Los vectores de ataque iniciales más comunes

A menudo otras empresas llaman a nuestros expertos en busca de asistencia de emergencia con respuesta a incidentes, con el objetivo de realizar (o ayudar a realizar) investigaciones o para analizar las herramientas de los ciberdelincuentes. A lo largo del 2020, recopilamos una buena cantidad de datos para observar el panorama de amenazas moderno y ayudarnos a predecir las situaciones de ataque más probables, incluidos los vectores de ataque iniciales más comunes, y elegir las mejores tácticas defensivas.

Cuando investigamos un ciberincidente, siempre prestamos especial atención al vector de ataque inicial. En pocas palabras, la entrada es un punto débil y, para evitar la recurrencia, es esencial identificar los puntos débiles de los sistemas de defensa.

Por desgracia, esto no siempre es posible. En algunos casos, ha pasado demasiado tiempo entre el incidente y su detección; en otros, la víctima no ha guardado los registros o ha destruido los rastros (por accidente o de manera intencional).

Para complicarlo todo, cuando los ciberdelincuentes atacan mediante la cadena de suministro, un método cada vez más predominante, el vector inicial no queda al alcance de la víctima final, sino en el de un desarrollador de un programa de terceros o proveedor de servicios. Sin embargo, en más de la mitad de todos los incidentes, nuestros expertos pudieron determinar el vector de ataque inicial con exactitud.

Primero y segundo puesto: La fuerza bruta y la explotación de aplicaciones de acceso público

Los ataques de fuerza bruta y la explotación de vulnerabilidades en aplicaciones y sistemas accesibles desde fuera del perímetro corporativo comparten los dos primeros puestos. Cada uno sirvió como el vector inicial de penetración en el 31,58 % de los casos.

Como observamos en años anteriores, ningún otro método es tan efectivo para lanzar un ataque como la explotación de las vulnerabilidades. Un análisis más detallado de las vulnerabilidades explotadas sugiere que puede atribuirse principalmente a la incapacidad de las empresas para instalar actualizaciones de manera oportuna; de hecho, en el momento de los ataques, los parches ya estaban disponibles para cada vulnerabilidad. De haberlos aplicado, las víctimas habrían estado protegidas.

La transición masiva de las empresas al teletrabajo y el uso de servicios de acceso remoto justifican el repunte en la popularidad de los ataques de fuerza bruta. Al hacer la transición, muchas organizaciones no lograron abordar los asuntos de seguridad de manera adecuada y, como resultado, la cantidad de ataques en las conexiones remotas se disparó de un día a otro. Por ejemplo, en el periodo de marzo a diciembre del 2020 se observó un aumento de 242 % en ataques de fuerza bruta basados en RDP.

Tercer puesto: El correo electrónico malicioso

En el 23,68 % de los casos, el vector de ataque inicial fue un correo electrónico malicioso, ya sea con malware adjunto o en forma de phishing. Los operadores de ataques dirigidos y quienes envían correos electrónicos masivos han utilizado ambos tipos de mensajería maliciosa desde hace mucho tiempo.

Cuarto puesto: Drive-by compromise

En ocasiones, los atacantes intentan obtener acceso al sistema mediante un sitio web que la víctima visita con regularidad o al que llega por casualidad. Para utilizar esta táctica, que hemos visto en algunos ataques de APT complejos, los ciberdelincuentes equipan el sitio con scripts que explotan una vulnerabilidad del navegador para ejecutar el código malicioso en el ordenador de la víctima o la engañan para que descargue e instale el malware. En el 2020, fue el vector de ataque inicial en el 7,89 % de los casos.

Quinto y sexto puesto: Las unidades de memoria portátiles y los intrusos

El uso de unidades USB para infiltrarse en los sistemas de una empresa es poco frecuente. Además de que los virus que infectan unidades de memoria USB ya casi son cosa del pasado, la táctica de pasarle a alguien un USB dañino no es de confianza. Sin embargo, este método se utilizó para la penetración inicial en la red en el 2,63 % de los casos.

Los infiltrados causaron la misma proporción de incidentes (el 2,63 %). Se trata de empleados que, por algún motivo, querían dañar a sus propias empresas.

Cómo minimizar la probabilidad de un ciberincidente y sus consecuencias

La mayoría de los incidentes que nuestros expertos analizaron podrían haberse evitado. Teniendo en cuenta sus hallazgos, los expertos recomiendan:

• Introducir una política estricta de contraseñas e implementar el uso de la autentificación en varios pasos.
• Prohibir el uso de servicios de gestión remota accesibles al público.
• Instalar las actualizaciones de software lo antes posible.
• Proteger los servidores de correo con herramientas contra el phishing y contra el malware.
• Fomentar la sensibilización en materia de seguridad de los empleados sobre las ciberamenazas modernas de manera regular.

Además, recuerda configurar todos los sistemas de auditoría y registro y hacer copias de seguridad de tus datos con regularidad, no solo para facilitar las investigaciones, sino también para minimizar el daño de los ciberincidentes.

Por supuesto, estas estadísticas representan solo un pequeña porción de la información útil que nuestros expertos pueden ofrecer en este espacio. Encontrarás el texto completo de nuestro Incident Response Analyst Report 2021 aquí.