Los vectores de ciberataque más comunes de 2022

Como hemos aprendido en nuestros focos anuales sobre Alemania y España, hay una gran variedad de ciberamenazas que se dirigen actualmente a las organizaciones europeas, desde una multitud de direcciones. En este artículo, explicamos algunos de los vectores de ciberataque más comunes que amenazan a las empresas en 2022, y cómo los utilizan los actores maliciosos.

Los vectores de amenaza actuales son:
  • Ingeniería social
  • Compromiso del correo electrónico empresarial
  • Desconfiguración de la nube
  • Malware
  • Ransomware
  • Compromiso de la cadena de suministro
  • Personas con información privilegiada maliciosa

1. Ingeniería social

¿Qué es la ingeniería social?

La ingeniería social es un término amplio que utilizamos hoy para cubrir una variedad de vectores de ataque. Incluye términos que probablemente habrás escuchado antes, como phishing o spear-phishing, pero también abarca el smishing, el compromiso del correo electrónico empresarial (BEC), los ataques de watering hole y cualquier otra cosa que implique la manipulación de una persona.

De hecho, según el Informe de Violación de Datos 2021 del Centro de Recursos de Robo de Identidad, el smishing, el phishing y el BEC fueron la causa más común de las violaciones cibernéticas en 2021 (33%), superior incluso al ransomware (22%).

¿Cómo funcionan los ataques de ingeniería social?

Todos funcionan de forma un poco diferente, pero con el mismo objetivo. Los ataques de ingeniería social generalmente tratan de manipular las acciones de una persona engañándola. A menudo, los atacantes ponen contenido delante de la víctima objetivo haciéndose pasar por genuino y digno de confianza. La víctima será atraída a participar en este contenido, haciendo clic en un sitio web o descargando un archivo, lo que permite a los atacantes robar credenciales (véase más adelante) o instalar malware en el dispositivo de destino.

Pero la ingeniería social no se limita a correos electrónicos fraudulentos y sitios web falsos

Las campañas de ingeniería social selectiva pueden tener un largo recorrido, en el que los atacantes exploran a las víctimas potenciales, encuentran objetivos vulnerables pero valiosos, generan confianza utilizando diversas técnicas -como perfiles falsos en las redes sociales que se hacen pasar por periodistas o compañeros de la industria- y luego hacen caer a las víctimas en la trampa. Este proceso puede durar semanas, incluso meses.

Un atacante muy hábil en ingeniería social puede incluso no necesitar contenido falsificado, si puede convencer a alguien a través del teléfono o la mensajería privada para que entregue sus datos voluntariamente.

Cómo mitigar el riesgo de ataques de ingeniería social
  • Forme a su personal: No todo el mundo sabe de tecnología. Lo que a usted le parece un phishing obvio puede parecer legítimo a alguien sin formación. Por eso, prepara una formación para todos los miembros del personal -de arriba a abajo- sobre cómo detectar actividades sospechosas y qué hacer si las encuentran.
  • Protégete del malware: Nuestros consejos sobre la protección contra el malware son muy pertinentes en este caso. Si tus sistemas están reforzados contra la actividad sospechosa y son capaces de monitorizar este tipo de eventos, incluso si un miembro del personal es víctima del phishing, seguirás teniendo esas importantes redes de seguridad.
  • Restringir ciertas funciones: Ciertos tipos de archivos (por ejemplo, .exe o .pif) se utilizan comúnmente en el phishing y usted puede bloquear la capacidad de las personas para descargarlos sin permiso. Lo mismo ocurre con los sitios web que consideres sospechosos (una técnica conocida como lista blanca).
  • Operar con un modelo ZeroTrust: Los principios de ZeroTrust ayudan a añadir una capa adicional de seguridad en torno a los sistemas críticos de una empresa mediante el uso de controles de seguridad mejores y más inteligentes. Obtenga más información aquí.

2. Compromiso del correo electrónico empresarial

Antes de seguir adelante, debemos advertirle con un poco más de detalle sobre la amenaza del compromiso del correo electrónico empresarial (BEC).

