logo MBR

Ataques de ciberdelincuentes

Compartir artículo

En teoría, los ciberdelincuentes pueden utilizar todas y cada una de las miles de técnicas de ataque diferentes, en cualquier combinación que deseen.

En la vida real, sin embargo, una buena gestión de riesgos dice que es inteligente centrarse primero en los problemas más peligrosos, incluso si no son los temas de ciberseguridad más glamurosos o emocionantes en los que meterse.

Entonces, en la vida real, ¿qué es lo que realmente funciona para los ciberdelincuentes cuando inician un ataque?

Y lo que es igual de importante, ¿qué tipo de cosas hacen una vez que han entrado?

¿Cuánto tiempo tienden a quedarse en tu red una vez que han creado una cabeza de playa?

¿Hasta qué punto es importante encontrar y tratar la causa subyacente de un ataque, en lugar de limitarse a tratar los síntomas obvios?

Active Adversary Playbook

Pues bien, el experto de Sophos, John Shier, anlizó los informes de 144 ciberataques reales investigados por Sophos Rapid Response durante 2021.

Mientras tanto, lo que encontró puede que no te sorprenda, pero es una información vital, porque es lo que realmente ocurrió, no sólo lo que podría haber ocurrido.

En particular:
  • Las vulnerabilidades sin parches fueron el punto de entrada de cerca del 50 % de los atacantes.
  • Los atacantes permanecieron más de un mes de media cuando el ransomware no era su objetivo principal.
  • Se sabe que los atacantes han robado datos en cerca del 40 % de los incidentes. No se pueden demostrar todos los robos de datos, por supuesto, dado que no hay un agujero en el lugar donde estaba la copia de los datos, por lo que la cifra real podría ser mucho mayor).
  • Más del 80 % de los atacantes utilizaron el RDP para circunnavegar la red una vez que entraron.
La vulnerabilidad en pequeñas empresas

Curiosamente, aunque quizás no sea sorprendente, cuanto más pequeña es la organización, más tiempo llevan los delincuentes en la red antes de que alguien se dé cuenta y decida que es hora de echarlos.

Por lo general, en las empresas con 250 empleados o menos, los delincuentes se quedaban (en la jerga, esto se conoce con la pintoresca y arcaica metáfora automovilística del tiempo de permanencia) durante más de siete semanas de media. En comparación con un tiempo medio de permanencia de algo menos de tres semanas para las organizaciones con más de 3.000 empleados.

Sin embargo, como te puedes imaginar, los delincuentes de ransomware suelen permanecer ocultos durante períodos mucho más cortos (algo menos de dos semanas, en lugar de algo más de un mes). Entre otras cosas porque los ataques de ransomware son intrínsecamente autolimitados.

Al fin y al cabo, una vez que los delincuentes del ransomware han revuelto todos tus datos, salen de su escondite y pasan directamente a la fase de chantaje.

¿Quién hace que los ataques de ransomware sean tan dañinos?

Lo más importante es que hay grupos enteros de ciberdelincuentes que no se dedican a la confrontación directa de las bandas de ransomware.

Estos delincuentes “no relacionados con el ransomware” incluyen un grupo importante conocido en el sector como IABs, o corredores de acceso inicial.

Los IABs no obtienen sus ingresos ilícitos de la extorsión a su negocio después de un ataque violentamente visible, sino de la ayuda y la instigación a otros delincuentes para que lo hagan.

De hecho, estos delincuentes de IAB podrían hacer mucho más daño a las empresas a largo plazo que los atacantes de ransomware.

Esto se debe a que su objetivo típico es aprender tanto sobre ti (y tu personal, y tu negocio, y tus proveedores y clientes) como puedan, durante el tiempo que quieran.

Después, obtienen sus ingresos ilícitos vendiendo esos datos a otros ciberdelincuentes.

En otras palabras, si te preguntas cómo los delincuentes que se dedican al ransomware son capaces de entrar tan rápidamente, de mapear las redes tan a fondo, de atacar tan decisivamente y de hacer demandas de chantaje tan dramáticas, es muy posible que se deba a que han comprado tu propio “Active Adversary Playbook”, listo para usar, a delincuentes anteriores que ya habían recorrido tu red de forma silenciosa pero extensa.

Protocolo de Escritorio Remoto de Microsoft

Una buena noticia es que el RDP (Protocolo de Escritorio Remoto de Microsoft) está mucho mejor protegido en estos días, con menos del 15 % de los atacantes que utilizan RDP como su punto de entrada inicial. (El año anterior, era más del 30 %).

Pero la mala noticia es que muchas empresas todavía no han adoptado el concepto de confianza cero o de necesidad de saber.

Muchas redes internas siguen teniendo lo que los administradores de sistemas llevan años llamando “un interior blando y pegajoso”, aunque tengan lo que parece una cáscara dura por fuera.

Esto lo revela la estadística de que en más del 80% de los ataques. Ciertamente, se abusó del RDP para ayudar a los atacantes a saltar de un ordenador a otro una vez que habían roto ese caparazón exterior, en lo que se conoce con el prolijo término de movimiento lateral.

Portales RDP

Hasta cierto punto, aunque muchas empresas parecen haber endurecido sus portales RDP de acceso externo (algo que no podemos sino aplaudir), parecen seguir confiando en gran medida en las llamadas defensas perimetrales como herramienta principal de ciberseguridad.

Evidentemente, las redes actuales, especialmente en un mundo con mucho más trabajo remoto y “telepresencia” que hace tres años, ya no tienen realmente un perímetro.

(Como analogía del mundo real, considera que muchas ciudades históricas todavía tienen murallas, de este modo ahora son poco más que atracciones turísticas que han sido absorbidas por los centros de las ciudades modernas).

¿Qué hacer?

Ahora bien, con el argumento de que conocer a tu ciberenemigo hace que sea menos probable que te cojan por sorpresa, nuestro consejo es que leas el informe.

Como señala John Shier en su conclusión:

Hasta que un punto de entrada expuesto se cierre, y todo lo que los atacantes han hecho para establecer y retener el acceso sea completamente erradicado, de esta manera, casi cualquiera puede entrar después de ellos. Y probablemente lo hará.

Recuerda, si necesitas ayuda, no es un fracaso pedirla.

Al fin y al cabo, si no investigas tu red para encontrar los puntos peligrosos, puedes estar seguro de que los ciberdelincuentes lo harán.

MBR

¿Necesitas más información?

¡Contáctanos y nuestro equipo resolverá todas tus dudas! 

Suscríbete a nuestro boletín

Recibe actualizaciones y promociones exclusivas.

Explora más artículos de tu interés

Sensor de ambiente

Compartir artículo Qué buscar en un sensor ambiental Por diseño, los sensores ambientales son herramientas de monitoreo que arrojan luz sobre amenazas invisibles que de

tarjetas de proximidad
CCTV y videovigilancia

¿Cómo funcionan las tarjetas de proximidad?

Los dispositivos de control de acceso a menudo sirven como la primera línea de defensa para proteger un edificio y sus ocupantes. Estas soluciones generalmente se basan en tarjetas RFID emitidas para dar acceso solo al personal autorizado.