El panorama de las amenazas cibernéticas está en constante evolución. A medida que los ciberatacantes se vuelven más hábiles y organizados, sus ataques también se vuelven más sofisticados.
Hoy en día, las organizaciones enfrentan amenazas cibernéticas de generación V y VI. Estos atacantes son conscientes de las mejoras realizadas en la ciberseguridad empresarial en los últimos años y han adaptado sus ataques para eludir y superar las defensas tradicionales. El ciberataque moderno es multivectorial y utiliza código polimórfico para evadir la detección. Como resultado, la detección y respuesta de amenazas es más difícil que nunca.
Para agregar al desafío, muchas organizaciones se enfrentan a un cambio repentino y dramático en la forma en que llevan a cabo “como de costumbre”. La pandemia de COVID-19 llevó a muchas organizaciones a adoptar una fuerza laboral mayoritariamente o totalmente remota, a menudo sin la preparación adecuada. Para las organizaciones cuya estrategia de seguridad dependía de los empleados que trabajan desde la oficina, adaptarse a esta nueva forma de vida es un desafío.
En el mundo del trabajo remoto, la terminal es el principal objetivo de los ciberdelincuentes y la primera línea de defensa de una organización. Proteger a la fuerza laboral remota requiere que las organizaciones comprendan las principales amenazas cibernéticas que enfrentan sus empleados y cuenten con soluciones de seguridad de terminales que sean capaces de detectar, prevenir y remediar estos ataques.
Los ciberdelincuentes innovan constantemente y las principales amenazas cibernéticas a las que se enfrentan las organizaciones cambian regularmente a medida que los atacantes se adaptan a las circunstancias cambiantes. Check Point Research rastrea continuamente las tendencias y los cambios en el panorama de las amenazas cibernéticas, y las siguientes son las amenazas que más deberían preocupar a las organizaciones actualmente.
El ransomware es un malware diseñado para utilizar cifrado para obligar al objetivo del ataque a pagar una demanda de rescate. Una vez presente en el sistema, el malware cifra los archivos del usuario y exige un pago a cambio de la clave de descifrado. Dado que los algoritmos de cifrado modernos son irrompibles con la tecnología disponible, la única forma de recuperar los archivos cifrados es restaurar los datos desde una copia de seguridad (si está disponible) o pagar la demanda aleatoria.
El ransomware se ha convertido en uno de los tipos de malware más visibles y prolíficos, y la pandemia de COVID-19 proporcionó un entorno en el que este tipo de malware ha prosperado. En los últimos años, algunas variantes de ransomware también han evolucionado para realizar ataques de “doble extorsión”. Maze, Sodinokibi/REvil, DopplelPaymer, Nemty y otras variantes de ransomware roban copias de archivos antes del cifrado y amenazan con violarlas si el usuario se niega a pagar la demanda de rescate. Si bien esta tendencia comenzó a fines de 2019 con Maze, ha seguido creciendo a medida que más grupos la adoptaron a lo largo de 2020.
El ransomware es un tipo de malware , pero está lejos de ser el único. El malware se presenta en una variedad de formas diferentes y puede usarse para lograr varios objetivos diferentes. Las variantes de malware pueden diseñarse para hacer cualquier cosa, desde recopilar y robar información confidencial hasta presentar anuncios no deseados y causar daños permanentes a una máquina infectada.
Los tipos de malware más comunes varían de un año a otro a medida que los diferentes tipos de ataques se vuelven más o menos rentables para los atacantes. En 2020, las formas más comunes de malware incluyeron:
Si bien la lista de los “seis principales” tipos de malware se mantiene constante en todo el mundo, el porcentaje de malware de cada tipo varía de una región geográfica a otra.
Por ejemplo, como se describe en el informe Cyberataque Trends: 2020 Mid-Year Report de Check Point, la región EMEA es la única donde el malware botnet es más común que el malware dirigido a dispositivos móviles. En otras regiones, las clasificaciones se mantienen constantes, pero los porcentajes relativos pueden variar.
