Las 10 tendencias en ciberataques: se combina más la psicología y la tecnología

El 2022 fue el año de la vuelta a la normalidad… también para la ciberdelincuencia de todo el mundo. En cuanto se redujeron los programas sanitarios y económicos para combatir los efectos de la Covid-19, los atacantes se vieron en la necesidad de encontrar nuevas formas con las que ganarse la vida, perfeccionaron sus habilidades de ingeniería social, mercantilizaron técnicas de ataque que antes se consideraban sofisticadas y buscaron oportunidades para atacar en escenarios insospechados. Estas son las últimas tendencias en ciberataques.

Los ciberataques han experimentado avances significativos en varios frentes, desde la escalada de ataques de fuerza bruta dirigidos a inquilinos cloud, el aumento de los ataques de smishing conversacional, o la proliferación de elusiones de la autenticación multifactor (MFA), según el último informe anual ‘El factor humano’, de Proofpoint. Tal como hemos contado en THE OBJECTIVE, es un negocio rentable: afectan a 7 de cada 10 empresas y cuestan 1,3 millones de euros.

Las amenazas han sabido responder a la mejora continua de los controles de seguridad y los ciberataques son más innovadores y han ampliado sus métodos. Algunas técnicas que antes eran propiedad de red teams, como saltarse la MFA o los ataques telefónicos, ahora son más habituales. Las personas son la variable más crítica en la cadena de ataque.

«El amplio abuso de Microsoft 365, con macros de Office o documentos de OneNote, ocupando un gran porcentaje de la superficie de ataque de las organizaciones, ha establecido las líneas generales del panorama de amenazas», apunta Ryan Kalember, vicepresidente ejecutivo de estrategia de ciberseguridad de la compañía.

Combinación de psicología y tecnología

Ya sea mediante técnicas complejas con las que eludir la MFA, ataques telefónicos o amenazas conversacionales en las que los atacantes despliegan todos sus encantos, 2022 fue un año con una creatividad sin precedentes dentro de la ciberdelincuencia, donde se variaron las cadenas de ataque y se probaron o descartaron mecanismos de entrega de manera acelerada.

Los avances del panorama de amenazas se apoyan cada vez más en la combinación de tecnología y psicología que incrementa la peligrosidad de los ciberataques modernos en tres facetas del riesgo del usuario: vulnerabilidad, ataques y privilegios.

El estudio se basa en uno de los conjuntos de datos globales más amplios y diversos sobre ciberseguridad, abarcando el correo electrónico, la nube y la informática móvil, y que incluye más de 2.600 millones de mensajes por email, 49.000 millones de URLs, 1.900 millones de archivos adjuntos, 28 millones de cuentas cloud, 1.700 millones de SMS sospechosos, etc.

Principales tendencias en ciberataques

Entre las principales tendencias en ciberataques y conclusiones que arroja el informe ‘El factor humano 2023’ destacan las siguientes:

