Tag corporativo

Con llave y candado: Cómo proteger los datos corporativos de las ciberamenazas en 2025

by morfil Noticias

Las violaciones de datos pueden causar una pérdida de ingresos y de valor de mercado como resultado de la disminución de la confianza de los clientes y de los daños a la reputación.

Según el Centro de Recursos contra el Robo de Identidad (ITRC, por sus siglas en inglés), en 2023 se produjeron más de 3.200 ataques de datos en Estados Unidos, con 353 millones de víctimas, incluidas las que se vieron afectadas varias veces. Cada una de esas personas podría ser un cliente que decide llevar su negocio a otra parte como resultado. O un empleado que reconsidera su puesto en su organización. Esto debería ser motivo suficiente para dar prioridad a la seguridad de los datos.

Sin embargo, a pesar de que las empresas de todo el mundo gastan decenas de miles de millones de dólares al año en ciberseguridad, las filtraciones de datos siguen proliferando. ¿Por qué resulta tan difícil mitigar estos riesgos cibernéticos? La escala y variedad de los ataques, los recursos de los actores de las amenazas y el tamaño de la superficie de ataque típica de las empresas son algunas de las respuestas.

Por qué los datos son un negocio

El volumen de datos creados en todo el mundo se ha disparado en los últimos años gracias a la transformación digital. Según una estimación, en 2024 se crearán, capturarán, copiarán y/o consumirán 147 zettabytes cada día. Estos datos contienen la clave para desbloquear información vital sobre los clientes, mejorar la eficiencia operativa y, en última instancia, tomar mejores decisiones empresariales. También contienen secretos comerciales, IP sensible e información personal/financiera sobre clientes y empleadores, que es altamente monetizable en el subsuelo de la ciberdelincuencia. Esto la pone en peligro tanto para los ciberdelincuentes con motivaciones financieras como para los actores alineados con el Estado.

Según el ITRC, en 2023 se produjeron en Estados Unidos más de 3.200 ataques contra datos. Estos pueden causar importantes daños financieros y de reputación, incluyendo:

  • Costosas demandas colectivas
  • Daños a la marca
  • Pérdida de clientes
  • Caída del precio de las acciones
  • Costes asociados al análisis forense y la recuperación informática
  • Multas reglamentarias
  • Costes de notificación de infracciones
  • Pérdida de productividad
  • Interrupciones operativas

¿Cuáles son las amenazas más graves para los datos?

No todas las violaciones son deliberadas. Más de dos tercios (68%) de las analizadas por Verizon el año pasado tuvieron su origen en «una acción humana no malintencionada», como que un empleado fuera víctima de un ataque de ingeniería social o enviara accidentalmente información confidencial por correo electrónico al destinatario equivocado. El error humano también puede incluir una mala configuración de sistemas informáticos críticos, como las cuentas en la nube. Puede ser algo tan simple como no añadir una contraseña fuerte y única.

Sin embargo, también hay que ser consciente de la amenaza de los intrusos malintencionados. Estos tienden a ser más difíciles de detectar, si la persona en cuestión oculta deliberadamente pruebas de sus malas acciones, mientras que al mismo tiempo es capaz de utilizar el conocimiento interno de los procesos de negocio y herramientas. Se afirma que el coste de este tipo de incidentes se está disparando.

Los actores envalentonados de los Estados nación también constituyen un adversario persistente y sofisticado. Puede que sólo representen alrededor del 7% de las violaciones (según Verizon), pero tienen muchas posibilidades de éxito si su organización tiene la mala suerte de ser un objetivo o se ve atrapada en el fuego cruzado.

¿Cuáles son los principales vectores de amenaza a los que se enfrenta su organización?

