Ciberseguridad: tendencias, infecciones más sonados y lecciones tras pandemia

Ciberseguridad: tendencias, infecciones más sonados y lecciones tras pandemia

La ciberseguridad ha recobrado relevancia luego de ataques cibernéticos cada vez más elaborados, que inclusive no exime a ningún sector ni vertical alrededor del orbe. 

Por Javier Paniagua, javier.paniagua@connectab2b.com

(ITNOW)-.  La ciberdelincuencia aprovecha sin duda portillos abiertos, se innova, se digitaliza tras la pandemia, todo con el objetivo de vulnerar lo más preciado: los datos, así como obtener un beneficio, sobre todo económico. ¿Cómo se comportó la seguridad informática en 2021? 

“En 2021 se consolidaron algunas amenazas ya conocidas, que muestran una tendencia a partir de los datos telemétricos de ESET. Entre el resumen de las amenazas más detectadas están: ransomware, malware bancario y amenazas contra criptomonedas, amenazas web, amenazas al correo electrónico, infostealers, Ataques al protocolo de escritorio remoto (RDP), amenazas contra Android; en 2022, desarrolladores de malware buscarán obtener mayor ROI”, indicó Miguel Ángel Mendoza, investigador de ESET Latinoamérica. 

Por otro lado Gustavo Aguilar, Systems Engineer para Cisco Centroamérica, tras un análisis de la arquitectura de nube global de Cisco Umbrella con inteligencia artificial (IA), concluyó que el sector tecnológico vio mucho más tráfico de criptominería que cualquier otra industria, y el segundo nivel más alto de tráfico relacionado con ransomware, impulsado principalmente por los ataques Sodinobiki y Ryuk.

Aguilar, también precisó que los servicios financieros vieron los niveles más altos de tráfico de DNS malicioso y amenazas de robo de información, e incluso, el cuidado de la salud vio más troyanos que cualquier otra industria. “La mayor parte de la actividad basada en troyanos provino de Emotet; las organizaciones de atención médica se vieron particularmente afectadas por este malware en 2020”, agregó. 

Ver más: Industria 5.0: la nueva revolución que refina interacción entre humanos y máquinas

Aunado a esto, según el ejecutivo de Cisco, el sector de manufactura observó niveles altos de criptominería; mientras que la educación superior enfrentó una distribución bastante pareja para las cuatro principales tendencias de amenazas. 

Por su parte, Alejandro Blachet, sales director, MCLA and the Caribbean de A10 Networks indicó que, en tiempos de pandemia, la ciberseguridad fue el elemento clave que permitió desarrollar todas las actividades diarias. 

“Desde realizar transacciones bancarias con seguridad y confianza hasta poder reunirnos por videollamada con colegas y clientes alrededor del mundo, con disponibilidad de recursos y calidad superior en los canales de comunicación. ¿Por qué fue un elemento clave? Pues bien, cuando todos estamos dependiendo de los recursos de TI disponibles para desarrollar nuestra vida profesional y personal, es evidente que estos recursos serán foco de ataques e intervenciones, ya sea para provocar daño o para generar ganancias a los responsables.

“¿Por qué fue un elemento clave? Pues bien, cuando todos estamos dependiendo de los recursos de TI disponibles para desarrollar nuestra vida profesional y personal, es evidente que estos recursos serán foco de ataques e intervenciones, ya sea para provocar daño o para generar ganancias a los responsables”, externó Blachet.

De acuerdo con Juan Pablo García, sales engineer en Central America & The Caribbean en Forcepoint el 2021 fue un año donde se mitigó el Sunburst (vulnerabilidad de Solarwinds) con miles de empresas afectadas y terminando con Log4shell que utiliza una librería de Java Incluidas en Apache, afectando a cientos de aplicaciones que usan esta plataforma.

“En el medio de estos eventos hay que destacar el aumento exponencial del malware, ramsoware y el uso de ingeniería social para atacar siendo la técnica del phishing la preferida en estos casos”, complementó García al respecto. 

México, principal blanco

América Latina y el Caribe sufrieron más de 289.000 millones de intentos de ciberataques en 2021, un aumento del 600% con respecto a 2020, según datos recabados por FortiGuard Labs, el laboratorio de inteligencia de amenazas de Fortinet. 

