Cinco tendencias sobre ciberamenazas para tener en cuenta

En 2020, vimos un giro distinto en el panorama de las ciberamenazas, con el ransomware convirtiéndose en la principal amenaza para la ciberseguridad de las organizaciones. La pandemia del COVID-19 también obligó a las organizaciones a cambiar rápidamente su modo de operar, creando nuevas oportunidades para los actores de las amenazas en el proceso. El trabajo remoto implicó que, amenazas relacionadas con acceso e infraestructura fuera de las instalaciones pasarán a un primer plano, trayendo consigo nuevos retos en la seguridad de las organizaciones.

Las investigaciones en materia de inteligencia sobre amenazas y ciberataques son la base de nuestros servicios de seguridad, estas son utilizadas por organizaciones del sector público y privado proporcionando conocimiento sobre las situaciones e informando sobre la ciberseguridad. En PwC nos especializamos en brindar soluciones necesarias para ayudar a los clientes a resistir, detectar y responder a los ciberataques avanzados.

Daniel Ortiz, Director de CiberseguridadPwC Colombia

Cada año en PwC nuestros equipos de ciberseguridad y privacidad reconocen las tendencias más importantes del año relacionadas con ciberamenazas, explorando su amplio impacto en las organizaciones, negocios y sociedad. 

Hemos destacado cinco tendencias que creemos continuarán siendo prominentes en el tiempo, junto con la forma en que debes enfrentarlas.

 

1.Ransomware

Mientras que el ransomware fue la mayor amenaza en 2019, los protagonistas se hicieron públicos en 2020. Muchos ahora roban datos de sus víctimas antes de encriptar sus archivos y anunciar que los han comprometido en sitios públicos. Luego fijan un plazo en el que debe pagar el rescate y, si las víctimas se niegan, publican los datos robados en estos sitios, lo que añade problemas de protección de datos y normativos al reto de restablecer las operaciones tras un ataque.

El uso de sitios de filtración ha ejercido una fuerte presión sobre las víctimas para que paguen las peticiones de rescate y ha proporcionado una clara visión del ritmo operativo de muchos actores de amenazas de ransomware. La escala e intensidad de los incidentes en 2020 fueron sorprendentes, con el ransomware dominando el panorama de las ciberamenazas en todos los sectores industriales.

El número de actores de ransomware también aumentó significativamente el año pasado. La rentabilidad percibida de los ataques de ransomware operados por humanos ha atraído a nuevos actores, y los delincuentes establecidos han añadido el ransomware a sus carteras.

Es probable que el ransomware operado por humanos siga creciendo como amenaza. Las organizaciones que aún no hayan tomado medidas para comprender y reducir su vulnerabilidad a estos ataques deberían actuar ahora. 

 

2.Usar los asuntos actuales como carnada

La suplantación de identidad no es una táctica nueva: tanto los delincuentes como los actores de amenazas de espionaje utilizan regularmente los temas de actualidad para atraer a los destinatarios y que estos hagan clic en un enlace malicioso o descarguen contenido nocivo. En 2020, las noticias relativas a la pandemia de COVID-19 no fueron una excepción, y muchos actores de amenazas adaptaron rápidamente su material para incorporar temas relacionados con la pandemia en sus campañas.

Estos señuelos coincidían con las "etapas" de la pandemia que se veían en las noticias. Al principio, ofrecían consejos sobre cómo mantenerse a salvo y la disponibilidad de productos como mascarillas y kits de pruebas, pasando a noticias sobre vacunas y trabajo remoto. A medida que se desplegaron los planes de ayuda financiera, observamos sitios web falsos diseñados para obtener credenciales o información personal. Los actores de las amenazas continúan sacando provecho de la pandemia en 2021 (y esto se prevé no cambiará en 2022), con informes de ciberdelincuentes que utilizan correos electrónicos de phishing y mensajes de texto en los que se solicitan datos de pago para recibir una vacuna.

El escepticismo saludable es el amigo de la lucha contra el phishing. Las organizaciones deben recordar a sus empleados lo que deben buscar e identificar en un correo electrónico o sitio web de phishing, como enlaces o archivos adjuntos sospechosos, direcciones de origen desconocidas y solicitudes inesperadas que se salen de las prácticas comerciales normales. Los ejercicios de prueba regulares también ayudan a mantener al personal alerta.

