La ciberseguridad en alerta ante la Covid-19

Si tu empresa gasta más en café que en seguridad TI, serás hackeado. Es más, merecerás ser hackeado.

Bruce Schneie

La Habana, Cuba. – Los ciberdelincuentes no dejan pasar una oportunidad para atacar a quienes que se ven obligados a trabajar desde casa, un ejemplo ha sido la pandemia de Covid-19 La necesidad de las entidades de poner rápidamente a sus trabajadores en cuarentena ha complicado el trabajo de los centros de operaciones de seguridad y los directores de tecnología, que se han visto obligados a adoptar un modelo de teletrabajo seguro a una escala desconocida hasta ahora por la industria de la seguridad.

Un informe de la compañía de seguridad informática McAfee aborda como se han comportado las amenazas en la etapa de covid-19. A continuación comentó los aspectos más importantes.

Proporcionar los sistemas de colaboración y productividad necesarios para que los trabadores de una entidad puedan realizar sus funciones teletrabajando exige confiar en un alto nivel de ciberhigiene personal de los empleados. Además, el personal sufre la ansiedad generada por esta situación de anormalidad y la interrupción de sus hábitos de vida, debiendo atender las necesidades de sus familias en un momento de distanciamiento social, con el empleo de equipos de protección personal, escasez de oferta y demanda, y afectaciones a la tranquilidad mental que aportaba la seguridad de contar con planes y rutinas. Para los ciberdelincuentes este personal de teletrabajadores distraído y vulnerable es una presa fácil.

Utilizan ransomware, que no es más que es un tipo de malware que impide a los usuarios acceder a sus archivos personales y que exige el pago de un rescate para poder acceder de nuevo a ellos, relacionado con la Covid-19, exploits de escritorio remoto, que son secuencias de comandos que se aprovecha de un error o vulnerabilidad para provocar un comportamiento no intencionado o imprevisto en un software, hardware o en cualquier dispositivo electrónico; URL maliciosas y spam diseñado para engañar a los teletrabajadores para que cometan errores en sus interacciones externas, como hacer clic en un enlace no verificado o abrir el archivo adjunto equivocado para activar todo un arsenal de malware creados expresamente para aprovechar las vulnerabilidades asociadas a la pandemia y obtener acceso a recursos corporativos internos.

La firma McAfee Labs contabilizó 458 incidentes de seguridad hechos públicos en el primer trimestre de 2020, incluidos los que no distinguían la región atacada lo que supuso un aumento del 41 % respecto al cuarto trimestre de 2019. Los incidentes que afectaron a Norteamérica aumentaron un 60 % respecto al trimestre anterior, mientras que en Europa descendieron un 7 %.

Los incidentes que afectaron a Estados Unidos durante el primer trimestre de 2020 aumentaron un 61 %, en el Reino Unido descendieron un 55 % y en Canadá aumentaron un 50 % respecto al trimestre anterior. Los incidentes comunicados durante el primer trimestre de 2020 que afectaron a varios sectores aumentaron un 94 %. El sector público experimentó un aumento del 73 %, el sector de particulares y autónomos un 59 %, y el de la fabricación un 44 %, mientras que los incidentes en el sector de ciencia y tecnología descendieron un 19 %.

En el primer trimestre de 2020 se detectaron aumentos importantes en varias categorías de amenazas:

McAfee Labs observó 375 amenazas por minuto en el primer trimestre de 2020.
El nuevo malware PowerShell aumentó un 689 % en el primer trimestre de 2020, respecto al trimestre anterior.
El malware PowerShell aumentó un 1902 % en los cuatro trimestres anteriores.
El nuevo malware para móviles aumentó un 71 % durante el primer trimestre de 2020 respecto al trimestre anterior, principalmente debido a los troyanos.
El total de malware para móviles creció casi un 12 % en los cuatro trimestres anteriores.
El nuevo malware para Internet de las Cosas (58 %) y el nuevo malware para el sistema operativo macOS (51 %) aumentaron por encima del 50 %.
El nuevo malware de minería de monedas aumentó un 26 %.
El nuevo malware para Linux experimento una subida del 8 %
En las siguientes categorías se observaron reducciones durante el primer trimestre de 2020 respecto al trimestre anterior:
El nuevo malware basado en exploits disminuyó un 56 %.
El nuevo malware JavaScript disminuyó un 38 %.
El nuevo malware disminuyó un 35 %.
El nuevo ransomware disminuyó un 12 %.
Los nuevos archivos binarios firmados maliciosos disminuyeron un 11 %.

