Por decimotercer año consecutivo, Verizon ha publicado su Data Breach Investigations Report (Informe sobre investigaciones de fugas de datos), una fuente exhaustiva de información sobre filtraciones de datos que ofrece valiosas conclusiones para los responsables de información (CIO) y de seguridad de la información (CISO). El informe de este año se ha redactado con los datos recibidos de 81 organizaciones, que incluyen empresas de ciberseguridad, fuerzas de seguridad, ISAC (centros de puesta en común y análisis de la información), CERT (equipos de respuesta para emergencias informáticas), consultoras y organismos públicos. Engloba 157 525 incidentes notificados y 108 069 fugas de datos. En sus 119 páginas hay mucho que asimilar. Aquí explicamos los resultados más destacados y presentamos nuestras principales recomendaciones para ayudarle a informar a su equipo de operaciones de seguridad.
¿Quién está detrás de la mayoría de los ciberataques?
Si bien los ataques internos son indudablemente un problema (de hecho, suman un 30 % de los casos) e incluso pueden estar en aumento, el mayor número de amenazas al que se enfrenta su organización es con diferencia el que procede de agentes externos. Los datos del año pasado indican que el 70 % de las violaciones de seguridad provenía de agentes externos. Únicamente intervinieron varios participantes en un 1 % y también solo en un 1 % se detectó la implicación de algún partner. El informe señala:
Sin embargo, el lector no debe cometer el error de creer que el número de amenazas de una procedencia concreta es equiparable a la envergadura del riesgo que suponen: un ataque interno podría causar diez veces más daño que uno externo, dependiendo de la naturaleza del incidente. De cualquier modo, aunque los equipos de seguridad deben atender ataques de toda procedencia, los datos dejan bastante claro que hay una larga cola de autores de amenazas externas a la espera, no solo de llamar a su puerta, sino de derribar sus defensas.
Ahora bien, aparte de no ser empleados suyos, ¿quiénes son estos «agentes externos»? Los investigadores clasificaron cerca del 55 % como «delincuencia organizada», expresión que se refiere a «delincuentes con un plan, no a la mafia». Quizá para entenderlo mejor podríamos decir que se trata de «ataques perpetrados por delincuentes con un objetivo y una metodología claramente observables». Ya hablaremos de los «objetivos» en el siguiente apartado, pero por ahora vamos a señalar que el término «delincuente» excluye aquí a los agentes gubernamentales y que la palabra «plan» excluye los ataques oportunistas, los de hacktivistas y aquellos cuyo motivo no ha podido discernirse.
¿Qué buscan los ciberdelincuentes?
Si cree que la respuesta a esta pregunta del millón es «dinero», está en lo cierto. Al menos en la inmensa mayoría de los casos. Según el informe, un 86 % de las fugas tenían un motivo económico. Esta cifra no debería sorprender a nadie en el sector de la seguridad, pero para otras personas de su empresa, que oyen hablar constantemente de hackers gubernamentales y amenazas persistentes avanzadas (APT), puede resultar chocante.
El interés por la recompensa económica también permite entender otro dato interesante: en su mayoría, los agresores lanzan ataques que no incluyen más de dos o tres pasos. Cualquier ofensiva más complicada acaba por desaparecer o bien proviene de atacantes más persistentes. La explicación es que si eres ciberdelincuente y tu meta es la retribución económica, tiendes a automatizar lo más posible los ataques; recoger el fruto de las ramas más bajas es siempre preferible a invertir tiempo y esfuerzo en objetivos difíciles. Un sencillo cálculo de rentabilidad de la inversión les induce a trabajar a velocidad y escala y a utilizar herramientas automatizadas de selección y explotación. Para los defensores, la lección está clara: si cubres todas las bases y obligas a los atacantes a esforzarse, la gran mayoría se irá.
