Por qué la seguridad en la nube es imprescindible para los medios de comunicación en 2024

por | 29/11/2023

Los medios de comunicación y entretenimiento (M&E) y otras empresas se enfrentan a una constelación de amenazas de seguridad cada vez mayores en 2024, desde ransomware y otros códigos maliciosos hasta amenazas persistentes avanzadas y esquemas de ingeniería social ultraavanzados.

Pero eso no significa que debas decir no a la nube y a todas sus ventajas de seguridad. De hecho, repatriar tu patrimonio de datos a sistemas on-prem puede suponer una enorme regresión a la hora de mantener tus datos seguros.

Sigue leyendo para averiguar por qué y saber más sobre las mejores formas de proteger tus datos, independientemente de dónde residan.

Índice de contenidos

Transferencia segura en la nube para medios de comunicación

Proteja sus contenidos con transferencias de archivos totalmente cifradas y verificadas por TPN (MASV ha recibido la certificación Gold Shield).

Brechas de seguridad destacables en 2023

Los más destacados robos de datos de este año -en cualquier sector- pueden remontarse a vulnerabilidades de día cero en transferencia de archivos autoalojada plataformas GoAnywhere, MOVEit y Aspera.

En los tres casos, los malos actores utilizaron estas vulnerabilidades para obtener acceso y ejecutar remotamente código malicioso (normalmente ransomware) en los servidores locales de los clientes que ejecutaban estos servicios. Amenazaron con divulgar públicamente montones de información robada si no se pagaban rescates.

Estos ataques afectaron a muchos clientes de transferencia de archivos y a sus clientes;

El MOVEit hack ha afectado hasta ahora a más de 2.600 organizaciones y 77 millones de personas. Y aunque tuvo lugar en mayo, seguimos teniendo noticias de organizaciones que descubren que se han visto afectadas.

Y aunque algunas organizaciones se recuperaron bastante rápido de estos incidentes, otras tardaron varias semanas en volver a la normalidad.

Otros incidentes de seguridad notables este año:

  • Una filtración de ransomware de $100 millones en MGM Resorts que cifró más de 100 hipervisores ESXi, un tipo de host de máquina virtual.
  • Un rescate de datos de $15M pagado por Caesars Entertainment tras el robo de la base de datos de su programa de fidelización.
  • Un ataque de ransomware que pretendía vulnerar "todos los sistemas de Sony". Sony se vio afectada por separado por el ataque MOVEit, además de ser víctima de otra brecha importante en 2011.
  • Robo de casi 100 GB de datos de empleados de T-Mobile que se publicaron en foros de hackers (supuestamente a través de una violación de uno de los minoristas de la empresa). Fue la segunda violación de datos relacionada con T-Mobile de 2023.
  • Casi 40 TB de datos privados filtrados accidentalmente por la División de Investigación de IA de Microsoft.
  • Hackers chinos patrocinados por el Estado espían a agencias gubernamentales estadounidenses a través de una vulnerabilidad de los servicios en la nube de Microsoft.
  • Una filtración de un proveedor externo que comprometió los datos de unos 9 millones de clientes de AT&T.
  • Una brecha iniciada por phishing de SMS en Activision, que se produjo en diciembre de 2022 pero no salió a la luz hasta febrero.

La lista anterior no es definitiva; en 2023 se produjeron otras violaciones de datos.

Alguien filtró la noticia del existencia de Shrek 5 a principios de este año, por ejemplo, aunque parece que lo más probable es que fuera accidental.

Las personas suelen ser el eslabón más débil de cualquier postura de ciberseguridadal fin y al cabo.

Ataques de seguridad más comunes y amenazas crecientes

Las organizaciones de medios de comunicación se enfrentan a un panorama en constante evolución que presenta múltiples amenazas. He aquí algunas de las más comunes.

Ransomware y otros programas maliciosos

La mayoría de los expertos en seguridad consideran que el ransomware es la amenaza más grave en los próximos años.

En el caso de M&E, esto se debe a que muchas organizaciones no han invertido lo suficiente en seguridad remota desde la inicial Migración WFH durante la pandemia.

