La ciberseguridad prosigue su batalla interminable contra los ciberataques. Una tarea hercúlea que consiste en proteger sistemas, redes y datos contra ciberataques cada vez más sofisticados. Los malos utilizan herramientas muy avanzadas de IA para robar información, y es preciso estar alerta a esta evolución para poder mantener a raya a los cibercriminales.
Índice de temas
Principales tendencias de ciberataques que han marcado 2023
La guerra híbrida entre Rusia, Ucrania y la invasión de Gaza han sido un punto de inflexión en el ámbito del cibercrimen. Los ciberataques han sido cada vez más sofisticados y han afectado a empresas y gobiernos de todo el mundo .
Los ciberataques a multinacionales han sido cada vez más frecuentes, y se han filtrado datos confidenciales al público. Se han detectado vulnerabilidades de todo tipo e incluso sencillas desconfiguraciones en el almacenamiento de datos de la nube de Microsoft que han expuesto la información de más de 65.000 empresas en todo el mundo.
El hacktivismo, el malware y phishing, y los deepfakes han sido los grandes protagonistas del año. Los hackers están utilizando técnicas cada vez más avanzadas para engañar a los usuarios y obtener información confidencial. Capítulo aparte merece el ransomware que se ha constituido en la principal amenaza de las organizaciones, con sus variantes más dañinas: doble y triple extorsión.
Evolución actual de los ciberataques
Los expertos destacan el aumento de la sofisticación en las operaciones de Ciberdelincuencia como Servicio (CaaS) y la influencia transformadora de la inteligencia artificial (IA). Las predicciones incluyen la evolución de tácticas de amenazas persistentes avanzadas, el auge de la IA generativa en actividades maliciosas, y el enfoque de los atacantes en sectores críticos para obtener rescates más sustanciosos. Además, se anticipa un aumento en los ataques zero day, la weaponización de datos (para chantaje o extorsión) contra modelos de aprendizaje automático basados en la nube, y el riesgo de ataques de gusanos en entornos de la nube y Kubernetes. Estas tendencias plantean desafíos significativos para la ciberseguridad, destacando la importancia de la colaboración, la ciberresiliencia organizacional y la atención a las vulnerabilidades emergentes.
Los expertos destacan el aumento de la sofisticación en las operaciones de Ciberdelincuencia como Servicio (CaaS) y la influencia transformadora de la inteligencia artificial
Tendencias de ciberataques en 2024
A continuación, se repasan algunas de las amenazas principales que acechan a la compañía (esta información ha sido extraída de informes de Fortinet, Sophos, Trend Micro, Whatchguard y Kaspersky).
Malware evasivo
Una de las conclusiones más preocupantes del informe es el aumento del malware evasivo, tanto básico como cifrado. Durante el cuarto trimestre de 2023, las detecciones de malware aumentaron un 80% en comparación con el trimestre anterior, lo que pone en evidencia el volumen creciente de amenazas que afectan al perímetro de las redes. Este incremento se observó especialmente en América y Asia-Pacífico.
Resurgimiento de ciberataques living-off-the-land
Las técnicas de ciberataque que utilizan recursos internos del sistema, conocidas como “living-off-the-land”, están en auge. El uso de secuencias de comandos maliciosas, como PowerShell, creció un 77% en el cuarto trimestre de 2023, convirtiéndose en uno de los principales vectores de ataque a endpoints. Esta técnica es particularmente peligrosa porque utiliza herramientas legítimas del sistema, lo que dificulta su detección.
Ataques a servidores Exchange
Estos ataques están asociados específicamente a uno de los exploits ProxyLogon, ProxyShell y ProxyNotShell. Una firma ProxyLogon que apareció por primera vez entre los 5 ataques de red más extendidos en el cuarto trimestre de 2022 en el número 4 y ascendió al número 2 en el cuarto trimestre de 2023. Estos ataques ilustran la necesidad de reducir la dependencia de los servidores de correo electrónico locales para mitigar las amenazas a la seguridad.
Malware como servicio
Glupteba y GuLoader volvieron a figurar entre el top 10 de tipos de malware para endpoints más frecuentes en el cuarto trimestre, y regresaron como dos de las variantes más prolíficas analizadas durante el trimestre. Glupteba es un adversario particularmente formidable y sofisticado, debido en parte a que se dirige a víctimas de todo el mundo. Glupteba es un malware-as-a-service (MaaS) polifacético cuyas capacidades maliciosas incluyen la descarga de malware adicional, hacerse pasar por una botnet, robar información confidencial y minar criptomonedas con enorme sigilo.