No obstante, aunque en última instancia sea el dinero lo que interese realmente a los agresores, a menudo se llevan mucho más. En concreto, el 58 % de los ataques comprometieron datos personales y el 37 % utilizaron o robaron credenciales de usuario. Como veremos a continuación, las credenciales de usuario son de hecho un producto de gran valor para los autores de amenazas. También hay que tener en cuenta que una empresa puede sufrir un ataque como medio para acceder a otro objetivo de mayor atractivo. Puede ocurrir que el servidor esté mal protegido y que al agresor solo le interese dominarlo como parte de una red de bots para perpetrar un ataque DDoS contra otro blanco, o quizá la empresa es un eslabón de la cadena de suministro de una víctima más jugosa o un MSP cuyo valor real para el autor de la amenaza está en sus clientes, no en la organización misma.
¿Cómo atraviesan los hackers sus defensas?
Los datos a este respecto son abrumadores: la principal vía de entrada de los agresores en una red es el uso de credenciales robadas u obtenidas mediante phishing o ataques de fuerza bruta; una vez dentro, uno de sus primeros objetivos es hacerse con más credenciales para establecer su presencia o para venderlas. Más del 80 % de las fugas en las que participaron hackers contenían algún tipo de ataque de fuerza bruta o utilizaban credenciales perdidas o robadas. No es de extrañar. Se calcula que el relleno de credenciales, que consiste en reproducir una lista de combinaciones de nombre de usuario/contraseña (a menudo filtradas en otras fugas) con múltiples cuentas, se produce decenas de millones de veces al día.
Este dato está íntimamente relacionado con el hecho de que muchas empresas han trasladado una cantidad considerable de sus servicios y sus datos a la nube, donde es más difícil distribuir malware. Así que los agresores optan por una solución mucho más sencilla y escalable: bombardear el servicio con solicitudes de inicio de sesión que utilizan credenciales robadas u obtenidas en volcados de datos. Y ahora que los ataques de ransomware más agresivos filtran datos antes de cifrarlos, es muy probable que los delincuentes los vendan o incluso que los reutilicen para «rellenar» credenciales y volver a entrar más adelante en las cuentas de la misma organización. Como dicen los autores del informe:
Dado el intenso interés por robar credenciales tanto para atacar como para atrincherarse, es imperativo que las empresas dediquen más atención a protegerlas.
La ingeniería social sigue siendo el método principal para robar credenciales nuevas, afianzarse en una empresa o estafarla. Aproximadamente el 96 % de los ataques de phishing notificados se efectuaron con mensajes de correo electrónico malicioso o «malspam» (spam con malware). En este caso, el tipo de archivo por el que optaron mayoritariamente los delincuentes fueron documentos de Office y aplicaciones para Windows. Otros tipos de archivo también empleados, aunque en menor grado, incluyen secuencias de comandos shell, archivos comprimidos, Java, Flash, PDF, DLL y aplicaciones para Linux, Android y macOS.
¿Qué recursos aprovechan mejor los agresores?
Si bien los ataques contra recursos locales dominaron el panorama de amenazas en el 70 % de las intrusiones del año pasado, aproximadamente el 24 % de los ataques se dirigieron contra recursos en la nube. En un 73 % de ellos intervinieron servidores de correo electrónico o aplicaciones web y, de estos, en un 77 % se robaron credenciales. Es obvio que, como los agresores saben que ahora las empresas guardan la información confidencial en infraestructuras y aplicaciones en la nube, están reorientando sus esfuerzos en consonancia con esta tendencia para obtener y monetizar esta información.
Los servidores de aplicaciones web son objeto de ataque más que cualquier otro recurso (incluidos los ataques de ingeniería social contra personas). Normalmente, esto implica el uso de credenciales robadas (como ya hemos visto antes) o la explotación de vulnerabilidades sin parches.