Aunado a esto, Fortinet aseveró que México fue el país que más intentos de ataques recibió (156 mil millones), seguido de Brasil (88,5 mil millones), Perú (11,5 mil millones) y Colombia (11,2 mil millones). 

“El incremento en volumen, sofisticación y efectividad de las ciberamenazas durante el 2021 ha sido notable, por lo que las organizaciones en la región deben estar mejor preparadas con un enfoque de seguridad integral y automatizado para prevenir, detectar y mitigar estos riesgos que están poniendo en juego la integridad de sus operaciones”, dijo Arturo Torres, estratega de FortiGuard Labs para América Latina y el Caribe.

En esta misma línea, Diego Montenegro, especialista en Ciberseguridad de ManageEngine LATAM explicó que en el pasado año debido a la transformación digital que se generó como consecuencia de la pandemia, las organizaciones optaron por el trabajo remoto; donde la ciberseguridad se enfocó en priorizar, optimizar y auditar las conexiones remotas.

Ver mas: 4 claves que toda empresa debe considerar tras hackeos en instituciones

“Es cierto que los ataques cada vez son más sofisticados, existe realmente una estrategia de ataques cibernéticos de gran magnitud que conllevan un gran impacto socio-económico a las organizaciones. Lo que debemos aprender es su anatomía, como funcionan, cuál es su objetivo y desde donde se pueden ejecutar. Si entendemos esto podemos generar una estrategia de ciberseguridad para reducir el impacto de un ataque”, reflexionó Montenegro sobre los ataques cibernéticos en 2021.
“También, la creciente popularidad de las aplicaciones en la nube ha dado lugar a tres tipos de abusos: atacantes que intentan obtener acceso a las aplicaciones en la nube de las víctimas, atacantes que se aprovechan de las aplicaciones en la nube para distribuir malware y personal malintencionado que utilizan aplicaciones en la nube para la exfiltración de datos”, aseveró por su parte Karla Pérez, channel business development para México, América Central y Caribe para Netskope. 

Para Pérez las empresas no pueden seguir basando su seguridad en herramientas tradicionales, como proxies y firewalls, que no son capaces de decodificar las aplicaciones cloud que utilizan los empleados, y que no permiten cubrirse en movilidad. “La transformación digital obliga a las empresas a actualizar sus plataformas. Es el momento de renovar los gateways de acceso a Internet con una verdadera plataforma unificada SSE”, añadió la ejecutiva de Netskope. 

En el último reporte de Netskope Threat Lab identificó que el 67% de las infecciones con malware se originaban desde servicios cloud, con Office 365 OneDrive como servicio más utilizado para propagar malware. 

Según Joey Milgram, gerente general de Soluciones Seguras en Costa Rica el principal tema que concluyeron es que en las organizaciones el eslabón más débil es el usuario final o colaboradores, luego que, según su visión los ciberataques crecieron drásticamente en 2021. 

“Cuando se cometen errores por falta de cuidado y se abren links maliciosos queda expuesta la información de la empresa y, por ende, podría comprometerse toda la organización. En este sentido es necesario capacitar no solo a los colaboradores de las empresas, sino que también a sus familias, quienes en muchos casos también hacen uso de los dispositivos que contienen información de las empresas y que por un mal uso, puede quedar expuesta”, recomendó Milgram de Soluciones Seguras. 

¿Qué se prevé en seguridad digital en 2022?

Los expertos en ciberseguridad consultados descartaron que disminuya la ciberdelincuencia, por el contrario se vislumbra más ataques, por lo que la respuesta apunta a ser más agresivos en la protección informática.

Karla Pérez, channel business development para México, América Central y Caribe para Netskope, ha recopilado una serie de puntos donde los atacantes seguirán poniendo su foco en las API. “En todos los sectores, el uso de APIs, y sus problemas de configuración sigue creciendo como riesgo. Ya en 2019, Gartner predijo que en 2022 los abusos de las API serían el principal vector de ataque y no parece que vayan a disminuir”; apuntó. 

Destacó también que los riesgos de la IA/ML empezarán a destacar y estarán con nosotros durante 2022; las empresas aumentarán su interés por las amenazas internas; las nuevas vulnerabilidades sin parchear de VPN y puntos finales se explotarán cada vez más, entre otros. 

