La sofisticación de las ciberamenazas está cambiando radicalmente el panorama de la seguridad digital. Desde las tácticas, las técnicas y los procedimientos (TTP) avanzados hasta el auge de modelos de ataque basados en suscripciones y la consolidación de amenazas históricas, los actores maliciosos están constantemente adaptando sus estrategias para retar día a día a las organizaciones y sus Chief Information Officers (CIO) a mantenerse protegidos.
Según el informe semestral de Darktrace, First 6: Half-Year Threat Report 2024, los atacantes están perfeccionando sus habilidades para evadir las herramientas de seguridad tradicionales y utilizar servicios de terceros legítimos, con el fin de ocultar sus acciones.
Un universo de amenazas
Las amenazas de malware, mayormente identificadas durante el primer semestre de este año, fueron malware para robo de información en 29%; troyanos en 15%; troyanos de acceso remoto (RAT, por sus siglas en inglés) en 12%; redes de dispositivos infectados o botnets en 6%; y loaders en 6%. Estos últimos son programas diseñados para descargar y ejecutar otros tipos de malware en el sistema infectado. Su función principal es instalar y ejecutar el malware adicional que puede tener diferentes objetivos, como el robo de información.
Además, la proliferación de herramientas basadas en suscripción, como Malware-as-a-Service (MaaS) y Ransomware-as-a-Service (RaaS), ha democratizado el acceso a métodos avanzados de ataque, permitiendo a delincuentes menos experimentados llevar a cabo operaciones sofisticadas con relativa facilidad.
Este cambio ha incrementado significativamente la frecuencia y la severidad de los ataques cibernéticos, ya que las plataformas MaaS y RaaS permiten alquilar o comprar servicios de malware y ransomware, reduciendo así las barreras técnicas para la ejecución de ataques complejos.
A pesar de la sofisticación creciente de algunas técnicas de ataque, métodos más básicos como el phishing siguen siendo increíblemente efectivos. El phishing, una técnica de ingeniería social en la que los atacantes engañan a las víctimas para que divulguen información confidencial o instalen malware, sigue siendo una de las amenazas más prevalentes.
En los últimos seis meses, se han detectado aproximadamente 17.8 millones de correos electrónicos de phishing en México, lo que subraya su continua efectividad.
El phishing se beneficia de la interacción humana y del avance tecnológico. La facilidad con la que los correos electrónicos de phishing pueden ser diseñados para parecer legítimos y urgentes hace que incluso las personas cautelosas puedan caer en la trampa. Por lo que la implementación de filtros de correo electrónico y la educación continua de los colaboradores en una organización son esenciales para mitigar el riesgo asociado con el phishing.
Otras detecciones constantes son los malware Amadey, descubierto en 2018, y Raspberry Robin, con presencia desde 2021. Esto sugiere que algunos entornos de seguridad todavía no han logrado implementar medidas efectivas para detectar y defenderse contra este tipo de amenazas.
Estrategias para detectar y solventar las amenazas
La falta de detección efectiva puede deberse a una variedad de factores, incluidos sistemas de seguridad desactualizados, falta de capacitación del personal y prácticas de monitoreo insuficientes. Para mitigar estos riesgos, es crucial que los CIO revisen y actualicen regularmente las políticas de ciberseguridad, así como las herramientas y técnicas utilizadas para proteger sus sistemas.
La adopción de tecnologías avanzadas de detección y respuesta, junto con una capacitación continua del personal, son pasos esenciales para enfrentar estos desafíos.
En cuanto al ransomware, los métodos de doble extorsión son ahora prevalentes entre las cepas Akira, Lockbit y Black Basta. Esto implica cifrar los datos de la víctima y, al mismo tiempo, robar archivos sensibles a fin de que los delincuentes puedan exigir un rescate no solo para descifrar los datos, sino también para evitar la publicación de los archivos robados.
En suma, las TTP avanzadas son un reto, pero también una oportunidad para los CIO y sus organizaciones para implementar y fortalecer las estrategias de ciberseguridad y adoptar enfoques más efectivos y proteger así los activos críticos.
La implementación de tecnologías avanzadas, la adopción de estrategias de defensa en profundidad, la evaluación continua de riesgos, la capacitación del personal, la planificación y respuesta a incidentes, y la colaboración con otros actores de la industria son fundamentales para enfrentar estos desafíos y mantener una postura de seguridad robusta.
Al abordar proactivamente estos aspectos, las organizaciones pueden mejorar su resiliencia cibernética e ir un paso delante de los ciberdelincuentes.
Por Manuel Moreno, Chief Information Security Officer (CISO) en IQSEC.