  • El phishing y otros métodos de ingeniería social siguen siendo una de las principales vías de ataque. ¿Por qué? Porque los seres humanos siguen siendo criaturas falibles que a menudo se tragan las historias que les cuentan los estafadores. Si estos esfuerzos se dirigen a individuos específicos en ataques de spear-phishing, tienen aún más posibilidades de éxito. Los ciberdelincuentes pueden extraer información de las redes sociales, especialmente de LinkedIn, para adaptar estos mensajes.
  • Las cadenas de suministro pueden secuestrarse de varias maneras. Los ciberdelincuentes pueden utilizar la nube o los proveedores de servicios gestionados (CSP/MSP) como trampolín para acceder a las organizaciones de varios clientes. O podrían implantar malware en componentes de código abierto y esperar a que se descarguen. En los ataques más sofisticados, podrían vulnerar a un desarrollador de software e instalar malware dentro de actualizaciones de software, según la campaña de SolarWinds.
  • La explotación de vulnerabilidades sigue siendo uno de los tres métodos principales para desencadenar ataques de ransomware. Según Verizon, el volumen de exploits de vulnerabilidades asociados a incidentes de violación de datos este año creció un 180% con respecto a 2023. El grupo de inteligencia Five Eyes ha advertido de que el número de vulnerabilidades de día cero también está creciendo, lo que debería ser motivo de preocupación aún mayor, ya que se trata de fallos para los que no existen parches de software.
  • Las credenciales comprometidas suelen ser el resultado de una mala seguridad o gestión de contraseñas, ataques de phishing con éxito, filtraciones de datos a gran escala o ataques de fuerza bruta contra contraseñas. Constituyen una de las formas más eficaces de eludir sus ciberdefensas, sin hacer saltar ninguna alarma. Verizon afirma que el uso de credenciales robadas ha aparecido en casi un tercio (31%) de todas las brechas de la última década.
  • El BYOD sigue ofreciendo oportunidades a los actores de amenazas, ya que los empleados de las empresas a menudo se olvidan de descargar antimalware en sus dispositivos personales. Si se ven comprometidos, los piratas informáticos pueden obtener inicios de sesión para cuentas corporativas en la nube, acceder a correos electrónicos de trabajo y mucho más.
  • Vivir de la tierra es un conjunto de técnicas de post-explotación comúnmente utilizadas para el movimiento lateral y la exfiltración, que permiten a un adversario permanecer oculto a plena vista. Utilizando herramientas legítimas como Cobalt Strike, PsExec y Mimikatz, pueden realizar una serie de funciones de forma difícil de detectar.

También debemos mencionar aquí el potencial de las herramientas basadas en IA para ayudar a los actores de amenazas. El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) afirmó en enero de 2024 que la tecnología «aumentará casi con toda seguridad el volumen y agudizará el impacto de los ciberataques en los próximos dos años», especialmente en lo que respecta al reconocimiento y la ingeniería social.

Contraatacar

Afrontar el reto de las filtraciones de datos significa tomar medidas en todos los frentes, para reducir el riesgo en una superficie de ataque que sigue creciendo con cada inversión en transformación digital, punto final de trabajo remoto sin parchear y credencial robada. He aquí algunas ideas para empezar:

  • Comprender el alcance de su superficie de ataque mediante el mapeo continuo de todos sus activos de TI
  • Implementar programas de gestión de vulnerabilidades y parches basados en el riesgo, incluidas pruebas de penetración periódicas
  • Asegurarse de que todos los equipos y dispositivos corporativos están protegidos por un software de seguridad multicapa
  • Instalar herramientas de prevención de pérdida de datos
  • Utilizar la gestión de dispositivos móviles (MDM) para vigilar todos los dispositivos y asegurarse de que tienen instalado un antimalware de un proveedor de confianza
  • Aplcar políticas de contraseñas seguras y autenticación multifactor (MFA) en todas partes
  • Educar a las personas sobre cómo detectar mensajes de phishing y otras áreas críticas de concienciación sobre seguridad
  • Crear un plan de respuesta a incidentes y someterla a pruebas de estrés periódicamente
  • Cifrar los datos en tránsito y en reposo
  • Auditar a los proveedores y socios externos
  • Supervisar la red y los puntos finales para alertar con antelación de cualquier intrusión
  • Asegurarse de que los sistemas en la nube están correctamente configurados

Como recientemente se celebró el Día Internacional de la Protección de Datos, está claro que mantener nuestros datos más sensibles bajo llave requiere vigilancia tanto por parte de los individuos como de las empresas en las que confían para que cuiden de su información. Las consecuencias normativas de no hacerlo podrían ser graves, al igual que la pérdida de confianza de los clientes. Pero lo contrario también es cierto. Demuestre que su empresa es un custodio responsable de estos datos, y podría convertirse en un poderoso diferenciador competitivo.

 

Fuente: www.welivesecurity.com

5 amenazas corporativas que NO son ransomware

by morfil Noticias

Si bien el ransomware es una de las amenazas informáticas qué más preocupación genera a las empresas y organizaciones a nivel global, lejos está de ser la única.

