A mediados de diciembre, Darktrace publicó nuevas conclusiones de investigación sobre algunos de los tipos de ciberataques más frecuentes a lo largo de 2021, así como los objetivos más comunes de los atacantes. Estos resultados de la investigación provienen de los datos de Darktrace desarrollados por el “análisis de indicadores tempranos” que examina los rastros (también llamados migajas) de los posibles ciberataques en varias etapas antes de atribuirlos a cualquier actor y antes de que se conviertan en una crisis en toda regla. Estos datos revelaron un aumento masivo, tanto en la ocurrencia de ciberataques, como en su escala durante 2021, ya que los hackers lograron aprovechar la rápida digitalización de las empresas a nivel global durante la pandemia.
En 2021, los investigadores de seguridad de Darktrace descubrieron que el sector de comunicaciones y tecnologías de la información (TI) fue el más atacado. El sector de las TI y comunicaciones incluye proveedores de telecomunicaciones, desarrolladores de software y proveedores de servicios de seguridad gestionados, entre otros. Darktrace observó que su inteligencia artificial (IA) interrumpió de forma autónoma alrededor de 150.000 amenazas contra este sector cada semana en 2021.
Creemos que este aumento se debe en gran medida a que muchas empresas dependen de proveedores terceros de confianza para manejar sus datos mientras están en movimiento, e incluso en reposo. Este vector de ciberataque ha demostrado ser sustancialmente rentable para los atacantes que centraron sus esfuerzos en organizaciones inter-relacionadas para llegar a las joyas de la corona de un objetivo.
Casos como los ataques a SolarWinds, Gitlab, Kaseya –y, más recientemente, la vulnerabilidad descubierta “Log4Shell” insertada en una biblioteca de software ampliamente utilizada que dejó expuestos miles de millones de dispositivos– han demostrado lo rentable que puede ser este nuevo enfoque. Este cambio significa que las pequeñas y medianas empresas tienen ahora más probabilidades de sufrir un ataque, incluso si no son el objetivo final o no lo habrían sido normalmente.
En 2020, la industria más atacada en toda la base de clientes de Darktrace fue el sector financiero y de seguros, lo que demuestra que los ciberdelincuentes han cambiado su enfoque en los últimos 12 meses. Los atacantes se han dado cuenta de que atacar la cadena de suministro de software produce un mejor retorno de la inversión que, por ejemplo, ir tras una empresa del sector de los servicios financieros en particular.
Darktrace también defiende a varios proveedores de copias de seguridad y ha observado una tendencia creciente de los hackers al atacar los servidores de copias de seguridad para inutilizar o corromper deliberadamente los archivos de copia de seguridad mediante la eliminación de un único archivo de índice que haría inaccesibles todas las copias de seguridad. Los atacantes podrían entonces lanzar ataques de ransomware contra los clientes del proveedor de copias de seguridad, impidiendo la recuperación y forzando el pago.
A pesar de este relevante cambio de objetivos, Darktrace descubrió que el método de ataque más utilizado en el sector informático sigue siendo a través de correos electrónicos falsos, también conocidos como phishing. Darktrace descubrió que las organizaciones del sector se enfrentaron a una media de 600 campañas de phishing únicas al mes en 2021. Estas campañas también han madurado en sofisticación, ya que la mayoría de ellas (o al menos, la mayoría de las que tienen éxito) no contienen un enlace o adjunto malicioso como en el típico correo electrónico malintencionado.
En su lugar, los principales ciberdelincuentes utilizan correos electrónicos “limpios” que contienen texto normal, con mensajes cuidadosamente elaborados para hacerse pasar por un tercero de confianza (por ejemplo, un proveedor de servicios o un supervisor) para inducir a los destinatarios a responder y revelar información sensible. Estos correos electrónicos pueden incluso ser entregados a través de credenciales secuestradas, ofreciendo a los atacantes una credibilidad aún más aparente. Este método consciente tiene la ventaja de pasar desapercibido como amenaza por los sistemas de seguridad tradicionales (que se basan en enlaces maliciosos conocidos, firmas o cargas útiles, por ejemplo) y por los empleados humanos que reciben estas comunicaciones tan convincentes.
Teniendo en cuenta este contexto, Darktrace predice que este tipo de ataques dirigidos a la cadena de suministro de software y que aprovechan las vulnerabilidades de los proveedores de software de confianza serán un hecho en 2022. A medida que esta cadena de suministro está cada vez más interconectada, los gobiernos, las corporaciones y las organizaciones que operan infraestructuras críticas corren el riesgo de ser vulnerados no sólo a través de sus proveedores de software y comunicaciones, sino a través de cualquier fallo de seguridad en la extensa cadena de suministro de software global.
Es probable que veamos más ataques a la cadena de suministro contra las plataformas de software y más vulnerabilidades publicadas. También veremos cómo los atacantes avanzan en sus ataques al correo electrónico para secuestrar la cadena de comunicaciones de forma más directa con el secuestro de cuentas de proveedores para enviar correos electrónicos de spearphishing desde cuentas genuinas y de confianza, como lo que vimos en la toma de cuentas del FBI en noviembre de 2021.
Ante esta amenaza cibernética, las organizaciones deben centrarse no sólo en su propia resistencia cibernética, sino también asegurarse de que pueden hacer que sus proveedores de confianza sean responsables de las prácticas cibernéticas eficaces. No hay una solución mágica para encontrar ataques insertados en sus proveedores de software, por lo que el verdadero reto para las organizaciones será operar mientras aceptan y responden rápidamente a este riesgo.
Este año, al igual que en 2021, es cada vez más irreal que estas empresas esperen evitar las infiltraciones a través de sus cadenas de suministro. En cambio, deben tener la capacidad de detectar la presencia de atacantes durante una irrupción y detener esta actividad maliciosa en las primeras etapas.
Teniendo en cuenta esta amenaza continua, todo tipo de organizaciones necesitan nuevas medidas de ciberseguridad que estén a la altura del nivel de sofisticación que utilizan los ciberatacantes. Si los atacantes pueden insertarse al principio del proceso de desarrollo, las organizaciones tendrán que detectar y detener al atacante después de que lo haya conseguido. Las organizaciones deben integrar los protocolos de seguridad y las protecciones en las primeras fases del proceso de desarrollo. Dado que se trata de ataques en varias fases, las organizaciones pueden utilizar la IA en cada paso para contener y remediar la amenaza.
Será primordial conseguir un sentido de lo que es normal para el software en el que se confía. La IA es ideal para este trabajo; detectar los sutiles cambios que presenta un software comprometido será vital para combatir este problema en el futuro. La tecnología de IA de autoaprendizaje y los sistemas de respuesta autónoma son más relevantes que nunca para ayudar a las organizaciones a detectar y neutralizar los ataques antes de que causen daños graves de forma eficaz.