Por ejemplo, si el personal utiliza su dispositivo personal para acceso remoto a máquinas situado dentro de un estudio, y ese dispositivo personal está infectado con ransomware, el código malicioso puede encontrar fácilmente el camino hacia los servidores del estudio. Antes de que el estudio se dé cuenta de lo que ha ocurrido, puede acabar con gigantescas secciones infectadas de datos en esos servidores.

Parte del riesgo se deriva de la forma en que los estudios utilizan las redes privadas virtuales (VPN) para el trabajo a distancia y las transferencias de archivos, lo que incluye permitir el acceso abierto a la red de destino. Aunque muchos estudios utilizan protocolos como PC sobre IP (PCoIP) con las VPN, no siempre aplican la seguridad adecuada, como restringir los puertos o subredes accesibles, o utilizar un gestor de conexiones PCoIP adecuado para enrutar las sesiones de escritorio remoto.

Una VPN de túnel completo sin las debidas precauciones de seguridad puede dar lugar a que se enrute tráfico malicioso a través de la red de destino y causar la inclusión en listas negras y perjudicar la IP pública o el DNS de una empresa.

Amenazas Persistentes Avanzadas (APT)

Las APT son ataques sofisticados y sostenidos en los que los intrusos acceden a una red y permanecen en ella, sin ser detectados, durante un largo periodo de tiempo. Durante ese tiempo, los atacantes exfiltran datos de forma sostenida, al tiempo que infectan los sistemas con código malicioso.

Los atacantes también pueden configurar accesos de puerta trasera para poder volver a acceder a la red si se detecta el ataque original.

Las APT son una de las razones por las que entornos de confianza cero han ganado popularidad. Las arquitecturas de confianza cero dificultan el movimiento lateral de un atacante dentro de una red, desafiando constantemente a los usuarios a autenticarse en cada paso.

Mientras que el GoAnywhereLos ataques Aspera, Aspera y MOVEit no se han clasificado oficialmente como APT, pero la cantidad de tiempo que persistieron los ataques -junto con el hecho de que las organizaciones siguen descubriendo que se han visto afectadas muchos meses después- son características de esta técnica de ataque.

En una declaración, la empresa matriz de MOVEit Software Progress identificó al autor como un "actor de amenazas avanzadas y persistentes" que "utilizó un sofisticado ataque en varias fases".

Ingeniería Social/Phishing

Para que un ransomware o una APT infecten un sistema, primero deben obtener acceso, y ahí es donde suelen entrar en juego las técnicas de ingeniería social y phishing.

Por desgracia, se han convertido en mucho más sofisticados con la llegada de los grandes modelos lingüísticos y la IA generativa.

Algunos observadores del sector señalaron una repunte de las estafas de phishing contra las principales plataformas de streaming durante las recientes huelgas de actores y guionistas de Hollywood. En la actualidad, los ciberdelincuentes suelen utilizar directorios públicos, como las páginas de empresa de LinkedIn, para identificar a los empleados y a sus superiores, y luego intentar hacerse pasar por estos últimos para obtener información o acceso.

Los malos actores también ponen a prueba a sus víctimas potenciales pidiéndoles que respondan primero antes de hacer nada más. Eso les ayuda a encontrar el blanco más fácil.

Relleno de credenciales

El robo de credenciales o contraseñas es otra técnica de ataque popular en el sector de los medios de comunicación. Los ciberdelincuentes recopilan nombres de usuario y contraseñas comprometidos de bases de datos de la web oscura o de otros lugares, y luego utilizan esas contraseñas para acceder a otros sitios o servicios.

El poder del relleno de credenciales es tal que tu equipo informático puede bloquear tu sitio web o servicio perfectamente, sin vulnerabilidades ni defectos, y los atacantes aún pueden entrar empleando bots para reutilizar miles de contraseñas cosechadas.

  • La empresa de ciberseguridad Security Intelligence afirma que hubo un crecimiento interanual del 45% en los ataques de relleno de credenciales de 2021 a 2022.
  • Parte de ello puede atribuirse al hecho de que casi 70% de las personas reutilizan sus contraseñas en varios sitios web.

Consejo profesional: No lo hagas.

Otros tipos de ataque habituales son las inyecciones SQL, los troyanos de acceso remoto, la denegación de servicio distribuida (DDoS), la fuerza bruta y el registro de pulsaciones de teclas.

¿Deberías decir no a la seguridad en la nube?

