Ciberdelincuencia y pandemia
Los ciberdelincuentes están explotando la pandemia mundial a gran escala: Atacan a los teletrabajadores para acceder a las redes empresariales y a los datos críticos.
Fortinet, líder global en soluciones de ciberseguridad completas, integradas y automatizadas, ha publicado las conclusiones de su Índice global de amenazas realizado por su equipo de expertos, FortiGuard Labs.
Para Derek Manky, Chief, Security Insights & Global Threat Alliances en FortiGuard Labs, “"en los primeros seis meses de 2020 hemos sido testigos de un panorama de ciberamenazas sin precedentes. La dramática escalada y la rápida evolución de los métodos de ataque demuestran la agilidad de los cibercriminales para adaptar rápidamente sus estrategias con el fin de maximizar el momento actual marcado por la pandemia. Nunca ha sido tan evidente el por qué las organizaciones necesitan ajustar sus estrategias de defensa a futuro en un entorno en el que el perímetro de la red se extiende hasta el hogar. Es fundamental que las organizaciones tomen medidas para proteger a sus teletrabajadores y les ayuden a asegurar sus dispositivos y redes domésticas a largo plazo. Debemos adoptar una estrategia igual que en la vida real, reconociendo cuáles son los riesgos y manteniendo el distanciamiento de ellos".
Entre las principales conclusiones extraídas del Índice global de amenazas de Fortinet, cabe destacar:
• La inteligencia de amenazas de FortiGuard Labs durante el primer semestre de 2020 ha puesto en evidencia la dramática escalada del cibercrimen en la pandemia, una oportunidad aprovechada por ciberdelincuentes y determinadas naciones para implementar múltiples y variados ciberataques en todo el mundo. Su capacidad de adaptación les permitió producir oleadas de ataques dirigidos a “explotar” el miedo y la incertidumbre de los acontecimientos actuales, así como el inusual número de teletrabajadores fuera de la red corporativa, lo que rápidamente amplió la superficie de los ataques digitales de la noche a la mañana.
• Aunque muchas amenazas estaban relacionadas con la pandemia, algunas tenían sus propias motivaciones. Por ejemplo, el ransomware y los ataques dirigidos a los dispositivos IoT, así como a la tecnología operativa (OT) no han disminuido, sino que están evolucionando para ser más selectivos y sofisticados.
• A nivel global, la mayoría de las amenazas se producen en todo el mundo y en todas las industrias, con alguna variación regional o vertical. De manera similar a la pandemia, una determinada amenaza que podría haberse iniciado en una zona, se extiende casi por todas partes, lo que significa que la mayoría de las organizaciones podrían enfrentarse a dicha amenaza. Por supuesto, existen diferencias regionales en las tasas de infección basadas en factores como las políticas, las prácticas o la respuesta.
Aprovechar la oportunidad en los acontecimientos mundiales: Los ciberciminales siempre se han valido de la actualidad para sus señuelos de ingeniería social, pero con la pandemia han alcanzado otro nivel. Desde los oportunistas phishers hasta las confabulaciones de algunas naciones, los cibercriminales han descubierto múltiples maneras de explotar la pandemia global a gran escala para su beneficio. Así, por ejemplo, se han visto ataques de phishing y de correos electrónicos comprometidos, campañas respaldadas por una nación y ataques ransomware. La táctica era maximizar la naturaleza global de una pandemia que afectaba a todo el mundo combinada con una superficie de ataque digital ampliada. Estas tendencias demuestran lo rápido que los atacantes pueden moverse para aprovechar los grandes acontecimientos con un amplio impacto social a nivel mundial.
El perímetro se vuelve más personal: La proliferación del teletrabajo generó una intensa actividad de las redes corporativas de un día para otro, situación que los cibercriminales supieron aprovechar. En la primera mitad de 2020, los intentos de exploit contra routers y dispositivos IoT de carácter doméstico se situaron a la cabeza de la lista de detecciones de IPS. Además, Mirai y Gh0st dominaron las detecciones de redes de bots más frecuentes, impulsadas por un aparente interés de los atacantes por las vulnerabilidades antiguas y nuevas de los productos IoT domésticos. Estas tendencias son dignas de mención porque demuestran cómo el perímetro de la red se ha extendido hasta el hogar y cómo los ciberdelincuentes que tratan de afianzarse en las redes de las empresas explotan dispositivos que los trabajadores remotos podrían utilizar para conectarse a las redes de sus organizaciones.