El ransomware (ver más abajo) tiende a acaparar la mayoría de los grandes titulares de los medios de comunicación, pero no es la principal estafa en términos de pérdidas financieras. El BEC, del que casi nadie habla realmente, cuesta bastante más al año: solo en Estados Unidos, el FBI señaló que el BEC costó a las organizaciones 2.400 millones de dólares en 2021 - el ransomware solo costó 42 millones de dólares.

¿Qué es el BEC?

Es cuando los ciberdelincuentes envían a los empleados de la empresa correos electrónicos con una solicitud específica, fingiendo ser de una fuente legítima (como otra persona de la empresa, un proveedor conocido, etc.). Puede ser una solicitud de transferencia de dinero, una factura fraudulenta con un plazo de pago urgente, o quizás una orden para ir a comprar un montón de tarjetas de regalo que se utilizarán como "recompensas para los empleados". Por supuesto, todo el dinero va a parar al estafador.

A menudo, los estafadores de BEC utilizan direcciones de correo electrónico falsas y esperan que nadie compruebe el nombre. Otras veces utilizan cuentas de correo electrónico reales, estafando a un empleado real con sus credenciales, entrando en su cuenta y enviando mensajes comprometidos. Este último método es muy peligroso y difícil de detectar, porque significa que la estafa procede de una fuente de confianza.

Existe otro tipo de BEC denominado secuestro de conversación, en el que un estafador que utiliza la cuenta de otra persona se introduce en una cadena de correo electrónico existente con su solicitud financiera.

Cómo mitigar el riesgo de BEC
  • Aumentar la conciencia cibernética en general: No se trata de un problema tecnológico, sino de ingeniería social (en su mayor parte). Cuanto más sepa su equipo cómo detectar los correos electrónicos fraudulentos y lo que es o no es legítimo, más probable será que planteen sus preocupaciones si detectan un comportamiento inusual.
  • Configure la autenticación multifactorial para las cuentas empresariales: De este modo, aunque le roben la contraseña a alguien, un estafador seguirá teniendo dificultades para entrar en su cuenta de correo electrónico.
  • Considere una política de verificación de solicitudes de pago en persona o por teléfono: Podría intentar instituir una política en la que todas las solicitudes de pago o de compra enviadas por correo electrónico se verifiquen en persona o por teléfono. Considere la posibilidad de una autenticación multifactorial para los pagos.

3. Desconfiguración de la nube

¿Qué es la desconfiguración?

La desconfiguración es un término que designa la mala configuración de los sistemas de una organización, de la que el almacenamiento en la nube se ha convertido en un ejemplo cada vez más común. Debido a la accesibilidad inherente a la nube, es bastante fácil equivocarse en la configuración de seguridad y dejar así los datos de la empresa expuestos a que personas ajenas a ella obtengan un acceso total o parcial.

¿No ofrecen seguridad los grandes proveedores de la nube?

Los grandes proveedores de la nube, como Amazon y Google, tienen servidores muy seguros, sí. La configuración incorrecta no es un problema de ellos, sino del usuario, ya que una configuración incorrecta puede, por ejemplo, dejar una carpeta privada como pública para que cualquiera pueda entrar en ella con un simple enlace.

Para ponerlo en perspectiva: el coste de los problemas debidos a servidores en la nube mal configurados es 12 veces mayor que la inversión mundial en la nube(DivvyCloud). Además, el 80% de las empresas han sufrido una violación de datos en la nube en los últimos 18 meses y la causa principal fue la mala configuración (67%)(IDC).

