Tema 2. Ciberincidentes La Situación Actual

Ciberataques y ciberdefensa: Gestión de ciberincidentes y brechas de seguridad
Tema 2. Ciberincidentes: situación actual.
Grado en Gestión de Ciberseguridad

¿Cuáles son los objetivos de este tema?
✓ Conocer las principales tendencias en el último año y medio en el

ámbito de los ciberincidentes.
✓ Ser capaz de acceder a la información actualizada sobre las tendencias
en ciberseguridad en las diferentes fuentes oficiales.
Contenido
¿Cuáles son los objetivos de este tema? ............................................................................................... 2

Contenido................................................................................................................................................ 2
1.Panorama general de los ciberincidentes recientes ............................................................................ 3
1.1 Teletrabajo: oportunidades para los atacantes ............................................................................ 8
1.2 Principales tendencias en los ciberataques en 2021 .................................................................... 9
2.Ransomware en la actualidad ............................................................................................................ 13
2.1 Ransomware actual: estadísticas ................................................................................................ 13
2.2 Ransomware actual: consecuencias ........................................................................................... 15
2.2 Ransomware-as-a-Service ........................................................................................................... 17
3.Cómo acceder a la información ......................................................................................................... 19
3.1 Alertas y avisos de seguridad ...................................................................................................... 19
3.2 Informes de fabricantes y consultoras........................................................................................ 22
3.3 Medios de comunicación ............................................................................................................ 23
3.4 Boletines mensuales de vulnerabilidades de los fabricantes ..................................................... 25
3.5 Herramientas de inteligencia: TIPs ............................................................................................. 26
No te pierdas en YouTube… .................................................................................................................. 28
Bibliografía ............................................................................................................................................ 28

1. Panorama general de los ciberincidentes recientes
Checkpoint ha clasificado los tipos de malware más extendidos a lo largo de 2022,

obteniendo la siguiente tabla:
Fuente: Checkpoint.
Emotet es el malware más extendido. Se trata de un troyano avanzado,

autopropagante y modular. Emotet se usó una vez como troyano bancario y ahora
se usa como distribuidor de otro malware o campañas maliciosas. Utiliza múltiples
métodos para mantener técnicas de persistencia y evasión para evitar la detección.
Además, Emotet también se puede propagar a través de correos electrónicos no
deseados de phishing que contienen archivos adjuntos o enlaces maliciosos.
En el mismo reporte que estudia las últimas tendencias en ciberataques Checkpoint

revela el dato curioso de que solo el 1,8% de los ataques registrados aprovechan
vulnerabilidades descubiertas en el año actual. Esta información revela que la mayor
parte de los ataques se producen por vulnerabilidades conocidas sin corregir. Esto
pone de relevancia la necesidad de maduración en ciberseguridad y priorización de
los parcheos de vulnerabilidades de muchas empresas.

Fuente: Checkpoint.
El principal vector de entrada de los ataques que se han producido en la primera

mitad de 2022 han sido servidores vulnerables: obsolescencia de servidores o un
parcheo deficiente de los mismos son la causa de que un servidor sea blanco de un
ataque.
Fuente: Checkpoint.

En cuando al tiempo de permanencia global de los ciberincidentes, Mandiant recoge

la evolución de los últimos diez años y existe una diferencia muy amplia que va desde
los 416 días de permanencia en 2011 hasta los 21 días en 2021.
Fuente: Mandiant
Mandiant dibuja en estas tres gráficas la evolución de los ciberataques desde 2017
a 2021 en las regiones de EMEA, APAC y Américas. En ella se registra el porcentaje
de ciberataques notificados por una fuente externa.

Fuente: Mandiant.
Cabe destacar el pico de ciberincidentes que reflejan las gráficas en 2020. Se debe
al fraude aprovechando la temática del COVID-19 y la preocupación de la población
por el tema, trabajo remoto e incremento general del uso de internet en todos los
ámbitos domésticos como consecuencia de los confinamientos por la enfermedad.
Los principales sectores que fueron víctimas de fraude online o de ciberincidentes
fueron:
• Instituciones y empresas farmacéuticas se convirtieron en blanco de
ciberataques con fines de obtención de información (afectación a la
confidencialidad).
• Hospitales y clínicas: Blanco de ciberataques para causar disrupción del
servicio (afectación a la disponibilidad).
• Aplicaciones falsas: De autodiagnóstico, de seguimiento de la enfermedad, de
rastreo, etc.
• Suplantación: De seguros frente a la pandemia, de entidades
gubernamentales, de supuestos expertos, etc.

