Resumen ejecutivo
Nuestro informe anual es una compilación de realidades únicas derivadas de cientos de proyectos que abarcan la respuesta a incidentes (IR), evaluaciones de resiliencia y ataques simulados llevados a cabo durante todo el ejercicio 2023. El informe incluye las tendencias más destacadas y los conocimientos estratégicos obtenidos a través de las situaciones vividas por los clientes, y las tácticas, técnicas y procedimientos más destacados empleados por diversos actores de amenazas. El informe también incluye estrategias preventivas clave que han demostrado ser muy eficaces en la lucha contra las amenazas emergentes, ofreciendo una guía completa para fortalecer sus defensas de ciberseguridad.
Principales conclusiones
El informe de campo es una recopilación de las conclusiones derivadas de los equipos de Sygnia de Respuesta a Incidentes, Tácticas Adversarias, Seguridad Empresarial, MXDR, Gestores de Compromisos y Legal, cada uno de los cuales se publicará individualmente en próximas fechas. Entre las principales conclusiones figuran:
1. Perspectiva del panorama de amenazas
El equipo de Respuesta a Incidentes (IR) de Sygnia ha identificado cambios significativos en las estrategias de ransomware durante el año pasado. Los grupos de ransomware han pasado de ataques centrados en el cifrado a estrategias de exfiltración y extorsión de datos, empleando tácticas que permiten una monetización más rápida y perfeccionando nuevas formas de paralizar a las organizaciones y presionarlas. Además, eludir la autenticación multifactor (AMF) se ha convertido en una táctica habitual, ya que un alto porcentaje de organizaciones ya aplican esta política de buenas prácticas. Las infracciones de identidad y basadas en la nube están en aumento, con nuevas técnicas utilizadas para explotar y causar graves daños a las redes en todo el mundo.
2. La perspectiva del atacante
El equipo de Tácticas Adversarias de Sygnia comparte las mejoras y desarrollos clave del año pasado que afectan las operaciones de los actores de amenazas e identifica las TTP más comunes que han utilizado en los entornos de los clientes. Se ha observado un marcado aumento en el número de erróneas configuraciones sistémicas explotadas, lo que resalta la necesidad de estrategias de mitigación innovadoras y eficaces.
3. La perspectiva del defensor · Preparación
Así mismo, se ha observado un regreso a lo básico en la comunidad de ciberdelincuentes, evidenciado por la sencillez de algunos de los principales ciberataques de 2023. El doble desafío del cumplimiento de la SEC y la responsabilidad del CISO está complicando las cosas para las organizaciones, ya que las nuevas normativas ya están teniendo un impacto en incidentes importantes. El auge de la IA en la ciberseguridad marcará un punto de inflexión en las estrategias de ataque, reduciendo el tiempo necesario para ejecutar los ataques y aumentando sus capacidades específicas.
4. La perspectiva del defensor · Detección
El departamento MXDR de Sygnia observa el impacto de los principales avances tecnológicos, la dinámica del mercado y la adopción de los usuarios en el MXDR, los cuales tendrán un profundo impacto en el panorama de 2024. Las tendencias se combinarán con las tecnologías emergentes que impulsarán el mercado XDR.
5. La perspectiva ejecutiva
Tras realizar innumerables ejercicios de simulación en 2023, nuestro equipo de expertos aportan su inteligencia colectiva sobre los retos, callejones sin salida y elementos más comunes que subestiman los clientes a escala mundial. También asesoran a los ejecutivos sobre cómo crear un equipo de seguridad, priorizar el presupuesto de seguridad y medir la eficacia de un programa de ciberseguridad.
El equipo jurídico de Sygnia identifica los tres principales temas emergentes más destacados de 2023: la ampliación del papel del CISO y el aumento de su responsabilidad, los nuevos requisitos de divulgación de la SEC (USA) y sus implicaciones en el panorama normativo y la colaboración global, y las tendencias emergentes en los ataques de terceros y su impacto en la gestión de riesgos.
El informe de campo anual de Sygnia va más allá de las recomendaciones teóricas e incluye enfoques prácticos para lograr una defensa sólida sin inversiones adicionales en tecnología. Aprenda a aprovechar eficazmente su patrimonio y sus activos de seguridad existentes, garantizando una potente defensa frente a las ciberamenazas.
Informe anual sobre el terreno: Perspectiva del panorama de amenazas
Los equipos de Respuesta a Incidentes de Sygnia (IR) se ocuparon de cientos de incidentes en 2023, desde intrusiones a pequeña escala hasta campañas APT a gran escala y complejos incidentes de rescate. Podemos concluir que, la fuerza motriz de los cibergrupos criminales sigue siendo maximizar la monetización frente a las crecientes capacidades de la pila de seguridad media, lo que empuja a los actores de amenazas hacia nuevas capacidades y técnicas para superar los nuevos obstáculos.
Los principales puntos de vista desde el terreno incluyen:
Cambios en las estrategias y campañas de ransomware, ya que los grupos de ransomware priorizan la exfiltración de datos en busca de una monetización más rápida y utilizan métodos de negociación agresivos para presionar a las organizaciones víctimas a pagar las peticiones de rescate.
