2020

GLOBAL THREAT REPORT

RESUMEN EJECUTIVO
2020 GLOBAL THREAT REPORT
RESUMEN EJECUTIVO

HA SIDO OTRO AÑO MUY ACTIVO EN

con amenazas constantes de
ciberdelincuentes y naciones contra
organizaciones de prácticamente todos

MATERIA DE CIBERSEGURIDAD, los sectores. CrowdStrike® ha observado

ataques dirigidos contra empresas de
un gran número de sectores, como el
académico, la Administración, atención sanitaria, hostelería, tecnología, energía,
servicios financieros y fabricación en todo el mundo, y de tamaños muy diversos,
desde pequeñas empresas a conglomerados del índice Global 1000.

En el informe 2020 Global Threat Report, los equipos de CrowdStrike Intelligence,

de caza de amenazas Falcon OverWatch™ y de respuesta a incidentes de
CrowdStrike Services destacan los acontecimientos y tendencias más importantes
observados en relación con las ciberamenazas a lo largo del año pasado.

ACTIVIDAD CIBERDELICTIVA
La mayor parte de
los beneficios del
ransomware van a
parar al bolsillo de los
ciberdelincuentes que
dominan varios métodos
para rentabilizar sus
conocimientos y
herramientas.
Aumentan las campañas conocidas como de "caza mayor", es decir, las que
tienen motivaciones delictivas o los ataques de ransomware contra grandes
empresas. Las campañas de caza mayor fueron la actividad más lucrativa para
los ciberdelincuentes; el importe de los rescates exigidos alcanzó los millones de
dólares, generando trastornos nunca vistos hasta la fecha. Por el momento, nada
indica que los responsables de este tipo de campañas vayan a bajar el ritmo.
Los ciberdelincuentes instrumentalizan los datos confidenciales con el fin de
aumentar la presión sobre las víctimas del ransomware. Hemos observado cómo
algunos ciberdelincuentes amenazan con divulgar datos confidenciales (llegando
en algunos casos a cumplir la amenaza) como medida de presión para obtener
el pago del rescate en el caso de víctimas que optaron por restaurar sus redes
utilizando copias de seguridad.

El ecosistema de la ciberdelincuencia sigue evolucionando, madurando y

desarrollando un nivel de especialización cada vez mayor. Las organizaciones
delictivas asentadas continuaron su expansión. Se abandonan las operaciones
mediante troyanos bancarios y se imponen:

Los desarrolladores de ransomware como servicio (RaaS) que optan por los
ataques de "caza mayor".

Los desarrolladores de malware como servicio (MaaS) que introducen módulos

de ransomware.

Las operaciones de descarga como (DaaS) que distribuyen malware

de terceros.

Estos esfuerzos por facilitar las campañas de "caza mayor" ponen de relieve
el enorme efecto dominó que ha provocado el ransomware selectivo en el
ecosistema criminal.

Aparte de la caza mayor, se ha observado un aumento de las campañas

de ciberataques contra instituciones financieras a través del fraude de
transferencias de fondos o reintegros en efectivo en cajeros automáticos, con
casos no solo en EE. UU., Canadá y Europa, sino también en América Central y
América del Sur y África.
2020 GLOBAL THREAT REPORT
RESUMEN EJECUTIVO

La tendencia hacia las tácticas de ataque sin malware se aceleró y ahora

estos ataques superan en volumen a los de malware. En 2019, el 51 % de los
ataques utilizaron técnicas sin malware, frente al 40 % de 2018, lo que subraya la
necesidad de ir más allá del uso soluciones antivirus básicas.

Los ciberdelincuentes siguen desarrollando y renovando sus tácticas, técnicas

y procedimientos (TTP) con la incorporación de actividades sofisticadas,
como el cierre de los productos de seguridad, la tunelización DNS, el uso de
sitios comprometidos que albergan el sistema de gestión de contenidos (CMS)
WordPress, el secuestro de hilos de correo electrónico, el compromiso de la
autenticación de dos factores (2FA), y el empleo de generadores de droppers y
servicios de distribución.