 

3.Ataques a la cadena de suministro

El compromiso de la cadena de suministro sigue siendo un factor de ataque prominente, con varios incidentes de alto perfil. En algunos casos, los actores de múltiples ataques comprometen a la misma entidad "proveedora" de forma independiente, complicando el alcance, la respuesta y la atribución de los incidentes.

Uno de los incidentes más destacados, Solorigate, fue un claro recordatorio de la vulnerabilidad de las cadenas de suministro. El producto de monitorización de TI SolarWinds "Orion" fue atacado con un malware no documentado previamente, conocido como SUNBURST. Se distribuyó a 18.000 clientes a través del mecanismo de actualización legítimo de SolarWinds y se utilizó para atacar a un pequeño número de organizaciones de interés específico para el actor del crimen.

El actor de la amenaza que desarrolló SUNBURST mostró un alto nivel de sofisticación y permaneció bajo el radar durante meses. A raíz de esto, las organizaciones deberían preguntarse sobre los privilegios de acceso y si están dando demasiado margen a la gestión de TI y de seguridad. También deberían evaluar si sus capacidades de detección de amenazas pueden identificar la actividad maliciosa en su entorno y si es posible hacer algún cambio en los sistemas de gestión de identidades y accesos para detectar el abuso de los accesos de confianza o privilegiados.

 

4.Ingeniería social

Los actores de las amenazas siguen perfeccionando sus técnicas de ingeniería social y se han vuelto más audaces a la hora de relacionarse con los objetivos. Las plataformas y redes sociales se utilizan no sólo para el relacionamiento, sino también para interactuar directamente con los objetivos a través de múltiples medios.

Nuestro análisis demostró que varios agentes de amenazas utilizan LinkedIn para encontrar objetivos y relacionarse con ellos. Creando perfiles de reclutadores falsos y construyendo confianza con sus víctimas, a veces durante un período de semanas o meses de interacción. Una vez establecida, la conversación se trasladaba a otros medios de comunicación, como WhatsApp, el correo electrónico e incluso las llamadas telefónicas. Las víctimas son engañadas para que abran archivos adjuntos maliciosos disfrazados de especificaciones de trabajo que contienen el malware.

El error humano sigue siendo una gran vulnerabilidad para cualquier defensa de la ciberseguridad, y esperamos que los individuos sigan siendo el objetivo para obtener acceso. Las organizaciones deben tratar de crear una cultura de seguridad y asegurarse de que toda su plantilla, independientemente de su función, adopte los comportamientos y actitudes de seguridad necesarios para mantener la seguridad de la organización.

 

5.El auge de los defensores

Aunque las tendencias mencionadas pueden parecer desalentadoras, el año pasado hubo algunas buenas noticias. Las entidades del sector público, los poderes legislativos y las organizaciones del sector privado han ido afinando sus estrategias cibernéticas y coordinando sus esfuerzos para hacer frente a la ciberactividad maliciosa. Las sanciones y las acusaciones han sido un elemento cada vez más importante a la hora de disuadir y desbaratar la ciberactividad maliciosa. En 2020, el Consejo Europeo impuso su primera ronda de sanciones restrictivas (incluida la prohibición de viajar y la congelación de activos) contra múltiples personas y entidades en respuesta a incidentes cibernéticos mundiales.

Las empresas del sector privado también están tomando medidas para cortar la infraestructura clave de los operadores, interrumpiendo su capacidad para realizar nuevas infecciones o comunicarse con los hosts comprometidos existentes. Aunque los actores de las amenazas continuarán en última instancia realizando sus operaciones, está claro que el desmantelamiento de la infraestructura clave de los actores de las amenazas puede causar una interrupción significativa de sus operaciones.

Tanto el sector público como el privado se han vuelto cada vez más audaces en cuanto a la atribución y a la disposición a compartir información. Como mínimo, la atribución pública sirve como advertencia de que esta actividad no ha pasado desapercibida y genera una mayor conciencia del panorama de las ciberamenazas, y una mayor oportunidad para los esfuerzos de defensa.

 

Nota: 

La traducción del texto original en inglés publicado en pwc.com es organizada y revisada por PwC Colombia

 
 

 

Síguenos PwC Colombia