Índice de temas
Los 10 ciberataques más comunes
Aunque la profusión de incidentes de ciberseguridad es cada vez mayor, hay un patrón de ciberataques más comunes que sigue destacando sobre el resto. Ransomware, Phishing, DDoS… son algunos de los insistentes protagonistas de las desdichas de muchas empresas, que sufren los embates del cibercrimen casi de forma permanente. Veamos cuáles son estos ataques más comunes, y cómo es posible combatirlos.
En qué consiste un ciberataque
Un ciberataque es una acción maliciosa y deliberada que busca vulnerar la seguridad de sistemas informáticos, redes o datos con el objetivo de causar daño, obtener beneficios económicos o acceder a información confidencial. Estos ataques, cada vez más sofisticados, pueden manifestarse de diversas formas, desde el robo de identidad hasta la interrupción de servicios críticos. Los cibercriminales emplean una amplia gama de técnicas, como el phishing, el malware y los ataques de denegación de servicio, para llevar a cabo sus acciones y obtener una ventaja ilícita.
Datos de ciberataques más comunes en el mundo
Check Point Research ha sido testigo de un aumento en la incidencia media de ciberataques por empresa y semana en el segundo trimestre de 2024: ha alcanzado los 1.636, lo que supone un incremento del 30% con respecto al Q2 de 2023 y del 25% con respecto al Q1 de 2024. Esta escalada subraya la creciente sofisticación y persistencia de los actores de amenazas.
industria, el sector más afectado a nivel mundial ha sido el manufacturero, con el 29% de ataques de ransomware extorsionados públicamente en todo el mundo, con un aumento interanual del 56%, seguido del sector sanitario, con un 11% de los ataques y un aumento del 27%. El sector minorista/mayorista sufrió el 9% de los ataques, con un notable descenso del 34% respecto al año anterior. En concreto, los sectores de las comunicaciones y los servicios públicos experimentaron un aumento espectacular de los incidentes de ransomware, con incrementos del 177% y el 186%, respectivamente.
Según Sophos, el ransomware mantuvo su dominio como el principal tipo de ataque en 2023 (la tendencia es extrapolable al año actual), con el 70% de las investigaciones resultantes de un ataque de ransomware. La misma fuente señala que la violación de red, cumpliendo con su ‘eterno’ segundo lugar, mantuvo su posición con una tasa de ocurrencia del 19%.
Ciberataques en la nube
CrowdStrike observa un aumento del 110% en los casos relacionados con el cloud, lo que evidencia una clara tendencia hacia la nube como objetivo principal de los cibercriminales. Los atacantes están explotando las vulnerabilidades inherentes a los entornos cloud para acceder a datos sensibles y sistemas críticos. Este enfoque se refuerza con un incremento del 75% en las intrusiones en entornos cloud. Además, el 76% de las víctimas de estos ataques son mencionadas en sitios de filtraciones de datos, lo que sugiere que los datos robados se están publicando en la dark web o en foros especializados, incrementando el riesgo de que esta información sea utilizada para cometer otros delitos. Cabe destacar que el 84% de las intrusiones en la nube están relacionadas con el cibercrimen, indicando que la motivación principal detrás de estos ataques es el beneficio económico, ya sea mediante el robo de datos, la extorsión o el bloqueo de sistemas.
La importancia de la ciberseguridad: aprender a detectar ciberataques
La ciberseguridad es la única arma eficaz para combatir estas amenazas. Según el Instituto SANS, el análisis de la intención, la oportunidad y la capacidad de un adversario para hacer daño se conoce como inteligencia de amenazas cibernéticas. Por lo tanto, la inteligencia de amenazas cibernéticas representa un multiplicador de fuerza para las organizaciones que buscan establecer o actualizar sus programas de respuesta y detección para hacer frente a amenazas cada vez más sofisticadas.
El creciente volumen de alertas que surgen de múltiples sistemas de seguridad se suman a la fatiga de los analistas y a la escasa visibilidad de lo que realmente importa. Los equipos de seguridad deberían dedicar tiempo a detectar y eliminar amenazas, pero a medida que se ven inundados por grandes cantidades de datos sin procesar y falsos positivos, se pierden las amenazas que deben prevenirse antes de que se conviertan en una violación de datos. Actuar con la velocidad y la precisión adecuadas son aspectos críticos para detectar las amenazas dirigidas a las empresas.
