Documentos de Académico
Documentos de Profesional
Documentos de Cultura
defensa digital
de Microsoft 2022
Iluminar el panorama de las amenazas
y potenciar una defensa digital.
Amenazas Operaciones
Introducción El estado de la para los Dispositivos de influencia Resiliencia Equipos
01 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación e infraestructura cibernética cibernética colaboradores
Introducción de Tom Burt El 23 de febrero de 2022, el mundo Los actores extranjeros también están usando
de la ciberseguridad entró en una nueva técnicas muy eficaces para permitir las operaciones
Vicepresidente corporativo, Seguridad y confianza del cliente
de influencia propagandística en regiones de todo
era, la era de la guerra híbrida. Ese día, horas
"Los billones de señales que
el mundo, como se trata en el tercer capítulo.
antes de que se lanzaran los misiles y los tanques
Por ejemplo, Rusia se ha esforzado por convencer
atravesaran las fronteras, los actores rusos lanzaron
digitales en todo el mundo "
mejor seguridad física y lógica contra los ataques
puntos de entrada a las redes y a la infraestructura
cibernéticos y permite avances en la inteligencia
crítica, lo que se analiza en el capítulo cuatro.
de amenazas y la protección de puntos de conexión
Finalmente, en el último capítulo, entregamos las
que han demostrado su valor en Ucrania.
ideas y lecciones que hemos aprendido durante
Aunque cualquier estudio sobre los avances del el pasado año en la defensa contra los ataques
año en materia de ciberseguridad debe comenzar dirigidos a Microsoft y a nuestros clientes,
por ahí, el informe de este año ofrece una inmersión al tiempo que repasamos los avances del año
profunda mucho más detallada. En el primer capítulo en materia de resiliencia cibernética.
del informe, nos enfocamos en las actividades de los
Una instantánea de nuestro panorama... ciberdelincuentes, seguidas de las amenazas para los
En cada capítulo se proporcionan las principales
lecciones aprendidas y la información basada
estados nación en el segundo capítulo. Ambos grupos
en el punto de vista único de Microsoft.
Alcance y escala Desmantelamiento Cómo hacer frente han aumentado enormemente la sofisticación de sus
Los billones de señales que analizamos de
ataques, lo que ha incrementado de manera drástica
del panorama de la ciberdelincuencia a las vulnerabilidades el impacto de sus acciones. Mientras Rusia acaparaba
nuestro ecosistema mundial de productos
de amenazas Hasta la fecha, Microsoft El 93 % de nuestros los titulares, los actores iraníes intensificaron sus
y servicios revelan la ferocidad, el alcance
y la escala de las amenazas digitales en todo
El volumen de ataques ha eliminado más compromisos de ataques tras la transición del poder presidencial,
el mundo. Microsoft está tomando medidas
a las contraseñas ha de 10 000 dominios respuesta ante lanzando ataques destructivos dirigidos a Israel,
para defender a nuestros clientes y al
utilizados por los incidentes de y operaciones de ransomware y pirateo y filtración
aumentado hasta ecosistema digital contra estas amenazas,
ciberdelincuentes ransomware revelaron dirigidas a infraestructuras críticas en Estados Unidos.
un estimado de 921 y puede leer sobre nuestra tecnología que
controles insuficientes China también ha incrementado sus actividades
ataques cada segundo, y 600 utilizados por identifica y bloquea miles de millones de
sobre el acceso de espionaje en el sudeste asiático y en otros
un aumento del 74 % actores de estado intentos de phishing, robos de identidad y otras
a privilegios y el lugares del sur del mundo, tratando de contrarrestar
en solo un año. nación. la influencia de Estados Unidos y de robar datos amenazas para nuestros clientes.
movimiento lateral.
e información críticos.
Amenazas Operaciones
Introducción El estado de la para los Dispositivos e de influencia Resiliencia Equipos
03 Informe de defensa digital de Microsoft 2022 al informe
al informe ciberdelincuencia estados nación e infraestructura
infraestructura cibernética cibernética colaboradores
Introducción de Tom Burt El estado de la ciberdelincuencia Amenazas para los estados nación
Continuación Los ciberdelincuentes siguen actuando como Los actores de estado nación lanzan ciberataques
sofisticadas empresas con ánimo de lucro. cada vez más sofisticados, diseñados para evadir
También utilizamos medios legales y técnicos para
Los atacantes se están adaptando y encontrando la detección y promover sus prioridades estratégicas.
incautar y cerrar la infraestructura utilizada por los
nuevas formas de implementar sus técnicas, La llegada de la implementación de armas cibernéticas
ciberdelincuentes y los actores de estado nación,
aumentando la complejidad de cómo y dónde
y notificar a los clientes cuando están siendo en la guerra híbrida de Ucrania es el inicio de una
alojan la infraestructura de operación de las
amenazados o atacados por un actor de estado nación. nueva era de conflictos. Rusia también ha apoyado
campañas. Al mismo tiempo, los ciberdelincuentes
Trabajamos para desarrollar funciones y servicios cada su guerra con operaciones de influencia informativa,
son cada vez más frugales. Para reducir sus gastos
vez más eficaces que utilizan la tecnología de IA/ML utilizando la propaganda para influir en las
generales y aumentar la apariencia de legitimidad,
para identificar y bloquear las ciberamenazas, y los opiniones de Rusia, Ucrania y el resto del mundo.
los atacantes están comprometiendo las redes
profesionales de la seguridad se defienden e identifican Fuera de Ucrania, los actores de estado nación han
y los dispositivos de las empresas para hospedar
las intrusiones cibernéticas con mayor rapidez y eficacia.
campañas de suplantación de identidad (phishing), aumentado su actividad y han comenzado a utilizar
Y lo que es más importante, a lo largo del MDDR malware o incluso utilizar su potencia de cálculo para los avances en la automatización, la infraestructura
ofrecemos nuestros mejores consejos sobre las minar criptomonedas. en la nube y las tecnologías de acceso remoto
medidas que pueden tomar los individuos, las para atacar un conjunto más amplio de objetivos.
organizaciones y las empresas para defenderse de Más información en la página 6 Las cadenas de suministro de TI corporativas
estas crecientes amenazas digitales. Adoptar buenas
que permiten el acceso a los objetivos finales
prácticas de ciberhigiene es la mejor defensa y puede
reducir considerablemente el riesgo de ciberataques.
fueron atacadas con frecuencia. La higiene de la Dispositivos e infraestructura
ciberseguridad se volvió aún más crítica cuando los
La pandemia, unida a la rápida adopción
actores explotaron rápidamente las vulnerabilidades
de dispositivos de todo tipo conectados
sin revisiones, utilizaron técnicas sofisticadas y de a Internet como componente de la aceleración
“La llegada de
fuerza bruta para robar credenciales y ofuscaron de la transformación digital, ha aumentado
sus operaciones utilizando software open source de manera considerable la superficie de ataque
la implementación
o legítimo. Además, Irán se une a Rusia en el uso de nuestro mundo digital. Como resultado, los
de ciberarmas destructivas, incluido el ransomware, ciberdelincuentes y los estados nación se están
de armas cibernéticas
como elemento básico de sus ataques. aprovechando rápidamente. Mientras que la
seguridad del hardware y el software de TI se ha
Estos acontecimientos exigen la adopción urgente
en la guerra híbrida
reforzado en los últimos años, la seguridad de los
de un marco global coherente que dé prioridad
dispositivos de IoT y OT no ha seguido el ritmo.
a los derechos humanos y proteja a las personas
de Ucrania es el
Los actores de amenaza están explotando estos
del comportamiento imprudente del estado
dispositivos para establecer el acceso en las
en línea. Todas las naciones deben trabajar juntas
inicio de una nueva
redes y permitir el movimiento lateral, para
para aplicar las normas y reglas para una conducta
establecer un punto de apoyo en una cadena
era de conflictos”.
de estado responsable. de suministro, o para interrumpir las operaciones
Más información en la página 30 de OT de la organización objetivo.
43 billones
cómo estas operaciones se han utilizado como parte de identidad
de la guerra híbrida de Rusia en Ucrania, pero también Resiliencia cibernética bloqueadas
hemos visto cómo Rusia y otras naciones, incluidas
La seguridad es un factor clave del éxito tecnológico. de señales sintetizadas a diario, utilizando
China e Irán, implementan cada vez más operaciones
La innovación y la mejora de la productividad sofisticados análisis de datos y algoritmos
de propaganda impulsadas por las redes sociales para
solo pueden conseguirse al introducir medidas de IA para comprender y proteger contra las
ampliar su influencia global en una serie de temas.
de seguridad que hagan a las organizaciones lo más amenazas digitales y la ciberactividad delictiva.
Más información en la página 71 resilientes posible contra los ataques modernos.
Más de 8500
La pandemia nos ha desafiado en Microsoft a dar
un giro a nuestras prácticas y tecnologías de seguridad
para proteger a nuestros empleados dondequiera
2,5 mil
que trabajen. El año pasado, los actores de amenaza
continuaron aprovechando las vulnerabilidades
ingenieros, investigadores, científicos de datos,
millones
expertos en ciberseguridad, cazadores de amenazas, de señales de puntos
expuestas durante la pandemia y el cambio a un
analistas geopolíticos, investigadores y personal de conexión analizados
entorno de trabajo híbrido. Desde entonces, nuestro
de primera línea de 77 países. a diario
principal desafío ha sido administrar la prevalencia
y la complejidad de diversos métodos de ataque y el
aumento de la actividad de los estados nación. En este
capítulo, detallamos los desafíos a los que nos hemos
enfrentado y las defensas que hemos movilizado
en respuesta con nuestros más de 15 000 socios.
Más de 15 000
socios de nuestro ecosistema de seguridad que Del 1 de julio
aumentan la resiliencia cibernética de nuestros clientes. de 2021 al 30 de junio de 2022
Más información en la página 86
Amenazas Operaciones
Introducción El estado de la para los Dispositivos e de influencia Resiliencia Equipos
05 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación e infraestructura
infraestructura cibernética cibernética colaboradores
digital de Microsoft
y a través de estrechas colaboraciones con otros el ecosistema más amplio, iluminando tanto los nuevos
miembros de la industria privada, el gobierno ciberataques como las tendencias en evolución de las amenazas
de este año.
y la sociedad civil, tiene la responsabilidad de históricamente persistentes.
proteger los sistemas digitales que sustentan
Esperamos que
el tejido social de nuestra sociedad y promover 2
Empoderar a nuestros clientes y socios para mejorar su resiliencia
entornos informáticos seguros para todas las cibernética y responder a estas amenazas.
le proporcione una
personas, estén donde estén. Esta responsabilidad
es la razón por la que hemos publicado el MDDR
visión y unas
cada año desde 2020. El informe es la culminación
de los amplios datos y la exhaustiva investigación
recomendaciones
de Microsoft. Comparte nuestra visión única sobre
cómo está evolucionando el panorama de las
amenazas digitales y las acciones cruciales que
se pueden tomar hoy para mejorar la seguridad valiosas para
del ecosistema.
ayudarnos a defender
colectivamente el
Esperamos infundir un sentido de urgencia, para que
los lectores tomen medidas inmediatas basadas en
ecosistema digital.
los datos y las ideas que presentamos tanto aquí
como en nuestras numerosas publicaciones sobre
ciberseguridad a lo largo del año. Al considerar la
gravedad de la amenaza en el panorama digital,
y su traslación al mundo físico, es importante
Tom Burt
recordar que todos estamos facultados para tomar Vicepresidente corporativo,
medidas para protegernos a nosotros mismos, Seguridad y confianza del cliente
a nuestras organizaciones y a las empresas contra
las amenazas digitales.