Eludir la autenticación multifactor (AMF) se ha convertido en una táctica habitual, dado que un alto porcentaje de organizaciones ya aplica la autenticación multifactor (AMF) como práctica recomendada, es crucial establecer un enfoque de seguridad por capas para cuando la AMF falle como obstáculo.
Las brechas de identidad y Cloud-Based están en aumento, los actores de amenazas aprovechan las oportunidades, en las áreas de TI no supervisadas, para moverse lateralmente entre las aplicaciones de la organización y obtener acceso a datos confidenciales. Esto se facilita principalmente porque estos sistemas son accesibles desde cualquier parte del mundo, a diferencia de los dispositivos de red locales.
¿Cuáles fueron los princiaples retos de 2023?
Aumento de los ataques de extorsión mediante la exfiltración de datos
En 2023, se produjo un cambio significativo en el panorama del ransomware, ya que algunos grupos de ransomware se alejaron del cifrado en favor de la exfiltración de datos y la extorsión. Los actores de amenazas menos sofisticados pueden llevar a cabo estos ataques a los núcleos de datos incluso sin acceso a cifradores de ransomware de alta calidad. Además, los actores de amenazas tradicionales a menudo optan por estas intrusiones de bajo costo en lugar de ataques de doble extorsión en toda regla, ya que requieren menos esfuerzo y a menudo son igual de lucrativos.
Este cambio subraya la necesidad de realizar ajustes sustanciales en las estrategias de preparación frente al ransomware. Organizar los datos sensibles de la empresa con antelación facilita su detección en caso de exfiltración, y conocer exactamente qué datos se han robado permite responder de manera más informada a las peticiones de rescate.
Negociación agresiva de rescates dirigida a la confianza del cliente
Las tácticas de negociación de rescates de los actores de amenazas han cambiado enormemente en los últimos años. En 2023, hemos observado un cambio en las tácticas de extorsión, ya que los actores de amenazas intentaron explotar repetidamente la confianza entre la empresa y sus clientes. En estos casos, los actores de amenazas contactan deliberadamente a los clientes o publican la brecha a través de canales públicos para presionar a la víctima a cumplir con la petición de rescate.
Esta táctica es muy eficaz, ya que el cliente generalmente se pregunta si la empresa se preocupa lo suficiente por él como para pagar al actor de la amenaza y proteger su información. A su vez, la empresa víctima se arriesga a dañar la confianza con sus clientes, pudiendo perderlos si no responde rápida y eficazmente.
La gestión de estas negociaciones de rescate requiere un enfoque sólido y maduro, que evite los escollos habituales que a menudo dañan gravemente las relaciones con los clientes. Participar en juegos de guerra en caso de catástrofe proporciona un punto de partida más informado y con mayor conocimiento, y establece un plan para manejar los dilemas empresariales que pueden surgir durante estos eventos.
Aumento de los cifrados de ESXi en incidentes de ransomware
ESXi y los dispositivos de virtualización, el santo grial de los incidentes de ransomware in situ, siguen siendo objetivos altamente lucrativos que permiten a los agresores controlar partes importantes de la infraestructura desde unas pocas ubicaciones. Esta tendencia ha sido constante durante varios años, ya que las amenazas continúan mejorando sus técnicas para maximizar el impacto y la destrucción con el mínimo esfuerzo. A principios de 2023, la destacada campaña de ransomware "ESXiArgs" evidenció el creciente interés de los grupos de ransomware por la infraestructura virtual, muchos de los cuales utilizan malware modificado y adaptado para atacar estos dispositivos.
Aunque la pila de seguridad media es cada vez más robusta, ESXi y otros dispositivos virtuales siguen desprotegidos, ya que a menudo no se consideran parte del perímetro de la red. Además, la visibilidad de la actividad en ESXi y la autenticación son puntos ciegos en los planes de defensa de seguridad. Por lo tanto, los dispositivos ESXi y otros dispositivos virtuales se han convertido en una gran oportunidad para los actores de amenazas, y las organizaciones deben comenzar a incluirlos como parte integral de su estrategia global de seguridad.
La AMF es una herramienta útil, que ayuda a prevenir y/o reducir los ciberataques y a proteger las identidades de las organizaciones, sin embargo, nunca debe ser la única base de la estrategia de seguridad de la organización.
Superar los obstáculos del AMF
A medida que las organizaciones elevan el nivel de seguridad al imponer la autenticación multifactor (AMF) como práctica común, los actores de amenazas están encontrando formas nuevas y creativas de eludirla. Ya sea mediante el intercambio de SIM, la ingeniería social o los kits de phishing MiTM, las amenazas están desarrollando métodos mejorados para superar la barrera de la AMF y acceder a sistemas y cuentas.
La AMF es una herramienta útil que ayuda a prevenir y/o reducir los ciberataques y a proteger las identidades de las organizaciones; sin embargo, nunca debe ser la única base de la estrategia de seguridad de la organización.
