Las consecuencias de un ciberataque sobre los certificados digitales de la empresa se traducen en un grave daño reputacional, económico y operativo. La modificación y manipulación de los certificados, o su robo para impedir su uso por parte de los ciberdelincuentes, son dos de las acciones más perjudiciales para la identidad digital. El impulso del teletrabajo en 2020 aceleró la digitalización de las empresas, aumentando su exposición y el riesgo de sufrir todo tipo de ciberataques. Multitud de ellos siguen centrándose en atacar al certificado digital para manipularlo o corromperlo y así poder emplearlo como vector de ataque sobre otras entidades y acceder a información mucho más sensible, o bien robarlo para impedir su utilización por parte de los usuarios autorizados para ello. En este artículo detallamos por qué el certificado digital se convierte en objetivo de los ciberatacantes, cómo lo emplean para dañar la identidad digital de las empresas y las consecuencias que conlleva, y por qué Redtrust es la solución que imposibilita el acceso a los certificados digitales tras un ciberataque.
El impacto del ransomware: uno de los peores ciberataques
El ransomware es uno de los ciberataques con mayor impacto en el mundo empresarial, empleado para corromper los archivos de los certificados o bloquear los dispositivos e impedir así su uso. Las brechas de seguridad provocadas por ataques ransomware durante 2020 supusieron un coste medio de 4,44 millones de dólares para las organizaciones. El 66% de los profesionales de seguridad de la información en empresas españolas afirma que recibió un ataque ransomware en el último año, siendo España el segundo país europeo que más dinero pagó en rescates con una cifra cercana a los 1,44 millones de euros. La transición al teletrabajo propició el crecimiento de esta y otras ciberamenazas. El trabajo en remoto desde un entorno no controlado por la empresa favoreció los ataques por intrusión, que en el primer semestre de 2020 fueron un 17% mayor que los registrados durante todo el año anterior. Además, el número de ataques por suplantación de identidad se incrementó en más de un 300%, y los dirigidos contra escritorios remotos (RDP) en torno a un 768%. Estas cifras sitúan al ransomware como uno de los ataques más dañinos y con efectos casi incalculables para las empresas, tal y como demuestra el sufrido por la marca Garmin en agosto de 2020. Sin embargo, el ransomware no es el único medio que los atacantes emplean para burlar la seguridad digital y llegar hasta los certificados digitales. Los exploits, el adware, etc. también son puestos en práctica para acceder a los certificados y corromperlos o robarlos para impedir su uso.
El certificado digital como objetivo durante un ciberataque
Queda claro que el peor escenario posible tras recibir un ciberataque es aquel en el que los atacantes acceden a los certificados digitales de la empresa. Sabedores del uso e importancia que el certificado tiene en el día a día empresarial, tanto para la autenticación como para la firma digital, un ataque dirigido a ellos desemboca directamente en la interrupción en la continuidad del negocio. Por tanto, los certificados se convierten en objetivo de ataque para su manipulación y uso que permita acceder a información de carácter mucho más sensible, o para bien robarlos e impedir su utilización a las empresas.
El uso del certificado como vector de ataque
Existen varias formas a través de las cuales un ciberataque traspasa las barreras de seguridad de las empresas para ejecutarse y reproducirse por toda la infraestructura IT. En los últimos años la metodología de intrusión ha evolucionado hasta el punto de que los atacantes emplean los propios certificados digitales, de firma de código o de servidor, para penetrar en las empresas. Este es el caso, por ejemplo, del ataque sufrido por SolarWinds en diciembre de 2020.
Mediante la manipulación del certificado de firma de código de su producto Orion, utilizado por un gran número de clientes alrededor de todo el mundo, los atacantes accedieron a la información privada de aquellos que contaban con dicho software en su infraestructura. Este sofisticado ataque ha sido reconocido por muchos como el ‘más grande de la historia’, ya que no levantó sospecha alguna en los sistemas de seguridad de SolarWinds y, además, los atacantes tuvieron acceso y manipularon uno de los certificados digitales más importantes en una empresa tecnológica.
Entra aquellas técnicas menos sofisticadas que no emplean los certificados digitales como medio para acceder a bases de datos e información privilegiada, sino como objetivo para su inutilización o uso ilícito, destacan los exploits, que aprovechan vulnerabilidades en los sistemas de seguridad para iniciar el ataque. Uno de los más sonados dentro de esta tipología es el llevado a cabo por WannaCry en 2017, que se valió de una vulnerabilidad detectada en ordenadores que utilizaban Windows como sistema operativo para acabar ejecutando un ataque ransomware y, por tanto, tener la posibilidad de acceder a los certificados digitales alojados en los dispositivos.