Ataques de ransomware de alto nivel
Con la disminución de objetivos más pequeños y fáciles, el informe de Fortinet prevé que los atacantes adoptarán un enfoque de ransomware “a lo grande”. Esto se traduce en la focalización de sectores críticos, donde los ataques tendrían un impacto significativo en la sociedad, resultando en rescates más sustanciosos para los ciberdelincuentes.
En los últimos años, los ataques de ransomware han proliferado a nivel global, afectando a organizaciones de todos los tamaños y sectores. A medida que aumenta la cantidad de ciberdelincuentes que se dedican al ransomware, los objetivos más pequeños y vulnerables se agotan rápidamente. En el futuro, los atacantes adoptarán un enfoque “a lo grande”, dirigiéndose a sectores críticos como salud, finanzas, transporte y servicios públicos. Esto, en caso de éxito, tendría un impacto significativo en la sociedad y representaría un rescate más cuantioso para los atacantes. Además, es previsible que evolucionen sus estrategias, enfocándose a acciones más personales, agresivas y destructivas
La vuelta de los ciberataques Zero Day
El aumento de plataformas, aplicaciones y tecnologías proporciona oportunidades para ataques Zero Day. Se pronostica la aparición de brokers de días cero, grupos que venden vulnerabilidades en la Dark Web, intensificando los riesgos para las organizaciones y subrayando la necesidad de medidas preventivas sólidas.
Conforme las organizaciones amplían su infraestructura con diversas plataformas, aplicaciones y tecnologías esenciales para sus operaciones diarias, los ciberdelincuentes encuentran oportunidades únicas para descubrir y aprovechar vulnerabilidades de software. Con el crecimiento de las operaciones de Ciberdelincuencia como Servicio (CaaS) y la llegada de la IA generativa, los actores de ciberamenazas tienen más herramientas a su alcance
Según datos de la compañía de ciberseguridad Fortinet, el año 2023 marcó un récord en la cantidad de vulnerabilidades de día cero, y este recuento sigue en aumento. Dada la considerable valía de las vulnerabilidades zero day para los atacantes, es previsible que provengan de brokers de días cero, grupos de ciberdelincuentes que comercializan estas vulnerabilidades en la Dark Web, dentro de la comunidad de CaaS. Además, las vulnerabilidades N-days, ya conocidas y públicas, con o sin parche disponible, continuarán representando riesgos significativos para las organizaciones.
Infiltración interna y reclutamiento de organizaciones objetivo
Con mejoras en los controles de seguridad externa, se espera que los atacantes se centren en infiltrarse lateralmente en las redes internas. Además, el informe destaca la posibilidad de que los grupos cibercriminales recluten desde dentro de las organizaciones objetivo para facilitar el acceso inicial.
Las organizaciones están fortaleciendo sus medidas de seguridad mediante la adopción de nuevas tecnologías y procesos para reforzar sus defensas. Estos controles mejorados dificultan a los atacantes la infiltración dentro de las redes corporativas, lo que los impulsa a buscar nuevas formas de acceder a sus objetivos. En vista de esta tendencia, es probable que los atacantes continúen moviéndose lateralmente empleando tácticas, reconocimiento y armamento, y que los grupos comiencen a reclutar desde dentro de las organizaciones objetivo para obtener acceso inicial.
Ataques ligados a eventos geopolíticos y sociales
Se proyecta que los ciberdelincuentes capitalizarán eventos geopolíticos y sociales, como elecciones y juegos (se celebran las olimpiadas de París), aprovechando herramientas como la IA generativa para respaldar sus actividades. Esta tendencia sugiere una mayor sofisticación en la elección de objetivos y tácticas.
Ampliación de tácticas, técnicas y procedimientos en el espacio 5G
Con la proliferación de tecnologías conectadas, se anticipa un aumento en los ataques contra la infraestructura 5G. Este enfoque podría afectar sectores críticos, marcando una preocupación adicional en el panorama de la ciberseguridad.
A medida que se expande el acceso a una variedad creciente de tecnologías interconectadas, los ciberdelincuentes descubrirán de manera inevitable nuevas oportunidades de compromiso. Se espera que aprovechen la proliferación de dispositivos conectados. Un ataque exitoso a la infraestructura 5G podría perturbar con facilidad sectores críticos como el suministro de energía, el transporte, la seguridad pública, las finanzas y la atención médica.
