Ciberseguridad: se disparan los ataques a la identidad y la nube

Un total de 84 minutos. Es decir, una hora y 24 minutos. Este es el tiempo exacto que tarda un ciberdelincuente en acceder a un sistema. Una cifra que se ha reducido en 14 minutos en las ciberintrusiones si se comparan los datos de 2022 y 2021, año este último en el que se situaba en 98 minutos.

"Los delincuentes hoy en día son más inteligentes, más sofisticados y cuentan con más recursos que nunca en la historia", afirma Adam Meyers, responsable de inteligencia de CrowdStrike, a elEconomista.es

Este cambio en el perfil del ciberdelincuente ha alterado la forma de los ataques. Si anteriormente lo más habitual era el malware, ahora, este tipo de ciberataques está disminuyendo. En concreto, El 71% de los ataques detectados el pasado año no incluía este tipo de programas informáticos -se ejecutan sin autorización y son perjudiciales para usuarios o sistemas-, frente al 62% en 2021 o el 39% en 2018.

Por el contrario, están creciendo otras formas de ciberdelincuencia como las intrusiones interactivas, es decir, las procedentes de un humano al otro lado del teclado, en las que se ha registrado un aumento del 50%. Un porcentaje que pone de manifiesto que los ciberdelincuentes tienen cada vez más conocimientos para evadir la protección de antivirus y defensas automatizadas, según se recoge en la novena edición del Informe Global de Amenazas 2023 realizado por CrowdStrike, fabricante de ciberseguridad global, que ha analizado 3 millones de millones de eventos cada día durante 2022.

El estudio refleja a su vez el empleo de tácticas de ingeniería social en las que es necesaria la interacción humana como el vishing (se suplanta la identidad de una empresa u organización a través de una llamada para obtener información personal) o cambiar tarjetas SIM y evitar el uso de la autentificación multifactor.

De hecho, los criminales que buscan robar información o llevan a cabo campañas de extorsión han crecido un 20%, porcentaje que implica el cambio de objetivo de los ataques frente a la monetización directa de hace unos años atrás.

Tan solo en 2022, se han identificado más de 2.500 anuncios de servicios de intermediarios o de personas que proporcionan o venden a las organizaciones acceso adquirido de manera ilícita. Esto supone un aumento del 112% sobre el año 2021.

Ha crecido un 112% el número de anuncios de servicios de intemediarios o personas que venden accesos adquiridos de forma ilícita

Entre las tácticas más empleadas, destaca el uso ilícito de credenciales comprometidas que se adquieren a través de ladrones de información o bien se compran en mercados clandestinos. De hecho, en la dark web o internet oculta, el número de accesos ha experimentado una subida del 112%. Una cifra que pone de manifiesto el valor y la demanda de credenciales de acceso y de identidad que se ofrecen en el mundo más oscuro de la red.

Y esto no es todo. También están creciendo las amenazas basadas en identidades y en exploits contra la nube, aprovechando errores o vulnerabilidades que, incluso, en este último caso se creía que estaban resueltas. Precisamente, los ataques cloud son los que han registrado uno de los mayores incrementos, con un aumento del 95% en el último año. Además, se observa una tendencia al alza en 2023.

Asimismo, es significativo que se haya triplicado el número de actores que aplican sus ataques en este entorno. Este patrón refleja una mayor proporción de adversarios que adquieren el conocimiento y habilidades tácticas que necesitan para atacar los entornos cloud. Ya no es tan frecuente así que desactiven antivirus y las tecnologías de firewall o empleen la falsificación de registros. Ahora, tratan de modificar los procesos de autenticación y atacar las identidades.

Más grupos delictivos

El informe de CrowdStrike también ha encontrado 33 nuevos grupos delictivos, cifra que representa el mayor crecimiento de año a año y que conlleva que ahora se analice a más de 200 grupos. Entre ellos, por ejemplo, destacan Scattered Spider y Slippy Spider a los que se les atribuyen los ataques más recientes a compañías tecnológicas y de telecomunicaciones.

La mayoría de los nuevos grupos son Spiders, es decir, criminales online. Entre los casos detectados figuran el de Gossamer Bear, desde Rusia, que ha llevado a cabo campañas de phising para conseguir credenciales de laboratorios de investigación, de proveedores militares, de compañías de logística y de ONG. Además, se ha identificado el primer grupo procedente de Siria: Deadeye Hawk. En España, por ejemplo, se ha observado la operativa de 17 grupos de ciberdelincuentes de entre los más de 200 como es el caso de Veto Spider, Alpha Spider o Samba Spider.

¿Ciberataque o espionaje?

El informe alerta igualmente del aumento del espionaje, sobre todo, el relacionado con China. En concreto, los ciberdelincuentes vinculados con el país crecen a escala operativa. Se han observado ataques en 39 sectores industriales y en 20 regiones repartidas por todo el mundo.

Por ejemplo, CrowdStrike Intelligence detectó ataques masivos de estos ciberdelincuentes contra empresas tecnológicas radicadas en Taiwán en 2022, lo que puede concordar con una misión de espionaje de tipo económico.

En ese mismo año, también se analizaron numerosos ataques de día cero en intrusiones contra organizaciones de América del Norte, poniendo en riesgo a entidades del sector aeroespacial, jurídico y académico.

Por el contrario, el impacto de la guerra en Ucrania ha sido menor del esperado, ya que la lucha sobre el terreno ha eclipsado los esperados ciberataques. El impacto así es limitado, pero el informe indica que la amenaza continua y se deben extremar las precauciones ante la entrada en el segundo año de guerra.