Cisco prevé ataques más destructivos según aumenta la magnitud y el impacto de las ciberamenazas

El Informe Semestral de Ciberseguridad 2017 de Cisco alerta sobre nuevos ataques de ‘Destrucción de Servicio’ y la necesidad de mejorar las prácticas a medida que convergen las TI (Tecnologías de la Información) y de las TO (Tecnologías de la Operación).

La rápida evolución de las amenazas y su mayor magnitud podrían derivar en ataques de ‘Destrucción de Servicio’ (DeOS, Destruction of Service), capaces de eliminar las redes seguras y de backup que utilizan las organizaciones para restaurar sus sistemas y datos tras un incidente de ciberseguridad.

Así se desprende del Informe Semestral de Ciberseguridad (Midyear Cybersecurity Report, MCR) 2017 de Cisco, que destaca también cómo la imparable evolución del Internet of Things en múltiples sectores está incrementando el espacio operativo de los ciberataques y su escalabilidad e impacto potencial.

Incidentes recientes como WannaCry y Nyetya han demostrado la rápida capacidad de expansión y el creciente impacto de ciberataques que parecen ransomware, pero que son mucho más destructivos. Esta evolución lleva a prever lo que Cisco denomina ataques de Destrucción de Servicio, que podrían resultar mucho más dañinos que los ataques tradicionales al dejar a los negocios sin posibilidad de recuperación.

El internet of things amplía aún más las oportunidades para los atacantes. Sus vulnerabilidades de seguridad, listas para explotarse, jugarán un papel fundamental a la hora de facilitar estas campañas de mayor impacto. La reciente actividad de redes ‘botnet’ compuestas por dispositivos IoT sugiere que algunos ciberdelincuentes podrían estar creando ya las bases para un ataque de grandes dimensiones y alto impacto que tendría incluso el potencial de interrumpir el mismo Internet.

Medir la efectividad de las prácticas de seguridad es esencial. Un menor tiempo de detección, el tiempo que transcurre desde que se analiza un archivo hasta que se detecta como amenaza, resulta crítico para limitar el espacio operativo de los atacantes y minimizar el impacto de las intrusiones. Cisco ha logrado reducir su tiempo medio de detección desde las más de 39 horas en noviembre de 2015 hasta las cerca de 3,5 horas entre noviembre de 2016 y mayo de 2017. Esta cifra se obtiene mediante telemetría interna de datos procedentes de dispositivos de seguridad de Cisco desplegados a escala global.

Cisco ha detectado un notable descenso en el uso de kits de explotación (exploit kits).

Durante la primera mitad de 2017, los investigadores de seguridad de Cisco han detectado cambios en las técnicas que utilizan los adversarios para distribuir, ocultar y evitar la detección del malware.

En concreto, los ciberatacantes recurren cada vez más a la interacción de las víctimas para activar las amenazas, haciendo clic en un enlace o abriendo un archivo. También crean malware ‘sin archivo’ que reside completamente en memoria y es más difícil de detectar o investigar, ya que se elimina al reiniciar el dispositivo. Además, utilizan infraestructura anónima y descentralizada -como servicios proxy de la red Tor- para ocultar las actividades ‘command and control’.

Aunque Cisco ha detectado un notable descenso en el uso de kits de explotación (exploit kits), están resurgiendo otros tipos de ataque más tradicionales:

• El volumen de spam crece significativamente. Los adversarios se están apoyando en clásicos pero efectivos métodos de distribución de malware y generación de beneficios, como el email. Cisco prevé que el volumen de spam con adjuntos maliciosos seguirá aumentando mientras la actividad de los exploit kits sigue fluctuando.

• El spyware y el adware, a menudo contemplados por los profesionales de seguridad como más molestos que dañinos, son tipos de malware que siguen persistiendo y generando riesgos para las organizaciones. Tras evaluar una muestra de 300 compañías durante un período de cuatro meses, los investigadores de Cisco descubrieron tres familias predominantes de spyware que infectaron al 20 por ciento de la muestra. En los entornos corporativos, el spyware puede robar información de los usuarios y de la empresa, debilitando la seguridad de los terminales e incrementado las infecciones de malware.