Ejemplos de errores comunes de configuración:
  • Configuración incorrecta/insuficiente de la gestión de acceso
  • Falta de visibilidad en la gestión de los accesos
  • Falta de control sobre el acceso a los recursos
  • Infraestructura excesivamente compleja
  • Sistemas sin parches
  • Archivos sin encriptar
  • Aplicaciones web obsoletas
  • Dispositivos no seguros
  • Protección insuficiente del cortafuegos
  • Utilizar credenciales por defecto (es decir, nombres de usuario y contraseñas)
Cómo mitigar el riesgo de desconfiguración de la nube
  • Establezca una buena gobernanza: Desarrolle una política y un marco que dicte cómo utilizará su empresa la nube, cuándo y quién tiene acceso a qué niveles. Revise estos ajustes de forma periódica.
  • Educar a la gente en sus responsabilidades: Al igual que en el caso de la ingeniería social, una de las mejores formas de reducir la posibilidad de que se produzcan errores humanos es formar adecuadamente a todo el mundo sobre sus responsabilidades en materia de seguridad (desde los empleados más recientes de la planta baja hasta los miembros del consejo de administración).
  • Migrar pensando en la seguridad: Cuando se realiza la primera migración a la nube, el personal de seguridad debe participar. Pruebe las nuevas herramientas en entornos aislados antes de desplegarlas, realice pruebas para asegurarse de que todo funciona correctamente y cree un proceso para que el personal individual pueda escalar los problemas de forma rápida y eficiente.

Más información: 5 estrategias multicloud y cómo abordarlas

3. Malware

¿Cuál es el problema del malware?

El "malware" es un nombre general utilizado para describir el software infeccioso que causa daño, espía o interrumpe un sistema. Los virus informáticos son un tipo de malware, aunque hay muchos otros.

El malware es el clásico vector de ciberataque, ya que ha existido básicamente desde los albores de la red mundial. Incluso ahora, con todo nuestro avanzado software antimalware, sigue siendo un gran problema: el BSI alemán señaló que el año pasado se descubrieron unas 394.000 nuevas variantes de malware al día solo en Alemania.

Otros ejemplos de malware son: el ransomware, que describimos a continuación; los keyloggers, que pueden registrar las pulsaciones de teclas realizadas por un ordenador; los troyanos, que entran en los sistemas disfrazados; los droppers, que pueden instalar otras piezas de malware; las infecciones bot, que pueden replicarse y propagarse por sí solas; y, por último, los virus diseñados puramente para la destrucción: los wipers.

¿Cómo utilizan los ciberatacantes el malware?

Por desgracia, las formas en que los grupos cibernéticos utilizan el malware son tan variadas como el propio malware, y por eso es tan difícil de detener. Los grupos suelen desarrollar su propio malware personalizado para ayudarles a atacar a empresas y particulares a través de los canales que prefieran (es decir, la ingeniería social). Pero también suelen compartir el malware con otros grupos y pueden comprometer la tecnología legítima para sus propios fines: Cobalt Strike, por ejemplo, es una herramienta que utilizan tanto los grupos legítimos como los criminales.

Hay muchas maneras diferentes en que los atacantes pueden inyectar malware en un sistema. La suplantación de identidad es muy común, pero los atacantes pueden recurrir a otros medios, como archivos troyanizados que simulan ser algo que no son (por ejemplo, un PDF que en realidad es un virus), o tal vez sitios web falsos que parecen reales pero que pretenden robar sus credenciales o hacerle descargar software infeccioso. También son populares las macros en archivos de Word o Excel aparentemente seguros.

Más información: 10 grupos de ciberespionaje conocidos y cómo protegerse

Cómo mitigar el riesgo de infección por malware
  • Exploración de la vulnerabilidad: Las herramientas de exploración de vulnerabilidades comprueban sus aplicaciones en busca de puntos de entrada comunes (véase más abajo), por ejemplo, software no actualizado, errores explotables, fallos conocidos, etc.
  • Software antivirus/antimalware: Hay una razón por la que el software antivirus/malware se considera "la detención de los virus 101". Los programas antivirus diseñados para empresas pueden escanear sus sistemas en busca de archivos sospechosos, vigilar los archivos entrantes y advertirle de los sitios web sospechosos. Por lo general, se mantienen actualizados para incluir todo el malware más reciente descubierto por los expertos en seguridad del mundo.
  • Cifrar la información sensible: Si tu sistema comunica datos de un lugar a otro, especialmente datos sensibles como la información de los clientes, deben estar encriptados. Cuando los archivos se encriptan, se convierten en algo revuelto, es decir, ilegible. Incluso si fueran robados, no podrían ser utilizados porque sin la clave para desbloquearlos, no son más que un sinsentido.
  • Sistemas de prevención de intrusiones en la red (IPS): Mientras que el antivirus examina sus archivos, el IPS supervisa las comunicaciones. Busca actividad en los paquetes de red que parezcan sospechosos y actúa contra ellos, bloqueándolos o informando de su presencia. Así, el antimalware bloquea el software, el IPS bloquea el tráfico.

