El aumento de la vulnerabilidad se ha vuelto cercano y personal en los últimos tiempos. Las empresas se han encontrado con amenazas cada vez mayores a medida que la pandemia abrió la puerta a ciberdelincuentes que aprovecharon nuevas oportunidades para atacar valiéndose del ransomware, el malware y la nube.

Nuestros analistas de inteligencia sobre amenazas y respuesta a incidentes han podido conocer de primera mano las tácticas, técnicas y procedimientos (TTP) que emplean algunos de los ciberadversarios más sofisticados. Este informe refleja nuestro análisis del segundo semestre del año calendario 2021.

Tendencias clave 2do semestre 2021

El análisis de Accenture identificó cinco tendencias que afectan al entorno de la ciberseguridad:

1. Los ataques de ransomware siguen siendo rentables

Si bien la tecnología permite que las amenazas sean más sofisticados, todavía existen riesgos derivados de las técnicas tradicionales de ransomware.

  • Los principales objetivos de los países y las industrias siguen siendo los mismos: el número de ataques de ransomware disminuyó ligeramente. Estados Unidos fue nuevamente la principal región afectada por las amenazas de ransomware y extorsión, con aproximadamente el 45% del volumen de intrusiones en 2021. En cuanto a las industrias, la de la fabricación, los servicios financieros, la atención médica y la tecnología siguen siendo los sectores más atacados.
Porcentaje de la industria dirigida a ataques de ransomware en los Estados Unidos en 2021.
  • Las disputas entre afiliados van en aumento: los antiguos afiliados de los grupos de ransomware divulgaron información sensible, lo que llevó a la proliferación de potentes herramientas y técnicas de ransomware.
  • La infraestructura en la nube está en el punto de mira: en 2021, el malware relacionado con la nube evolucionó más rápido que el malware tradicional y el desarrollo de herramientas personalizadas aumentó la focalización de los ataques en la infraestructura de la nube.

Las organizaciones deben centrarse en la robustez de sus copias de seguridad externas, así como en la capacitación, la mejora de la autenticación, la aplicación de parches y los planes de respuestas.

2. Las cadenas de suministro se ven afectadas

El paso a la nube ha provocado que muchas organizaciones se vean afectadas en mayor medida por las inseguridades en la cadena de suministro.

  • Se reportó un gran aumento de las amenazas: durante los meses de octubre y noviembre de 2021, numerosas publicaciones sobre ciberseguridad mencionaron campañas de ataques a la cadena de suministro que hacían referencia a compromisos de bibliotecas de desarrolladores y plataformas de software.
  • Las amenazas de puerta trasera son más frecuentes: según datos de intrusión tomados por Accenture de las iniciativas de respuesta a incidentes, el 30% de las amenazas de malware que se observaron en 2021 fueron amenazas de puerta trasera, lo que las convierte en el segundo tipo de malware más prevalente, detrás del ransomware (33%).
Porcentaje de la industria dirigida a ataques de ransomware en los Estados Unidos en 2021.

Las organizaciones deben enfocarse en integrar las auditorías en los ciclos de DevOps, actualizar sus marcos de seguridad y sus proveedores de modelos de amenazas e introducir programas maduros en la cadena de suministro de software.

3. Los infostealers impulsan el mercado del malware

Los mercados clandestinos que venden paquetes con datos de acceso comprometidos siguen ofreciendo puertas de entrada baratas a las redes corporativas.

  • Los infostealers son muy activos: según los datos disponibles, a noviembre de 2021, los infostealers (ladrones de información) más utilizados que proveen inventarios a los mercados clandestinos son Redline (53%), Vidar (35%), Taurus (4%), Racoon (4%) y Azorult (2%) (ver la Figura 4).
  • La popularidad de los infostealers es variable: los sesgos en la recopilación de datos explican en parte la discrepancia entre los infostealers utilizados en las campañas oportunamente activas y los que se utilizaron para volcar los inventarios en los mercados clandestinos. Esta incoherencia también pone de manifiesto que los mercados clandestinos dependen de los infostealers más recientes.
  • Redline crece más rápido: a pesar de tener solo el 4% de la cuota de mercado, el infostealer Redline está creciendo a un ritmo más rápido que los demás, luego de su participación en la filtración de datos de las entradas para los Juegos Olímpicos de Tokio de julio de 2021.

