Resumen ejecutivo
El informe anual de situación es una compilación de información derivada de cientos de proyectos que abarcan respuesta a incidentes (IR), evaluaciones de la arquitectura y resiliencia de las infraestructuras de clientes además de ataques simulados durante 2023.
El informe incorpora las marcadas tendencias identificadas, conocimientos estratégicos procedentes de nuestras actuaciones con los clientes con las tácticas, técnicas y procedimientos más destacados empleados por los principales actores de amenazas.
El informe también incluye estrategias preventivas clave que han demostrado ser altamente efectivas para combatir las amenazas emergentes, ofreciendo una guía para fortalecer las defensas de ciberseguridad.
Este informe de campo es una recopilación de los hallazgos derivados de la Respuesta a Incidentes, Tácticas Adversarias, Enterprise Security, MXDR, Engagement Managers y Equipos Legales, cada uno de los cuales se publicará individualmente próximamente.
Principales conclusiones
Entre las principales conclusiones se incluyen las siguientes:
1. La perspectiva del panorama de amenazas
Nuestros equipos de respuesta a incidentes identifican cambios significativos en las estrategias de ataques de ransomware durante este año pasado.Los grupos de ransomware pasaron, de los ataques orientados al cifrado, a la exfiltración de datos y estrategias de extorsión.
Se emplean tácticas que buscan una monetización más rápida y, refinando nuevas formas de paralizar a las organizaciones y presionarlas para que cedan a la extorsión.
Además, eludir la MFA (Múltiple Factor de Autenticación) se ha convertido en una táctica y objetivo común, dado que hay ya un alto porcentaje de organizaciones que aplican esta política dentro de su compendio de las mejores prácticas.
La identidad y las brechas basadas en los entornos Cloud están en aumento, con nuevas técnicas utilizadas para explotar y asestar golpes severos a las redes de todo el mundo.
2. La perspectiva del atacante
Nuestro equipo de tácticas contra adversarios/atacantes, comparte las mejoras y desarrollos que afectan a operaciones de los actores de amenazas e identifica los TTP (Tácticas, Técnicas y Procedimientos) más comunes que se han utilizado.
Se observa un marcado aumento en el número de configuraciones erróneas de los sistemas que son explotadas, y la necesidad de definir nuevas estrategias de mitigación innovadoras y más eficaces.
3. La perspectiva de la defensa · Preparación
Nuestro equipo de seguridad empresarial observa un regreso a lo básico en la comunidad de ciberdelincuencia, como lo demuestra la simplicidad de algunos de los principales ciberataques de 2023. El doble reto de la SEC en el cumplimiento normativo y la responsabilidad de los CISOs. están complicando las cosas para las organizaciones, ya que las nuevas regulaciones están ya teniendo un impacto en incidentes importantes. El auge de la IA en la ciberseguridad puede marcar un punto de inflexión en las estrategias de ataque: una reducción en el tiempo requerido para ejecutarlos, junto con un aumento en sus capacidades específicas.
4. La perspectiva del defensor · Detección
Nuestro departamento de MXDR (Servicios Gestionados Extendidos de Detección y Respuesta) observa el comportamiento del mercado, el impacto de los grandes avances tecnológicos y la adopción por parte de los usuarios de estos servicios MXDR. Esto tendrá un profundo impacto en el panorama de 2024 a medida que las tendencias se combinan con las tecnologías emergentes que impulsarán el mercado XDR.
5. La perspectiva ejecutiva
Después de realizar innumerables ejercicios de simulación en 2023, nuestros Area Managers, reseñan los desafíos y los elementos más comunes que son subestimados por clientes en todo el mundo. También asesoran a los CISOs sobre cómo construir un equipo de seguridad, establecimiento de prioridades, análisis de resiliencia de nuestra infraestructura, presupuestar y medir la efectividad de un programa de ciberseguridad.
Nuestro equipo de legal identifica los tres temas principales emergentes más notables de 2023; la ampliación del papel de los CISOS, su aumento de la responsabilidad, los nuevos requisitos de divulgación de la SEC y sus implicaciones en el panorama regulatorio y la colaboración global, además de las tendencias emergentes en los ataques y su impacto en la gestión de riesgos.
Informe anual de campo
La perspectiva del panorama de amenazas.
Nuestros equipos de respuesta a incidentes (IR) se ocuparon de cientos de incidentes en 2023, desde intrusiones a pequeña escala hasta incidentes de rescate y a campañas APT (Advanced Persistent Threat) a gran escala.
Comparando con el año anterior, concluimos que, la fuerza motriz de los grupos cibernéticos criminales sigue maximizando la monetización, lo que empuja a los actores de amenazas hacia nuevas capacidades y técnicas para superar las nuevas barreras.
