9 sept 2024

Dudas y aclaraciones sobre cómo implantar NIS2 en nuestras empresas

Recientemente estuvimos hablando de la Directiva NIS2 en otro artículo de Flu Project, en este caso, dedicado a otro tema de vertiente muy similar, el lanzamiento del 2º paquete RTS lanzado por las AES para el cumplimiento de DORA. Sin embargo, en el post de hoy queremos centrarnos en NIS2 y en algunas de las diferentes dudas que han ido surgiendo en los últimos meses, así que guardaros este post a modo de FAQ, que posiblemente os resulte de utilidad en vuestras respectivas organizaciones.

A modo de recordatorio, cuando hablamos de NIS2 nos referimos a la Directiva (UE) 2022/2555: NIS 2 (v2 de Network and Information Security), dirigida a elevar la ciberseguridad en la UE utilizando como palanca a sectores esenciales. No tiene nada que ver con el NIST (americano), cuyo parecido en 3 letras de 4 es mera coincidencia ;). Esta nueva regulación nace para actualizar y derogar la Directiva (UE) 2016/1148 del 6 de julio de 2016 (antigua Directiva NIS1).

NIS2 distingue dos grandes agrupaciones a las cuales les aplicarán determinados requerimientos en función de su criticidad. Estos requerimientos serán de aplicación para las empresas de estos sectores, siempre y cuando tengan más de 50 trabajadores (es decir, que al menos sean mediana empresa):

  • Sectores de Alta Criticidad:
    • Energía
    • Transporte
    • Banca
    • Infraestructuras Mercados financieros
    • Sector Sanitario
    • Agua potable
    • Aguas Residuales
    • Infraestructura Digital
    • Servicios TIC (B2B)
    • Administración pública
    • Espacio

  • Otros Sectores Críticos:
    • Servicios Postales y de mensajería
    • Gestión de Residuos
    • Fabricación, producción y distribución de sustancias y mezclas químicas
    • Producción, transformación y distribución de alimentos
    • Fabricación: Entre otros de productos sanitarios.
    • Proveedores de servicios digitales
    • Investigación

Sin embargo y por la redacción del Artículo 2, Punto 1 de la Directiva, el cual ha generado algo de controversia porque la redacción da lugar a confusión, estos requerimientos no solo aplicarán a estos 18 sectores en las organizaciones medianas y grandes, si no que tambien aplicarán a cualquier organización de estos sectores, independientemente de su tamaño, en determinadas circunstancias.


Esta hipótesis queda corroborada tras la publicación del Centro Criptológico Nacional, quien aclara en esta página que, con independencia de su tamaño, las medidas aplicarán a ambas agrupaciones (Sectores de Alta Criticidad y Críticos) en casos vinculados a la seguridad nacional y al funcionamiento de las infraestructuras críticas, en centros que realicen investigación (ej. centros de enseñanza), en administraciones regionales y locales (ej. ayuntamientos), lo cual por otra parte es algo obvio, dado que en muchos casos como en pueblos y pequeñas ciudades no llegarán a los 50 empleados pero sus servicios son mas que esenciales para la ciudadanía y el estado, etc. En la siguiente captura de la web del CCN podréis consultar estos detalles: 


En esta misma publicación podréis descargar una infografía muy interesante que vincula el Esquema Nacional de Seguridad (ENS) con NIS2, y en la que aclaran que a ojos de la administración, una compañía que disponga del ENS certificado en su Nivel Alto, será considerada como "conforme" frente a la Directiva NIS2, por lo que si ya contáis con esta certificación, ya tendréis hechos los deberes:


 

Asimismo, aclara que aquellas compañías que tengan certificaciones ENS Media y Básica deberán hacer hincapié en los temas de continuidad y gestión de proveedores, tal y como define la propia Directiva.

Para comenzar a entender de qué va NIS2 os recomiendo 2 de las publicaciones oficiales que tenemos en castellano, la propia traducción oficial de la directiva:


Y la Guía CCN-STIC 892 que ha sido publicada hace apenas unos días:

Por otro lado, es importante aclarar que, según el artículo 41 de la Directiva NIS2, esta deberá transponerse por los países de la UE no mas tarde del 17 de octubre de 2024, bajo una norma con rango de Ley. Es decir, en un mes aproximadamente finalizará el plazo para tenerla oficialmente con nosotros, aunque aún hay cierta incertidumbre porque no ha sido publicada y se desconoce si habrá muchas variaciones que puedan cambiar el paso a aquellas organizaciones que ya se han puesto manos a la obra con la implantación.