ATAQUES SELECTIVOS FINANCIADOS POR ESTADOS

CrowdStrike realiza un seguimiento de numerosos responsables de intrusiones
selectivas financiadas por países en todo el mundo, incluidos grupos de autores de
amenazas con origen en la República Popular Democrática de Corea (Corea del
Norte), China, Rusia e Irán. Como en años anteriores, la mayoría de las intrusiones
La publicación de las
selectivas llevadas a cabo por estos ciberdelincuentes tendría como objetivo la
tácticas, técnicas
recopilación de inteligencia tradicional. CrowdStrike Intelligence también investiga
y procedimientos una posible relación entre un grupo de sofisticados ciberdelincuentes e intrusiones
asociados a selectivas financiadas por estados; las pruebas iniciales sugieren coincidencias de
operaciones llevadas herramientas delictivas y/o cooperación con servicios de inteligencia de Corea del
a cabo por países en Norte y Rusia.
2019 puede provocar
que el próximo año los
métodos no sean tan Corea del Norte: The Chollima
obvios, sin embargo, el
objetivo seguirá siendo Las intrusiones selectivas relacionadas con Corea del Norte constituyen
algunas de las operaciones más activas en 2019.
el mismo: recopilar
Las empresas de Corea del Sur siguen siendo de interés estratégico para
inteligencia y promover
los ciberdelincuentes vinculados con Corea del Norte. Además, varios
la división en las
incidentes tuvieron como objetivo India, y un ciberdelincuente también
comunidades. atacó a EE. UU. y Japón con operaciones de obtención de inteligencia
centrada en temas relacionados con la energía nuclear y las sanciones.

China: The Panda

La actividad de los ciberdelincuentes chinos fue incesante durante 2019,

con un marcado interés en el sector de las telecomunicaciones.
La focalización de los ataques en dicho sector (en especial en Asia
Central y el Sudeste Asiático) concuerda con el plan de China de crear
una "Ruta de la seda digital", que incluye el desarrollo de redes móviles 5G.
Muchos gobiernos han tomado nota y han rechazado las oportunidades de
trabajar con el gigante de las telecomunicaciones chino Huawei, alegando
preocupaciones sobre las relaciones de la empresa con los servicios
militares y de inteligencia en China, Rusia y Corea del Norte.
2020 GLOBAL THREAT REPORT
RESUMEN EJECUTIVO

Rusia: The Bear

A lo largo de 2019, CrowdStrike Intelligence observó ataques selectivos

de origen ruso contra Ucrania.
La gran mayoría de estas operaciones parecen ir dirigidas contra
diplomáticos y funcionarios de seguridad nacional ucranianos,
probablemente para obtener inteligencia política y militar relacionada
con el conflicto que enfrenta a ambos países. Al parecer, es posible
que ciberdelincuentes rusos hayan intentado influir en los resultados
de las elecciones presidenciales de Ucrania en marzo de 2019, y se han
producido numerosas denuncias de campañas de desinformación, ataques
de denegación de servicio distribuido (DDoS) y compromisos de redes
sociales. Puesto que el conflicto entre Ucrania y Rusia sigue activo, es
En función de la probable que continúen (incluso con mayor frecuencia) las operaciones de
actividad observada recopilación de inteligencia asociadas con Rusia en el futuro.
en 2019, es probable
que las empresas
de los sectores de Irán: The Kitten
defensa, marítimo,
En medio de la creciente tensión entre Irán y EE. UU., la actividad de
telecomunicaciones los ciberdelincuentes iraníes sugiere que existe un interés creciente en
y tecnologías de la objetivos de los sectores de la defensa y la administración pública.
información de la Aunque la actividad a principios del año se centró en países de la región
región MENA sean de de Oriente Medio y África del Norte (MENA), en la segunda mitad del 2019
especial interés para se observó un pronunciado cambio de interés de los ciberdelincuentes
los ciberdelincuentes iraníes hacía empresas de EE. UU., probablemente como respuesta a
iraníes en 2020. las tensiones entre Irán y EE. UU. que comenzaron en mayo de 2019.
CrowdStrike Intelligence estima, sin demasiado temor a equivocarse, que
los ciberdelincuentes iraníes seguirán utilizando el ciberespionaje para la
obtención de inteligencia tradicional, con especial atención en la región
MENA y en América del Norte.

