El año 2023 viene pisando fuerte en el campo de la ciberseguridad. Para bien y para mal. Las malas noticias son que los incidentes y ataques van en aumento. Pero esto entraba en las previsiones. La buena noticia es que tanto las empresas como los proveedores de seguridad cuentan con estrategias y herramientas para hacerles frente. Eso sí, hay que implementarlas y ponerlas en marcha, algo en lo que aún flaqueamos. Muchas organizaciones no están todavía del todo preparadas para afrontar las actuales amenazas, que se encuentran en constante cambio. Lo más importante es la prevención, la resiliencia y para ello es necesario que las empresas inviertan en soluciones capaces de ir por delante de los ciberdelincuentes. Así lo explica Jacobo Ros, director de NCC Group en España en esta entrevista para Bit Life media en la que describe el panorama actual de los ciberataques y la ciberseguridad a nivel global.

Bit Life media. Según los datos que manejan, este año ha comenzado muy activo en ciberataques. De hecho, el pasado mes de enero fue el más activo de los últimos tres años, ¿qué causas explican este crecimiento?

Jacobo Ros. Según los últimos datos que hemos registrado no sólo en enero, sino también en febrero y marzo, las cifras van a ir creciendo. Concretamente, además de que el mes de enero de 2023 fue el más activo de los últimos tres años, sumamos que el volumen de ataques de ransomware en marzo de 2023 alcanzó un máximo histórico, según nuestro equipo de análisis Global Threat Intelligence. Lo que supone un aumento del 91% desde febrero y un incremento del 62% en comparación con marzo de 2022.

Es probable que este enorme aumento de los ataques esté relacionado con la vulnerabilidad MFT de GoAnywhere, que está siendo explotada en todo el mundo, y que fue utilizada por Cl0p, la amenaza más activa del mes de marzo. Sin duda esto es un indicio de la continua evolución del panorama de las amenazas y del patrón de ataques que podemos esperar que surja a lo largo de todo 2023. Es más importante que nunca que las organizaciones permanezcan vigilantes y practiquen una buena higiene de seguridad, incluyendo asegurarse de que los sistemas están parcheados y correctamente respaldados.

«El volumen de ataques de ransomware en marzo de 2023 alcanzó un máximo histórico«

Cl0p ha creado una tormenta tras explotar la vulnerabilidad GoAnywhere, superando incluso a LockBit 3.0 como el actor más prolífico. Esta es la primera vez que hemos visto a Cl0p ocupar una posición de liderazgo, y si sus operaciones siguen siendo consistentes podemos esperar que sigan siendo una fuerte amenaza durante todo el año. Seguiremos de cerca la evolución de este actor.

Jacobo Ros director de NCC Group en España NCCGroup entrevista bit life media
Jacobo Ros, director de NCC Group en España

BLm. ¿Hasta qué punto el conflicto en Ucrania está repercutiendo en este aumento de la actividad ciberdelictiva?

JR. El conflicto de Rusia y Ucrania está impactando en dos áreas concretas. Una es en la amenaza cibernética general, y otra en la cadena de suministro.

En cuanto a la amenaza general, por un lado tenemos que tener en cuenta que en un contexto de conflicto los ataques de ciberseguridad pueden ser indiscriminados y, por tanto, pueden también arrastrar a víctimas que no eran el objetivo principal, que es lo que está sucediendo en este caso. Y por otro lado,  en cuanto a la cadena de suministro, cuando se inició la guerra había muchas empresas que tenían proveedores que operaban desde Ucrania y Rusia, lo que suponía un gran riesgo. Por eso, muchas optaron o bien por retirar sus operaciones de Rusia o se mudaron para reducir su dependencia. Aquellas que tenían proveedores en Ucrania, muchas sin embargo tras un acuerdo, han decidido continuar trabajando con ellos para mostrarles su apoyo. Lo que supone una gran dificultad a la hora de buscar mejorar la resiliencia en su cadena de suministro.