• El incremento del ransomware-como-servicio (Ransomware-as-a-Service) facilita la evolución del ransomware para cualquier ciberdelincuente, ya que no requiere conocimientos técnicos avanzados. Aunque se estima que el ransomware generó un beneficio para los cibercriminales de 1.000 millones de dólares en 2016, queda lejos de una amenaza mayor y a menudo infravalorada. Business Email Compromise (BEC), un ataque basado en técnicas de ingeniería social que utiliza e-mails corporativos falsos para que las organizaciones transfieran dinero al atacante, se está convirtiendo en un método cada vez más lucrativo. Entre octubre de 2013 y diciembre de 2016, se robaron 5.300 millones de dólares mediante ataques BEC según el Internet Crime Complaint Center.

Número de días necesarios para parchear el 80% de las vulnerabilidades de flash según el Informe de Ciberseguridad de Cisco.

Mientras los ciberdelincuentes siguen incrementando la sofisticación y la intensidad de los ataques, organizaciones de todos los sectores continúan teniendo problemas para cumplir incluso con los requisitos de ciberseguridad básicos.

La convergencia de en la era del Internet of Things genera problemas de visibilidad y de complejidad para las organizaciones. Según el último Security Capabilities Benchmark Study -estudio realizado por Cisco en el que han participado cerca de 3.000 responsables de seguridad de 13 países- los equipos de seguridad están cada vez más saturados por el creciente volumen de los ataques, traduciéndose en una protección más reactiva que proactiva.

• Sólo las dos terceras partes de las organizaciones investigan las alertas de seguridad, y en ciertos sectores (como atención sanitaria y transporte), esta cifra se reduce a cerca del 50 por ciento.
• Incluso en los sectores más proactivos (como el financiero) las organizaciones están mitigando menos de la mitad de las amenazas identificadas como legítimas o no maliciosas.
• Las vulnerabilidades o agujeros de seguridad sí generan mayor atención. En la mayoría de sectores, al menos nueve de cada diez organizaciones están adoptando mejoras de seguridad básicas para evitar estas brechas, aunque algunos como transporte (ocho de cada diez organizaciones) avanzan menos en este sentido.

Conclusiones destacadas por sector:

• Administración Pública. El 32 por ciento de las amenazas investigadas son legítimas, pero sólo el 47 por ciento de ellas se mitigan.
• Retail. El 32 por ciento afirman haber perdido ingresos como consecuencia de los ataques en 2016, siendo uno de cada cuatro comercios minoristas los que han perdido clientes u oportunidades de negocio.
• Fabricación. Cuatro de cada diez profesionales de seguridad en el sector fabricación admiten no tener una estrategia formal de seguridad, y tampoco cumplen con normas estandarizadas como ISO 27001 o NIST 800-53.
• Utilities. Los ataques dirigidos (para el 42 por ciento de los profesionales de seguridad) y las APTs o amenazas persistentes avanzadas (según el 40 por ciento de los consultados) constituyeron los principales riesgos de seguridad para las organizaciones de utilities en 2016.
• Atención sanitaria. El 37 por ciento de las organizaciones de atención sanitaria consideran los ataques dirigidos como amenazas de alto riesgo.

Sobre el informe

El Informe Semestral de Ciberseguridad 2017 de Cisco examina los últimos análisis de inteligencia frente a amenazas recopilados por la división Cisco Collective Security Intelligence. El Informe proporciona conclusiones clave basadas en datos de la industria sobre las tendencias y amenazas de ciber-seguridad para la primera mitad del año, así como recomendaciones para mejorar las políticas de seguridad. Apoyándose en datos procedentes de los análisis diarios de más de 40.000 millones de puntos de telemetría, los investigadores de Cisco transforman esta inteligencia en protecciones en tiempo real para sus productos y servicios, proporcionando dicha protección de forma inmediata a todos los clientes de la compañía en el mundo.