Miguel López, Country Manager. Barracuda Networks Iberia
Parece que todos los días nos despertamos con una nueva calamidad/ataque que pone en jaque a organizaciones de todos los tipos y ámbitos. El informe de Europol Internet Organised Crime Threat Assesment (IOCTA) 2020 pone de manifiesto diversas claves que ayudan a entender la situación actual del cibercrimen.
Entre los hallazgos más significativos, los siguientes ayudan a contextualizar la situación en la que estamos con relación al cibercrimen y hacia dónde nos dirigimos.
- La ingeniería social sigue siendo una de las principales amenazas para facilitar otros tipos de delitos informáticos.
Quizás debiéramos plantearnos, como sociedad, si estamos haciendo un uso correcto y adecuado de las redes sociales. ¿Realmente es necesaria la sobreexposición a ellas que tienen actualmente los usuarios, siendo mucho de ellos además menores? ¿Por qué volcamos un volumen tan ingente de datos personales en ellas sin pararnos a pensar en cómo podrían ser utilizados esos datos?
- Las criptomonedas continúan facilitando pagos para diversas formas de ciberdelito.
Casi todos los avances y nuevas tecnologías tienen una «cara oscura» o un posible uso delictivo, al servicio del cibercrimen, y las criptomonedas no son diferentes… No obstante, parece claro que los países están llegando tarde a la hora de imponer un marco normativo adecuado, por lo que su uso en entornos delictivos es, a día de hoy, predominante.
- El ransomware sigue siendo la amenaza más dominante a medida que los delincuentes aumentan la presión amenazando con la publicación de datos si las víctimas no pagan.
Desde el punto de vista del atacante, el ransomware es bueno, bonito y barato… y permite a los ciberdelincuentes lograr impresionantes beneficios económicos con muy poca inversión. Además, las víctimas que pagan se convierten en clientes «recurrentes» a los que volver atacar en breve. De hecho, se estima que la mayoría de las empresas que pagaron el rescate de un ciberataque volvieron a ser atacadas, probablemente por los mismos ciberdelincuentes que la primera vez.
- El ransomware en proveedores externos también crea un daño potencial significativo para otras organizaciones en la cadena de suministro y en infraestructuras críticas.
Otra «ventaja» del ransomware, en el podio del cibercrimen, es que su impacto puede poner en jaque a todo un país… (véase lo sucedido aquí con el SEPE o en Estados Unidos con los oleoductos de Colonial) lo que incrementa las posibilidades de conseguir un gran rescate y además intimida a otras víctimas que piensan (erróneamente) que si entidades como estas no pueden evitar el ataque, lo mejor que pueden hacer es pagar y rápido.
- El potencial de amenaza de los ataques DDoS es mayor que su impacto actual en la UE.
En Estados Unidos se teme la llegada de un “Pearl Harbour digital”. No sé cómo denominaríamos aquí un ataque equivalente, pero si algún día se da (me temo que sólo es cuestión de tiempo), muy probablemente su forma será la de un ataque DDoS. Los ataques DDoS se caracterizan habitualmente por el inicio de multitud de conexiones a un servicio o página web hasta sobrepasar su capacidad para gestionar ese número de peticiones. Esto hace que el servicio o página «caiga» o deje de responder correctamente al sobrepasarse su capacidad efectiva. El potencial de este tipo de ataques para paralizar todas las comunicaciones de Internet es increíble y muy pocas instituciones y empresas están preparadas para hacerle frente.
- Continúa y aumentan durante la crisis del Covid-19 los casos de transmisión en vivo de abuso sexual infantil.
Este tipo de delitos, por desgracia, han existido siempre, pero la capacidad de Internet para proteger el anonimato y conectar a estos delincuentes entre sí, estén dónde estén, sólo puede combatirse mediante un esfuerzo coordinado por parte de todos los países a nivel legislativo y de dotación de medios técnicos y humanos a los Cuerpos y Fuerzas de Seguridad encargados de combatirlos.
- El intercambio de SIM, una tendencia clave que permite a los ciberdelincuentes acceder a las cuentas, ha mostrado un fuerte aumento durante el último año.
Cada vez más se requieren mecanismos de autenticación multifactor para acceder a entornos bancarios y/o de cierta criticidad. El problema es que el mecanismo más extendido se basa en utilizar el móvil como mecanismo de autenticación (por ejemplo, mediante un SMS). Los ciberdelincuentes se han dado cuenta y centran muchos de sus ataques en la clonación/robo de tarjetas SIM, lo que les brinda acceso total a las cuentas que desean atacar. Se requiere mejorar la seguridad de los ISP en los procedimientos para duplicar tarjetas SIM, así como concienciar a los usuarios de lo importante que es contar con un nivel de seguridad razonable en sus dispositivos móviles.
- BEC (Business Email Compromise) sigue siendo un motivo de preocupación, ya que ha aumentado, ha crecido en sofisticación y se ha convertido en más específico.
BEC es, junto con el ransomware y los ataques DDoS, una de las mayores amenazas en el cibercrimen a día de hoy. La cantidad de ataques que tratan de engañar a un usuario o empleado para que realice un pago no hace más que crecer tanto en número como en sofisticación. La utilización de cuentas internas (a las que se accede con credenciales de usuario sustraídas, por ejemplo) para lanzar ataques o peticiones de pago a otros empleados son extremadamente difíciles de detectar para las herramientas de protección tradicionales e incluso para usuarios con un buen nivel de concienciación en seguridad, pues cuentan con un alto nivel de inteligencia en el ataque y son extremadamente verosímiles (a veces el pago se pide desde la mismísima cuenta del director general y utilizando sus expresiones y lenguaje habituales, que el atacante conoce porque lleva meses espiando la cuenta y esperando el momento oportuno para atacar).
Estos ocho puntos son sólo un «botón de muestra» de la situación actual del cibercrimen. En el informe IOCTA pueden leerse muchas más conclusiones interesantes que nos llevan a preguntarnos si realmente estamos dando la respuesta adecuada a estos ataques. Si cada vez proliferan más y son más habituales es porque, probablemente, son cada vez más rentables para los atacantes. Como sociedad cada vez dependemos más de las comunicaciones online y el flujo de datos a través de Internet. En este sentido, ¿nos estamos preparando para lo que nos espera en los próximos años? ¿Invertimos lo suficiente, tanto a nivel privado como público? ¿Esperaremos a ese «Pearl Harbour Digital» para tomar medidas?