Por otro lado, las descargas de aplicaciones o softwares falsos que esconden código malicioso, o los periféricos infectados de malware también son explotados por los atacantes como vectores de propagación, siendo algunos de los medios más comunes para ello. Este último ha ganado relevancia durante el último año, sobre todo por el aumento en la movilidad de la información causada del teletrabajo. La incertidumbre se instaló en muchas empresas al perder el control sobre los certificados digitales que transportaban los empleados de un lugar a otro a través de periféricos.
Las consecuencias del acceso y uso ilícito de los certificados
La peor consecuencia del uso de los certificados digitales de forma fraudulenta es el grave daño a nivel reputacional que causa en la empresa, tal y como señala Javier Espejo, CISO en Transparent Edge Services. Además, la única solución para frenar cualquier perjuicio relacionado con los certificados es su revocación, con los costes de tiempo y económicos asociados al proceso. SolarWinds, por ejemplo, emitió un comunicado tras el ataque anunciando que revocaría los certificados de firma de código manipulados como medida para garantizar la seguridad y e integridad de su software que se había visto comprometido.
“La peor consecuencia de un ciberataque sobre los certificados digitales de una empresa reside, además de la pérdida de información valiosa, en el grave daño reputacional y económico generado sobre la marca. Además de invertir en ciberseguridad es de vital importancia la concienciación de todos los empleados.”
Javier Espejo, CISO en Transparent Edge Services
El impedimento en el uso de los certificados digitales de Persona Física, de Representante, de firma de código, de servidor o cualquiera dentro de su amplia tipología, pone en un grave compromiso a las empresas. A través de su uso ilícito, los ciberdelincuentes obtienen acceso a información privada relativa a clientes, colaboradores o incluso empleados. Incluso pueden suplantar su identidad y autenticarse en nombre de la empresa para realizar trámites o firmar digitalmente documentos y proyectos para los que no están autorizados. Junto al bloqueo de su uso, lo que deriva en la inoperatividad de la actividad empresarial, los ciberdelincuentes pueden utilizar los certificados para acciones como disolver la organización ante el Registro Mercantil, dar de baja a sus trabajadores en la Seguridad Social, suspender o anular licitaciones, revocar otros certificados relevantes, acceder a la cadena de suministro, evitar el pago de impuestos, o cualquier otra acción que influya negativamente en el funcionamiento y desarrollo de la actividad empresarial.
La necesidad de proteger los certificados digitales es vital ante el riesgo de sufrir un ciberataque, independientemente del tamaño de la organización, sector donde opere, tipo o finalidad del ataque. Redtrust custodia los certificados de las empresas de forma centralizada para impedir el acceso de terceros no autorizados y evitar así su robo o manipulación.
Protección de los certificados digitales de ciberataques con Redtrust
Redtrust evita que los certificados digitales de las empresas estén expuestos ante cualquier ciberataque, mitigando las consecuencias que un acceso y uso inadecuado implica. Esto es posible gracias a que los certificados no se encuentran instalados y distribuidos sin control en los equipos de los trabajadores, sino que son almacenados y gestionados de forma centralizada en un servidor cifrado.
La garantía de movilidad de los certificados que ofrece Redtrust dota de tranquilidad a las empresas a la hora de teletrabajar, ya que los empleados no pueden exportar los certificados ni hacer copias de ellos para transportarlos fuera de la oficina. Al estar centralizados en un repositorio único y protegido pueden usarlos como si estuvieran alojados en su equipo y desde cualquier parte, eludiendo las brechas de seguridad originadas por su uso en entornos poco seguros o por el empleo de periféricos para su transporte.
Además, la posibilidad de registrar monitorizaciones ayuda a detectar anomalías en la utilización de los certificados y acciones de carácter sospechoso. Un hecho que, junto a la creación de políticas de uso para controlar los accesos de los usuarios, permite un control total sobre los certificados.
Estas ventajas que aporta Redtrust son la mejor baza para garantizar la continuidad del negocio ante el riesgo de recibir un ciberataque, ya que los certificados digitales se encuentran controlados y custodiados frente a vulnerabilidades y fuera del alcance de ciberdelincuentes que pretendan robarlos o corromperlos.
El sector de la banca es el segundo más afectado por fallos de ciberseguridad, con un coste medio de casi 6 millones $.
Conceptos de este artículo que puedes profundizar en nuestra ITpedia:
