Victor Manuel Arce GarciaThe Times en Español conversó con Diego Macor, IBM Security Manager Chile, para conocer en detalle los resultados de su informe anual X-Force Threat Intelligence Index.
Uno de los puntos centrales es que, si bien, el porcentaje de incidentes de ransomware a nivel mundial disminuyó levemente (4 puntos porcentuales) de 2021 a 2022, en Latinoamérica aumentó ligeramente (3 puntos porcentuales). Aunque los defensores tuvieron más éxito detectando y previniendo ransomware, los atacantes han seguido innovando.
El informe muestra que el tiempo promedio para completar un ataque de ransomware disminuyó de 2 meses a menos de 4 días.
Según el informe de 2023, la implementación de backdoors o puertas traseras, que permiten el acceso remoto a los sistemas, surgió como la segunda acción más realizada por los atacantes en el último año en la región. Muchos de esos casos de backdoors, estuvieron relacionados con intentos de ransomware, en los que los defensores fueron capaces de detectar las puertas traseras antes de la implementación del ransomware.
El repunte en implementaciones de backdoors se puede atribuir parcialmente a su alto valor de mercado. X-Force observó que los actores de amenazas venden los accesos de backdoors existentes en la dark web por hasta 10,000 dólares en comparación con los datos de tarjetas de crédito robados, que actualmente se venden por menos de 10 dólares.
¿Cómo se pueden enfrentar, a través de qué herramientas, los cibercriminales en Latinoamérica?
Las organizaciones en Latinoamérica deben seguir una serie de recomendaciones para enfrentar a las organizaciones cibercriminales.
En primer lugar, es fundamental que la empresa realice una gestión de sus activos, para que, a partir del reconocimiento interno, pueda construir una defensa exitosa y holística. Por ello, deben empezar preguntándose a sí mismas cuáles son todos los activos tecnológicos que poseen, qué es lo que están defendiendo y cuáles son los datos críticos para el negocio. Priorizar el descubrimiento de activos en el perímetro, comprender su exposición a ataques y reducir esas superficies de ataque, son pasos claves para construir una estrategia de seguridad integral. Adicionalmente, las organizaciones deben ampliar sus programas de gestión de activos para incluir la búsqueda del código fuente, las credenciales y otros datos que ya podrían existir en Internet o en la dark web.
Luego de “autoconocerse”, las organizaciones deben ahora conocer muy bien a los actores de amenazas, especialmente a los que tienen más probabilidades de apuntar a su industria, organización y geografía. Esta perspectiva incluye comprender cómo operan los actores de amenazas, identificar su nivel de sofisticación y saber qué tácticas, técnicas y procedimientos son más probables que empleen los atacantes.
Después de comprender más acerca de los adversarios con mayor probabilidad de atacar, las organizaciones deben asegurarse de tener la visibilidad adecuada de las fuentes de datos que indicarían la presencia de un atacante. Mantener la visibilidad en los puntos clave de toda la empresa, garantizar que las alertas se generen y actuar de manera oportuna es fundamental para detener a los atacantes antes de que puedan causar interrupciones.
Además, es altamente recomendable que las empresas adopten un enfoque de seguridad en donde asuman que ya están comprometidas. Al hacerlo, los equipos pueden reexaminar continuamente cómo los atacantes pueden infiltrarse en sus sistemas; qué tan bien les va a sus capacidades de detección y respuesta frente a tácticas y técnicas emergentes; y el nivel de dificultad para que un posible adversario comprometa sus datos y sistemas más críticos. Los equipos de seguridad más exitosos realizan pruebas ofensivas regulares que incluyen búsqueda de amenazas, pruebas de penetración y aprovechan sus equipos “red team” para que, basados en objetivos, detecten o validen rutas de ataque oportunistas en sus entornos tecnológicos.
