La generalización de modelo híbrido de trabajo se está imponiendo, de hecho, el 68% de los empleados de todo el mundo prefiere este tipo de modalidad de trabajo, según el Foro Económico Mundial. Esto influye en la manera en la que se entiende la ciberseguridad, puesto que los empleados ya no se encuentran al amparo de la red y sistemas de seguridad corporativos.
Partiendo de esta base, Trend Micro Incorporated, proveedor global en ciberseguridad, habla de la aparición de un nuevo perímetro conformado por tres elementos: identidades, haciendo referencia a las credenciales que emplean los usuarios para acceder a distintos servicios; los dispositivos utilizados con dichas identidades para interactuar con Internet o aplicaciones corporativas; y los servicios cloud donde se alojan los servicios corporativos a los que acceden los usuarios.
Este nuevo perímetro necesita ser analizado continuamente para identificar sus potenciales puntos débiles y subsanarlos de manera inmediata, ya que los ciberdelincuentes, cada vez más profesionales y eficientes en sus actividades, atacan a las organizaciones por diversos canales de manera creativa, empleando nuevas técnicas y tácticas de ataque muy persistentes. Entre ellas, se encuentra el malware de día cero, ataques de phishing y spear-phishing para robo de credenciales que serán explotadas en fases posteriores, ataques “living of the land” que emplean herramientas legítimas o ataques a vulnerabilidades no parcheadas.
“La naturaleza distribuida de la fuerza de trabajo ha empujado a los empleados a colaborar y comunicarse online ahora más que nunca. Y, a pesar del auge de distintas herramientas de mensajería instantánea y comunicación en la última década, el correo electrónico sigue siendo el medio más popular de comunicación”, explica José de la Cruz, director técnico de Trend Micro Iberia. “Por desgracia, también se utiliza cada vez más como vector de ataque para la distribución de malware”.
El 55% de los ataques recibidos llegan por email
De acuerdo con el informe, “Email Threat Report: Tácticas y técnicas cibercriminales que las organizaciones deben conocer”, Trend Micro bloqueó más de 146.000 millones de amenazas dirigidas a sus clientes a lo largo del pasado año, de las cuales el email representó el 55%, lo que le convierte en el mayor vector de ataques. Traducido a números, la compañía bloqueó más de 79.900 millones de amenazas en 2022 solo de correo electrónico, un 14% más que en 2021; de las que 39,9 millones eran de alto riesgo y pasaron por alto los filtros nativos de los proveedores de email, tal y como se desprende de los datos extraídos de la plataforma Trend Micro™ Cloud App Security (CAS), la solución de seguridad que complementa la seguridad integrada de los proveedores de correo electrónico.
Un dato a destacar fue el uso de adjuntos de malware conocido frente al desconocido. Mientras el primero es fácil de detectar -se observó un descenso en su uso del 32%-, el malware desconocido es de nueva creación, de hora cero y como tal, es más difícil de detectar y defenderse contra él.
CAS identificó y bloqueó 4.263.650 archivos maliciosos en 2022, lo que supone un aumento del 29% respecto a las cifras de 2021. El número de archivos de malware desconocidos también experimentó un crecimiento hasta los 3.757.812, es decir, un 46% más.
“Resulta llamativo que las herramientas colaborativas no superen al correo electrónico como principal vector de ataque. Esto se debe a que no es tan barato y sencillo atacarlas, pues es necesario robar credenciales previamente, eludir los sistemas de doble factor de autenticación de las empresas, etc., como lo es el correo electrónico”, subraya el director técnico de Trend Micro. “Estas cifras deben invitar a reflexionar a las organizaciones para que comprendan mejor el panorama de alto riesgo y en constante cambio al que están expuestas”.
Tras el email están las identidades, las vulnerabilidades no parcheadas, los ataques a endpoints y los entornos OT/IoT como puntos clave de ataque, según el informe de Trend Micro.
Los ataques BEC generan mayores pérdidas que el ransomware
El estudio de Trend Micro también apunta a una disminución del 42% en los archivos adjuntos de ransomware. Sin embargo, cabe destacar que las detecciones por Business Email Compromise (BEC) aumentaron a 383.928 en 2022, un crecimiento del 35%. El número de ataques BEC detectados a través de la herramienta basada en IA, Writing Style DNA, ascendió a 134.894, lo que representa un crecimiento del 1%, mientras que los detectados a través del motor antispam ascendieron a 249.034, lo que supone un enorme aumento del 66%.
Estas cifras resultan alarmantes, y es que los ataques BEC se han convertido en una amenaza que el FBI ha clasificado como más grave incluso que el ransomware, ya que las pérdidas de miles de millones que está generando superan con creces las del ransomware.
La particularidad de estos ataques es que no contienen enlaces ni archivos adjuntos que permitan identificarlos fácilmente. Los BEC, que se basan en gran medida en tácticas de ingeniería social o intrusión, siguen siendo una opción de ataque muy lucrativa para los actores maliciosos. Según el Informe sobre Delitos en Internet en 2022 del Centro de Denuncias de Delitos en Internet (IC3) del FBI, la oficina recibió 21.832 denuncias relacionadas con BEC con pérdidas ajustadas de más de 2.700 millones de dólares.
La ciberdelincuencia también está evolucionando gracias a las nuevas tecnologías basadas en IA. A finales del año pasado, ya los analistas de seguridad también expresaron su preocupación por cómo ChatGPT, de OpenAI, puede ayudar a democratizar la ciberdelincuencia, permitiendo que incluso el más inexperto de los actores maliciosos se haga con copias convincentes de BEC y correos electrónicos de phishing o incluso cree código malicioso.
Phishing de credenciales
Otra área en la que se han detectado muchas amenazas desconocidas es en los ataques de phishing de credenciales. Hoy en día, los ataques BEC proceden en mayor medida de cuentas de correo electrónico sustraídas mediante el robo de credenciales, una amenaza muy empleada por los actores maliciosos en muchos de sus ataques.
En 2022, la compañía bloqueó más de 22 millones de correos electrónicos de phishing, lo que representa un aumento del 29% con respecto a 2021.
Cómo mitigar los riesgos: ABC de la ciberseguridad
El viejo paradigma de la seguridad, que consistía en utilizar soluciones de varios proveedores para protegerse de una posible detección, ha quedado obsoleto. Se necesita una solución que pueda detectar amenazas desconocidas o, como mínimo, identificar rápidamente que algo va mal.
En base a la complejidad y sofisticación de los ataques observados, del grado de profesionalización de los ciberdelincuentes y de la transformación del método de trabajo de los empleados, desde Trend Micro se propone como modelo a seguir el denominado enfoque ABC de la ciberseguridad.
Este ABC se corresponde con:
- Análisis de la postura de seguridad: identificar en el nuevo perímetro cuáles son los puntos débiles de la organización. Esto debe llevarse a cabo de manera continua
- Bloqueo y detección de amenazas: detectar y bloquear los ataques de manera temprana antes de que lleguen a convertirse en un incidente serio
- Controlando y automatizando la respuesta para que esta sea lo más rápida y eficiente
Esta estrategia ABC se corresponde con la tecnología XDR, Vision One, de Trend Micro.
Para leer el Informe anual de Trend Micro sobre las Amenazas de Seguridad de las Aplicaciones en la Nube, visita: https://www.trendmicro.com/vinfo/us/security/research-and-analysis/threat-reports/roundup/annual-trend-micro-email-threats-report (no requiere registro).