La ciberseguridad cobró especial importancia desde el inicio de la pandemia. Muchas organizaciones se vieron obligadas a implementar el trabajo remoto y a migrar de forma acelerada a canales de atención y ventas digitales. Por esto mismo, al menos en parte, la cantidad de amenazas y la complejidad de los ataques dentro de este contexto continuó en crecimiento.
“La seguridad de los sistemas informáticos es un asunto tan delicado hoy en día que incluso las compañías que la ofrecen deben mantener la suya en continua evaluación", advierte Mauricio Gómez, cofundador de Fluid Attacks. Además, las pruebas de seguridad y la remediación de vulnerabilidades deberían ser implementadas por las organizaciones desde un principio, agrega, "para evitar ser víctimas de ataques devastadores".
Paralelamente, los delincuentes aprovechan el auge de ciertas tecnologías. Por ejemplo, el boom de los QR. Los atacantes están aprovechando el renacer de esta tecnología con la pandemia para convertir estos códigos en un vector de ataque “invisible”.
Su uso creció de manera exponencial en los últimos meses, puesto que según un estudio llevado a cabo por MobileIron, un 86% de usuarios móviles escaneó un código QR en el último año. Sin embargo, el mismo estudio refleja que un 34% de los encuestados no se preocupa por su seguridad al utilizar estos códigos. Por este motivo, Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, advierte de los ciberriesgos asociados a los códigos QR.
“Los códigos QR son códigos bidimensionales de Quick Response (respuesta rápida) que incorporan una URL incrustada en una imagen que, al escanearla, permite acceder a un sitio web. En definitiva, su funcionamiento es similar al de cualquier programa para acortar URLs”, señala Mario García, director general de Check Point para España y Portugal. El especialista advierte que la sensación de fiabilidad y falta de peligro que generan en los usuarios, así como su uso a través del smartphone, "hacen que se estén convirtiendo en un nuevo vector de”, añade Mario García.
En este marco, Fluid Attacks, compañía dedicada al hacking ético en los sistemas informáticos empresariales, destacó los ciberataques más importantes que tuvieron lugar en el 2021.
Mira también
1) SolarWinds, compañía de software con miles de clientes reconocidos, fue víctima de un ataque con malware que contaminó una de sus actualizaciones. El ataque comenzó meses antes de que se descubriera a finales de 2020. Por su efecto en cadena, fueron más de 18.000 las organizaciones afectadas. Los ciberdelincuentes involucrados pudieron recopilar enormes cantidades de información de varias agencias gubernamentales y del sector privado de los EE. UU. “Apenas comenzando el año, ya éramos testigos de las implicaciones de un ataque a una cadena de suministro (i.e., supply chain attack). Este tipo de amenaza ha cobrado gran relevancia durante 2021”, comenta Gómez.
Mira también
2) En marzo, fue mencionado un caso similar contra Microsoft Exchange Server, software que funciona como back end para sistemas de mensajes. En esta ocasión, el número de organizaciones víctimas, públicas y privadas, estuvo cercano a los 30.000 en los EE. UU. y a los 60.000 a nivel mundial. Los cibercriminales tomaron provecho de cuatro vulnerabilidades de día cero en aquel software, al menos desde principio de año. “Ellos accedieron a buzones de mensajes de usuarios, robaron contenido, e instalaron 'puertas traseras' para lograr un continuo acceso y control en los servidores”, explica el vocero de Fluid Attacks.
Mira también
3) En mayo, ocurrió el que podría considerarse como el más importante de los ciberataques del año. Fue el que recibió Colonial Pipeline, el sistema de oleoductos de productos refinados más grande de los EE. UU. Mientras se investigaba el problema, la compañía tuvo interrumpidos sus procesos de distribución, significando escasez de combustibles en parte del país y cambios en los precios del petróleo a nivel mundial. Para el desbloqueo de sus sistemas, Colonial Pipeline terminó pagando casi USD 5 millones al grupo de ransomware DarkSide. “Adicional al efecto devastador producto de este ataque, uno de los factores que concedió mayor relevancia a este suceso fue la enérgica respuesta del gobierno de los EE. UU.”, destaca Mauricio Gómez.
Mira también
4) A finales del mismo mes, el grupo de ransomware REvil logró influir sobre las redes informáticas de JBS, un gigante entre los procesadores de carne a nivel mundial. Esta compañía vio paralizadas sus operaciones por unos pocos días. La rápida solución que encontraron correspondió, como en otros casos, al pago de USD 11 millones por el “rescate” de sus sistemas. Por cierto, JBS comentó que ni sus datos ni los de sus clientes resultaron comprometidos. “Aunque este ataque se atribuye a REvil, también se dice que, en realidad, en muchas ocasiones, no es este grupo el responsable de perpetrar la ofensiva. REvil lo que hace es ofrecer el ransomware como servicio, siendo sus 'afiliados' los que distribuyen el software y resultan navegando por las redes de las víctimas”, dice el cofundador de Fluid Attacks.
Mira también
5) A REvil también se adjudicó en julio el caso de la empresa de software de gestión informática Kaseya. En este ataque, VSA, un software de Kaseya en plena actualización, resultó infectado, lo que significó afectación para varios de los clientes de la compañía. De allí, la infección continuó en crecimiento, alcanzando incluso a agencias gubernamentales y pequeñas empresas, ya que los primeros afectados eran distribuidores de servicios. Aproximadamente un total de 1.500 negocios vieron entorpecidas sus operaciones por este ataque alrededor del mundo. REvil, por su parte, comenzó a solicitar USD 70 millones a cambio de un “desencriptador universal”, pero con el paso de los días desapareció de la web, al menos por unos meses. Kaseya negó haber pagado por el desencriptador y comenzó a usar uno, supuestamente, obtenido gracias a un tercero.
