El inicio del año es siempre un buen momento para formular buenos propósitos. Al comenzar enero de 2022, todas las señales de alerta estaban encendidas y así siguen. Por lo tanto, nos ha parecido fundamental estudiar el paisaje de las amenazas para ver qué cambios podemos hacer para afrontar mejor el año en curso. Lo cierto es que todas las empresas se ven implicadas y hay que tomar decisiones y establecer reglas de juego.
Estas son algunas de las lecciones que hemos aprendido y los consejos que ofrecemos para ayudar a las empresas a conseguir lo mejor en este nuevo año.
Un repaso a los principales ataques de 2021
El año 2021 ha sido un año lleno de incidentes, con varios ciberataques importantes. Los ataques más significativos y preocupantes se encuadran en las cuatro categorías siguientes, que esperamos sigan siendo las principales amenazas en 2022.
El ransomware
En 2021 se mantuvieron las tendencias que empezaron a finales de 2019. En efecto, los ataques de ransomware han alcanzado nuevos niveles de sofisticación. Esto incluye la preponderancia de :
- Ransomware-as-a-service. El ransomware ya no es cosa de un solo actor. En la actualidad existen grandes mercados de operadores de ransomware de alquiler y de malware listo para su uso, lo que aumenta el tamaño y el alcance de los ataques.
- Ataques de doble extorsión. Estos representan ahora más del 50% de los ataques de ransomware. En los ataques de doble extorsión, los actores de la amenaza roban datos además de cifrarlos, lo que les da más fuerza para exigir grandes rescates.
- Ataques a grandes empresas. Debido a las tendencias de ransomware como servicio y de doble extorsión descritas previamente, muchas grandes empresas se ven afectadas por el ransomware, a menudo con repercusiones globales. Los atentados contra Colonial Pipeline, CNA Financial y el Health Service Executive de Irlanda son tres ejemplos de estos ataques de gran calado.
Ataques a la cadena de suministro
Nuestro estudio “State of Encrypted Attacks” mostró que los ataques SSL contra empresas tecnológicas aumentaron un 2.344% en 2021 en comparación con 2020. Una de las principales razones de este aumento es la voluntad de atacar el código del software. Si los atacantes consiguen infectar el código, pueden realizar ataques a otras empresas del ecosistema de estas compañías tecnológicas y afectar así a la “cadena de suministro” de algunas organizaciones. Dos grandes ejemplos ilustran esta situación.
- El ataque SUNBURST de SolarWinds. Aunque formalmente se completó en 2020, las organizaciones seguían enfrentándose a las consecuencias del ataque de SolarWinds en 2021. En este ataque, los atacantes utilizaron una puerta trasera en el producto SolarWinds Orion que entregó código malicioso a 18.000 clientes.
- El ataque de Kaseya. El grupo de ransomware REvil aprovecha una vulnerabilidad de día cero en la herramienta de monitorización remota Kaseya VSA, propagando el ransomware a los clientes de Kaseya. Más de 1.000 empresas que utilizan la versión local del software de Kaseya tenían sus datos cifrados.
Ataques de día cero
Los ataques de día cero no son algo exclusivo de 2021, pero puede que hayamos experimentado el peor ataque de la década con el último ataque Log4Shell dirigido contra la popular biblioteca JAVA Apache Log4j. A principios de este año vimos el ataque a Microsoft Exchange Server, que se valió no de una sino de cuatro vulnerabilidades diferentes. Estos incidentes ponen de manifiesto la necesidad de reducir la superficie de ataque (incluida la reducción de la exposición de las aplicaciones a Internet) y de limitar el impacto de los ataques mediante la aplicación de una microsegmentación granular.
Amenazas persistentes avanzadas (APT)
Aunque el ransomware ha acaparado la mayoría de los titulares este año, las APT siguen siendo las amenazas más temibles debido a sus recursos y a su extrema sofisticación. Entre los ataques más destacados de 2021 se encuentran:
- Cloudfall, en el que el grupo APT CloudAtlas se dirigió a un grupo de investigadores y científicos con un ataque basado en Microsoft Word.
- DarkHotel, un grupo APT que se dirige contra ejecutivos a través de los sistemas WiFi de los hoteles de lujo.
Algunas de las tendencias más preocupantes de este año han sido la combinación de las cuatro categorías anteriores. Por ejemplo, las organizaciones de ransomware están utilizando vectores de la cadena de suministro para atacar a una amplia gama de empresas, como demostró el ataque a la cadena de suministro de Kaseya. Además, los actores estatales han seguido aprovechando los ataques de día cero, como la vulnerabilidad de Exchange Server y, más recientemente, Log4Shell.
Algunos consejos para 2022
Para mejorar la seguridad de las empresas en 2022, estos son algunos consejos que puede poner en práctica.
- Reducir la superficie de ataque. Los actores de amenazas solo pueden atacar lo que pueden ver. En lugar de difundir las aplicaciones en Internet, colóquelas detrás de un proxy basado en la nube que negocie el acceso en función de la identidad y el contexto.
- Aplicar una política de seguridad coherente para evitar un compromiso inicial. Con una fuerza de trabajo descentralizada, es importante que las organizaciones implementen una arquitectura de servicios de seguridad de borde (SSE) que pueda supervisar y aplicar una política de seguridad coherente, independientemente de donde estén trabajando los usuarios (en la oficina o de forma remota).
- Inspeccionar el tráfico cifrado. Más del 80% de las amenazas utilizan ahora canales encriptados. Esto permite descifrar, detectar y prevenir las amenazas en todo el tráfico HTTPS gracias a una arquitectura basada en un proxy nativo de la nube que puede inspeccionar todo el tráfico de cada usuario.
- Poner en cuarentena los ataques no conocidos y detener el malware con un sandbox basado en la IA que retiene el contenido sospechoso para su análisis, a diferencia de otros enfoques basados en cortafuegos.
- Implantar una arquitectura de acceso a la red de confianza cero. Segmentar los distintos escenarios de la manera más granular posible e implementar controles de acceso dinámicos a través del Principio de Mínimos Privilegios (LPP) para eliminar el movimiento lateral y reducir la superficie de ataque externa. Esto incluye las comunicaciones usuario/aplicación, aplicación/aplicación y aplicación/Internet, que pueden interrumpir los ataques a la cadena de suministro, entre otros.
- Implantar un sistema de prevención de pérdida de datos en línea. La inspección del tráfico saliente es tan importante como la del tráfico entrante. La prevención de la exfiltración de información sensible con herramientas y políticas de prevención de pérdida de datos basadas en la confianza es clave para frustrar el robo de datos.
- Actualizar el software y la formación con regularidad. Deben aplicarse parches de seguridad para el software y deben impartirse sesiones periódicas de formación y concienciación sobre la seguridad para los empleados.
- Establecer un plan de contingencia. Prepararse para lo peor con un ciberseguro, tener un plan de backup de datos y un plan de respuesta como parte del programa general de continuidad de negocio y recuperación de desastres.
En todo el mundo está creciendo la preocupación por el peligro que supone el ciberespacio. Dos de cada tres directivos (69 %) encuestados por PwC prevén aumentar su presupuesto de ciberseguridad en 2022. Sin embargo, estos aumentos parecen ser todavía escasos.
Ya que no sabemos cómo se desarrollará el año 2022, es aconsejable, como mínimo, seguir y aplicar unas normas básicas, como las indicadas anteriormente para estar mejor preparados.