Seguridad e Inteligencia | Balance 2022

Por adminSin categoría

Seguridad e Inteligencia | Balance 2022

Terminamos el 2022 y, desde SmartHC, consideramos un buen ejercicio el hacer balance de lo que ha ocurrido durante todo el año, en materia de ciberseguridad, a nivel global pero con un especial seguimiento a lo que afecta al ámbito empresarial en España.

Como ya vaticinamos el año pasado, durante el 2022 los ciberataques han aumentado, y no solo en cuanto a número de incidentes, también en su grado de sofisticación que demuestra una mayor profesionalización. En este sentido, los ciberdelincuentes, han tenido aliados de mucho peso como son el teletrabajo y el conflicto en Ucrania, viéndose afectados no solo gobiernos sino también ataques a organismos públicos, empresas privadas, y de servicios, vulnerando sus infraestructuras.

Es evidente que, el espacio de trabajo híbrido, se ha convertido en el principal objetivo a vulnerar por parte de los atacantes, por lo que las empresas han tenido que adaptarse también en cuanto a seguridad se refiere puesto que se enfrentan a nuevas vulnerabilidades con las que anteriormente no contaban y que precisan del despliegue de herramientas que no estaban en sus inventarios de seguridad, especialmente en lo relativo al entorno doméstico, en el que jamás se había planteado su securización.

La Agencia de Ciberseguridad de la Unión Europea (The European Union Agency for Cybersecurity – ENISA) clasifica las amenazas actuales en 8 grupos:

  1. Secuestro de datos (Ransomware)
  2. Malware
  3. Ingeniería social
  4. Amenazas contra los datos
  5. Amenazas contra la disponibilidad ( DoS y DDoS)
  6. Ataques a la infraestructura de Internet
  7. Desinformación (Fake News)
  8. Segmentación de la cadena de suministro

Siguiendo el índice de los puntos planteados por ENISA, desde el Área de Inteligencia de SmartHC, se ha realizado un seguimiento exhaustivo sobre las tendencias de ransomware monitorizando la actividad, en la Deep/Dark Web, de los principales actores de este tipo de amenazas como son Conti, Hive, Cuba, Stormous, Lockbit, entre otros.

En este sentido el objetivo inicial de los grupos responsables de ataques con ransomware han evolucionado y van más allá del ransomware de doble extorsión, ya no solo buscan el beneficio económico tras el cobro del rescate por tener los activos de una empresa cifrados, ni tampoco cobrar por no publicar información robada en el hampa del mundo de la ciberdelincuencia para provocar un daño reputacional, ahora, y especialmente desde el inicio del conflicto en Ucrania, su objetivo también se centra en infraestructuras críticas, como energéticas, telcos, banca, sanidad, cadenas de suministro, proveedores, etc. con la finalidad de destruirlas o paralizarlas consiguiendo con ello incluso el bloqueo de un país, como ocurrió en Costa Rica.

El caso de Costa Rica, y según expresaron en sus foros el propio grupo de ciberdelincuentes CONTI, se convirtió en un laboratorio para proyectar los mismos ataques en Europa. La dureza de los ataques vertidos sobre este país culminó con la paralización tanto de diversas infraestructuras del gobierno costarricense como de empresas

El conflicto entre Rusia y Ucrania, y que por ende afecta a todo el mundo, se traslada a un modelo híbrido entre una guerra convencional y ciberataques, lo que se define como ciberguerra y que no solo afecta a la seguridad de los estados, sino que también afecta a la seguridad dentro del ámbito empresarial, más aún en todo lo relacionado con los sectores objetivos en este tipo de ciberataques.

Una problemática añadida, dentro de los ataques de ramsomware, es el modelo de Ransomware-As-A-Service (RaaS), por el que entran en juego otros actores que ofertan, al resto de ciberdelincuentes, plataformas de distribución de ransomware, todo ello previo pago que, una vez satisfecho, permite a cualquiera ciberdelincuente lanzar sus propios ataques aunque técnicamente no tengan capacidad inicial.