La gravedad de los ataques de este año se ve agravada por la creciente frecuencia de las violaciones de datos en EE.UU. en general, que aumentaron 330% entre 2011 y 2022. El informe de IBM sobre el coste de una violación de datos en 2023 indicaba que el coste medio de una violación en 2023 era de $4,45M (un aumento de 15% desde hace tres años).

Eso ha hecho que muchas empresas se pregunten: ¿Hasta qué punto es segura la nube? También ha contribuido a impulsar la tendencia de repatriación de nubesque consiste en llevar los datos de la nube a la infraestructura local.

Pero mientras que la repatriación a la nube está impulsada principalmente por consideraciones de coste, seguridad y cumplimiento, muchos expertos consideran que la repatriación supone un enorme paso atrás en lo que respecta a la ciberseguridad.

Esto se debe en gran parte a que mantener el mismo nivel de seguridad en una instalación on-prem "puede ser un reto importante", argumenta Marcin Zgola, fundador de la empresa de nube Nexthop en Forbesespecialmente para empresas con recursos limitados".

He aquí algunas razones por las que alejarse de la nube supone un enorme riesgo para la seguridad:

Los sistemas in situ proporcionan una ilusión de seguridad

Como demostraron los ataques autoalojados de GoAnywhere / Aspera / MOVEit, los sistemas on-prem a menudo sólo proporcionan una ilusión de seguridad.

Puede ser reconfortante que tu infraestructura esté almacenada en una sala de servidores cerrada al final del pasillo. Incluso puedes caminar por el pasillo y rodearla con tus brazos, si te apetece. Pero eso no significa que sea segura.

Esto se debe a que instalar aplicaciones de software externas en un sistema on-prem significa que estás añadiendo automáticamente el código de otras personas -junto con sus dependencias y vulnerabilidades- a tu infraestructura.

Esto no sólo anula las posibles ventajas de seguridad de un sistema autoalojado, sino que también significa que puede que ni siquiera sepas que tienes una vulnerabilidad hasta que sea demasiado tarde:

  • A menos que vayas a crear tú mismo todo el software que utilizas, no te queda más remedio que confiar en que los proveedores externos y sus dependencias no van a abrir una puerta trasera a tus instalaciones físicas.
  • No hay mucho que puedas hacer para verificar los detalles de la postura de seguridad de un proveedor externo; algunos de tus programas pueden utilizar servicios comprometidos (como GoAnywhere o MOVE it) sin que lo sepas.
  • Los proveedores de software no están incentivados para gastar miles de millones de dólares en mantener tu sistema on-prem a salvo de sus vulnerabilidades.
  • Eso significa que cuando compras software, automáticamente invitas a tu infraestructura física a posibles vulnerabilidades y riesgos de terceros.

También es casi imposible construir una infraestructura de seguridad que se acerque en eficacia a la de las grandes nubes públicas como AWS, a las que se encarga regularmente la protección de datos ultrasensibles para gobiernos y ejércitos.

La mayoría de las organizaciones por sí solas simplemente no tienen los recursos o el tiempo para ello. Pero es el pan de cada día de las plataformas de nube pública.

Y cuando se produce un ataque en una configuración on-prem, tú y tu equipo informático estáis solos para solucionarlo -y administrar un parche corrector (que luego hay que implantar).

La seguridad en la nube es más robusta y flexible

Hay docenas de razones por las que la seguridad en la nube es más sólida que cualquier cosa que pudieras construir por tu cuenta.

Los proveedores de la nube son los líderes del sector en controles de seguridad. Dados los riesgos de una violación para su modelo de negocio y su reputación, son las organizaciones más incentivadas para mantener los datos seguros y protegidos.

Los principales servicios en la nube tienen varias ventajas de seguridad sobre las configuraciones in situ, entre ellas:

  • Herramientas integradas de gestión de identidades y accesos (IAM), como la autenticación multifactor (MFA).
  • Herramientas que proporcionan una visibilidad profunda de las amenazas potenciales, como supervisión, auditoría, pruebas y registro.
  • Herramientas automatizadas de respuesta a incidentes.
  • Parches automáticos, actualizaciones del sistema y redundancia para garantizar una alta disponibilidad.
  • Más recursos y tiempo para mantener la seguridad física de los centros de datos. La seguridad física de AWS, por ejemplo, incluye una selección exhaustiva del emplazamiento, personal de seguridad profesional con herramientas de vigilancia y detección, y acceso de los empleados basado en el principio del menor privilegio.
  • Automatización basada en eventos para la recuperación ante desastres (DR) en caso de que algo vaya mal, y ancho de banda para gestionar las actividades de DR (para que tu equipo no tenga que hacerlo).
  • La infraestructura como código (IaC), una gran ventaja a la hora de gestionar la seguridad y los costes de la nube, porque reduce el error humano y permite a los ingenieros escanear y comparar más fácilmente el código en busca de errores de configuración en las primeras fases del proceso de desarrollo.

