Las ciberamenazas que desafían tu cibertranquilidad

Cuando hablamos de ciberamenazas, se abarca un amplio abanico de acciones, disrupciones o manipulaciones maliciosas caracterizadas por su diversidad, capacidades y motivaciones, y tal como especifica la Estrategia Nacional de Seguridad de 2019, afectan a la práctica totalidad de los ámbitos de la Seguridad Nacional, como son la Defensa Nacional, la seguridad económica o la protección de las infraestructuras críticas, entre otros, y no distinguen fronteras. 

Esta definición tan amplia exige que «se afronten con una perspectiva integral que englobe a la Administración Pública, los sectores público y privado y la sociedad en su conjunto, pues puede tener implicaciones en aspectos tan diversos como la soberanía, los derechos fundamentales, la defensa, la economía y el desarrollo tecnológico». 

No existe una clasificación estricta de las ciberamenazas y su prevalencia difiere año tras año, mostrando una gran dependencia en las circunstancias políticas, sociales y económicas de la actualidad. Podríamos clasificarlas según su intencionalidad, desde una perspectiva puramente tecnológica o según el tipo de ataque. 

Por suerte, la proliferación de estas actividades maliciosas ha forzado la aparición de una nueva disciplina denominada Threat Intelligence o Inteligencia de Amenazas, responsable de monitorizar y documentar de forma colaborativa la actividad de estos grupos. 

En primera instancia, es posible hablar de actores estatales y no estatales (que culminan en forma de Amenazas Persistentes Avanzadas) o actores internos. Estas amenazas utilizan técnicas de hacking sofisticadas para acceder a sistemas de alto valor, con motivaciones económicas, políticas o sin motivación clara. Desde esta perspectiva, hablaríamos de: 

• Ciberespionaje – Acto emprendido clandestinamente o bajo falsas pretensiones que utiliza capacidades cibernéticas para recopilar o intentar recopilar información secreta con fines maliciosos. 
• Ciberterrorismo – Acciones agresivas ejecutadas a través de medios digitales con el objetivo de intimidar, coaccionar o presionar en materia política, social o religiosa a un gobierno o colectivo. 
• Cibercrimen – Actividades ilícitas que se llevan a cabo en Internet. 
• Hacktivismo – Utilización maliciosa de herramientas digitales con fines exclusivamente políticos. 

Los ataques con mayor prevalencia dependen en gran medida de la región. Europa es la segunda región más atacada del mundo, recibiendo en 2021 el 24% de los ataques analizados  (IBM X-Force Threat Intelligence Index 2021).

“Solo el 8% de las organizaciones que pagan el rescate recuperan la totalidad de sus datos” 

Fuente: Sophos  

“Durante nueve meses entre 2013 y 2014, los operadores del Ransomware CryptoLocker obtuvieron 3 millones de dólares de beneficio. En 2020, el pago medio al grupo criminal Maze por víctima era de 4.8 millones de dólares.”

Fuente: SecureWorks 

Fuente: Chainalysis

Los ataques de secuestro de datos o Ransomware, tanto en su versión clásica como en la cada vez más habitual de doble extorsión (cifrado y publicación de datos robados) mantienen la primera posición, concretamente el 26% de los incidentes analizados por el equipo de X-Force. 

En segundo lugar, aparece el acceso no autorizado a servidores (12%), seguido por el robo de datos (10%), malas configuraciones (8%), actores internos maliciosos (6%), fraude (6%) y BEC o Compromiso de Email Corporativo (5.9%).

La explotación de vulnerabilidades ha sido el principal vector de infección contra organizaciones en Europa, responsable del 46% de los incidentes analizados y seguido por phishing, con el 42%. 

Según la Agencia Europea de la Seguridad de las Redes y de la Información (ENISA) las principales amenazas identificadas entre abril de 2020 y julio de 2021 incluyen:

• Ransomware: ataque malicioso cuyo objetivo es el cifrado de los datos y posterior extorsión. 
• Malware: software o firmware diseñado para ejecutar procesos que impactan negativamente en la Confidencialidad, Integridad o Disponibilidad de un sistema.
• Cryptojacking: tipo de cibercrimen que utiliza software de minado de criptomonedas disfrazado de software legítimo. 
• Amenazas relacionadas con E-mail: compendio de ataques que explotan vulnerabilidades en la psique y hábitos diarios. 
• Amenazas contra los datos: referido a las brechas o fugas de información de carácter sensible o confidencial. 
• Amenazas contra la integridad y la disponibilidad: conjunto de ataques y amenazas compuesto por todas las variantes de la denegación de servicio y ataques a aplicaciones web.
• Desinformación: derivado del aumento del uso de redes sociales y medios online. Las campañas de desinformación pueden o no formar parte de ataques híbridos cuyo objetivo es siempre dañar la percepción de confianza.
• Amenazas no maliciosas: relacionadas con errores humanos o malas configuraciones, pero también a peligros físicos o desastres que afecten a la infraestructura.
• Ataques de Cadena de Suministro: amenaza que afecta a desarrolladores y proveedores de software. El objetivo es siempre infectar aplicaciones legítimas de la organización víctima para distribuir software malicioso de forma encubierta.

Sectores más afectados según número de incidentes (Abril, 2020 – Julio, 2021) – p.14, ENISA Threat Landscape Report 

La información es el activo más valioso en cualquier organización. No solo por su posible carácter sensible y las consecuencias del tratamiento en manos maliciosas – sin datos, es imposible asegurar la continuidad de los procesos de negocio. Las consecuencias de las brechas de datos y las fugas de información pueden ser devastadoras y no se limitan al parón operativo, el valor de la empresa y su reputación puede desaparecer en cuestión de días. 

Si bien el Ransomware no es el único riesgo al que se enfrentan las grandes y pequeñas organizaciones, la exfiltración de datos es casi siempre el fin último de los ataques avanzados independientemente a su motivación. Así, según explica el Informe de Respuesta a Incidentes de Brechas de Datos de Verizon de 2020:

• El 70% de las brechas fueron causadas por actores internos
• El 45% involucra técnicas de hacking
• El 86% responde a motivaciones económicas
• El 17% muestra el uso de malware
• El 22% implica phishing o Ingeniería Social

Estas estadísticas confirman que las organizaciones están obligadas a conocer estas amenazas y defender su infraestructura, operatividad y recursos humanos.