Las amenazas de ciberseguridad más maliciosas del 2021

Sería imposible discutir las principales ciberamenazas de 2021 sin mencionar la pandemia de COVID-19. Además de los peligros obvios para la salud humana y el impacto económico, la pandemia alteró sustancialmente el mundo digital ese año, incluida la forma en que trabajamos y cómo pasamos nuestro tiempo libre en línea.

Cuando cesaron los viajes, la mayoría de las empresas y servicios tuvieron que cambiar a operaciones principalmente en línea. Aquellos que ya estaban en línea tuvieron que expandirse, introduciendo procesos completamente nuevos en sus flujos de trabajo. Este cambio repentino expuso a las organizaciones a las ciberamenaza a una escala nunca antes vista.

En 2021, un asombroso 31% de las empresas globales fueron atacadas por ciberdelincuentes al menos una vez al día. Más de 1000 personas habían robado y filtrado públicamente datos confidenciales por parte de bandas de ransomware. E incluso cuando es posible volver a la vida de la oficina, parece claro que las operaciones digitales seguirán siendo mucho más frecuentes que en años anteriores. Comprender el panorama de las ciberamenazas es clave para mantenerse seguro en línea.  

Una ciberamenaza es un acto malicioso (o simplemente la posibilidad de que ocurra) que busca dañar o robar datos, o interrumpir de alguna otra manera las redes y sistemas informáticos. Las ciberamenazas comunes incluyen virus informáticos, vulnerabilidades de software, ataques distribuidos de denegación de servicio (DDoS) y técnicas de ingeniería social, como el phishing. Incluso los eventos “fuera de línea”, como los desastres naturales, pueden considerarse una ciberamenaza, ya que ponen en riesgo los sistemas y los datos.

Las ciberamenazas pueden provenir de una variedad de fuentes, que incluyen:

1. Bandas criminales
2. Estados nacionales
3. Espías corporativos
4. Conocedores descontentos
5. Hackers individuales

Independiente de la fuente, las ciberamenazas son un riesgo enorme. Ponen en peligro no solo la salud y las operaciones comerciales, sino incluso nuestra vida diaria en este mundo cada vez más digital. Y dado que la IA y la automatización hacen que los ciberataques sean más fáciles de ejecutar, una ciberprotección eficaz es fundamental.

Las aplicaciones maliciosas que encriptan (y a menudo roban) datos confidenciales continuaron siendo una de las principales amenazas de ciberseguridad en el 2021. De acuerdo con un informe del proveedor de ciberseguros Coalition, el ransomware fue responsable del 41% de todas las reclamaciones de ciberseguro este año.

Los datos están cada vez más a la vanguardia de las operaciones comerciales y la toma de decisiones, sin importar la industria. Su pérdida, incluso temporalmente, puede implicar un daño financiero y de reputación masivo. Los ciberdelincuentes son muy conscientes de esto, y sus constantes ataques y demandas masivas de rescate son indicativos del hecho de que la recuperación de datos, realmente, vale millones de dólares para muchas organizaciones.

Los eventos masivos de noticias provocan un aumento en la cantidad de personas que buscan información en línea, y la pandemia de COVID-19 no ha sido una excepción. Aquellos que buscan respuestas: ¿cuáles son las últimas noticias? ¿Cómo puedo estar a salvo? ¿Cómo obtengo ayuda económica?; tuve que lidiar con una gran cantidad de estafas y otras falencias.

Los ciberdelincuentes han emprendido con ciberamenazas probadas y verdaderas, como campañas de phishing y archivos de correo electrónico maliciosos, y les han incorporado la temática de la pandemia. Al aprovecharse de las ansiedades y un sentido general de urgencia, estos ataques a menudo logran que las víctimas busquen respuestas y asistencia para dejar de lado su buen juicio.

