¿Cuáles han sido las amenazas y principales tendencias durante los años del COVID-19?
C. R.: La pandemia ha cambiado mucho nuestra forma de vivir. Millones de personas tuvieron que trabajar desde casa, lo que abrió el camino a una oleada de ataques a los dispositivos utilizados para el trabajo en remoto. En cuanto se anunció el confinamiento, el número de ataques de fuerza bruta RDP aumentó radicalmente: de 93,1 millones en todo el mundo en febrero a 277,4 millones en marzo, un 197% más. Y, cuando se anunciaron nuevas restricciones en invierno, los ataques RDP volvieron a mostrar una tendencia al alza. En febrero de 2021, se produjeron 377,5 millones de ataques, muy lejos de los 93,1 millones de principios de 2020. Ahora que las restricciones han terminado, el nivel de ataques RDP ha vuelto a la dinámica anterior a la pandemia. En gran parte, esto se debe a que las organizaciones han ido implementado medidas de seguridad adicionales para proteger los dispositivos, incluida la VPN.
Otras tendencias menos significativas que hemos detectado giraron en torno a múltiples esquemas de phishing relacionados con el COVID-19, como estafas y spam en torno a la vacunación o a las ayudas económicas ofrecidas por los gobiernos.
El número de archivos maliciosos propagados bajo la apariencia de aplicaciones de reuniones populares (Webex, Zoom, MS Teams, HighFive, Lifesize, Join.me, Slack, Flock, Gotomeeting) se multiplicó por 10 en ese momento
Las plataformas de comunicación virtual, que han vivido su momento álgido a raíz de la pandemia, también fueron objeto de ataques. En mayo de 2020, la media diaria de ataques bloqueados por Kaspersky Web Anti-Virus aumentó un 25%. De hecho, el número de ataques web, tras mostrar un descenso en verano de 2020, alcanzó un nuevo máximo en diciembre, cuando gran parte del mundo se enfrentaba a una segunda oleada de la pandemia. El número de archivos maliciosos propagados bajo la apariencia de aplicaciones de reuniones populares (Webex, Zoom, MS Teams, HighFive, Lifesize, Join.me, Slack, Flock, Gotomeeting) se multiplicó por 10 en ese momento.
Con todo ello, las principales tendencias que han marcado estos últimos años se han centrado en eliminar los riesgos de ciberseguridad en el teletrabajo, ya que las oficinas en casa suelen estar menos protegidas que las centralizadas, las cuales suelen contar con firewalls y routers más seguros, así como con una gestión de accesos dirigida por equipos de seguridad informática. Con este tipo de trabajo desde casa también se produce un aumento de los servicios en la nube y, por tanto, de las amenazas a la seguridad en la nube.
Uno de los cambios más significativos de la pandemia ha sido el teletrabajo. ¿Cómo pueden desde las empresas proteger los dispositivos de sus empleados?
C. R.: Con el auge del trabajo remoto e híbrido, las empresas se han dado cuenta de que es necesario asegurar el acceso a sus redes con los equipos personales de sus empleados, establecer redes privadas virtuales (VPN), trabajar en la nube o empezar a usar herramientas software de colaboración. Por otro lado, es fundamental que las empresas mantengan actualizados sus productos con el objetivo de adaptarse a esta nueva realidad y seguir brindando protección gracias a herramientas que ofrezcan protección para toda clase de dispositivos móviles con rapidez y desde cualquier lugar.
Y, por último, es importante que las empresas lleven a cabo programas de formación, como Kaspersky ASAP, ya que son muy útiles para que los trabajadores estén al día de las amenazas de las que pueden ser víctimas y cómo evitarlas.
¿Existe un aumento de los grupos profesionales de ransomware y los colectivos de hackers?
C. R.: Así es. Durante los primeros diez meses de 2022, la proporción de afectados por ransomware dirigido entre todos los usuarios afectados por todos los tipos de malware casi se duplicó de un año a otro, alcanzando el 0,026%. Si hablamos del ransomware normal no dirigido, su proporción diaria aumentó un 181% en comparación con 2021, alcanzando los 9.500 archivos cifrados al día.Con el ransomware dirigido, las víctimas terminan sufriendo graves pérdidas financieras si se ven comprometidas. No se trata sólo del rescate, sino también de las fugas de datos, que se han convertido en un extra a los problemas que ya sufrían las organizaciones afectadas.Desde Kaspersky hacemos un seguimiento continuo de los grupos de ransomware existentes y emergentes, que mejoran continuamente sus tácticas y estrategias, así como del malware. Cada mes aparece un nuevo grupo con importantes actualizaciones en su arsenal, por lo que las organizaciones deben mantenerse alerta en todo momento y preparar con antelación planes de actuación para este tipo de incidentes.