1. El uso de macros de Office se reduce gracias a los bloqueos. Tras casi tres décadas siendo un método popular de distribución de malware, las macros de Office finalmente comenzaron a disminuir en uso después de que Microsoft actualizara la forma en que su software maneja los archivos descargados de la web. Los cambios desencadenaron una oleada de experimentación por parte de los ciberdelincuentes en busca de técnicas alternativas.
2. Los ciberdelincuentes son más ingeniosos, precisos y pacientes. En 2022 aumentaron las amenazas de smishing conversacional y de “pig butchering”, que comienzan con el envío de mensajes aparentemente inofensivos. En el entorno móvil, estos fueron los ataques con el crecimiento más rápido del año, multiplicando por 12 su volumen. Además, la entrega de ataques orientados al teléfono (TOAD) alcanzó un máximo de 13 millones de mensajes al mes. También se detectaron varios grupos de amenazas persistentes avanzadas (APT). Financiados por algún gobierno, pasaron incluso meses intercambiando mensajes de forma apacible con sus objetivos para lograr establecer una relación de confianza con ellos.
3. Los kits de phishing “listos para usar” se extienden. Estos kits permiten que incluso delincuentes sin muchos conocimientos técnicos puedan poner en marcha una campaña de phishing. En el caso de marcos para sortear la MFA, como EvilProxy, Evilginx2 y NakedPages, son responsables de más de un millón de mensajes de phishing al mes.
4. Limitaciones de las protecciones basadas en reglas. La infraestructura legítima desempeña un papel clave en la ejecución de muchos ataques basados en la nube y muestra las limitaciones de las protecciones basadas en reglas. La mayoría de las organizaciones se enfrentó a amenazas procedentes de los conocidos gigantes cloud Microsoft y Amazon, cuya infraestructura alberga innumerables servicios legítimos en los que confían las empresas.
5. Top de malwares por volumen de mensajes. Los nuevos métodos de distribución han situado a SocGholish en el top cinco de malwares por volumen de mensajes. Con una novedosa técnica de propagación que incluye ataques “drive-by downloads” y falsas actualizaciones del navegador, el grupo de ciberdelincuentes TA569, que está detrás de SocGholish, ha infectado sitios web para distribuir este malware. ¿Su técnica? Engañar a las víctimas para que lo descarguen. Muchos de los sitios que alojan el malware SocGholish no son conscientes de ello, lo que aumenta su poder de transmisión.
6. Las amenazas cloud se han vuelto omnipresentes. El 94% de los usuarios de la nube es objeto cada mes de un ataque de precisión o de fuerza bruta, lo que indica una frecuencia equiparable a los ataques por correo electrónico y móviles. El número de ataques de fuerza bruta, especialmente los que usan “password spraying”, aumentó de una media mensual de 40 millones en 2022 a casi 200 millones a principios de 2023.
7. Ingeniería social contra las marcas. Abusar de la familiaridad y la confianza que dan las grandes marcas es una de las formas más sencillas de ingeniería social. Los productos y servicios de Microsoft ocuparon cuatro de los cinco primeros puestos de marcas suplantadas, siendo Amazon la marca de la que más se aprovechan los ciberdelincuentes.
8. Un solo acceso para atacar a todo un dominio. Un acceso inicial exitoso puede conducir rápidamente a ataques que afectan a todo un dominio, como una infección de ransomware o robo de datos. Hasta el 40% de las identidades de administradores mal configuradas o “en la sombra” puede explotarse con un solo paso como restablecer una contraseña para aumentar los privilegios. También se ha descubierto que el 13% de los administradores en la sombra ya tenía privilegios de administrador de dominio, lo que permite a los atacantes obtener credenciales y acceder a los sistemas corporativos. Alrededor del 10% de los endpoints tiene una contraseña de cuenta privilegiada desprotegida, y el 26% de esas cuentas expuestas está vinculada a administradores de dominio.
9. Emotet, el malware predominante. Emotet volvió a ser el malware más predominante del mundo un año después de que las fuerzas de seguridad desconectaran la botnet en enero de 2021. A pesar de haber enviado más de 25 millones de mensajes en 2022 (más del doble que la segunda amenaza más destacada), la presencia de Emotet ha sido intermitente y ha dado muestras de letargo a la hora de adaptarse al panorama de amenazas posmacro.
10. Motivos económicos y geopolíticos. Aunque la delincuencia por motivos económicos domina en gran medida el panorama de amenazas, un único ataque atípico de APT puede tener un impacto enorme: una amplia campaña de TA471, unos ciberdelincuentes prorrusos que se dedican tanto al espionaje corporativo como al gubernamental, consiguió propulsarlos a la cima de amenazas APT por su alto volumen de mensajes. Por otro lado, el grupo TA416, alineado con el Estado chino, fue uno de los más activos. En particular, las nuevas campañas de TA416 coincidieron con el inicio de la guerra entre Rusia y Ucrania y tuvieron en el punto de mira a entidades diplomáticas europeas dedicadas a los servicios de refugiados e inmigrantes.