Alejandro Blachet, Sales Director, MCLA and the Caribbean de A10 Networks pronostica que para este 2022 se observaría una fuerte integración de las plataformas de inteligencia artificial y de ciberseguridad, como por ejemplo, la utilización de blockchain para autenticación de transacciones y otros. 

“Si bien hoy en día ya son realidad, el despliegue de las mismas durante este año debería ser de proporción. Por otro lado, a nivel de usuario, con el auge del IoT, deberíamos ver ataques más orientados a la toma de control de estos elementos, ransomwares de nuevas generaciones, entre otros”, arguyó Blachet.

Miguel Ángel Mendoza, investigador de ESET Latinoamérica proyecta que podemos esperar phishing, dónde la  ingeniería social está presente a través de técnicas y herramientas que buscan engañar a los usuarios; Malware, donde ESET detecta diariamente en promedio 450.000 muestras nuevas y únicas de códigos maliciosos alrededor del mundo. 

En cuanto a los malwares, según explica Mendoza se ha dividido en miners donde la alta cotización de las criptomonedas se disparó a fines de 2020; Ransomware, donde las bandas de ransomware fueron más agresivos que nunca; Bankers, que impulsó el crecimiento del ransomware podría haber sido un factor importante en la disminución del malware bancario.

Añadió que veremos más ataques RDP, explotación de vulnerabilidades, Fake News/Deep Fakes y estafas con criptoactivos, tomando en cuenta el auge de NFT´s, metaverso, entre otros. 

Adicionalmente Gustavo Aguilar, systems engineer para Cisco Centroamérica, nombró el informe Threat Landscape 2021 de la Agencia de la Unión Europea para la Ciberseguridad, “los ataques de ciberseguridad han seguido aumentando durante los años 2020 y 2021, no solo en términos de vectores y números, sino también en términos de su impacto”. 

Uno de los factores que impulsan la creciente complejidad de las amenazas es “la transición de las infraestructuras tradicionales a soluciones en línea y basadas en la nube, la interconectividad avanzada y la explotación de nuevas características de tecnologías emergentes como la inteligencia artificial”, dice el informe.

“Además del conocido ransomware, ataques de explotación de DNS, se puede esperar un incremento en los ataques a los usuarios remotos y en particular la explotación de las vulnerabilidades de las aplicaciones que consumen”, acompañó Aguilar. 

Juan Pablo García, sales engineer en Central America & The Caribbean en Forcepoint augura que, de acuerdo con el reporte Future Insights 2022 los ciberataques pasan a formar parte del arsenal militar, claro ejemplo son los conflictos geopolíticos actuales.

García mencionó el aumento de los ataques a ciudades inteligentes y a la agricultura, un claro ejemplo fue el ataque a la empresa JBS la mayor productora de carne del mundo. 

Por último Arturo Torres, estratega de FortiGuard Labs para América Latina y el Caribe afirmó que 2022 se perfila como un año excepcional para los ciberdelincuentes, con el ransomware en aumento y una cantidad sin precedentes de atacantes haciendo fila para encontrar una víctima.

No se pierda: ¿Qué opina Carlos Alvarado sobre ciberseguridad y protección de datos de los usuarios? El presidente responde

Top de ciberataques más sonados

Por lo general los ciberataques buscan dañar los sistemas informáticos y perforar las arcas de las organizaciones. Aquí enlistamos los ataques digitales más sonados alrededor de la historia. 

WannaCry: un dolor de cabeza cibernético

12 de mayo de 2017, computadoras en toda Europa sufren afectación en sus sistemas, encriptados sus archivos y bloqueados los accesos de administrador a sus usuarios.

Este ataque puso en manifiesto al ransomware y el malware en general debido a su gran afectación.Utilizando los exploits del grupo de hackers Equation Group, por el grupo Shadow Brokers, los atacantes lograron crear un ransomware cifrador capaz de expandirse por Internet, así como las redes locales.

Por 4 días, Wanna Cry consiguió paralizar más de 200.000 ordenadores en 150 países, entre ellos infraestructuras críticas, incluidos centros médicos. Estos últimos sufrieron infiltración en todos los equipos, tales como equipo médico y fábricas tuvieron que cerrar su operación tras las consecuencias del ataque. El daño económico fue entre unos US$4000 a US$8000 millones.