4. Ransomware

¿Qué es el ransomware?

El ransomware es un tipo de malware. Cuando se inyecta en un sistema, puede bloquearlo por completo y cifrarlo para que sus usuarios pierdan el acceso. Los atacantes suelen pedir un rescate a cambio del acceso (de ahí el nombre). 

Dato extra: la mayoría (96%) de las empresas afirmaron en 2021 que recuperaron sus datos tras un ataque "significativo". Pero, de media, solo pudieron restaurar el 65% de los mismos, lo que significa que estaban perdiendo potencialmente algo más de un tercio de sus datos por ataque(Sophos).

Hay dos tipos comunes de ransomware:
  • El ransomware Lockscreen: Esta infección bloquea un ordenador y envía un mensaje (que llena la pantalla y la bloquea) diciendo a la víctima que debe pagar para recuperar el acceso. El ordenador no es utilizable en ese tiempo.
  • Crypto-ransomware: Esta infección encripta los archivos con una contraseña. Para obtener la contraseña, hay que pagar un rescate.
¿Cómo utilizan los cibergrupos el ransomware?

Como puede ver, el objetivo del ransomware es interrumpir la actividad y obligar a alguien a pagar.

Suele ser un acto de ciberdelincuencia en contraposición al ciberterrorismo, con el objetivo de ganar dinero en lugar de espiar o destruir objetivos clave. Por lo tanto, a menudo se ve que lo hacen grupos cibernéticos independientes en lugar de actores respaldados por el Estado.

Una cosa que hay que tener en cuenta es que el ransomware suele ser la etapa final de una larga cadena de actividades, como la ingeniería social y el escaneo de vulnerabilidades (sí, los atacantes utilizan lo mismo que las empresas para buscar vulnerabilidades, pero en este caso para explotarlas en lugar de parchearlas). Esto hace que sea fundamental detectar estas actividades con antelación.

Descárgalo ahora: ¿Debe pagar el rescate de un ransomware? Cómo prepararse para un ataque de ransomware

Cómo mitigar un ataque de ransomware
  • Realice regularmente copias de seguridad de los datos: Si todo tu sistema tiene una copia de seguridad periódica, los efectos del ransomware serán menos graves. En lugar de perderlo todo, puede que sólo pierdas los archivos de unos pocos días. Por supuesto, esto sigue sin ser lo ideal, pero reduce algunos de los daños.
  • Punto extra: Estos datos deben, por supuesto, almacenarse fuera del sistema. Dada su importancia, deben estar muy protegidos para que no puedan ser objeto de ataques.
  • Comprueba tus copias de seguridad: De nada sirve hacer una copia de seguridad del sistema si no se puede recuperar. Asegúrate de que tienes un proceso para recuperar los datos de la copia de seguridad y de que este proceso funciona realmente como está previsto.
  • Vigila tus sistemas: Como hemos mencionado, el ransomware es el golpe mortal al final de una larga serie de actividades. Lo más probable es que, en el camino hacia ese punto, ya se hayan producido actividades sospechosas en tu sistema y se hayan descargado o modificado archivos. Debe vigilar estas actividades en todo momento.
  • Ejemplos: Puede haber grandes cantidades de modificaciones de archivos en los directores de los usuarios. O, en los sistemas en la nube, los objetos de almacenamiento pueden ser sustituidos por copias.

5. Compromiso de la cadena de suministro

¿Qué entendemos por compromiso de la cadena de suministro?

La cadena de suministro mundial es muy digital hoy en día, y la mayoría de las empresas modernas utilizan servicios digitales al menos en alguna medida. De hecho, es bastante raro encontrar una empresa en Europa que no dependa de un proveedor externo para algún servicio o herramienta subcontratada. 

