La ciberseguridad es un área que se encuentra en constante evolución, donde los especialistas en seguridad buscan siempre nuevas e imaginativas formas de luchar contra las estrategias de ataque que están en constante cambio. El desafío que supone la ciberseguridad se intensificó aún más en 2022, teniendo en cuenta que los atacantes utilizaron tanto métodos avanzados como antiguos al mismo tiempo, cogiendo por sorpresa a los expertos en seguridad y demostrando que las tácticas clásicas siguen siendo efectivas hoy en día.
Según el Índice de IBM Security X-Force Threat Intelligence de 2023, el resurgimiento de las puertas traseras (backdoors), táctica según la cual los delincuentes consiguen el acceso remoto a los sistemas, fue una técnica muy común el año pasado, pero con algunos matices. El despliegue de este tipo de ataque fue la acción más extendida llevada a cabo por los atacantes, en más de 1 de cada 5 incidentes, lo que representa el 21% de todos los incidentes de seguridad en Europa.
Sin embargo, la mayoría de los intentos de puerta trasera observados a nivel mundial fueron intentos fallidos de ransomware, donde los atacados consiguieron interrumpir a tiempo la puerta trasera antes de pudieran implementar el ransomware. Esto sugiere que el enfoque en la detección temprana y la respuesta por el que apuestan los equipos de seguridad está dando sus frutos, al menos por ahora.
Lo que estamos viendo durante los últimos años es quienes están detrás de los ataques siempre están innovando y encontrando nuevas formas de evadir la detección. De igual forma, X-Force también reveló que el ransomware fue la segunda acción más común en incidentes observados en 2022, representando el 17% de los ataques en todo el mundo. Es por eso que es tan importante evaluar y estudiar las tácticas que llevan a cabo y los errores de seguridad que se han cometido, porque solo así podremos asegurarnos de que la historia deje de repetirse.
Viejas amenazas, nuevas interrupciones
Echando un vistazo más de cerca al índice 2023 de IBM, la industria manufacturera fue la más atacada por segundo año consecutivo, un 24,8%, a nivel mundial, un 48% en el mercado de Asia-Pacífico y un 12% en Europa, por delante de los sectores de finanzas y seguros, sobre todo a través de backdoors (28%) y ransomware (23%).
Las consecuencias de un solo ataque a una empresa de la industria manufacturera pueden ser devastadoras, tanto económica como operativamente, creando un círculo vicioso de oportunidades para los ciberdelincuentes. Ejemplo de esto es el ataque de ransomware que sufrió Estrella Damm en 2021, que paralizó la producción de cerveza de su fábrica de El Prat de Llobregat durante unos días, aunque no se vio afectada la distribución del producto.
Los sistemas tecnológicos que utiliza esta industria a menudo son difíciles o imposibles de parchear, lo que los hace altamente susceptibles a las amenazas más antiguas, que los ciberdelincuentes utilizan cada vez más. De hecho, en 2022, X-Force detectó varios casos de WannaCry o Ryuk que tenían su origen en infecciones que tenían entre 3 y 5 años y que impactaron en equipos antiguos y sin parches. De esta forma, con acceso a más de 78.000 exploits conocidos -un fragmento de datos que aprovecha una vulnerabilidad para provocar un ataque-, los atacantes pueden apuntar de forma fácil y económica a vulnerabilidades más antiguas y sin parches.
Sin embargo, el riesgo de amenazas más antiguas llega mucho más lejos, como han demostrado incidentes recientes. En Europa, por ejemplo, un ataque generalizado, detectado por primera vez por la Agencia Nacional de Ciberseguridad de Italia, explotó una vulnerabilidad que contaba con dos años de antigüedad en el software VMware ESXi e impactó a más de 3.800 organizaciones. El uso continuo de exploits más antiguos destaca la necesidad de que las organizaciones refinen y maduren los programas de gestión de vulnerabilidades, incluida una priorización de parches basada en el riesgo.
Otra tendencia más antigua, los ataques basados en correo electrónico, se está actualizando con la adopción generalizada del trabajo remoto. En 2022, el phishing sigue siendo el principal vector de infección, identificado en el 41% de los incidentes a nivel global. A pesar de ser un viejo conocido en el mundo de la ciberseguridad, los ataques basados en correo electrónico han evolucionado, volviéndose más esquivos y difíciles de detectar.
Un buen ejemplo de esta evolución es el aumento del secuestro de hilos de correo, donde los atacantes se hacen pasar por fuentes fiables en las conversaciones por correo electrónico, engañando a amigos, familiares y compañeros de trabajo para que revelen información confidencial u otorguen acceso a los sistemas. Esta técnica es especialmente peligrosa ya que aprovecha la confianza existente, lo que hace que las víctimas desprevenidas tengan más probabilidades de reaccionar rápidamente al contenido y hacer clic en enlaces maliciosos.
Mantenerse a la vanguardia
La rapidez y la creatividad de los ataques impulsan la necesidad de que las empresas se mantengan a la vanguardia. Con el formato de trabajo híbrido ampliamente extendido y el avance de las industrias conectadas, los atacantes tienen más vulnerabilidades que explotar que nunca.
Aquí hay cuatro pasos que las empresas deben seguir para maximizar su resistencia contra los atacantes y defenderse contra el conjunto de amenazas en constante evolución y crecimiento:
- Emplear tecnologías de respuesta ampliada para endpoint. El aumento de los casos de puertas traseras apunta a cierto éxito en la detección temprana de infecciones. Las tecnologías de detección y respuesta extendidas y de endpoint proporcionan los medios para identificar y mitigar las amenazas antes de que los atacantes tomen medidas más peligrosas.
- Conocer la superficie de ataque. Un tercio de los activos atacables en las redes de las organizaciones no están administrados o son desconocidos, lo que ofrece a los atacantes objetivos fáciles y se corre el riesgo de exponer los datos de forma no deseada. Aquí las empresas deben ponerse en la piel del atacante para descubrir dónde está expuesta la empresa y las formas en que podrían acceder con la menor detección.
- Entrenar para dar una respuesta rápida. Hay que empezar aceptando que los ataques son inevitables y que se deben establecer métodos para dar una respuesta rápida; la velocidad es la clave más importante para limitar el radio de la explosión. Al emplear tecnologías de endpoint o de detección y respuesta extendidas, los negocios tienen más posibilidades de detectar infecciones antes de que se puedan llevar a cabo medidas peligrosas.
- Realizar pruebas regularmente. También hay que pensar como un atacante y formular un programa sofisticado de pruebas ofensivas que implemente threat hunting (caza de amenazas), pentesting y pruebas con el red team (equipos que simulan ataques contra la organización) basado en objetivos para descubrir debilidades en sus defensas. Es aconsejable realizar estas pruebas con frecuencia e ir desafiando la cobertura de amenazas.
Si bien la detección y respuesta a las amenazas dio un paso adelante en 2022, el resurgimiento de los métodos de ataque de la vieja escuela subraya la imposibilidad práctica de lograr una cobertura completa contra los ciberdelincuentes. Para proteger mejor los activos empresariales, es fundamental implementar tecnología que sea predictiva y con visión de futuro mientras las empresas se preparan para una respuesta ágil cuando se produzca la infracción, que tarde o temprano llegará a producirse.
Imagen de Unsplash.