Amenazas
Amenazas para
para Operaciones
Operaciones
Introducción El estado de la para los
para
los estados
los
estados Dispositivos
Dispositivos ee de influencia
influencia Resiliencia
Resiliencia Equipos
06 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados
nación nación
estados nación infraestructura cibernética
e infraestructura
infraestructura cibernética cibernética
cibernética colaboradores
colaboradores
ciberdelincuencia
Introducción 08
del correo electrónico
venden el acceso a las redes
organizaciones
4.3%
comprometidas a los
y más organizaciones La amenaza del
Understanding ransomware
the ransomware economy objetivo potenciales
comercial, incluido
afiliados de ransomware
como servicio, que ejecutan
60
power the ransomware operations, including the builders
con ataques dirigidos a gobiernos, that produce the ransomware payloads and payment portals encontrar la actividad Los afiliados a RaaS
20
fraud
A RaaS program (or syndicate) is an arrangement between cualquier debilidad de
se comprometen
an operator and an affiliate. The RaaS operator develops and
maintains the tools to power the ransomware operations, con éxito 9.3% seguridad que encuentren
en la red, por lo que los
Más información en la página 21
Conti LockBit BlackCat
Los ciberdelincuentes siguen actuando como including the builders that produce the ransomware
payloads and payment portals for communicating with
ataques varían
sofisticadas empresas con ánimo de lucro. victims. Many RaaS programs incorporate a suite of
1
La carga útil ransomware
Black extortion support offerings, including leak site hosting and son víctima de
Los atacantes se están adaptando y encontrando HIVE Matter
REvil integration into ransom notes, as well as decryption
un evento de
es la culminación de una
vez más frugales. Para reducir sus gastos generales y has unique characteristics, such as different ways of doing
data exfiltration.
aumentar la apariencia de legitimidad, los atacantes los actores de estado
están comprometiendo las redes y los dispositivos de Access brokers La defensaor gainmás eficaz contra
Access brokers sell network access to other cybercriminals,
access themselves via malware campaigns, brute nación, Microsoft se
las empresas para hospedar campañas de suplantación el ransomware
can range from incluye
large to small. Topla
force, or vulnerability exploitation. Access broker entities
innovadores y en nuestras
brokers on the dark web might have just 1–2 usable stolen
potencia de cálculo para minar criptomonedas. credentials for sale.
en la página 9 los revisiones de seguridad 2022
Organizations and individuals with weak cybersecurity asociaciones públicas
frecuentes y los stolen. principios
hygiene practices are at greater risk of having their network
credentials
Antes del ransomware Ransomware
y privadas.
Los atacantes amenazan cada de Confianza cero en toda
vez más con revelar datos sensibles para la arquitectura de la red.
fomentar el pago de rescates.
Introducción Los delitos cibernéticos A medida que las ciberdefensas mejoran y más
gobiernos y empresas adoptan un enfoque
En este capítulo, también examinamos el aumento
del hacktivismo, una perturbación provocada por
siguen aumentando, proactivo para la prevención, vemos que ciudadanos privados que realizan ciberataques para
p15
Ransomware y extorsión:
• También en mayo, un atentado provocó
retrasos y cancelaciones en los vuelos de una Modelo de objetivo y tasa de éxito del
una amenaza de nivel
de las mayores aerolíneas de la India, dejando
a cientos de pasajeros varados.4 ransomware operado por humanos
nacional El éxito de estos ataques y el alcance de Factores
sus repercusiones en el mundo real son el Baja barrera de entrada
resultado de la industrialización de la economía
Los ataques de ransomware suponen un de la ciberdelincuencia, que permite el acceso
peligro cada vez mayor para todas las a herramientas e infraestructuras y amplía las
personas, ya que las infraestructuras críticas, capacidades de los ciberdelincuentes al reducir
2500
Los agentes de acceso
las empresas de todos los tamaños y los la barrera de entrada de sus habilidades. venden el acceso a las redes
gobiernos estatales y locales son el objetivo En los últimos años, el ransomware ha pasado
organizaciones comprometidas a los
de los delincuentes que aprovechan un objetivo potenciales afiliados de ransomware
de un modelo en el que una única "banda" como servicio, que ejecutan
ecosistema de delincuencia cibernética desarrollaba y distribuía una carga útil de el ataque de ransomware
en crecimiento. ransomware al modelo de ransomware como
60
servicio (RaaS). RaaS permite a un grupo encontrar la actividad Los afiliados a RaaS
administrar el desarrollo de la carga útil del priorizan los objetivos
En los últimos dos años, los incidentes de asociada a los atacantes de
según el impacto previsto
ransomware y proporcionar servicios de pago ransomware conocidos
ransomware de alto perfil (como los que afectan o el beneficio percibido
y extorsión a través de la filtración de datos
a las infraestructuras críticas, la salud y los
a otros ciberdelincuentes, los que realmente Los atacantes aprovechan
20
proveedores de servicios de TI) han atraído una
lanzan los ataques de ransomware, denominados cualquier debilidad de
considerable atención pública. A medida que los se comprometen
"afiliados" para obtener una parte de los seguridad que encuentren
ataques de ransomware se han vuelto más audaces con éxito
beneficios. Esta franquicia de la economía en la red, por lo que los
en su alcance, sus efectos se han vuelto más ataques varían
de la ciberdelincuencia ha expandido el
amplios. Los siguientes son ejemplos de ataques
grupo de atacantes. La industrialización
1
que ya hemos visto en 2022: La carga útil ransomware
de las herramientas de los ciberdelincuentes son víctima de
• En febrero, un ataque a dos empresas afectó es la culminación de una
ha facilitado a los atacantes la realización un evento de cadena de actividades
a los sistemas de procesamiento de pagos de intrusiones, la filtración de datos ransomware exitoso malintencionadas
de cientos de gasolineras del norte de Alemania.1 y la implementación de ransomware.
• En marzo, un ataque contra el servicio postal griego ransomware operado por humanos5 (término
interrumpió temporalmente la entrega del correo acuñado por los investigadores de Microsoft para
y afectó al procesamiento de las transacciones describir las amenazas impulsadas por personas que
financieras.2 toman decisiones en cada etapa de los ataques en
• A fines de mayo, un ataque de ransomware contra función de lo que descubren en la red de su objetivo
organismos gubernamentales de Costa Rica obligó y delimitan la amenaza de los ataques de ransomware
a declarar una emergencia nacional tras el cierre básicos) sigue siendo una amenaza importante para Modelo basado en datos de Microsoft Defender para puntos de conexión (EDR) (enero-junio de 2022).
de hospitales y la interrupción de la recaudación las organizaciones.
de aduanas e impuestos.3
Amenazas Operaciones
Introducción El estado de la para los
para los Dispositivos de influencia Resiliencia Equipos
10 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Ransomware y extorsión:
La ampliación de las relaciones entre los
ciberdelincuentes especializados ha aumentado
nacional
del ecosistema de ciberdelincuencia en actores
conectados con diferentes técnicas, objetivos
y conjuntos de habilidades que se apoyan
Continuación mutuamente en el acceso inicial a los objetivos,
Los ataques de ransomware se han vuelto aún más los servicios de pago y las herramientas o sitios
impactantes a medida que la adopción de una de descifrado o publicación.
estrategia de monetización de doble extorsión Los operadores de ransomware pueden ahora
se ha convertido en una práctica habitual. Se trata comprar el acceso a organizaciones o redes
de filtrar los datos de los dispositivos comprometidos, gubernamentales en línea u obtener credenciales
cifrar los datos de los dispositivos y luego publicar y acceso a través de relaciones interpersonales
o amenazar con publicar los datos robados para con intermediarios cuyo principal objetivo
presionar a las víctimas para que paguen un rescate. es únicamente monetizar el acceso obtenido.
Aunque la mayoría de los atacantes A continuación, los operadores utilizan el acceso
de ransomware implementan el ransomware adquirido para implementar una carga útil de
de forma oportunista en cualquier red a la ransomware comprada a través de mercados o foros
que consiguen acceder, algunos compran el de la web oscura. En muchos casos, las negociaciones
acceso a otros ciberdelincuentes, aprovechando con las víctimas las lleva a cabo el equipo de RaaS,
las conexiones entre los agentes de acceso no los propios operadores. Estas transacciones
y los operadores de ransomware. delictivas son fluidas y los participantes tienen pocas
posibilidades de ser detenidos y acusados debido
Nuestra amplitud única de inteligencia
al anonimato de la web oscura y a la dificultad
de aplicar las leyes a nivel transnacional.
La actividad de las
de señales se recopila a partir de varias
fuentes (identidad, correo electrónico,
Un esfuerzo sostenible y exitoso contra amenazas digitales
está en su punto
esta amenaza requerirá una estrategia de
puntos de conexión y nube) y entrega todo el gobierno que se ejecute en estrecha
una visión de la creciente economía
más alto y el nivel
colaboración con el sector privado.
del ransomware, que se completa con
un sistema de afiliación que incluye de sofisticación
aumenta cada día.
herramientas diseñadas para atacantes
con menos conocimientos técnicos.
Amenazas Operaciones
Introducción El estado de la para los
para los Dispositivos de influencia Resiliencia Equipos
11 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Ejemplo de un afiliado (DEV-0237) que cambia rápidamente entre los programas de RaaS
Ryuk 2020–Jun 2021
Tras el cierre de un programa RaaS como Conti, el ransomware afiliado se desplaza a otro (Hive) de toda una organización se basa en el
acceso a una cuenta altamente privilegiada.
casi inmediatamente.
Amenazas
Amenazas para
para Operaciones
Operaciones
Introducción El estado de la para los
para
los estados
los
estados Dispositivos
Dispositivos ee de influencia
influencia Resiliencia
Resiliencia Equipos
13 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados
nación nación
estados nación infraestructura cibernética
e infraestructura
infraestructura cibernética cibernética
cibernética colaboradores
colaboradores
de ransomware operados clasificarse en la fase previa al ransomware y la fase de requiere un cambio en la mentalidad de A los atacantes de ransomware los motivan las
por humanos
implementación del mismo. Durante la fase previa al la organización para enfocarse en la protección ganancias fáciles, por lo que aumentar su costo
ransomware, los atacantes se preparan para infiltrarse integral necesaria para frenar y detener a los atacantes a través del fortalecimiento de la seguridad
en la red conociendo la tipología y la infraestructura antes de que puedan pasar de la fase previa al es clave para interrumpir la economía
A lo largo del año pasado, los expertos de seguridad de la organización. ransomware a la fase de implementación del mismo. de la ciberdelincuencia.
en ransomware de Microsoft llevaron Desarrolle protección de las credenciales.
Las empresas deben aplicar los procedimientos 1
a cabo investigaciones en profundidad de Detenga a los atacantes antes ¡Implementación! recomendados de seguridad de forma coherente Más que el malware, los atacantes necesitan
más de 100 incidentes de ransomware de de que lleguen a la fase de y dinámica en sus redes, con el objetivo de mitigar credenciales para tener éxito en sus
origen humano para rastrear las técnicas implementación de ransomware las clases de ataques. Debido a la toma de decisiones operaciones. El éxito de la infección por
de los atacantes y comprender cómo humanas, estos ataques de ransomware pueden ransomware de toda una organización
generar varias alertas de productos de seguridad, depende del acceso a una cuenta altamente
proteger mejor a nuestros clientes. Antes del ransomware Ransomware
privilegiada, como la de un administrador
aparentemente dispares, que pueden perderse
Es importante tener en cuenta que el análisis que con facilidad o no responder a tiempo. La fatiga de dominio, o de la capacidad de editar
compartimos aquí solo es posible para los dispositivos Esta fase puede durar desde unos Esta fase de las alertas es real, y los centros de operaciones una directiva de grupo.
integrados y administrados. Los dispositivos no integrados días hasta varias semanas o meses, puede durar de seguridad (SOC) pueden facilitarles la vida 2 Realice auditorías de exposición
ni administrados representan la parte menos segura de aunque se ha ido acortando en los solo minutos. observando las tendencias de sus alertas de credenciales.
los activos de hardware de una organización. últimos dos años. o agrupando las alertas en incidentes para que Dé prioridad a la implementación
3
puedan ver el panorama general. Los SOC pueden de actualizaciones de Active Directory.
entonces mitigar las alertas utilizando capacidades
Los atacantes se preparan para Los atacantes
Técnicas de fase de ransomware tienen como
de endurecimiento como las reglas de reducción de 4 Dé prioridad al endurecimiento de la nube.
infiltrarse en la red aprendiendo
más frecuentes: todo lo posible sobre la topología objetivo cifrar la
la superficie de ataque. El endurecimiento contra
75 %
las amenazas más comunes no solo puede reducir 5 Reduzca la superficie de ataque.
y la infraestructura de seguridad. mayor cantidad
el volumen de alertas, sino también detener a muchos
Los atacantes también pueden de datos posible. 6 Endurezca los activos orientados a Internet
atacantes antes de que consigan acceder a las redes.
filtrar los datos en esta fase. y comprenda su perímetro.
Usa herramientas de administración.
Reduzca la fatiga de las alertas del
Las organizaciones deben mantener 7
75 %
SOC endureciendo su red para reducir
continuamente altos niveles de el volumen y preservar el ancho de banda
seguridad e higiene de la red para los incidentes de alta prioridad.
