Microsoft publicó un nuevo informe anual, llamado Digital Defense Report (Informe de defensa digital), que analiza las tendencias en ciberseguridad del año pasado (2019). El informe señala de manera clara que los atacantes incrementaron con rapidez su grado de sofisticación a lo largo del último año, con técnicas que dificultan aún más su detección y amenazan incluso a los más expertos.
Además de ataques más sofisticados, los delincuentes cibernéticos muestran una clara preferencia por ciertas técnicas, con cambios notorios hacia el robo de credenciales y el ransomware, así como un enfoque cada vez mayor en los dispositivos del Internet de las Cosas (IoT). Algunas de las estadísticas más importantes respecto a estas tendencias son:
- En 2019, Microsoft bloqueó más de 13 mil millones de correos maliciosos y sospechosos, de los cuales más de mil millones eran direcciones web (URL) creadas con el único fin de lanzar un ataque de phishing para robar credenciales.
- El ransomware fue la razón predominante detrás de las actividades de respuesta de la compañía a incidentes entre octubre de 2019 y julio de 2020.
- Las técnicas de ataque más comunes utilizadas por los atacantes de los Estados nación en el último año son la exploración, el robo de credenciales, el malware y la explotación de las Redes Virtuales Privadas (VPN).
- Las amenazas relacionadas con el IoT se expanden y evolucionan de manera constante. En el primer semestre del 2020, hubo un aumento de casi 35% en el volumen total de ataques respecto al segundo semestre del 2019.
Los grupos delictivos evolucionan sus técnicas
Los grupos delictivos son habilidosos y perseverantes. Se han vuelto expertos en evolucionar sus técnicas para incrementar su índice de éxito, ya sea al experimentar con diferentes carnadas, ajustar los tipos de ataques que ejecutan o encontrar maneras nuevas de ocultar su trabajo.
A lo largo de los últimos meses, se ha visto la manera en que los delincuentes cibernéticos diseñan su malware y tácticas para abusar de nuestra curiosidad y necesidad de información. Los atacantes son oportunistas y cambiarán de carnada a diario para adaptarse a los ciclos de noticias, tal como lo han hecho durante la pandemia del COVID-19. Mientras que el volumen general de malware se ha mantenido consistente, de manera relativa, con el paso del tiempo, los adversarios aprovecharon la preocupación del mundo respecto al COVID-19 para diseñar carnadas en torno a nuestra ansiedad colectiva y la avalancha de información sobre la pandemia. En los últimos meses, el volumen de ataques de 01 relacionados con el COVID-19 ha disminuido. Estas campañas se han dirigido de manera principal a los consumidores y a los sectores esenciales de la industria, como el de salud.
En años pasados, los delincuentes cibernéticos se enfocaban en los ataques de malware. De manera más reciente, han cambiado a los ataques de phishing (~70 %) como una manera más directa de cumplir su objetivo de robo de credenciales. Para engañar a las personas con el fin de que proporcionen sus credenciales, los atacantes por lo general envían correos electrónicos con el nombre de marcas populares. De acuerdo con nuestra telemetría de Office 365, las marcas más utilizadas en estos ataques son Microsoft, UPS, Amazon, Apple y Zoom.
Por otra parte, hemos visto campañas de ataque que se cambian o transmutan con rapidez para evadir la detección. La transmutación se utiliza en los dominios de envío, las direcciones de correo electrónico, las plantillas de contenido y los dominios URL. El objetivo es aumentar la combinación de variaciones para pasar desapercibidos.
Los atacantes de los Estados nación cambian de blanco
Los Estados nación han cambiado de blanco para alinearse con los objetivos políticos evolutivos de los países donde se originaron.
Microsoft identificó a 16 atacantes diferentes de los Estados nación que dirigen sus ataques a los clientes involucrados en la respuesta global al COVID-19 o que utilizan el tema de la crisis en sus carnadas para expandir sus tácticas de robo de credenciales y envío de malware. Estos ataques relacionados con el COVID se dirigieron a prominentes instituciones gubernamentales de salud, en un esfuerzo por infiltrarse en sus redes o identificar a las personas que las conforman. Las organizaciones académicas y comerciales dedicadas a la investigación de vacunas también fueron el blanco de ataques.