Los equipos de seguridad deben prestar atención a este dato en particular: en los tres primeros meses tras su detección, solo se instalaron parches para aproximadamente la mitad de todas las vulnerabilidades notificadas. Aquí se advierten dos puntos débiles. En primer lugar, los agresores suelen moverse con rapidez para adelantarse al ciclo de parches y utilizan servicios como Shodan para explorar toda la red en busca de dispositivos vulnerables. En segundo lugar —y posiblemente este aspecto se pasa más por alto—, los equipos de TI que no instalan parches en el primer trimestre después de la detección tienen menos probabilidades de llegar a instalarlos. Entre las vulnerabilidades que reciben especial atención por parte de los ciberdelincuentes figuran las relacionadas con la inyección de SQL, PHP y archivos locales, en especial contra objetivos del sector minorista.
¿Contribuyen unas prácticas de seguridad deficientes a la adversidad propia?
Dicen que errar es humano, pero las empresas son personas guiadas por procesos, y el error humano es algo que las empresas, si no las personas que las componen, pueden controlar mejorando la implementación y la supervisión de sus procesos. Concretamente, en los ataques notificados han crecido los errores humanos responsables de configuraciones de almacenamiento incorrectas. Según los datos, los errores son causa importante del 22 % de las fugas confirmadas. Para poner este dato en contexto, es el mismo porcentaje atribuido a la táctica de ingeniería social con el mismo conjunto de datos.
La buena noticia es que son los investigadores de seguridad quienes notifican una parte quizá importante de las fugas por almacenamiento mal configurado —y no los autores de amenazas quienes descubren la vulnerabilidad—, pero la mala es que estas notificaciones tienden a saltar a los titulares y, aunque es difícil de cuantificar, el daño a la reputación puede resultar tan caro como el robo de datos por parte de agentes maliciosos.
¿Qué tipos de malware prefieren los ciberdelincuentes?
Cerca del 17 % de los ataques confirmados utilizaron algún tipo de malware. De ellos, el 27 % se debió específicamente a ransomware, algo que no debería sorprender a nadie considerando el volumen de incidentes de gran repercusión publicados en los medios a lo largo del año anterior.
Tal y como SentinelLabs lleva observando durante un tiempo, las tácticas de ransomware han evolucionado en los últimos meses para incluir un elemento de extorsión: al filtrar datos antes de cifrarlos, las bandas de ransomware pueden amenazar con difundir propiedad intelectual o datos confidenciales de clientes si las víctimas no pagan. Esta tendencia comenzó formalmente después del punto de corte de recopilación de datos de Verizon, por lo que se hará más evidente en el informe del año que viene. Sin embargo, aun antes de octubre de 2019 (fecha final para entrar en el informe de 2020) estaba claro que el ransomware había aumentado durante la primera parte del año. El ransomware se consideró:
De los distintos sectores que contempla el informe, a lo largo del año fueron blanco frecuente de los autores de malware el sector público y el educativo.
En armonía con los datos que señalan el robo de credenciales como la máxima prioridad para la mayoría de los autores de amenazas, el tipo más habitual de malware fue el volcado de contraseñas. Le siguen los descargadores (como Emotet y TrickBot) y los troyanos, una herramienta relacionada en gran medida con agresores avanzados que buscan establecerse a largo plazo a través de puertas traseras y funciones de mando y control. Curiosamente, tras su aumento de popularidad en 2017 y sobre todo en 2018, se ha registrado un pronunciado descenso del malware de cryptojacking.
Recomendaciones de SentinelOne
Con 119 páginas, el informe contiene muchos más datos de los que podemos abarcar aquí, pero esperamos haber dado una idea precisa de sus principales conclusiones. En este apartado resumimos algunas recomendaciones basadas en nuestra interpretación del informe completo y en la telemetría propia de SentinelOne.
A diferencia de lo que ocurre con las APT, la mayoría de los agresores no organizan ataques extremadamente complicados con múltiples etapas, lo que significa que basta con que detecte un ataque en cualquier etapa del ciclo de vida de la amenaza (también conocido como cadena de eliminación o kill chain) para aumentar considerablemente sus oportunidades de evitar una fuga de datos sin necesidad de detectarlas todas. Además, cuanto antes pueda hacerlo, más posibilidades tendrá de obligar al atacante a marcharse con las manos vacías y a probar suerte en otro lugar. Como demuestran los resultados de la reciente evaluación MITRE ATT&CK, SentinelOne sobresale en la detención de ataques en todas sus etapas, pero específicamente en su prevención antes de que los agresores consigan afianzar sus posiciones. Por lo tanto, esta es nuestra primera y más evidente recomendación: asegúrese de proteger sus endpoints con una plataforma de inteligencia artificial de próxima generación de confianza y de eficacia demostrada.
