Recientemente tuve lo que pensé que era una onda cerebral única. (Alerta de spoiler: no lo fue, ¡pero sigue leyendo!)
Como líder de marketing en ESET Reino Unido, parte de mi función es comunicar cómo se pueden implementar nuestras potentes e integrales soluciones para proteger a las organizaciones, de una manera que ayude a aclarar los argumentos para actualizar a niveles más altos de ciberseguridad. Y esa necesidad de claridad es ahora más urgente que nunca.
Líderes y agencias de ciberseguridad, incluido el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC), a menudo se citan diciendo que los ciberataques no son “una cuestión de si, sino de cuándo”. Así que tal vez no sea demasiado exagerado describir que cada organización existe en un “estado previo a la infracción”, o una condición en la que las amenazas pueden ya estar presentes pero permanecer fuera del radar.
Lo que trae a la mente El gato de Schrödingerel famoso experimento mental en el que un gato en una caja sellada está vivo y muerto al mismo tiempo, hasta que miras dentro. Esto podría desafiar un poco la analogía, pero en términos de ciberseguridad, su organización vive en un estado similar: está violada y no violada, hasta que mira. Sin visibilidad, simplemente no lo sabes. Y cuando lo haga, es posible que el daño ya esté hecho.
Aceptar esta realidad exige un cambio de mentalidad y de estrategia. De hecho, para las organizaciones que carecen de las herramientas necesarias para la búsqueda de amenazas internas y el seguimiento de comportamientos maliciosos, se podría argumentar además que esto, en realidad, representa una dualidad de estado que se encuentra en la teoría cuántica y, por lo tanto, estas organizaciones se encuentran en una especie de «estado de violación cuántica».
No fue una sorpresa cuando descubrí que mi onda cerebral fue compartido entre al menos algunos otrosquien había usé esta analogía para explicar la nueva realidad y alentar a las organizaciones a revisar su estrategia de ciberseguridad en consecuencia. Un poco decepcionante desde una perspectiva egoísta, pero tampoco demasiado porque es claramente una línea de pensamiento que resonó al menos en esos pocos también.
Pero ahora voy a encontrar algunas lagunas en la analogía con la esperanza de subrayar el mensaje clave.
Aleatorio y no tan aleatorio
El experimento mental original, descrito por primera vez por el físico austriaco Erwin Schrödinger hace 90 años, casi exactamente hoy, se basó en la posibilidad aleatoria de que la desintegración radiactiva de un elemento emitiera una partícula que impactara en un detector, lo que provocó la liberación de veneno en la caja, apagando así al gato. Se trata de una posibilidad aleatoria determinada por la decadencia cuántica, mientras que el momento de la “detonación” del malware por parte de los delincuentes dentro de una organización es, en la mayoría de los casos, planificado.
Se pensaba que el grupo informal de delincuentes de habla inglesa conocido como Scattered Spider, que estaba detrás de la vulneración de Marks and Spencer (M&S) en el Reino Unido, se había estado moviendo a través de los sistemas de la empresa. sin ser detectado, durante semanas. Se cree que este mismo grupo está detrás de la tan mencionada infracción de seguridad de Jaguar Land Rover (JLR), que se estima ha costado más de £2 mil millones a la economía del Reino Unido y está oficialmente el más costoso en la historia del Reino Unido.
Es justo suponer que se pueden haber empleado las mismas tácticas, aunque los detalles sobre cuánto tiempo estuvieron presentes los atacantes en los sistemas de JLR son incompletos. En el caso de M&S, los perpetradores pasaron mucho tiempo (viviendo) «viviendo de la tierra», lo que desató el caos al comienzo del fin de semana de Semana Santa. Mientras tanto, el ataque a JLR se desencadenó el día 31.calle de agosto de 2025, en vísperas del equivalente de la Navidad y el Día de Acción de Gracias en la industria automovilística del Reino Unido: el día de matriculación de vehículos nuevos (“día de matrícula nueva”) el 1calle de septiembre.
¿Aleatorio? No me parece.
Por lo tanto, la analogía de la brecha cuántica no se cumple del todo. Si tuviera que adivinar, la fecha fue planeada cuidadosamente para lograr la máxima perturbación, y funcionó espectacularmente bien para los atacantes (y espectacularmente mal para JLR, por supuesto).
Llegados a este punto, vale la pena recordar algunas estadísticas. Según IBM Costo de un informe de violación de datos 2025el tiempo medio global para identificar y contener una infracción (es decir, todo el ciclo de vida de la infracción) es de 241 días, mientras que el tiempo medio para identificar una infracción es de 181 días; de cualquier manera, estamos hablando de cifras grandes. La incómoda realidad es que muchas organizaciones sufren ataques mucho antes de que se den cuenta. Y cuanto mayor sea el tiempo de permanencia, más dañina será probablemente la eventual “detonación” del ataque.
Soluciones: Cerraduras y/o SOCs
Si a estas alturas ha aceptado mi “teoría” de que su organización se encuentra en un estado previo a la infracción, ahora podría pensar en soluciones. Una de esas soluciones suele ser adquirir/actualizar su seguridad (es decir, comprar un candado más grande) o hacer todo lo posible y actualizar a herramientas EDR o XDR y luego buscar amenazas. Esto último equivaldría a “abrir la caja” y observar, por supuesto.