En años recientes, los ataques se han enfocado de manera significativa en las vulnerabilidades de las infraestructuras críticas. Aunque debemos permanecer vigilantes y continuar con las mejoras en la seguridad de las infraestructuras críticas, y pese a que estos blancos seguirán siendo atractivos para los atacantes de los Estados nación, estos se han enfocado de manera primordial en otro tipo de organizaciones a lo largo del último año. De hecho, el 90% de las notificaciones sobre ataques de los Estados nación en el último año se han dirigido a organizaciones que no operan una infraestructura crítica. El blanco ha consistido en organizaciones no gubernamentales (ONG), grupos de apoyo, organizaciones de derechos humanos y laboratorios de ideas enfocados en política pública, asuntos internacionales o seguridad. Esta tendencia podría sugerir que los atacantes de los Estados nación se han centrado en quienes participan en las políticas públicas y la geopolítica, en especial aquellos que ayudan a formular las políticas gubernamentales. La mayoría de la actividad de los Estados nación que observamos el año pasado provino de grupos en Rusia, Irán, China y Corea del Norte.
Cada uno de los atacantes de los Estados nación que identificamos tiene sus propias técnicas predilectas, y el informe describe las preferidas de algunos de los grupos más activos.
El ransomware continúa extendiéndose como una de las mayores amenazas
El Departamento de Seguridad Nacional de los Estados Unidos, el FBI y otras instituciones nos han advertido sobre el ransomware, en particular su potencial de interrumpir las elecciones estadounidenses del 2020. Lo que hemos observado sustenta las inquietudes que plantean.
Los archivos cifrados o extraviados y las amenazantes notas de rescate se han convertido en el mayor temor de los equipos ejecutivos. Los patrones de ataque demuestran que los delincuentes cibernéticos saben que habrá periodos de pausa, como las vacaciones navideñas, que afectarán la capacidad de una organización de realizar cambios (como instalar parches) para fortalecer sus redes. Asimismo, saben que existen necesidades empresariales que obligarán a las organizaciones a pagar el rescate para evitar la interrupción de sus operaciones, tales como los ciclos de facturación en las industrias de salud, legal y financiera.
Los atacantes han explotado la crisis del COVID-19 para disminuir el tiempo que permanecen dentro del sistema de la víctima (al comprometerlo, extraer datos y, en algunos casos, pedir rescate), en apariencia porque piensan que habrá mayor disposición a pagar como resultado de la pandemia. En ciertos casos, los delincuentes cibernéticos lograron entrar a la red y cobrar el rescate en menos 45 minutos.
Por otra parte, observamos también que as bandas de ransomware operadas por personas recorren el Internet de forma masiva en busca de puntos de entrada vulnerables, para luego “cercar” el acceso —a la espera del mejor momento para cumplir su propósito—.
Trabajar desde casa presenta nuevos desafíos
Todos sabemos que el COVID-19 aceleró la tendencia de trabajar desde casa puesta en marcha en el 2019.
Las políticas de seguridad tradicionales dentro del perímetro de una organización se han vuelto más difíciles de aplicar en una red más amplia compuesta por redes residenciales y privadas y por activos no administrados en la ruta de conectividad. Mientras las organizaciones continúan con el traslado de sus aplicaciones a la nube, los delincuentes cibernéticos aumentan sus ataques de denegación distribuida de servicio (DDoS, por sus siglas en inglés) para impedir el acceso de usuarios e incluso ofuscar las infiltraciones más maliciosas y dañinas en los recursos de una organización.
También es importante considerar que el factor humano es fundamental en los equipos de seguridad para analizar las amenazas y la ingeniería social de los atacantes. En una encuesta reciente conducida por Microsoft, el 73% de los directores de seguridad de la información indicaron que su organización había tenido fugas de datos confidenciales y de información en los últimos 12 meses, y que planean gastar más en tecnología para mitigar el riesgo de infiltración frente a la pandemia del COVID-19.
Durante el primer semestre del 2020, se registró un incremento en ataques basados en identidad que emplean fuerza bruta para acceder a las cuentas empresariales. Esta técnica de ataque utiliza adivinación sistemática, listas de contraseñas, credenciales volcadas en ataques anteriores y otros métodos similares para autenticarse por la fuerza en un dispositivo o servicio. Dada la frecuencia en que las contraseñas se adivinan, se obtienen por engaño, se roban a través del malware o se reutilizan, es vital que las personas verifiquen sus contraseñas con un segundo método de autenticación. En cuanto a las organizaciones, es esencial que habiliten MFA.
Aun con todos los recursos que Microsoft dedica a la ciberseguridad, es sola una pequeña parte de lo que se necesita para resolver el problema. Para marcar una diferencia real, se requiere de la participación de los legisladores, la comunidad empresarial, las agencias gubernamentales y, de manera principal, las personas, ya que solo se puede ejercer un impacto significativo a través del intercambio de información y de las alianzas. Esta es una de las razones por las que lanzamos el Informe de Inteligencia de Seguridad de Microsoft en el 2005, y es la única razón por la que evolucionamos ese informe en este nuevo Informe de Defensa Digital.
