¿Está su organización preparada para las amenazas actuales?
En estos momentos existe un entorno de amenazas elevado y las organizaciones de todo el mundo tienen activadas las alertas. La actualización y las recientes recomendaciones de la Administración Biden-Harris sobre la protección contra posibles ciberataques son relevantes y oportunas. El riesgo cibernético siempre existe, pero el contexto geopolítico está llevando a muchas organizaciones a examinar su seguridad más de cerca. Es el momento de que las organizaciones y los individuos se centren en la higiene básica de la ciberseguridad y estén atentos a las anomalías informáticas que podrían ser precursoras de actividades perturbadoras o destructivas. Pero, al mismo tiempo, no podemos perder de vista otros riesgos de ciberamenazas.
Por desgracia, el crecimiento del ransomware en los últimos años ha proporcionado una fuente de ingresos más fiable a los ciberdelincuentes que cuando aplicaban tácticas como las redes de bots. Los gobiernos de Estados Unidos y de otros países instan a las organizaciones a no pagar los rescates exigidos por los atacantes, y muchas no lo hacen. Pero en una minoría significativa de casos, la entidad víctima no ve otra alternativa que pagar. Los ingresos constantes y significativos del ransomware incentivan a los actores de las amenazas a enviar más ataques de este tipo y les proporcionan recursos financieros para continuar con su actividad. En este contexto, los ciberdelincuentes han aprendido a distribuir un mayor volumen de ransomware, especialmente a las empresas más pequeñas y a las entidades gubernamentales locales que tienen menos recursos para defenderse.
Al mismo tiempo, los atacantes se han vuelto más sofisticados en la forma de ejecutar sus planes de negocio. Los proveedores de “ransomware como servicio”, por ejemplo, han superado el punto en el que se encontraban hace unos años -como un anuncio de Craigslist en el que se ofrecían servicios de ciberdelincuencia “de toda la vida”- y se han convertido en un modelo de servicios gestionados corporativos y de franquicia. Más dinero y mejores procesos también permiten a los cibercriminales trabajar más rápidamente. Nuestro reciente informe de amenazas de FortiGuard Labs destaca a Log4j como un ejemplo de la dramática velocidad de explotación a la que se enfrentan las organizaciones. Esto es una mala noticia cuando se trata de hacer frente a las vulnerabilidades tipo Zero Day. Las organizaciones ya no tienen semanas o meses para ocuparse de estos problemas; deben remediarlos prácticamente en tiempo real. Pero a menudo es más fácil decirlo que hacerlo. Una empresa puede tener miles de aplicaciones que contienen Log4j, por ejemplo, y algunas serán más fáciles de actualizar que otras.
Sin embargo, sería negligente si no señaláramos que alrededor del 80% de los exploits siguen teniendo como objetivo las deiz principales vulnerabilidades existentes en la base de datos de Vulnerabilidades y Exposiciones Comunes (CVE), todas las cuales tienen parches y actualizaciones disponibles. Algunas de estas CVE tienen hasta diez años de antigüedad. Y aunque hay cientos de miles de CVEs, sólo alrededor del 4% de ellos son explotados y detectados. Análisis recientes han demostrado que la higiene básica es eficaz para detener más del 75% de los ciberataques. Es un recordatorio de que la ciberhigiene es fundamental y debería estar en el centro de cualquier programa de ciberseguridad.
Observamos varias tendencias que colectivamente harán que el APC (Advanced Persistent Cybercrime) sea aún más avanzado y peligroso de lo que es ahora. Podríamos decir que “híbrido” es la palabra clave que las une. Al igual que los patrones de trabajo híbridos están claramente aquí para quedarse, los ciberdelincuentes están utilizando cada vez más enfoques híbridos para maximizar sus posibilidades de tener un ataque exitoso. Estas son las tres áreas en las que los ciberdelincuentes emplearán prácticas híbridas en 2022:
1.- Ataques híbridos de IA+humano. Los adversarios seguirán ampliando el uso de la inteligencia artificial para que sus ataques sean más rápidos, más numerosos y más eficaces. Tácticas como el spear phishing pueden beneficiarse de ello. A los atacantes les resulta cada vez más fácil pasar los correos electrónicos robados por la IA de código abierto para hacer que sus correos electrónicos falsos parezcan más legítimos. Tu madre y tu jefe pueden estar en tu libreta de direcciones de correo electrónico, y trabajando a partir de una muestra relativamente pequeña de tus correos electrónicos, el spear phishing ajustado por la IA podría coincidir con el asunto y la sintaxis que usarías al hablar con cada uno de ellos.
2.-Amenazas híbridas de impacto múltiple. Los ataques clásicos de ransomware se centraban en apagar una red o un sistema y exigir un rescate para poder restaurarlo. Pero a medida que las organizaciones desplegaban estrategias de continuidad del negocio más sólidas en áreas como las copias de seguridad y la recuperación de desastres, era más probable que las organizaciones pudieran conmutar el servicio a un sistema no afectado en lugar de pagar el rescate. Los adversarios respondieron exfiltrando datos sensibles como parte del ataque. Esto les permite añadir una segunda amenaza contra sus víctimas: el doxing o la oferta de datos para su venta. A finales de 2021, esta era casi la estrategia por defecto de los atacantes de ransomware.
3.-Actividad maliciosa híbrida multimodal. Cuando NotPetya se desplegó en un ataque dirigido a Ucrania en 2017, fue un ejemplo temprano de un ataque multimodo. No era un gusano, pero actuaba como uno, ya que tenía tres formas diferentes de propagarse de un objetivo a otro.
Ante estas tendencias, ¿cómo deben responder los responsables de TI y de seguridad de las grandes empresas? Desde nuestro punto de vista, la inteligencia sobre ciberamenazas (CTI por sus siglas en inglés) completa y precisa es clave, y es incluso más importante que antes para una toma de decisiones eficaz. Tener una visión completa del panorama de las amenazas en la empresa es esencial tanto para la gestión diaria de la seguridad como para la planificación.