Ya hemos visto antes que los ciberdelincuentes utilizan ataques automatizados para hacerse la vida más fácil. Póngaselo difícil: no deje puertos innecesarios abiertos y reduzca el número de puertos expuestos. Autorice únicamente el acceso a servicios esenciales de Internet y limite quién accede a ellos. SSH y Telnet (en los puertos predeterminados 22 y 23, respectivamente) son un objetivo frecuente para las tentativas de conexión maliciosa. ¿Quién los necesita realmente en su organización? Identifique las necesidades y restrinja el uso a todos los demás.
Para los ciberdelincuentes, las credenciales son el caldero de oro al final del arco iris. Cerciórese de que todos sus sistemas Windows han dejado de utilizar LM y NTLMv1 y siga las recomendaciones de este artículo para proteger las credenciales en Windows.
Los datos son el alma de su negocio. Controle el acceso a los datos, mantenga un inventario actualizado de archivos confidenciales y sensibles y, sobre todo, utilice cifrado.
Además de los servidores mal protegidos, las personas son el principal «recurso» que pretenden explotar los agresores mediante ingeniería social y ataques de phishing. Por descontado, mantenga programas de sensibilización para concienciar a su plantilla sobre los ataques de phishing. Ayúdeles con software de seguridad para endpoints automatizado, que detectará el malware aun cuando piquen el anzuelo de un enlace malicioso o un scam con descarga desapercibida. Suba el listón para los agresores aplicando autenticación de dos factores y multifactor en las cuentas de inicio de sesión de todos los usuarios.
Los errores y las configuraciones incorrectas son las puertas traseras involuntarias que invitan a atacar. Lleve a cabo un examen exhaustivo de los permisos de almacenamiento y, lo que es igualmente fundamental, implemente procesos de revisión adecuados que contribuyan a prevenir e identificar errores de configuración. ¿Cuántas personas están autorizadas a crear repositorios sin algún tipo de supervisión o examen de seguridad? La respuesta debería ser ninguna.
Por último, ya lo habrá oído antes y sin duda volverá a oírlo otra vez: instale parches cuanto antes y a menudo. La estadística de quienes no lo hacen en los tres primeros meses después de la detección de una vulnerabilidad es un censo elocuente al que no le gustaría que se sumara su organización y un fracaso que tampoco desea que conozcan sus adversarios.
Conclusión
No es ninguna novedad, pero merece la pena insistir: la mayoría de los autores de amenazas siguen la pista del dinero. Y dado que las empresas han empezado a trasladarse a la nube, los agresores van a la zaga. A medida que en las empresas de todo el mundo se extiende el paradigma de la red de confianza cero sin perímetro, lo que más desean los agresores es obtener las inapreciables credenciales de acceso. Y mientras las organizaciones sigan dependiendo del correo electrónico y necesiten que las personas visiten enlaces para hacer su trabajo, los agresores seguirán enviando enlaces de phishing para ellos también hacer el suyo.
Los últimos datos sobre investigaciones de filtraciones de datos son un reflejo de las prácticas actuales de comportamiento empresarial. Donde nosotros vamos, ellos van detrás. Para prevenir ataques, es preciso reconocer esta relación simbólica, prever los peligros y establecer soluciones de seguridad, prácticas personales y procesos corporativos que eleven el coste de un ataque por encima de lo que el autor de la amenaza está dispuesto a pagar.
Si desea ver cómo SentinelOne puede ayudarle a proteger su empresa frente a las violaciones de seguridad, póngase en contacto con nosotros hoy mismo o solicite una demostración gratuita.