12.000 clientes de Sophos en el mundo han optado por MDR, el servicio de detección y respuesta gestionada del proveedor, que allana su camino en aras de lograr una protección completa. En un entorno cada vez más complejo, con un panorama de amenazas cada vez más sofisticado y dirigido, y una preocupante escasez de talento especializado, la protección camina, directa e inexorablemente, hacia los modelos gestionados. Por ello, fue él, el MDR, el gran protagonista en la celebración del Sophos Day que, tras dos años abrazado a un formato online, recuperó la cercanía, reuniendo a cerca de 350 personas en el Estadio Metropolitano, en Madrid.
En el territorio ibérico, partners y clientes de Sophos también están dando el sí a este apartado. La marca ha duplicado su facturación en este servicio, con un crecimiento de su negocio en torno a los MSP cifrado en un 30 % en su primer semestre fiscal (concluyó año, el pasado mes de marzo, con un ascenso del 80 %). “La seguridad es tremendamente compleja y muchas empresas no pueden gestionarla por sí mismas”, recordó Ricardo Maté, regional vicepresident south EMEA & Emerging. Unida la falta de talento, se conforma una “tormenta perfecta”, que la seguridad gestionada viene a resolver. “Con los servicios MDR proporcionamos eficiencia y protección, con un coste mucho más reducido que si se tratara de un modelo tradicional”.
Un servicio que, además de la tecnología, se apoya en el conocimiento. “Nos basamos en un sistema adaptativo de seguridad, con el uso de modelos de machine learning e inteligencia artificial, que permiten detectar comportamientos sospechosos y los métodos utilizados por los hackers”. Además de las capacidades de Sophos Lab, la multinacional cuenta con 6 SOC, repartidos por el mundo. “Hay que optimizar la prevención y automatizar la colaboración entre las personas y el uso de la inteligencia artificial que, siendo absolutamente necesaria, no es suficiente”, analizó.
La prevención es básica. “Hay que detectar rápido cuando se está siendo atacado, no cuando el ataque ya ha conseguido acceder a los sistemas de la empresa”. Según los cálculos de Sophos su MDR es capaz de reducir la amenaza en un 99,98 %, detectándola en menos de un minuto y con una tasa de respuesta de menos de 38 minutos; inferior a las 16 horas que tiene de media el sector. “Es la más eficiente del mundo, lo que nos sitúa como líderes en este tipo de servicios”.
Clave es la consola, Sophos Central, que Maté señala como diferencial frente a la competencia, con posibilidades de escalar a todo tipo de empresas, incluidos los entornos más enterprise.
Para alcanzar el análisis de cualquier entorno, Sophos ha anunciado que su MDR es compatible con la telemetría de seguridad de proveedores como Microsoft, CrowdStrike, Palo Alto Networks, Fortinet, Check Point, Rapid7, Amazon Web Services o Google, entre otros. Un mayor “entendimiento” con terceros que se ha intensificado gracias a la adquisición, el pasado mes de abril, de SOC.OS. “Recogemos mucha más información, de muchos más dispositivos, para realizar de manera mucho más eficiente búsquedas de amenazas e identificar comportamientos de atacantes”.
Frente a otros servicios similares, Maté señaló la capacidad de Sophos de “posicionarnos en el momento y en la situación concreta del cliente. Cada uno presenta una problemática diferente a la que hay que dar respuesta”. Sophos MDR, por tanto, es personalizable a través de diferentes niveles de servicio y opciones de respuesta frente amenazas. Además la empresa puede optar por gestionar ella misma la respuesta a incidentes a gran escala, por que sea el equipo de expertos de Sophos o por que sea el partner el encargado de hacerlo. Sophos cuenta con 3 versiones de su servicio: Complete, Sophos MDR y Sophos Threat Advisor.