NotPetya/ExPetr: el más costoso

Fue descubierto en marzo de 2016. Más conocido como ExPetr o NotPetya. Su fin es parecido a WannaCry, los exploits EternalBlue y EternalRomance hicieron de las suyas, el gusano se mueve por la red, cifrando todo lo que se encuentre en su camino. 

Se utilizó el software financiero MeDoc, como vector de propagación donde los cibercriminales lograron tener el control, debido a que utilizaron el software y se camuflaron como una actualización, que se logró expandir como en su casa.  

Las pérdidas que dejó NotPetya ronda los US$1000 millones, que figura entre el más costoso de la historia. 

Stuxnet: una prueba sin duda

En 2010, según expertos informáticos, Stuxnet figura entre los ataques más famosos, ya que fue un malware completo y polifacético. ¿Cómo operó? Detuvo las centrifugadoras de enriquecimiento de uranio en Irán, lo que puso lento el desempeño del programa nuclear de esa nación. 

Adicionalmente su complejidad e ingenio del ciberataque Stuxnet, el gusano era capaz de propagarse de forma oculta por medio de memorias USB y penetrar incluso en dispositivos que no estuvieran conectados a internet o red local. 

Pese a que sí afectó a miles de ordenadores, el origen del ciberataque era solo compatible con controladores programables y software de Siemens. Se presentó en junio del 2010. 

La consecuencia de este tipo de amenaza cibernética fue que reprogramó estos controladores y aumentó la velocidad de rotación de las centrifugadoras de enriquecimiento de uranio hasta que las destruyó físicamente.

Mirai, trajo abajo el internet

Los botnets ya llevan tiempo de creación, pero vio la oportunidad en el Internet de las Cosas (IoT). Cualquier dispositivo que esté conectado en IoT sin seguridad, empezaron a ser infectados. 

Así dieron vida al malware conocido como Mirai (“futuro”, en japonés), en un 21 de octubre del 2016. ¿A quiénes afectó? El ataque DDos masivo paralizó los servicios online de PlayStation, PayPal, Twitter, Netflix, Spotify.  

Conficker

Se presentó en octubre del 2008, un complejo gusano se infiltra aprovechando una grieta explotable de Windows server, los sistemas vulnerables son Windows 2000, Windows XP, Windows Vista, Windows Server 2003 y Windows server 2008.

Entre sus víctimas se encuentran Departamentos de Seguridad del Estado de todo el mundo, Fuerzas Armadas, hospitales, y un gran número de entidades privadas no escaparon a sus garras. En pocas semanas infectó a más de 10 millones de equipos en 190 países.

La empresa Microsoft ofreció US$250.000 dólares para obtener información sobre los creadores del Gusano Conficker

Darkside ransomware 

El pasado 7 de mayo del 2021 un ataque del ransomware DarkSide impactó a Colonial Pipeline, la compañía de oleoducto más importante de Estados Unidos. Esto causó el corte de suministro de nafta, diesel y otros productos en un tramo de 8850 kilómetros entre Texas hasta Nueva York. 

La compañía aceptó al día siguiente el ciberataque, e indicó que tuvo que apagar equipos con el afán de detener la amenaza. De acuerdo con la BBC los atacantes habían sustraído más de 100GB de información sensible de la empresa. 

Prácticas que todo CISO debe implementar para el 2022.

Fortinet, identificó siete prioridades para los CISOs y las organizaciones en América Latina en el 2022: 

