Los equipos de seguridad luchan contra amenazas motivadas por la geopolítica y movimientos laterales en las redes internas
En el contexto de la Black Hat USA 2022, VMware ha lanzado su octavo informe anual Global Incident Response Threat Report, que se sumerge en los retos
afrontados por los equipos de seguridad en un entorno dictado por la pandemia, el síndrome de
burnout y ciberataques motivados por la situación geopolítica. El 65 por ciento de los
defensores afirman que los ciberataques han incrementado desde la invasión Rusia de
Ucrania, según los resultados del informe. El estudio también destaca las amenazas
emergentes como los deepfakes, ataques a las API y cibercriminales que apuntan hacia el
propio personal de respuesta a los incidentes.
“Los cibercriminales están incorporando deepfakes a sus métodos de ataque para evadir los
controles de seguridad”, ha alertado Rick McElroy, estratega en ciberseguridad en VMware.
“Dos de cada tres participantes en el estudio han detectado deepfakes malignos como parte de
un ataque, un aumento del 13 por ciento respecto al año pasado, con emails como el principal
método de difusión. Los cibercriminales han evolucionado más allá del uso de vídeo y audio
sintéticos simplemente para operaciones de influencia o campañas de desinformación. Su
nueva meta es usar la tecnología deepfake para intervenir en organizaciones y obtener acceso
a su entorno”.Entre los hallazgos clave del informe encontramos:
Síndrome de burnout generalizado en los equipos. El 47 por ciento del personal de
respuesta a incidentes afirman que han experimentado burnout o estés extremo en los
últimos 12 meses, un ligero descenso con respecto al 521 por ciento del año pasado.
De este grupo, el 69 por ciento (frente al 65 en 2021) de los participantes han
considerado dejar su trabajo como consecuencia. Sin embargo, las organizaciones
trabajan para combatirlo; más de dos tercios de los participantes declararon que se
habían implementado programas de bienestar en sus lugares de trabajo para afrontar el
síndrome de burnout.
El ransomware incorpora estrategias de ciberextorsión. El predominio de los ataques de
ransomware, con frecuencia reforzados por grupos de colaboración entre
cibercriminales a través de la dark web, está lejos de terminar. El 57 por ciento de los
participantes se han enfrentado a este tipo de ataque en el último año, y dos tercios (66
por ciento) han descubierto colaboraciones entre grupos de ransomwear, mientras que
los ciberdelincuentes siguen extorsionando a las organizaciones a través del soborno ,
la doble extorsión y subastas de datos.
Las API son el nuevo horizonte y representan la siguiente barrera contra los ataques.
En un contexto en el que proliferan las cargas de trabajo y las aplicaciones, el 23% de
los ataques ponían en riesgo la seguridad de las API. Los tipos de ataque más
frecuente a las API incluyen la revelación de datos (hallada por el 42% de los
participantes es el último año), los ataques de inyección SQL y API (37% y 34%
respectivamente), y ataques de denegación de servicio (33%).
Los movimientos laterales conforman el nuevo campo de batalla. El movimiento lateral
se halló en el 25% de todos los ataques, y los cibercriminales llegaron a comprometer
desde script hosts (49%) y almacenamiento de documentos (46%) hasta PowerShell
(45%), plataformas de comunicación (41%) y .NET para rebuscar por el interior de las
redes. Un análisis de la telemetría dentro de VMware Contexa, una nube de inteligencia
contra las amenazas que está integrada en los productos de seguridad de VMware, ha
descubierto que tan solo entre abril y mayo de 2022 casi la mitad de las intrusiones
conllevaron un caso de movimiento lateral.
“Para la defensa de la creciente superficie de ataque, los equipos de seguridad necesitan un
nivel adecuado de visibilidad en todos los dispositivos, cargas de trabajo, usuarios y redes para
detectar, proteger y responder ante las ciberamenazas”, ha declarado Chad Skipper, global
security technologist de VMware.
“Cuando los equipos de seguridad toman decisiones en base
a datos incompletos o imprecisos, su habilidad para implementar una estrategia de
ciberseguridad pormenorizada se ve mermada, mientras que sus esfuerzos para detectar y
poner fin al movimiento lateral de los ataques se ven obstaculizados por el limitado contexto de
sus sistemas”.
A pesar del turbulento paisaje de amenazas que se detalla en el informe, los responsables de
respuesta a los incidentes luchan con fuerza y el 87% declara que a veces (50%) o muy a
menudo (37%) son capaces de interrumpir la actividad de un cibercriminal. Además, para
hacerlo están usando nuevas técnicas. Tres cuartas partes de los participantes declararon que
están desplegando parches virtuales como mecanismo de emergencia. En todos los casos,
cuanta más visibilidad tienen los defensores a lo largo de la superficie de ataque, mejor
equipados estarán para capear la tormenta.
Para más información sobre la evolución del escenario de las amenazas, además de
orientación y recomendaciones para los equipos de respuesta y de seguridad, descarga el
informe completo aquí.
Metodología
VMware llevó a cabo una encuesta online acerca de tendencias en el panorama de respuesta a
incidentes en junio de 2022, con la participación de 125 profesionales de ciberseguridad y
respuesta a incidentes de todo el mundo. Los porcentajes en algunas preguntas exceden el
100% ya que se instó a los participantes a escoger todas las opciones válidas. Debido a los
redondeos, es posible que la suma de los porcentajes de algunas preguntas no sea el 100%.