6) Por último, otro de los sucesos destacados del año fue la fuga de datos que en el mes de octubre afectó a Twitch, reconocida compañía de transmisión de videos en vivo. Para este caso, los cibercriminales entregaron públicamente un torrent de 125GB en el que, aparte de documentos propios de la compañía y su código fuente, irónicamente, aparecieron herramientas de equipo rojo (hacking ético), es decir, aquellas que se usan para las pruebas y la simulación de ataques en favor de la ciberseguridad.
Tendencias de ciberseguridad en Argentina
El informe de Accenture 2021 Cyber Threatscape Report concluye que las empresas argentinas están escalando sus capacidades de ciberseguridad a nivel de todo el negocio. De esa forma, 43% de los ejecutivos argentinos dice que ya escaló esta capacidad, producto de la crisis, mientras 45% lo hará durante este año.
Federico Tandeter, Director Ejecutivo de Ciberseguridad para Accenture Hispanoamérica, explica que “estas son cifras muy positivas, porque escalar significa adoptar una postura de seguridad de forma integral, a través de toda la empresa y no en silos o proyectos específicos. De esa forma, las organizaciones logran impulsar una estrategia de ciberseguridad que tenga la capacidad de adaptarse con rapidez a los cambios constantes. Además, estas cifras implican que entre las empresas argentinas ya hay una alta adopción de ciberseguridad”.
Mediante un estudio, Accenture identificó las tendencias de ciberseguridad que marcarán a las empresas los próximos meses. Entre ellas, el denominador común es el aumento de ataques a nivel mundial, producto de la pandemia.
Los atacantes de ransomware están usando nuevos métodos:
Los ciberatacantes están ampliando la extorsión por fuga de datos, ideando nuevos métodos para presionar a las víctimas. Ahora están atacando a los colaboradores que están trabajando desde sus hogares, apuntando a nuevas industrias, utilizando tácticas de mayor presión para aumentar las consecuencias de la infección y desplegando cargas útiles más rápidas para que los métodos de detección sean más lentos. Las opciones de respuesta son cada vez más complicadas.
Los casos de los primeros meses de 2021 tuvieron como objetivo infraestructuras críticas: el ataque de ransomware a Colonial Pipeline paralizó la distribución en gran parte del sureste de Estados Unidos. Los operadores de ransomware interrumpen la producción en organizaciones que no pueden permitirse un tiempo de inactividad y se sienten presionados para pagar los rescates. Ahora, en lo que se ha bautizado como "cuádruple extorsión", los grupos no sólo encriptan archivos y amenazan con filtrar datos, sino que también amenazan con ataques de denegación de servicio distribuidos (DDoS) o contactan a clientes o socios comerciales de las víctimas y los presionan para que paguen los rescates.
Aumentan ataques de Cobalt Strike:
Los ciberatacantes buscan continuamente formas económicas de evadir la detección y complicar la atribución. Una de estas formas es integrar herramientas comerciales y de código abierto comerciales en su arsenal. Desde al menos diciembre de 2020, ha habido un notable aumento de ciberatacantes que adoptan versiones piratas de pruebas de penetración comercial Cobalt Strike. Entre 2019 y 2020, este tipo de ataques tuvo un crecimiento de más de un 160%. Este software pirata ha permitido campañas de gran impacto, incluyendo las recientemente descubiertas en SolarWinds, así como los prolíficos ataques de ransomware "name-and-shame". Su crecimiento continuará durante este año.
El commodity malware:
El commodity malware, denominado también "crimeware de gran volumen", presenta un desafío único y universal debido a su alta disponibilidad y escala. Es un peligro en el endpoint, que permite intrusiones en la red víctima y puede amenazar tanto a los sistemas de TI como a los de OT. Federico Tandeter explicó que “para enfrentar esta amenaza, las empresas deben parchear los sistemas de punto final, identificar potenciales vectores de infección, actualizar el software antivirus, mantener copias de seguridad y utilizar listas blancas de aplicaciones. Así también, realizar programas regulares de concientización sobre el phishing para todo el personal, segmentar dominios de Active Directory por función o criticidad y mantener un principio de mínimo privilegio para cada grupo de usuarios y cuenta”.
La Dark Web:
A medida que los ciberatacanantes se reúnen en los foros de la Dark Web para compartir e intercambiar herramientas, TTPs y datos de las víctimas, están aumentando sus tácticas de presión, aprendiendo a traspasar la seguridad, al mismo tiempo que encuentran nuevas formas de monetizar los registros de malware. Desde principios de 2021, ha habido un notable aumento de ciberatacantes que venden registros de malware en la Dark Web.
Federico Tandeter resaltó que “para enfrentar esta situación, las empresas deben realizar un seguimiento, buscar la alerta temprana de posibles accesos no autorizados a través de la supervisión responsable de la Dark Web, ya sea directamente o a través de un proveedor de inteligencia de amenazas. En segundo lugar, aumentar el intercambio de inteligencia de análisis de respuesta a incidentes. Compartir información para identificar potenciales amenazas, planificar y ejecutar la defensa de la red y las operaciones. Las organizaciones deben también preparar un plan de continuidad de las operaciones”.
