Credenciales robadas y vulnerabilidades de software, las armas de los ciberdelincuentes

El 60% de los ciberataques producidos en 2019 se basaron en credenciales previamente robadas y vulnerabilidades de software. Esta estrategia ha permitido a los ciberdelincuentes a utilizar menos el engaño para acceder a la información.

ciberataques
IBM Security publicó su informe anual IBM X-Force Threat Intelligence 2020, en el se destaca cómo han evolucionado las técnicas de los ciberdelincuentes tras décadas de haber accedido a decenas de miles de millones de archivos corporativos y personales, y tras explotar cientos de miles de fallos de software.

Los resultados de este informe ponen en relieve los factores que han contribuido a esta evolución. Además, se detallan los tres principales vectores de ataque iniciales:

  • El phishing tuvo éxito únicamente en menos de un tercio de los incidentes (31%), cuando en 2018 la cifra fue de cerca de la mitad.
  • Los ciberdelincuentes explotaron las vulnerabilidades en el 30% de los incidentes observados, en comparación con sólo el 8% de 2018. De hecho, vulnerabilidades más antiguas y de sobras conocidas en Microsoft Office y Windows Server Message Block han seguido teniendo unos niveles de explotación alarmantes en 2019.
  • El uso de credenciales previamente robadas también está ganando terreno como punto de entrada predilecto para los ciberdelincuentes, y ya supone un 29% de los casos. Sólo en 2019, más de 8.500 millones de archivos se vieron comprometidos, lo que dio lugar a un aumento del 200% en los datos expuestos reportados en relación al año anterior. Una cifra que se suma al creciente número de credenciales robadas que los ciberdelincuentes ya estaban utilizando.

IBM X-Force ha llevado a cabo su análisis basándose en la observación y seguimiento de 70.000 millones de eventos de seguridad en más de 130 países. Además, los datos recopilados y analizados provienen de múltiples fuentes, entre ellas X-Force IRIS, X-Force Red, servicios de seguridad administrados por IBM, o información sobre filtraciones de datos divulgada públicamente.

El comercio, el sector industrial y de transportes, objetivo de ransomware

El informe analiza los ataques de ransomware en todo el mundo, dirigidos tanto al sector público como al privado. En 2019 se produjo un importante aumento de la actividad de ransomware: IBM X-Force desplegó su equipo de respuesta a incidentes de ransomware en 13 industrias diferentes en todo el mundo, lo que demuestra la potencia de este tipo de ataques, independientemente de la industria objetivo. Durante el año pasado, cerca de 100 entidades del gobierno de los Estados Unidos se vieron afectadas por ataques de ransomware.

Además, IBM X-Force también detectó ataques significativos contra el comercio minorista, el sector industrial y el sector del transporte. Todos estos sectores cuentan con un gran volumen de datos que pueden ser utilizados para obtener un rendimiento económico, y suelen apoyarse en tecnología no tan actualizada, lo que hace que sean más vulnerables a los ataques. De hecho, en el 80% de los intentos de ataque con ransomware observados, los cibercriminales estaban explotando las vulnerabilidades de Windows Server, la misma táctica utilizada para propagar WannaCry, el ataque que afectó a empresas de 150 países en 2017.

Los ataques de ransomware costaron a las organizaciones más de 7.500 millones de dólares en 2019 por lo que, viendo esta cifra, todo parece apuntar a que este tipo de ataques no van a reducirse durante 2020.

El informe de IBM, en colaboración con Intezer, señala que se ha observado nuevo código de malware en el 45% del código de los troyanos bancarios, y en el 36% del código de ransomware. Esto sugiere que, al crear nuevos códigos, los atacantes continúan centrando sus esfuerzos en evitar su detección. Al mismo tiempo, IBM X-Force también ha observado una fuerte relación entre el ransomware y los troyanos bancarios. Estos últimos están siendo utilizados para abrir la puerta a ataques de ransomware selectivos y de alto riesgo, diversificando la forma en que se despliega el ransomware.