Dado que el 72% del malware cifrado es clasificado como de día cero, las organizaciones deben contar con soluciones avanzadas de detección y respuesta basadas en el comportamiento

El tráfico encriptado de datos es un estándar hoy en día: según estimaciones de Gartner, más del 80% del tráfico web de las empresas debía haberse cifrado en 2019. La encriptación de datos busca que el intercambio de datos sea más seguro que antaño, que los datos almacenados estén protegidos y que el cumplimiento de la GDPR se lleve a rajatabla. No obstante, también tiene su parte negativa: el tráfico cifrado es ya uno de los mayores nichos de actuación del cibercrimen.

De hecho, tal y como señala el Informe de Seguridad en Internet de WatchGuard Technologies, durante el primer trimestre de 2020 el 67% de todo el malware fue cifrado – es decir, se entregó a través de protocolos HTTPS –. Y no solo eso, sino que el 72% del malware cifrado fue clasificado como de día cero, de manera que no existe una firma de antivirus que lo frene, volviéndose más indetectable para las organizaciones. Estos datos van en consonancia con predicciones de Gartner, quien asegura que durante 2020 los ataques de malware que recurrirán al cifrado serán del 70%.

“Los ataques de día cero, o ‘ataques Zero Day’, aprovechan la ventana de oportunidad producida por vulnerabilidades recién descubiertas que aún no han sido reparadas o que ellos mismos han identificado primero, por lo que son extremadamente peligrosos para cualquier corporación”, explica María Campos, VP de Cytomic, unit of Panda. “Los hackers actúan de manera rápida y ágil, y hacer frente a estas amenazas no es posible con las herramientas de ciberseguridad tradicionales. Hay que ir un paso más allá y contar con una barrera de protección adicional y puntera”, añade.

Cómo frenar el malware cifrado de día cero y garantizar la ciberdefensa

De cara a minimizar y mitigar las amenazas procedentes de malware cifrado día cero, hay una serie de consejos que los equipos de IT y analistas deben tener en cuenta a la hora de planificar la ciberseguridad de su organización:

1. Es necesario que las organizaciones cuenten con soluciones avanzadas de detección y respuesta basadas en el comportamiento, así como incluir la inspección del protocolo HTTPS como requisito indispensable en todas las estrategias. 
2. Dichas estrategias, además, han de incluir servicios de seguridad multicapa que actúen en todos los endpoints. Además, estos servicios y soluciones deben estar basados o ejecutarse en el cloud para que los procesos de triaje, investigación y reacción sean inmediatos y efectivos.
3. A la hora de detener la actividad de este tipo de malware, las herramientas han de utilizar técnicas de inteligencia artificial, machine learning e inteligencia de amenazas con las que buscar patrones de comportamiento sospechosos. Como resultado del análisis obtenido, deben ser capaces de generar una alerta de aviso que priorice según gravedad de la amenaza y que contenga toda la información y contexto necesario para un triaje y actuación agilizados.
4. Contar con soluciones que puedan acelerar sus investigaciones, como es el caso de Cytomic Orion, la solución cloud de Threat Hunting e Incident Response de Cytomic, y que incorporen Jupyter Notebooks para una búsqueda efectiva de amenazas, un actuación sobre el endpoint inmediata y que permitan la compartición de conocimiento entre analistas, potenciando inmediatamente sus capacidades y favoreciendo una corta curva de aprendizaje de los analistas y hunters.