Utiliza una cuenta de usuario elevada adquirida
y comprometida para propagar cargas
para protegerse de los ataques Vínculos a más información
malintencionadas a través del protocolo SMB. de ransomware de origen humano. RaaS: comprensión de la economía por
Nuestras investigaciones descubrieron que la mayoría
99 %
encargo de la ciberdelincuencia y cómo
de los actores que están detrás de los ataques de
protegerse | Blog de seguridad de Microsoft
ransomware operados por humanos se aprovechan
de debilidades de seguridad similares y comparten Ataques de ransomware operados por
Intenta manipular los productos de seguridad patrones y técnicas de ataque comunes. humanos: un desastre evitable | Blog
y de copia de seguridad descubiertos mediante de seguridad de Microsoft
herramientas incorporadas al sistema operativo.
Amenazas Operaciones
Introducción El estado de la para los
para los Dispositivos de influencia Resiliencia Equipos
14 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Información sobre Incidentes de ransomware y compromisos Resumen de los hallazgos más comunes en los compromisos de respuesta al ransomware
el ransomware de los
de recuperación por parte de la industria
93 %
responsables de la
TI 4 % Manufactura 28 %
87 % 86 %
primera línea de respuesta Salud 20 %
74 % 74 %
Las organizaciones de todo el mundo
experimentaron un crecimiento 65 %
constante de los ataques de ransomware Energía 8 % 62 %
operados por humanos a partir de 2019.
Sin embargo, las operaciones de las
fuerzas de seguridad y los acontecimientos Finanzas 8 %
Consumo minorista 16 %
geopolíticos del último año tuvieron
un impacto significativo en las
organizaciones de ciberdelincuentes. Gobierno 8 % Educación 8 %
Operaciones de seguridad de
baja madurez
Prácticas de seguridad
de aplicaciones insuficientes
de la información
sados en los compromisos de ransomware durante el
hora de lanzar ataques generalizados contra un
año pasado.
mayor número de objetivos.
En las siguientes páginas se profundiza en los
factores que contribuyen más comúnmente
a una débil protección contra el ransomware,
agrupados en tres categorías de resultados:
93 %
1. Controles de identidad débiles
2. Operaciones de seguridad ineficaces
de las investigaciones 3. Protección de datos limitada
de Microsoft durante los
compromisos de recuperación
de ransomware revelaron controles El hallazgo más común entre los compromisos de respuesta a incidentes de ransomware fue la insuficiencia
insuficientes de acceso a privilegios de controles de acceso a privilegios y movimiento lateral.
y movimiento lateral.
Amenazas
Amenazas para
para Operaciones
Operaciones
Introducción El estado de la para los
para
los estados
los
estados Dispositivos
Dispositivos ee de influencia
influencia Resiliencia
Resiliencia Equipos
15 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados
nación nación
estados nación infraestructura cibernética
e infraestructura
infraestructura cibernética cibernética
cibernética colaboradores
colaboradores
responsables de la
y movimiento lateral tradicionalmente asociados a los ataques dirigidos. Los ataques exitosos suelen ser
el resultado de campañas de larga duración que implican el compromiso de los sistemas de identidad,
1 Controles de identidad
primera línea de respuesta
como Active Directory (AD), que permiten a los operadores humanos robar credenciales, acceder
de seguridad ineficaces no
solo presentan una ventana de 88 % de los compromisos, la MFA no se implementó
oportunidad para los atacantes, sino de los clientes afectados no emplearon los para las cuentas sensibles y de alto privilegio,
procedimientos recomendados de seguridad dejando una brecha de seguridad para que los
que impactan considerablemente de AD y Azure AD. Esto se ha convertido en un atacantes comprometan las credenciales y pasen
en el tiempo de recuperación vector de ataque común, ya que los atacantes se a otros ataques usando credenciales legítimas.
84 %
aprovechan de las configuraciones erróneas y de las
3 Finalmente, todo se reduce a los posturas de seguridad más débiles en los sistemas
60 %
Continuación Aplicación de revisión: a las operaciones comerciales. Las lagunas más
68 %
comunes que se encuentran son:
44 %
de eventos e información de seguridad (SIEM),
de las organizaciones afectadas no contaban con un lo que dio lugar a silos de supervisión, una
proceso eficaz de administración de vulnerabilidades capacidad limitada para detectar amenazas de
y revisiones, y la gran dependencia de los procesos extremo a extremo y operaciones de seguridad
manuales frente a la aplicación de revisiones ineficaces. La automatización sigue siendo una de las organizaciones no tenían copias
automatizadas provocaba aperturas críticas. brecha clave en las herramientas y procesos del SOC, de seguridad inmutables de los sistemas
La manufactura y las infraestructuras críticas siguen lo que obliga al personal del SOC a pasar incontables afectados. Los datos también muestran que
luchando con el mantenimiento y la aplicación horas dando sentido a la telemetría de seguridad. los administradores no disponían de copias
84 %
de revisiones de los sistemas de tecnología de de seguridad ni de planes de recuperación para
operaciones (OT) heredados. activos críticos como el AD.
76 %
lo que lleva a una disminución de la eficacia de o la monetización.
92 %
la detección y la respuesta.
Una de las interpretaciones de esta observación Si bien es probable que las actividades de las fuerzas
El ransomware disminuyó es que los ciberdelincuentes se han alejado de las de seguridad reduzcan la frecuencia de los ataques Información práctica
en algunas regiones
áreas que se perciben como de mayor riesgo de en 2022, los actores de amenaza podrían desarrollar
1 Céntrese en estrategias de seguridad holísticas,
desencadenar el escrutinio de las fuerzas de seguridad nuevas estrategias para evitar ser descubiertos
ya que todas las familias de ransomware
y aumentó en otras en favor de objetivos más suaves. Dado que Microsoft
no observó una mejora sustancial en la seguridad
en el futuro. Además, la tensión entre Rusia
y Estados Unidos por la invasión rusa de Ucrania
se aprovechan de las mismas debilidades
de seguridad para afectar a una red.
Este año hemos observado un de las redes empresariales en todo el mundo para parece haber puesto fin a la incipiente cooperación
explicar la disminución de las llamadas de soporte rusa en la lucha mundial contra el ransomware. 2 Actualice y mantenga los fundamentos
descenso en el número total de casos
relacionadas con el ransomware, creemos que la causa Después de un breve período de incertidumbre tras de la seguridad para aumentar el nivel básico
de ransomware notificados a nuestros más probable es una combinación de la actividad de las detenciones de REvil, Estados Unidos y Rusia de protección de la defensa en profundidad
equipos de respuesta en Norteamérica las fuerzas de seguridad en 2021 y 2022 que aumentó dejaron de cooperar en. la persecución de los y modernizar las operaciones de seguridad.
y Europa en comparación con el año el costo de la actividad delictiva, junto con algunos actores de ransomware, lo que significa que los La migración a la nube permite detectar las
anterior. Al mismo tiempo, aumentaron acontecimientos geopolíticos de 2022. ciberdelincuentes podrían volver a ver a Rusia como amenazas con mayor rapidez y responder
los casos notificados en América Latina. un refugio seguro. más rápido.
Una de las operaciones de RaaS más frecuentes
pertenece a un grupo delictivo de habla rusa conocido De cara al futuro, prevemos que el ritmo de las Vínculos a más información
como REvil (también conocido como Sodinokibi) que actividades de ransomware dependerá del resultado
ha estado activo desde 2019. En octubre de 2021, de algunos temas clave: Proteja su organización del ransomware |
los servidores de REvil se desconectaron en el marco Seguridad de Microsoft
1. ¿Actuarán los gobiernos para impedir que los
de la operación policial internacional GoldDust.7 En 7 Siete maneras de reforzar su entorno contra
delincuentes que se dedican al ransomware operen
enero de 2022, Rusia detuvo a 14 presuntos miembros el peligro | Blog de seguridad de Microsoft
dentro de sus fronteras, o tratarán de desbaratar
de REvil y allanó 25 locales relacionados con ellos.8
a los actores que operan desde suelo extranjero?
Esta fue la primera vez que Rusia actuó contra los Mejorar las defensas basadas
operadores de ransomware en su territorio. 2. ¿Cambiarán los grupos de ransomware sus tácticas en la IA para desbaratar el ransomware
para eliminar la necesidad del ransomware operado por humanos | Equipo de
y recurrir a ataques de tipo extorsivo? investigación de Microsoft 365 Defender
3. ¿Podrán las organizaciones modernizar
Security Insider: Explore las últimas
Si bien es probable que las y transformar sus operaciones de TI más
rápido de lo que los delincuentes pueden
actualizaciones e información sobre
de seguridad reduzcan
4. ¿Los avances en el seguimiento y rastreo de los
2 veces
pagos de rescates obligarán a los receptores de
la frecuencia de los ataques los mismos a cambiar de táctica y de negociación?
La ciberdelincuencia
Los ciberdelincuentes colaboran ahora a través de zonas en profesionales o departamentos que procesan de CaaS configuran el RDP, el SSH y los cPanels
horarias e idiomas para obtener resultados específicos. la facturación, como los directores financieros o con herramientas y scripts apropiados para facilitar
como servicio
Por ejemplo, un sitio web de CaaS administrado por "cuentas por cobrar". Del mismo modo, las industrias varios tipos de ciberataques.
una persona en Asia mantiene operaciones en Europa, que participan en la contratación pública suelen
y crea cuentas malintencionadas en África. La naturaleza ser el objetivo debido a la cantidad de información
multijurisdiccional de estas operaciones presenta que se pone a disposición a través del proceso Los servicios de creación de dominios
La ciberdelincuencia como servicio (CaaS)
complejos desafíos legales y de aplicación de la ley. de licitación pública. homógrafos exigen cada vez más el pago
es una amenaza creciente y en evolución en criptomonedas.
En respuesta, la DCU centra sus esfuerzos en desactivar
para los clientes de todo el mundo. la infraestructura criminal malintencionada utilizada Las investigaciones de la DCU sobre el CaaS
La Unidad de delitos digitales (DCU) para facilitar los ataques de CaaS y en colaborar con sacaron a la luz una serie de tendencias clave: Los dominios homoglifos suplantan nombres de
de Microsoft observó un crecimiento las fuerzas del orden de todo el mundo para que los dominio legítimos utilizando caracteres idénticos
continuo del ecosistema CaaS con delincuentes rindan cuentas. o casi idénticos en apariencia a otro carácter.
El número y la sofisticación de los servicios van El objetivo es engañar al espectador haciéndole
un número creciente de servicios en Los ciberdelincuentes usan cada vez más los en aumento. creer que el dominio homogéneo es el auténtico.
línea que facilitan varios ciberdelitos, análisis para maximizar el alcance, el ámbito y las Estos dominios son una amenaza omnipresente
incluyendo BEC y ransomware operado ganancias. Al igual que las empresas legítimas, Un ejemplo es la evolución de las shells web, que suelen y una gateway para una cantidad importante de
los sitios web de CaaS deben garantizar la validez consistir en servidores web comprometidos utilizados
por humanos. El phishing sigue siendo uno ciberdelitos. Los sitios de CaaS ahora venden nombres
de los productos y servicios para mantener una para automatizar los ataques de phishing. DCU observó de dominio homogéneos personalizados, lo que
de los métodos de ataque preferidos, ya reputación sólida. Por ejemplo, los sitios web que los revendedores de CaaS simplifican la carga de permite a los compradores solicitar nombres de
que los ciberdelincuentes pueden adquirir de CaaS automatizan habitualmente el acceso kits de phishing o malware a través de paneles web empresas y dominios específicos para hacerse pasar
un valor considerable si consiguen robar a las cuentas comprometidas para garantizar especializados. Los vendedores de CaaS a menudo por ellos. Una vez recibido el pago, los comerciantes
y vender el acceso a las cuentas robadas. la validez de las credenciales comprometidas. intentan posteriormente vender servicios adicionales al de CaaS utilizan una herramienta generadora de
Los ciberdelincuentes suspenderán las ventas actor de amenaza a través del panel, como servicios de homoglifos para seleccionar el nombre de dominio
de cuentas específicas cuando se restablezcan mensajes de correo no deseado y listas de destinatarios y luego registrar el homoglifo malintencionado.