A pesar de que la actividad en ciberincidentes relacionada con el coronavirus se

concentró en 2020, Trend Micro publica una comparación mes a mes de la
incidencia de los ciberataques con esta temática en 2021. Se puede observar que
aún siguen presentes a lo largo del año, con especial incidencia en mayo.
Fuente: Trend Micro.
Trend Micro también compara el vector de entrada utilizado por los ciberataques
relacionados con la pandemia. Compara 2020 con 2021 y, a pesar de que tanto en
el vector de entrada de los correos como en el vector de entrada de las URLs 2020
lidera el número de incidentes, en la variante de ciberataques transmitidos por
archivos 2021 destaca por encima de 2020.

1.1 Teletrabajo: oportunidades para los atacantes
El teletrabajo generalizado en los puestos que lo permitían supuso una oportunidad

para cibercriminales a nivel mundial, que comenzaron a escanear redes en busca de
nuevas conexiones remotas inseguras.
Los principales riesgos derivados del trabajo en remoto fueron:
• Incremento de las campañas de phishing:

El incremento de las campañas de phishing dirigidas a teletrabajadores se no
tó en el aumento de la suplantación de departamentos como RRHH o IT.
También en los repuntes de las campañas de falsas actualizaciones de
programas requeridas o en la suplantación de organismos oficiales y fuentes
de información oficial relacionada con la pandemia (OMS, Ministerio
Sanidad).
• Remote Desktop Protocol (RDP).

El Remote Desktop Protocol es una funcionalidad que permite que el
escritorio de un equipo informático sea controlado a distancia por un usuario
remoto. Para hacer esto, se habilita un puerto RDP en el equipo que permite
que el usuario remoto tenga pleno acceso al sistema, de forma que podrá
mover el ratón y usar el teclado como si estuviese delante del equipo.
Esta funcionalidad fue utilizada durante la pandemia para acceder a equipos
de forma remota y poder trabajar con normalidad desde otros puntos sin
desplazamientos por las recomendaciones sanitarias.
Desde 2020 se incrementaron los ataques aprovechando este protocolo un
242% más. Solo en el mes de marzo de 2020 se produjeron más de 19
millones de ataques en España. El malware Trickbot incorpora un módulo
nuevo de escaneo de RDP por esta circunstancia.
• Virtual Private Network (VPN).

Una Virtual Private Network, más conocida por sus siglas VPN, es una
tecnología de red que se utiliza para conectar una o más computadoras a una
red privada utilizando Internet. Las empresas utilizaron masivamente estas
redes para que sus empleados desde sus casas pudieran acceder a recursos
corporativos que, de otro modo, no podrían. El uso masivo en la pandemia

provocó muchos problemas de soporte con los accesos simultáneos de todos

los empleados. También existieron muchas brechas de seguridad debido al
bajo nivel de seguridad implementado en la autenticación a las VPN: ausencia
de autenticación multifactor (MFA), el uso de usuarios genéricos o no tener
una correcta política de contraseñas implementada.
• Videoconferencias.
El incremento explosivo durante la crisis sanitaria y el teletrabajo de
plataformas de conferencia como Teams o Zoom provocó el foco de atención
de los atacantes en estas tecnologías, el descubrimiento de nuevas
vulnerabilidades en las mismas y su explotación activa para ganar acceso a la
información que se compartía o causar disrupción en el servicio.
Aprovechando el uso de estas herramientas también se multiplicaron las
aplicaciones fraudulentas suplantando a las oficiales.
• Políticas Bring Your Own Device (BYOD).

