{"id":24941,"date":"2022-06-24T12:50:31","date_gmt":"2022-06-24T18:50:31","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=24941"},"modified":"2022-06-24T12:50:31","modified_gmt":"2022-06-24T18:50:31","slug":"initial-access-market-2022","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/initial-access-market-2022\/24941\/","title":{"rendered":"An\u00e1lisis del mercado de acceso inicial"},"content":{"rendered":"<p>Cuando se anuncia en medios de comunicaci\u00f3n que una empresa sufri\u00f3 el ataque de un <em>ransomware<\/em>, la gente gente suele imaginar que esos astutos piratas inform\u00e1ticos desarrollaron un peligroso <em>malware<\/em>, luego se tomaron su tiempo para buscar la mejor manera de hackear la empresa y, finalmente, robaron sus datos confidenciales. Es por esto que algunos empresarios est\u00e1n convencidos de que su empresa no es lo suficientemente interesante como para que los atacantes empleen tantos recursos en hackearla.<\/p>\n<p>Pero esto est\u00e1 super alejado de la realidad. De hecho, los atacantes de la actualidad no escriben el <em>malware<\/em> por s\u00ed mismos, sino que lo \u201calquilan\u201d, y no invierten recursos en el hackeo, solamente acuden al mercado negro de intermediarios de accesos iniciales. Los expertos de nuestro servicio de Inteligencia de Huella Digital decidieron investigar cu\u00e1nto dinero hay en juego cuando los ciberdelincuentes compran y venden el acceso a la infraestructura de las empresas.<\/p>\n<h2><strong>\u00bfCu\u00e1nto cuesta el acceso?<\/strong><\/h2>\n<p>Entonces, \u00bfcu\u00e1nto gastan los atacantes al comprar dicho acceso a tu infraestructura? Esto var\u00eda seg\u00fan diversos factores, pero el m\u00e1s importante es el de los ingresos de tu empresa. Despu\u00e9s de revisar unos doscientos anuncios en la <em>darknet<\/em>, nuestros expertos obtuvieron las siguientes conclusiones:<\/p>\n<p>\u2013 La mayor\u00eda de los anuncios ofrecen acceso a peque\u00f1as empresas.<\/p>\n<p>\u2013 Al menos la mitad de los anuncios ofrecen acceso por menos de 1.000 d\u00f3lares.<\/p>\n<p>\u2013 En raro encontrar un acceso en m\u00e1s de 5.000 d\u00f3lares.<\/p>\n<p>\u2013 El coste medio del acceso a las grandes empresas var\u00eda entre los 2.000 y 4.000 d\u00f3lares.<\/p>\n<p>Como ves, no se trata de grandes cantidades de dinero. La clave est\u00e1 en que los operadores de <em>ransomware <\/em>esperan conseguir mucho m\u00e1s durante la etapa de extorsi\u00f3n, por lo que est\u00e1n dispuestos a invertir esta cantidad inicial. Dichas cifras parecen ser el precio establecido en el mercado, en funci\u00f3n de la oferta y la demanda org\u00e1nica y el poder adquisitivo.<\/p>\n<h2><strong>\u00bfQu\u00e9 es lo que venden?<\/strong><\/h2>\n<p>Se ofrecen distintos tipos de acceso. Desde informaci\u00f3n sobre una vulnerabilidad que puede ser explotada para obtener acceso, hasta credenciales para acceder a Citrix o al panel de control del sitio. Pero, en la gran mayor\u00eda de los casos (en m\u00e1s del 75 % de los anuncios), ofrecen una variante de acceso a trav\u00e9s de RDP (a veces junto con una VPN). Por ende, es necesario prestar una mayor atenci\u00f3n a esta opci\u00f3n de acceso remoto a la infraestructura de la empresa.<\/p>\n<h2><strong>\u00bfD\u00f3nde consiguen los ciberdelincuentes el acceso?<\/strong><\/h2>\n<p>Las opciones para conseguir el acceso inicial son varias. A veces, los ciberdelincuentes optan por la forma m\u00e1s sencilla: extraer contrase\u00f1as. Pero lo que se usa m\u00e1s es enviar correos electr\u00f3nicos de <em>phishing<\/em> a los empleados, o correos con archivos adjuntos maliciosos (<em>spyware<\/em> o, por ejemplo,<em> stealers<\/em> o ladrones de contrase\u00f1as que recogen autom\u00e1ticamente las credenciales, tokens de autorizaci\u00f3n, cookies, etc. de los dispositivos infectados). En ocasiones, los atacantes aprovechan las vulnerabilidades conocidas del <em>software <\/em>antes de que los administradores lo parcheen.<\/p>\n<p>En el <a href=\"https:\/\/securelist.lat\/initial-access-data-price-on-the-dark-web\/96767\/\" target=\"_blank\" rel=\"noopener\">informe del sitio web de Securelist<\/a> puedes ver los resultados detallados del estudio, con ejemplos de anuncios reales de acceso inicial.<\/p>\n<h2><strong>\u00bfC\u00f3mo estar protegido?