La paradoja de las ciberamenazas

A medida que los entornos ganan en interconexión, las amenazas se vuelven cada vez más sofisticadas. Así lo confirman los acontecimientos más destacados del año pasado en materia de seguridad, mientras que sus repercusiones subrayan la importancia de implementar soluciones de protección inteligentes.

El año pasado una cantidad abismal de epidemias de ransomware cobraron dimensión mundial y, supuestamente, costaron a las empresas miles de millones de dólares. Tampoco faltaron las amenazas más conocidas, como las vulneraciones al correo electrónico de empresas (BEC), que continuaron siendo un peligro latente para estas. Por su parte, la volatilidad de las criptomonedas convulsionó el entorno de las ciberamenazas cuando su valor se disparó de la noche a la mañana. Con miras a operar en este entorno, los ciberdelincuentes adaptaron antiguas técnicas para aprovechar las criptotendencias y explotar las vulnerabilidades ya conocidas de nuevas maneras.




El ransomware desata epidemias globales de mayor magnitud pese a la menor cantidad de actores influyentes


El ransomware desata epidemias globales de mayor magnitud pese a la menor cantidad de actores influyentes

El número de nuevas familias de ransomware creció un 32 %, hasta 327, con respecto a 2016, lo que demuestra que aún quedan desarrolladores de ransomware activos que intentan aprovechar una tendencia amesetada. No obstante, las amenazas relacionadas con el ransomware que detectó la infraestructura de seguridad de Trend Micro™ Smart Protection Network™ avanzó en sentido contrario y cayó en un 41 %. Aparentemente, muy pocas de estas nuevas familias de ransomware tuvieron impacto en 2017.



2016
2017
En 2017 surgieron nuevas familias de ransomware: Comparación del número total de nuevas familias de ransomware observadas
247
Nuevas familias en 2016
327
Nuevas familias en 2017



2016
2017
Hay menos actores influyentes pese a la mayor cantidad de familias nuevas de ransomware: Comparación del número total de amenazas relacionadas con ransomware detectadas
1 078 091 703
Amenazas relacionadas con el ransomware en 2016
631 128 278
Amenazas relacionadas con el ransomware en 2017

Pero los eventos de ransomware que sí afectaron a los usuarios tuvieron un impacto mucho mayor. Estos ataques masivos golpearon a varios países y, supuestamente, causaron daños valuados en miles de millones de dólares estadounidenses. Además de WannaCry y Petya, los dos casos más sonados, hubo un caso más reciente, el de Bad Rabbit: en octubre, el ransomware golpeó a una serie de empresas en Rusia, Europa Oriental y los EE. UU.

La diferencia con respecto a 2016 fue muy grande. Ese año se comunicaron más incidentes de ransomware, pero la magnitud de los daños se limitó a las oficinas locales y la recompensa exigida apenas ascendió a decenas de miles de dólares.

Las principales familias de ransomware: Las principales familias de ransomware de 2017 que quedan de 2016

El ransomware sigue constituyendo a todas luces una firme amenaza, ya que muchas de las antiguas familias siguen afectando a usuarios en todo el mundo. Mientras tanto, las epidemias virulentas más recientes demuestran que las nuevas familias de ransomware se han vuelto más sofisticadas y apuntan a blancos más importantes. Los desarrollares están en constante experimentación, a la búsqueda de estrategias rentables. En 2017, utilizaron diversos métodos nuevos. Por ejemplo, hubo más casos de técnicas de infección sin archivos y de evasión de machine learning previa a la ejecución, además de las vulnerabilidades tradicionales.

Por lo general, un ransomware eficaz aprovecha los exploits y las técnicas conocidos. Por esa razón, las empresas deben actuar con diligencia y aplicar políticas de parches adecuadas, además de proteger sus sistemas con soluciones multicapa.