En respuesta a la expansión del mercado de CaaS, las contraseñas o se apliquen revisiones a las de correo no deseado especializadas basadas en El pago de este servicio se realiza casi exclusivamente
la DCU mejoró sus sistemas de escucha para detectar vulnerabilidades. Cada vez más, identificamos atributos definidos, como la ubicación geográfica en criptomoneda.
e identificar las ofertas de CaaS en todo el ecosistema sitios web de CaaS que ofrecen a los compradores o la profesión. En algunos casos, observamos que se
de Internet, la web profunda, los foros vetados,9 los una verificación a la carta como proceso de control utilizaba un único shell web en varias campañas de
sitios web dedicados, los foros de discusión en línea de calidad. Como resultado, los compradores pueden ataque, lo que sugiere que los actores de amenaza
y las plataformas de mensajería. sentirse seguros de que el sitio web de CaaS vende podrían mantener un acceso persistente al servidor
cuentas y contraseñas activas, a la vez que se reducen comprometido. También observamos un aumento
los posibles costos para el comerciante de CaaS si las de los servicios de anonimización disponibles como
2 750 000
credenciales robadas se corrigen antes de la venta. parte del ecosistema CaaS, así como ofertas de redes
La DCU también observó sitios web de CaaS privadas virtuales (VPN) y cuentas de servidores
que ofrecían a los compradores la opción de privados virtuales (VPS). En la mayoría de los casos, las
VPN/VPS ofrecidas se adquirieron inicialmente a través
adquirir cuentas comprometidas de ubicaciones registros de sitios web bloqueados
geográficas específicas, proveedores de servicios de tarjetas de crédito robadas. Los sitios web de CaaS con éxito por la DCU este año
en línea designados y personas, profesiones también ofrecían un mayor número de protocolos de para adelantarse a los actores
e industrias seleccionadas de forma específica. escritorio remoto (RDP), shell seguro (SSH) y cPanels delictivos que planificaban
Con frecuencia, las cuentas solicitadas se enfocan para utilizarlos como plataforma para orquestar utilizarlos para participar en la
ataques de ciberdelincuencia. Los comerciantes ciberdelincuencia mundial.
Amenazas Operaciones
Introducción El estado de la para los
para los Dispositivos de influencia Resiliencia Equipos
19 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
La ciberdelincuencia
más de 90 comprobaciones para tomar la huella digital
del dispositivo, incluyendo si se trata de una máquina PhaaS, los ciberdelincuentes ofrecen varios servicios
como servicio
virtual, recopilando detalles sobre el navegador dentro de una única suscripción. Por lo general, un
y el hardware que se utiliza, y más. Si todas las comprador solo necesita realizar tres acciones:
comprobaciones se superan, el tráfico se envía a una
Continuación página de aterrizaje utilizada para el phishing.
L os vendedores de CaaS ofrecen cada vez más Los servicios de ciberdelincuencia de extremo
credenciales comprometidas para su compra. a extremo están vendiendo suscripciones
a servicios administrados.
Las credenciales comprometidas permiten el acceso Attackers aim
no autorizado a las cuentas de los usuarios, incluyendo Normalmente, cada paso en la comisión de un delito to encrypt as
Seleccione una Proporcione una Pague al
1 2 3
el servicio de mensajería de correo electrónico, los en línea puede exponer a los actores de amenaza much data as
plantilla/diseño dirección de correo comerciante
recursos de intercambio de archivos corporativos si la seguridad operativa es deficiente. El riesgo de possible
de sitio de phishing electrónico para de PhaaS en
y OneDrive para la Empresa. Si las credenciales de exposición e identificación aumenta si los servicios de entre los cientos recibir credenciales criptomoneda.
administrador se ven comprometidas, los usuarios no se compran en varios sitios de CaaS. La DCU observó que se ofrecen. obtenidas
autorizados podrían acceder a archivos confidenciales, una tendencia preocupante en la web oscura, en la de las víctimas
recursos de Azure y cuentas de usuario de la empresa. que aumentan los servicios que ofrecen anonimizar el de phishing.
En muchos casos, las investigaciones de la DCU código del software y anonimizar el texto de los sitios
identificaron el uso no autorizado de la misma web para reducir su exposición. Los proveedores de
credencial en varios servidores como medio para servicios de suscripción a la ciberdelincuencia
automatizar la verificación de credenciales. Este de extremo a extremo administran todos los Una vez completados estos pasos, el comerciante de PhaaS crea servicios con tres o cuatro capas de
patrón sugiere que el usuario comprometido servicios y garantizan los resultados, lo que reduce redireccionamiento y recursos de hospedaje para dirigirse a usuarios específicos. Posteriormente, se lanza
podría ser víctima de varios ataques de phishing aún más los riesgos de exposición para la OCN la campaña y se recogen las credenciales de las víctimas, se verifican y se envían a la dirección de correo
o tener un malware en el dispositivo que permita suscriptora. La reducción del riesgo ha aumentado la electrónico proporcionada por el comprador. Por una prima, muchos comerciantes de PhaaS ofrecen hospedar
a los registradores de pulsaciones de teclas de la popularidad de estos servicios de extremo a extremo. sitios de phishing en la blockchain pública para que se pueda acceder a ellos desde cualquier navegador
red de robots (botnet) recopilar las credenciales. y las redirecciones puedan dirigir a los usuarios a un recurso en el libro mayor distribuido.
El phishing como servicio (PhaaS) es un ejemplo de
servicio de ciberdelincuencia de extremo a extremo.
Están surgiendo servicios y productos de PhaaS es una evolución de los servicios anteriores
de CaaS. Cada cliente de la suscripción DDoS recibe El trabajo de la DCU para desarrollar herramientas
CaaS con características mejoradas para evitar conocidos como servicios totalmente indetectables
un servicio cifrado para mejorar la seguridad operativa y técnicas que identifiquen y desbaraten a los
la detección. (FUD) y se ofrece por suscripción. Las condiciones
y un año de soporte 24/7. El servicio de suscripción ciberdelincuentes de CaaS es continuo. La evolución
típicas de PhaaS incluyen el mantenimiento de los
DDoS ofrece diferentes arquitecturas y métodos de los servicios de CaaS presenta importantes desafíos,
Un vendedor de CaaS ofrece kits de phishing con sitios web de phishing durante un mes.
de ataque, por lo que un comprador simplemente especialmente en lo que respecta a la alteración
capas crecientes de complejidad y características La DCU también identificó a un comerciante selecciona un recurso para atacar y el vendedor brinda
de anonimato diseñadas para eludir los sistemas de los pagos con criptomonedas.
de CaaS que ofrecía denegación de servicio acceso a una serie de dispositivos comprometidos en
de detección y prevención por tan solo USD 6 al día. distribuido (DDoS) en un modelo de su red de robots para llevar a cabo el ataque. El costo
El servicio ofrece una serie de redireccionamientos suscripción. Este modelo externaliza la creación de la suscripción a DDoS es de solo USD 500.
que realizan comprobaciones antes de permitir el y el mantenimiento de la red de robots (botnet)
tráfico a la siguiente capa o sitio. Uno de ellos ejecuta necesaria para llevar a cabo los ataques al comerciante
Amenazas Operaciones
Introducción El estado de la para los
para los Dispositivos de influencia Resiliencia Equipos
20 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
1 hr 42 m
amenaza sustancial para los usuarios siguen aumentando en complejidad. En respuesta fuera de Microsoft.
de todo el mundo porque se dirigen a las contramedidas, los atacantes se adaptan
indiscriminadamente a todas las bandejas a nuevas formas de implementar sus técnicas
de entrada. Entre las amenazas que nuestros El tiempo medio para que un y aumentar la complejidad de cómo y dónde
investigadores rastrean y contra las que atacante comience a moverse alojan la infraestructura de operación de las
protegen, el volumen de los ataques de lateralmente dentro de su red campañas. Esto significa que las organizaciones
phishing es órdenes de magnitud mayor que corporativa una vez que un deben volver a evaluar periódicamente su estrategia
dispositivo está comprometido.17 de implementación de soluciones de seguridad para
todas las demás amenazas.
bloquear los correos electrónicos malintencionados
y reforzar el control de acceso a las cuentas
Utilizando los datos de Defender for Office, vemos individuales de los usuarios.
el correo electrónico malintencionado y la actividad
de identidad comprometida. Azure Active Directory Correos electrónicos de phishing detectados
Identity Protection brinda aún más información a través
de las alertas de eventos de identidad comprometida. 900
Las credenciales de Microsoft 365 siguen siendo
Utilizando Defender for Cloud Apps, vemos eventos 800
uno de los tipos de cuenta más buscados por los
de acceso a datos de identidad comprometidos,
atacantes. Una vez comprometidas las credenciales 700
y Microsoft 365 Defender (M365D) ofrece correlación
de inicio de sesión, los atacantes pueden entrar 600
entre productos. La métrica del movimiento lateral
en los sistemas informáticos vinculados a la empresa
proviene de Defender para punto de conexión (alertas 500
Millones
para facilitar la infección con malware y ransomware,
y eventos de comportamiento de ataque), Defender for 400
robar datos e información confidencial de la empresa
Office (correo electrónico malintencionado) y, de nuevo,
accediendo a los archivos de SharePoint, y continuar 300
M365D para la correlación entre productos).
con la propagación del phishing enviando más correos 200
electrónicos malintencionados utilizando Outlook,
100
entre otras acciones.
0
Además de las campañas con objetivos más
Jul 2021
Ago 2021
Sep 2021
Oct 2021
Nov 2021
Dic 2021
Ene 2022
Feb 2022
Mar 2022
Abr 2022
May 2022
Jun 2022
amplios, el phishing de credenciales, donaciones
e información personal, los atacantes se dirigen
710 millones
a empresas selectivas para obtener mayores pagos.
Los ataques de phishing por correo electrónico El número de detecciones de phishing por semana sigue aumentando. El descenso en diciembre-enero es una bajada estacional
contra empresas para obtener beneficios económicos esperada, que también se informó en el informe del año pasado. Fuente: señales de Exchange Online Protection
se denominan colectivamente ataques BEC.
correos electrónicos de phishing
bloqueados por semana.
Amenazas Operaciones
Introducción El estado de la para los
para los Dispositivos de influencia Resiliencia Equipos
22 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
La evolución del
Las cuentas de Microsoft siguen siendo un objetivo
Correos electrónicos de phishing con direcciones de billetera de Ethereum
principal para los operadores de phishing, como
panorama de las
600 demuestran las numerosas páginas de aterrizaje de
phishing que suplantan la página de inicio de sesión
Miles
300 Esta URL apunta a una página web malintencionada
Seguimos observando un aumento constante año tras desarrollada para cosechar credenciales, pero un
año de los correos electrónicos de phishing. El cambio 200 parámetro en la URL contendrá la dirección de correo
hacia el trabajo a distancia en 2020 y 2021 vio un electrónico del destinatario específico. Una vez que
aumento sustancial de los ataques de phishing con el 100 el objetivo navega a la página, el kit de phishing
objetivo de capitalizar el entorno de trabajo cambiante. rellena previamente los datos de inicio de sesión
Los operadores de phishing se apresuran a adoptar 0
del usuario y un logotipo corporativo personalizado
Jul 2021
Ago 2021
Sep 2021
Oct 2021
Nov 2021
Dic 2021
Ene 2022
Feb 2022
Mar 2022
Abr 2022
May 2022
Jun 2022
nuevas plantillas de correo electrónico utilizando para el destinatario del correo electrónico, reflejando
señuelos alineados con los principales acontecimientos la apariencia de la página de inicio de sesión de
mundiales, como la pandemia de COVID-19, y temas Microsoft 365 personalizada de la empresa objetivo.
vinculados a las herramientas de colaboración y
productividad, como Google Drive o el intercambio de El total de correos electrónicos detectados como phishing que contenían direcciones de billeteras de Ethereum
archivos de OneDrive. Aunque los temas de COVID-19 aumentó al comienzo del conflicto entre Ucrania y Rusia y disminuyó tras el impulso inicial.