Ideas clave
- Un alto porcentaje de las organizaciones ya aplican el MFA (Autenticación multifactor) como práctica recomendada, la creación de un el enfoque de seguridad por capas es crucial por si falla los obstáculos que la herramienta MFA proporciona.
- La Identidad y las brechas de las Clouds son foco prioritario de ataques y van en aumento. Los actores de amenazas que se aprovechan de la oportunidad que suponen las áreas de TI no supervisadas, se mueven lateralmente entre aplicaciones para lograr el acceso a datos sensibles. Estos sistemas son accesibles desde cualquier parte del mundo en contraste con las aplicaciones y servicios on-premises.
Principales tendencias 2023
Aumento de los ataques de extorsión por robo de datos
En 2023 se produjo un significativo aumento de los ataques de extorsión por robo de datos.Esto es un cambio significativo en el panorama del ransomware, ya que algunos grupos de ransomware cambiaron desde la encriptación a la exfiltración y extorsión sobre la filtración y venta a terceros de esos datos.
Actores de amenazas no sofisticadas pueden llevar a cabo estos ataques de robo de datos incluso, si no tienen acceso a ransomware de alta calidad. Los encriptadores y los actores de amenazas tradicionales a menudo optan por estas intrusiones de bajo coste, en lugar de ataques de doble extorsión en toda regla, ya que requieren menos esfuerzo y, a menudo, suelen ser igual de lucrativos.
Este cambio enfatiza la necesidad de ajustes sustanciales en las estrategias de preparación para el ransomware. Organizar los datos confidenciales de la empresa con anticipación permite mejores detecciones, como prevención y, si se ha producido un filtrado de los datos, se puede saber más con rapidez qué datos fueron realmente robados, permitiendo además una respuesta más informada en la gestión de demandas de rescate.
Negociación agresiva de rescates dirigida a la confianza del propio cliente
Las tácticas de negociación de rescates de los actores de amenazas han cambiado enormemente en los últimos años. En 2023 se observó un cambio en las tácticas de extorsión, ya que los actores de amenazas intentaron repetidamente explotar la relación de confianza entre la empresa y sus clientes. En estos casos, los actores de amenazas se ponen en contacto deliberadamente con los clientes o, publican la violación a través de canales públicos para presionar a la víctima para que cumpla con la demanda de rescate.
Esta táctica es muy efectiva, ya que el cliente generalmente se pregunta si la empresa se preocupa lo suficiente por sus datos y presiona para que paguen al actor de amenazas y protejan su información. Esto pone en más riesgo a la empresa víctima, quemando la confianza entre esta y sus clientes, lo que podría perder clientes si no responden de forma rápida y eficaz.
El manejo de estas negociaciones de rescate requiere un enfoque de negociación sólido y maduro, evitando errores comunes de inexperiencia que, a menudo, resultan en un daño importante a las relaciones con los clientes. Participar en un evento controlado de desastre, los juegos de guerra p.e., crean un punto de partida más informado y con más conocimientos, estableciendo un plan para estar preparado y manejar los dilemas que puedan surgir durante tales eventos.
Aumento de los cifrados ESXi en incidentes de ransomware
El Santo Grial de los incidentes de ransomware en las instalaciones on-premises, ESXi y los dispositivos de virtualización permanecen como el objetivo más lucrativo de rápida ganancia. Esto es así, ya que permite a los actores de amenazas controlar partes importantes de la infraestructura desde unas pocas ubicaciones individuales. Esta es una tendencia consolidada desde ya varios años y, a medida que va pasando el tiempo, los actores de amenazas continúan mejorando las técnicas para maximizar el impacto y la destrucción con el mínimo esfuerzo. A principios de 2023, la campaña de ransomware "ESXiArgs" mostró el creciente interés en la infraestructura virtual entre los grupos de ransomware, muchos de los cuales utilizan malware modificado y adaptado para atacar los dispositivos.
Mientras que el stack de elementos de seguridad se está volviendo más robusta, ESXi y otros dispositivos virtuales son a menudo los que sufren la acción al estar más faltos de atención por no atender a la aplicación de parches y actualizaciones, ya que a menudo no se ven como parte del perímetro de la red. Además, la visibilidad de la actividad y la autenticación de ESXi suelen ser puntos ciegos en los planes de defensa de seguridad. Por lo tanto, los dispositivos ESXi y, otros dispositivos virtuales, se han convertido en una gran oportunidad para los actores de amenazas. Las organizaciones deben comenzar a incluirlos como parte de la estrategia general de seguridad de la organización.
"La MFA (Autenticación multifactor) es una herramienta útil que ayuda a prevenir y/o reducir los ciberataques y proteger las identidades organizacionales, sin embargo, nunca debe ser la única base de la estrategia de seguridad de la organización".