La proyección de los servicios MDR en el mercado es enorme. Según calcula Gartner la mitad de las empresas utilizarán un servicio con estas prestaciones en 2025. Maté insistió que la seguridad, dentro del mercado tecnológico, es un área “privilegiada”. A nivel mundial, según la consultora, el volumen de negocio en este año alcanzará los 175.000 millones de dólares, que se elevarán hasta los 260.000 millones en 2026. En España, según IDC, pasará de los más de 1.700 millones de euros de este ejercicio (con un crecimiento del 7,7 %), a los 2.200 millones de 2025.
Avance del road map
Sophos ha anunciado algunas novedades incluidas en la consola, Sophos Central, con una mayor automatización. “Es posible, por ejemplo, cambiar una regla de seguridad en cualquier equipo, aunque no sea de Sophos”, explicó Iván Mateos, senior sales engineer. Ha aumentado la rapidez en las remediaciones y ahora es posible introducir y analizar los comandos que se introducen en la consola, gracias al uso de la inteligencia artificial. La consola presenta más capacidades de búsqueda gracias a su nuevo buscador y exhibe un mapa que recoge el análisis de las amenazas.
Mateos recordó las nuevas funcionalidades de SD-WAN y la mejora de la interfaz que se han incorporado a la versión 19 de Sophos Firewall. “Ha sido una versión continuista respecto al cambio de arquitectura que se produjo en la 18, que introducía dos planos de proceso diferentes”. La próxima, la 19.5, mejorará aún más la interfaz y dará un mayor impulso a SD-WAN.
El directivo anunció la incorporación de una garantía al servicio MDR, una petición que estaban recibiendo de partners y clientes. Será una prestación que tendrá la versión Complete. “Una garantía que será hasta de 1 millón de dólares”.
Por último, anunció la incorporación al servicio MDR de la pieza de análisis de la red (NDR), para monitorizar continuamente el tráfico e identificar problemas de seguridad como dispositivos sin protección, recursos no autorizados, ataques de día cero y amenazas internas. “Se trata de identificar las amenazas, no solo con firmas sino haciendo uso de la inteligencia artificial y de otras tecnologías para detectar comportamientos anómalos”, especificó. La marca cuenta con cinco motores para llevar a cabo este análisis.
Informe de amenazas
La marca aprovechó el evento para presentar su informe del actual panorama de amenazas. Ahora la “tecnología” para hacer el mal está accesible, gracias al malware como servicio, a todo tipo de hackers. Tras la irrupción del ransomware como servicio, el modelo se ha ampliado y consolidado, incluyendo la venta de todos los elementos del conjunto de herramientas necesario para un ciberataque: desde la infección inicial hasta formas para evitar ser detectado.
Otra de las tendencias apuntadas es que los mercados clandestinos de ciberdelincuentes están operando como negocios convencionales. Los vendedores de cibercrimen no solo anuncian sus servicios, sino que también publican ofertas de trabajo para reclutar atacantes con distintas habilidades, quienes a su vez publican curriculums con sus habilidades y cualificaciones para el cibercrimen.
El ransomware se ha convertido en un negocio muy popular y rentable. A lo largo de este año esta amenaza ha ampliado su potencial maligno, más allá de Windows, y ha utilizado nuevos lenguajes como Rust y Go para evitar ser detectados. Algunos grupos como Lockbit 3.0 están creando formas “innovadoras” para extorsionar a sus víctimas, como ofrecer acceso a sus datos con “modelos de subscripción” o la subasta y programas de recompensas.
El robo de credenciales también ha aumentado y, además, se ha convertido enb la vía de acceso más “sencilla” para los ciberatacantes que están empezando a extorsionar. Con la expansión de los servicios web, varios tipos de credenciales, especialmente las cookies, pueden ser utilizadas de múltiples formas para obtener accesos más profundos en las redes.
No se olvidó la repercusión de la guerra de Ucrania, que provocó una explosión de estafas con objetivos financieros; ni de las amenazas que se dirigen, cada vez más, a los dispositivos móviles, que son ahora el centro de nuevos tipos de ciberdelitos.