{"id":23052,"date":"2021-10-08T10:52:13","date_gmt":"2021-10-08T16:52:13","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=23052"},"modified":"2022-05-05T09:48:01","modified_gmt":"2022-05-05T15:48:01","slug":"most-common-initial-attack-vectors","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/most-common-initial-attack-vectors\/23052\/","title":{"rendered":"Vectores de ataque iniciales comunes"},"content":{"rendered":"

Otras empresas con frecuencia llaman a nuestros expertos en busca de asistencia de emergencia con respuesta a incidentes<\/a>, a fin de realizar (o ayudar a realizar) investigaciones, o para analizar las herramientas de los cibercriminales. A lo largo del 2020, recopilamos una buena cantidad de datos<\/a> a fin de observar el panorama de amenazas moderno que nos ayude a predecir las situaciones de ataque m\u00e1s probables, incluidos los vectores de ataque iniciales m\u00e1s comunes, y elegimos las mejores t\u00e1cticas defensivas.<\/p>\n

Cuando investigamos un incidente cibern\u00e9tico, siempre prestamos especial atenci\u00f3n al vector de ataque inicial. Para decirlo de manera sencilla, la entrada es un punto d\u00e9bil, y para evitar la recurrencia, es esencial identificar los puntos d\u00e9biles de los sistemas de defensa.<\/p>\n

Desafortunadamente, no siempre es posible. En algunos casos, ha pasado demasiado tiempo entre el incidente y su detecci\u00f3n; en otros casos, la v\u00edctima no guard\u00f3 los registros o destruy\u00f3 los rastros (por accidente o de manera intencional).<\/p>\n

Para complicarlo todo, cuando los cibercriminales atacan mediante la cadena de suministro<\/a>, un m\u00e9todo cada vez m\u00e1s predominante, el vector inicial no queda en el alcance de la v\u00edctima final, sino en el de un desarrollador de un programa de terceros o proveedor de servicios. Sin embargo, en m\u00e1s de la mitad de todos los incidentes, nuestros expertos pudieron determinar el vector de ataque inicial con exactitud.<\/p>\n

Primero y segundo lugar: fuerza bruta y explotaci\u00f3n de aplicaciones de acceso p\u00fablico<\/h2>\n

Los ataques de fuerza bruta y la explotaci\u00f3n de vulnerabilidades es aplicaciones y sistemas accesibles desde fuera del per\u00edmetro corporativo comparten los dos lugares. Cada uno sirvi\u00f3 como el vector inicial de penetraci\u00f3n en 31.58 % de los casos.<\/p>\n

Como observamos en a\u00f1os anteriores, ning\u00fan otro m\u00e9todo es tan efectivo para lanzar un ataque como la explotaci\u00f3n de las vulnerabilidades. Un an\u00e1lisis m\u00e1s detallado de las vulnerabilidades explotadas sugiere que puede atribuirse principalmente a la incapacidad de las empresas para instalar actualizaciones de manera oportuna; al momento de los ataques, los parches ya estaban disponibles para cada vulnerabilidad. De haberlos aplicados, las v\u00edctimas habr\u00edan estado protegidas.<\/p>\n

La transici\u00f3n masiva de las empresas al teletrabajo y el uso de servicios de acceso remoto justifican el repunte en la popularidad de los ataques de fuerza bruta. Al hacer la transici\u00f3n, muchas organizaciones no lograron abordar los asuntos de seguridad de manera adecuada, y, como resultado, la cantidad de ataques en las conexiones remotas se dispar\u00f3 de un d\u00eda a otro. Por ejemplo, en el periodo de marzo a diciembre de 2020 se observ\u00f3 un aumento de 242 %<\/a> en ataques de fuerza bruta basados en RDP.<\/p>\n

Tercer lugar: correo electr\u00f3nico malicioso<\/h2>\n

En 23.63 % de los casos, el vector de ataque inicial fue un correo electr\u00f3nico malicioso, ya sea con malware<\/em> adjunto o en forma de phishing<\/em>. Los operadores de ataques dirigidos y quienes env\u00edan correos electr\u00f3nicos masivos han utilizado ambos tipos de mensajer\u00eda maliciosa desde hace mucho tiempo.<\/p>\n

Cuarto lugar: drive-by compromise<\/em><\/h2>\n

En ocasiones, los atacantes intentan obtener acceso al sistema mediante un sitio web que la v\u00edctima visita con regularidad o al que llega por casualidad. Para utilizar esta t\u00e1ctica, que hemos visto en algunos ataques de APT complejos<\/a>, \u00a0\u00a0los cibercriminales equipan el sitio con scripts<\/em> que explotan una vulnerabilidad del navegador para ejecutar el c\u00f3digo malicioso en la computadora de la v\u00edctima o enga\u00f1an a la v\u00edctima para que descargue e instale el malware<\/em>. En el 2020, fue el vector de ataque inicial en 7.89 % de los casos.<\/p>\n

Quinto y sexto lugar: unidades de memoria port\u00e1tiles e infiltrados<\/h2>\n

El uso de unidades USB para infiltrarse a los sistemas de una empresa ya es algo raro. Adem\u00e1s de que los virus que infectan unidades de memoria flash ya casi son cosa del pasado, la t\u00e1ctica de pasarle a alguien una USB da\u00f1ina no es muy confiable. Sin embargo, este m\u00e9todo se utiliz\u00f3 para penetraci\u00f3n inicial en la red en 2.63 % de los casos.<\/p>\n

Los infiltrados causaron la misma proporci\u00f3n (2.63 %) de los incidentes. Estos son empleados que, por cualquier motivo, quer\u00edan da\u00f1ar a sus propias empresas.<\/p>\n

C\u00f3mo minimizar la probabilidad de un incidente cibern\u00e9tico y sus consecuencias<\/h2>\n

La mayor\u00eda de los incidentes que nuestros expertos analizaron podr\u00edan haberse evitado. Con base en sus hallazgos, los expertos recomiendan:<\/p>\n