Para reforzar esta detección y respuesta a incidentes, es crucial aplicar la inteligencia de amenazas de forma transversal en toda la empresa. De acuerdo con IDC, el 54% de las aplicaciones utilizadas por organizaciones chilenas son heredadas y requieren ser actualizadas con mayor seguridad. La actualización de los sistemas de inteligencia de amenazas y su aplicación eficaz permitirá a las empresas analizar rutas de ataque comunes e identificar oportunidades clave para mitigar ataques, además de ayudar a desarrollar oportunidades de detección altamente fiables.
Finalmente, las empresas deben aceptar que recibir ciberataques es inevitable en los tiempos actuales y por ende, es necesario que se mantengan preparadas y desarrollen planes de respuesta a incidentes personalizados para su entorno. Esos planes deben modificarse regularmente a medida que cambia la organización, con un enfoque en mejorar la respuesta, la remediación y el tiempo de recuperación. Contar con un proveedor de Respuesta a Incidentes (IR) de buena reputación, reduce la cantidad de tiempo que se necesita para que los profesionales de IR calificados se concentren en mitigar un ataque. Además, incluir al proveedor de IR en el desarrollo y prueba del plan de respuesta es fundamental porque contribuye a una respuesta más eficaz y eficiente.
¿Qué efectos producen los ataques cibercriminales en cuanto a los costos que significa perder y recuperar información y el tener que adquirir nuevos equipamientos?
Conforme pasa el tiempo, los cibercriminales van modernizando sus ataques, complicando el panorama de recuperación y rescate de información para las empresas y, por ende, elevando los costos. De hecho, el informe anual de IBM Security, Cost of a Data Breach 2022, reveló que las filtraciones de datos en América Latina tienen un costo promedio de USD 2.09 millones de dólares, el mayor costo en la historia del informe para las organizaciones encuestadas. Esto significa un aumento del 15% con respecto al 2021.
Uno de los mayores blancos de los actores de amenazas estudiados en el reporte son las organizaciones de infraestructuras críticas. El costo global promedio de una filtración de datos para estas organizaciones fue de USD 4.82 millones de dólares, mayor que el promedio mundial (USD 4.35 millones de dólares). Para este tipo de empresas, el no adoptar un enfoque Zero Trust, como estrategia de seguridad, supone un aumento del costo de la filtración de datos, alcanzando hasta los USD 5.4 millones de dólares.
Adicionalmente, el ransomware es una de las amenazas principales de las organizaciones de infraestructura crítica y las demás empresas de la región. Las víctimas del ransomware del estudio que optaron por pagar el rescate sólo vieron una disminución de USD 630.000 dólares en el costo promedio de la filtración, en comparación con aquellas que no lo hicieron, esto sin incluir el costo del rescate. El precio de los rescates puede ser mayor a a USD 800.000 dólares y el costo financiero puede ser aún mayor, ya que las empresas podrían estar financiando inadvertidamente futuros ataques con el capital que sería útil para esfuerzos de corrección y recuperación.
¿Cuáles son los principales desafíos en materia de cibercriminales en la región?
El estudio más reciente de IBM, anunciado esta semana, el X-Force Threat Intelligence Index 2023, sacó a relucir diversos hallazgos que separan a América Latina de las tendencias globales de ciberseguridad.
Primeramente, Latinoamérica es la cuarta región del mundo más atacada, representando el 12% de los ataques que el equipo de respuesta a incidentes de X-Force observó. Asimismo, Chile es el cuarto país más atacado de la región, empatando con Perú.
Dentro de los ataques más comunes que ha recibido la región, el ransomware se corona como el atacante principal, representando un 32% de los ataques y además, registrando la mayor proporción de ataques de ransomware del mundo. Tomando en cuenta que el ransomware es una de las amenazas que genera los más altos costos de rescate, América Latina se encuentra navegando un momento difícil y por ello, debe realizar mayores inversiones en estrategias de seguridad integrales.
Luego del ransomware, los ataques backdoors se posicionan en segundo lugar con un 16%, BEC con un 11% y Email Thread Jacking con un 11%.
