IBM Security X-Force 2023: informe de inteligencia

El Informe de Inteligencia de Amenazas IBM Security X-Force 2023 destaca las tendencias y riesgos más críticos para la ciberseguridad en este año.

Con un enfoque en la evolución de las amenazas, la expansión de la superficie de ataque y la importancia de la colaboración en la defensa, el informe proporciona información valiosa para ayudar a las organizaciones a protegerse de los ciberataques.

Tres amenazas de ciberseguridad antiguas que están generando nuevas interrupciones
La ciberseguridad es una competencia continua en la que los especialistas buscan constantemente formas nuevas y creativas de luchar contra estrategias cambiantes de ciberataques.

En 2022, el desafío se volvió aun más intenso a medida que los ciberatacantes empleaban métodos tanto avanzados como antiguos, tomando a los expertos de seguridad por sorpresa y demostrando que las tácticas clásicas siguen siendo efectivas.

De hecho, según el IBM Security X-Force Threat Intelligence Index 2023, la reaparición de los backdoors o ‘puertas traseras’, donde los ciberatacantes obtienen acceso remoto a los sistemas, fue una ocurrencia común, pero con distintos resultados.

El despliegue de Backdoors fue la segunda acción más realizada por los atacantes en Latinoamérica en 2022. Sin embargo, la mayoría fueron intentos de ransomware fallidos, pues los defensores interrumpieron antes de que se pudiera implementar el ransomware.

Además de los riesgos mencionados anteriormente, el despliegue de Backdoors también puede facilitar la realización de futuros ataques y comprometer la seguridad de la información en el largo plazo.

Una vez que los atacantes tienen acceso al sistema a través de un Backdoor, pueden mantener ese acceso y seguir recopilando información y datos confidenciales a medida que se actualiza el sistema.

Es importante destacar que los defensores que interrumpieron la implementación del ransomware desempeñan un papel clave en la lucha contra los ciberataques.

La prevención y la respuesta rápida son esenciales para minimizar el impacto de estos ataques en los sistemas y en la información almacenada en ellos.

Los equipos de seguridad deben estar capacitados para detectar y responder rápidamente a los intentos de ataque.

También deben implementar medidas de seguridad adecuadas, como firewalls y programas antivirus, para prevenir la entrada de programas maliciosos.

En resumen, el despliegue de Backdoors representa una amenaza creciente para la seguridad informática en toda Latinoamérica.

Aunque la mayoría de los intentos de ransomware fueron fallidos, estos ataques pueden comprometer la seguridad a largo plazo y deben ser abordados de manera proactiva por los equipos de seguridad.

Los defensores tienen un papel clave en la prevención y la respuesta a los ciberataques, y es esencial que se tomen medidas adecuadas para proteger la información y los sistemas informáticos.

Otra tendencia antigua, los ataques por correo electrónico, han evolucionado y se han vuelto más difíciles de detectar debido a la adopción generalizada del trabajo remoto.
En 2022, el phishing con archivos adjuntos o links maliciosos demostró ser uno de los métodos preferidos de los ciberdelincuentes, causando el 10% de los ciberataques en la región.

También estuvo a la alza el secuestro de hilos de conversación de e-mails, en los que los atacantes se hacen pasar por el participante original. Esta técnica es especialmente peligrosa porque se aprovecha de la confianza existente, haciendo que las víctimas sean más propensas a reaccionar rápidamente y hacer click en los enlaces maliciosos.

El secuestro de hilos de conversación de e-mails es una técnica utilizada por los ciberdelincuentes para engañar a los destinatarios de los correos electrónicos y obtener acceso no autorizado a sus cuentas de correo.

La técnica consiste en hacerse pasar por el participante original en una conversación de correo electrónico legítima y responder con contenido malicioso, generalmente en forma de un enlace o archivo adjunto.

Una vez que el destinatario hace click en el enlace o descarga el archivo adjunto, el ciberdelincuente puede obtener acceso no autorizado a su dispositivo y comenzar a robar información o realizar actividades maliciosas.

El secuestro de hilos de conversación de e-mails representa una amenaza significativa porque se aprovecha de la confianza existente entre los participantes de una conversación de correo electrónico legítima.

Además, es difícil de detectar porque el mensaje malicioso se encuentra dentro de una conversación legítima y parece venir de un remitente de confianza.

Los ciberdelincuentes pueden usar esta técnica para distribuir malware, robar información confidencial o realizar ataques de phishing sofisticados.

Para estar un paso adelante, mejorar la resiliencia y defenderse de las ciberamenazas, IBM recomienda:

Conocer la superficie de ataque

Un tercio de los activos que pueden ser atacados en las redes de las organizaciones no es gestionado o es desconocido.

Es necesario pensar como un atacante, descubrir las vulnerabilidades y formas en las que podrían entrar con un mínimo de detección.

Efectivamente, conocer la superficie de ataque es una parte fundamental de la ciberseguridad en cualquier organización.