Página de phishing que suplanta un inicio
han disminuido, la guerra en Ucrania se convirtió en de sesión de Microsoft con contenido dinámico
un nuevo señuelo a partir de principios de marzo de Más que nunca, los suplantadores de identidad Las grandes operaciones de phishing tienden
2022. Nuestros investigadores observaron un aumento se apoyan en la infraestructura legítima para operar, a utilizar servicios en la nube y máquinas virtuales
asombroso de correos electrónicos que suplantan a lo que impulsa un aumento de las campañas de (VM) en la nube para hacer operativos los ataques
organizaciones legítimas y que solicitan donaciones de phishing dirigidas a comprometer varios aspectos a gran escala. Los atacantes pueden automatizar por
criptomonedas en Bitcoin y Ethereum, supuestamente de una operación para no tener que comprar, alojar completo el proceso de implementación y entrega
para apoyar a los ciudadanos ucranianos. u operar la suya propia. Por ejemplo, los correos de mensajes de correo electrónico desde las máquinas
Solo unos días después del inicio de la guerra en electrónicos malintencionados pueden provenir de virtuales utilizando los relés de correo electrónico
Ucrania, a fines de febrero de 2022, el número de cuentas de remitente comprometidas. Los atacantes SMTP o la infraestructura de correo electrónico
correos electrónicos de phishing detectados que se benefician del uso de estas direcciones de correo en la nube para beneficiarse de las altas tasas de
contenían direcciones de Ethereum encontradas entre electrónico, que tienen una mayor puntuación entrega y la reputación positiva de estos servicios
los clientes empresariales aumentó drásticamente. de reputación y se consideran más confiables legítimos. Si se permite el envío de correo electrónico
El total de encuentros alcanzó su punto máximo en que las cuentas y dominios de nueva creación. malintencionado a través de estos servicios en la nube,
la primera semana de marzo, cuando medio millón de En algunas campañas de phishing más avanzadas, los defensores deben confiar en fuertes capacidades
correos electrónicos de phishing contenían una dirección observamos que los atacantes prefieren enviar y de filtrado de correo electrónico para bloquear
de la billetera de Ethereum. Antes del inicio de la guerra, suplantar desde dominios que tienen DMARC19 la entrada de correos electrónicos en su entorno.
el número de direcciones de billeteras de Ethereum en incorrectamente configurado con una directiva de
otros correos electrónicos detectados como phishing era "no acción", abriendo la puerta a la suplantación
significativamente menor, con una media de unos pocos del correo electrónico.
miles de correos electrónicos al día.
Amenazas
Amenazas para
para Operaciones
Operaciones
Introducción El estado de la para los
para
los estados
los
estados Dispositivos
Dispositivos ee de influencia
influencia Resiliencia
Resiliencia Equipos
23 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados
nación nación
estados nación infraestructura cibernética
e infraestructura
infraestructura cibernética cibernética
cibernética colaboradores
colaboradores
Tendencias de BEC
Enfoque en el compromiso Como punto de entrada, los atacantes
Información práctica
Defensa contra la suplantación de identidad
de correo electrónico empresarial de BEC normalmente intentan iniciar una
Para reducir la exposición de su organización al phishing, se recomienda a los administradores
conversación con las víctimas potenciales para
de TI que apliquen las siguientes directivas y funciones:
Los ciberdelincuentes están desarrollando establecer una relación. Al hacerse pasar por
esquemas y técnicas cada vez más un colega o un conocido de negocios, el atacante
1 Exigir el uso de MFA en todas las cuentas para 6 Habilitar las funciones de protección contra
complejas para vencer la configuración conduce gradualmente la conversación en dirección
limitar el acceso no autorizado. la suplantación de identidad y la falsificación
de seguridad y dirigirse a individuos, a una transferencia monetaria. El correo electrónico
en toda su organización.
de introducción, que rastreamos como señuelo 2 Habilitar las funciones de acceso condicional
empresas y organizaciones. En respuesta,
de BEC, representa cerca del 80 % de los correos para las cuentas con grandes privilegios 7 Configurar las directivas de acción
estamos invirtiendo importantes recursos electrónicos de BEC detectados. Otras tendencias a fin de bloquear el acceso desde países, de DomainKeys Identified Mail (DKIM)
para mejorar aún más nuestro programa identificadas por los investigadores de seguridad regiones e IP que no suelen generar tráfico y Domain-based Message Authentication
de aplicación de la ley de la BEC. de Microsoft en el último año son: Reporting & Conformance (DMARC) para
en su organización.
• Las técnicas más utilizadas en los ataques evitar la entrega de mensajes de correo
3 Considerar la posibilidad de utilizar claves electrónico no autenticados que podrían estar
La BEC es el ciberdelito financiero más costoso, con BEC observados en 2022 fueron la suplantación de seguridad físicas para los ejecutivos, los
una estimación de USD 2400 millones en pérdidas de identidad21 y la suplantación.22 suplantando a remitentes de buena reputación.
empleados que participan en actividades
ajustadas en 2021, lo que representa más del 59 %
• El subtipo de BEC que provocó el mayor daño de pago o de compra, y otras cuentas 8 Auditar las reglas de permiso creadas
de las cinco principales pérdidas por delitos en
financiero a las víctimas fue el fraude de facturas con privilegiaos. por el inquilino y el usuario y eliminar
Internet a nivel mundial.20 Para entender el alcance
(basado en el volumen y los importes en dólares las excepciones basadas en el dominio
del problema y la mejor manera de proteger a los 4 Imponer el uso de exploradores que admitan
solicitados vistos en nuestras investigaciones de y la IP. Estas reglas a menudo tienen
usuarios contra los BEC, los investigadores de servicios como Microsoft SmartScreen para
campañas BEC). prioridad y pueden permitir que los correos
seguridad de Microsoft han estado rastreando los analizar las URL en busca de comportamientos
• El robo de información empresarial, como los electrónicos malintencionados conocidos
temas más comunes utilizados en los ataques. sospechosos y bloquear el acceso a sitios web pasen por el filtrado de correo electrónico.
informes de cuentas por pagar y los contactos
malintencionados conocidos.23
Temas de BEC (enero-junio de 2022) de los clientes, permite a los atacantes elaborar 9 Ejecute de manera periódica simuladores
fraudes de facturas convincentes. 5 Utilizar una solución de seguridad basada en de phishing para medir el riesgo potencial
Estafa con tarjetas
de regalo 1,9 % • La mayoría de las solicitudes de redirección de el machine learning que ponga en cuarentena en su organización e identificar y educar
nóminas se enviaron desde servicios de correo el phishing de alta probabilidad y detone las a los usuarios vulnerables.
electrónico gratuitos y rara vez desde cuentas URL y los archivos adjuntos en un sandbox
Información comercial 4,3 %
comprometidas. El volumen de correos electrónicos antes de que el correo electrónico llegue a la Vínculos a más información
procedentes de estos orígenes se dispara en torno bandeja de entrada, como Microsoft Defender
Redirección de nóminas 4,6 % Del robo de cookies a BEC: los atacantes
a los días 1 y 15 de cada mes, las fechas de pago para Office 365. 24
utilizan los sitios de phishing AiTM
más habituales. como punto de entrada para continuar
• A pesar de ser vías de fraude muy conocidas, con el fraude financiero | Equipo de
Fraude con facturas 9,3 %
las estafas con tarjetas de regalo solo investigación de Microsoft 365 Defender,
representaron el 1,9 % de los ataques Centro de inteligencia sobre amenazas
Señuelo BEC 79,9 %
BEC detectados. de Microsoft (MSTIC)
Abuso de la
Más concretamente, identificamos cómo los
operadores de Trickbot utilizan enrutadores MikroTik Cadena de ataques de Trickbot
de los ciberdelincuentes
de estos dispositivos agrava la gravedad de su abuso
por parte de Trickbot, y su hardware y software únicos
permiten a los actores de amenaza evadir las medidas Configura dominios
Atacante Comando malintencionados
de seguridad tradicionales, ampliar su infraestructura
Gateways de Internet como
y control
y comprometer más dispositivos y redes.
El equipo de Microsoft Defender para IoT realiza Los enrutadores expuestos corren el riesgo
investigaciones sobre equipos que van desde de que se exploten sus posibles vulnerabilidades. Cadena de ataque de Trickbot que muestra el uso de dispositivos de IoT MikroTik como servidores proxy para C2.
controladores de sistemas de control industrial
heredados hasta sensores de IoT de vanguardia. Al rastrear y analizar el tráfico que contenía dos puertos del enrutador, estableciendo la línea de Los dispositivos que actúan como proxies inversos
El equipo investiga el malware específico de comandos de shell seguro (SSH), observamos que comunicación entre los dispositivos afectados por para el malware C2 no son exclusivos de los
IoT y OT para contribuir a la lista compartida los atacantes utilizaban los enrutadores MikroTik Trickbot y el C2. enrutadores Trickbot y MikroTik. En colaboración
de indicadores de compromiso. para comunicarse con la infraestructura de Trickbot con el equipo de Microsoft RiskIQ, rastreamos el
tras obtener credenciales legítimas para los Hemos reunido nuestros conocimientos sobre
C2 implicado y, mediante la observación de los
Los enrutadores son vectores de ataque especialmente dispositivos. Estas credenciales pueden obtenerse los diversos métodos de ataque a los dispositivos
certificados SSL, identificamos los dispositivos
vulnerables porque son omnipresentes en los hogares a través de ataques de fuerza bruta, explotando MikroTik, más allá de Trickbot, así como las
Ubiquiti y LigoWave que también se ven afectados.32
y organizaciones conectados a Internet. Hemos estado vulnerabilidades conocidas con revisiones fácilmente vulnerabilidades y exposiciones comunes conocidas
Esto es un fuerte indicio de que los dispositivos IoT
rastreando la actividad de los enrutadores MikroTik, un disponibles y utilizando contraseñas predeterminadas. (CVE) en una herramienta open source para los
se están convirtiendo en componentes activos de los
enrutador popular en todo el mundo a nivel residencial y Una vez que se accede a un dispositivo, el atacante dispositivos MikroTik, que puede extraer los artefactos
ataques coordinados de los estados nacionales y en
comercial, identificando cómo se utilizan para el comando emite un comando único que redirige el tráfico entre forenses relacionados con los ataques a estos
un objetivo popular para los ciberdelincuentes que
y control (C2), los ataques al sistema de nombres de dispositivos.31
utilizan redes de robots generalizadas.
dominio (DNS) y el secuestro de la minería criptográfica.
Amenazas Operaciones
Introducción El estado de la para los
para los Dispositivos de influencia Resiliencia Equipos
27 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
El año pasado, Microsoft observó un número creciente cuenta (configurada con cientos de miles de
Criptodelincuentes que abusan de ataques que abusan de los enrutadores para Máquinas virtuales como máquinas virtuales), pasan a la siguiente, ya preparada
para quedarse?
utilizar el hacktivismo como cubierta de operaciones del impacto potencial.
la rápida organización y movilización de miles de
tradicionales de ciberespionaje o sabotaje; por
aspirantes a hackers ciudadanos, a los que se les
ejemplo, las actividades iraníes contra Israel.
proporcionaron instrucciones para llevar a cabo Las plataformas de los medios
Aunque el hacktivismo no es un fenómeno ataques fácilmente ejecutables, como los ataques En un entorno de aumento de los ataques DDoS
nuevo, en la guerra de Ucrania se produjo DDoS. Los organizadores aprovecharon Twitter, relacionados con el hacktivismo, la industria sociales permitieron la organización
una oleada de hackers voluntarios, incluidos Telegram y los foros privados para reunir a los hackers, tecnológica se enfrenta al desafío de descifrar con y movilización de miles de aspirantes
algunos dirigidos por los gobiernos para organizar las operaciones y difundir los manuales de rapidez la diferencia entre un flujo de tráfico normal a hackers ciudadanos, a los que se les
instrucciones de los hackers. y otro anormal hacia un sitio web. Microsoft y sus
implementar herramientas cibernéticas con socios han desarrollado una colección de herramientas
proporcionaron instrucciones para llevar
el fin de dañar la reputación o los activos de Sin embargo, es probable que la mayoría de estos a cabo ataques fácilmente ejecutables,
que distinguen el tráfico DDoS malintencionado y lo
hackers tengan habilidades limitadas, incluso con
opositores políticos, organizaciones e incluso
instrucción. Esto sugiere dos futuros potenciales:
rastrean hasta su origen. Además, la plataforma Azure como los ataques DDoS.
estados nación. uno en el que cientos o miles de individuos con
de Microsoft puede identificar las máquinas de la
plataforma que producen niveles extraordinariamente
capacidades técnicas rudimentarias utilicen plantillas
de ataque para llevar a cabo futuros ataques
altos de tráfico saliente y apagarlas. Información práctica
En febrero de 2022, el gobierno ucraniano llamó a los
civiles privados de todo el mundo para que llevaran hacktivistas coordinados o individuales contra Surgimiento del software de protesta La industria tecnológica debe unirse para
1
a cabo ciberataques contra Rusia como parte de su objetivos, o un segundo futuro en el que el término diseñar una respuesta integral a esta
"ejército informático" de 300 000 efectivos.33 Al mismo definitivo de las hostilidades en Ucrania les haga dejar El software de protesta surgió como resultado directo
nueva amenaza.
tiempo, grupos hacktivistas establecidos como atrás su hacktivismo, al menos hasta que el siguiente de las reacciones emocionales a la guerra entre Rusia
Anonymous, Ghostsec, Against the West, Belarusian problema político o social los inspire a actuar. y Ucrania. Algunos desarrolladores de software open 2 Las principales empresas tecnológicas,
Cyber Partisans y RaidForum2 comenzaron a realizar source utilizaron la popularidad de su software como como Microsoft, disponen de herramientas
ataques en apoyo de Ucrania. Otros grupos, incluidos Politización de los hackers medio para alzar la voz o tomar medidas contra para identificar el tráfico malintencionado
algunos de la banda del ransomware Conti, se una situación geopolítica en desarrollo. Esto incluía asociado a los ataques DDoS y desactivar las
El mayor riesgo que plantea esta movilización política
pusieron del lado de Rusia.34 archivos de texto inofensivos que se abrían en un máquinas responsables.
es el despliegue de hackers expertos en tecnología
escritorio o un navegador para difundir mensajes de
que podrían seguir realizando ciberataques contra Los usuarios open source deben mantener
En los meses siguientes, las actividades de Anonymous paz, pero también incluía ataques dirigidos basados 3
fueron muy visibles. Los hackers que actúan en objetivos de gobiernos extranjeros para apoyar sus una mayor vigilancia en tiempos de
en la geolocalización de direcciones IP y acciones
nombre del grupo (o en el de una de sus filiales) propias prioridades nacionales, ya sea por iniciativa conflicto geopolítico.
destructivas como el borrado de un disco duro.
desactivaron temporalmente miles de sitios web rusos propia o a instancias de su gobierno.