Los navegadores se convierten en objetivo: Para los atacantes, el teletrabajo ha significado una oportunidad sin precedentes para atacar a individuos desprevenidos de múltiples maneras. Por ejemplo, a principios de este año, el malware basado en web utilizado en campañas de phishing y otro tipo de estafas superó a los tradicionales ataques al correo electrónico. De hecho, una familia de malware que incluye todas las variantes de los señuelos y estafas de phishing basados en la web ocupó la parte superior de la lista de malware en enero y febrero, y bajó de los cinco primeros puestos en junio. Esto demuestra el intento de los ciberdelincuentes de dirigir sus ataques cuando los individuos son los más vulnerables y crédulos, navegando por la web desde casa. Los navegadores web, no solo los dispositivos, también son objetivos principales de los ciberdelincuentes, quizás más de lo habitual.
El ransomware sigue aquí: Las amenazas conocidas, como el ransomware, no han disminuido en los últimos seis meses. Los mensajes temáticos y los archivos adjuntos de COVID-19 se utilizaron como señuelo en varias campañas de este tipo de ataque. Otros programas de ransomware fueron descubiertos reescribiendo el Master Boot Record (MBR) del ordenador antes de cifrar los datos. Además, se produjo un aumento en los incidentes de ransomware en los que los atacantes no solo bloquearon los datos de la organización víctima sino que también los robaron y amenazaron con su publicación a gran escala como una ventaja adicional para tratar obtener el pago por el rescate. Esta tendencia aumenta considerablemente el riesgo de que las organizaciones pierdan información valiosa u otros datos confidenciales en futuros ataques con programas ransomware. A nivel mundial, ninguna industria se libró de la actividad de este tipo de ataques y los datos muestran que los cinco sectores más atacados fueron las empresas de telecomunicaciones, MSSPs, el sector educativo, los gobiernos y la industria tecnológica.
Las amenazas a OT después de Stuxnet: En junio se celebró el décimo aniversario de Stuxnet, una amenaza que marcó un hito y revolucionó la seguridad de la tecnología operativa. Ahora, muchos años después, las redes OT siguen siendo un objetivo para los cibercriminales. El ransomware EKANS, que se hizo popular a principios de este año, muestra cómo los adversarios continúan ampliando el foco de los ataques ransomware para incluir a los entornos OT. Además, el marco de trabajo del programa de espionaje Ramsay, diseñado para la recogida y exfiltración de archivos confidenciales dentro de redes aisladas o altamente restringidas, es un ejemplo de cómo los cibercriminales buscan nuevas formas de infiltrarse en este tipo de redes. La prevalencia de las amenazas dirigidas a los sistemas de control de supervisión y adquisición de datos (SCADA) y otros tipos de sistemas de control industrial (ICS) es menor en volumen que las que afectan a las tecnologías de la información, si bien esto no resta importancia a esta tendencia.
Mapeo de los exploits: La lista CVE muestra que el número de nuevas vulnerabilidades publicadas ha aumentado en los últimos años, generando un gran debate sobre la priorización de la aplicación de parches. Aunque el año 2020 parece estar a punto de romper el número de vulnerabilidades publicadas en un solo año, éstas también tienen la tasa de explotación más baja jamás registrada en los 20 años de historia de la Lista CVE. Sin embargo, las vulnerabilidades de 2018 tuvieron la mayor prevalencia de explotación con un 65%, y más de un cuarto de las organizaciones registraron intentos de explotación de CVE de 15 años de antigüedad. Para los cibercriminales explotar el desarrollo a escala y la distribución a través de herramientas de piratería legítima y maliciosa sigue llevando tiempo.
Urge asegurar el perímetro de la red hasta el hogar: Con el aumento de la conectividad, los dispositivos y la necesidad continua de teletrabajo, la superficie de ataque digital se está expandiendo. El perímetro de la red corporativa llega al hogar y los atacantes buscan el eslabón más débil y nuevas oportunidades para perpetrar sus ataques. Las organizaciones deben prepararse tomando medidas concretas para proteger a sus usuarios, dispositivos e información de manera similar a si estuvieran en la red corporativa. Las organizaciones de inteligencia e investigación de amenazas son importantes aliados a la hora de proporcionar una amplia visión de la evolución del panorama de las amenazas, así como un análisis en profundidad de los métodos de ataque, los actores y las nuevas tácticas para ayudar a complementar los conocimientos cibernéticos de las organizaciones. Es más determinante que nunca contar con soluciones seguras para el teletrabajo que permitan un acceso protegido a los recursos críticos y al mismo tiempo sean escalables para satisfacer las demandas de toda la fuerza de trabajo. Solo una plataforma de ciberseguridad diseñada para proporcionar una visibilidad y protección completa en toda la superficie del ataque -incluidos los entornos de red, de aplicaciones, multi-nube o móviles- es capaz de asegurar las redes actuales.