La superficie de ataque se refiere al conjunto de sistemas, dispositivos, aplicaciones, redes y servicios que son accesibles desde el exterior y, por lo tanto, susceptibles de ser atacados por un atacante malintencionado.

En muchos casos, los equipos de seguridad de las organizaciones no tienen un conocimiento completo de toda su superficie de ataque.

Esto se debe a varias razones, como la falta de inventario completo de los activos de la organización, el uso de servicios y aplicaciones en la nube que no están bajo su control directo, y la presencia de dispositivos y sistemas que están fuera del alcance de la supervisión de seguridad.

Sin embargo, es crucial tener un conocimiento completo de la superficie de ataque para poder proteger adecuadamente la organización.

Un enfoque útil para abordar este problema es pensar como un atacante y tratar de descubrir las vulnerabilidades y formas en que podrían entrar en la organización con un mínimo de detección.

Esto puede incluir realizar pruebas de penetración en la red y sistemas de la organización para identificar las debilidades y brechas de seguridad, así como hacer uso de herramientas de análisis de vulnerabilidades y escaneo de puertos.

También es importante considerar el factor humano y la posibilidad de que los empleados de la organización puedan ser víctimas de ataques de ingeniería social, como phishing y spear phishing.

Una vez que se ha identificado la superficie de ataque completa de la organización, es necesario implementar medidas de seguridad adecuadas para proteger los activos y reducir la exposición a riesgos.

Esto puede incluir la aplicación de parches y actualizaciones de seguridad, el uso de autenticación multifactor y la segmentación de la red para minimizar el impacto de un posible ataque.

En resumen, conocer la superficie de ataque de una organización es esencial para poder proteger adecuadamente sus activos de posibles amenazas cibernéticas.

Pensar como un atacante y utilizar herramientas y técnicas para descubrir vulnerabilidades y debilidades puede ayudar a las organizaciones a estar mejor preparadas y a implementar medidas de seguridad más eficaces.

Entrenar para una respuesta rápida

Aceptar que las brechas de seguridad son inevitables y establecer métodos para una respuesta rápida es esencial, la velocidad es la clave para limitar el radio de alcance.

Es importante tener en cuenta que, a pesar de todos los esfuerzos que una organización pueda hacer para protegerse contra los ciberataques, las brechas de seguridad son inevitables.

Por lo tanto, es crucial tener un plan de respuesta a incidentes en su lugar para poder actuar rápidamente en caso de una brecha de seguridad.

La rapidez de la respuesta es fundamental para limitar el alcance del ataque y minimizar el daño potencial que pueda causar.

Cuanto más tiempo un atacante tenga acceso a los sistemas de la organización, mayor será la cantidad de datos que puedan comprometerse y el daño que puedan causar.

Para entrenar para una respuesta rápida, es necesario establecer protocolos claros y definidos para la respuesta a incidentes, que incluyan la identificación temprana de una brecha de seguridad, la evaluación del alcance del ataque y la adopción de medidas para contener y mitigar el daño.

Estos protocolos deben ser probados y entrenados regularmente para asegurarse de que el personal involucrado esté familiarizado con ellos y pueda actuar con rapidez y eficacia en caso de un incidente real.

Además, es importante contar con herramientas y tecnologías adecuadas para la detección y respuesta a incidentes, como sistemas de monitoreo de seguridad y soluciones de análisis de registros. Estas herramientas pueden ayudar a las organizaciones a detectar y responder rápidamente a las amenazas cibernéticas.

En conclusión, el entrenamiento para una respuesta rápida es un elemento crucial de la ciberseguridad.

Aceptar que las brechas de seguridad son inevitables y establecer métodos para una respuesta rápida puede ayudar a las organizaciones a limitar el daño potencial causado por un ataque y minimizar el impacto en sus operaciones y reputación.

Hacer tests regularmente

Formular un programa de pruebas ofensivas que incluyan la caza de amenazas, las pruebas de penetración y al ‘red team’ basado en objetivos es vital para descubrir debilidades en las defensas. Se recomienda realizar pruebas y cuestionar hipótesis con frecuencia.

Hacer tests regularmente es una práctica que se conoce como “pruebas de penetración” o “pen testing”.

Estas pruebas son un tipo de evaluación de seguridad que simula un ataque real para descubrir debilidades en las defensas de una organización.

Es importante tener en cuenta que las pruebas de penetración deben ser realizadas por profesionales con experiencia en ciberseguridad, ya que pueden ser potencialmente peligrosas si no se realizan correctamente.

El objetivo es identificar y corregir vulnerabilidades, no causar daño a los sistemas.

El programa de pruebas ofensivas debería incluir diferentes tipos de pruebas, como la caza de amenazas, las pruebas de penetración y el red team.

La caza de amenazas es una técnica de seguridad que consiste en buscar activamente posibles amenazas y vulnerabilidades en los sistemas de la organización.

Por otro lado, las pruebas de penetración consisten en simular un ataque cibernético real para evaluar la capacidad de las defensas de la organización para detectar y resistir dicho ataque.

