El Equipo de Respuesta a Emergencias Globales de Kaspersky (GERT, por sus siglas en inglés) ha analizado los incidentes que nuestros expertos investigaron en 2021 y prepararon un detallado informe que puedes descargar al llenar este formulario en el blog de Securelist. No obstante, nos gustaría compartir por aquí las conclusiones y recomendaciones principales de los expertos en respuesta.
Vías de ataque principales
En 2021, lo más común (53,6 % de los casos) era que los atacantes trataran de entrar en la infraestructura de las empresas al aprovechar las vulnerabilidades de aplicaciones conocidas. En el 17,9 % de los casos utilizaron credenciales ya comprometidas y en el 14,3 % que queda, mediante correos electrónicos maliciosos. Ante esto, nuestros expertos recomiendan:
- Establecer una política de contraseñas seguras y utilizar la autenticación multifactor.
- Eliminar la posibilidad de acceso directo por Internet a los sistemas de gestión de la información.
- Instalar cuanto antes las actualizaciones de los servicios y sistemas disponibles públicamente, o desarrollar medidas adecuadas para protegerlos.
- Incrementar la concienciación de los empleados en términos de ciberseguridad.
Herramientas usadas en los ataques
En casi un 40 % de los incidentes, los atacantes recurrieron a herramientas comunes: o bien eran componentes legítimos del sistema operativo o bien software de prueba de penetración. Nuestros expertos aconsejan adelantarse a ataques de este tipo:
- Ya no utilizar software que suela ser explotado por los atacantes, en caso de ser posible.
- Utilizar soluciones de tipo EDR.
- Establecer una serie de reglas para la detección de las herramientas más usadas por los atacantes.
- Llevar a cabo simulacros informáticos y pruebas de penetración periódicos utilizando las técnicas y tácticas más usuales de los atacantes.
Consecuencias de los incidentes
Los atacantes trataron de cifrar los datos corporativos en el 51 % de los incidentes. Y lo que es peor, el 16 % de esos ataques desembocaron en fugas de datos. En el 11,1 %, el Directorio Activo se vio comprometido. Para minimizar los daños a tu empresa, recomendamos:
- Realizar copias de seguridad periódicas de los datos.
- Prestar especial atención a la protección de los sistemas que contienen datos personales.
- Trabajar con un proveedor de confianza de servicios de respuesta a incidentes con rápidos acuerdos de nivel de servicio.
- Mantener y mejorar las habilidades del equipo de respuesta a incidentes mediante ejercicios cibernéticos y formaciones especializadas.
Para desarrollar las habilidades de los equipos internos de respuesta a incidentes y prepararlos para combatir ciberataques complejos, recomendamos el curso Kaspersky Expert Training Windows Incident Response. Este curso se basa en la experiencia y los conocimientos de los especialistas del mismo Equipo de Respuesta a Emergencias Globales de Kaspersky y, entre otras cosas, mostrará a tus especialistas cómo identificar los incidentes de forma correcta, obtener pruebas, a analizar registros y redes y a crear indicadores de peligro. Puedes leer más sobre el curso en la página de formación de expertos online.