La mitad de estos incidentes se detectó solo después de haberse encontrado una fuga de datos.
Un informe de Kaspersky indica que los ciberataques prolongados, que requieren más de un mes para ser descubiertos, representaron el 21.85% del total en 2023, lo que significó un aumento de casi el 6% en comparación con 2022. Los proveedores y socios (a través de ataques a la cadena de suministro) fueron uno de los principales vectores iniciales de infección explotados por los ciberdelincuentes. Esta conclusión proviene del Informe de Análisis de Respuesta a Incidentes 2023 de la compañía, cuyo objetivo es ayudar a las empresas en la respuesta y tratamiento de incidentes.
Los ataques que explotan las relaciones de confianza entre dos o más empresas representan más del 6% del total de ataques de larga duración. Esta clasificación incluye los tradicionales ataques a la cadena de suministro, pero también abarca otras categorías, como conexiones VPN, proveedores de nube, uso de servicios de autenticación y claves públicas (criptografía), así como programas afiliados. Esta tendencia permite a los delincuentes realizar invasiones a gran escala y con mayor eficiencia que los ataques directos individuales. Para muchas empresas, estos ataques pueden ser devastadores, y dado que su detección lleva más tiempo, es difícil identificar la falla que originó la invasión.
"Las amenazas de ciberseguridad evolucionan continuamente y nuestro estudio más reciente enfatiza el papel crítico de la confianza en los ciberataques. En 2023, y por primera vez en los últimos años, los ataques realizados a través de la cadena de suministro o relaciones de confianza estuvieron entre los tres vectores más utilizados. La mitad de estos incidentes se descubrieron solo después de que se identificó una fuga de datos", comenta Eduardo Chavarro, Gerente para Américas del Equipo de Investigación Global de Respuesta a Incidentes en Kaspersky.
La razón detrás de la demora en la detección es que la empresa utilizada como vector inicial de infección, que normalmente no sufre un daño directo, no se reconoce como víctima y puede mostrar resistencia a colaborar. Además, las organizaciones afectadas necesitan la ayuda de la empresa que fue la víctima inicial de la invasión para comprender cómo ocurrió el ataque y poder definir las acciones a seguir.
"Al explotar estas relaciones, los delincuentes pueden extender los ataques e infiltrarse en las redes durante períodos prolongados, lo que representa un riesgo significativo para las organizaciones. Es fundamental que las empresas se mantengan alerta y prioricen las medidas de seguridad para protegerse de estas tácticas sofisticadas", agrega Chavarro.
Para mitigar los riesgos destacados en el informe, Kaspersky recomienda:
- Promover una cultura de concienciación sobre la seguridad entre los empleados. Asimismo, la implementación de políticas robustas de protección de contraseñas.
- Restringir el acceso público a los puertos de gestión e imponer una política de tolerancia cero en la gestión de parches.
- Realizar copias de seguridad de los datos críticos para minimizar los daños.
- Para reforzar la protección de la empresa contra ataques avanzados y detectarlos en sus primeras etapas, adoptar servicios de seguridad gestionados, como el servicio Kaspersky Managed Detection and Response (MDR).
- En caso de actividades sospechosas que puedan provocar violaciones o incidentes ya ocurridos, solicitar la ayuda de expertos en ciberseguridad que ofrezcan servicios como Kaspersky Incident Response.
Para acceder al informe completo, visita el sitio de Securelist.