En algunos casos los trabajadores, para adaptarse a la circunstancia, tuvieron
que utilizar dispositivos propios para poder teletrabajar. Este uso, sin una
política bien definida de Bring Your Own Device (BYOD), provocó que muchos
usuarios utilizaran dispositivos sin actualizar y sin las medidas de seguridad
necesarias para utilizarlos en ambientes corporativos.
1.2 Principales tendencias en los ciberataques en 2021
▪ Extorsiones a países: los grupos de ransomware dan un paso hacia delante y

amenazan a grandes corporaciones y gobiernos
El grupo Conti, por ejemplo, atacó en abril de 2022 al Ministerio de Hacienda de

Costa Rica accediendo a sus sistemas, cifrado archivos y robado 1TB con información
y una semana después, el 27 de abril, el grupo aseguraba haber accedido al menos
a ocho entidades de Costa Rica. Un caso similar ocurrió con Perú.

El recién establecido Lapsus$ comenzó su actividad maliciosa atacando entidades

gubernamentales. No mucho después, también apuntó con éxito a los gigantes
tecnológicos Microsoft, NVIDIA y Samsung.
▪ Malware para dispositivos móviles: Pegasus.
Pegasus es un spyware desarrollado por la empresa israelí NSO para comprometer

dispositivos móviles. Durante 2022 se ha hablado mucho sobre este spyware al salir
a la luz que se ha utilizado para espiar los teléfonos de dirigentes políticos europeos.
Principales infecciones de Pegasus descubiertas en 2022:
• Enero: Ministerio de Relaciones Exteriores de Finlandia
• Abril: Redes oficiales del Reino Unido, incluida la oficina del Primer Ministro.
• Mayo: Presidente del Gobierno español y al ministro de Defensa.
Pero no solo Pegasus ha sido el protagonista de software espía en 2022:
Predator: infectó iPhones hacia fines de 2021 a través de enlaces de un solo clic
enviados a través de WhatsApp.
QuaDream: las mismas vulnerabilidades en el software de Apple explotadas por el
grupo NSO en iPhones fue aprovechada simultáneamente por esta empresa
competidora.
Flubot: Gran campaña de "Smishing“ suplantando bancos.
Xenomorph: Nuevo troyano bancario para Android escondido detrás de una
aplicación de productividad falsa en Google Play Store.
▪ Ataques a la cadena de suministro en la nube.
El 21 de marzo, la notoria banda de ransomware Lapsus$ emitió un comunicado en

su grupo de Telegram que decía que había obtenido acceso a Okta, una plataforma
de administración de identidad, al obtener acceso a una cuenta administrativa.
Este es solo un ejemplo de los que menciona el fabricante Checkpoint para
manifestar que, durante 2022, los ciberatacantes están tratando de centralizar sus

esfuerzos en atacar a los proveedores de Cloud para conseguir afectación a muchas

compañías a la vez.
▪ Ciber conflicto Rusia – Ucrania.
Otra de las tendencias claras en ciberseguridad en 2022 viene marcada por el

conflicto geopolítico entre Rusia y Ucrania. Este conflicto físico se ha visto reflejado
en la red y ha puesto en jaque a muchas compañías, que han reforzado sus
ciberfensas para protegerse frente a las amenazas derivadas del conflicto.
Una de las características del conflicto en la red entre Rusia y Ucrania es el
llamamiento de gobiernos a la acción en la red. Se han creado grupos de activistas
como el de apoyo a Ucrania, que se materializó con un canal de Telegram que en
apenas tres días contaba con 175.000 miembros voluntarios dispuestos a unirse a la
causa ucraniana. También comenzaron a publicar solicitudes en foros clandestinos
de ayuda para proteger el ciberespacio ucraniano.
El panorama de los incidentes incrementándose ha obligado a muchas empresas a

seguir dos tendencias en la estrategia de la gestión de la ciberseguridad:
- Security by design: Las compañías comienzan a ser proactivas en lugar de
reactivas en cuanto a la ciberseguridad. En lugar de reaccionar a los
ciberataques se intenta prevenir las brechas de seguridad al comienzo de los
proyectos. También aplica al software: se establece la seguridad por defecto
en el ciclo de desarrollo en lugar de utilizar más recursos en la corrección de
errores. Los entornos cloud se adhieren a este tipo de gestión de la seguridad.
Por ejemplo, el proveedor de servicios cloud AWS (Amazon Web Service)
promueven activamente este enfoque en los proyectos.
- Security by default: es una estrategia que promueve el utilizar la