Por último, el red team es un grupo de profesionales de seguridad que trabajan juntos para simular un ataque coordinado, basado en objetivos específicos.

Además, se recomienda realizar pruebas y cuestionar hipótesis con frecuencia para mantenerse al día con las últimas tendencias y amenazas en ciberseguridad.

Las pruebas deben ser realizadas en diferentes momentos del año para asegurarse de que las defensas de la organización están actualizadas y listas para hacer frente a cualquier amenaza potencial.

En conclusión, hacer pruebas regularmente es fundamental para mantener una estrategia de seguridad efectiva y minimizar el riesgo de ciberataques.

La formulación de un programa de pruebas ofensivas que incluya diferentes tipos de pruebas, como la caza de amenazas, las pruebas de penetración y el red team, es vital para descubrir debilidades en las defensas de la organización.

Además, realizar pruebas y cuestionar hipótesis con frecuencia es necesario para mantenerse al día con las últimas tendencias y amenazas en ciberseguridad.

Emplear tecnologías de endpoints o detección y respuesta ampliadas

El aumento de los casos de backdoors señala algunos éxitos en la detección.

Estas tecnologías proporcionan los medios para identificar y mitigar amenazas antes de que los atacantes adopten medidas más peligrosas.

Los ataques cibernéticos son cada vez más sofisticados y las empresas necesitan tecnologías avanzadas para detectar y responder a ellos.

Las tecnologías de endpoints se refieren a cualquier dispositivo conectado a una red que pueda interactuar con los datos y aplicaciones de una empresa.

Estas tecnologías incluyen antivirus, cortafuegos, software de detección de intrusiones, entre otros.

La idea es que al tener estas tecnologías instaladas en los endpoints, se puedan detectar amenazas de manera temprana y mitigar el riesgo de que se propaguen a otros sistemas.

Por otro lado, la detección y respuesta ampliadas (EDR) se refiere a tecnologías que permiten a los equipos de seguridad detectar y responder a amenazas avanzadas en tiempo real.

Estas tecnologías utilizan técnicas de análisis de comportamiento y aprendizaje automático para detectar amenazas que los sistemas tradicionales pueden pasar por alto.

El aumento de los casos de backdoors es un signo de que las tecnologías de detección están mejorando.

Las backdoors son puertas traseras o vulnerabilidades que permiten a los atacantes acceder a sistemas comprometidos.

Al detectar estas backdoors, las empresas pueden tomar medidas para mitigar el riesgo de que los atacantes adopten medidas más peligrosas.

En conclusión, emplear tecnologías de endpoints o detección y respuesta ampliadas es fundamental para una estrategia de seguridad efectiva en la actualidad.

Estas tecnologías proporcionan los medios para identificar y mitigar amenazas antes de que los atacantes adopten medidas más peligrosas.

Las empresas deben asegurarse de tener estas tecnologías instaladas en sus sistemas y mantenerlas actualizadas para mantener una defensa efectiva contra los ciberataques.

Si bien, la detección y respuesta a las ciberamenazas dio un paso adelante en 2022, la reaparición de métodos de ataque de la ‘vieja escuela’ evidencian la imposibilidad práctica de logar una cobertura completa contra los ciberdelincuentes.

Por eso, es tan crítico evaluar y estudiar sus acciones e implementar la tecnología correcta. Sólo aprendiendo del pasado, es posible que la historia no se repita.

Un informe de inteligencia de amenazas – como el preparado por IBM- proporciona información valiosa sobre las últimas tendencias y técnicas utilizadas por los ciberdelincuentes.

Así como información sobre posibles vulnerabilidades en los sistemas de una organización.

Al tener acceso a esta información, las organizaciones pueden tomar medidas proactivas para proteger sus sistemas y reducir su exposición a los riesgos de seguridad.

Además, un informe de inteligencia de amenazas también puede proporcionar información valiosa sobre las motivaciones y objetivos de los ciberdelincuentes, lo que puede ayudar a las organizaciones a comprender mejor el panorama de amenazas y a tomar medidas más efectivas para protegerse.

En resumen, un informe de inteligencia de amenazas es una herramienta importante para cualquier organización que busque mantenerse protegida contra posibles ataques cibernéticos y minimizar los riesgos de seguridad. No tengo ninguna duda al respecto.

Por Marcelo Lozano – General Publisher IT CONNECT LATAM

Lea más sobre inteligencia de amenazas ciberseguridad en;

Sharepoint le pone color cibercriminal al 2023

Conti 2023: ransomware descifrado por Kaspersky

10 Consejos para Proteger la Privacidad de tu Pyme en Línea

Economía de la Seguridad TI 2023: desafíos y soluciones

Dell Technologies mutiplica por 2 la seguridad

IBM Security X-Force 2023, IBM Security X-Force 2023, IBM Security X-Force 2023, IBM Security X-Force 2023, IBM Security X-Force 2023, IBM Security X-Force 2023, IBM Security X-Force 2023, IBM Security X-Force 2023,