Los últimos dos años han estado lejos de ser normales, tanto para la ciberseguridad como para los negocios en general. La pandemia de COVID-19 ha cambiado permanentemente la forma en que se hacen los negocios, y los ciberdelincuentes se han adaptado a estos cambios, adaptando sus tácticas a la nueva realidad.
Si bien 2020 y 2021 han sido años excepcionales para los ataques cibernéticos, hay pocos indicios de que las cosas volverán a la “normalidad” en 2022. Los actores de amenazas cibernéticas han probado nuevas tácticas y técnicas, las han encontrado exitosas y las han agregado a su arsenal central.
En 2021, varias campañas de ciberataques y actores de amenazas cibernéticas se convirtieron en nombres conocidos, ya que los impactos del ciberataque se sintieron mucho más allá de sus empresas objetivo. El panorama moderno de amenazas se compone de ataques más grandes, llamativo y de mayor impacto a medida que el cibercrimen se profesionaliza cada vez más y los actores de amenazas cibernéticas buscan extraer el máximo valor o impacto de sus ataques.
A continuación, analizamos más de cerca los principales desafíos que enfrentaron las empresas hasta 2021 y lo que pueden esperar en 2022.
Descargar Informe de seguridad 2022 Regístrese para un chequeo de seguridad gratuito
Cada año, ciertas amenazas crecen rápidamente a medida que los ciberdelincuentes enfocan sus esfuerzos en una técnica de ataque particularmente efectiva o lucrativa, como ransomware o criptojacking. Sin embargo, una de las tendencias más preocupantes en 2021 fue el crecimiento de la ciberdelincuencia en todos los ámbitos.
En 2021, el número total de cyberattacks aumentó en un 50% año tras año. Sin embargo, ciertas áreas se vieron más afectadas que otras, ya que la educación, la investigación y la atención médica fueron las más afectadas por los daños. Esto indica un enfoque de los actores de amenazas cibernéticas en las áreas que cada vez dependen más rápidamente de la tecnología y están menos preparadas para protegerse contra las amenazas cibernéticas.
Un crecimiento tan rápido en los ataques es un mal augurio para 2022. A medida que los actores de las amenazas cibernéticas refinen sus técnicas y aprovechen el aprendizaje automático y la automatización, es probable que el número y los impactos de los ataques aumenten.
Ataques a la cadena de suministro saltó a la fama a fines de 2020, creció hasta 2021 y es probable que sigan siendo una amenaza importante en 2022. En diciembre de 2020, el descubrimiento del hackeo de SolarWinds lideró esta tendencia.
Los actores de amenazas comprometieron el entorno de desarrollo de SolarWinds e insertaron un código de puerta trasera en su producto de monitoreo de red Orion. El descubrimiento del malware Sunburst inició una investigación ampliada que descubrió no solo los detalles del hack de SolarWinds sino también múltiples variantes de malware y una campaña de ataque que afectó a más de 18.000 organizaciones de los sectores público y privado.
SolarWinds dio inicio a un aumento en los ataques a la cadena de suministro que continuaron a lo largo de 2021 y hasta 2022. Otro exploit de alta visibilidad en la cadena de suministro en 2021 fue el ataque Kaseya, que aprovechó las relaciones entre los proveedores de servicios gestionados (MSP) y los clientes para distribuir ransomware utilizando el software de gestión y supervisión remota de los MSP. Unos meses después, un atacante con acceso a la cuenta npm de una biblioteca ampliamente utilizada (ua-parser.js), modificó el código para que se instalara malware en los sistemas de cualquiera que descargara y usara la versión maliciosa de la biblioteca.
Si bien estos y otros ataques a la cadena de suministro de 2021 tuvieron un impacto de gran alcance, el más famoso es probablemente la explotación del Vulnerabilidad de día cero Log4J. Log4J es una biblioteca de registro de Apache ampliamente utilizada y la vulnerabilidad de día cero permitió que un atacante que pudiera controlar el contenido de los mensajes de registro o sus parámetros lograra ejecución remota de código. Esta falla "Log4Shell" fue ampliamente explotada y Check Point Research detectó alrededor de 40.000 intentos de ataque a las dos horas de hacerse público y más de 830.000 intentos en los primeros tres días.
Los ataques de alto perfil a la cadena de suministro de 2021 han demostrado que es un vector de ataque viable y potencialmente rentable para los actores de amenazas cibernéticas. A partir de 2022, es probable que los actores de amenazas cibernéticas amplíen su uso de los ataques a la cadena de suministro para amplificar el alcance y el impacto de sus ataques.
La pandemia de COVID-19 impulsó un cambio dramático en la forma en que se hicieron los negocios. En lugar de que los empleados trabajen principalmente desde la oficina corporativa, un porcentaje mucho mayor de la fuerza laboral trabaja de forma remota y es probable que continúe haciéndolo en el futuro previsible.
