COVID-19

COVID-19: lo que no le dijeron los empresarios al Presidente

COVID-19
COVID-19

COVID-19 está golpeando con fuerza a la economía global, generando un alto volumen de incertidumbre dentro de las organizaciones.

COVID-19 también tiene un impacto significativo en la seguridad de la información y que la crisis es explotada activamente por los cibercriminales.

En lo personal me pregunto si cuando los profesionales que supuestamente asesoraron al presidente argentino, Dr. Alberto Fernandez no consideraron pertinente tratar las amenazas cibernéticas, por esa razón creemos necesario redactar esta nota, para dar el contexto que los empresarios obviaron, ante la preocupación de cómo se va a repartir los subsidios que el Estado va a dar en disponibilidad.

Desde IT Connect Latam identificamos dos tendencias fundamentales dentro de la crisis del COVID-19: ataques que apuntan a robar credenciales de usuario remoto y ataques de correo electrónico:

Robo de credenciales de usuario remoto

El impacto directo del COVID-19 resulta en una política cuarentena obligatoria para todo el territorio argentino, que obliga a varias organizaciones a implementar que su fuerza laboral trabaje desde su casa para mantener la continuidad del negocio.

Esto inevitablemente implica cambiar una parte significativa de la carga de trabajo para que se realice de forma remota, lo que presenta una oportunidad invaluable para los cibercriminales.

Los cibercriminales ven claramente que el uso masivo de credenciales de inicio de sesión remoto para recursos de la organización excede por mucho la norma y abre brechas de seguridad.

Como resultado, los empleados y los dispositivos establecen conexiones remotas que nunca lo habían hecho, lo que significa que un cibercriminal podría ocultar fácilmente un inicio de sesión malicioso sin ser detectado por el equipo de seguridad de la organización objetivo.

Analizando datos de telemetría de amenazas podemos ver que las últimas tres semanas revela que Italia presenta un fuerte aumento en los ataques de phishing en comparación con otros territorios, lo que indica que los atacantes están buscando con toda su fuerza las credenciales de los usuarios.

COVID-19 en Italia

Además, consultamos a otros investigadores y nos dicen que también detectan un pico respectivo tanto en los inicios de sesión anómalos detectados en los entornos de sus clientes, como en los clientes que se comunican activamente.

La correlación de los dos picos valida que los atacantes están explotando activamente los estragos derivados de esta pandemia.

Ataques de correo electrónico

Los empleados que trabajan desde casa a menudo lo hacen desde sus computadoras personales, que son significativamente menos seguras que las de la organización, lo que los hace más vulnerables a los ataques de malware.

Los informes de las principales compañías de antivirus demuestran que existen picos de ataques de malware dentro de Italia.

Ciberataques a correos electrónicos

Si hacemos un drill down a los ataques observamos que son una amenaza considerable para las organizaciones que no cuentan con protección avanzada:

Ataques de malware contra correos electrónicos

Mientras que el 21% de estos correos electrónicos presentaban ataques simples con un enlace para descargar un ejecutable malicioso incrustado en el cuerpo del correo electrónico, la gran mayoría incluye capacidades más avanzadas como macros maliciosas y exploits o redireccionamientos a sitios web maliciosos, un desafío que supera por mucho a las capacidades de la mayoría soluciones de protección de antivirus y correo electrónico.

Es aquí cuando las compañías de antivirus que cuentan con equipos de análisis regionales y locales como Kaspersky cobran gran valor, al dar contexto local a la defensa frente a estos ataques.

Al observar más de cerca cómo se bloquearon estos ataques, se verifica que deben considerarse como un potencial de riesgo grave:

Protección contra ataques cibernéticos

Si tomamos el caso de Italia, como ejemplo de análisis solo alrededor del 10% del malware de estos ataques fue identificado por su firma, indica que los atacantes detrás de estas campañas están utilizando herramientas de ataque avanzadas para aprovechar la situación.

Además, hay otro aspecto del impacto del COVID-19 en la ciberseguridad. En muchos casos, el funcionamiento del propio equipo de seguridad se ve afectado debido a la falta de miembros del equipo por la cuarentena, lo que dificulta aún más la detección de actividades maliciosas.

Ataques cibernéticos

Para abreviar la situación en Italia, los empleados que trabajan desde casa, los equipos de seguridad que no están completamente operativos y la atmósfera general de incertidumbre, crean las condiciones ideales para los atacantes que buscan monetizar la nueva situación a través de phishing, ingeniería social y correos electrónicos armados.

Si bien este aún no es el caso para Argentina, la rápida propagación del Coronavirus implica que el panorama de amenazas cibernéticas en Italia pronto se replicará también en otras geografías.

Para enfrentar estas amenazas de manera eficiente, los CISO deben evaluar las defensas que tienen instaladas y ver si brindan protección contra el phishing y los inicios de sesión maliciosos.

 

Por Marcelo Lozano – General Publisher IT Connect Latam