El Centro Criptológico Nacional (CCN), a través de su equipo de respuesta ante incidentes de ciberseguridad, el CCN-CERT, ha lanzado una advertencia crucial respecto al vertiginoso aumento de los ataques de robo de información en los campos del ciberespionaje y el cibercrimen durante el transcurso del año 2022. Estas preocupantes conclusiones se derivan del informe anual «Ciberamenazas y Tendencias. Edición 2023», con el código de identificación IA-35/23, un detallado análisis que ofrece una visión en profundidad del paisaje de ciberseguridad y las tácticas empleadas por los actores de amenazas en la actualidad.
Robo de datos con malware
El informe del CCN-CERT, que analiza en profundidad la evolución de los agentes de amenaza, los métodos de ataque y las principales acciones ocurridas en 2022, destaca el aumento de familias de malware conocidas como «infostealers» o «stealers».
«Entre las principales técnicas utilizadas destacaban la obtención y desarrollo de capacidades técnicas por parte de los principales actores y grupos de amenaza y que incluían el uso de nuevas familias de malware (principalmente aquellas enfocadas al robo de información – stealers – y las dedicadas al cifrado y posterior extorsión de información, ransomware) así como plataformas como servicio dedicadas a su uso en campañas de phishing o actividades de fraude bancario», se señala en el informe.
Estos tipos de malware se especializan en robar información de los equipos víctima, incluyendo contraseñas, datos de pago almacenados en navegadores web, credenciales de acceso a servicios de correo electrónico y cuentas de mensajería instantánea.
Compraventa en el mercado del cibercrimen
Lo preocupante es que esta información robada se utiliza para la compraventa en mercados de cibercrimen dedicados al acceso remoto a redes corporativas. En 2022, se observó un marcado incremento en la venta de credenciales de acceso remoto, lo que ha permitido a los actores de cibercrimen establecer vínculos con operadores o afiliados de ransomware. Estos últimos compran las credenciales robadas y las utilizan para cifrar las redes corporativas comprometidas, lo que aumenta la gravedad de los ataques y sus consecuencias.
Además, el CCN-CERT ha alertado sobre el interés de los actores de la amenaza en acceder a servicios de correo electrónico expuestos en Internet o a accesos remotos mediante VPN/VDI, a menudo sin la adecuada protección de un segundo factor de autenticación (2FA).
Vulnerabilidades y tendencias de cibercrimen
El informe también aborda las tendencias anticipadas en ciberseguridad. Se espera que los actores más sofisticados continúen aprovechando las vulnerabilidades de día 0 como vector de entrada, y que los ataques ransomware, incluida la triple extorsión, sigan en aumento. Las vulnerabilidades críticas relacionadas con servicios de acceso remoto serán especialmente explotadas, y se prestará atención a los ataques en sistemas de control industrial por parte de bandas de ransomware.
Además, se prevé que los atacantes aprovechen al máximo las capacidades de la Inteligencia Artificial, acelerando la automatización de procesos. «La publicación de ChatGPT sólo apunta a ser el inicio de la participación de la inteligencia artificial en la ciberseguridad, tanto por parte de los atacantes como de los defensores», se aclara en el informe del CCN-CERT.
Por último, se espera un aumento significativo en el uso de plataformas para la exfiltración de información en grupos APT (Amenazas Persistentes Avanzadas) y malware asociado al cibercrimen.