configuración más restrictiva en cuanto a ciberseguridad desde el inicio de los
proyectos. La premisa es partir de una base segura, con controles habilitados
por defecto, que se excepcionarán si es necesario posteriormente
controlando las excepciones. Un ejemplo para entender la seguridad por
defecto es la configuración de un firewall. Esta estrategia defiende que se
comenzaría denegando todo el tráfico en el firewall y posteriormente se

comenzarían a habilitar las conexiones necesarias. Sin seguir esta estrategia

lo que se haría sería denegar ciertas conexiones en el firewall y permitir todas,
un enfoque mucho más inseguro que el primero.

2. Ransomware en la actualidad
2.1 Ransomware actual: estadísticas
Mandiant publica la comparativa de los tiempos empleados en la investigación de

los incidentes provocados por un ransomware y los incidentes que no han sido
provocados por un ransomware. Dibuja un panorama desigual: la mediana de
tiempo de investigación de ransomware es de 5 días. La de incidentes de otros tipos
36. La mediana total es de 21 días. Este dato apunta a que el ransomware, por su
frecuencia, empieza a ser conocido y las investigaciones se han hecho más livianas
y rápidas.
Fuente: Mandiant

Crowdstrike destaca una tendencia importante que se ha dado en 2021: ha

aumentado en un 82% el número de fugas de información producidas por
ransomware. Es un incremento muy importante respecto a los datos de 2020 y
refleja el cambio de intención de los ciberatacantes, cuyo fin es ahora la exfiltración
de información en lugar de exclusivamente el cobro de un rescate por desencriptar
información por parte de la víctima.
Fuente: Crowdstrike.

2.2 Ransomware actual: consecuencias
El fabricante Sophoslab hace un resumen de las consecuencias de los ataques por

ransomware en el último año:
▪ Casi todas las compañías (el 99%) consiguieron recuperar parte de los datos.
Esto lo hicieron por medio de copias de seguridad.
▪ Casi la mitad de las compañías pagaron el rescate. Este método es muy
desaconsejable, ya que se contribuye con la causa del atacante haciendo
rentable su operación. Además, solo el 4% de las compañías afectadas que
pagaron el rescate recuperaron toda la información. La media fue del 61% de
información recuperada.
Fuente: Sophoslab.
En el mismo informe Sophoslab analiza el impacto en las organizaciones afectadas

por un ransomware. Los datos que arroja hablan de un mes de promedio para que
las empresas se recuperen del impacto del ransomware, 1.4 millones de dólares de
coste medio para recuperarse y un porcentaje de afectación a la operativa de esas
compañías del 90%.
A pesar de que los datos hablan de que se tarda menos en el estudio del
ransomware, la gravedad de las consecuencias se sigue manteniendo.

Fuente: Sophoslab
Por último, en cuando al pago de rescates, completamente desaconsejado pero

utilizado por algunas compañías, se ha registrado que ha aumentado por tres el
número de compañías que han pagado rescates por encima del millón de dólares, y
que los rescates más altos se han pagado en el sector de fabricantes de servicios
públicos.
Fuente: Sophoslab

2.2 Ransomware-as-a-Service
Para hablar del ransomware en la actualidad es necesario entender el término

Ransomware-as-a-Service, que ha proliferado en los últimos años hasta convertirse
en la manera habitual de infección: los atacantes ya no atacan a los objetivos sino
que crean el ransomware y lo venden a usuarios que, con pocos conocimientos,
pueden infectar a la víctima con poco esfuerzo.
Los grupos de criminales expertos desarrollan el código malicioso y lo alquilan en
foros, habitualmente alojados en Deep Web, para conseguir clientes. Estos usuarios
que tienen menos nivel técnico pero tienen un objetivo acuden a los foros en busca
de este tipo de código. Lo utilizan y secuestran activos de su víctima.
Posteriormente, una vez han sustraído los datos de la compañía, se los envían al
grupo matriz que procede al despliegue de la cepa que cifra los activos de la víctima.
El objetivo de los creadores del ransomware es económico: creando el ransomware
ganan dinero y no tienen que atacar directamente a las víctimas.
Fuente: Trend Micro

Hay cuatro modelos comunes de ingresos de RaaS:
• Suscripción mensual por una tarifa plana.