La pandemia de COVID-19 ha cambiado significativamente el panorama de las ciberamenazas. El trabajo desde cualquier lugar se ha convertido en la nueva norma y el 92% de las organizaciones globales adoptaron nuevas tecnologías este año para facilitar el cambio a operaciones remotas. Si bien esto ha creado muchas oportunidades nuevas para los proveedores, también destacan los numerosos riesgos de seguridad y privacidad asociados con el trabajo remoto.

Las herramientas que permiten la colaboración y el acceso remoto a los servidores internos de la empresa son objetivos de ataque propicios para los ciberdelincuentes, y la prisa por adoptar nuevas tecnologías, así como las limitaciones presupuestarias y de personal de TI, ha causado que diversas organizaciones sigan adelante sin examinar y configurar adecuadamente sus nuevas soluciones. Como resultado, los ciberataques a estos objetivos suelen tener éxito. 

Con los datos en el centro de cada empresa, y el acceso remoto y las herramientas de colaboración cada vez más necesarias, está claro que los servicios de TI ya no son opcionales. Muchas organizaciones, especialmente las pequeñas y medianas empresas (SMB), confían en los proveedores de servicios administrados (MSP) para estas necesidades.

No es de extrañar, entonces, que los ciberdelincuentes vean cada vez más a los MSP como un objetivo de ataque óptimo. Al comprometer a un proveedor de servicios, los delincuentes obtienen acceso a potencialmente cientos de sus clientes desde su origen; de manera mucho más eficiente que perseguir a las SMB una por una. Un software de acceso remoto mal configurado es uno de los vectores de ataque más explotados, aunque los atacantes también aprovechan las vulnerabilidades del software y las técnicas de ingeniería social para obtener acceso a estos proveedores y, en última instancia, a sus clientes.

El 18 de julio, Telecom Argentina, el mayor proveedor de telecomunicaciones del país, se vio afectado por un ataque de ransomware que encriptó más de 18.000 sistemas, incluidos terminales con datos altamente confidenciales. El infame grupo Sodinokibi exigió un rescate inicial de $7.5 millones, que se duplicaría si no se pagaba dentro de 48 horas.

Solo una semana después, Garmin, una de las empresas de dispositivos portátiles más grandes del mundo, comenzó a experimentar una interrupción importante de los servicios y la producción. Garmin confirmó más tarde que esto fue consecuencia de un ataque del ransomware WastedLocker. Se cree que los ciberdelincuentes exigieron un rescate de $10 millones, que, según los informes, Garmin pagó, aunque la compañía no lo ha verificado públicamente.

Canon, la empresa multinacional especializada en productos ópticos y de imagen, fue víctima del ransomware Maze en agosto. Muchos de los sistemas internos de la empresa se vieron afectados, al igual que su sitio web de EE. UU. Los operadores de Maze parecen haber robado más de 10 TB de datos, incluidos los números de seguro social y los detalles de las cuentas financieras de miles de empleados actuales y anteriores de Canon.

En abril, el estado alemán de Renania del Norte-Westfalia (NRW) fue víctima de una campaña de phishing dirigida a los fondos de ayuda por COVID-19. Los ciberdelincuentes crearon una versión falsa del sitio web de solicitud de ayuda de NRW y enviaron correos electrónicos dirigiendo a los alemanes al sitio falso. Cuando las víctimas completaron la “solicitud”, los atacantes capturaron estos datos personales y los utilizaron para enviar sus propias solicitudes de ayuda a través del sitio web real. Los funcionarios de NRW informaron que el gobierno finalmente otorgó hasta 4.000 solicitudes falsificadas, lo que resultó en el envío de hasta 109 millones de dólares a los estafadores.

La última versión del notorio malware TrickBot se distribuyó en una campaña de phishing, en la cual las víctimas recibieron correos electrónicos que afirmaban contener información sobre pruebas gratuitas de COVID-19. Estos mensajes dirigían a los usuarios a completar el “formulario” adjunto, que en realidad contenía un script malicioso que descargaba la carga útil después de un retraso (para evitar mejor la detección por parte de las soluciones anti-malware).

