Empresas de la región en la mira de las ciberamenazas
El sector corporativo de América Latina enfrenta un panorama delicado en todo lo relacionado con los números, tipos y estrategias de ataques informáticos
El sector corporativo de Chile y los países de la región enfrentan hoy un panorama bastante delicado en todo lo relacionado con los números, tipos y estrategias de ataques informáticos. Las cifras van al alza, lo que se ve reflejado en diversos estudios que permanentemente realizan compañías del sector.
Por ejemplo, el reporte de inteligencia de Check Point Software muestra que una organización en Chile ha sido atacada en promedio 1.244 veces por semana en los últimos 6 meses, en comparación con 1.164 ataques por organización a nivel mundial.
Dentro de las amenazas actuales, el ransomware sigue siendo una ciberamenaza latente para afectar la disponibilidad del negocio y su reputación mediante el secuestro de los datos. Y nuevamente, los ataques a la identidad mediante el compromiso y extracción de credenciales, así como la explotación al Directorio Activo, son técnicas esenciales del “playbook” ejecutado por los diversos grupos cibercriminales que se diversifican continuamente.
Juan Carlos Vázquez, director regional de Attivo Networks, una compañía de SentinelOne, señala que hoy en día, “las organizaciones continúan buscando mejores prácticas y marcos de gestión de riesgos específicos como entrada para diseñar su estrategia de seguridad de TI. Aunque, en general, esta es una metodología sólida, no toma en cuenta que los atacantes modifican sus TTPs para garantizar el éxito. Debemos observar estos y ajustarnos en consecuencia. La identidad es un objetivo principal hoy y lo ha sido durante los últimos años. Esta es un área en la que los defensores deben concentrarse ahora”.
De hecho, el ejecutivo apunta a que la confianza cero es la arquitectura que muchos defensores consideran hoy para ayudar a frustrar los ataques. “En los Estados Unidos, la entidad denominada CISA implementó su modelo de madurez de referencia de confianza cero y pintó la Identidad como el primer pilar de enfoque. Esta es una buena manera de avanzar, ya que la ‘identidad’ proporciona algunos beneficios fáciles de alcanzar para que los defensores comiencen su viaje a zero trust”, afirma.
Crecen los ataques y se diversifican
Los expertos coinciden en que la gama de ciberataques es cada vez mayor, desde ataques básicos y genéricos, hasta sofisticados y dirigidos; desde los perpetrados por atacantes solitarios que buscan aprender, hasta aquellos ejecutados por grupos organizados y especializados. Aunado a lo anterior, la exposición de los activos y la información es cada vez mayor, en un ambiente cada vez más hostil.
“Observamos ataques cada vez más dirigidos por parte de actores maliciosos para atacar a las organizaciones de toda índole. Lamentablemente, ningún sector queda exento de las ciberamenazas. Principalmente, porque resultan ataques más redituables donde incluso identificamos casos mediáticos hacia empresas en Latinoamérica. Por lo tanto, el reto consiste en poder operar bajo estas condiciones adversas, pues aunque parezca desalentador, también se tienen elementos esperanzadores, como: tecnologías de protección cada vez más sofisticadas; legislaciones en materia ciberseguridad y protección de datos; iniciativas internacionales para la cooperación; intercambio de información, educación y concientización, por lo que se requieren esfuerzos compartidos para lograr hacer del espacio digital, un ambiente cada vez más seguro”, destaca Miguel Ángel Mendoza, especialista en Seguridad Informática de ESET Latinoamérica.
Los ataques a la cadena de suministro son otra amenaza digna de mencionar. “Hay varios frentes en este desafío. Un nuevo concepto considerado una 'lista de materiales de software' o SBOM es una de las principales áreas de enfoque que puede ayudar significativamente a muchas verticales de la industria. El simple hecho de saber cuál es la procedencia de su software puede ser de gran ayuda. Log4j es un gran ejemplo en el que se conoció una vulnerabilidad importante junto con un código de explotación, y muchas organizaciones no tenían idea de si eran vulnerables”, dice Vázquez.
El ejecutivo de Attivo explica que un SBOM de su software permitiría a una empresa saber rápidamente si es vulnerable. “La otra pieza es construir una asociación con sus proveedores. No compre software, asóciese con organizaciones con las que pueda generar un nivel de confianza con el tiempo. Ese nivel de comprensión puede ayudar enormemente a entender la actividad sospechosa en su entorno y brindarle una cobertura ampliada a través de sus asociaciones para arrojar luz sobre los problemas y una mitigación rápida”, enfatiza.