En la última edición del ESET Security Report las empresas de América Latina manifestaron que sus principales preocupaciones a nivel de ciberseguridad son el robo de información y el acceso indebido a sus sistemas, además de los códigos maliciosos. Lo cierto es que los cibercriminales se valen de distintas alternativas para realizar estas actividades maliciosas, desde aprovechar bases de datos mal configuradas, técnicas de ingeniería social para engañar a empleados y obtener información o acceso, vulnerabilidades en tecnologías que utiliza la organización o algún proveedor, o el uso de credenciales débiles y fáciles de descifrar, etc. Por lo tanto, si bien el ransomware es un tipo en particular de malware que despierta preocupación a las organizaciones por el impacto económico y a la reputación, no es la única forma de amenaza informática dirigida a las organizaciones.

No nos olvidemos que salvo los ataques que tienen como objetivo realizar tareas de espionaje, la principal motivación de los actores de amenazas es obtener un beneficio económico, por lo que buscarán la forma de monetizar sus ataques, ya sea mediante la extorsión, venta de datos en el mercado clandestino de la dark web u otra forma.

1. Filtración o exposición de datos

La filtración de datos se da como consecuencia de un acceso indebido a los sistemas de una organización. Una vez dentro de la red algunos actores de amenazas más sofisticados logran permanecer lejos de los radares de detección para realizar tareas de reconocimiento, buscando información sensible para robar o incluso intentando escalar privilegios para acceder a información más crítica y de mayor valor. Las formas de acceso inicial a los sistemas de la víctima varían, ya que los atacantes pueden utilizar distintos vectores para su cometido.

Más allá de que la filtración o exposición de información sea como consecuencia de algunas de las amenazas que describiremos más abajo en este artículo, como puede ser un ataque de phishing que descargue un malware o mediante ataques de fuerza bruta, las filtraciones se dan también por errores humanos, como configuraciones indebidas de bases de datos o debido al acceso de alguien interno a la organización que tenía permisos innecesarios y que por error o deliberadamente compartió información sensible. Algo similar ocurre con los dispositivos físicos robados que contienen información sensible o accesos.

Por otra parte, un ataque a un proveedor podría provocar la exposición de datos de la organización, y la seguridad de este proveedor es algo que está más allá del control de la empresa, pero es un riesgo que se debería tener presente a la hora de evaluar la seguridad de la organización.

2. Ataques de fuerza bruta

Como mencionamos en el punto anterior, una de las formas más comunes que utilizan los cibercriminales de acceder a los sistemas de una empresa es a través de ataques de fuerza bruta. Los actores maliciosos utilizan esta modalidad con el objetivo de descifrar credenciales débiles de servicios expuestos a Internet para así lograr acceso a la red de la víctima y luego llevar adelante otra acción maliciosa, como robar información o desplegar malware.

Existen distintos tipos de ataque de fuerza bruta, como los ataques de password spraying o de credential stuffing, entre otros. Para ello los ciberdelincuentes se valen de software, hardware y de bases de datos (desde diccionarios, contraseñas más comunes, hasta credenciales filtradas en brechas pasadas) que les permiten de manera automatizada probar combinaciones de usuarios y contraseñas hasta dar con credenciales válidas para determinados servicios. Es importante tener presente que el uso de contraseñas débiles es una práctica común y difícil de erradicar, y esto es algo que los atacantes lo saben y por eso a lo primero que apuntan es a descifrar contraseñas cortas de entre entre uno y siete caracteres.

Por otro lado, con la adopción del trabajo remoto e híbrido a raíz de la pandemia los ataques de fuerza bruta crecieron exponencialmente, principalmente por grupos de ransomware, pero también por actores maliciosos que buscan desplegar otro tipo de malware o incluso backdoors, los cuales permiten la comunicación remota del atacante con el sistema comprometido.

3. Ataques a la cadena de suministro

Otra amenaza que debe ser considerada por las organizaciones, sobre todo a la hora de evaluar la capacidad de resiliencia, es la cadena de suministro; es decir, si están lo suficientemente preparadas para enfrentar las consecuencias de un ataque a un proveedor cuya gestión de la seguridad está más allá de su perímetro.