• Programas de afiliados, que son lo mismo que un modelo de tarifa mensual
pero con un porcentaje de las ganancias (típicamente 20-30%) destinado al
desarrollador de ransomware.
• Tarifa de licencia única sin participación en las ganancias.
• Únicamente reparto de beneficios.
Fuente: Crowdstrike.

3. Cómo acceder a la información
En el sector de la ciberseguridad hablar de la situación actual y de las tendencias es

volátil: la información analizada a lo largo de este tema sobre el panorama actual se
quedará obsoleta pronto. Por ello, es necesario contar con un repertorio de fuentes
de información que nos permitan estar actualizados sobre las nuevas tendencias en
el sector, nuevas amenazas, nuevos comportamientos, afectación de campañas,
parches y actualizaciones disponibles, etcétera.
Existen diferentes formatos en los que se presenta la información en ciberseguridad:
desde alertas y avisos hasta informes elaborados estudiando las tendencias. Los
principales tipos son:
3.1 Alertas y avisos de seguridad
Algunas instituciones cuentan con un servicio de alertas o avisos que publican

cuando se descubren vulnerabilidades altas relevantes, cuando se producen grandes
ciberataques o importantes actualizaciones dentro del sector que merecen
actuaciones rápidas.
La agencia estadounidense de ciberseguridad y seguridad en infraestructuras
(Cybersecurity & Infraestructure Security Agency) publica con su identificador
correspondiente y proporcionando el histórico desde 2004 las alertas que considera
relevantes.
URL: https://us-cert.cisa.gov/ncas/alerts

Alertas Cybersecurity & Infraestructure Security Agency.
En España, el CNN-CERT del Centro Criptológico Nacional perteneciente al CNI

también cuenta con un sistema de alertas de seguridad y otro de avisos. Algunas
compañías se dan de alta y consumen estas alertas para hacer seguimiento de las
publicaciones que son consideradas relevantes por la institución.
URL: https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert.html
Alertas del CCN-CERT.

Avisos del CCN-CERT.
El INCIBE (Instituto Nacional de Ciberseguridad), dentro del programa Protege tu

empresa, también cuenta con un sistema de alertas de seguridad.
URL: https://www.incibe.es/protege-tu-empresa/avisos-seguridad
Sistema de avisos de INCIBE.

Otros países e instituciones tienen sus propios sistemas de alertas de seguridad

como el National Cyber Security Center de Reino Unido
(https://www.ncsc.gov.uk/section/keep-up-to-date/reports-advisories) o el
Canadian Center for Cyber Security (https://cyber.gc.ca/en/alerts-advisories).
3.2 Informes de fabricantes y consultoras
La mayor parte de fabricantes de soluciones de ciberseguridad y consultoras que

ofrecen servicios de seguridad publican reportes e investigaciones en fuente abierta
con análisis de tendencias, evolución de ataques, nuevas detecciones, análisis de
campañas concretas, etcétera. Es común que, además de los informes particulares
de cada compañía, se publiquen informes con análisis por trimestre, análisis anuales
y análisis semestrales.
Algunos ejemplos de repositorios de informes de tendencias:
• Trend Micro:
https://www.trendmicro.com/vinfo/es/security/research-and-analysis/threat-
reports
• Mc Afee:
https://www.mcafee.com/enterprise/es-es/threat-center/mcafee-
labs/reports.html
• Fire Eye:
https://www.fireeye.com/current-threats/threat-intelligence-reports.html
• Checkpoint:
https://resources.checkpoint.com/
• Cisco:
https://www.cisco.com/c/es_mx/products/security/security-reports.html