El cambio repentino y a gran escala hacia el teletrabajo en todo el mundo supone un crecimiento de la nube del 775 %, según Microsoft. La cantidad de amenazas de actores externos que atacan servicios en la nube aumentó un 630 %, con una mayor concentración en los servicios de colaboración como Microsoft 365. McAfee dividió las amenazas externas en dos categorías, y en ambos casos se utilizaban credenciales robadas:

Uso excesivo desde una ubicación anómala. Empieza por un inicio de sesión desde una ubicación que no se ha detectado anteriormente y que es anormal para la empresa del usuario. El ciberdelincuente se embarca entonces en actividades de acceso a grandes volúmenes de datos de acceso con privilegios.
Comportamiento superhumano sospechoso. Se trata de un intento de inicio de sesión desde varias ubicaciones geográficamente distantes a las que es imposible viajar en un período de tiempo determinado. McAfee observó ese comportamiento en multitud de servicios en la nube; por ejemplo, un usuario intenta iniciar una sesión en Microsoft 365 desde Singapur y después lo hace desde California cinco minutos más tarde.

Las categorías de amenazas internas permanecen invariables, lo que indica que los empleados aprovechan el hecho de trabajar desde casa para intentar robar más datos. La mayoría de los ataques observados por McAfee fueron amenazas externas nativas de la nube dirigidas directamente a cuentas en la nube.

El mayor incremento en incidentes de amenazas internas y externas en cuentas en la nube se produjo en los sectores de transporte y logística, educación y el sector público. Cuanto mayor es la dependencia que tienen esos sectores de los servicios en la nube para aumentar la productividad, más se esfuerzan los agresores en acceder a sus cuentas y filtrar datos.

McAfee realizó un análisis de las direcciones IP de origen utilizadas en ataques externos para conocer las ubicaciones de las que procedían. Si bien la dirección IP de origen no puede utilizarse para atribuir la autoría de un ataque, sí ofrece datos que pueden ayudar en la implementación de controles de seguridad. Las direcciones IP supervisadas no se utilizaron solamente para atacar cuentas en la nube, sino también para otras actividades maliciosas, lo que apunta a la reutilización de la infraestructura delictiva para múltiples ataques. Los datos del siguiente gráfico de direcciones IP indican el número de direcciones IP utilizadas para lanzar ataques (por tamaño del círculo) y el número máximo de amenazas contra empresas individuales desde esas direcciones IP (por intensidad de color).

Las campañas de ransomware fueron noticia en una amplia variedad de sectores en 2019. Los ciberdelincuentes responsables del ransomware como servicio centraron su atención en objetivos en sectores municipales, financieros, de asistencia sanitaria y del mundo empresarial. Los investigadores de McAfee observaron y analizaron importantes campañas de ransomware, como la de Sodinokibi (también conocido como REvil), que se extendió por todo el planeta antes que la Covid-19 ¿Cómo se garantiza un nivel equivalente de protección contra el malware adaptable dentro y fuera de la red corporativa? El incremento del uso del protocolo de escritorio remoto para acceder a recursos internos por parte de teletrabajadores e ingenieros de tecnologías de la información ofrece a los ciberdelincuentes más puntos débiles que aprovechar para sus ataques. Esas vulnerabilidades incluyen la explotación de controles de seguridad o autenticación. Aprovechar esas vulnerabilidades puede proporcionar a un agresor acceso de administrador y una vía sencilla para instalar ransomware u otros tipos de malware, y a partir de ahí conseguir acceder a la red corporativa.

El spam y los timos Amenazas contra dispositivos móviles Solo en el mes de marzo de 2020, McAfee Labs identificó varias aplicaciones Android maliciosas que empleaban palabras clave relacionadas con la pandemia. Las apps incluyen desde ransomware hasta agentes espía que vigilan el dispositivo de la víctima.

Sin embargo, parece que hay grupos relacionados con las amenazas persistentes avanzadas (ATP) que están incorporando la temática de la Covid-19 en sus campañas. Por ejemplo, se difunden documentos sobre la pandemia que incorporan código de macro malicioso para descargar malware en el sistema de la víctima.

Los ciberdelincuentes trabajan sin descanso en el diseño de ataques cada vez más sofisticados y oportunistas. Los paradigmas de teletrabajo crean nuevas oportunidades y requieren nuevos mecanismos y prácticas de defensa. Se debe preparar la combinación adecuada de tecnología y educación para hacerlo posible. Las entidades necesitan defenderse contra las ciberamenazas en casa, con soluciones de protección de datos capaces de impedir el robo de propiedad intelectual y otros tipos de datos confidenciales. El futuro es incierto, los cambios y las interrupciones son inevitables, y los adversarios están decididos a atacar mientras se trabaja, sea en casa o en la oficina. Se debe estar a la altura e impulsar la tecnología, adaptarse y desarrollar ciberdefensas más robustas para garantizar un “futuro del trabajo” seguro.

Este informe tiene una gran trascendencia para todos, directivos y trabajadores, las amenazas se acrecientan, disminuye la percepción de riesgo, los ciberdelincuentes mejoran su preparación, un coctel perfecto para un pandemónium informático, en nuestras manos está evitarlo.

L	M	X	J	V	S	D
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30