Abordando el panorama de las Ciberamenazas


¿Sabes qué tienen en común tanto empresas como agencias, compañías gubernamentales, la banca, fabricantes y hasta el sector sanitario? Que durante el 2020, sufrieron pérdidas de datos, ataques y exigencias de los operadores de ransomware.

Es por ello que la Ciberseguridad hoy en día intenta encontrar sus bases operativas para hacer frente puesto que, el panorama de amenazas ha evolucionado, los agentes de amenazas siguen decididos a comprometer sistemas para su propio beneficio, cambian y adaptan sus elecciones de vectores y tácticas de ataque, obligando tanto a usuarios como a empresas a mantenerse un paso por delante. 

A medida que la pandemia originada por el COVID-19 causa estragos en nuestras economías globales, la lucha por mantenerse al día en cuanto a la seguridad cibernética por parte de las empresas es constante, al grado que las actualizaciones podrían registrarse de hora a hora. 

Es un hecho que las redes privadas virtuales (VPN) se han convertido en herramientas valiosas en la protección de conexiones de red frente a amenazas externas. No obstante, como ocurre con cualquier software, las soluciones de VPN también pueden albergar vulnerabilidades, las cuales, si se aprovechan, podrían permitir a los atacantes robar información patentada y llevar a cabo una vigilancia de los sistemas de sus objetivos.  

Tal vez podría interesarte nuestro blog “La apuesta de las empresas a la Ciberseguridad en México”

Como ejemplo, basta conocer la vulnerabilidad de VPN, CVE-2019-11510, la cual contabilizó casi 800,000 detecciones y participó en ataques durante el 2020 siendo utilizada para enviar ransomware, un programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado y en muchas ocasiones puede llegar a pedir un rescate a cambio de quitar esta restricción.  

Los agentes maliciosos también han encontrado otras formas de incorporar la VPN en sus ataques, recientemente se registró una instancia donde un atacante empaquetó un instalador de VPN con el accesorio Bladabindi, conocido por ser  una puerta trasera diseñada para inyectar sistemas con cargas útiles maliciosas, el cual se podría utilizar para recopilar información procedentes de los equipos infectados. 

Y como los ejemplos expuestos, sin duda seguirán surgiendo los métodos eficaces de extorsión, ofuscación y phishing, debido al mal manejo de la nube, infraestructuras y activos conectados por lo que la seguridad de las empresas no será menos compleja, sino que combinará los riesgos tradicionales con las nuevas tecnologías, como por ejemplo la inteligencia artificial (IA) en los fraudes comerciales. 

Además, el auge de las actividades profesionales a distancia colaboró para incrementar el uso de herramientas de comunicación como Zoom, Slack y Discord generando un incremento de los ataques que aprovechaban estas aplicaciones: desde las bromas como la forma de irrumpir en las reuniones virtuales, mejor conocida como “Zoombombing” a instaladores maliciosos de Zoom y claro, variantes de ransomware que utilizaba webhooks de Slack y una campaña de email de spam que utilizaba Discord para entregar malware. 

Echa un vistazo a “Ciberseguridad e innovación para la atención médica”

No obstante, el año supuso un hervidero de nuevas oportunidades para los cibercriminales en cuanto a actividades maliciosas ya que se aprovecharon de eventos importantes en sus sistemas para convertirlos en beneficios ilícitos, esto a través del uso de nuevas y viejas técnicas que dejaban vulnerabilidades, configuraciones erróneas y otras brechas en seguridad, mientras que las empresas y particulares trataban de avanzar a contrarreloj para adoptar tecnologías con el fin de adaptarse a los nuevos desafíos. 

Los operadores de ransomware además de exigir dinero para la restauración del acceso de sus víctimas a los datos cifrados, llegaron a amenazar con filtrar información sensible si las víctimas no desembolsaban el dinero, por ello, las organizaciones víctimas dieron su brazo torcer al sentirse expuestas al posible daño a su reputación que una filtración ocurriera. 

Los cibercriminales realizan transacciones e interactúan regularmente entre ellos delegando tareas para los trabajos frecuentes, mercantilizando los servicios clandestinos incluso vendiendo acceso a colecciones de datos robados gracias al ya mencionado mercado clandestino emergente, utilizado por actores malintencionados con el fin de realizar la venta de acceso a grandes cantidades de datos robados. 