RECOMENDACIONES DE CROWDSTRIKE
CrowdStrike recomienda lo siguiente para proteger su empresa y fortalecer sus
defensas frente a unos adversarios cada vez más avanzados, ahora y en el futuro:

Saque el máximo partido de la protección que tiene. La proliferación de la "caza

mayor" ha aumentado de manera drástica el impacto en las empresas que no
implementan la protección adecuada. Las empresas inteligentes invertirán el tiempo
necesario para maximizar los controles de seguridad que tienen actualmente.
2020 GLOBAL THREAT REPORT
RESUMEN EJECUTIVO

Proteja las identidades. El año pasado se observó una mayor tendencia hacia
el empleo de técnicas de ataque sin malware. Como punto de partida, debe
establecerse la autenticación de dos factores (2FA) para todos los usuarios,
ya que los atacantes actuales son expertos en acceder y utilizar credenciales
válidas, lo que genera rápidamente un riesgo mayor. Además, un proceso sólido de
Las empresas que administración del acceso con privilegios limitará el daño que pueden provocar los
cumplen el objetivo ciberdelincuentes si consiguen penetrar.
1-10-60 tienen muchas
Involucre a sus usuarios en la lucha. Si bien la tecnología es lógicamente esencial
más probabilidades
en la lucha para detener a los atacantes, el usuario final sigue siendo un eslabón
de expulsar a los crítico de la cadena. Deben llevarse a cabo programas de concienciación de los
agresores antes de usuarios para combatir la amenaza continua del phishing y las técnicas de ingeniería
que se propague social relacionadas.
el ataque desde su
punto de entrada Cumpla la regla 1-10-60. CrowdStrike recomienda a las empresas seguir la "regla
1-10-60" con el fin de combatir las amenazas sofisticadas con eficacia: detectar las
inicial, minimizando la
intrusiones en menos de 1 minuto, investigar y conocer las amenazas en menos de
escalación y el impacto.
10 minutos, y contener y eliminar al atacante del entorno en menos de 60 minutos.

Busque partners que le ayuden a cubrir la falta de talento. Para alcanzar la

velocidad 1-10-60 no basta con tecnología. Defenderse frente a las amenazas
sofisticadas requiere en última instancia procesos maduros, así como profesionales
de seguridad eficaces y dedicados a tiempo completo. Las empresas de éxito
suelen asociarse con los proveedores de las mejores soluciones para cubrir de una
manera asequible la falta de talento fundamental.

Descargue su copia GRATUITA del informe CrowdStrike® 2020 Global Threat

Report para obtener más información e inteligencia acerca de los incidentes
observados en todo el mundo en 2019, y descubra las recomendaciones sobre
cómo neutralizar a los ciberdelincuentes en 2020: http://crowdstrike.com/gtr

ACERCA DE CROWDSTRIKE
CrowdStrike® Inc. (Nasdaq: CRWD), líder mundial en ciberseguridad, redefine la
seguridad en la era de la nube mediante una plataforma de protección de endpoints
que ha sido construida desde la base con el objetivo de detener las violaciones
de la seguridad. La arquitectura de un solo agente ligero de CrowdStrike Falcon®
aprovecha la inteligencia artificial a escala de la nube y ofrece protección en tiempo
real y visibilidad en toda la empresa, evitando los ataques a los endpoints, estén o
no conectados a la red. Gracias a CrowdStrike Threat Graph®, CrowdStrike Falcon
correlaciona a la semana, en tiempo real, más de 2 billones de eventos relativos a
los endpoints en todo el planeta, alimentando una de las plataformas de datos para
seguridad más avanzadas del mundo.

© 2020 CrowdStrike, Inc. Todos los derechos reservados.