Las organizaciones empiezan a ganarle el pulso a los ataques informáticos

En la carrera por la ciberseguridad, las organizaciones empiezan a tomar una cierta ventaja a los hackers informáticos. El último informe de Mandiant, la firma que en 2013 destapó varios casos de espionaje chino, revela que la mayoría de entidades del mundo mejoraron de forma significativa su capacidad defensiva ante los ciberataques, así como el tiempo de respuesta en comparación con 2023. Si hace dos años los delincuentes de la red lograban infectar los sistemas de una entidad por un promedio de 16 días, en 2023 esta cifra descendía a los 10 días. No obstante, Mandiant pone en relieve que este descenso se ha logrado, en parte, por la tipología de los ataques. En la actualidad empiezan a ganar terreno los ransomware, un tipo de ofensiva que inhabilita o extrae información para solicitar pagos a sus propietarios, por lo que las entidades suelen tratar de eliminarlos lo más pronto posible.

Stuart McKenzie, director general de Mandiant Consulting de Google Cloud en Europa, advierte de que es importante que las organizaciones traten de mantener este impulso el año que viene, ya que los actores de las amenazas que tienen el mayor impacto “siguen estando bien financiados, son selectivos y sofisticados en su enfoque”.

Sin embargo, esta cifra no es estática y varía según la región. El tiempo de permanencia fue menor en las organizaciones de la región Asia-Pacífico, que alcanzaron un promedio de 9 días; un descenso excepcional del 63%, debido a que en 2022 este era de poco más de un mes. Por el contrario, en Europa, Oriente Medio y África (EMEA por sus siglas en inglés) aumentaron el tiempo de permanencia, con un salto de 20 a 22 días, aunque Mandiant esclarece que el cambio es producto de los datos recogidos en Ucrania, quien se ha convertido en la diana de ataques cibernéticos desde Rusia en 2022.

Los blancos favoritos de los ciberdelincuentes fueron los servicios financieros (17%), seguidos por los servicios empresariales y de tipo profesional (13%) y las entidades de alta tecnología (12%). Todas estas organizaciones tienen un denominador común: manejan grandes cúmulos de datos con información altamente sensible que, según el informe, oscila desde datos de derecho de propiedad, pasando por datos sanitarios protegidos, hasta registros financieros.

Una puerta trasera abierta

La principal familia de malware usada en los ataques en la mayoría de regiones ha sido los programas de tipo beacon, identificados en el 15% de todas las intrusiones investigadas por Mandiant. Las ofensivas tipo beacon se traducen en ataques a través de una “puerta trasera” en los sistemas informáticos de una organización que permiten cargar y descargar archivos de manera arbitraria. El el ciberataque a SolarWinds en 2021, proveedor de software para el manejo de redes y con clientes de la talla de Microsoft, la NASA o Cisco, se utilizó este tipo de tecnología para secuestrar información interna de la empresa.

La entidad también destaca que se detectaron “amenazas respaldadas por China, Rusia e Irán, así como ataques guiados por motivación financiera”. Los investigadores creen que esto se explica principalmente por la alta personalización y facilidad de uso del malware tipo beacon, aunque también concluyen que el uso de este retrocede en comparación a otros años y ya solo representa el 15% de los ataques a nivel mundial.

Rusia como fuente de los ataques

Mandiant es una firma estadounidense de ciberseguridad que saltó a la fama en febrero de 2013 cuando publicó un informe que implicaba directamente al Ejército Popular de Liberación, el brazo militar del Partido Comunista Chino, de ataques cibernéticos a al menos 141 organizaciones de Estados Unidos y otros países de habla inglesa. En marzo de 2022, Google anunció que adquiría la empresa por 5.400 millones de dólares y la integraba en su división de Google Cloud.

En este informe, en cambio, Mandiant ha puesto la lupa sobre los ataques cibernéticos que Rusia ha dirigido a Ucrania desde que se desató la invasión. Destacando que representa uno de los primeros casos en los que “una importante potencia cibernética ha llevado a cabo ataques disruptivos, espionaje y operaciones de información, al mismo tiempo que operaciones militares generalizadas”.

“Mandiant nunca ha observado una actividad de los actores de amenazas que iguale el volumen de ataques, la variedad de actores de amenazas y la coordinación de esfuerzos, como se observó durante los primeros meses posteriores a la invasión de Rusia”, detalla el documento. Incluso, pone en relieve que la invasión ha causado una interrupción temporal en el ecosistema de cibercrimen de habla rusa, en algunos casos dividiendo a los grupos criminales según líneas políticas, y aparentemente desencadenando el mayor resurgimiento del hacktivismo internacional desde 2015.

Sigue toda la información de Cinco Días en Facebook, X y Linkedin, o en nuestra newsletter Agenda de Cinco Días