Explotación de blockchain para extorsión
Se prevé que los ciberdelincuentes dirijan sus ataques hacia blockchains privadas, desarrollando modelos de extorsión específicos para estos entornos. Se destaca la posibilidad de cifrado completo de la cadena de bloques y la demanda de rescates para evitar revelar el alcance del daño.
Potenciación de la ingeniería social con IA Generativa
La IA generativa permitirá a los estafadores mejorar sus tácticas de ingeniería social en ataques dirigidos. Aunque los deepfakes pueden no ser económicos y convincentes para ataques masivos, la clonación de voz se perfila como una amenaza inminente en estafas personalizadas.
Armas de datos contra modelos de machine learning en la nube
Los modelos de machine learning en la nube se vuelven objetivos de ataques de envenenamiento de datos. Con la facilidad de ejecución y el bajo costo de estos ataques, se subraya la importancia de la validación de datos, el control de acceso y la auditoría regular de servicios de almacenamiento en la nube.
Ataques a la cadena de suministro
Los ciberdelincuentes buscarán infiltrarse en la cadena de suministro de software a través de sistemas CI/CD (herramientas que automatizan la construcción, prueba y despliegue de software), centrándose en componentes de terceros. La identificación temprana de malware y vulnerabilidades, junto con el uso de herramientas de seguridad de aplicaciones, se plantea como una defensa crucial.
Como relata Kaspersky, operadores compran acceso a la cadena de suministro para afectar a grandes empresas a través de ataques dirigidos a empresas más pequeñas. Las violaciones de Okta en 2022-2023 destacan esta amenaza, con perspectivas de nuevos acontecimientos en el mercado de acceso a la Darkweb en 2024.
Amenazas de gusanos en la nube
Trend Micro pronostica un aumento en los ataques de gusanos diseñados para explotar plataformas y tecnologías cloud-nativas, con un enfoque particular en entornos Kubernetes. La proactividad en la escaneo de entornos cloud y la implementación de estrategias de confianza cero se destacan como elementos clave para la prevención.
Servicios de hackeo por encargo
Grupos especializados en hackeo por encargo están en aumento, proporcionando servicios de robo de datos a una variedad de clientes, desde investigadores privados hasta competidores comerciales. Esta tendencia se espera que crezca en el próximo año.
Resurgimiento de rootkits de kernel
A pesar de las medidas de seguridad modernas, los grupos de APT y cibercriminales están eludiendo las barreras de ejecución de código a nivel de kernel en sistemas Windows. Los ataques en el modo kernel están en aumento, aprovechando abusos en el Programa de compatibilidad de hardware de Windows y el mercado clandestino de certificados EV y certificados de firma de código robados.
Amenazas a los sistemas MFT
Los sistemas de transferencia administrada de archivos (MFT) enfrentan crecientes amenazas cibernéticas, ejemplificadas por las infracciones en MOVEit y GoAnywhere en 2023. La compleja arquitectura MFT, integrada en redes más amplias, presenta debilidades de seguridad.
Sistemas de Internet de las Cosas extendido (XIoT)
La acelerada transformación digital está interconectando dispositivos y convergiendo redes, impulsando la adopción de Sistemas de Control Industrial (SPC) en el Internet de las Cosas extendido (XIoT). Con 15.000 a 17.000 millones de dispositivos actualmente, se espera que se dupliquen en dos años, generando más de 80.000 millones de conexiones IoT para 2024, con el 70% en sectores críticos de infraestructura. A medida que las redes XIoT se vuelven predominantes, Claroty destaca la necesidad de cambiar el enfoque de seguridad de redes a activos, enfatizando la comprensión de patrones de tráfico, detección de violaciones de políticas y la aplicación de segmentación para garantizar la seguridad en las comunicaciones de red en sistemas ciberfísicos.
Nuevas estrategias y defensa ante los ciberataques
La ciberdelincuencia, una amenaza global, exige respuestas anticipadas y colaboración intersectorial. Desde la colaboración público-privada hasta la promoción de la ciberresiliencia organizacional, se resalta la importancia de adoptar iniciativas educativas en ciberseguridad. La adopción de un enfoque de confianza cero se presenta como esencial para contrarrestar las estafas de ingeniería social basadas en deepfakes, al tiempo que se aborda la ciberdelincuencia desde sus raíces.