A medida que se desarrollen otros acontecimientos
y bielorrusos, filtraron cientos de gigabytes de datos Irán, China y Rusia ya utilizan el hacktivismo como mundiales, podemos esperar que el software de
robados, piratearon los canales de televisión rusos fuente de reclutamiento para sus grupos de hackers protesta vuelva a salir a la superficie en el futuro.
para que reprodujeran contenidos proucranianos del estado. Por ejemplo, en abril de 2022, el grupo de Dado que, por lo general, se trata de casos en los que
e incluso ofrecieron pagar Bitcoin por los tanques hackers prorruso Killnet lanzó ataques DDoS contra mantenedores open source muy respetados deciden
rusos entregados. los ferrocarriles checos, los aeropuertos regionales y hacer declaraciones personales utilizando sus propios
el servidor de la administración pública checa, a pesar componentes open source, actualmente no existe
ninguna protección que impida que se produzcan
Amenazas Operaciones
Introducción El estado de la para los
para los Dispositivos de influencia Resiliencia Equipos
29 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Notas finales
1. https://www.reuters.com/business/energy/shell-re-routes-oil-supplies-after-cyberattack-german- 18. https://www.ic3.gov/Media/Y2022/PSA220504
logistics-firm-2022-02-01/ 19. Domain-based Message Authentication, Reporting and Conformance: Un protocolo de autenticación
2. https://www.bleepingcomputer.com/news/security/greeces-public-postal-service-offline-due-to- de correo electrónico, directivas e informes diseñado para dar a los propietarios de dominios de correo
ransomware-attack/ electrónico la capacidad de proteger su dominio del uso no autorizado.
3. https://www.bleepingcomputer.com/news/security/costa-rica-s-public-health-agency-hit-by-hive- 20. https://www.ic3.gov/Media/PDF/AnnualReport/2021_IC3Report.pdf
ransomware/; https://www.reuters.com/world/americas/cyber-attack-costa-rica-grows-more-agencies- 21. https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/learn-about-spoof-
hit-president-says-2022-05-16/ intelligence?view=o365-worldwide
4. https://www.bleepingcomputer.com/news/security/spicejet-airline-passengers-stranded-after- 22. https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/impersonation-
ransomware-attack/ insight?view=o365-worldwide
5. https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransomware-attacks-a- 23. https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-
preventable-disaster/ smartscreen/microsoft-defender-smartscreen-overview
6. Detección y respuesta de puntos de conexión. https://www.microsoft.com/en-us/security/business/ 24. https://www.microsoft.com/en-us/security/business/siem-and-xdr/microsoft-defender-office-365
threat-protection/ 25. https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-
7. https://www.washingtonpost.com/national-security/cyber-command-revil- smartscreen/microsoft-defender-smartscreen-overview
ransomware/2021/11/03/528e03e6-3517-11ec-9bc4-86107e7b0ab1_story.html 26. Microsoft Corporation v. John Does 1-27, et. al., No. 1:10CV156, (E.D.Va. 22 de febrero, 2010).
8. https://www.bbc.com/news/technology-59998925 27. Consulte Bowden, Mark. Worm: The First Digital World War. Grove/Atlantic, Inc., 27 de septiembre
9. Un foro vetado es un foro de discusión en línea que requiere que un miembro existente avale la de 2011.
incorporación de un nuevo miembro. 28. En concreto, la Regla 65 de las Reglas Federales de Procedimiento Civil permite a una parte solicitar
10. https://www.statista.com/statistics/800426/worldwide-blockchain-solutions-spending/; dicho remedio si 1) la parte sufrirá un daño inmediato e irreparable si no se concede la solución, y 2)
https://www.blockchain.com/charts/my-wallet-n-users; https://coinmarketcap.com la parte intenta notificar a la otra parte de manera oportuna. Además, la ley exige que se aplique una
11. https://blogs.microsoft.com/on-the-issues/2022/04/13/zloader-botnet-disrupted-malware-ukraine/ prueba de equilibrio, en la que se compare el derecho del demandado a ser notificado con el grado de
12. https://www.coindesk.com/business/2021/12/13/crypto-exchange-ascendex-hacked-losses-estimated- perjuicio para el público.
at-77m/ ; https://www.zdnet.com/article/after-77-million-hack-crypto-platform-ascendex-to- 29. Microsoft Corporation v. John Does 1-11, et. al., No. 2:11cv222, (W.D. Wa. 9 de febrero de 2011).
reimburse-customers/ 30. Microsoft Corp. v. Does, No. 1:20-cv-01171 (AJT/IDD), 2021 U.S. Dist. LEXIS 258143, at *1 (E.D. Va. 12 de
13. https://etherscan.io/address/0x73326b6764187b7176ed3c00109ddc1e6264eb8b agosto de 2021).
14. https://finance.yahoo.com/news/ethereum-worth-over-1-5m-160249300.html 31. https://github.com/microsoft/routeros-scanner
15. https://news.bitcoin.com/decentralized-finance-crypto-exchange-uniswap-starts-blocking-addresses- 32. RiskIQ: Ubiquiti Devices Compromised and Used as Malware C2 Reverse Proxies | RiskIQ
linked-to-blocked-activities/ Community Edition
16. Fuente de datos: Defender para Office (correo electrónico malintencionado/actividad de identidad 33. https://www.theguardian.com/world/2022/mar/18/amateur-hackers-warned-against-joining-ukraines-
comprometida), Azure Active Directory Identity Protection (eventos/alertas de identidad it-army
comprometida), Defender for Cloud Apps (eventos de acceso a datos de identidad comprometida) 34. https://therecord.media/russia-or-ukraine-hacking-groups-take-sides/
y M365D (correlación entre productos). 35. https://www.expats.cz/czech-news/article/pro-russian-hackers-target-czech-websites-in-a-series-of-attacks
17. Fuente de datos: Defender para punto de conexión (alertas/eventos de comportamiento de ataque),
Defender para Office (correo electrónico malintencionado) y M365D (correlación entre productos).
El estado Amenazas Operaciones
Introducción la ciberde-
El estado
de de la
ciberde- para los Dispositivos e de influencia Resiliencia
Resiliencia Equipos
30 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
lincuencia e infraestructura cibernética
infraestructura
e infraestructura cibernética
cibernética colaboradores
colaboradores
para los
Introducción 32
Antecedentes sobre los
datos de los estados nación 33
estados nación
Ejemplo de agentes de estados
nación y sus actividades 34
La evolución del panorama de las amenazas 35
La cadena de suministro
de TI como gateway al ecosistema digital 37
Explotación rápida de las vulnerabilidades 39
Las tácticas cibernéticas de los actores de estado
Los actores de estado nación lanzan ciberataques cada rusos amenazan a Ucrania y a otros países 41
vez más sofisticados para evadir la detección y promover China amplía su objetivo global
sus prioridades estratégicas. para obtener una ventaja competitiva 44
Irán se torna cada vez más agresivo
tras la transición de poder 46
Capacidades cibernéticas de Corea
del Norte empleadas para lograr los tres
objetivos principales del régimen 49
Los cibermercenarios amenazan
la estabilidad del ciberespacio 52
Operacionalización de las normas de
ciberseguridad para la paz y la seguridad en el
ciberespacio 53
El estado Amenazas Operaciones
Introducción la ciberde-
El estado
de de la
ciberde- para los Dispositivos e de influencia Resiliencia
Resiliencia Equipos
31 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
lincuencia e infraestructura cibernética
infraestructura
e infraestructura cibernética
cibernética colaboradores
colaboradores
de una nueva era de conflictos. source o legítimo. E Irán se une a Rusia en el uso
en los países más
lanzada la práctica en GitHub
Introducción
Al igual que las organizaciones empresariales, Por primera vez en un gran evento cibernético, las Como resultado, el mantenimiento de una base sólida
los adversarios comenzaron a utilizar los avances detecciones de comportamiento que aprovechan de higiene de seguridad de TI a través de la aplicación
en la automatización, la infraestructura en la el machine learning utilizaron patrones de ataque de revisiones prioritarias, la activación de funciones
nube y las tecnologías de acceso remoto para conocidos para identificar y detener con éxito antimanipulación, el uso de herramientas de
Tras los ataques de alto perfil extender sus ataques contra un conjunto más
amplio de objetivos. Estos ajustes tácticos dieron
nuevos ataques sin conocimiento previo del malware
subyacente, incluso antes de que los humanos fueran
administración de la superficie de ataque como RiskIQ
para obtener una visión externa de una superficie de
en 2020 y 2021, los actores lugar a nuevos enfoques y ataques a gran escala conscientes de las amenazas. También confirmamos ataque, y la activación de la autenticación multifactor
para defenderse de las
cambiaron el enfoque a los servicios ascendentes a menudo incluyendo la infraestructura crítica, dentro
se intensificaban los ataques físicos en tiempos
que pueden ser puntos de acceso a múltiples de los rivales regionales. Por último, hemos visto
amenazas sofisticadas.
de guerra, vimos cómo los ciberataques adquirían
organizaciones. Esperamos que los actores continúen la creciente amenaza de los cibermercenarios que
un papel destacado en la actividad militar.
explotando las relaciones de confianza en las cadenas desarrollan y venden herramientas, técnicas y servicios
El conflicto en Ucrania ha proporcionado un ejemplo de suministro de las empresas, haciendo hincapié en para ampliar las vulnerabilidades contra soluciones
demasiado significativo de cómo los ciberataques la importancia de la aplicación exhaustiva de las normas vulnerables de terceros. La sofisticación y la agilidad
evolucionan para impactar en el mundo en paralelo de autenticación, la aplicación de revisiones diligentes de los ataques de los actores de estado nación
al conflicto militar sobre el terreno. Los sistemas y la configuración de cuentas para la infraestructura seguirán evolucionando cada año. Las organizaciones
eléctricos, los sistemas de telecomunicaciones, de acceso remoto, así como las auditorías frecuentes deben responder estando informadas de estos
los medios de comunicación y otras infraestructuras de las relaciones con los socios para comprobar cambios de los actores y evolucionar las defensas
críticas se convirtieron en objetivos de ataques la autenticidad. en paralelo.
físicos y ciberataques. Los intentos de comprometer
Los actores de estado nación, al igual que los John Lambert
la red comúnmente observados como parte de las
operadores delictivos y de ransomware, han Vicepresidente corporativo e ingeniero distinguido,
campañas de espionaje y filtración de información
respondido al aumento de la exposición dirigiéndose Centro de inteligencia sobre amenazas de Microsoft
se centraron en la guerra híbrida en los ataques
a los sistemas empresariales mal configurados o sin
destructivos de malware limpiador contra los
revisiones (infraestructura VPN/VPS, servidores en las
sistemas de infraestructuras críticas. La conexión
instalaciones, software de terceros) para llevar a cabo
de la seguridad de estos sistemas a la nube
ataques en vivo. Muchos han incrementado el uso de
permitió la detección temprana y la interrupción
malware básico y herramientas de equipo rojo open
de ataques potencialmente devastadores.1
source para ofuscar su actividad malintencionada.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los Dispositivos de influencia Resiliencia Equipos
33 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
lincuencia e infraestructura cibernética cibernética colaboradores
Antecedentes sobre
los datos de los
estados nación
Las amenazas para los estados nación se
definen como actividades de ciberamenazas
que se originan en un país específico con
la aparente intención de fomentar los
intereses nacionales. Los actores de estado
nación presentan algunas de las amenazas
más avanzadas y persistentes a las que se
enfrentan nuestros clientes, como el robo
de propiedad intelectual, el espionaje, la
vigilancia, el robo de credenciales y los
ataques destructivos, entre otros.