Fuente: McAfee.
3.3 Medios de comunicación
A la hora de acceder a la información los medios de comunicación son elementos

clave en las diferentes fases de un ataque:
• En la primera fase de un ciberataque la información de lo sucedido se puede
encontrar en medios de comunicación y también en redes sociales. Es
habitual que los medios, ante un ciberataque de gran impacto, contacten con
trabajadores y representantes de la compañía o institución víctima del ataque
en búsqueda de alguna información para cubrir su necesidad de inmediatez

de la información. En las primeras fases la estrategia de comunicación a seguir

suele no estar definida, lo que provoca que haya información en medios
disponible que entre en contradicciones con lo que arroje la investigación o
con la versión oficial de la compañía. También en redes los trabajadores
pueden publicar información de lo que está ocurriendo, siendo
desconocedores de la versión oficial a comunicar o de los riesgos que conlleva
publicar detalles internos de la compañía o institución.
• En las fases más maduras de un ciberataque la información que se suele

detectar en los medios de comunicación se alinea con la versión oficial de la
compañía o institución víctima del ciberataque. Si el ataque tiene cierta
repercusión, es común que los encargados de la comunicación proporcionen
la versión oficial que quieren comunicar y las previsiones de la investigación.
Paralelamente, las redes sociales empiezan a recoger resultados de
investigaciones de analistas de ciberseguridad independientes que analizan
el ataque, estudian impacto en otras compañías o acceden a indicadores de
compromiso (IoCs) y los analizan.
Además de la información cuando sucede un ciberataque, otras informaciones
relacionadas con el descubrimiento de vulnerabilidades, análisis de nuevos tipos de
malware, nuevas familias de ransomware, nuevos sistemas de detección,
tendencias, etc, se pueden encontrar en los medios de comunicación especializados.
Algunos ejemplos de estos medios de comunicación especializados son:
https://krebsonsecurity.com/
https://www.csoonline.com/
https://securityaffairs.co/
https://www.bleepingcomputer.com/
https://www.hackread.com/
https://www.zdnet.com/

3.4 Boletines mensuales de vulnerabilidades de los fabricantes
Los principales fabricantes de software publican informes mensuales que contienen

las vulnerabilidades en el software descubiertas a lo largo de ese mes. Estos
informes contienen la información de las vulnerabilidades, la criticidad y, en algunos
casos, los parches disponibles. Algunos de los informes mensuales más relevantes
son:
Microsoft:
https://msrc.microsoft.com/update-guide/
Android:
https://source.android.com/security/bulletin/2021-10-01
Adobe:
https://helpx.adobe.com/security/security-bulletin.html

Fuente: Microsoft.
Fuente: Android.
3.5 Herramientas de inteligencia: TIPs
Las plataformas de inteligencia contra amenazas o Threat Intelligence Platforms

(conocidas como TIPs) son plataformas con cuatro funciones clave:
1. Incorporación de inteligencia desde diversas fuentes.

2. Tratamiento, normalización, enriquecimiento y calificación de riesgo de

datos.
3. Integraciones con sistemas de seguridad existentes.
4. Análisis e intercambio de inteligencia contra amenazas.
Algunos de los principales fabricantes de plataformas de inteligencia contra

amenazas según Gartner son:

No te pierdas en YouTube…
Bloomberg: Buying Ransomware Is Easier Than You Think

Tomorrow Unlocked: How a global police force took down Emotet
Defcamp 2019: Story of the new Android banking Trojan-Cerberus
Bibliografía
Check Point. 2022. 2022 Cyber Attack Trends Mid-Year Report
Crowdstrike. 2021. Global Threat Report.
Fire Eye. Mandiant. 2021. M-Trends 2021. Fire Eye Mandiant services. Reporte especial.
Gartner. 2021. [online] Available at: <https://www.gartner.com/reviews/market/security-threat-

intelligence-services>
Mcafee.com. 2021. McAfee Labs Threats Report | October 2021. [online] Available at:
<https://www.mcafee.com/enterprise/en-us/lp/threats-reports/oct-2021.html
Reciprocity.com. 2021. [online] Available at: <https://reciprocity.com/resources/what-is-security-

by-design/>
Securelist.lat. 2021. Evolución de las ciberamenazas en el segundo trimestre de 2021. [online]

Available at: https://securelist.lat/it-threat-evolution-q2-2021/94752/
Telefónica Tech. 2021. Cyberthreats. Informe annual sobre ciberamenazas.
Telefónica Tech. 2021. Informe sobre el estado de la seguridad 2021 H2.
Trend Micro. 2022. Ataques desde todos los ángulos. Resumen de ciberseguridad de mediados del
año 2021.
WeLiveSecurity. 2021. WannaCry: tres años después sigue siendo una amenaza activa de la cual
debemos aprender | WeLiveSecurity. [online] Available at: <https://www.welivesecurity.com/la-
es/2020/05/12/wannacry-tres-anos-despues-una-amenaza-activa-debemos-aprender/

Tema 2. Ciberincidentes La Situación Actual

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 2. Ciberincidentes La Situación Actual

Cargado por

Copyright:

Formatos disponibles

Ciberataques y ciberdefensa: Gestión de ciberincidentes y brechas de seguridad

Tema 2. Ciberincidentes: situación actual.