Por ello, las preocupaciones de seguridad más importantes y cruciales que emergieron y persistieron en 2020,  dieron la oportunidad tanto a usuarios como a organizaciones de responder al cuestionamiento sobre cómo pueden abordar un panorama de amenazas en drástica evolución. 

Hasta este punto podríamos asegurar que las organizaciones han mejorado su seguridad, no obstante, los agentes maliciosos siguen encontrando maneras de colarse en sus sistemas comprometiendo sus partners localizados en su cadena de suministro. Al aprovecharse de relaciones estables y de confianza entre la organización atacada y sus partners, los atacantes de la cadena de suministro podían hacerse un hueco en los sistemas de la organización. 

“Los ataques no se detienen: Caso Orion” 

En diciembre del 2020 apareció uno de los ataques a la cadena de suministro más difundidos bajo la forma del ataque que implicaba a Orion, un software de sistema de gestión de red amplia al cual le insertaron una vulnerabilidad en determinadas compilaciones de Orion permitiendo a los atacantes comprometer los servidores que ejecutaban el software.

Una vez que la actualización pertinente pasó a los clientes, los atacantes pudieron implementar puertas traseras que les dieron total acceso a las redes afectadas y les permitieron realizar numerosas actividades maliciosas.  

Dada la naturaleza de algunos de los objetivos, incluidas las principales agencias gubernamentales de Estados Unidos, el ataque podría haber tenido graves consecuencias, y en este punto, es importante responder al cuestionamiento ¿y cómo fue que lograron infiltrarse? Y es que la gran mayoría de las detecciones de amenazas relacionadas a la COVID-19 procedieron de emails de spam maliciosos, incluidas aquellos destinadas a hacerse con información financiera y personal, mayormente procedentes de Estados Unidos, Alemania y Francia, los cuales curiosamente también están entre los países más golpeados por la pandemia.  

El sentido de urgencia y actualidad fungió un papel importante para la llegada de los estafadores detrás de estas amenazas pues personalizaban los mensajes con temas importantes como paquetes de estímulos frente a la COVID-19 y lanzamiento de vacunas.  

“Ante la guerra contra los cibercriminales por la información, nuestras armas son las soluciones” 

Recientemente el Informe Anual de Ciberseguridad de Trend Micro 2020 dio a conocer que en “el año del COVID-19”, la nube se convirtió en una herramienta más integral para los colaboradores de las operaciones de numerosas organizaciones.

No obstante, la correcta configuración de los servicios y activos en la nube siguen siendo todo un desafío. En abril, por ejemplo, se dio a conocer que atacantes habían introducido mineros de criptomoneda en los puertos API de daemon de Docker, mediante el malware Kinsing, el cual se conoce por estar relacionado con una campaña dirigida a puertos de API de Docker Daemon mal configurados, que permite que las amenazas se propaguen en entornos basados en Linux.

Posteriormente, para octubre, se notificó un ataque en API de Docker que implicó el uso de shellcode como carga. Cabe señalar que shellcode es un conjunto de órdenes programadas generalmente en lenguaje ensamblador y trasladadas a opcodes que suelen ser inyectadas en la pila de ejecución de un programa para conseguir que la máquina en la que reside se ejecute la operación que se haya programado, y al ser utilizado como carga se convirtió aparentemente en la primera vez que se utiliza esta técnica. 

Es evidente que, ante las constantes amenazas de Ciberseguridad perpetradas por los agentes decididos a comprometer sistemas para su propio beneficio, es más que necesario para las empresas contar con soluciones de ciberseguridad que protejan cualquier dispositivo de ataques y amenazas, resolviendo los problemas de visibilidad y gestión de las redes empresariales, combinando los mecanismos de políticas que permiten proteger las redes de manera efectiva. 

Si te gustó nuestro blog te recomendamos suscribirte a nuestros newsletter mensual para mantenerte al día sobre temas de ciberseguridad. 

Suscríbete a nuestro blog

Déjanos tu correo electrónico para enviarte actualizaciones de nuestros artículos.