Mandiant, una división de Google Cloud, ha publicado hoy las conclusiones de su informe M-Trends 2024. Este informe anual, que llega este año a su 15ª edición, es un análisis experto de tendencias elaborado a partir de la investigación de ciberataques y acciones de respuesta a cargo del personal de primera de línea de Mandiant, a lo largo de 2023.
Su principal conclusión es que, en todo el mundo, las organizaciones han mejorado de forma significativa su capacidad defensiva. Ahora mismo, identifican la actividad maliciosa que les amenaza más rápidamente que en años anteriores. El informe también repasa una serie de agentes de amenazas y campañas de ataque importantes, y ofrece una perspectiva de la actividad maliciosa región por región.
Según ha explicado Jurgen Kutscher, vicepresidente de Mandiant Consulting at Google Cloud: “Cada cierto tiempo, los atacantes ponen al día las tácticas, técnicas y procedimientos que utilizan para lograr sus objetivos, lo cual supone nuevos desafíos para los equipos de seguridad. A pesar de ello, en 2023 nuestros investigadores de primera línea han constatado mejoras en las organizaciones en todo lo que respecta a proteger sus sistemas y detectar exposiciones”.
Y añade: “Los equipos de seguridad tienen motivo para estar satisfechos, aunque las organizaciones no deben bajar la guardia. Una de las conclusiones más importantes del informe M-Trends 2024 es que los atacantes no dejan de buscar formas de eludir la detección y permanecer dentro de los sistemas durante más tiempo. Una de las vías para ello es el uso de vulnerabilidades de día cero. Por eso mismo, es importante contar con programas eficaces de monitorización de amenazas y es indispensable realizar investigaciones y aplicar medidas de corrección exhaustivas cada vez que se produce una vulneración”.
El tiempo de permanencia en el valor más bajo
La mediana global del tiempo de permanencia se encuentra en su valor más bajo en más de una década (el tiempo de permanencia es el tiempo que un atacante permanece dentro de un entorno objetivo sin ser detectado). En 2023, esta mediana fue de 10 días, frente a 16 días en 2022. En parte, esta reducción del tiempo de permanencia hasta que la organización detecta una intrusión se debe a la mayor proporción de incidentes de ransomware en 2023 (23%) frente a 2022 (18%). Mandiant también ha observado una mejora en la detección interna de exposiciones en 2023 (46%), frente al 37% de 2022.
Estas dos tendencias —tiempos de permanencia más cortos y más incidencias detectadas internamente— sugieren que, en todo el mundo, los defensores han mejorado su capacidad de detección.
Un examen más detallado revela diferencias en la evolución de la mediana del tiempo de permanencia según la región. La mejora más llamativa se produjo en las organizaciones de la región Asia-Pacífico (JAPAC), que redujeron la mediana del tiempo de permanencia a 9 días, en comparación con los 33 días de 2022. Por el contrario, en la región EMEA (Europa, Oriente Medio y África) se registró un ligero repunte en el tiempo de permanencia, con una mediana que pasó de 20 a 22 días. Esta pequeña variación podría deberse a la normalización de los datos regionales, después de que Mandiant llevara a cabo un intenso trabajo de investigación en Ucrania en 2022.
La duración de los ciberataques por regiones
El informe M-Trends 2024 destaca algunas tendencias llamativas en lo tocante a los sectores de destino de los ciberataques. En 2023, Mandiant respondió con mayor frecuencia a intrusiones en organizaciones de servicios financieros (17%). Tras este sector se sitúan los de servicios empresariales y profesionales (13%), alta tecnología (12%), comercio minorista y hostelería (9%) y sanidad (8%).
Uno de los denominadores comunes de los sectores más atacados es que manejan una gran cantidad de información sensible, que va desde datos con derechos de propiedad registrados a información personal identificable, pasando por datos sanitarios protegidos y, por supuesto, registros financieros. Esto los convierte en blancos especialmente atractivos para unos atacantes que buscan explotar este tipo de datos sensibles.
El informe también presenta otras conclusiones:
- Mayores esfuerzos de elusión: con el fin de mantener su persistencia en las redes durante el mayor tiempo posible, los atacantes dirigen su atención cada vez más hacia los dispositivos de borde, utilizando para ello técnicas LotL (“living off the land”) y explotando vulnerabilidades de día cero.
- Intensificación de la actividad de espionaje de agentes con vínculos con China: los grupos de espionaje vinculados a China siguen dando prioridad a los exploits de día cero y a herramientas específicas para plataformas concretas. Es probable que concentren su actividad en dispositivos y plataformas de borde —que tienen menos seguridad—, ya que resulta más sencillo comprometerlos sin ser detectados durante periodos más largos.
- Fuerte crecimiento de los exploits de día cero: los exploits de día cero ya no se limitan a unos pocos actores más avanzados. Es de esperar que siga siendo una tendencia al alza, debido a factores tales como el ransomware y los grupos de extorsión de datos que lo utilizan, el crecimiento de la explotación por parte de agentes patrocinados por gobiernos y la disponibilidad comercial de kits de explotación “llave en mano”.
- La nube, un objetivo más amenazado a medida que crece su adopción: a medida que crece el uso de la nube, mayor es también el interés que muestran los atacantes por esos entornos, lo que se extiende también a las configuraciones híbridas nube/entornos locales. Se aconseja a las organizaciones que apliquen controles más estrictos para limitar el acceso a sus recursos de nube solo a los usuarios autorizados.
- El potencial de los Grandes Modelos Lingüísticos (LLM) y la IA en las actividades de “red team”: los expertos de los “red teams” pueden capitalizar el potencial de los LLM y la IA, del mismo modo que otros profesionales de la ciberseguridad. Por ejemplo, los “red teams” podrían generar datos para entrenar modelos y los desarrolladores de IA, a su vez, podrían buscar maneras de proteger el acceso a esos modelos entrenados. Esta sinergia podría aumentar significativamente la eficacia de los “red teams” y mejorar el grado de preparación de las organizaciones frente a las ciberamenazas.
- Tácticas en evolución para eludir la MFA: puesto que la autenticación multifactor (MFA) se ha convertido en una práctica común, los atacantes están buscando maneras de eludir esta protección. Una tendencia preocupante es el aumento de las páginas de phishing que utilizan un proxy web o técnicas AiTM (adversary in the middle) para robar tokens de inicio de sesión, que resultan eficaces para sortear la protección de la MFA.
