El informe CCN- CCN-CERT IA-13/19 de Ciberamenazas y Tendencias, publicado por el Centro Criptológico Nacional, hace balance de los principales ciberciberincidentes registrados el pasado año, los métodos de ataque empleados por los agentes de la amenaza, las múltiples vulnerabilidades explotadas, los objetivos de ataque y las medidas necesarias para mejorar la seguridad en empresas e instituciones.
Los ciberdelincuentes continúan siendo uno de los grupos de agentes de las amenazas más activos, con más del 80% de la actividad dañina. Los métodos más utilizados han sido:
- Propagación de código dañino a través de los correos electrónicos: más del 60% del tráfico mundial de correo electrónico en 2018 contenía carga dañina y estuvo involucrado en más del 90% de los ciberataques.
- Uso de malware de criptojacking/cryptomining que, según diversas estimaciones, ha podido provocar pérdidas de 880 millones de dólares.
- Refinamiento del phishing mediante el uso de técnicas de ingeniería social
y la innovación permanente para persuadir a los usuarios de la autenticidad de las estafas. - Innovación en las plataformas del Ciberdelito como Servicio. Además de las mejoras en los servicios ofertados, estos desarrollos permiten una mayor facilidad de uso, lo que contribuye a extender su popularidad y propiciar ataques más eficientes.
En 2018, el CCN-CERT ha gestionado un total de 38.192 incidentes de seguridad, lo que ha supuesto un incremento del 43,65% con respecto a 2017. El 2,7% de los incidentes gestionados tenían una peligrosidad muy alta o crítica, lo que ha supuesto una media de 2,8 incidentes diarios de este tipo. Los ciberincidentes detectados en este período han afectado a múltiples sectores: Administración Pública y, en general, sector público, sector aeronáutico, entidades financieras, sector energético, sistema sanitario, transporte aéreo servicios e infraestructuras TIC.
Los aspectos más significativos de lo que ha constituido la base de los ciberincidentes ocurridos en 2018 son:
- Los Estados como principal fuente de las amenazas: los Estados, y los grupos patrocinados por ellos, y sus acciones contra otros países, sus instituciones, empresas y ciudadanos siguen representando la ciberamenaza más significativa. El objetivo perseguido por este tipo de ataques es siempre el mismo: sustraer información para mejorar su posición estratégica, política, económica o innovadora (espionaje). A este objetivo se ha unido el intento de influir en la opinión pública de los países atacados o interrumpir la normal prestación de servicios esenciales (sabotaje). En este tipo de ataques suele ser habitual el uso de técnicas muy simples -tales como el phishing, por ejemplo, que se aprovechan de las vulnerabilidades humanas de la víctima, de la que recaban información sensible o confidencial para un ataque posterior.
- Ataques a la cadena de suministro: a la vista de la efectividad y los beneficios que comporta para los atacantes, es previsible que este tipo de acciones se mantenga en
los próximos años, pues este método presenta dos ventajas para el atacante: puede utilizar un proveedor de confianza como origen de la distribución dañina y acota la superficie del ataque, sin que sea fácil determinar cuáles son, exactamente, los objetivos perseguidos. - Acciones de los grupos terroristas, yihadistas y hacktivistas. Durante 2018, la amenaza proveniente de grupos terroristas o hacktivistas se ha mantenido estable. Aunque los grupos yihadistas han continuado con sus acciones de propaganda digital, reclutamiento y recaudación de fondos, no han perpetrado hasta ahora ningún ciberataque significativo, más allá de desfiguraciones de páginas web y sustracción de datos.
- Ciberdelincuencia y datos personales. En los últimos años, los ataques contra los datos personales se han incrementado, y no solo por parte de ciberdelincuentes o grupos hacktivistas, sino también por Estados. El objetivo perseguido suele ser la comisión de ciertos delitos, el robo de identidad (credenciales), la suplantación o el
espionaje. La pérdida de la confidencialidad de los datos suele ser el resultado más frecuente de los ataques, hecho que se evidencia en los ataques dirigidos (APT), en relación con acciones de ciberespionaje. - Abuso de datos y noticias falsas. Del mismo modo que las noticias falsas persiguen influir en las opiniones y el comportamiento de los individuos, la información personal distribuida en las redes sociales, una vez analizada y correlacionada adecuadamente, puede posibilitar el desarrollo de sofisticados e individualizados- ataques de ingeniería social.
- Los tiempos implicados en los ciberataques. El tiempo que media entre la primera acción hostil hasta el compromiso de un activo se mide, frecuentemente, en términos de segundos o minutos. Sin embargo, el plazo para su descubrimiento o detección, que
depende en gran medida del tipo de ataque, suele expresarse en días, semanas o meses. - Elementos facilitadores de los ciberataques. Los elementos facilitadores son aquellas entidades o componentes que incrementan la accesibilidad y/o la efectividad de ulteriores ataques o los métodos usados en su comisión. La incesante conexión de nuevos dispositivos IoT a Internet, propiciando con ello la distribución de código dañino o participando en ataques DDoS, constituye también un significativo elemento facilitador de esta problemática. Asimismo, el cryptojacking, metodología que persigue obtener ingresos usando la capacidad de proceso de los ordenadores de las víctimas, conformará una de las amenazas más serias de los próximos años.
Medidas adoptadas para prevenir los ataques o mitigar sus efectos
2018 ha sido testigo del desarrollo y/o entrada en vigor de varias iniciativas legales, europeas y nacionales, en aspectos relacionados con la ciberseguridad tales como la Estrategia de Ciberseguridad Nacional, la plena aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), y el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, en cumplimiento del mandato de transposición de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016.
Tendencias
En 2019, los agentes estatales continuarán realizando campañas de intrusión como parte de sus estrategias nacionales y es seguro que para ello utilizarán sus cibercapacidades. Las entidades de los sectores del gobierno, la defensa, los think tanks y las ONG continuarán siendo los objetivos prioritarios de sus operaciones. Estas intrusiones, probablemente, serán respaldadas por proveedores de los sectores de telecomunicaciones y tecnología, y pueden incluir compromisos en la cadena de suministro, como se ha observado en los años precedentes. Es de esperar que los futuros ciberataques incrementen su volumen y su sofisticación.