Las organizaciones deben enfocarse en proteger mejor sus entornos corporativos y ser conscientes del rápido aumento de la venta clandestina de “bots”, que permiten utilizar fácilmente los datos robados a través de un complemento del navegador.

4. El núcleo de la nube genera vectores de ataque

Los perpetradores usan la infraestructura de la nube pública para desplegar conjuntos de herramientas ofensivas y utilizar puntos de acceso internos.

  • El rápido crecimiento de la nube facilita las oportunidades de ataque: la pandemia de COVID-19 aceleró aún más la adopción de la nube, abrió nuevas superficies de ataque y aumentó el interés de los actores maliciosos en atacar la infraestructura de la nube.
  • La ampliación de la infraestructura abre la puerta a nuevas vulnerabilidades: los perpetradores de amenazas están secuestrando los servicios en la nube para explotar los beneficios de la infraestructura en la nube, recopilar datos confidenciales y desplegar ransomware. La expansión de la infraestructura en la nube también crea una infraestructura de mando y control muy escalable y fiable, además de redes de robots (botnets).
  • Las amenazas de las herramientas centradas en la nube están aumentando: TeamTNT, un grupo de amenazas de origen alemán, ha creado un conjunto sumamente evolucionado y activo de herramientas centradas en la nube. El grupo es conocido por minar criptomonedas a través de la explotación de recursos en la nube –también conocido como cryptojacking– y por instalar en los sistemas comprometidos un bot llamado “Tsunami”, que puede vulnerar plataformas en la nube como Google Cloud o AWS.

Las organizaciones deben enfocarse en auditar y examinar las desconfiguraciones de la nube, adoptar un marco de gestión de identidades y accesos y establecer la autenticación multifactor.

5. Los exploits se compran y se venden activamente

El crecimiento del mercado clandestino de exploits de vulnerabilidad permiten a los adversarios obtener un acceso no autorizado a una red corporativa.

  • Los atacantes están ocupados vendiendo o comprando exploits de CVE: Accenture analizó 45 casos de usuarios clandestinos que querían vender o comprar exploits para vulnerabilidades y exposiciones comunes (CVE).
  • Los atacantes tienen tres vulnerabilidades principales que compran y venden: los tres exploits de CVE más populares en el mercado son para CVE-2021-34473, CVE-2021-20016 y CVE-2021-31206. La explotación exitosa de cada uno de ellos permite a un adversario remoto el acceso no autorizado a una red de la víctima y la ejecución de código arbitrario en un host víctima.
  • Los atacantes comienzan a sacar provecho de la vulnerabilidad de Log4j: en diciembre de 2021, los mantenedores de Log4j informaron detalles de una vulnerabilidad de ejecución remota de código identificada como CVE-2021-44228 o como Log4Shell, que podría permitir a los atacantes ejecutar código arbitrario en un host vulnerable.

Las organizaciones deben enfocarse en defender enérgicamente el acceso a su red, retomar los fundamentos de la seguridad –como la gestión periódica de correcciones y las pruebas proactivas– y actualizar Log4j a la versión 2.17.0 para Java 8 y a la versión 2.12.2 para Java 7.

Acerca de los Autores

Joshua Ray

Managing Director – Accenture Security


Howard Marshall

Managing Director – Accenture Security, Global Cyber Threat Intelligence Lead


Robert Boyce

Managing Director – Accenture Security, Global Cyber Response and Transformation Services Lead


Christopher Foster

Senior Principal – Security Innovation


Valentino De Sousa

Senior Principal – Security Innovation

MÁS INFORMACIÓN

Respuesta y recuperación ante el ransomware
Estado de la resiliencia de la ciberseguridad
La importancia de la seguridad en la nube

CENTRO DE SUSCRIPCIÓN
Nuestra Newsletter Nuestra Newsletter