IBM Security ha publicado su índice anual de Inteligencia de Amenazas X-Force (X-Force Threat Intelligence Index) entre cuyas conclusiones destaca que, aunque la proporción de incidentes de ransomware disminuyó ligeramente de 2021 a 2022 (cuatro puntos porcentuales), ha aumentado el éxito en la detección y prevención de este tipo de ataques. Pese a ello, los atacantes han continuado innovando en sus capacidades, como muestra el hecho de que hayan pasado de necesitar dos meses de promedio para completar un ataque de ransomware a menos de cuatro días.
De acuerdo con el informe, el despliegue de puertas traseras, aquellas que permiten el acceso remoto a los sistemas, fue la acción más habitual ejecutada por los atacantes durante 2022. Alrededor del 67% de esos casos de puertas traseras estuvieron relacionados con intentos de ransomware, frustrados por los equipos de seguridad antes de que se llegara a implementar el ataque. El aumento en los despliegues de puertas traseras puede atribuirse, en parte, a su alto valor de mercado. De hecho, X-Force ha observado que los ciberdelincuentes llegan a vender por hasta 10.000 dólares los accesos a puertas traseras existentes, mientras que los datos de tarjetas de crédito robadas, se venden hoy día por menos de 10 dólares.
El índice IBM Security X-Force Threat Intelligence rastrea tendencias y patrones de ataques nuevos y existentes a partir de millones de datos de dispositivos de red y endpoints, datos de respuesta a incidentes y otras fuentes.
Entre las conclusiones del informe de 2023 destacan:
- La extorsión, el método preferido por los atacantes. El tipo de golpe más utilizado en 2022 en los ciberataques fue la extorsión, que se llevó a cabo principalmente a partir de ataques de ransomware y ataques contra correos electrónicos corporativos. Desde el punto de vista geográfico, Europa fue la región que más sufrió este tipo de golpes, acaparando el 44% de los casos de extorsión detectados, ya que los atacantes buscaron sacar provecho de las tensiones geopolíticas actuales.
- Los ciberdelincuentes utilizan las conversaciones por correo electrónico como arma. El secuestro de hilos de correos electrónicos experimentó un aumento muy importante en 2022. A lo largo del pasado año, los ciberdelincuentes utilizaron cuentas de correo electrónico comprometidas para responder a conversaciones en curso haciéndose pasar por el interlocutor original. El índice X-Force refleja que los intentos mensuales de ataque con este tipo de táctica aumentaron un 100% en comparación con 2021.
- Los exploits heredados siguen propagándose. La proporción de exploits conocidos que intervinieron en ataques disminuyó 10 puntos porcentuales desde 2018 hasta 2022, en gran medida porque el número de vulnerabilidades alcanzó un nuevo récord en 2022. Aun así, los resultados del índice reflejan que los exploitsheredados permitieron que infecciones por malware antiguas, como WannaCry y Conficker, continuaran propagándose.
La presión de la extorsión se aplica de forma desigual
A menudo, los ciberdelincuentes actúan contra las industrias, empresas y regiones más vulnerables con complejos modelos de extorsión, que ejercen una alta presión psicológica sobre la víctima para obligarle a pagar. Como ya se ha señalado, de acuerdo con la última edición del índice, el sector manufacturero fue el más extorsionado en 2022 y el que más ataques sufrió por segundo año consecutivo. No en vano, las empresas de este sector son un objetivo atractivo para este tipo de acciones, dada la escasa tolerancia que tienen a los tiempos de inactividad por las características de su industria.
El ransomware es un método de extorsión muy conocido, pero los ciberdelincuentes no dejan de explorar nuevos métodos con los que extorsionar a potenciales víctimas. Una de las últimas tácticas detectadas consiste en visibilizar el robo de los datos a las posibles víctimas colaterales. Al incorporar clientes y socios comerciales a esta combinación, los ciberdelincuentes aumentan la presión sobre la empresa atacada ampliando a esas víctimas colaterales la amenaza mediante notificaciones. De esta forma, los atacantes aumentan los costes potenciales y el impacto psicológico de una intrusión, por lo que es fundamental que las empresas tengan un plan de respuesta a incidentes personalizado que también tenga en consideración el impacto que un ataque de estas características puede tener para sus clientes y socios comerciales y evitar así que se conviertan a su vez en víctimas.
Ojo, la ‘I+D’ de exploits va por detrás de las vulnerabilidades
La relación entre exploits conocidos y vulnerabilidades ha ido disminuyendo en los últimos años; en concreto, ha caído en 10 puntos porcentuales desde 2018. Los ciberdelincuentes ya tienen acceso a más de 78.000 exploits conocidos, lo que facilita la explotación de vulnerabilidades más antiguas que no han sido parcheadas. Sirva de ejemplo que, pese a que han pasado cinco años desde que se dio a conocer, las vulnerabilidades que provocaron las infecciones de WannaCry siguen suponiendo una amenaza significativa: X-Force reportó hace poco un crecimiento del 800% en el tráfico de ransomware proveniente de WannaCry a partir de los datos de telemetría MSS desde abril de 2022. El hecho de que se continúen utilizando los exploits conocidos más antiguos pone en evidencia la necesidad de que las organizaciones revisen sus programas de gestión de vulnerabilidades, incluida la comprensión del potencial campo de ataques y la priorización de parches en función de los riesgos.