Grado en Gestión de Ciberseguridad

¿Cuáles son los objetivos de este tema?

✓ Conocer las principales tendencias en el último año y medio en el

¿Cuáles son los objetivos de este tema? ............................................................................................... 2

Grado en Gestión de Ciberseguridad

1. Panorama general de los ciberincidentes recientes

Checkpoint ha clasificado los tipos de malware más extendidos a lo largo de 2022,

Emotet es el malware más extendido. Se trata de un troyano avanzado,

En el mismo reporte que estudia las últimas tendencias en ciberataques Checkpoint

Grado en Gestión de Ciberseguridad

El principal vector de entrada de los ataques que se han producido en la primera

Grado en Gestión de Ciberseguridad

En cuando al tiempo de permanencia global de los ciberincidentes, Mandiant recoge

Grado en Gestión de Ciberseguridad

Grado en Gestión de Ciberseguridad

A pesar de que la actividad en ciberincidentes relacionada con el coronavirus se

Fuente: Trend Micro.

Fuente: Trend Micro.

Grado en Gestión de Ciberseguridad

1.1 Teletrabajo: oportunidades para los atacantes

El teletrabajo generalizado en los puestos que lo permitían supuso una oportunidad

• Incremento de las campañas de phishing:

• Remote Desktop Protocol (RDP).

• Virtual Private Network (VPN).

Grado en Gestión de Ciberseguridad

provocó muchos problemas de soporte con los accesos simultáneos de todos

• Políticas Bring Your Own Device (BYOD).

▪ Extorsiones a países: los grupos de ransomware dan un paso hacia delante y

El grupo Conti, por ejemplo, atacó en abril de 2022 al Ministerio de Hacienda de

Grado en Gestión de Ciberseguridad

El recién establecido Lapsus$ comenzó su actividad maliciosa atacando entidades

▪ Malware para dispositivos móviles: Pegasus.

Pegasus es un spyware desarrollado por la empresa israelí NSO para comprometer

▪ Ataques a la cadena de suministro en la nube.

El 21 de marzo, la notoria banda de ransomware Lapsus$ emitió un comunicado en

Grado en Gestión de Ciberseguridad

esfuerzos en atacar a los proveedores de Cloud para conseguir afectación a muchas

▪ Ciber conflicto Rusia – Ucrania.

Otra de las tendencias claras en ciberseguridad en 2022 viene marcada por el

El panorama de los incidentes incrementándose ha obligado a muchas empresas a

- Security by default: es una estrategia que promueve el utilizar la

Grado en Gestión de Ciberseguridad

comenzarían a habilitar las conexiones necesarias. Sin seguir esta estrategia

Grado en Gestión de Ciberseguridad

2.1 Ransomware actual: estadísticas

Mandiant publica la comparativa de los tiempos empleados en la investigación de

Grado en Gestión de Ciberseguridad

Crowdstrike destaca una tendencia importante que se ha dado en 2021: ha

Grado en Gestión de Ciberseguridad

2.2 Ransomware actual: consecuencias

El fabricante Sophoslab hace un resumen de las consecuencias de los ataques por

En el mismo informe Sophoslab analiza el impacto en las organizaciones afectadas

Grado en Gestión de Ciberseguridad

Por último, en cuando al pago de rescates, completamente desaconsejado pero

Grado en Gestión de Ciberseguridad

Para hablar del ransomware en la actualidad es necesario entender el término

Fuente: Trend Micro

Grado en Gestión de Ciberseguridad

Hay cuatro modelos comunes de ingresos de RaaS:

• Suscripción mensual por una tarifa plana.

Grado en Gestión de Ciberseguridad