En 1992, Vint Cerf y Bob Kahn, considerados como unos de los “padres” de internet por haber creado los protocolos TCP/IP, fundaron la Internet Society. Esta organización sin ánimo de lucro tiene como misión “promover el desarrollo abierto, la evolución y el uso de Internet para el beneficio de todo el mundo”. Para llevarla a cabo, centraron sus objetivos en varias áreas, como la investigación, la educación sobre el uso de internet, el uso de estándares comunes y por supuesto, la ciberseguridad.

En este campo, la Internet Society desarrolló la iniciativa Online Trust Alliance (OTA), con el fin de identificar y promover prácticas de seguridad y privacidad entre las organizaciones que ayuden a mejorar la confianza de los usuarios en Internet. Por eso, sus comités de expertos han desarrollado múltiples marcos de trabajo y documentos de buenas prácticas para las empresas que abarcan temáticas como el email marketing o el Internet de las cosas.

Entre estas publicaciones, probablemente la más reconocida sea su informe Cyber Incident & Breach Trends, cuya última edición acaba de ser publicada. Este estudio recoge las tendencias más destacadas de los ciberincidentes en las organizaciones durante el año anterior. Aunque el 2018 arroja datos positivos en algunos aspectos, tales como el descenso en el número de incidentes de brechas de datos, son preocupantes otras conclusiones como el enorme coste financiero que suponen los ciberataques.

incident highlights

Costes, tendencias existentes y tendencias emergentes_

La OTA calcula que el impacto total a nivel global del cibercrimen durante el 2018  supera los 45.000 millones de dólares, aunque la organización matiza que no todos los tipos de ciberincidentes pueden ser estimados con la misma precisión. Así, mientras los ataques BEC tuvieron un impacto calculado de 1.200 millones de dólares y existen estimaciones claras con respecto al ransomware (8.000 millones) y el relleno de credenciales (5.000 millones), es más difícil precisar el coste de las filtraciones de datos y el de nuevas categorías de ataque como el cryptojacking.

Además de ello, el informe aborda las tendencias en ciberataques y ciberseguridad durante el pasado año. La organización las clasifica en dos grupos, el de tendencias existentes, donde analiza varios tipos de ciberataque que ya tuvieron un gran impacto en años anteriores y el de tendencias emergentes, donde destaca tres tendencias que, aunque no nacieran como tal en 2018, sí han experimentado un auge significativo durante esos meses. Entre las tendencias existentes, señala:

  • Crece el impacto del ransomware: Aunque el número de ataques experimentó un descenso, el impacto financiero de estos ataques se ha incrementado un 60% hasta alcanzar los 8.000 millones de dólares. Como curiosidad, también destaca que los organismos públicos son los menos proclives a pagar los rescates.
  • Aumenta la importancia de los seguros contra ciberataques: De acuerdo con la agencia Fitch Ratings, el sector asegurador en ciberseguridad creció un 8% en EEUU hasta alcanzar los 2.000 millones de dólares en dividendos.
  • Crecen los ataques contra sistemas Cloud: La firma Digital Shadows estimó que hubo 1.500 millones de archivos expuestos durante 2018 en todo el mundo por errores o mala configuración en servicios de Cloud.
  • El IoT, un vector de ataque cada vez más común: Se utiliza para perpetrar ciberataques que van desde los ataques distribuidos de denegación de servicio (DDoS) hasta aquellos que emplean ransomware, generalmente por no cambiar las contraseñas por defecto, tener incorporado un software inseguro o utilizar comunicaciones no cifradas. El informe menciona como ejemplo de un grave incidente que Cisco descubrió que 500.000 de sus routers fueron atacados por un malware.
  • Cambios regulatorios para la protección de los datos de usuarios: las organizaciones están sometidas a cada vez mayor regulación para proteger la privacidad de sus datos, como el GDPR en Europa.

Por otro lado, el informe cita estas tres tendencias emergentes:

  • Estos ataques consisten en la instalación de malware en dispositivos, equipos o sistemas ajenos para que los ciberatacantes se sirvan de su potencia para el minado de criptomonedas. Inicialmente el vector de ataque eran los navegadores web mediante el uso de código malicioso, pero los ciberatacantes ya utilizan vectores de todo tipo, desde apps en dispositivos móviles a sistemas en grandes servidores. La OTA insiste en que es difícil de calcular su impacto, pero estima que los ataques se han triplicado durante el pasado año.
  • Relleno de credenciales: De acuerdo con un informe de Akamai, en 2018 hubo más de 30.000 millones de intentos de acceso a cuentas online que se pueden atribuir al credential stuffing por parte de ciberatacantes. En la mayoría de ocasiones, los accesos no autorizados se producen por la elección de contraseñas poco seguras por parte de los usuarios.
  • Ataques a la cadena de suministro: La OTA subraya que este tipo de ciberataques que se sirve de terceras entidades (como el contenido externo en una web, el software de otro proveedor, etc.) no es nuevo, con casos como el de Target en 2013 o NotPetya en 2017. Sin embargo, continúa proliferando y adoptando nuevas formas. Estiman que la mitad de los ciberataques en 2018 se habían producido de esta manera.

Por último, ante este panorama de ciberataques, el informe concluye con una serie de principios fundamentales de ciberseguridad que deben tener en cuenta todas las organizaciones. Los resume así:

  • Todas las empresas contienen información sensible. Los ciberincidentes ocurrirán.
  • La protección, privacidad y preparación ante incidentes es responsabilidad de todos.
  • Las prácticas de gestión y privacidad de datos deben estar en continua revisión.
  • La formación continua a los empleados es clave fundamental para el éxito.
  • Todas las organizaciones necesitan tener un plan de respuesta probado y actualizado.

 Respuestas ante los ciberataques más complejos_

El informe de la OTA refleja que hay un contexto de ciberataques cada vez más sofisticados y que los ciberatacantes ahora utilizan técnicas Living Off The Land, como insertar malware sin fichero a través de códigos maliciosos o la utilización de programas legítimos de terceros, como hemos descrito en los ataques de cadena de suministro.

Debido a que las soluciones de ciberseguridad más comunes son en muchas ocasiones incapaces de detectarlos, esto supone un desafío de ciberseguridad para los SOCs y todo tipo de organizaciones públicas y privadas: ahora deben hacer frente a amenazas que requieren mucha más atención y nivel de detalle que los tradicionales.

En este sentido, la solución Cytomic Orion permite ciclos de aprendizaje, adopción y evolución ágiles, reduciendo el tiempo y coste necesario para dar servicios de detección y respuesta, gracias a las herramientas de Threat Intelligence.. Así, se solventan algunos de los principales retos a los que se enfrentan los SOC, como es la reducción del tiempo de detección, contención y respuesta ante atacantes que han sabido vulnerar los sistemas, superando las medidas de prevención tradicionales; así como la mejora de las medidas defensivas y la reducción de la superficie de ataque del sistema.

Porque una rápida identificación y detección de las amenazas y comportamientos anómalos de los ciberatacantes permite evitar los daños económicos derivados de unos ataques cada vez más profesionalizados.

Leave a Reply