Siguiendo con los diferentes tipos de ciberataques, detectados en el 2022, no debemos dejar de lado las campañas de desinformación (fakes news) mediante videos manipulados, noticias que se viralizan y circulan sin control. Debemos ser conscientes del papel que adquieren este tipo de campañas en contextos de graves conflictos como el que nos ocupa. Además del uso de redes sociales para sembrar discordia en la sociedad, como se le atribuyó a Rusia ante la posible interferencia de Moscú en las elecciones presidenciales de Estados Unidos en 2016.

Además de los ya detallados múltiples formatos de ataque, y dentro de se suman los relativos a la vulneración del dato, la fuga de datos y de información sensible, y por supuesto todo lo relativo al ciberespionaje. Especial mención en este apartado el “episodio” Pegasus a nivel gubernamental en España y que abrió la brecha sobre el espionaje, ya no solo a nivel gobiernos, sino también a nivel empresas vulnerando los dispositivos móviles de personal VIP o cuya información pudiera ser utilizada por delincuentes para extorsionar, o por la propia competencia que utilizaría información sensible para ejercer una competencia desleal.

Pegasus es una aplicación espía que muy sofisticada, desarrollada por una empresa israelita, y que se sabe que ha sido utilizada para espiar, a través de sus propios smartphones, a gobiernos, a través de sus representantes, pero también a personalidades de alto nivel en el ámbito empresarial. La aplicación se instala en el móvil, mediante ingeniería social (Phishing, correo electrónico, SMS, etc.) y tras el compromiso del dispositivo, el spyware, explota las vulnerabilidades del sistema operativo para, desde un segundo plano, poder conocer, de forma remota e inmediata, todo lo que alberga el dispositivo o todo lo que desde el mismo se gestiona.

No debemos dejar de lado, en este sentido, que saltó a la luz pública Pegasus, pero que existen en el mercado, y especialmente en el mercado negro, muchos otros spywares, por lo que la protección de los dispositivos móviles tiene que estar siempre en el “Road Map” de todo responsable de seguridad empresarial.

Desde el inicio del conflicto en Europa hizo que se pusieran en énfasis los ataques de denegación de servicio. Estos ataques DoS o DDoS, se lanzan contra cualquier infraestructura en la red con el objetivo con el fin de sabotearla y dejarla inaccesible para cualquier usuario. Técnica muy utilizada por grupos pro rusos, como Killnet, con el objetivo de dejar fuera de juego a cualquier actor anti Rusia.

Por supuesto, y como finalización de este artículo, no podemos dejar de lado la explotación de vulnerabilidades conocidas y no parcheadas o desconocidas (Vulnerabilidades del día 0), especial alusión a la que se denominó Log4Shell, y que puso en jaque la seguridad de organismos y empresas, que se ha convertido indudablemente en la vulnerabilidad más destacada del año y, por su peligrosidad y trascendencia, sin duda se sitúa en el top de entre los últimos 10 años. Log4Shell provoca un fallo crítico en una librería muy utilizada con base Java y según Common Vulnerability Scoring System (CVSS), que establece las métricas para la comunicación criticidad de las vulnerabilidades, le otorgó una puntuación de gravedad de 10 en una escala de 10.

En resumen, podríamos decir que, las amenazas con mayor peligrosidad y criticidad surgen de las Amenazas Persistentes Avanzadas, especialmente las relacionadas con el ciberespionaje, distribución de malware y el robo o secuestro de información para extorsionar o vulnerar a las víctimas objetivo de los ciberdelincuentes, observándose, en este sentido, un aumento claro relativo a la compra/venta de credenciales en el mercado negro y foros clandestinos en la Depp/Dark Web.

Debemos dejar de lado la falsa creencia, o la ingenuidad de pensar, que nuestra empresa no va a ser objetivo de un ciberataque, no deberíamos escatimar en la implementación de las medidas de seguridad necesarias para ponérselo difícil a los que se dedican a la ciberdelincuencia, para ello debemos estar preparados en nuestras empresas para evitar desde una denegación de servicios hasta un robo completo de información. Y por supuesto contar con una buena política de continuidad de negocia que empieza garantizando la efectividad de las tres características que permitirán llevar a cabo dicho propósito: la confidencialidad, la integridad y la disponibilidad.

Ángel-Pablo Avilés

Director de Seguridad y Estrategia

Smart Human Capital