Con el aumento del uso del intercambio de SIM y los kits de phishing en 2023, las organizaciones deben adoptar enfoques de seguridad por capas, asumiendo que llegará un momento en que la barrera de la AMF será superada.
Mayor focalización en las empresas del sector de las criptomonedas
El sector de las criptomonedas está experimentando un aumento en la actividad tanto de Estados-nación como de actores con motivaciones financieras. En el último año, hemos observado un notable incremento en la frecuencia y sofisticación de estos incidentes, que han dado lugar tanto a la filtración de datos confidenciales como a la sustracción de grandes cantidades de fondos digitales. La falta de regulación significativa en el sector de las criptomonedas, junto con su considerable potencial monetario, suscita preocupación, ya que los actores de amenazas encuentran en él una gran oportunidad. Además, las empresas del sector son relativamente jóvenes y sus infraestructuras generales de ciberseguridad suelen ser menos maduras que las de empresas más establecidas.
Cuando se aplican al contexto de las criptomonedas, las mejores prácticas comunes, como la implementación de autenticación multifactor (AMF) para las transacciones de fondos y el refuerzo de la seguridad en el almacenamiento de secretos de los monederos en cámaras acorazadas, a menudo logran desviar las intrusiones básicas y proporcionan un mayor margen de tiempo para responder a las violaciones más sofisticadas.
Ciberintrusiones basadas en la identidad
Con el software basado en la nube y las aplicaciones SaaS disponibles desde cualquier lugar del mundo, hemos detectado un aumento en los ataques basados en la identidad en 2023. Las estrategias y tácticas de los actores de amenazas están evolucionando junto con el panorama, y los ciberdelincuentes cada vez más buscan obtener cuentas no solo para robar información confidencial, sino también para moverse lateralmente entre aplicaciones, aprovechando el acceso de inicio de sesión único (SSO).
A medida que las organizaciones se adaptan y adoptan la nube, deben configurar sus entornos de nube para limitar al máximo las aplicaciones y las identidades, evitando solapamientos innecesarios de acceso entre ellas. Obtener visibilidad de las identidades en la organización e implementar principios de mínimo privilegio y confianza cero son cruciales para combatir los ataques basados en la identidad.
¿Qué aportará 2024 a la economía mundial?
A medida que nos acercamos a 2024, podemos esperar que las amenazas sigan desplazándose hacia las nuevas oportunidades que surgen del avance de las soluciones de TI y software:
Evolución de los ciberataques basados en la nube y la identidad
Los últimos años pueden haber representado la primera fase en la evolución de los ciberataques basados en la nube y la identidad. Aprovechando el hecho de que la nube es accesible desde cualquier lugar, la naturaleza de estos ataques a menudo es relativamente sencilla. El siguiente paso en esta evolución, como ya hemos empezado a observar, incluirá un enfoque más sofisticado, como el aprovechamiento de las características que permiten el movimiento lateral entre cuentas IaaS o el uso de los procedimientos de cifrado incorporados en los recursos de almacenamiento en la nube para mantener los datos como rehenes.
El papel de la IA en las ciberintrusiones
Con una IA cada vez más accesible, en 2024 veremos su aplicación tanto en el lado ofensivo como en el defensivo del campo de juego cibernético.
En el lado ofensivo, los ciberdelincuentes utilizarán la IA para amplificar los ataques de ingeniería social, creando correos electrónicos de phishing, SMS, deepfakes y otros tipos de comunicación manipuladora de manera aún más sofisticada. Esto resultará en un aumento de la explotación exitosa del factor humano, en el control de cuentas (ATO) y en los compromisos de correo electrónico empresarial (BEC), así como en mayores capacidades de negociación por parte de los actores de amenazas. Además, la IA y los modelos de lenguaje de gran escala (LLM) presentan una superficie de ataque completamente nueva que los actores de amenazas pueden explotar, desde inyecciones puntuales hasta la toma de control de los agentes de IA y sus capacidades.
En el lado defensivo, deberíamos esperar ver las primeras aplicaciones reales de la IA más allá de las herramientas actuales de inteligencia sobre amenazas. La IA mejorará la productividad diaria y las capacidades de los equipos de Centro de Operaciones de Seguridad (SoC), permitiendo gestionar un mayor volumen de alertas y realizar el triaje de manera más rápida e, incluso en algunos casos, automática.
Normativa sobre ciberseguridad
Las nuevas leyes y normativas sobre ciberseguridad y violaciones de datos aprobadas en Estados Unidos el año pasado están comenzando a impactar a empresas y organizaciones y se prevé una extensión de este tipo de normativa a nivel global. En 2024 se pondrá a prueba si estas normativas influirán en las ciberintrusiones y en las operaciones de rescate, y de qué manera, obligando a las organizaciones a cumplir con el conjunto de normas establecidas. En particular, esto podría afectar las metodologías de contención de incidentes, impulsando a las organizaciones a acelerar las medidas de respuesta (IR).
