Las amenazas de la Red son cada vez más difíciles de detectar ya que los cibercriminales realizan sus ataques de forma focalizada y persistente. Estos ataques se han duplicado en el segundo semestre de año, según un informe de Cisco.
Las amenazas en Internet son cada vez más difíciles de detectar por lo que han crecido más del doble durante el segundo trimestre de 2011, según desvela un informe de seguridad realizado por Cisco correspondiente a este periodo. Se ha pasado de las 105 mil 536 infecciones registradas en marzo a las 287 mil 298 del mes de junio. Las empresas se toparon con una media de 335 infecciones web mensuales durante la primera mitad año, con los mayores picos registrados en marzo (455) y abril (453) y siendo las compañías de gran tamaño, con una plantilla de entre 5 mil y 10 mil empleados y las que superan los 25 mil, las más afectadas.
Según señala Pilar Santamaría, directora de Desarrollo de Negocio y Ciberseguridad para la Región Mediterránea de Cisco, “durante los seis primeros meses de 2011 se han confirmado dos tendencias: un importante crecimiento de ataques dirigidos a empresas con el fin de obtener información confidencial o acceder a propiedad intelectual y la proliferación de amenazas avanzadas y persistentes (APT, Advanced Persistent Threats)”.
El reto para las organizaciones consiste en separar las APT de otro código malicioso y poder identificarlo a tiempo para tomar medidas. Así, aunque se trata de una amenaza poco comprendida en la actualidad, Cisco recomienda diversas medidas para optimizar la detección y respuesta frente a las APT. Entre ellas se encuentran:
– Utilizar la herramienta NetFlow (o servicios similares) para monitorear los flujos de tráfico o conexiones de red y responder a los incidentes identificando amenazas de ‘día cero’ que han superado los controles de seguridad tradicionales.
– Reforzar los análisis, incluyendo la capacidad para producir, recopilar y monitorear conexiones, especialmente las más importantes; realizar la inspección de paquetes que cubra todos los cuellos de botella importantes en la red corporativa; e incluir mecanismos de análisis de código malicioso.
– Establecer relaciones de confianza con otras organizaciones para compartir inteligencia sobre eventos (como FIRST, Forum of Incident Response Teams).
– Asignar variables de ubicación IDS (Sistemas de Detección de Intrusiones) para que los equipos de seguridad puedan identificar un incidente sin necesidad de descifrar primero la alerta.
– Definir valores de referencia comparativos (baselining) para detectar eventos anómalos.
Industria química, farmacéutica y energía, las más afectadas
Las compañías de la industria química y farmacéutica y del segmento de energía y petróleo han sido las más expuestas a las infecciones web durante los seis primeros meses del año, con un ratio de riesgo que se sitúa en el 580% y en el 310%, respectivamente.
Los segmentos de transportes y logística, agricultura y minería (170%) y educación (160%) son los siguientes más expuestos según esta clasificación, mientras las compañías de servicios profesionales y ONG corren el menor riesgo.
Con respecto al spam, aunque su volumen mundial ha sido ligeramente inferior durante el segundo trimestre, los ataques de phising se han incrementado entre abril y junio de 2011, representando el 4% del total de spam en el mes de mayo. Frente al spam masivo se imponen así ataques de phising selectivo que suponen un serio riesgo frente a la integridad de datos personales y financieros.