¿Hablamos?

Ciberinteligencia táctica El antídoto contra el ransomware y otras ciberamenazas

El cibercrimen experimenta un crecimiento exponencial en paralelo al auge de la digitalización y desarrollo tecnológico en las organizaciones públicas y privadas. Los servicios de ciberinteligencia hacen frente a este escenario con estrategias de anticipación y tácticas proactivas, gracias a un mejor conocimiento del "enemigo".

Ciberinteligencia táctica

2020 caldo de cultivo para las ciberamenazas

Durante la pandemia se ha tensionado la criticidad de la infraestructura digital a nivel mundial. Según datos aportados por la Comisión Europea, la ciberdelincuencia supuso en 2020 un coste de 5,5 billones de euros, superando con creces otras actividades ilícitas.

En efecto, la crisis provocada por Covid-19 ha desembocado en una recesión económica, un cambio de paradigma de los mercados y la digitalización apresurada de la actividad en muchas organizaciones que, en muchos casos, han olvidado activar una política de ciberseguridad adecuada. La tormenta perfecta para la proliferación de operaciones de influencia, ataques ransomware o a infraestructuras críticas y sistemas expuestos.

La población digitalizada no para de crecer, según datos de Naciones Unidas ya supone el 59,5% de la población mundial (4,6 miles de millones) en 2020. Hogares y organizaciones se han visto obligados a desarrollar su actividad en el entorno digital, de modo apresurado en muchos casos, pasando a engrosar la población objetivo de la ciberdelincuencia.

Esto ha permitido que los ciberataques y la ciberdelincuencia aumenten en volumen y sofisticación, afectando, incluso, a sectores vitales como transporte, energía, sanidad y finanzas.

En Europa…

En su 8º informe anual sobre ciberamenazas “ENISA Threat Landscape (ETL) – 2020“, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) apunta cómo el escenario COVID-19 ha disparado los ataques a hogares, empresas, gobiernos e infraestructuras críticas en Europa.

El malware en general y el ransomware en particular se ha convertido en la ciberamenaza principal en el continente europeo. Además de estos programas malignos, ENISA apunta otros como: ataques web, phishing, ataques de denegación de servicio distribuidos (DDoS), brechas de datos, intrusiones, botnets o ciberespionaje.

En España…
Según el informe de la ONTSI “Dossier de Indicadores sobre Ciberseguridad y Confianza Digital en España y Europa” (mayo 2020), durante 2019, sufrieron algún tipo de ataque:

  • 26,5 % de la población
  • 23 % de las grandes empresas
  • 12% de las PYMES

CCN-CERT, en su último informe “IA-13/20. Ciberamenazas y tendencias. Edición 2020” dibuja el panorama nacional del último año apuntando a la pandemia de COVID-19 como elemento disruptivo en el entorno de las ciberamenazas. El cibercrimen ha aprovechado esta situación, así como el auge del teletrabajo, para potenciar operaciones de influencia o robo de información hasta campañas de ransomware.CCN-CERT pone el foco en el panorama de las ciberamenazas 2019-2020 de nuestro país en:

  • Acciones ligadas a actores Estado (operaciones de influencia, propaganda, desinformación…).
  • Actores ligados a la delincuencia económica (fraude al CEO, Human Operated Ransomware…).
  • Impactos contra sistemas ciberfísicos, en ataques a infraestructura IT.
  • Sistemas expuestos, debido al auge de la actividad económica en digital y  el teletrabajo.

En definitiva, se vislumbra un futuro de continuidad en las acciones hostiles en un escenario de tensión económica, explosión de la digitalización de operaciones y actividad comercial, así como continuidad de la modalidad de teletrabajo. Dibujar el mapa de amenazas y diseñar actuaciones tácticas para eliminarlas será el cometido de los servicios de Ciberinteligencia.

Ciberinteligencia táctica
Ciberinteligencia táctica

Ciberinteligencia proactiva como antídoto

Como todo buen antídoto, la Ciberinteligencia (táctica y estratégica) puede adoptar un enfoque proactivo, para anticiparse, anular o neutralizar las consecuencias provocadas por los ciberataques.

Este enfoque proactivo de la Ciberinteligencia viene a ser desplegado en su faceta táctica, que es la encargada de diseñar protocolos de respuesta frente a amenazas identificadas así como participar en la actuación en ataques ya perpetrados. Su éxito reside en ir más allá de la seguridad tradicional, mitigando los ataques del modo más eficaz ya que parte de su conocimiento exhaustivo del modus operandi del enemigo.

El escenario expuesto reta a los servicios de Ciberinteligencia táctica a dar soporte a organizaciones cada vez más dependientes de los entornos digitales y que presentan, como resultado, un mayor nivel de exposición de sus infraestructuras y activos tecnológicos. También el usuario final (trabajador, consumidor y ciudadano), integrado en esta situación, es cada vez más vulnerable.

La oleada de ataques y el alto nivel de actividad delictiva en el ciberespacio, exige a la Ciberinteligencia aportar la mayor dosis de proactividad a la Ciberseguridad en las organizaciones. Debe aportarle una triple línea de acción.

Triple acción de la Ciberinteligencia

  • Monitorización anticipada

    Monitorización anticipada

    para la identificación y análisis de actores, indicadores y escenarios de amenazas.

  • Actuación

    Actuación

    Despliegue de protocolos de respuesta frente a ciberataques.

  • Trazabilidad forense

    Trazabilidad forense

    Seguimiento y aplicación de la misma en procesos de investigación forense para obtener indicadores y datos concluyentes a partir de un incidente de seguridad.

Conociendo al ciberadversario

El fundamento de la Ciberinteligencia no es otro que conocer al milímetro a nuestros ciberadversarios y su modus operandi, a fin de dimensionar estrategias, tácticas y recursos de defensa frente a sus ataques.