Dado que las soluciones de videoconferencia experimentaron un crecimiento explosivo de usuarios este año, también atrajeron mucha atención no deseada por parte de los ciberdelincuentes, muchos de los cuales comenzaron a analizar de inmediato estas aplicaciones en busca de debilidades aprovechables.

A mediados de abril, se identificaron varias vulnerabilidades de día cero en la plataforma de conferencias virtuales Zoom, que se incluyeron en los mercados de la web oscura: una vulnerabilidad se vendió por $500,000. Zoom también fue el objetivo de una campaña de phishing a gran escala en la que los ciberdelincuentes enviaron invitaciones a reuniones falsas para robar contraseñas, aprovechando la dependencia del usuario (y la falta de familiaridad) con el servicio.

Servicios similares también fueron objeto de ataque. Los usuarios de Microsoft Teams y Cisco Webex tuvieron que lidiar con correos electrónicos de phishing con “notificaciones” que dirigían a los usuarios hacia páginas de inicio de sesión falsas especializadas en el robo de credenciales. En una semana, alrededor de 50.000 usuarios de Microsoft 365 fueron víctimas de ataque bajo este formato.

En junio, Pivot Technology Solutions, con sede en Canadá, se vio afectada por un ataque de ransomware parcialmente exitoso. Aunque el ataque no logró encriptar ningún sistema, se extrajeron algunos datos personales, incluidas direcciones, números de seguro social e información de nómina, sobre empleados y consultores.

El proveedor global de servicios y soluciones de TI DXC Technology anunció a principios de julio un ataque de ransomware contra su subsidiaria Xchanging, cuyos clientes incluían compañías de las industrias de seguros, servicios financieros, salud, defensa y aeroespacial.      

Con la pandemia aún en curso e impulsando las decisiones operativas comerciales, se esperan más de estas mismas ciberamenazas en 2021. El trabajo a distancia llegó para quedarse, y no está claro si alguna vez volveremos por completo a las disposiciones de oficina tradicionales.

Con respecto al ransomware, la exfiltración de datos está a punto de volverse más grande que la encriptación, ya que los ciberdelincuentes se esfuerzan por maximizar las tasas de éxito y monetizar cada ataque. Los ataques contra los servicios en la nube no harán más que crecer junto con la propia popularidad de los servicios, aprovechando las configuraciones inadecuadas y las debilidades en la cadena de suministro. 

También es probable que sigamos viendo grandes aumentos en el volumen y la variedad de ciberamenazas más tradicionales. Los avances en automatización y extracción de datos permiten a los ciberdelincuentes crear e iterar rápidamente nuevas variantes de malware, utilizando datos de sitios web corporativos y perfiles de redes sociales para personalizar cada ataque. La mayor adopción del Internet de las cosas (IoT) está aumentando drásticamente la superficie de ataque, y los dispositivos y aparatos inteligentes a menudo no cuentan con una protección ideal.

Con estos desafíos por delante, es importante que las empresas inviertan en soluciones que puedan hacer frente a las principales ciberamenazas y brindar una ciberprotección exhaustiva.

Los agentes anti-malware pueden detener una ciberamenaza en curso, pero no podrán restaurar ningún dato comprometido. Los agentes de respaldo no se enterarán automáticamente de una ciberamenaza y los datos se recuperarán lentamente, suponiendo que no se hayan visto comprometidos. Los parches de seguridad para corregir vulnerabilidades en un software popular se lanzan con frecuencia, pero son intrascendentes si no se habilitan en sus cargas de trabajo de manera oportuna.

Para abordar estos problemas, recomendamos herramientas como Acronis Cyber Protect, una solución integrada que combina funciones de copia de seguridad de datos, antimalware, RMM, evaluación de vulnerabilidades y gestión de parches en un solo agente. Este nivel de integración permite un rendimiento óptimo, elimina los problemas de compatibilidad y garantiza una rápida recuperación y automatizada en caso de una filtración.