anterior, la start-up podría ofrecer un servicio que suministre máquinas virtuales, contenedores o infraestructuras prefabricadas, configuradas óptimamente para una determinada función. Para poder reproducirlas automáticamente cuando y donde sea necesario, usaría tecnologías Infraestructure as Code modernas para su construcción (Ej.: Vagrant, Docker, LXD, Ansible, Kubernetes, Terraform...). Como complemento, también podría diseñarlas a medida u ofrecer consultoría para mejorar las existentes.
De esta forma, una pyme podría desplegar su negocio online sobre infraestructuras más seguras y optimizadas, dificultando la ejecución de muchos ataques y ahorrando costes maximizando su rendimiento.
Protección mediante supervisión
Una empresa podría estar exponiendo activos inadvertidamente, tanto en Internet (máquinas mal configuradas) como en su red interna (falta de inventario, excesiva confianza en la protección perimetral...). Motores de búsqueda como Shodan o Censys son capaces de encontrar cualquier dispositivo expuesto a Internet y mostrar información sobre ellos, como: posibles vulnerabilidades, información sobre puertos, IP... (Ilustración 7), algo que a nivel interno pueden hacer herramientas como nmap (Ilustración 8).
Ilustración 7. Shodan mostrando posibles vulnerabilidades de una máquina en Internet
Ilustración 8. Nmap mostrando los servicios de una máquina. *Producto + versión es lo único necesario para buscar vulnerabilidades conocidas
Cuando se descubre una vulnerabilidad grave en un producto popular, surgen campañas de ataque indiscriminadas basadas en la información expuesta [12], por lo que no controlar los activos expuestos puede ser fatal.
Por todo esto, una start-up que ofrezca un servicio que monitorice periódicamente activos (internos y externos) de sus clientes, localice servicios en producción con vulnerabilidades, emita alertas y parchee o mitigue los problemas rápidamente, puede prevenir que las pymes sean víctimas solo por el hecho de usar un determinado producto y no tener recursos para mantenerlo adecuadamente protegido y actualizado.
Prevención de riesgos software
La ingeniería del software es una disciplina que cada vez goza de un mayor nivel de automatización. Esto incluye aspectos de ciberseguridad, con herramientas específicas que se introducen en la cadena de producción de las aplicaciones (SecDevOps) para mejorar su calidad y localizar vulnerabilidades.
No obstante, usar estas herramientas requiere una formación específica que podría no estar al alcance de pymes que desarrollen software. Por ello, una start-up podría ofrecer estos servicios
Incorporar y monitorizar ciertas herramientas de seguridad (SCA, SAST, DAST...) a la cadena de producción de sus clientes.
Monitorizar y solucionar problemas en producción usando indicadores de carencias en materia de administración segura (robots.txt inadecuados (Ilustración 9), security.txt, presencia de demasiada información en directorios comunes, código fuente en producción, errores que revelan información privada, uso inadecuado de cifrado, uso de cabeceras de seguridad y CSP, filtraciones conocidas asociadas al dominio...).
Ilustración 9. Fichero robots.txt que podría contener demasiada información
Asesorar sobre la colocación de recursos “canary” en producción para identificar ataques. Normalmente, antes de un ataque hay una fase de reconocimiento (Reconnaissance, fase del MITRE ATT&CK) [4] que trata de identificar recursos vulnerables. Desplegar estos recursos en partes estratégicas de los clientes permite identificar posibles intentos de ataque entrantes y bloquear a los autores preventivamente. Esa información se recopilaría de cada cliente para hacer una base de datos de bloqueo que beneficie a todos.
Por tanto, estos servicios permiten monitorizar, alertar de problemas y proponer soluciones ágiles que mejoren el software final sin que el cliente deba hacer una inversión en esta vía.
REFERENCIAS
[1] E. Commission, "Survey on "Scams and Fraud Experienced by Consumers"," 1 2020. [Online]. Available: https://ec.europa.eu/info/sites/default/files/aid_development_cooperation_fundamental_rights/ensuring_aid_effectiveness/documents/survey_on_scams_and_fraud_experienced_by_consumers_-_final_report.pdf. [Accessed 18 10 2022].
[2] L. Montebello, "Fraud warning: WhatsApp scams surge more than 2000 per cent," 31 1 2022. [Online]. Available: https://www.cityam.com/fraud-warning-whatsapp-scams-surge-more-than-2000-per-cent/. [Accessed 19 10 2022].
[3] MITRE, "D3FEND™: A knowledge graph of cybersecurity countermeasures," 10 2022. [Online]. Available: https://d3fend.mitre.org/.
[4] MITRE, "MITRE ATT&CK Framework," 10 10 2022. [Online]. Available: https://attack.mitre.org/.
[5] INCIBE, "Fraude del CEO," 19 1 2017. [Online]. Available: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/fraude-del-ceo. [Accessed 18 10 2022].
[6] I. Archive, "Internet Archive: Wayback Machine," 2022. [Online]. Available: https://archive.org/web/. [Accessed 17 10 2022].
[7] CloudHesive, "Why Misconfiguration Is the Top Cloud Vulnerability," 2022. [Online]. Available: https://www.cloudhesive.com/blog-posts/misconfiguration-top-cloud-vulnerability/. [Accessed 18 10 2022].
[8] Cisofy, "Lynis: Auditing, system hardening, compliance testing," Cisofy, 2022. [Online]. Available: https://cisofy.com/lynis/. [Accessed 11 10 2022].
[9] C. f. I. Security, "CIS Benchmarks," 2022. [Online]. Available: https://www.cisecurity.org/cis-benchmarks/. [Accessed 11 10 2022].
[10] D. C. Exchange, "Security Technical Implementation Guides (STIG)," 2022. [Online]. Available: https://public.cyber.mil/stigs/. [Accessed 11 10 2022].
[11] C. CNI, "Esquema Nacional de Seguridad, ENS," 2022. [Online]. Available: https://ens.ccn.cni.es/es/esquema-nacional-de-seguridad-ens. [Accessed 11 10 2022].
[12] J. Greig, "Log4J: Attackers continue targeting VMware Horizon servers," 21 1 2022. [Online]. Available: https://www.zdnet.com/article/log4j-attackers-continue-targeting-vmware-horizon-servers/. [Accessed 18 10 2022].
Iniciativa realizada en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).