Como se mencionó anteriormente, es fundamental conocer al oponente para desarrollar y mejorar los mecanismos de defensa de una organización y por suerte el estudio ahora muestra el impacto u objetivo principal de los ciberatacantes en las empresas latinoamericanas. Encabezando la lista, se observa que los actores de amenazas apelan a la extorsión, seguido del robo de datos, las ganancias financieras ilícitas, la destrucción de datos y finalmente, las filtraciones de datos.
Actualmente, en la región, la industria Retail y Mayorista enfrenta los mayores desafíos de ciberseguridad al ser la industria más atacada, difiriendo de la tendencia global en donde Manufactura se encuentra primero. La segunda industria es Finanzas y Seguros, y posteriormente Manufactura y Energía.
Para evaluar sus capacidades de respuesta a incidentes, las empresas pueden poner su plan de seguridad en un ejercicio de rango cibernético inmersivo y de alta presión. De esta manera, observarán sus puntos débiles y podrán practicar por si llega el momento.
Otros antecedentes
El comercio minorista y mayorista fueron los más atacados. Los incidentes en Latinoamérica fueron contrarios a las tendencias de industria globalmente. El comercio minorista y mayorista abandonaron el segundo lugar para convertirse en el sector más atacado en 2022, representando el 28% de los casos que X-Force solucionó. Finanzas y seguros fue el segundo sector más atacado con el 24% de los casos, seguido por energía y manufactura, ambos con un 20%.
El compromiso de e-mails empresariales (en inglés, BEC) disminuyó en la región. BEC ocupó el tercer puesto en 2022 con el 11% de los incidentes a los que X-Force respondió. Este tipo de ataques se produce cuando se accede a un servidor para lograr objetivos finales desconocidos. Para obtener acceso, los atacantes usaron principalmente enlaces o links de spearphishing, archivos adjuntos maliciosos y explotación de cuentas válidas.
Los ciberdelincuentes explotan las conversaciones por correo electrónico. El secuestro de hilos de conversación de e-mail aumentó considerablemente en 2022, con atacantes utilizando cuentas comprometidas para responder a conversaciones en curso, haciéndose pasar por el participante original. X-Force observó que la tasa de intentos mensuales a nivel mundial aumentó 100%. En la región, el secuestro de conversaciones de e-mail representó el 11% de los ataques.
Extorsión: el método preferido de los actores de amenazas. En la región, uno de los impactos más comunes de los ciberataques el año pasado fue la extorsión, alcanzada principalmente con ataques de ransomware o BEC, reflejando la tendencia global. Los ciberdelincuentes atacan principalmente a los sectores, empresas y regiones más vulnerables usando esquemas de extorsión y aplicando una alta presión psicológica para forzar a las víctimas a pagar.
Algunos de los hallazgos globales del informe de 2023 incluyen:
Los phishers “desisten” de los datos de tarjetas de crédito. El número de ciberdelincuentes enfocados en la información de las tarjetas de crédito en kits de phishing cayó un 52 % en un año, indicando que los ciberatacantes le están dando prioridad a información de identificación personal como nombres, e-mails y direcciones, que se pueden vender a un precio más alto en la dark web o pueden ser usados para realizar más operaciones.
Las vulnerabilidades de seguridad heredadas siguen haciendo el trabajo. El porcentaje de exploits de seguridad relacionados con vulnerabilidades disminuyó 10 puntos porcentuales de 2018 a 2022, debido a que el número de vulnerabilidades alcanzó otro récord en 2022. Los hallazgos indican que las vulnerabilidades de seguridad heredadas permiten que infecciones de malware más antiguas como WannaCry y Conficker sigan existiendo y extendiéndose.
Las marcas más suplantadas incluyen las principales empresas de tecnología. Las credenciales robadas de estos servicios son valiosas para acceder a las cuentas que las víctimas utilizan para gestionar su presencia en línea. X-Force cree que este cambio en la lista hacia una más diversa se debe a la capacidad mejorada para identificar a las marcas que un kit puede suplantar y no solo la que está atacando por defecto.
El informe presenta datos que IBM recopiló globalmente para proporcionar información relevante sobre el panorama de amenazas global e informar a la comunidad de seguridad sobre las amenazas más relevantes para sus organizaciones.