Los proveedores de la nube tienen varias capas sólidas de recuperación. Versionado S3 permite a las empresas conservar, recuperar y restaurar todas las versiones de todos los objetos almacenados en todos los buckets de una empresa, lo que facilita la recuperación.

La mayoría de las nubes públicas también permiten a los usuarios almacenar datos en varias regiones, por lo que te aseguras de tener copias de los datos en varias ubicaciones físicas en caso de catástrofe.

7 formas en que las empresas pueden proteger sus datos

Aunque los servicios en la nube no son perfectos, está claro que disponen de más recursos para la protección y recuperación de datos. Pero hay buenas prácticas que las empresas pueden poner en práctica para garantizar la seguridad de sus datos en cualquier situación.

1. Revisiones periódicas de la cuenta

Las revisiones sistemáticas y periódicas de las cuentas de usuario para detectar actividades sospechosas son una obligación para todas las organizaciones, especialmente si eres cliente de una organización que ha sufrido una violación, o sospechas que puedes serlo.

Analiza todas las cuentas de usuario en busca de nombres de usuario no reconocidos, por quién fueron creadas y cuándo se crearon. También es prudente comprobar regularmente los registros de auditoría del administrador para asegurarse de que los actores de la amenaza no se han dado a sí mismos credenciales de superusuario, lo que puede ampliar la persistencia y gravedad del ataque.

2. Competencia en la nube

Los proveedores de la nube pueden ayudar a orientar a sus usuarios, pero en última instancia no pueden evitar que tomen malas decisiones: Basta con que un usuario descuidado configure mal un cubo de almacenamiento en la nube para que las posibilidades de que se produzca una brecha aumenten exponencialmente.

Se requiere un nivel de competencia en la nube para funcionar bien y con seguridad en ella. La falta de conocimiento de la nube puede exponer a tu organización a enormes sobrecostes y a graves problemas de seguridad, pero muchas organizaciones de M&E y de otro tipo aún no tienen una masa crítica de competencia en la nube.

Muchos estudios de M&E -que en muchos sentidos son como pequeñas empresas tecnológicas- están dirigidos por creativos no técnicos. Eso es algo muy bueno cuando se trata de crear productos de calidad, pero puede crear riesgos cuando se trata de ciberseguridad técnica.

3. Gestión de contraseñas y de acceso a la identidad

No nos cansaremos de repetirlo: No incluyas contraseñas en plataformas de colaboración como Slack. Si los ciberdelincuentes infectan tu dispositivo personal con malware, es casi seguro que buscarán en tus mensajes menciones a contraseñas u otra información sensible.

Y si ese dispositivo está conectado a sistemas internos o en la nube... bueno, ya te haces una idea.

Otras buenas prácticas de gestión de contraseñas:

  • No repitas las contraseñas de una aplicación a otra.
  • No utilices contraseñas fáciles de adivinar.
  • Utiliza un herramienta de gestión de contraseñas para que puedas recordar todas esas contraseñas complejas.

También debes aplicar las mejores prácticas de gestión de identidades y accesos (IAM), incluida la autenticación multifactor (MFA) y los permisos de mínimo privilegio.

La AMF protege contra la apropiación de cuentas verificando la identidad de un usuario mediante diversos métodos, como preguntas de seguridad, tokens de SMS o correo electrónico, tokens de hardware o biométricos. El principio del mínimo privilegio (PoLP) garantiza que los usuarios sólo tengan acceso a los sistemas que necesitan para hacer su trabajo, y nada más.

4. Gestión de dispositivos móviles (MDM)

Hablando de dispositivos personales, uno de los principales impulsores del ransomware y otros ataques relacionados con el malware son las laxas políticas de "trae tu propio dispositivo" (BYOD).