Consejos para minimizar los ciberataques más comunes
Mantener el software y los sistemas actualizados es vital para la seguridad empresarial, ya que las actualizaciones corrigen vulnerabilidades que podrían ser explotadas por cibercriminales. En el contexto del teletrabajo es vital asegurar conexiones seguras mediante la formación de los empleados en buenas prácticas, como el uso de contraseñas robustas y la precaución con enlaces sospechosos. Además, realizar copias de seguridad regulares protege contra la pérdida de datos, y es importante elegir métodos confiables que se adapten a las necesidades de la empresa.
La concienciación y prevención entre los empleados son fundamentales para mitigar riesgos como el phishing, que afecta a un alto porcentaje de trabajadores. Implementar medidas y protocolos anti-phishing, junto con la sensibilización constante sobre las últimas amenazas, ayuda a los empleados a detectar fraudes.
Los 10 ataques más comunes
1. Malware
El malware, o software malicioso, es una herramienta clave de los ciberdelincuentes, diseñada para infiltrarse en sistemas, robar información o causar daños. La motivación principal detrás de estos ataques es el beneficio económico, con ciberdelincuentes que crean y distribuyen más de 200.000 archivos maliciosos diariamente.
Los cibercriminales utilizan diversas tácticas para propagar malware, incluyendo el spam de correos electrónicos, el phishing, y la explotación de redes sociales y motores de búsqueda (a través de técnicas como Blackhat SEO). También aprovechan vulnerabilidades en sitios web para realizar descargas automáticas (drive-by downloads) y utilizan gusanos y virus para infectar sistemas
2.Ransomware
El ransomware o secuestro de información sigue siendo el rey de los ciberataques más comunes desde el punto de vista de negocio para el cibercrimen, si bien se detecta una cierta disminución, según el estudio ‘El estado del ransomware en 2024’ de Sophos. El 59% de las organizaciones fueron afectadas por ransomware el año pasado, una pequeña pero bienvenida disminución en comparación con el 66% reportado en los dos años anteriores. En España también ha habido una disminución en el porcentaje de ataques. El 59% de las empresas españolas ha sido atacada por ransomware en 2024, frente al 77% en 2023.
Aunque muchos de estos ataques son ejecutados por bandas sofisticadas y bien financiadas, el uso de ransomware rudimentario y barato por actores de amenazas con menor habilidad está en aumento. El 99% de las organizaciones que fueron afectadas por ransomware lograron identificar la causa raíz del ataque, siendo las vulnerabilidades explotadas el punto de inicio más común por segundo año consecutivo.
El informe de 2024 también revela que el 63% de las peticiones de rescate eran de 1 millón de dólares o más, con un 30% de peticiones de más de 5 millones de dólares, lo que sugiere que los operadores de ransomware buscan grandes pagos. Desgraciadamente, estos importes de rescate cada vez mayores no son sólo para las empresas con mayores ingresos. Casi la mitad (46%) de las empresas con ingresos inferiores a 50 millones de dólares recibieron, en el último año, una petición de rescate de siete cifras.
3. Ataques de phishing
Un ataque de phishing implica que un cibercriminal se haga pasar por una fuente confiable con una solicitud o una oferta atractiva, generalmente enviada por correo electrónico. El atacante engaña a la víctima para que entregue su información personal, a menudo credenciales de identidad de alto valor, mediante técnicas de engaño. Una vez que el cibercriminal obtiene estas credenciales, compromete correos electrónicos empresariales y toma el control de cuentas son los siguientes pasos.
Un ataque de phishing implica que un cibercriminal se haga pasar por una fuente confiable con una solicitud o una oferta atractiva, generalmente enviada por correo electrónico
Los ataques de phishing son uno de los métodos más comunes para inyectar malware y ransomware en tu entorno de TI. De hecho, el 66% del malware se entrega ahora a través de archivos adjuntos maliciosos en correos electrónicos. La razón por la que el phishing es tan común es porque funciona. El 41% de los profesionales de TI reportan ataques de phishing diarios en sus entornos.
4. Ataques de Denegación de Servicio (DDoS)
Los ataques DDoS están subiendo seriamente en zonas geoestratégicas críticas. El informe sobre el estado de Internet de Akamai revela las regiones donde los ataques DDoS están aumentando más rápidamente: Europa, Oriente Medio y África (EMEA). Más de una cuarta parte (26%) de todos los ataques DDoS en la región se dirigen al Reino Unido, seguido por Arabia Saudí (22%) y Alemania (9%), posicionándolos como los tres países más atacados.
En 2023, el número de ataques DDoS en EMEA alcanzó casi 2.500, más del triple de los que se registraron en conjunto en Asia Pacífico y Japón (APJ) y Latinoamérica (LATAM). La complejidad y gravedad de estos ataques han evolucionado debido a factores geopolíticos, lo que también ha llevado a un aumento del hacktivismo y de los ataques financiados por estados.