Esta dependencia de los servicios de otra empresa significa que su sistema se conecta con el suyo: un ataque a una parte podría comprometer a la otra. Por lo tanto, el compromiso de la cadena de suministro también se conoce como riesgo de proveedor externo.

¿Cómo están abusando los atacantes de la cadena de suministro digital?

Hoy en día, los atacantes a veces sólo necesitan atacar a una empresa para conseguir un punto de apoyo en un montón de otras. Por ejemplo, si se compromete a un proveedor de software, teóricamente se podría llevar la plataforma de esa empresa al corazón de cientos de clientes (lo que ha sucedido en la vida real más de un par de veces).

Por lo tanto, un ataque hacia arriba o hacia abajo en la cadena de suministro digital no es sólo un problema para el proveedor, sino para sus socios. Puedes tener la mejor seguridad del mundo, pero si ellos no la tienen, estás en riesgo.

Cómo mitigar el riesgo de que la cadena de suministro digital se vea comprometida
  • Revise los acuerdos con terceros con el personal de seguridad: Al igual que invitaría a expertos legales, financieros, técnicos y de clientes a cualquier discusión sobre un nuevo acuerdo con un proveedor, invite también a los de seguridad para que puedan revisar al proveedor en busca de señales de alarma.
  • Audite inmediatamente a los proveedores de terceros existentes: Si ya utiliza software de terceros, considere la posibilidad de auditarlo inmediatamente para comprobar si existen esas mismas banderas rojas. Además, compruebe que los acuerdos siguen siendo relevantes para su negocio, que siguen cumpliendo la normativa y que los propietarios/personas de contacto acordadas siguen estando disponibles para el contacto (es decir, que no han dimitido).
  • Mantenga un conjunto diverso de proveedores: Encerrarse en un solo proveedor puede resultar cómodo, pero conlleva su propio riesgo. Un conjunto diverso de proveedores significa que tienes acceso a una gama de tecnología, puedes elegir entre lo mejor de lo mejor y, lo que es más importante, repartir un poco el riesgo de seguridad.

Más información: ¿Está revisando los riesgos de seguridad de sus terceros?

6. Personas con información privilegiada maliciosa

¿Qué son las personas malintencionadas?

Hasta ahora hemos hablado mucho de las amenazas del exterior, pero siempre va a existir el riesgo de que alguien dentro de su empresa sea a su vez una amenaza potencial. Existe un riesgo muy real de que alguien en algún lugar de la empresa se esté radicalizando, ya sea por gente que conoce en persona o a través de foros en línea.

  • ¿Radicalización? Hoy en día, solemos asociar a los "radicales" con el extremismo. Sin embargo, alguien puede radicalizarse por una serie de razones, como las religiosas, las políticas, las medioambientales o incluso simplemente por emociones negativas extremas (por ejemplo, el descontento) que son incitadas por otros.

Internet y las redes sociales han agravado este problema. Hay un efecto de cámara de eco en línea que puede exacerbar el riesgo de radicalización, donde los algoritmos diseñados para alimentar a la gente con contenidos que deberían interesarle les ofrecen constantemente mensajes radicales. Pueden quedar rápidamente atrapados en este mundo.

Leer más: "El efecto cámara de eco en las redes sociales"

¿Cómo pueden los ciberatacantes utilizar la radicalización para atacar una empresa?

Hay un gran número de formas en las que un grupo de ciberamenazas podría utilizar a alguien en el interior; alguien en el límite está listo para ser empujado. Si un individuo o grupo que desea hacer daño a su empresa es capaz de establecer un "hombre interior", por así decirlo (cultivando y alimentando su punto de vista o estado emocional), ya está en una posición en la que puede comprometer directamente su negocio desde dentro, saltándose las medidas de seguridad comunes.

Pueden pedirle a ese miembro del personal que inyecte malware en los ordenadores de la empresa, que envíe ataques de phishing a través de sus cuentas para que parezcan proceder de una fuente de confianza, o alguna otra forma de ataque.