Otra fecha importante que tenemos con nosotros es el 17 de abril de 2025, día en el que los diferentes países de la UE deberán de haber hecho públicos sus listados de empresas y administraciones afectadas por la aplicación de la regulación. Estos listados de entidades esenciales e importantes deberán de actualizarse, como máximo, cada 2 años.

Finalmente y al respecto de otra pregunta que nos suelen hacer, ¿NIS2 es certificable? Técnicamente NO. Simplemente es una ley que debemos de cumplir, como ocurre con otras muchas como la Ley Orgánica de Protección de Datos (LOPD). Sin embargo, tal y como aclara el CCN-CERT, debido a sus similitudes, la posesión de la certificación del ENS es una via reconocida para cumplir NIS2, por lo que es algo que las organizaciones podrán pensarse dentro de sus estrategias de gobierno y seguridad.

Próximamente seguiremos ampliando esta cadena de artículos según vayan siendo publicados nuevos datos de esta regulación tan esperada.

¡Saludos!



at No hay comentarios:

2 sept 2024

Internet Organised Crime Threat Assessment (IOCTA) 2024


En 2023, los ataques de ransomware, así como el fraude en línea siguieron siendo las principales amenazas en el mundo de la ciberseguridad en la UE. Este panorama incluyó tanto actores solitarios como redes criminales, operando tanto dentro como fuera de la UE. Aunque se fortalecen los marcos regulatorios, el factor humano sigue siendo el eslabón más débil. Los modelos de estafa multinivel y las tecnologías emergentes como la IA están mejorando la ingeniería social y facilitando el fraude. El uso de deepfakes también está en aumento, especialmente en el fraude generado por IA. 



A continuación, se van a analizar los tipos de amenazas más comunes del 2023:

Criptodivisas y la dark web

En 2023, el uso criminal de criptomonedas se hizo más evidente, con un aumento en las solicitudes de apoyo investigativo recibidas por Europol. Los delitos financieros, principalmente el fraude de inversión y el lavado de dinero, son las áreas donde más se encuentran las criptomonedas. Algunas stablecoins permiten a las agencias de la ley congelar fondos sospechosos, lo que facilita las investigaciones.

Los operadores de ransomware suelen pedir Bitcoin como rescate, aunque a veces exigen otras criptomonedas como Monero. El uso criminal de altcoins está en aumento, con casos que involucran Bitcoin y altcoins casi igualados. Las nuevas normas de la UE sobre transferencias de fondos han ampliado las obligaciones de reporte a los proveedores de servicios de criptoactivos (CASPs), lo que se espera mejore la cantidad de información disponible para las investigaciones en la UE.

Por otro lado, los foros de la dark web son los principales canales para anunciar mercados oscuros (ilícitos), en los cuales la moneda de cambio son las crytocoins. Los administradores limitan el tamaño y la vida útil de sus mercados para evitar la vigilancia digital, mientras mantienen una buena reputación para atraer clientes. En la dark web las criptomonedas continúan siendo atractivas debido a su dificultad para rastrear este tipo de activo.

Ciberataques

Los grupos de ransomware que operan bajo el modelo de Ramsonware-as-a-Service (RaaS) han intentado capitalizar la caída de sus competidores para atraer afiliados. Tras la interrupción de los servicios de Hive, BlackCat/ALPHV promovió su seguridad y no-log policy para atraer a los antiguos afiliados de Hive. Sin embargo, el cierre de sitios de BlackCat/ALPHV en diciembre de 2023 dañó su reputación, y en marzo de 2024, aparentemente cesaron operaciones y estafaron a sus afiliados. Las acciones policiales contra operadores de ransomware afectan su reputación y operación, exponiendo a los afiliados y causando pérdidas de recursos. Esta susceptibilidad ha llevado a algunos afiliados a desarrollar sus propios malwares utilizando herramientas de IA. LockBit, uno de los proveedores de RaaS más famoso, fue desmantelado en febrero de 2024 mediante una acción coordinada de LEAs, dañando severamente su capacidad. LockBit había lanzado nuevas variantes como LockBit Black y LockBit Green, y desarrollaba encryptores para MacOS. Un nuevo grupo RaaS, Akira, asociado al desmantelado grupo Conti, ha surgido como una amenaza creciente.

