Vectores de ciberataques
Los ataques de fuerza bruta y la explotación de vulnerabilidades se mantienen como los vectores de ataque más habituales.
De acuerdo con el equipo de Respuesta Global a Emergencias de Kaspersky, en el 63% de los ciberataques investigados por este grupo se emplearon los ataques de fuerza bruta para descifrar contraseñas y la explotación de vulnerabilidades como principales vectores de ataque al ecosistema de las empresas. Los resultados del último Informe de Análisis de Respuesta a Incidentes de Kaspersky revelan que la simple implementación de una política adecuada de gestión de parches disminuye el riesgo de incidentes en un 30%, y junto a la aplicación de una política de contraseñas fuertes lo hace en un 60%.
A pesar de que la importancia de la aplicación de parches y de llevar a cabo actualizaciones periódicas, así como el uso de contraseñas seguras, es de sobra conocida, estos aspectos siguen siendo un punto débil en muchas empresas, convirtiéndose en una vía para que los atacantes se introduzcan en la red de la compañía. Así, los problemas de seguridad relacionados con las contraseñas y los programas informáticos sin parchear son los protagonistas de la inmensa mayoría de los vectores de acceso iniciales de los ataques.
El estudio de los datos anónimos de los casos de respuesta a incidentes (IR) demuestra que la fuerza bruta es el vector de entrada más utilizado para penetrar en la red de una empresa. En comparación con el año anterior, la proporción de ataques de fuerza bruta se ha incrementado considerablemente, pasando del 13% al 31,6% y motivado, posiblemente, por la pandemia y el auge del teletrabajo. El segundo ataque más frecuente es la explotación de vulnerabilidades, con un 31,5% del total. El análisis muestra también que solo en unos pocos incidentes se utilizaron vulnerabilidades detectadas en 2020 y posteriormente. En la mayoría de ellos, los atacantes recurrieron a vulnerabilidades más antiguas sin parchear, como CVE-2019-11510, CVE-2018-8453 y CVE-2017-0144.
Más de la mitad de los ataques que se iniciaron a través de correos electrónicos maliciosos, por fuerza bruta y por explotación de aplicaciones externas se detectaron en solo unas horas en el 18% de los casos. Por su parte, estos ataques se detectaron en días en el 55% de las ocasiones. No obstante, una parte importante de estos ataques se alargan mucho más, ya que la duración media es de 90,4 días. Así, el informe muestra que los ataques que implican un vector inicial de fuerza bruta son teóricamente fáciles de detectar. No obstante, en la práctica, solo una parte fue identificada antes de provocar un impacto.
Si bien la prevención de los ataques de fuerza bruta y el establecimiento de las adecuadas actualizaciones no parecen plantear problemas a un equipo profesional de ciberseguridad, en la práctica, la eliminación del 100% de estas incidencias es prácticamente imposible.
Sin embargo, a pesar de que los equipos de seguridad de TI hagan todo lo que esté en sus manos por garantizar la protección de la estructura corporativa, existen factores como el uso de sistemas operativos obsoletos, equipos de baja calidad, problemas de compatibilidad o factores humanos que pueden dar lugar a brechas de seguridad que pongan en peligro la seguridad de una empresa. Las medidas de protección no pueden garantizar por sí solas una ciberdefensa completa, por lo que deben combinarse siempre con herramientas de detección y respuesta que sean capaces de reconocer y eliminar un ataque en su fase más temprana, así como solucionar la causa del incidente.
Con el fin de minimizar las posibilidades de infiltración en la infraestructura corporativa, Kaspersky recomienda adoptar las siguientes medidas:
• Implementar una política de contraseñas fuertes, incluyendo autenticación multifactorial (MFA) y herramientas de gestión de acceso e identidades.
• Asegurarse de que la gestión de parches y las medidas de compensación para las aplicaciones dirigidas al público tienen tolerancia cero. Las actualizaciones periódicas de los detalles de vulnerabilidad de los proveedores de software, el escaneo de la red en busca de vulnerabilidades y la instalación de parches resultan fundamentales para la seguridad de la red de una empresa.
• Es importante mantener un elevado nivel de concienciación en materia de ciberseguridad entre los empleados. La puesta en marcha de programas de formación completos y eficaces para empleados es una excelente manera de optimizar el tiempo del departamento de TI y obtener buenos resultados.
• Implantar una solución de detección y respuesta de endpoints con un servicio MDR, con el fin de, entre otras medidas, detectar y reaccionar rápidamente ante los ataques. El uso de servicios de seguridad avanzados permite a las empresas reducir el coste de los ataques y evita consecuencias no deseadas.