Cualquiera que tenga una conexión con los medios sociales corre el riesgo de caer en una cámara de eco, y cualquiera corre el riesgo de volverse lo suficientemente audaz (o enfadado) como para actuar según sus creencias cambiantes. Si esto le ocurriera a alguien con acceso a su red empresarial, podría ser enormemente perjudicial.

Cómo mitigar las amenazas desde dentro
  • Utilice la cultura de su empresa: Una cultura empresarial de apoyo y protección podría ayudar a evitar que alguien se radicalice en primer lugar. Invierta en programas de apoyo a la salud mental y al bienestar de los empleados, en apoyo a la carrera profesional, en clubes sociales y en todas esas actividades que son tan importantes para el bienestar social, mental y físico de las personas.
  • Recurrir a ZeroTrust: Establecer un modelo ZeroTrust como el que hemos descrito anteriormente es otra forma inteligente de crear un baluarte adicional contra las ciberamenazas, tanto internas como externas.
  • Protéjase contra las amenazas externas: Saber cómo proteger sus sistemas contra el malware, el compromiso de la cadena de suministro, el ransomware, etc., y vigilar la actividad sospechosa definida anteriormente, puede ayudarle en caso de que alguien intente atacar su empresa.
Otros puntos de entrada habituales

Esos son los vectores de ciberataque más comunes que estamos viendo en 2022. Pero hay muchos más puntos de entrada potenciales a una empresa que su equipo de TI debe conocer. Aunque no son "vectores de ataque" tal y como los hemos clasificado anteriormente, son puntos débiles comunes en un sistema empresarial que pueden ser explotados por alguien utilizando uno de los vectores anteriores.

  1. Software sin parches: Las ciberamenazas evolucionan constantemente, por lo que la tecnología se mueve con ellas. Es una carrera armamentística constante, y si no mantienes las herramientas de software, los sistemas operativos y las versiones de dispositivos y aplicaciones actualizadas, puedes quedarte atrás.
  2. Explotaciones de día cero: Un exploit de día cero es la explotación de un fallo desconocido en un nuevo software (o en una nueva versión de software). Puede tratarse de una brecha en la seguridad o de un error, pero en cualquier caso los desarrolladores aún no lo han encontrado, pero los atacantes sí. Todo el nuevo software debe probarse en un entorno seguro antes de ser desplegado al resto de la empresa. Por lo demás, las medidas de seguridad de las mejores prácticas, como las descritas anteriormente, le ayudarán a mitigar el riesgo de un exploit de día cero.
  3. Credenciales débiles/comprometidas/robadas: El robo de credenciales es un objetivo muy común de la ingeniería social, donde los atacantes engañan a los usuarios para que ofrezcan sus datos de acceso. Además, las contraseñas débiles a menudo pueden ser descifradas (lo que se denomina "fuerza bruta"). No siempre se puede evitar esto, por lo que hay que utilizar la protección contra la ingeniería social, la seguridad en la nube y las medidas de ZeroTrust descritas anteriormente.
  4. Encriptación deficiente o nula: Una comunicación sin cifrar es una comunicación que puede ser robada, leída y vendida al mejor postor. Todas las comunicaciones empresariales, pero especialmente las sensibles, deben estar cifradas.

¿Le parece abrumador? Podemos ayudarle

En dig8ital somos expertos en mitigación de ciberataques y llevamos años trabajando con algunas de las mayores empresas europeas para ayudarles a transformarse digitalmente en empresas modernas, flexibles y defendibles. Póngase en contacto con nosotros hoy mismo para obtener una consulta de madurez gratuita y hablemos de sus necesidades específicas.

¿Quiere saber más?

PÓNGASE EN CONTACTO CON NOSOTROS PARA UNA CONSULTA GRATUITA
Política de privacidad | Política de cookies | Impressum
Política de privacidad | Política de cookies | Impressum
Al hacer clic en "Aceptar todas las cookies", usted acepta que se almacenen cookies en su dispositivo para mejorar la navegación por el sitio, analizar el uso del mismo y ayudar en nuestros esfuerzos de marketing. Consulte nuestra política de privacidad para obtener más información.
PreferenciasDenegarAcepta