En 2021 se registró un crecimiento de los ataques a la cadena de suministro. Muchas veces estos ataques se realizan aprovechando vulnerabilidades existentes en proveedores de software que utilizan las compañías y los actores maliciosos distribuyen, por ejemplo, una actualización maliciosa o una app que deriva en el compromiso de los clientes de este proveedor. Esto les permite a los atacantes tener un alcance mayor en comparación con un ataque dirigido a una sola organización y comprometer a muchas compañías a partir de una misma campaña.

Uno de los ataques de cadena de suministro qué más repercusión tuvo en el último tiempo fue el que sufrió Kaseya, proveedor de servicios administrados, que se vio afectado por la distribución de una actualización automática maliciosa del software de gestión de IT, Kaseya VSA, que aprovechaba una vulnerabilidad zero-day y que permitió a los cibercriminales distribuir un ransomware en los sistemas de miles de clientes de Kaseya a nivel global.

4. RAT: Troyanos de acceso remoto

Un tipo de malware muy peligroso para las organizaciones por sus capacidades para espiar y robar información son los RAT o troyanos de acceso remoto. Este tipo de malware permite a los atacantes realizar una gran cantidad de acciones en el equipo comprometido. A través de comandos enviados remotamente pueden: robar credenciales almacenadas en el navegador y de apps de mensajería, ejecutar keyloggers que registran las pulsaciones de teclado, realizar capturas de pantalla, tomar fotografías, registrar audio, interceptar comunicaciones, o descargar otro malware en el equipo, entre otras.

Existen varios RAT en actividad, y muchos son variantes creadas a partir de la compra de malware en foros clandestinos. Algunos de los más utilizados por los cibercriminales son Agent Tesla, njRAT, WSHRAT, Remcos, entre otros.

Suelen distribuirse a través de campañas de phishing que incluyen correos adjuntos o enlaces maliciosos, mediante falsas aplicaciones o instaladores de programas, entre otras.

5. Ingeniería Social

Las técnicas de ingeniería social evolucionaron, sobre todo a medida que se fue ampliando la superficie de ataque con los procesos de digitalización. Hoy hablamos de ataques de ingeniería social que utilizan bots de voz para robar los códigos de verificación, campañas de vishing mediante apps de mensajería como WhatsApp para hacer llamar a las potenciales víctimas, pero también a través de mensajes. Lo mismo ocurre en redes sociales, donde los atacantes no solo utilizan perfiles falsos suplantando la identidad de amigos, contactos profesionales u organizaciones, sino que también utilizan técnicas como el scraping de seguidores para captar determinado perfil de usuarios.

Todo esto se potenció con el trabajo remoto e híbrido, ya que se borraron los limites entre el uso laboral y personal de la tecnología, lo que expone a las organizaciones a ser víctimas por el uso personal de la tecnología que hacen sus empleados.

Las estafas del tipo Business Email Compromise (BEC), que en español significa compromiso de cuentas de correo de empresas, es un tipo de fraude que se vale de la ingeniería social dirigido generalmente al área de administración y finanzas de una organización. Los atacantes se hacen pasar por un ejecutivo o el propio CEO de la compañía y solicitan una transferencia urgente a un proveedor, por ejemplo. Las BEC representan para las organizaciones más pérdidas que cualquier otro tipo de delito informático. En Estados Unidos, por ejemplo, el último año se registraron cerca de 20.000 denuncias de estafas del tipo BEC que derivaron en 2.4 mil millones en ganancias para los cibercriminales.

También han comenzado a reportarse en los últimos años ataques de deep fake y deep voice, en los cuales los atacantes utilizan software que se apoya en inteligencia artificial para suplantar a través de la imagen y/o la voz a personas reales. Como le ocurrió al gerente de la sede de una multinacional que fue víctima de este ataque de ingeniería social y transfirió a los atacantes 220 mil euros.

Conclusión

El ransomware es una de las amenazas que más preocupación genera a las empresas, sobre todo por su actividad en los últimos años, pero está claro que no es la única amenaza que apunta a empresas y organizaciones de América Latina y del mundo. Como explicamos en este artículo, existe otro tipo de amenazas que también representan un riesgo imporante que deben ser contemplados en las estrategias de prevención que cada compañía lleve adelante.

A continuación, compartimos una infografía en la cual resumimos cuáles son las 5 amenazas informáticas más peligrosas para las organizaciones más allá del ransomware.

Fuente: www.welivesecurity.com