La pandemia dio inicio a pandemia cibernética ya que los actores de ciberamenazas se adaptaron y aprovecharon los cambios en las operaciones corporativas de TI. El aumento del trabajo remoto convirtió a las computadoras de los empleados (a menudo dispositivos personales) en la primera línea de defensa de una empresa, y el aumento en la adopción de la nube para respaldar a la fuerza laboral remota y cumplir con los objetivos de transformación digital creó nuevos vectores de ataque para los actores de amenazas cibernéticas.
Dos años después de la pandemia, poco ha cambiado. Muchas empresas todavía admiten una fuerza laboral total o mayoritariamente remota, y la adopción de la nube continúa creciendo. A medida que los ciberdelincuentes continúan aprovechándose de la vulnerabilidad y las brechas de seguridad causadas por esta rápida transformación de TI, las empresas luchan por asegurar sus sistemas y proteger los datos corporativos y de los clientes.
Con el cambio hacia el trabajo remoto inspirado por la pandemia, se produjo una rápida adopción de infraestructura y servicios basados en la nube. Las soluciones de software como servicio (SaaS) cerraron brechas cruciales, como la necesidad de reuniones en línea y de compartir archivos, y la infraestructura basada en la nube fue más accesible y más fácil de administrar para una fuerza laboral remota.
Desde el rápido cambio hacia lo remoto y la nube en 2020, las empresas han tenido la oportunidad de solucionar muchos de los mayores problemas de seguridad causados por una transición rápida con poca o ninguna planificación previa. Sin embargo, algunos Seguridad en la nube Aún persisten brechas, y los actores de las amenazas cibernéticas continúan trabajando para superar al personal de seguridad en el aprovechamiento del nuevo papel vital que desempeña la computación en la nube en las empresas modernas.
Muchos de estos ataques tienen como objetivo vulnerabilidades en la propia infraestructura de la nube, lo que permite a un atacante explotar muchos objetivos con una sola vulnerabilidad. En septiembre de 2021 se descubrió la vulnerabilidad OMIGOD. La explotación de los agentes de software de infraestructura de gestión abierta (OMI) de Microsoft integrados en las máquinas virtuales de Azure podría haber permitido ataques contra hasta el 65 % de los clientes de Azure hasta que se parcheó.
OMIGOD no fue el único problema de seguridad descubierto en Azure en 2021. La vulnerabilidad ChaosDB descubierta en agosto proporcionó un control total sobre los recursos en la nube de los clientes de Azure Cosmos DB a través de una clave comprometida. Azurescape apuntó a la oferta de Contenedor como Servicio (CaaS) de Azure y permitió la explotación de los clústeres de Kubernetes de otros clientes dentro del mismo público. Servicio en la nube. Si bien Azurescape fue parcheado antes de que fuera explotado, las posibles consecuencias podrían haber sido significativas.
Azure no es el único servicio en la nube que sufrió vulnerabilidades y ataques en 2021. Una vulnerabilidad en Compute Engine (GCE) de Google, utilizado en la oferta de infraestructura como servicio (IaaS) de Google nube, podría haber permitido adquisiciones completas de máquinas virtuales alojadas. El contrabando de encabezados HTTP puede atacar la API puerta de enlace de AWS y Cognito (proveedor de autenticación) para evadir restricciones de acceso y realizar envenenamiento de caché. Un error de configuración en los permisos de AWS podría permitir que el personal de soporte de AWS lea los datos almacenados en los depósitos de S3 en lugar de solo los metadatos.
Una mayor adopción de la nube conlleva un mayor escrutinio, tanto por parte de piratas informáticos éticos como de actores de amenazas cibernéticas. El ejemplo de 2021 muestra que es probable que se descubran más problemas de seguridad en la nube en 2022 y más allá.
El ransomware saltó a la fama con la WannaCry brote en 2017. Desde entonces, han surgido muchos grupos de ransomware, lo que lo convierte en una amenaza costosa y preocupante para todas las empresas.
En 2021, los grupos de ransomware demostraron su capacidad y voluntad de impactar a las organizaciones más allá de sus objetivos directos. El hackeo de Colonial Pipeline es el ejemplo más obvio de esto, ya que el grupo de ransomware Dark Side provocó el cierre durante una semana de uno de los principales oleoductos que dan servicio a la costa este de EE. UU.
Sin embargo, Colonial Pipeline, aunque posiblemente sea el ataque de ransomware más visible de 2021, está lejos de ser el único. Otro ataque en el mismo mes se dirigió a JBS S.A., la compañía de procesamiento de carne más grande del mundo. Este ataque tuvo impactos internacionales, causando el corte de plantas en los Estados Unidos y matatorios en Australia que resultaron en cancelaciones de 3,000 turnos de trabajadores y bajas de 7,000 empleados.