Las amenazas adaptables explotan las vulnerabilidades conocidas de nuevas formas


Las amenazas adaptables explotan las vulnerabilidades conocidas de nuevas formas

Los ciberdelincuentes explotaron varias vulnerabilidades críticas y controvertidas y las utilizaron para lanzar campañas de ransomware de gran magnitud. Se destacaron las ya conocidas, de las que se aprovecharon los exploits EternalBlue y EternalRomance. El primero se utilizó en las epidemias de WannaCry y Petya, y el segundo también se utilizó en los ataques de Petya y, más tarde, en el incidente con Bad Rabbit.

Las vulnerabilidades conocidas también se explotaron con otros propósitos y no solo para propagar el ransomware. EternalBlue también lo utilizó un malware criptominador para propagarse sin archivos. Y la vulnerabilidad de Linux conocida como Dirty COW la utilizó ZNIU para comprometer dispositivos específicos que utilizan Android.


VULNERABILIDADES DE DÍA CERO
VULNERABILIDADES DE DÍA CERO (SCADA)
2016
60
2017
119
2016
46
2017
113


Un marcado aumento de las vulnerabilidades de día cero: Comparación de la cantidad de vulnerabilidades de día cero y vulnerabilidades de día cero relacionadas con SCADA entre 2016 y 2017

En 2017 también se observó un aumento considerable del 98 % en las vulnerabilidades de día cero descubiertas. Además, de las 119 vulnerabilidades de día cero, todas menos seis de ellas estaban relacionadas con la supervisión, control y adquisición de datos (SCADA). Este mayor énfasis en SCADA resulta particularmente significativo, ya que el funcionamiento de los principales complejos industriales y las infraestructuras críticas dependen de esta arquitectura de control del sistema. Si se las explota, las vulnerabilidades de día cero podrían producir cuantiosas pérdidas y daños.


Pese a la mayor conciencia de la amenaza, los fraude BEC sigue en aumento


Pese a la mayor conciencia de la amenaza, los fraude BEC sigue en aumento

En los casos anteriores se ha puesto en relieve el riesgo que entrañan los fraudes BEC para todos los tipos de empresas, desde las grandes multinacionales hasta las empresas pequeñas. Pero pese a la mayor conciencia de la amenaza, los casos de fraude BEC crecieron durante 2017. En diciembre, un incidente costó a una empresa de transporte japonesa la suma de 3,4 millones de dólares. Este fraude se basó en una técnica muy difundida conocida como «supplier swindle», es decir, hacerse pasar por un proveedor y manipular a la compañía para que transfiera fondos. En otro incidente dado a conocer en julio, varias organizaciones alemanas recibieron memorandos falsos de ejecutivos que solicitaban al personal contable que enviara fondos a cuentas fraudulentas.

De acuerdo con nuestros datos, desde el primer semestre de 2017 hasta el segundo semestre los intentos de fraude aumentaron cerca de un 106 %. Al igual que en años anteriores, los puestos más atacados fueron los del área financiera: director financiero (CFO), controlador de finanzas, director de finanzas y consejero de finanzas. Los más falsificados fueron los puestos ejecutivos de alto nivel: director ejecutivo (CEO), director general y presidente.

Intentos de BEC registrados en 2017

S1
3175
S2
6533

Los intentos de BEC crecieron en más del doble durante el segundo semestre del año con respecto al primero: comparación de intentos de BEC entre el primer semestre y el segundo semestre de 2017


El ascenso meteórico de las criptomonedas inspira el desarrollo de nuevo malware de minería y otras amenazas


El ascenso meteórico de las criptomonedas inspira el desarrollo de nuevo malware de minería y otras amenazas

El valor de las criptomonedas, en especial el bitcóin, se disparó durante el segundo semestre de 2017. A principios de julio, 1 bitcóin valía aproximadamente 2500 dólares estadounidenses, y para el 31 de diciembre, cotizaba en más de 13 800 dólares estadounidenses. Aparentemente, este marcado y súbito incremento alentó a los ciberdelincuentes a atacar la criptomoneda con distintos métodos. Algunos recurrieron a ataques de ingeniería social para atacar directamente los monederos de la criptomoneda mientras que otros rediseñaron antiguas amenazas de ransomware con el mismo fin. También hubo intentos de minar la criptomoneda mediante malware móvil, pese a las pocas probabilidades de obtener sumas cuantiosas por ese medio.