  1. Impulsar la velocidad y el crecimiento del negocio. Hoy en día, las organizaciones evolucionan de una manera acelerada para alcanzar los objetivos del negocio, adoptando estrategias de transformación digital. En algunos casos, la seguridad es una idea tardía o un impedimento que desacelera esta evolución. Los CISOs deben tener un impacto significativo en la agilidad de la organización para prosperar económicamente en esta nueva realidad empresarial global asegurando activos, procesos, así como analizando riesgos y preparando planes de contingencia que ayuden al negocio a alcanzar sus metas.   
  2. Adoptar la confianza cero. La mayoría de las organizaciones no tienen hoy en día una estrategia de confianza cero (Zero Trust o ZTNA, como es conocida en inglés) para el acceso a las redes. ¿Qué es el modelo de ZTNA? La arquitectura, los marcos y los modelos de ZTNA se basan en conceptos para validar la confianza y el acceso de usuarios y dispositivos. La actual expansión de la superficie de ataque corporativo requiere la adopción de una estrategia de confianza cero o ZTNA para para proteger las redes, los sistemas y los datos corporativos. 
  3. Educar a su equipo con nuevas habilidades. Los CISOs que entienden que la educación en ciberseguridad es la mejor herramienta para mitigar los riesgos están un paso por delante de las prácticas de la industria. Estos debieran enfocar sus esfuerzos de educación en ciberseguridad para incluir a socios comerciales y a clientes. La educación en ciberseguridad debe sumar esfuerzos sobre concientización y la adopción de conocimientos y procesos como mejores prácticas y estándares que ayuden a las organizaciones a prevenir y recuperarse de cualquier incidente o fuga de información. 
  4. Hacer de la seguridad en la nube una prioridad. Las organizaciones de América Latina y el Caribe están impulsando el gasto en computación en la nube a un ritmo creciente, dejando a muchas organizaciones con lagunas en las habilidades de sus profesionales para abordar riesgos en la nube. Los CISOs no deben subestimar los riesgos de seguridad asociados a la adopción de la nube, ya que la seguridad es una responsabilidad compartida entre el cliente y el proveedor de nube.  
  5. Automatizar la seguridad. Con la creciente proliferación de ciberataques llevados a cabo con automatización e inteligencia artificial, y el Ransomware-as-a-Service (RaaS), las organizaciones son más que nunca incapaces de responder en tiempo real a las ciberamenazas. Es imperativo acortar el tiempo necesario para defenderse de los ciberataques. La implementación de procesos y herramientas de automatización de ciberseguridad garantizará que su organización pueda responder ante una mayor cantidad de incidentes de manera ágil, haciéndola más resistente a los riesgos actuales y futuros. 
  6. Invertir en seguridad OT ahora mismo. Hoy en día, sectores como el de fabricación; petróleo y gas; generación y distribución de electricidad; aviación; sector marítimo; ferrocarril; empresas de servicios públicos; transporte; y atención sanitaria utilizan la tecnología de la información como una parte integral de su operación comercial. Los CISOs necesitan abordar el impacto de la seguridad de la tecnología operativa (OT) dentro de sus organizaciones. La integración de la tecnología operativa en las infraestructuras de red, incluidas las tecnologías emergentes como la 5G, está convirtiendo rápidamente a la tecnología operativa en un vector de superficie de ataque crítico para las organizaciones. 
  7. ¡El futuro es ahora! Las empresas buscan controlar su infraestructura fragmentada contra riesgos de ciberseguridad. Las organizaciones necesitan una plataforma de ciberseguridad amplia, integrada y automatizada, lo que Gartner llama “cybersecurity mesh”, que proporciona administración y visibilidad centralizadas, admita e interoperar en un vasto ecosistema de soluciones y se adapte automáticamente a los cambios dinámicos en la red.
  8. Fuente: Fortinet

Visibilidad es lo primero que deben tener en cuenta directivos de ciberseguridad. Las redes en las organizaciones se hacen cada vez más descentralizadas y esto conlleva a perder visibilidad sobre la operación. Un plan de trabajo de cara a la visibilidad, es el primer paso para obtener una postura de ciberseguridad, recomendó Diego Montenegro, Especialista en Ciberseguridad de ManageEngine LATAM.

“Las recomendaciones para un CIO y CISO son variadas; vemos en el mercado que el foco en la automatización de procesos de seguridad, ya sea en ambientes locales o en cloud, ha sido una de las prioridades al momento de decidir dónde invertir. La automatización de procesos de seguridad le permite al C level tener visibilidad y acción en tiempo real al momento de verse afectado por un ciberataque o brecha de seguridad”, aconsejó Alejandro Blachet, Sales Director, MCLA and the Caribbean de A10 Networks. 

No se pierda: ¿Cómo funciona el procesamiento del lenguaje natural?