Otras ventanas de preocupación son los dispositivos móviles y el trabajo a distancia.
Alejandro Botter, gerente de Ingeniería para el Sur de Latinoamérica de Check Point Software, indica que en la edición 2022 de su Reporte de Ciberseguridad, se identifica tres ataques que son tendencia:
- La cadena de suministro (como lo ocurrido a SolarWinds) donde se infecta un software conocido para ingresar a las víctimas;
- La estructura en nube, como la explotación de vulnerabilidades y errores de configuración; y
- Los dispositivos móviles, donde hoy se comparte igual o mayor información que en una laptop y no suele haber el mismo nivel de protección.
El trabajo remoto e híbrido representa también un reto importante. “El concepto denominado ‘gamification’ es un medio útil para que las organizaciones sean más conscientes de los desafíos de seguridad y se involucren para identificar ataques y compartirlos internamente. Una zanahoria, en este caso, ha demostrado tener mucho más éxito que el palo. Los empleados que realmente se esfuerzan por reconocer los ataques de phishing deben ser recompensados de una manera pequeña, pero bien anunciada, que otros puedan observar y trabajar para lograr el bienestar común. Puede convertir a casi todos en un sensor de seguridad pequeño, pero importante en la empresa”, sostiene Vázquez, de Attivo Networks.
Consejos de protección y prevención
Para defenderse de las ciberamenazas, los expertos señalan que ha cobrado relevancia la implementación de nuevos enfoques de seguridad, adaptativos y predictivos, que buscan anticiparse a las amenazas. Incluso nuevos paradigmas, como el denominado zero trust (confianza cero), donde se desconfía de cualquier elemento –tanto interno como externo– para tener una completa visibilidad, aplicar políticas y automatizar tareas que contribuyan a enfrentar las amenazas de la actualidad.
“Algunas actividades concretas, desde el punto de vista operativo, son la creación de equipos de respuesta a incidentes para colaborar, coordinar e intercambiar información, así como contar con planes de contingencia y manejo de situaciones críticas. Contar con modelos y arquitecturas de seguridad dinámicas y adaptativas que permitan predecir, prevenir, detectar y dar respuesta a incidentes”, explica Mendoza de ESET Latinoamérica.
Profundizando en la confianza cero, Vázquez, de Attivo Networks, detalla que es “una arquitectura dinámica que es realmente un viaje, no una implementación estática específica. Esto significa que esta podría ser la década de zero trust y no solo el año. Es un enfoque coherente e importante en el que se elimina la confianza en la mayor parte de la empresa y, en su lugar, valida los requisitos de autenticación y acceso. Si existe un enfoque alternativo que proporcione el mismo valor, aún no lo hemos visto”.
Agrega que los defensores deben observar los resultados de organizaciones como MITRE Engenuity para entender la efectividad, cobertura y visibilidad de tecnologías de punto final que aborden la explotación de la identidad. “En 2005, hablábamos de la fusión de tecnologías de antivirus y antispyware como la consolidación de componentes. Esto no ha cambiado y hoy en día la protección del punto final aunado a la defensa activa es fundamental para las organizaciones”, complementa.
Otras acciones que ayudan a la prevención de ciberamenazas se basan en la revisión continua de la infraestructura tecnológica como una medida proactiva, por ejemplo, mediante evaluaciones de vulnerabilidades y pruebas de penetración a profundidad, así como la creación de inteligencia para la detección temprana de amenazas y reconocimiento de patrones.
Por otra parte, en cuanto a los recursos humanos, la concientización es una actividad fundamental para minimizar riesgos, ya que el personal informado, capacitado y concientizado representa una línea de defensa. “En ocasiones, los incidentes también pueden presentarse de forma interna, no solo desde el exterior, por lo que los controles internos son otra iniciativa que apoya a las actividades e iniciativas de seguridad”, resalta Mendoza de ESET Latinoamérica.
Finalmente, Botter, de Check Point Software, hace hincapié en un enfoque en tecnologías basadas en prevención, en lugar de solo quedarse en la detección, que cubran amenazas conocidas y desconocidas. También destaca la inteligencia compartida para adoptar soluciones que tengan capacidad de compartir información, logrando prevenir nuevos ataques en cada punto.