BLm. El sector industrial y de consumo siguen siendo los más atacados. Sin embargo, los ciberataques al sector sanitario proliferan cada vez más. ¿Por qué son tan atractivos estos sectores para los ciberdelincuentes?

JR. Es cierto que el sector sanitario es uno de los principales objetivos de los ciberdelincuentes en los últimos años, sobre todo desde la pandemia. Pero, sin embargo, no podemos decir que actualmente, según los datos que tenemos, sea el más atacado a nivel global. De hecho, en el mes de enero hemos observado que el sector educativo, por ejemplo, ha ocupado puestos superiores en nivel de ciberataques. Lo que sucede es que el sector sanitario es, por un lado, un sector muy vulnerable por diversas razones: falta de formación en ciberseguridad, obsolescencia de los dispositivos y rápida transformación digital debido a la pandemia, y por otro lado, los datos son tan sensibles y críticos, que los cibercriminales pueden sacar rédito económico fácil, a través del chantaje por el pago para la recuperación de datos o en a través de su venta en la dark web.

Para poder combatir los ataques en el sector sanitario, lo primero es implementar unas buenas prácticas de ciberseguridad para aumentar la resiliencia del sistema sanitario. Empezando por una buena formación en ciberseguridad de todo el personal sanitario. En segundo lugar, con aquellas soluciones de ciberseguridad que permitan reaccionar de forma rápida ante un incidente y, en tercer lugar, adoptar una estrategia de prevención, como la estrategia de “Zero Trust”, entre otras. Desde proteger sus ordenadores con software de «detección y respuesta en endpoints», a aplicar una autenticación multifactor en aplicaciones externas e internas.

«La estrategia de cada empresa es única, pero hay una constante: la necesidad de inteligencia de amenazas«

BLm. En España hemos visto cómo especialmente los ciberataques en el sector sanitario están causando verdaderos estragos. Un claro ejemplo lo estamos viendo en el ataque de ransomware que ha experimentado el Hospital Clínic de Barcelona. ¿Cómo creen que van a evolucionar estas amenazas en los próximos meses?

JR. El cuidado de la salud ha sido durante mucho tiempo un objetivo popular para una gran cantidad de diferentes actores de amenazas, incluidos los grupos criminales que se enfocan en obtener ganancias financieras, generalmente a través de actividades de extorsión (ransomware, robo y divulgación de datos confidenciales); grupos del Estado Nación, que se han centrado en robar datos o investigaciones confidenciales; y grupos hacktivistas como KillNet, que atacaron a los institutos de salud a principios de este año como parte de su campaña de apoyo a Rusia en el conflicto de Ucrania.

La amenaza a la atención médica persistirá y, a medida que los grupos del crimen organizado y los corredores de acceso inicial busquen ganar más dinero, se centrarán en organizaciones (como los proveedores de atención médica) que quizás sean menos seguras que las más maduras, donde es probable que tengan más éxito.

BLm. Otra de las tendencias que está experimentando un notable auge es el ransomware como servicio (RaaS), ¿cómo están actuando este tipo de amenazas y cómo esperan que evolucionen?

JR. El uso de ransomware ha evolucionado desde el uso del cifrado como táctica de extorsión hasta la doble extorsión (cifrado y exfiltración de datos), un modelo que ha tenido un gran éxito para grupos como Lockbit y AlphV. Pero ahora, estamos viendo más grupos criminales que se enfocan únicamente en la exfiltración de datos y amenazan con divulgar estos datos como parte de sus demandas de extorsión. Es probable que continúe el enfoque en la exfiltración de datos en lugar del cifrado.

Como dato, en el pasado mes de marzo hemos visto un notable incremento de los ataques del proveedor de Ransomware-as-a-Service (RaaS), Cl0p, que explotó con éxito la vulnerabilidad GoAnywhere y fue el actor de amenazas más activo de marzo, con 129 (28%) víctimas en total. Es la primera vez que Cl0p alcanza esta posición y, si continúa con este nivel de actividad, es probable que supere sus cifras anuales anteriores.