Más allá de estos ataques de alto perfil, los grupos de ransomware también apuntaron fuertemente a los sectores de educación y salud. Estos ataques provocaron el cierre de escuelas, la pérdida de información educativa y de atención médica confidencial y el retraso de los procedimientos médicos electivos y que no son de emergencia. Múltiples ataques de hacktivistas causaron perturbaciones públicas en Irán al atacar ferrocarriles y estaciones de servicio.
Los ataques de ransomware han demostrado ser eficaces y rentables para los atacantes. A menos que esto cambie, seguirán siendo una amenaza cibernética líder para las organizaciones.
Otro impacto del cambio al trabajo remoto fue la adopción generalizada de políticas de Traiga su propio dispositivo (BYOD). Al permitir que los empleados trabajen desde dispositivos personales, las empresas pueden haber mejorado la productividad y la retención de empleados, pero también han perdido visibilidad de seguridad vital y la capacidad de responder a infecciones que amenazan los sistemas y soluciones corporativos.
El aumento en el uso de dispositivos móviles también ha hecho que las herramientas de ciberespionaje como Pegasus sean más efectivas y peligrosas. Desarrollado por NSO Group, el malware utiliza varios exploits sin clic para obtener acceso al dispositivo objetivo antes de apoderarse de él y recopilar datos de diversas fuentes (mensajes de texto, teléfono, correo electrónico, etc.). Pegasus está oficialmente disponible solo para los gobiernos, las fuerzas del orden, etc., pero tiene un historial de abuso para atacar a periodistas, activistas, funcionarios gubernamentales y ejecutivos de negocios. Inspirado por el éxito de Pegasus, Cytrox, un país de Macedonia del Norte, ahora ofrece una herramienta similar llamada Predator, y es probable que esta amenaza también se extienda a los actores comunes de ciberamenazas.
En 2021, los ciberdelincuentes adaptaron sus tácticas para aprovechar la creciente adopción de dispositivos móviles. Han surgido varios troyanos de malware móvil, incluidos FlyTrap, Triada y MasterFred. Estos troyanos móviles aprovechan las redes sociales, los débiles controles de seguridad de las tiendas de aplicaciones y técnicas similares para obtener acceso y los permisos necesarios en el dispositivo objetivo.
Mobile malware y los actores de amenazas cibernéticas también han adoptado tácticas de smishing, enviando contenido de phishing a través de mensajes SMS en lugar de correo electrónico. La botnet FluBot Android es famosa por esto, incluso usando un mensaje de texto sobre una infección falsa FluBot para propagarse. Los ataques de smishing se han popularizado porque requieren pocas habilidades técnicas y son relativamente económicos; los kits de phishing se venden por entre 50 y 100 dólares estadounidenses.
Los dispositivos móviles se han convertido en un nuevo frente en la lucha contra el ciberdelito. Para el negocio moderno, Seguridad móvil es una parte clave de una estrategia corporativa de ciberseguridad.
2021 demostró que los actores de amenazas cibernéticas están adaptando sus técnicas para adaptarse a un mundo cambiante y reflejar una industria en maduración. En lugar de permanecer en las sombras, los ciberdelincuentes están llevando a cabo ataques masivos a la cadena de suministro con impactos globales, perturbando industrias clave con ataques de ransomware y adaptando sus tácticas a una fuerza laboral cada vez más móvil y centrada en la nube.
En 2022, las empresas pueden esperar enfrentar ataques sofisticados dirigidos a cada parte de su infraestructura de TI, especialmente donde es más débil. Las empresas carecen de visibilidad y control cruciales en la nube y en los dispositivos BYOD, por lo que esos son los principales objetivos de los ciberdelincuentes.
Defenderse de las campañas modernas de amenazas cibernéticas requiere la capacidad de responder rápida y correctamente a los ataques que evolucionan rápidamente y que pueden atacar cualquier lugar dentro de la infraestructura de TI de una organización. Las organizaciones necesitan visibilidad de seguridad integral, acceso a inteligencia sobre amenazas en tiempo real y una arquitectura de seguridad integrada que pueda respaldar la prevención y respuesta automatizada y coordinada en toda la infraestructura de TI corporativa.
Aprenda cómo desarrollar la inmunidad de su organización al ciberataque y las amenazas modernas de quinta generación adoptando las estrategias y recomendaciones del Reporte de Ciberseguridad 2023 hoy. Comience a abordar el problema identificando los puntos ciegos y puntos débiles de seguridad de su empresa con Chequeo de seguridad de Check Point.