Vectores de ataque iniciales comunes

De qué manera es más probable que los atacantes ingresen en la infraestructura de las empresas objetivo.

Otras empresas con frecuencia llaman a nuestros expertos en busca de asistencia de emergencia con respuesta a incidentes, a fin de realizar (o ayudar a realizar) investigaciones, o para analizar las herramientas de los cibercriminales. A lo largo del 2020, recopilamos una buena cantidad de datos a fin de observar el panorama de amenazas moderno que nos ayude a predecir las situaciones de ataque más probables, incluidos los vectores de ataque iniciales más comunes, y elegimos las mejores tácticas defensivas.

Cuando investigamos un incidente cibernético, siempre prestamos especial atención al vector de ataque inicial. Para decirlo de manera sencilla, la entrada es un punto débil, y para evitar la recurrencia, es esencial identificar los puntos débiles de los sistemas de defensa.

Desafortunadamente, no siempre es posible. En algunos casos, ha pasado demasiado tiempo entre el incidente y su detección; en otros casos, la víctima no guardó los registros o destruyó los rastros (por accidente o de manera intencional).

Para complicarlo todo, cuando los cibercriminales atacan mediante la cadena de suministro, un método cada vez más predominante, el vector inicial no queda en el alcance de la víctima final, sino en el de un desarrollador de un programa de terceros o proveedor de servicios. Sin embargo, en más de la mitad de todos los incidentes, nuestros expertos pudieron determinar el vector de ataque inicial con exactitud.

Primero y segundo lugar: fuerza bruta y explotación de aplicaciones de acceso público

Los ataques de fuerza bruta y la explotación de vulnerabilidades es aplicaciones y sistemas accesibles desde fuera del perímetro corporativo comparten los dos lugares. Cada uno sirvió como el vector inicial de penetración en 31.58 % de los casos.

Como observamos en años anteriores, ningún otro método es tan efectivo para lanzar un ataque como la explotación de las vulnerabilidades. Un análisis más detallado de las vulnerabilidades explotadas sugiere que puede atribuirse principalmente a la incapacidad de las empresas para instalar actualizaciones de manera oportuna; al momento de los ataques, los parches ya estaban disponibles para cada vulnerabilidad. De haberlos aplicados, las víctimas habrían estado protegidas.

La transición masiva de las empresas al teletrabajo y el uso de servicios de acceso remoto justifican el repunte en la popularidad de los ataques de fuerza bruta. Al hacer la transición, muchas organizaciones no lograron abordar los asuntos de seguridad de manera adecuada, y, como resultado, la cantidad de ataques en las conexiones remotas se disparó de un día a otro. Por ejemplo, en el periodo de marzo a diciembre de 2020 se observó un aumento de 242 % en ataques de fuerza bruta basados en RDP.

Tercer lugar: correo electrónico malicioso

En 23.63 % de los casos, el vector de ataque inicial fue un correo electrónico malicioso, ya sea con malware adjunto o en forma de phishing. Los operadores de ataques dirigidos y quienes envían correos electrónicos masivos han utilizado ambos tipos de mensajería maliciosa desde hace mucho tiempo.

Cuarto lugar: drive-by compromise

En ocasiones, los atacantes intentan obtener acceso al sistema mediante un sitio web que la víctima visita con regularidad o al que llega por casualidad. Para utilizar esta táctica, que hemos visto en algunos ataques de APT complejos,   los cibercriminales equipan el sitio con scripts que explotan una vulnerabilidad del navegador para ejecutar el código malicioso en la computadora de la víctima o engañan a la víctima para que descargue e instale el malware. En el 2020, fue el vector de ataque inicial en 7.89 % de los casos.

Quinto y sexto lugar: unidades de memoria portátiles e infiltrados

El uso de unidades USB para infiltrarse a los sistemas de una empresa ya es algo raro. Además de que los virus que infectan unidades de memoria flash ya casi son cosa del pasado, la táctica de pasarle a alguien una USB dañina no es muy confiable. Sin embargo, este método se utilizó para penetración inicial en la red en 2.63 % de los casos.

Los infiltrados causaron la misma proporción (2.63 %) de los incidentes. Estos son empleados que, por cualquier motivo, querían dañar a sus propias empresas.

Cómo minimizar la probabilidad de un incidente cibernético y sus consecuencias

La mayoría de los incidentes que nuestros expertos analizaron podrían haberse evitado. Con base en sus hallazgos, los expertos recomiendan:

  • Introducir una política estricta de contraseñas e implementar el uso de autenticación de varios factores.
  • Prohibir el uso de servicios de administración remota accesibles al público.
  • Instalar actualizaciones de software lo antes posible.
  • Proteger los servidores de correo con herramientas contra el phishing y contra el malware.
  • Sensibilizar a los empleados sobre las ciberamenazas modernas de manera regular.

Además, recuerda configurar todos los sistemas de auditoría y registro y respaldar tus datos con regularidad, no solo para facilitar las investigaciones, sino también para minimizar el daño de los incidentes cibernéticos.

Por supuesto, estas estadísticas representan solo un pequeña porción de la información útil que nuestros expertos pueden ofrecer en este espacio. Encontrarás el texto completo de nuestro Incident Response Analyst Report 2021 aquí.

Consejos