Optar por lo primero (bloqueos más grandes) no necesariamente ayuda si se consideran las amenazas internas, la ingeniería social y otras estrategias de ataque empleadas por grupos de cibercrimen como Scattered Spider, que estuvieron detrás de las infracciones de JLR y Marks & Spencer. No importa el tamaño de la cerradura, robar las llaves (o regalarlas, efectivamente, al hacer clic en un enlace malicioso o ser engañado para revelar o restablecer una contraseña) las vuelve obsoletas en este caso.
Entonces, ¿qué pasa con los SOC?
Para que esto funcione, por supuesto, primero necesitará crear un SOC de algún tipo y luego dotarlo de analistas de seguridad. Muy caro y requiere mucho tiempo: su instalación puede llevar meses y costar cientos de miles de libras/dólares/euros. Y eso incluso si se puede reclutar suficiente gente debido a la escasez de habilidades en ciberseguridad, tan reportada. Entonces, entonces ‘vamos al comando’; es decir, hacerlo nosotros mismos.
Esta opción debe considerarse con cautela: no se debe subestimar la habilidad necesaria para operar estas poderosas herramientas y, cuando se activan, muchas (la mayoría/todas) las organizaciones encontrarán el gran volumen de telemetría, alertas y alarmas tan abrumador que terminarán deshabilitando muchas de ellas solo para amortiguar el ruido. Por lo tanto, si bien el “estado cuántico” de la infracción ya está resuelto (es decir, ahora estás observando tus sistemas), puede crear una situación peor y llevar a una falsa sensación de seguridad. tu ahora pensar estás bien cuando estás potencialmente no, porque es posible que no tenga las habilidades necesarias para analizar adecuadamente lo que se observa.
Agregue a esto que, aquí en ESET, hemos visto un número cada vez mayor de pólizas de seguro cibernético, compartidas por los clientes, que insisten en que existan soluciones EDR para calificar incluso para la cobertura, lo que puede dejar a los profesionales de seguridad con un verdadero enigma. Obligados a utilizar herramientas que requieren operadores altamente capacitados, sin la capacidad de utilizarlas correctamente para que la política siga siendo aplicable en caso de incumplimiento (inevitable). El estrés es probablemente una de las palabras más utilizadas en los equipos de ciberseguridad de todo el mundo para describir su día a día, y no es de extrañar.
Pero hay una tercera vía. Solicitar ayuda a los proveedores que crean las herramientas y ofrecen servicios para detectar, monitorear y remediar estas amenazas es cada vez más la dirección a seguir por organizaciones de todos los tamaños. Los servicios administrados de detección y respuesta (MDR) resuelven este dilema: expertos que administran las herramientas, monitoreo las 24 horas del día, búsqueda proactiva de amenazas, detección y remediación rápidas, entre otros; todo esto alivia la situación, resuelve el “estado de violación cuántica” y desactiva la bomba cibernética y, en última instancia, ayuda en gran medida a cumplir con los requisitos de seguros y cumplimiento y, lo más importante, mitiga el daño creado por las APT y los grupos de delitos cibernéticos más antiguos.
La verificación de la realidad
- Realmente no sabes que has sido violado hasta que observas la realidad dentro de tus sistemas. ¿Sabes que no has estado?
- A menos que tenga las habilidades necesarias para detectar y remediar amenazas, las herramientas que pruebe y utilice usted mismo pueden ser contraproducentes y crear más ruido detrás del cual los atacantes podrían esconderse. ¿Tienes las habilidades?
- Incluso si tiene las habilidades internas para implementar soluciones EDR/XDR, el tiempo medio para detectar y responder (MTTD y MTTR) será cientos de veces mayor que el que un proveedor externo puede lograr (es decir, MTTD de ESET < 1 minuto; MTTR < 6 minutos). ¿Sabes cuáles son tus propios tiempos MTTD y MTTR?
- Es increíblemente costoso construir el SOC necesario y proporcionar monitoreo las 24 horas del día, los 7 días de la semana, los 365 días del año; para la mayoría de las empresas esto es prohibitivo. ¿Tiene el tiempo (y el dinero) para crear y dotar de personal a un SOC?
- Los servicios MDR, a través de MSP y MSSP, se pueden activar para CUALQUIER tamaño de organización, desde un puesto/empleado en adelante.
Referencias:
- “El gato de Schrödinger en ciberseguridad: la paradoja de la incertidumbre” – compara las vulnerabilidades con el destino del gato, haciendo hincapié en el seguimiento proactivo. [linkedin.com]
- “La violación de Schrödinger” – destaca el tiempo de permanencia y la ilusión de seguridad hasta que se demuestre lo contrario. [advantage.nz]
- Instituto de estrategia cibernética – utiliza la analogía para explicar la confianza y el riesgo como estados duales de tipo cuántico. [cyberstrat…titute.com]
Acerca del autor