Algunas empresas habían intentado aprovechar las criptomonedas usando software de minería como alternativas a los anuncios web, pero los ciberdelincuentes no se quedaron atrás. A mediados de 2017, comenzaron a abusar de la herramienta de minería de fuente abierta más difundida, Coinhive. Para noviembre, una variante del minador Coinhive que había sido atacada ocupaba el sexto lugar entre el malware más difundido en el mundo, aunque había sido diseñada como un método alternativo válido para lucrar con los sitios web.

Estas amenazas son particularmente relevantes, ya que las empresas están comenzando a utilizar criptomonedas e incluso a lanzar sus propias monedas; los gobiernos, entre ellos los de Venezuela y Dubái, Emiratos Árabes Unidos, también están implementando sus propias criptomonedas. Las soluciones de seguridad con machine learning de alta fidelidad, servicios de reputación web, supervisión del comportamiento y control de aplicaciones podrían contribuir a reducir al mínimo el impacto de estas amenazas.

Entorno de las ciberamenazas

La infraestructura de seguridad de Trend Micro™ Smart Protection Network™ bloqueó más de 66 000 millones de amenazas durante 2017. Más del 85 % de estas amenazas fueron correos electrónicos con contenido malintencionado. Los correos electrónicos han sido siempre la puerta de entrada más común por la que los ciberdelincuentes acceden a los usuarios.

Entorno de las ciberamenazas

La infraestructura de seguridad de Trend Micro™ Smart Protection Network™ bloqueó más de 66 000 millones de amenazas durante 2017. Más del 85 % de estas amenazas fueron correos electrónicos con contenido malintencionado. Los correos electrónicos han sido siempre la puerta de entrada más común por la que los ciberdelincuentes acceden a los usuarios.

Número total de amenazas bloqueadas

66436980714


S1 2016
28,658,837,969
S1 2017
38,451,584,224
S2 2016
53,226,272,934
S2 2017
27,985,396,490


Durante 2017 se bloquearon menos amenazas que durante 2016: Total de amenazas bloqueadas por la infraestructura de Trend Micro Smart Protection Network en 2016 frente a 2017

En comparación, se bloquearon más de 81 000 millones de amenazas durante 2016. Creemos que la caída en la cantidad de amenazas puede atribuirse a un cambio del método «spray and pray» por un enfoque más específico en los ataques.


Una variación en la tendencia de la cantidad de vulnerabilidades: Comparación de número de vulnerabilidades registradas por proveedor entre 2016 y 2017


Evento Número de eventos
Minado de criptomonedas 45 630 097
Inicio de sesión con contraseña predeterminada de TELNET 30 116 181
MS17-010 SMB 12 125 935
Inicio de sesión forzado 3 714 051
ICMP BlackNurse 1 792 854
Otros 16 701 211

Los eventos de minado de criptomonedas y TELNET superaron a los demás: Eventos en redes en 2017 basados en los datos de la solución Trend Micro™ Smart Home Network


Año Vulnerabilidades de datos descubiertas Registros afectados
2016 813 3 310 435 941
2017 553 4 923 053 245

Menos casos divulgados, mayor número de registros afectados: Comparación del número de vulnerabilidades de datos divulgadas y el número de registros afectados entre 2016 y 2017

* Nota: La vulnerabilidad de datos de Yahoo comunicada en octubre de 2017 se refleja en el número de registros afectados de 2017. Las cifras se calculan de acuerdo con los datos de Privacy Rights Clearinghouse.

Nuestro informe incluye otras historias destacadas en materia de seguridad durante 2017, además de detalles sobre cómo los ciberdelincuentes atacaron la red de dispositivos de internet de las cosas (IoT) y el golpe asestado a las grandes compañías por las vulnerabilidades de datos masivas. Lea nuestro informe de seguridad anual y descubra las novedades en el entorno de las ciberamenazas y qué estrategias de seguridad puede aplicar contra las nuevas y antiguas amenazas.

DESCARGAR INFORME COMPLETO (PDF/ingl.)