Bajo este paradigma, la ciberinteligencia nos permite prevenir y anticiparnos a los ataques enemigos. Esta es la mejor defensa a la que debe optar cualquier organización, ya que optimiza el rendimiento de sus sistemas de ciberseguridad y procesos de detección y respuesta.

El cibercrimen evoluciona a la par que la Ciberseguridad, lo que obliga a los servicios de ciberinteligencia a adoptar la proactividad; invirtiendo en tecnología, procesos y personas capaces de analizar y de absorber información, convertirla en “inteligencia” y activarla en el tiempo oportuno.

En Ciberinteligencia se despliegan tácticas basadas en la proactividad para la ir al encuentro del ciberadversario, conocerlo en profundidad infiltrándose en el complejo mundo del cibercrimen o el hacktivismo.

Ciberinteligencia táctica

Ransomware: el ciberenemigo público 2020

Todos los días son noticia los ataques ransomware a las multinacionales más prestigiosas, a infraestructuras críticas o sectores vitales para la humanidad (sanidad, suministros o financiero).

Las autoridades mundiales y nacionales lo tienen en su punto de mira, ya que las actuaciones perpetradas en los últimos meses de 2021 han supuesto pérdidas millonarias, parada de servicios esenciales y estado de alarma para la reputación de grandes firmas y organismos del estado.

Los servicios de Ciberinteligencia no le quitan ojo. Le otorgan el nivel más alto de peligrosidad en sus rankings. Las bandas de ransomware están provocando el cierre de muchas compañías y ya se habla de más de 350 millones de dólares recaudados por esta rama del cibercrimen en 2020 en EEUU (triplicando las cifras del año anterior).

Su peligrosidad viene dada por lo complicado o imposible que resulta recuperar la información que han cifrado los perpetradores, así como por la petición de rescates millonarios.

Recordemos que el ransomware es un tipo de código dañino diseñado para secuestrar datos, una forma de explotación en la cual el atacante cifra los datos de la víctima y exige un pago o rescate por la clave de descifrado. La cantidad exigida puede variar desde unos cientos de euros hasta miles o incluso millones.

Una vez que acceden a la organización víctima, los atacantes pasan días explorando e identificando los activos de mayor valor, a fin de provocar el mayor impacto. A continuación, despliegan el código dañino para exfiltrar y cifrar la información. En la modalidad conocida como Human Operated Ransomware, los ciberdelicuentes combinan el código dañino con otras herramientas que les permite persistir en la infraestructura.

Entre los ransomware más activos durante 2019-2020: Ryuk, BitPaymer, Clop, Conti, Ragnar, Dharma/CrySiS, Phobos, GrandCrab, Jigsaw, Katyusha, LockerGoga, PewCrypt, SamSam, STOP Ransomware, Revil/Sodinoki, Globelmposter o el recién desaparecido Maze.

El ransomware ha sido el tipo de código dañino más destructivo en la última década

CCN-CERT IA-13/20. Ciberamenazas y tendencias. Edición 2020.

Magnitudes Ransomware

La ciberinteligencia tampoco pierde de vista...

  • Ingeniería social

    Ingeniería social

    Es uno de los principales vectores de ataque. Los cibercriminales aprovechan el eslabón más débil en la infraestructura de seguridad de una organización: las personas. Métodos como el spear-phishing, basan su éxito en la suplantación de identidad de servicios/personas con las que la víctima tiene comunicación habitual.

  • Botnets

    Botnets

    O red de bots es un método de ataque por el que el ciberdelincuente consigue infectar una red de ordenadores (zombies) que podrá activar de modo automático y autónomo para controlar recursos o lanzar ataques.

  • Ataques a sistemas de acceso remoto

    Ataques a sistemas de acceso remoto

    En 2020 aumentaron este tipo de ataques. Estos sistemas han sido empleados como vector de entrada a redes corporativas. Se produjeron campañas globales en las que se lanzaron escaneos masivos, pero también de tipo APT, que han hecho uso de este tipo de explotación para acceder a las redes objetivo.

  • Ataques a la cadena de suministro

    Ataques a la cadena de suministro

    También conocido como ataques a la cadena de valor o de terceros, son una amenaza emergente. Software comprometido, código robado o malware preinstalado en dispositivo son algunas de sus modalidades. Este tipo de ataque se diferencia por evadir controles y comprometer a proveedores, socios o clientes de la organización víctima.

Servicios relacionados

  • Seguridad estratégica. Gobierno, riesgo y cumplimiento

    Seguridad estratégica. Gobierno, riesgo y cumplimiento

    Consultoría TI que abarca desde Sistema de Gestión de Seguridad de la Información (SGSI) – ISO 27001, Esquema Nacional de Seguridad (ENS), Regulación de Protección de Datos: RGPD y LOPD-GDD, PCI-DSS y PSD2, Ley PIC y Ley NIS, Análisis de Riesgos y Plan Director de Seguridad, BIA, Gestión de Continuidad (ISO 22301) y DRP, Virtual CISO, Virtual DPO y PMO de Ciberseguridad, Formación y sensibilización

    Más sobre este servicio

  • Seguridad gestionada

    Seguridad gestionada

    Equipo Azul: Detección y respuesta ante ciberataques con nuestro Centro de Operaciones de Seguridad (eSOC), Gestión de eventos de seguridad (SIEM) y Security Infrastructure as a Service (SIaaS) y Equipo Rojo: Ataque. Hacking ético.

    Más sobre este servicio

  • Tecnología de seguridad. Protección

    Tecnología de seguridad. Protección

    Asesoría tecnológica, Despliegue de infraestructuras, Servicio de análisis de código y Ciberseguridad industrial

    Más sobre este servicio

Insights relacionados