Las soluciones antivirus suelen intentar detectar malware en un dispositivo inspeccionando cada archivo del dispositivo en busca de signos de contenido malicioso. El malware sin archivos intenta eludir este enfoque de detección de amenazas al no utilizar un archivo. En cambio, el malware se implementa como un conjunto de comandos para funciones integradas en la computadora infectada. Esto permite que el malware alcance los mismos objetivos, pero puede dificultar su detección para algunas soluciones defensivas.
El principal diferenciador del malware sin archivos es su falta de archivos; Realiza muchas de las mismas funciones que el malware tradicional. Por ejemplo, FritzFrog, un malware de botnet peer-to-peer (P2P) sin archivos detectado en agosto de 2020 , está diseñado para infectar sistemas y extraer criptomonedas.
El phishing es uno de los métodos más comunes que utilizan los atacantes para obtener acceso a un sistema objetivo. A menudo, es más fácil engañar a un usuario para que haga clic en un enlace malicioso o abra un archivo adjunto que localizar y explotar con éxito una vulnerabilidad en la red de una organización. Los ataques de phishing pueden lograr diversos objetivos, incluido el robo de credenciales, la entrega de malware, el fraude financiero y el robo de datos confidenciales.
Históricamente, el phishing ha sido el método más común para que los ciberatacantes lancen una campaña debido a su facilidad de uso y su alta tasa de éxito. Durante la pandemia de COVID-19, esta tendencia solo se aceleró ya que los ciberdelincuentes se aprovecharon de los empleados que trabajan desde fuera de la oficina y del clima de incertidumbre respecto al virus.
La pandemia de COVID-19 también amplificó el efecto de los señuelos de phishing comunes. Por ejemplo, el Black Friday y el Cyber Monday son un pretexto comúnmente explotado para los phishing, y el aumento de las compras en línea debido al COVID-19 lo hizo especialmente efectivo en 2020. Como resultado, el volumen de correos electrónicos de phishing se duplicó en las semanas previas al Black Friday y Cyber Monday en comparación con el comienzo del mes anterior.
Muchos protocolos de red están protegidos contra intrusos mediante cifrado, lo que hace que el tráfico sea imposible de leer. Un ataque Man-in-the-Middle (MitM) pasa por encima de estas protecciones al romper una conexión en dos partes. Al crear una conexión separada y encriptada con el cliente y el servidor, un atacante puede leer los datos enviados a través de la conexión y modificarlos como desee antes de reenviarlos a su destino.
Los ataques MiTM pueden ser derrotados usando protocolos como HTTPS. Sin embargo, el auge de los dispositivos móviles hace que este sea un vector de ataque más peligroso. Las aplicaciones móviles brindan poca o ninguna visibilidad a sus usuarios con respecto a sus conexiones de red y pueden estar utilizando protocolos de comunicación inseguros que son vulnerables a ataques MitM.
Muchas organizaciones centran sus esfuerzos de ciberseguridad en las computadoras, pero los dispositivos móviles son una amenaza creciente para la ciberseguridad de una organización. A medida que los empleados utilizan cada vez más dispositivos móviles para realizar su trabajo y acceder a datos confidenciales de la empresa, las aplicaciones móviles maliciosas son cada vez más peligrosas. Estas aplicaciones pueden hacer cualquier cosa que el malware de escritorio pueda hacer, incluido robar datos confidenciales, cifrar archivos con ransomware y más.
En 2020, el malware móvil fue el segundo tipo de malware más común en todo el mundo. Las variantes de malware móvil más comunes, incluidas xHelper, PreAMo y Necro, son troyanos con funcionalidades adicionales, incluido el fraude publicitario y el fraude de clics. El malware móvil suele aprovechar las vulnerabilidades de los sistemas operativos móviles, como la vulnerabilidad de ejecución remota de código (RCE) corregida en un lote de 43 parches de seguridad de Android en enero de 2021.
