Rubén Franco, Solution Architecture Team Lead European Southern Channel, CrowdStrike

El aumento en el uso de servicios en la nube ha provocado que los adversarios evolucionen sus tácticas. Una de las mayores vulnerabilidades actuales las presentan las identidades, muy difíciles de distinguir entre legítimas y falsas. Por eso, es crítico que las organizaciones conozcan los comportamientos de los ciberdelincuentes y adapten sus estrategias para mantener protegidos sus activos.

Los ciberdelincuentes contra los que nos enfrentamos día a día han evolucionado tanto en sus objetivos como en sus técnicas, cada vez más sofisticadas para conseguir el objetivo de alcanzar un alto porcentaje de éxito, sobre todo entre víctimas que no han sabido adaptarse a esa transformación de los patrones de ataque que estamos viviendo. De hecho, según el último informe sobre amenazas globales de CrowdStrike, los atacantes, de media, necesitan tan solo 84 minutos –en algunos ataques hemos observado que solamente media hora- para sobrepasar las barreras de protección de una organización y moverse lateralmente por las infraestructuras internas buscando la información que quieren extraer para extorsionar al atacado.

Todo esto nos debe hacer reflexionar a la hora de actualizar las estrategias de seguridad de manera que podamos definir correctamente nuestra capacidad de reconocer a los adversarios y nuestra agilidad para responder, resistir y, en su caso, remediar o recuperar la información ante una amenaza constante y cambiante.

Muchas organizaciones siguen confiando en sistemas tradicionales de seguridad, basados en firmas y fijando la protección de los activos casi al completo en el malware solamente. Sin embargo, según el informe mencionado antes, el 71 % de los ataques detectados en 2022 no incluía malware, mientras que las intrusiones interactivas (es decir, procedentes de un humano al otro lado del teclado) crecieron un 50 %, lo que implica que los ciberdelincuentes son conscientes de la ventana de oportunidad abierta con respecto a las infraestructuras y las cargas de trabajo en la nube y tienen cada vez mayores conocimientos para evadir la protección de los antivirus y las defensas automatizadas.

Un denominador común actual es el robo y abuso de la identidad como vehículo preferido por los adversarios para poder ganar ventaja competitiva dentro de la cadena del ataque y dejar poco margen de maniobra a las organizaciones a la hora de responder. Los ataques basados en identidades son muy complicados de detectar mediante enfoques tradicionales, ya que es difícil distinguir entre el comportamiento del usuario legítimo y el del criminal. En 2021, según un informe de CrowdStrike el 80 % de los ataques utilizó identidades comprometidas. De la misma manera, los anuncios realizados por Access Brokers, delincuentes que consiguen acceder a infraestructuras corporativas para venderlas después a otros delincuentes –incluyendo operadores de ransomware-, aumentaron un 112 % en 2022. Además, existe un verdadero mercado negro de venta de credenciales que habilita a grupos de cibercriminales a acelerar su progreso en la cadena de ataque y a reducir la capacidad de reacción de las organizaciones.

Es importante tener en cuenta también que los ciberdelincuentes han adquirido un mayor interés por los servicios en la nube, es decir, por atacar las cargas de trabajo cloud y abusar de ciertas funcionalidades intrínsecas a la nube. Según datos de CrowdStrike, los ataques a la nube crecieron un 95 % en 2022 y el número de actores que aplican sus ataques a entornos cloud se ha triplicado en el año. Por ello, es necesario poner foco a la hora de adaptar el stack tecnológico de seguridad y proporcionar un modelo de detección y respuesta que reaccione de manera contundente ante este tipo de amenazas, sin olvidar  el análisis de la superficie de ataque derivado de los activos expuestos, lo que permitiría un mejor manejo del riesgo.

De la misma manera, es imprescindible ser conscientes del valor que tiene la identidad como objetivo fundamental de los adversarios dentro de la cadena de ataque hoy en día, lo que exige establecer medidas que permitan conocer cómo se comporta el ecosistema de identidades de la organización y el riesgo presentado por las mismas para poder detectar y responder de manera efectiva ante ataques basados en abuso y uso de credenciales válidas.  

La combinación de estas medidas, entre otras, ayudará a las organizaciones a conseguir ser mucho más efectivas a la hora de prevenir o cesar las operaciones de los denominados adversarios de nueva generación.