<\/strong><\/h2>\n<p>Debido a que la mayor\u00eda de las veces lo que se vende es el acceso remoto a la infraestructura de una empresa a trav\u00e9s de RDP, es este el que debe protegerse en primer lugar. Para esto, nuestros expertos recomiendan lo siguiente:<\/p>\n<p>\u2013 Organizar el acceso RDP solo a trav\u00e9s de VPN.<\/p>\n<p>\u2013 Utilizar contrase\u00f1as seguras.<\/p>\n<p>\u2013 Utilizar la autenticaci\u00f3n a nivel de red (si es posible).<\/p>\n<p>\u2013 Utilizar la autenticaci\u00f3n de dos factores para todos los servicios cr\u00edticos.<\/p>\n<p>Para que sea menos probable que las contrase\u00f1as sean filtradas a trav\u00e9s del <em>phishing,<\/em> tambi\u00e9n se recomienda utilizar <a href=\"https:\/\/latam.kaspersky.com\/small-to-medium-business-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluciones de seguridad fiables<\/a> con un motor <em>antiphishing <\/em>tanto en los dispositivos de los empleados como a nivel de la entrada de correo. Otro consejo es <a href=\"https:\/\/k-asap.com\/es\/?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">concienciar al personal en t\u00e9rminos de ciberseguridad<\/a>.<\/p>\n<p>Adem\u00e1s, es de gran utilidad investigar si alguien ya est\u00e1 indagando en formas de acceder a la infraestructura de tu empresa en la <em>darknet<\/em>, por lo que se aconseja monitorizar dicha actividad. De esto se encarga nuestro equipo de <a href=\"https:\/\/latam.kaspersky.com\/enterprise-security\/threat-intelligence?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Digital Footprint Intelligence<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nuestros expertos han estudiado el mercado negro para conseguir el acceso inicial a la infraestructura de las empresas.<\/p>\n","protected":false},"author":2577,"featured_media":24942,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539],"tags":[2547,638,863],"class_list":{"0":"post-24941","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-acceso","10":"tag-amenazas","11":"tag-darknet"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/initial-access-market-2022\/24941\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/initial-access-market-2022\/24281\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/initial-access-market-2022\/19754\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/initial-access-market-2022\/9989\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/initial-access-market-2022\/26622\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/initial-access-market-2022\/24564\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/initial-access-market-2022\/27300\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/initial-access-market-2022\/26868\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/initial-access-market-2022\/33341\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/initial-access-market-2022\/10788\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/initial-access-market-2022\/44659\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/initial-access-market-2022\/19049\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/initial-access-market-2022\/19602\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/initial-access-market-2022\/28899\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/initial-access-market-2022\/28326\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/initial-access-market-2022\/25129\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/initial-access-market-2022\/30633\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/initial-access-market-2022\/30382\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/acceso\/","name":"acceso"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/24941","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2577"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=24941"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/24941\/revisions"}],"predecessor-version":[{"id":24943,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/24941\/revisions\/24943"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/24942"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=24941"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=24941"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=24941"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}