Superar los obstáculos de la MFA (Múltiple Factor de Autenticación)
A medida que las organizaciones elevan el nivel de seguridad al aplicar MFA como una práctica común, los actores de amenazas encuentran formas nuevas y creativas de evitarlo. Ya sea que se trate de intercambio de SIM, ingeniería social o MiTM kits de phishing, los actores de amenazas están creando métodos mejorados para eludir la barrera de MFA para obtener acceso a sistemas y cuentas.
MFA es una herramienta útil que ayuda a prevenir y/o reducir los ciberataques y a proteger las identidades en las organizaciones, sin embargo, nunca debe ser la única base de la estrategia de seguridad de la organización.
Con el aumento del uso de kits de phishing e intercambio de SIM en 2023, las organizaciones deben adoptar enfoques estratificados de la seguridad, bajo el supuesto de que llegará un momento en que la barrera de la AMF se superará.
Fortalecimiento de resiliencia de las empresas con áreas de negocios en criptomonedas
El sector de las criptomonedas está siendo testigo de un aumento de la actividad en ciberataques, tanto del tipo Estado-nación como de otros actores de amenazas de los entornos financieros. Durante el año pasado, fuimos testigos de un aumento notable en la frecuencia y la sofisticación de tales incidentes que condujeron, tanto a la exfiltración de datos confidenciales, como al robo de grandes cantidades de fondos digitales.
El hecho de que la industria de las criptomonedas no esté regulada en gran medida le confiere un potencial monetario significativo y genera preocupación, ya que los actores de amenazas lo encuentran como una gran oportunidad. Por si fuera poco, las empresas del sector de las criptomonedas son relativamente jóvenes y su ciberseguridad general también, las infraestructuras son menos maduras que la media de las empresas.
Cuando se aplica al contexto de las criptomonedas, las mejores prácticas comunes, como el MFA en el caso de los fondos, las transacciones y el aumento de la seguridad sobre los secretos de la billetera, se suele tener éxito en conseguir un completo desvío de las intrusiones básicas y permitiendo un marco de tiempo más largo para responder a los ataques sofisticados.
Intrusiones cibernéticas basadas en la identidad
Con software basado en la nube y aplicaciones SaaS disponibles desde cualquier parte del mundo, observamos un aumento significativo de los ataques basados en la identidad en 2023. Las estrategias y tácticas de los actores de amenazas están cambiando el panorama y los ciberdelincuentes apuntan cada vez más a apoderarse de cuentas para, no solo roban información confidencial, sino también como un medio para moverse lateralmente entre aplicaciones aprovechando el acceso SSO.
A medida que las organizaciones se adaptan y adoptan la nube, deben configurar estos entornos de una forma que se controle las aplicaciones y las identidades tanto como sea posible, evitando innecesarias superposiciones de acceso entre ellos. Obtener visibilidad de las identidades en la organización e implementar los principios de privilegios mínimos y confianza cero son cruciales para combatir los ataques basados en identidades.
¿Qué pasará en 2024?
Panorama cibernético
A medida que nos acercamos a 2024, podemos esperar que las amenazas se desplacen aún más hacia las nuevas oportunidades que surjan del avance de las soluciones de TI y software.
El papel de la IA en Ciberintrusiones
Con la IA cada vez más comodotizada, en 2024 veremos la aplicación de estas capacidades, tanto en el lado ofensivo, como en el defensivo del campo de juego cibernético.
En el lado ofensivo, los ciberdelincuentes utilizarán aún más la IA para amplificar los ataques de ingeniería social en la elaboración de sofisticados correos electrónicos de phishing, SMS, deep-fakes y otros tipos de manipulaciones comunicación. Esto debería tener un impacto de un aumento en la explotación exitosa del factor humano, en las adquisiciones de cuentas (ATO), los compromisos de correo electrónico empresarial (BEC), además de alcanzar capacidades mejoradas de negociación de estos actores de amenazas.
Los actores de amenazas tenderán a la toma de control de agentes de IA y sus capacidades.
En el aspecto defensivo, deberíamos esperar ver las primeras aplicaciones reales de la IA más allá de la inteligencia de amenazas. Mejorar la productividad y las capacidades diarias de los equipos de SoC para hacer frente al número de alertas y clasificar tanto más rápido como, en algunos casos, incluso automáticamente.
Regulaciones en ciberseguridad
Nuevas leyes y legislaciones de ciberseguridad y violación de datos aprobadas en los Estados Unidos en el pasado año están empezando a impactar a las empresas y organizaciones. 2024 pondrá a prueba si estas regulaciones afectarán a las intrusiones cibernéticas y las operaciones de rescate, lo que obligará a las organizaciones a cumplir por el conjunto dado de normas. En concreto, esto puede afectar a las metodologías de contención de incidentes, lo que hace que las organizaciones agilicen las medidas de respuesta (IR).