Rusia
P
Medios de comunicación,
activistas de derechos
humanos, políticos
No Ac
TI, gobierno, Gobierno ucraniano, y transporte y energía
de EE. UU.
grupos de expertos, militares, autoridades PHOSPHORUS
educación superior policiales Charming Kitten
APT29 Gamaredon
NOBELIUM ACTINIUM
Bh
Líbano TI, empresas navieras,
gobiernos de Oriente
Medio
Sr Br
Gobierno, defensa, Energía, aviación,
Po
grupos de expertos, manufactura crítica, base Industria de Tortoiseshell
BOHRIUM
educación superior industrial de defensa defensa
israelí, TI
STRONTIUM Fancy Bear EnergeticBear
BROMINE
POLONIUM
Corea del Norte
Sg
Personal de
Pu
inteligencia/ Ciencia y tecnología,
defensa, grupos defensa, industrial
de expertos
SEABORGIUM Andariel, Dark Seoul,
Callisto Group Silent Chollima
China PLUTONIUM
Ir
Infraestructura
Ra Ni Ce Os
crítica, tecnología Gobierno, Gobierno. ONG Gobierno, Grupos de expertos,
de operaciones educación, defensa, energía, académicos, ONG,
APT15 Vixen
Sandworm defensa aeroespacial gobierno
IRIDIUM Panda
Konni
RADIUM NICKEL CERIUM OSMIUM
Ga Gd Cn Zn
Clave Infraestructura Telecomunicaciones, Criptomonedas Gobierno, defensa,
Sectores de
Símbolo interés común
de comunicaciones,
TI, gobierno,
ONG, gobierno y empresas
de tecnología
ciencia y tecnología
APT40 Lazarus
GRUPO DE Referencias educación relacionadas
ACTIVI- de la industria GALLIUM GADOLINIUM COPERNICIUM ZINC
DADES SoftCell APT38, Beagle Boyz
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los Dispositivos de influencia Resiliencia Equipos
35 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
lincuencia e infraestructura cibernética cibernética colaboradores
La evolución
Los acontecimientos políticos del último año han
Sectores industriales a los que apuntan los actores de estado nación
configurado las prioridades y la tolerancia al riesgo
del panorama
de los grupos de amenazas patrocinados por
Comunicaciones Otros
el estado en todo el mundo. A medida que las
2% 20 %
de las amenazas
relaciones geopolíticas se han ido resquebrajando Tecnología de la información
y que los elementos de corte belicista han adquirido
más control en algunas naciones, los actores
Organizaciones 22 %
intergubernamentales
La misión de Microsoft de rastrear la actividad cibernéticos se han vuelto más descarados y agresivos.
de los actores de estado nación y notificar a Por ejemplo:
2%
los clientes cuando vemos que están siendo • R
usia atacó sin descanso al gobierno ucraniano Transporte
atacados o comprometidos está arraigada en y a las infraestructuras críticas del país para
nuestra misión de proteger a nuestros clientes complementar su acción militar sobre el terreno.2
2%
de los ataques. • I rán buscó agresivamente incursiones en las
Servicios
infraestructuras críticas de Estados Unidos, como de salud
las autoridades portuarias.
Esta notificación es una parte crucial de nuestro
• C
orea del Norte continuó su campaña de robo
2%
compromiso de informar a los clientes si los
de criptomonedas a empresas financieras Medios Grupos de
ataques observados se evitan con éxito gracias a las expertos/ONG
protecciones de nuestros productos de seguridad, y tecnológicas.
o si los ataques son efectivos debido a debilidades • C
hina amplió sus operaciones de 4% 17 %
de seguridad desconocidas. El seguimiento de las ciberespionaje mundial. Finanzas
notificaciones a lo largo del tiempo ayuda a Microsoft.
Aunque los actores del estado nación pueden Gobierno Educación
a identificar la evolución de las tendencias de las
ser técnicamente sofisticados y emplear una
5%
amenazas por parte de los actores y a centrar las
amplia variedad de tácticas,a menudo una buena 10 % 14 %
protecciones de los productos en la mitigación
higiene cibernética puede mitigar sus ataques.
proactiva de las amenazas para los clientes en todos Los grupos de estado nación se dirigieron a una variedad de sectores. Los actores de estado rusos e iraníes
Muchos de estos actores confían en medios
nuestros servicios en la nube. apuntaron a la industria de las tecnologías de la información como medio para acceder a los clientes de las
relativamente poco tecnológicos, como los correos
Este seguimiento también nos permite compartir electrónicos de phishing de objetivo definido, para empresas de este sector. Los grupos de expertos, las organizaciones no gubernamentales (ONG), las universidades
datos e información sobre lo que vemos. Los analistas distribuir sofisticados programas malintencionados, y los organismos gubernamentales siguieron siendo otros objetivos habituales de los actores de estado nación.
que rastrean a estos actores y siguen sus ataques se en lugar de invertir en el desarrollo de
Los actores de estado nación tienen una variedad sistemas conectados, o de ejecutar potencialmente
basan en una combinación de indicadores técnicos vulnerabilidades personalizadas o en el uso
de objetivos que pueden llevar a apuntar a grupos ataques a una escala mucho mayor comprometiendo
y conocimientos geopolíticos para comprender de ingeniería social dirigida para lograr sus objetivos.
específicos de organizaciones o individuos. En el a cientos de clientes posteriores en un solo ataque.
las motivaciones de los actores, combinando el
último año han aumentado los ataques a la cadena Después del sector de TI, las entidades más atacadas
contexto técnico y el global en nuevas percepciones.
de suministro, con especial atención a las empresas fueron los grupos de expertos, los académicos
Esta recopilación ofrece una visión única de las
de TI. Al comprometer a los proveedores de servicios adscritos a universidades y los funcionarios públicos.
prioridades de los actores cibernéticos de los estados
de TI, los actores de amenaza a menudo son capaces Se trata de "objetivos blandos" deseables para el
nación y de cómo sus motivaciones pueden reflejar
de llegar a su objetivo original a través de una relación espionaje con el fin de recopilar información sobre
las prioridades políticas, militares y económicas de
de confianza con la empresa que administra los asuntos geopolíticos.
los estados nación que los emplean.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los Dispositivos de influencia Resiliencia Equipos
36 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
lincuencia e infraestructura cibernética cibernética colaboradores
La evolución del panorama de las amenazas La orientación geográfica de los actores de estado nación
Continuación
1000 45
40
800 35
30
600
25 %
NSN
20
400 Más
15
200 10
0 0
Jul 2018 – Jun 2019 Jul 2019 – Jun 2020 Jul 2020 – Jun 2021 Jul 2021 – Jun 2022
Menos
Infraestructura crítica Infraestructura no crítica Porcentaje de infraestructura crítica del total de NSN
El año pasado aumentaron los objetivos de los grupos de estado nación3 sobre las infraestructuras críticas, El año pasado, los grupos de estado nación atacaron
centrándose los actores en las empresas del sector informático, los servicios financieros, los sistemas de transporte a todo e mundo, con especial atención a las empresas Información práctica
y las infraestructuras de comunicaciones. estadounidenses y británicas. Las organizaciones de Israel,
los Emiratos Árabes Unidos, Canadá, Alemania, India, Suiza 1 Identifique y proteja sus posibles objetivos
y Japón también se encontraban entre los objetivos más de datos de alto valor, las tecnologías de
"Antes de la invasión de Ucrania, los gobiernos pensaban que frecuentes, según nuestros datos del NSN. riesgo, la información y las operaciones
comerciales que podrían alinearse con
los datos debían permanecer dentro de un país para estar las prioridades estratégicas de los grupos
seguros. Tras la invasión, migrar los datos a la nube y salir de estado nación.
de las fronteras territoriales forma parte de la planificación Permita que las protecciones en la nube
2
de la resiliencia y el buen gobierno". brinden la identificación y mitigación
de las amenazas conocidas y nuevas para
Cristin Flynn Goodwin, su red a escala.
Consejero general adjunto, Seguridad y confianza del cliente
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los Dispositivos de influencia Resiliencia Equipos
37 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
lincuencia e infraestructura cibernética cibernética colaboradores
La cadena de suministro
NOBELIUM demostró cómo un enfoque de
– Ruta 1
"comprometer a uno para comprometer a muchos" Enfoques de compromiso
de TI como gateway
podía dirigirse contra un adversario geopolítico
– Ruta 2
percibido. El año pasado, el actor de amenaza
al ecosistema digital
persiguió la intrusión tanto de terceros como
directa en organizaciones sensibles con sede en Ingeniería social
los estados miembro de la Organización del Tratado
El hecho de que los estados nación apunten del Atlántico Norte (OTAN), que el gobierno ruso
percibe como una amenaza existencial. Entre julio Proveedor de TI/proveedor Proveedor de servicios
a los proveedores de servicios de TI podría
de 2021 y principios de junio de 2022, el 48 % de de servicios en la nube administrados/proveedor
permitir a los actores de amenaza explotar
las notificaciones de clientes de Microsoft sobre de servicios en la nube
otras organizaciones de interés aprovechando la actividad de amenazas rusas contra clientes
la confianza y el acceso concedido a estos de servicios en línea se dirigieron a empresas del
proveedores de la cadena de suministro. sector informático con sede en países miembros Credenciales robadas
El año pasado, los grupos de ciberamenaza de de la OTAN, probablemente como puntos de
de las instalaciones
estado nación se dirigieron a los proveedores acceso intermediarios. En general, el 90 % de las
de servicios de TI para atacar objetivos de notificaciones sobre la actividad de las amenazas Proveedor de servicios
terceros y obtener acceso a los clientes rusas durante el mismo periodo se dirigieron en la nube
NOBELIUM
de los sectores gubernamental, político a clientes con sede en los estados miembro de
y de infraestructuras críticas. la OTAN, principalmente en los sectores de las
tecnologías de la información, los grupos de Relación de confianza de Azure Active Directory
expertos y las organizaciones no gubernamentales
Los proveedores de servicios informáticos son (ONG), y el gobierno, lo que sugiere una estrategia
objetivos intermediarios atractivos, ya que prestan de búsqueda de múltiples medios de acceso inicial
servicio a cientos de clientes directos y miles de a estos objetivos. Acceso local
clientes indirectos de interés para los servicios de
inteligencia extranjeros. Si se explotan, las prácticas Proveedor de TI Objetivo guberna-
comerciales rutinarias y los privilegios administrativos e ha pasado de explotar la cadena
S mental n.° 1
delegados de los que gozan estas empresas, de suministro de software a explotar
podrían permitir a los actores malintencionados
acceder y manipular las redes de los clientes de los
la cadena de suministro de servicios Soluciones de
proveedores de servicios de TI sin que se activen de TI, dirigiéndose a las soluciones acceso remoto
inmediatamente las alertas. en la nube y a los proveedores
Proveedor de servicios Objetivo
El año pasado, NOBELIUM intentó comprometer de servicios administrados para administrados gubernamental
y aprovechar las cuentas con privilegios de los llegar a los clientes posteriores. n.° 2
proveedores de soluciones en la nube y de otros
servicios administrados para intentar acceder Este diagrama muestra el enfoque multivectorial de NOBELIUM para comprometer sus objetivos finales y los daños
a clientes políticos y gubernamentales de Estados colaterales a otras víctimas en el camino. Además de las acciones mostradas con anterioridad, NOBELIUM lanzó ataques
Unidos y Europa. de difusión de contraseñas y de phishing contra las entidades implicadas, apuntando incluso a la cuenta personal de
a lmenos un empleado del gobierno como otra vía potencial de compromiso.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los Dispositivos de influencia Resiliencia Equipos
38 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
lincuencia e infraestructura cibernética cibernética colaboradores
La cadena de suministro
• En enero de 2022, DEV-0198, un grupo que exhaustivas de las relaciones con los socios ayuda
consideramos afiliado al gobierno de Irán, a minimizar cualquier permiso innecesario entre Información práctica
de TI como gateway
comprometió a un proveedor israelí de soluciones su organización y los proveedores anteriores
1 Revise y audite las relaciones con los proveedores
en la nube. Microsoft evalúa que el actor y a eliminar inmediatamente el acceso a cualquier
de servicios ascendentes y descendentes y los
al ecosistema digital
probablemente utilizó credenciales comprometidas relación que parezca extraña. Familiarizarse con
accesos con privilegios delegados para minimizar
del proveedor para autenticarse en una empresa de los registros de actividad y revisar la actividad
los permisos innecesarios. Elimine el acceso a las
logística israelí. MSTIC observó que el mismo actor disponible facilita la detección de anomalías que
relaciones de socios que parezcan desconocidas
Continuación intentaba llevar a cabo un ciberataque destructivo podrían dar lugar a una investigación más profunda.
o que aún no hayan sido auditadas.6
contra la empresa de logística ese mismo mes.