Los ataques DDoS son una táctica recurrente entre hacktivistas y actores respaldados por estados, todos impulsados por intereses políticos específicos. Por ejemplo, estos ataques han jugado un papel crucial en la actual guerra cibernética entre Ucrania y Rusia, demostrando ser tanto efectivos como rentables para los hacktivistas.
5. Troyano
Un troyano es un tipo de malware que se infiltra en sistemas informáticos disfrazado de software legítimo. Su principal objetivo es ejecutar acciones maliciosas sin el conocimiento del usuario, tales como el robo de datos confidenciales, la apertura de puertas traseras para futuros ataques o la instalación de otros programas maliciosos. Emotet (concentrado en el sector bancario), CryptoLocker o Pikabot son algunos de los troyanos más famosos por su capacidad de hacer daño. En el caso de Pikabot funciona como una puerta trasera, que permite el acceso remoto no autorizado a los sistemas comprometidos
6. Ataques de fuerza bruta
Un ataque de fuerza bruta es una técnica que utilizan los ciberdelincuentes para intentar adivinar contraseñas o claves de acceso probando todas las combinaciones posibles de caracteres hasta dar con la correcta. Es como intentar abrir una caja fuerte probando todas las combinaciones numéricas posibles.
El auge del teletrabajo ha provocado que los ciberdelincuentes elijan en numerosas ocasiones comprometer las redes corporativas de decenas de empresas a través de los ataques de fuerza bruta dirigidos al protocolo de escritorio remoto (RDP).
En un estudio realizado por Kaspersky, se revelaron datos alarmantes sobre la resistencia de las contraseñas frente a intentos de robo de información. Según los resultados, el 45% de las contraseñas pueden ser descubiertas en menos de un minuto. Del mismo modo, solo el 23% de las contraseñas son realmente robustas, requiriendo más de un año para ser descifradas. Todo esto plantea serias preocupaciones para la seguridad digital.
7. Inteniería social
La ingeniería social es una técnica de manipulación que explota las interacciones humanas para inducir a las personas a realizar acciones que benefician al atacante. Aunque puede parecer similar a una estafa, la ingeniería social va más allá, ya que a menudo su objetivo no es un beneficio inmediato, sino avanzar estratégicamente hacia un ataque mayor. Este enfoque es fundamental en las actividades cibercriminales, especialmente en campañas de phishing.
La ingeniería social se apoya en normas y comportamientos sociales universales, utilizando tácticas como crear una sensación de urgencia, hacerse pasar por figuras de autoridad, y enmascarar enlaces maliciosos como legítimos. Estas técnicas, aunque simples, son altamente efectivas cuando se ejecutan correctamente.
8. Amenazas Persistentes Avanzadas (APT)
Las amenazas APT son ataques sofisticados y extremadamente dirigidos que comienzan con la intrusión de los cibercriminales en la red empresarial objetivo. La estrategia de acción se desarrolla en múltiples niveles de intervención para explorar e interceptar las vulnerabilidades de las infraestructuras, apuntando a identidades y privilegios de acceso para iniciar la propagación de ataques de todo tipo: robos de datos, bloqueos de servicio, daños permanentes a los sistemas, ya sean servidores, dispositivos fijos y móviles, aplicaciones y recursos informativos, ya sea en local o en la nube.
9. Ataques del Día Cero
Un ataque de día cero (o zero-day attack en inglés) se refiere a un ataque que explota una vulnerabilidad de software que aún no ha sido descubierta o corregida por los desarrolladores del software implicados. El término hace referencia al hecho de que los desarrolladores tienen “cero días” para solucionar el problema antes de que el ataque ocurra.
- Explotación de vulnerabilidades desconocidas: El ataque aprovecha fallos en el software que aún no han sido identificados públicamente ni parcheados.
- Impacto: Debido a la falta de protección para estas vulnerabilidades, los ataques de día cero pueden tener un impacto considerable, comprometiendo sistemas y robando información antes de que se disponga de una solución.
- Sin tiempo de reacción: Estos ataques son particularmente peligrosos porque se llevan a cabo antes de que se publique un parche o actualización para corregir la vulnerabilidad. Los desarrolladores y los usuarios no tienen tiempo para defenderse.
- Detección y neutralización: Los ataques de día cero son difíciles de detectar porque no hay firmas de malware conocidas o patrones específicos asociados con la vulnerabilidad. La mitigación a menudo depende de la implementación rápida de soluciones de seguridad y actualizaciones de software una vez que la vulnerabilidad es conocida.