La infraestructura de TI y los servicios de las organizaciones (como aplicaciones web, correo electrónico, etc.) son fundamentales para su capacidad de hacer negocios. Los ataques de denegación de servicio (DoS) están diseñados para denegar el acceso a servicios críticos. Esto se puede lograr explotando una vulnerabilidad en una aplicación (haciendo que falle) o inundando un sistema con más datos o solicitudes de los que es capaz de gestionar (haciéndolo incapaz de manejar solicitudes legítimas). En algunos casos, los atacantes realizarán un ataque ransom DoS en el que se exige el pago de un rescate para detener un ataque en curso o prevenir uno amenazado.
Durante el trabajo remoto y el aprendizaje impulsados por la pandemia de COVID-19, las soluciones de acceso remoto fueron un objetivo importante de los ataques DoS. Y durante el año escolar 2020-2021, los ataques DoS distribuidos (DDoS) contra el sector educativo aumentaron dramáticamente. Estos ataques intentaron inutilizar los servicios de aprendizaje remoto o solicitaron ransomware para prevenir o detener los ataques.
El software contiene debilidades y vulnerabilidades, y muchas de estas vulnerabilidades llegan a producción, donde son potencialmente explotables por los atacantes. Estas vulnerabilidades de producción son descubiertas internamente en la empresa, por investigadores de seguridad externos o por ciberatacantes.
En el tercer caso, los ciberatacantes pueden aprovechar estas vulnerabilidades de “día cero” en el sistema. Hasta que la organización logre parchear la vulnerabilidad (haciéndola segura), todos los usuarios del sistema son potencialmente vulnerables a los ataques.
En 2020, una de las vulnerabilidades de día cero más famosas fue Zerologon, que afectó a los controladores de dominio (DC) de Windows. Los atacantes que aprovecharan esta vulnerabilidad podrían obtener control total sobre la red administrada por el DC vulnerable. Los ciberdelincuentes estaban explotando activamente esta vulnerabilidad antes de que muchas organizaciones la parchearan, lo que provocó directivas de seguridad de emergencia del gobierno de EE. UU. para que las agencias gubernamentales aplicaran el parche de inmediato.
Esta lista de las principales amenazas no es exhaustiva y no cubre todas las amenazas activas a la ciberseguridad empresarial. Ejemplos de otras amenazas comunes de ciberseguridad incluyen:
Si bien estos ataques potenciales no figuran en la lista de las amenazas cibernéticas más comunes y peligrosas, aún representan un riesgo significativo. Las soluciones de seguridad empresarial también deben incluir la capacidad de detectar, prevenir y remediar ataques utilizando estos vectores.
La ciberseguridad empresarial se ha vuelto más difícil con el aumento del trabajo remoto impulsado por COVID-19. En lugar de una fuerza laboral mayoritariamente in situ, los equipos de seguridad ahora necesitan proteger a los empleados que trabajan desde casa (potencialmente en dispositivos de propiedad personal).
Estos sistemas conectados directamente a la red personal y a la Internet pública son más vulnerables a los ataques. Como resultado, la seguridad de los terminales (tanto en computadoras como en dispositivos móviles) es una prioridad aún mayor que antes para la ciberseguridad empresarial.
Con la amplia gama de amenazas potenciales a la ciberseguridad, las organizaciones requieren una solución de detección y respuesta de terminales capaz de detectar y proteger todos los dispositivos de sus empleados contra las principales amenazas cibernéticas. Para conocer las características que debe buscar en una plataforma de seguridad de terminales, consulte estas guías del comprador sobre protección de terminales y seguridad de dispositivos móviles.
Check Point Harmony Endpoint y Harmony Mobile ofrecen protección integral de terminales y dispositivos móviles para toda la fuerza laboral remota de una organización. Esto incluye protección contra malware, ataques basados en web y otros riesgos importantes de ciberseguridad. Para comprobar usted mismo cómo Check Point Harmony Endpoint y Harmony Mobile pueden proteger su organización contra las ciberamenazas, solicite una demostración gratuita.