BLm. En este sentido, LockBit sigue manteniéndose como principal actor de amenazas después de 4 años desde su aparición. ¿Están las empresas españolas lo suficientemente preparadas para afrontar las actuales amenazas? ¿Cómo pueden las organizaciones y usuarios protegerse de ellas?

JR. Sí, es cierto que Lockbit empezó como principal actor este año, pero en marzo LockBit 3.0 quedó en segundo lugar, con 97 ataques de ransomware (21%). Se trata de la segunda vez que Lockbit 3.0 ha sido desbancado del primer puesto, desde septiembre de 2021. Pero a pesar de que las cifras han aumentado en todo el panorama de amenazas, Lockbit 3.0 ha registrado un descenso del 25% con respecto a los 129 ataques observados en febrero.

En España las empresas y las administraciones están cada vez más concienciadas de la importancia de la ciberseguridad y de los riesgos que conlleva no contar con una estrategia de ciberseguridad adecuada a las necesidades de cada organización. Sobre todo teniendo en cuenta que es el tercer país más ciberatacado del mundo en 2022, según estudios publicados recientemente. Pero no están aún del todo preparadas para afrontar las actuales amenazas, que se encuentran en constante cambio y evolución. Lo más importante es la prevención y para ello es necesario invertir en soluciones capaces de ir por delante de los ciberdelincuentes.

Es muy importante que las empresas entiendan que necesitan un enfoque basado en la resiliencia con una gobernanza madura y una estrategia de riesgo. La estrategia de cada organización será única, pero una cosa que permanece constante es la necesidad de inteligencia de amenazas para informarla.

BLm. Otra de las amenazas que están proliferando notablemente son los infostealers, ¿cómo están actuando y cómo hacerles frente?

JR. El malware Infostealer, como RacoonStealer, RedLine y Vidar, es un tipo de software malicioso que roba información confidencial del sistema informático de la víctima y la envía a sus creadores para el robo de identidad, el fraude y la ganancia financiera. Si un usuario inicia sesión en su banco o compra en línea, el malware recopila nombres de usuario y contraseñas, lo que significa que las cuentas personales de una persona podrían verse comprometidas. Se puede propagar a través de correos electrónicos de phishing, descargas infectadas y sitios web maliciosos, y se puede disfrazar de software legítimo o actualizaciones de seguridad.

En el caso de que un usuario de computadora tenga un ladrón de información en su dispositivo y lo use con fines laborales, es posible que también se vulneren las credenciales de usuario corporativo.

Para evitar que se instale malware de robo de información en sus dispositivos, los usuarios deben mantener actualizados su software y sus sistemas de seguridad, tener cuidado al abrir correos electrónicos o descargar software, ejecutar análisis antivirus regulares y mantener copias de seguridad de archivos importantes.

BLm. Desde su punto de vista, ¿cómo creen que evolucionarán las ciberamenazas a lo largo de este año en el mercado español?

JR. Siempre es muy complicado intentar predecir este tipo de cosas, pero con lo que sabemos a día de hoy lo más probable es que el ransomware no se irá a ninguna parte. En todo caso, el modelo comercial y las acciones de los grupos detrás del ransomware evolucionarán. La evolución más probable se centrará más en la exfiltración de datos que en el cifrado. Esta es una tendencia que hemos visto al final del año pasado y en este año. Las acciones de Cl0P en los últimos tiempos son un ejemplo de esto.

Es probable que aumente la actividad de los intermediarios de acceso inicial, centrándose en infiltrarse y vender el acceso a las organizaciones. Hemos notado también un aumento en la actividad en foros y mercados por parte de los corredores de acceso, lo cual está alimentando otros delitos, incluidos el fraude y la extorsión.

Los grupos hacktivistas, en particular los que surgieron de la guerra entre Ucrania y Rusia, han sido extremadamente activos y seguirán siéndolo. Grupos como Killnet han estado realizando ataques DDoS y desfiguración de bajo nivel, pero es posible que sus acciones aumenten en severidad. MFA Bypass demostrará ser un desafío de seguridad a medida que los actores de amenazas continúan buscando formas de evitar este control de seguridad clave.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre