{"id":27300,"date":"2022-06-22T12:45:24","date_gmt":"2022-06-22T10:45:24","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27300"},"modified":"2022-06-22T12:45:24","modified_gmt":"2022-06-22T10:45:24","slug":"initial-access-market-2022","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/initial-access-market-2022\/27300\/","title":{"rendered":"An\u00e1lisis del mercado de acceso inicial"},"content":{"rendered":"<p>Cuando los medios de comunicaci\u00f3n informan de que una empresa ha sufrido el ataque de un <em>ransomware<\/em>, mucha gente se imagina que esos astutos piratas inform\u00e1ticos desarrollaron un peligroso <em>malware<\/em>, luego emplearon mucho tiempo en buscar la forma de hackear la empresa y, finalmente, cifraron sus datos confidenciales. Por esto, algunos empresarios siguen convencidos de que su empresa no es lo suficientemente interesante como para que los atacantes empleen tantos recursos en hackearla.<\/p>\n<p>Pero no hay nada m\u00e1s alejado de la realidad. De hecho, los atacantes hoy en d\u00eda no escriben el <em>malware<\/em> ellos mismos, sino que lo \u201calquilan\u201d, y no gastan recursos en el hackeo, simplemente acuden al mercado negro de intermediarios de accesos iniciales. Los expertos de nuestro servicio de Inteligencia de Huella Digital decidieron averiguar cu\u00e1nto dinero hay en juego cuando los ciberdelincuentes compran y venden el acceso a la infraestructura de las empresas.<\/p>\n<h2>\u00bfCu\u00e1nto cuesta el acceso?<\/h2>\n<p>Entonces, \u00bfcu\u00e1nto gastan los atacantes cuando compran ese acceso a tu infraestructura? Esto depende de muchos factores, pero el m\u00e1s relevante es el de los ingresos de tu empresa. Tras analizar unos doscientos anuncios en la <em>darknet<\/em>, nuestros expertos llegaron a las siguientes conclusiones:<\/p>\n<p>\u2013 La mayor\u00eda de los anuncios ofrecen acceso a peque\u00f1as empresas.<\/p>\n<p>\u2013 Casi la mitad de los anuncios ofrecen acceso por menos de 1.000 d\u00f3lares.<\/p>\n<p>\u2013 Rara vez se vende un acceso por m\u00e1s de 5.000 d\u00f3lares.<\/p>\n<p>\u2013 El coste medio del acceso a las grandes empresas oscila entre 2.000 y 4.000 d\u00f3lares.<\/p>\n<p>Como ves, no se trata de grandes cantidades de dinero. La clave est\u00e1 en que los operadores de <em>ransomware <\/em>esperan conseguir sumas mucho mayores en la etapa de extorsi\u00f3n, por lo que est\u00e1n dispuestos a gastar esta cantidad en el acceso inicial. Estas cifras parecen ser el precio de mercado que se ha establecido en funci\u00f3n de la oferta y la demanda org\u00e1nica y el poder adquisitivo.<\/p>\n<h2>\u00bfQu\u00e9 se vende?<\/h2>\n<p>Se ofrecen diferentes tipos de acceso. Desde informaci\u00f3n sobre una vulnerabilidad que puede ser explotada para obtener acceso, hasta credenciales para acceder a Citrix o al panel de control del sitio. Pero, en la gran mayor\u00eda de los casos (en m\u00e1s del 75 % de los anuncios), ofrecen una variante de acceso a trav\u00e9s de RDP (a veces junto con una VPN). Por lo tanto, se debe prestar m\u00e1s atenci\u00f3n a esta opci\u00f3n de acceso remoto a la infraestructura de la empresa.<\/p>\n<h2>\u00bfD\u00f3nde consiguen los ciberdelincuentes el acceso?<\/h2>\n<p>Hay muchas opciones para obtener el acceso inicial. A veces, los ciberdelincuentes optan por la forma m\u00e1s sencilla: la extracci\u00f3n de contrase\u00f1as. Pero lo m\u00e1s frecuente es que env\u00eden correos electr\u00f3nicos de <em>phishing<\/em> a los empleados, o correos electr\u00f3nicos con archivos adjuntos maliciosos (<em>spyware<\/em> o, por ejemplo,<em> stealers<\/em> o ladrones de contrase\u00f1as que recogen autom\u00e1ticamente las credenciales, tokens de autorizaci\u00f3n, cookies, etc. de los dispositivos infectados). A veces, los atacantes tambi\u00e9n aprovechan las vulnerabilidades conocidas del <em>software <\/em>antes de que los administradores lo parcheen.<\/p>\n<p>En el <a href=\"https:\/\/securelist.lat\/initial-access-data-price-on-the-dark-web\/96767\/\" target=\"_blank\" rel=\"noopener\">informe del sitio web de Securelist<\/a> puedes ver los resultados detallados del estudio, con ejemplos de anuncios reales de acceso inicial.<\/p>\n<h2>\u00bfC\u00f3mo mantenerse a salvo?<\/h2>\n<p>Dado que la mayor\u00eda de las veces el objeto de la venta es el acceso remoto a la infraestructura de una empresa a trav\u00e9s de RDP, es este el que debe protegerse en primer lugar. Para ello, nuestros expertos dan las siguientes recomendaciones:<\/p>\n<p>\u2013 Organizar el acceso RDP solo a trav\u00e9s de VPN.<\/p>\n<p>\u2013 Utilizar contrase\u00f1as seguras.<\/p>\n<p>\u2013 Utilizar la autenticaci\u00f3n a nivel de red (si es posible).<\/p>\n<p>\u2013 Utilizar la autenticaci\u00f3n de dos factores para todos los servicios cr\u00edticos.<\/p>\n<p>Para que las contrase\u00f1as sean menos susceptibles de ser filtradas a trav\u00e9s del <em>phishing,<\/em> tambi\u00e9n se recomienda utilizar <a href=\"https:\/\/www.kaspersky.es\/small-to-medium-business-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluciones de seguridad fiables<\/a> con un motor <em>antiphishing <\/em>tanto en los dispositivos de los empleados como a nivel de la entrada de correo. Otro consejo es <a href=\"https:\/\/k-asap.com\/es\/?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">concienciar al personal en t\u00e9rminos de ciberseguridad<\/a>.<\/p>\n<p>Adem\u00e1s, es muy \u00fatil averiguar si alguien ya est\u00e1 investigando formas de acceder a la infraestructura de tu empresa en la <em>darknet<\/em>, por lo que se aconseja monitorizar dicha actividad. De esto se encarga nuestro equipo de <a href=\"https:\/\/www.kaspersky.es\/enterprise-security\/threat-intelligence?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Digital Footprint Intelligence<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nuestros expertos han estudiado el mercado negro para conseguir el acceso inicial a la infraestructura de las empresas.<\/p>\n","protected":false},"author":700,"featured_media":27301,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[2261,378,3245],"class_list":{"0":"post-27300","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-acceso","11":"tag-amenazas","12":"tag-darknet"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/initial-access-market-2022\/27300\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/initial-access-market-2022\/24281\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/initial-access-market-2022\/19754\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/initial-access-market-2022\/9989\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/initial-access-market-2022\/26622\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/initial-access-market-2022\/24564\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/initial-access-market-2022\/24941\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/initial-access-market-2022\/26868\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/initial-access-market-2022\/33341\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/initial-access-market-2022\/10788\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/initial-access-market-2022\/44659\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/initial-access-market-2022\/19049\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/initial-access-market-2022\/19602\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/initial-access-market-2022\/28899\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/initial-access-market-2022\/28326\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/initial-access-market-2022\/25129\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/initial-access-market-2022\/30633\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/initial-access-market-2022\/30382\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/acceso\/","name":"acceso"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27300","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=27300"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27300\/revisions"}],"predecessor-version":[{"id":27303,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27300\/revisions\/27303"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/27301"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=27300"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=27300"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=27300"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}