Principales amenazas actuales
De acuerdo con investigaciones y telemetría de ESET, estas son las principales amenazas que apuntan a las organizaciones:
- Diariamente se detectan, en promedio, 450 mil muestras nuevas y únicas de códigos maliciosos alrededor del mundo. Destacan categorías como:
- Mineros: La alta cotización de las criptomonedas se disparó a fines de 2020 de forma similar a lo que fue el boom de las criptomonedas en 2017. Este crecimiento fue acompañado por un ligero aumento en las detecciones de mineros de criptomonedas, el primer crecimiento desde octubre de 2018. Si las criptomonedas continúan creciendo, podemos esperar que el malware dirigido a criptomonedas, el phishing y las estafas se vuelvan más frecuentes.
- Ransomware: En los últimos meses, los ultimátum hechos por las bandas de ransomware fueron más agresivos que nunca, y los actores de amenazas exigieron los montos más altos hasta la fecha para el pago de rescates. Se mantiene la tendencia donde bajan las detecciones, pero aumentan las familias de ransomware y sus variantes. Estos ataques se combinan con doxing (robo de información y posterior extorsión bajo la amenaza de hacer públicos los datos sensibles exfiltrados, en caso de que no se pague el secuestro).
- Bankers: Ha disminuido el malware bancario debido a otras actividades maliciosas más rentables. Pero hubo una excepción: el malware bancario para Android registra una tendencia al alza.
- Phishing: El factor humano sigue siendo un elemento fundamental en ciberseguridad. Las campañas de phishing siguen aumentando con temáticas diversas y focalizadas, suplantando reconocidas marcas, en función del país donde se propagan. Además, utilizan múltiples vías de propagación, como aplicaciones de mensajería y chats.
- Ataques RDP: Debido al teletrabajo.
- Ataques de fuerza bruta: Los ataques hacia los servicios remotos siguen creciendo. Se está usando exploits de RDP para implantar ransomware. En 2021, se registraron 287 mil millones de intentos de ataques de fuerza bruta a RDP, lo que representa 897 % de incremento, respecto a 2020.
- Explotación de vulnerabilidades: Las vulnerabilidades son fallas en el software o hardware de las cuales podrían aprovecharse actores maliciosos para intentar comprometer la confidencialidad, integridad o disponibilidad de la información o los sistemas. De la mano de las vulnerabilidades aparecen los exploits de códigos. La explotación de vulnerabilidades es una de las vías comúnmente utilizadas para acceder a los sistemas y a la infraestructura de las empresas. Las vulnerabilidades más aprovechadas de los últimos tiempos están relacionadas con BlueKeep, el exploit para RDP y EternalBlue, el exploit para SMB.
- Fake News/Deep Fakes: Las noticias falsas proliferaron también con la pandemia y el confinamiento, incluso algunos estudios sugieren que aumentaron más de 50% luego del confinamiento. Estas amenazas siguen evolucionando y utilizando tecnologías como aprendizaje automático para conocer patrones de comportamiento de usuarios. Suponemos que comenzarán a utilizar esta tecnología para proteger su infraestructura maliciosa, mejorar su malware, y encontrar y atacar vulnerabilidades en los sistemas de las empresas. La evolución de las noticias falsas son los denominados deep fakes, donde se altera audios o videos utilizando IA para dificultar su identificación a simple vista.
- Estafas con criptoactivos: Los NFT (Non Fungible Token o Tokens no fungibles) son bienes digitales que, debido a su propia individualidad, no pueden ser intercambiados, incluso aunque sean bienes de su misma especie. Este tipo de activos digitales están basados en criptografía, lo que garantiza que no haya otros iguales, por lo que hasta el momento se puede garantizar la autenticidad y la propiedad. Aunque NFT se conoce desde 2012, últimamente ha comenzado a llamar más la atención porque ha tenido una explosión de crecimiento en segmentos como las obras de arte, coleccionables relacionados con deportes o videojuegos, incluso con varios juegos basados en blockchain. Por lo tanto, se trata de un mercado en ascenso con un aumento de billeteras activas, compradores, vendedores y volumen de ventas. Esto podría llevarlo a convertirse en objetivo de cibercriminales, tal como ocurrió con las criptomonedas.