¿Qué previsiones sobre ciberataques estima para el 2023?
C. R.: Los ciberdelincuentes desarrollan cada vez más sus capacidades y adoptan programas maliciosos más sofisticados. Prevemos la aparición de nuevas amenazas en todos los ámbitos. Por supuesto, el panorama geopolítico puede provocar la aparición de nuevas amenazas y una posible disminución de la inteligencia sobre amenazas para toda la comunidad. Aún no hemos visto nuevos ataques destructivos ni una nueva pandemia de ciberseguridad como fue WannaCry.
También habrá nuevos objetivos para la actividad de las APT. Es probable que los servidores de correo se conviertan en una prioridad para los ciberdelincuentes, pero las tecnologías satelitales e, incluso, el pirateo de drones podrían emplearse para atacar organizaciones. Además, seguiremos asistiendo al aumento de las filtraciones de datos: cada vez habrá más y seguirán siendo una gran preocupación en todo el mundo.
¿Qué estrategias de ciberseguridad deben poner en marcha las organizaciones para combatir los ciberataques?
C. R.: Elegir una solución de seguridad probada con capacidades de supervisión de anomalías y detección de comportamientos es clave para una protección eficaz contra riesgos conocidos y desconocidos. También es aconsejable utilizar un programa específicamente dedicado a la protección eficaz de los endpoints, la detección de amenazas y la respuesta en tiempo real para evitar nuevos riesgos, así como utilizar la inteligencia frente amenazas más reciente para estar al tanto de las TTP (Tácticas, Técnicas y Procedimientos) utilizadas por los ciberatacantes.
Además, para asegurarse de que las empresas están preparadas para los ataques selectivos que se produzcan, las organizaciones deben formar a sus equipos SOC y tener a mano un manual de respuesta frente a incidentes, ya que les ayudará a reaccionar rápidamente. La inteligencia frente a amenazas también desempeña un papel importante en la protección, ya que los equipos de seguridad internos deben mantenerse al día sobre los riesgos existentes y emergentes.
Por supuesto, las medidas de seguridad básicas también son necesarias. En la mayoría de los casos, los incidentes se deben al factor humano. Asegurarse de que los empleados están bien preparados y son capaces de identificar correos electrónicos de phishing o comportamientos sospechosos en la red es imprescindible.
¿En qué medida las tecnologías de IA como Chat GPT hacen más compleja la ciberseguridad?
ChatGPT despertó muchas esperanzas y temores en materia de ciberseguridad. Nuestros analistas estudiaron diferentes usos potenciales de ChatGPT en un seminario web reciente. Aunque es cierto que ChatGPT puede crear correos electrónicos de phishing convincentes y generar código, y que sus mecanismos para evitar proporcionar información maliciosa pueden sortearse, por el momento las capacidades de la IA para crear nuevas amenazas son limitadas. El código que escribe ChatGPT todavía requiere que un creador de malware experimentado lo revise, ya que a menudo hay errores. Aun así, con la aparición de nuevo malware, las soluciones de seguridad seguirán siendo capaces de detectarlo como de costumbre, por ejemplo, con análisis de comportamiento.
ChatGPT también puede utilizarse para mejorar las soluciones y prácticas de ciberseguridad existentes, aunque también tiene sus limitaciones. Por ejemplo, nuestras pruebas mostraron que ChatGPT señaló incorrectamente una serie de sitios web legítimos como conectados a un grupo APT. También proporcionó la misma lista cuando se le preguntó por sitios web conectados a otro grupo APT. Esto demuestra que puede generar resultados incorrectos. Al mismo tiempo, en la investigación sobre amenazas puede ser utilizado para la caza de Indicadores de Compromiso y para acelerar las prácticas de ingeniería inversa.
Todavía está por ver si ChatGPT cambiará realmente el panorama de la ciberseguridad, pero, por ahora, se trata más de un bombo publicitario que de peligros o beneficios reales.