{"id":26209,"date":"2021-10-13T16:27:37","date_gmt":"2021-10-13T14:27:37","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=26209"},"modified":"2022-05-05T12:05:49","modified_gmt":"2022-05-05T10:05:49","slug":"most-common-initial-attack-vectors","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/most-common-initial-attack-vectors\/26209\/","title":{"rendered":"Los vectores de ataque iniciales m\u00e1s comunes"},"content":{"rendered":"

A menudo otras empresas llaman a nuestros expertos en busca de asistencia de emergencia con respuesta a incidentes<\/a>, con el objetivo de realizar (o ayudar a realizar) investigaciones o para analizar las herramientas de los ciberdelincuentes. A lo largo del 2020, recopilamos una buena cantidad de datos<\/a> para observar el panorama de amenazas moderno y ayudarnos a predecir las situaciones de ataque m\u00e1s probables, incluidos los vectores de ataque iniciales m\u00e1s comunes, y elegir las mejores t\u00e1cticas defensivas.<\/p>\n

Cuando investigamos un ciberincidente, siempre prestamos especial atenci\u00f3n al vector de ataque inicial. En pocas palabras, la entrada es un punto d\u00e9bil y, para evitar la recurrencia, es esencial identificar los puntos d\u00e9biles de los sistemas de defensa.<\/p>\n

Por desgracia, esto no siempre es posible. En algunos casos, ha pasado demasiado tiempo entre el incidente y su detecci\u00f3n; en otros, la v\u00edctima no ha guardado los registros o ha destruido los rastros (por accidente o de manera intencional).<\/p>\n

Para complicarlo todo, cuando los ciberdelincuentes atacan mediante la cadena de suministro<\/a>, un m\u00e9todo cada vez m\u00e1s predominante, el vector inicial no queda al alcance de la v\u00edctima final, sino en el de un desarrollador de un programa de terceros o proveedor de servicios. Sin embargo, en m\u00e1s de la mitad de todos los incidentes, nuestros expertos pudieron determinar el vector de ataque inicial con exactitud.<\/p>\n

Primero y segundo puesto: La fuerza bruta y la explotaci\u00f3n de aplicaciones de acceso p\u00fablico<\/h2>\n

Los ataques de fuerza bruta y la explotaci\u00f3n de vulnerabilidades en aplicaciones y sistemas accesibles desde fuera del per\u00edmetro corporativo comparten los dos primeros puestos. Cada uno sirvi\u00f3 como el vector inicial de penetraci\u00f3n en el 31,58 % de los casos.<\/p>\n

Como observamos en a\u00f1os anteriores, ning\u00fan otro m\u00e9todo es tan efectivo para lanzar un ataque como la explotaci\u00f3n de las vulnerabilidades. Un an\u00e1lisis m\u00e1s detallado de las vulnerabilidades explotadas sugiere que puede atribuirse principalmente a la incapacidad de las empresas para instalar actualizaciones de manera oportuna; de hecho, en el momento de los ataques, los parches ya estaban disponibles para cada vulnerabilidad. De haberlos aplicado, las v\u00edctimas habr\u00edan estado protegidas.<\/p>\n

La transici\u00f3n masiva de las empresas al teletrabajo y el uso de servicios de acceso remoto justifican el repunte en la popularidad de los ataques de fuerza bruta. Al hacer la transici\u00f3n, muchas organizaciones no lograron abordar los asuntos de seguridad de manera adecuada y, como resultado, la cantidad de ataques en las conexiones remotas se dispar\u00f3 de un d\u00eda a otro. Por ejemplo, en el periodo de marzo a diciembre del 2020 se observ\u00f3 un aumento de 242 %<\/a> en ataques de fuerza bruta basados en RDP.<\/p>\n

Tercer puesto: El correo electr\u00f3nico malicioso<\/h2>\n

En el 23,68 % de los casos, el vector de ataque inicial fue un correo electr\u00f3nico malicioso, ya sea con malware<\/em> adjunto o en forma de phishing<\/em>. Los operadores de ataques dirigidos y quienes env\u00edan correos electr\u00f3nicos masivos han utilizado ambos tipos de mensajer\u00eda maliciosa desde hace mucho tiempo.<\/p>\n

Cuarto puesto: Drive-by compromise<\/em><\/h2>\n

En ocasiones, los atacantes intentan obtener acceso al sistema mediante un sitio web que la v\u00edctima visita con regularidad o al que llega por casualidad. Para utilizar esta t\u00e1ctica, que hemos visto en algunos ataques de APT complejos<\/a>, los ciberdelincuentes equipan el sitio con scripts<\/em> que explotan una vulnerabilidad del navegador para ejecutar el c\u00f3digo malicioso en el ordenador de la v\u00edctima o la enga\u00f1an para que descargue e instale el malware<\/em>. En el 2020, fue el vector de ataque inicial en el 7,89 % de los casos.<\/p>\n

Quinto y sexto puesto: Las unidades de memoria port\u00e1tiles y los intrusos<\/h2>\n

El uso de unidades USB para infiltrarse en los sistemas de una empresa es poco frecuente. Adem\u00e1s de que los virus que infectan unidades de memoria USB ya casi son cosa del pasado, la t\u00e1ctica de pasarle a alguien un USB da\u00f1ino no es de confianza. Sin embargo, este m\u00e9todo se utiliz\u00f3 para la penetraci\u00f3n inicial en la red en el 2,63 % de los casos.<\/p>\n

Los infiltrados causaron la misma proporci\u00f3n de incidentes (el 2,63 %). Se trata de empleados que, por alg\u00fan motivo, quer\u00edan da\u00f1ar a sus propias empresas.<\/p>\n

C\u00f3mo minimizar la probabilidad de un ciberincidente y sus consecuencias<\/h2>\n

La mayor\u00eda de los incidentes que nuestros expertos analizaron podr\u00edan haberse evitado. Teniendo en cuenta sus hallazgos, los expertos recomiendan:<\/p>\n