Los grupos de ransomware han centrado sus ataques principalmente en pequeñas y medianas empresas (SMBs), ya que las grandes empresas han mejorado su ciberseguridad. Los atacantes eligen sus objetivos basándose en el tamaño, la probabilidad de pago y el esfuerzo necesario para comprometer los sistemas, utilizando credenciales robadas o explotando vulnerabilidades en tecnologías accesibles públicamente. Los operadores de ransomware emplean intermediarios de acceso inicial (IABs) especializados en ciertas tecnologías para identificar superficies de ataque viables, influenciando la selección de objetivos. Los operadores continúan utilizando tácticas de extorsión multilayer, donde la amenaza de publicar o subastar datos robados se ha vuelto más efectiva, ya que muchas organizaciones ahora realizan copias de seguridad regularmente.

En 2023, el panorama del malware como servicio (MaaS) experimentó varios cambios. Tras la caída de la infraestructura del malware Qakbot, los atacantes recurrieron rápidamente a otros proveedores establecidos o emergentes de dropper/loaders, como IcedID, SystemBC, Pikabot, DanaBot y Smokeloader. Cobalt Strike se comenzó a usar como puerta trasera y centro de comando y control (C2). Los marcos impulsados por IA, como PentestGPT, también están siendo utilizados con fines maliciosos para facilitar el compromiso inicial de los sistemas de información.

Esquemas de fraude en línea y de pago

En 2023, la amenaza de los robos de cuentas (ATO) ha crecido significativamente, destacándose como una forma clave de Criminal-as-a-Service (CaaS). Los delincuentes siguen accediendo a cuentas en línea, como bancos, correos electrónicos y redes sociales, para tomar fondos y obtener información sensible que luego monetizan. Dado que los bancos están tratando las pérdidas por estafas de credenciales 2FA/MFA como negligencia del titular legítimo, los fraudes dirigidos a cuentas individuales continúan siendo una actividad de bajo riesgo y alto beneficio para los criminales.

Los atacantes utilizan herramientas de administración remota (RAT) y aplicaciones disponibles en tiendas legítimas para generar estos fraudes. Los ataques de Business Email Compromise (BEC), particularmente el fraude dirigido a CEOs, siguen siendo comunes, con correos electrónicos de phishing cada vez más convincentes gracias a modelos de lenguaje generativo (LLMs). Las estafas dirigidas también siguen siendo una amenaza significativa, con herramientas de IA que permiten a los estafadores contactar a más víctimas y perfeccionar sus técnicas de ingeniería social.

¿Qué esperar en el futuro?

La adopción generalizada de herramientas y servicios de IA por parte de los atacantes está generando nuevas amenazas, incluyendo tanto el abuso de herramientas y servicios legítimos como la creación de versiones maliciosas ad hoc. La proliferación de modelos de lenguaje sin filtros emergentes multiplicará los anuncios fraudulentos generados por IA, atrayendo a potenciales víctimas. Los delincuentes podrán usar IA para mejorar métodos criminales y superar barreras idiomáticas, facilitando la manipulación en múltiples idiomas.

Priorizando la prevención de delincuentes, las fuerzas del orden y los legisladores pueden abordar el cibercrimen desde su raíz, creando soluciones sostenibles y a largo plazo para proteger estos entornos. Al enfocarse en las causas que llevan a las personas a involucrarse en este tipo de actividades, como la falta de conciencia, incentivos financieros o factores socioeconómicos, las autoridades pueden reducir efectivamente las tasas de crimen en línea. Invertir en prevención no solo mitiga los riesgos inmediatos, sino que también fomenta una cultura de ciberseguridad, creando un entorno digital más seguro.

Jorge Ezequiel de Francisco, Analista de Ciberseguridad en Zerolynx.
at No hay comentarios:
Suscribirse a: Entradas (Atom)