Establecer un régimen de gestión de dispositivos móviles (MDM) es una buena forma de protegerse contra esto, bloqueando todos los dispositivos móviles que se conectan a sistemas internos o en la nube, manteniéndolos actualizados y asegurándose de que los dispositivos más antiguos (y menos seguros) no entren en la red.

5. Instantánea de datos

Es imprescindible que hagas regularmente instantáneas de tus datos, que es más o menos como hacer una foto de tu sistema de archivos (lo que te permite volver a ese momento si los datos se corrompen).

Algunas empresas hacen instantáneas de sus datos cada hora (o incluso con más frecuencia), y cada una de esas instantáneas horarias se elimina al cabo de 24 horas para liberar espacio. Esto se combina con una instantánea nocturna que se mantiene durante un par de semanas o incluso meses con fines de copia de seguridad.

6. Herramientas de software

Los estudios y otras empresas pueden utilizar herramientas de software como RansomWhere? u otros programas antimalware y antivirus para detectar manchas cifradas crecientes en tu sistema. Herramientas como RansomWhere? permiten a los usuarios bloquear rápidamente el acceso a los archivos si se descubre un problema.

7. Disponer de un Plan de RD

Si los actores de la amenaza consiguen infiltrarse en tu sistema, ten un plan sólido de recuperación en caso de catástrofe para determinar el origen y la gravedad del ataque. ¿Quién se infectó primero? ¿Qué tipo de acceso tenían? ¿Desde dónde trabajaban, desde casa o desde las instalaciones de la empresa? ¿Cuándo se produjo el ataque por primera vez?

Tener respuestas rápidas a éstas y otras preguntas puede ayudarte a determinar rápidamente a qué datos pueden haber accedido y a mitigar los daños.

Conclusión

La lección definitiva es que las empresas de M&E siempre deben estar un poco nerviosas -incluso paranoicas- por la seguridad. Pero no a causa de la nube.

Como descubrieron este año los clientes de GoAnywhere y MOVEit, las instalaciones locales parecen seguras debido a su ubicación física, pero en realidad son extremadamente vulnerables al ransomware y a otros ataques enviados a través de puertas traseras de terceros desde instalaciones de software. Y una vez que tu sistema on-prem se ve comprometido, tienes que ocuparte tú solo de los parches, las actualizaciones y la recuperación.

La seguridad de la nube es, por término medio, muy superior a la de la infraestructura local, porque los proveedores de nubes públicas:

  • Son líderes del sector en protección de centros de datos, y están en el negocio de proteger los datos.
  • Disponen de muchos más recursos para gastar en las últimas herramientas de seguridad y las mejores prácticas.
  • Están mucho más incentivados para mantener tus datos seguros que el software de terceros que inevitablemente utilizarás en un sistema on-prem.

Las plataformas en la nube también tienen muchos más recursos para ayudar con la recuperación ante desastres y otras medidas de mitigación si algo va mal.

MASV - que es un negocio en la nube - mantiene las cosas bien cerradas a través de nuestro postura de seguridad por niveles y el conjunto de herramientas y funciones de seguridad de AWS. Como no todas las plataformas de transferencia de archivos tienen en cuenta las mejores prácticas de seguridad, hemos creado una plataforma de diseño seguro que es fácil de usar, está pensada para el trabajo a distancia y ofrece seguridad de nivel empresarial como característica estándar, no como un añadido.

La postura de seguridad de nivel empresarial de MASV incluye Encriptación TLS 1.2 y AES-256, parches y actualizaciones automáticas, y certificaciones (ISO 27001, SOC 2) y auditorías de terceros de organizaciones líderes como el Red de socios de confianza (recientemente hemos alcanzado la categoría Gold Shield).

MASV también admite la autenticación multifactor (MFA) y el inicio de sesión único (SSO) basado en SAML para ayudar a evitar el acceso no autorizado a sus cuentas y datos.

Prueba MASV hoy mismo y consigue 20 GB gratis -o 70 GB gratis si contratas un plan de pago por uso- y conoce de primera mano la transferencia segura de archivos de gran tamaño.

Seguridad de transferencia de archivos de nivel empresarial

ASV combina seguridad, cumplimiento y alto rendimiento en un paquete fácil de usar.