Estos ataques pueden manifestarse de diversas maneras, como la instalación de ransomware o malware que cifra datos o roba información sin ser detectado por los sistemas de seguridad. Además, actores maliciosos pueden utilizar estas vulnerabilidades para llevar a cabo espionaje o sabotaje, obteniendo acceso no autorizado a sistemas críticos y comprometiendo su integridad. La rapidez y el sigilo de estos ataques los convierten en una amenaza significativa para la ciberseguridad.
Además, actores maliciosos pueden utilizar estas vulnerabilidades para llevar a cabo espionaje o sabotaje, obteniendo acceso no autorizado a sistemas críticos y comprometiendo su integridad
10. BEC, Fraude del CEO
El BEC tiene lugar cuando un ciberdelincuente se hace pasar por una persona de confianza dentro de una organización para desviar fondos o acceder a datos privilegiados. Esto ocurre ya haciendo un spoofing del dominio de una empresa o apropiándose de una cuenta legítima de correo electrónico.
Los ciberataques de BEC suelen ser muy selectivos y están dirigidos a los responsables específicos de la toma de decisiones o a personas autorizadas a realizar transacciones financieras (directores financieros) en el curso normal de la actividad.
Los expertos destacan cuatro etapas en un ciberataque de BEC:
- La investigación: Los criminales de BEC se toman su tiempo para identificar a individuos específicos dentro de una organización.
- El trabajo preliminar: Los ciberdelincuentes intentan construir relaciones con aquellos que tienen autoridad para tomar decisiones financieras. Usualmente a través de cuentas de correo electrónico falsas o comprometidas, esta interacción puede tener lugar durante días, incluso semanas o meses para crear confianza y familiaridad.
- La trampa: Una vez que el ciberdelincuente ha comprometido una cuenta, o cuentas, pide a la víctima que inicie una transferencia bancaria o cambie los detalles de pago en un pago pendiente real.
- El fraude: Creyendo que la solicitud es genuina, la víctima envía fondos a la cuenta del estafador. Por lo general, el dinero se transfiere rápidamente entre distintas cuentas, lo que dificulta su recuperación una vez se destapa el fraude.
Ciberataques recientes
Recientemente hemos sido testigos de ciberataques que sirven de botón de muestra de todo lo explicado anteriormente.
Grupos prorrusos atacan a instituciones españolas
La detención parte de la Guardia Civil de tres activistas españoles prorrusos, acusados de realizar ataques de denegación de servicio a varias organizaciones y empresas españolas, no sentó nada bien al grupo NoName057, encargado de organizar estos ataques. Así lo deducen desde Eset tras ver su respuesta, organizando ataques DDoS contra numerosos objetivos españoles en los días posteriores a la detección de estos colaboradores, de lo cual se jactaron en sus canales de Telegram.
Aplicaciones populares para Android usadas para propagar malware
Este verano Investigadores de ESET descubrieron un exploit zero-day dirigido a Telegram para Android, exploit que apareció a la venta en un post de un foro underground el 6 de junio de 2024. Utilizando este exploit en versiones de Telegram 10.14.4 y anteriores se puede abusar de una vulnerabilidad denominada EvilVideo, con la cual los atacantes pueden compartir cargas maliciosas para Android a través de canales, grupos y chat de Telegram, y hacerlas aparecer como archivos multimedia. Se recomienda actualizar Telegram a la última versión para evitar que nuestro dispositivos se vea comprometido por alguien que explote esta vulnerabilidad.
Phishing y robo de información en la Eurocopa
La celebración de la Eurocopa y de la Copa América 2024 también fue aprovechada por grupos de delincuentes para realizar todo tipo de estafas. Los expertos detectaron campañas de correos suplantando a la UEFA que redirigían a un supuesto concurso en el que se regalaban entradas para la Eurocopa y donde se robaban datos personales y de las tarjetas de crédito. También se detectaron canales de Telegram donde se ofrecían retransmisiones de la Copa América pero que al final redirigían a webs desde las que se descargaban troyanos.
Campañas de infostealers
También en julio vimos cómo se repetían las campañas de infostealers dirigidas a empresas españolas, campañas que continúan usando correos que se hacen pasar por facturas o pedidos. Los delincuentes suelen adjuntar ficheros maliciosos a estos correos electrónicos, ficheros que se encargan de iniciar la cadena de infección y que terminan robando credenciales almacenadas en aplicaciones de uso cotidiano como navegadores de Internet o clientes de email.