A lo largo del año, el Centro de inteligencia sobre Habilite el registro y revise toda la actividad
• En abril de 2022, POLONIUM, un grupo con sede 2
amenazas de Microsoft (MSTIC) detectó un número
en el Líbano que, según evaluamos, colaboraba El hecho de que los estados nación de autenticación para la infraestructura de
creciente de actores estatales iraníes y afiliados
a Irán que comprometen a las empresas de TI. con grupos estatales iraníes en técnicas de apunten a terceros les permite explotar acceso remoto y las redes privadas virtuales
la cadena de suministro de tecnologías de la (VPN), centrándose en las cuentas configuradas
En muchos casos, se detectó que los actores robaban organizaciones sensibles aprovechando con autenticación de factor único, para confirmar
credenciales de inicio de sesión para acceder a los información, comprometió a otra empresa israelí
de TI para obtener acceso a organizaciones legales la confianza y el acceso en una cadena la autenticidad e investigar la actividad anómala.
clientes posteriores con diversos objetivos, desde
la recopilación de información hasta los ataques y de defensa israelíes.5 de suministro. 3 Habilite la MFA para todas las cuentas
destructivos de represalia. La actividad de este último año demuestra que (incluidas las de servicio) y asegúrese de que
actores de amenaza como NOBELIUM y DEV-0228 la MFA se aplique a toda la conectividad remota.
• En julio y agosto de 2021, DEV-0228 comprometió
a un proveedor de software empresarial israelí están familiarizándose con el panorama de las Utilice soluciones sin contraseña para
4
para luego comprometer a clientes posteriores relaciones de confianza de una organización mejor asegurar las cuentas.7
en los sectores israelíes de defensa, energía que las propias organizaciones. Este aumento de
y legal.4 la amenaza pone de relieve la necesidad de que Vínculos a más información
las organizaciones comprendan y endurezcan las
• Entre agosto y septiembre de 2021, Microsoft NOBELIUM se dirige a los privilegios
fronteras y los puntos de entrada de sus patrimonios
detectó un pico de actores estatales iraníes administrativos delegados para facilitar ataques
digitales. También subraya la importancia de que los
que atacaban a empresas de TI con sede en más amplios | Centro de inteligencia sobre
proveedores de servicios informáticos supervisen
la India. La ausencia de problemas geopolíticos amenazas de Microsoft (MSTIC)
rigurosamente su propia salud en materia de
apremiantes que hubieran provocado ese cambio
ciberseguridad. Por ejemplo, las organizaciones Aumenta el número de objetivos iraníes
sugiere que este objetivo es el acceso indirecto
tienen que implementar la autenticación multifactor en el sector de la TI | Centro de inteligencia
a filiales y clientes fuera de la India.
y las directivas de acceso condicional que dificultan sobre amenazas de Microsoft (MSTIC), Unidad
a los actores malintencionados la captura de cuentas de seguridad digital de Microsoft
con privilegios o la propagación a través de una
red. Llevar a cabo una revisión y una auditoría Exponer la actividad y la infraestructura
de POLONIUM dirigida a organizaciones
israelíes | Centro de inteligencia sobre
amenazas de Microsoft (MSTIC)
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los Dispositivos de influencia Resiliencia Equipos
39 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
lincuencia e infraestructura cibernética cibernética colaboradores
Explotación rápida
Esto garantiza que se identifiquen las vulnerabilidades
y se desarrollen revisiones de manera oportuna Velocidad y escala de la mercantilización de la vulnerabilidad
Riesgo
de las vulnerabilidades
para proteger a los clientes de amenazas que antes
se desconocían.
Muchas organizaciones suponen que tienen menos
A medida que las organizaciones refuerzan probabilidades de ser víctimas de ataques de día
sus posturas de ciberseguridad, los cero si la administración de vulnerabilidades forma
actores de estado nación responden parte de la seguridad de su red. Sin embargo,
buscando tácticas nuevas y únicas para la mercantilización de las vulnerabilidades está Vulnerabilidad
revelada
haciendo que lleguen a un ritmo mucho más rápido.
realizar ataques y evadir la detección. Los exploits de día cero a menudo son descubiertos
públicamente
La identificación y explotación de por otros actores y se reutilizan ampliamente en un
vulnerabilidades previamente desconocidas corto período de tiempo, lo que deja en riesgo a los
14 días 60 días 120 días
Días
(conocidas como vulnerabilidades de día sistemas sin revisiones. Aunque la explotación de
Revisión Explotación en Código POC publicado Disponible en herramientas
cero) es una táctica clave en este esfuerzo. día cero puede ser difícil de detectar, las acciones de lanzada la práctica en GitHub de exploración
los actores después de la explotación son a menudo
más fáciles de detectar y, si provienen de software Por término medio, solo hacen falta 14 días para que una vulnerabilidad esté disponible en la práctica después de que
Las vulnerabilidades de día cero son un medio totalmente revisado, pueden actuar como una señal se divulgue públicamente. Esta vista ofrece un análisis de los plazos de explotación de las vulnerabilidades de día cero,
especialmente eficaz para la explotación inicial y, de advertencia de un compromiso. junto con el número de sistemas vulnerables a la vulnerabilidad en cuestión y activos en Internet desde el momento
una vez expuestas de manera pública, otros estados de la primera divulgación pública.
nación y actores delictivos pueden reutilizar las
Revisiones liberadas para vulnerabilidades
vulnerabilidades. El número de vulnerabilidades de día de día cero. La normativa china sobre notificación
de día cero Aunque los ataques de vulnerabilidad de
cero divulgadas públicamente durante el año pasado de vulnerabilidades entró en vigor en septiembre
está a la par con las del año anterior, que fue el más 250 17 día cero tienden a dirigirse inicialmente de 2021, siendo la primera vez en el mundo que un
alto registrado. 24 a un conjunto limitado de organizaciones, gobierno exige la notificación de vulnerabilidades a
200 33 una autoridad gubernamental para su revisión antes
A medida que los actores de ciberamenaza (tanto se adoptan con rapidez en el ecosistema de que la vulnerabilidad se comparta con el propietario
los estados nación como los delincuentes) se
vuelven más hábiles en el aprovechamiento de estas 150 14
11 más amplio de actores de amenaza. del producto o servicio. Esta nueva normativa podría
8
vulnerabilidades, hemos observado una reducción 12 Esto pone en marcha una carrera para permitir a elementos del gobierno chino acumular las
6 6 vulnerabilidades notificadas para convertirlas en armas.
en el tiempo entre el anuncio de una vulnerabilidad 100 19 3 que los actores de amenaza exploten la El aumento del uso de días cero en el último año por
y la mercantilización de esa vulnerabilidad. Esto hace 15
10 vulnerabilidad lo más ampliamente posible parte de actores con sede en China probablemente
que sea esencial que las organizaciones apliquen 50 18
revisiones en las vulnerabilidades inmediatamente. 10 antes de que sus objetivos potenciales refleja el primer año completo de requisitos de
11 divulgación de vulnerabilidades para la comunidad
Del mismo modo, es fundamental que las 0 instalen las revisiones.
de seguridad china y un paso importante en el uso de
organizaciones o las personas que descubran nuevas
Jul–Dic 2014
Ene–Jun 2015
Jul–Dic 2015
Ene–Jun 2016
Jul–Dic 2016
Ene–Jun 2017
Jul–Dic 2017
Ene–Jun 2018
Jul–Dic 2018
Ene–Jun 2019
Jul–Dic 2019
Ene–Jun 2020
Jul–Dic 2020
Jul–Dic 2021
Ene–Jun 2022
Ene–Jun 2021
Explotación rápida
Estos ejemplos de vulnerabilidades recién identificadas las organizaciones suelen utilizar para administrar que se revelara la vulnerabilidad. En el momento de
demuestran que las organizaciones disponen de un el restablecimiento de contraseñas.9 DEV-0322 la divulgación, RiskIQ observó 61 559 casos de estos
de las vulnerabilidades
promedio de 60 días desde que se aplica la revisión explotó la vulnerabilidad a fines de septiembre, sistemas activos y en Internet. Seguimos observando
a una vulnerabilidad y se pone en línea un código de utilizándola como vector inicial para afianzarse en la actividad de explotación en noviembre de 2021.
prueba de concepto (POC), que a menudo recopilan las redes y realizando acciones adicionales como
Continuación otros actores para su reutilización. Del mismo modo, el volcado de credenciales, la instalación de binarios CVE-2022-26134 Confluence
las organizaciones tienen un promedio de 120 días personalizados y el lanzamiento de malware para Un actor afiliado a China probablemente tenía el
antes de que una vulnerabilidad esté disponible mantener la persistencia. En el momento de la código de la vulnerabilidad de día cero para la
en las herramientas automatizadas de exploración divulgación, RiskIQ observó 4011 casos de estos vulnerabilidad Confluence (CVE-2022-26134) cuatro
y explotación de vulnerabilidades, como Metasploit, sistemas activos y en Internet. días antes de que esta se hiciera pública el 2 de junio,
Incluso las organizaciones lo que a menudo da lugar a que la vulnerabilidad se
utilice de forma masiva. Esto pone de manifiesto que CVE-2021-44077 Zoho ManageEngine
y es probable que la aprovechó contra una entidad
con sede en Estados Unidos. En el momento de la
que no son objetivo de incluso las organizaciones que no son un objetivo ServiceDesk Plus divulgación, RiskIQ observó 53 621 casos de sistemas
ataques de estado nación
de los actores de amenaza de estado nación tienen A fines de octubre de 2021, observamos que Confluence vulnerables en Internet.
un período limitado para aplicar revisiones a las DEV-0322 aprovechaba una vulnerabilidad (CVE-
tienen un período limitado vulnerabilidades de día cero en los sistemas afectados 2021-44077) en un segundo producto de Zoho
Las vulnerabilidades se recopilan
para aplicar revisiones a las
antes de que un ecosistema de actores más amplio ManageEngine, ServiceDesk Plus, un software de
exploten las vulnerabilidades. soporte informático con administración de activos. y explotan a gran escala y en
vulnerabilidades de día cero CVE-2021-35211 SolarWinds Serv-U
DEV-0322 utilizó esta vulnerabilidad para atacar
plazos cada vez más cortos.
en los sistemas afectados En julio de 2021, SolarWinds publicó un aviso
y comprometer entidades de los sectores de la
salud, la tecnología de la información, la educación
antes de que el ecosistema de seguridad para CVE-2021-35211, atribuyendo superior y la manufactura crítica. El 2 de diciembre,
Las tácticas cibernéticas Uso de cuentas y protocolos administrativos, Información práctica Vínculos a más información
y utilidades nativas para el descubrimiento
de los actores de estado de la red y el movimiento lateral
1 Minimice el robo de credenciales y el abuso
de cuentas protegiendo las identidades de
La defensa de Ucrania: Primeras
lecciones de la guerra cibernética
China amplía su objetivo Países en el punto de mira del estado chino China: Principales países y sectores industriales
ventaja competitiva
Organizaciones no
gubernamentales 28%
ventaja competitiva
"asociación estratégica integral" para promover los Desde la interrupción de Microsoft, NICKEL ha
La persistencia de los actores de amenaza
intereses políticos, culturales, sociales, de seguridad apuntado a varios organismos gubernamentales,
chinos requiere que las organizaciones
y de cambio climático, así como para luchar contra la probablemente tratando de recuperar el acceso
identifiquen, protejan, detecten y respondan
Continuación pandemia.23 Por las mismas fechas, en mayo, Microsoft perdido. Entre fines de marzo y mayo de 2022,
a las posibles intrusiones de manera oportuna.
identificó el malware de GADOLINIUM en los sistemas NICKEL volvió a comprometer al menos a cinco
Mientras tanto, Microsoft observó que los grupos del gobierno de las Islas Salomón. RADIUM también organismos gubernamentales de todo el mundo. Los actores de amenaza abusan de las tareas
2
de amenazas chinos, tanto del estado como afiliados ejecutó código malintencionado en los sistemas de una Esto sugiere que el grupo tenía puntos de entrada programadas25 como un método común de
al estado, centraron sus operaciones de red contra empresa de telecomunicaciones de Papúa Nueva adicionales a esas entidades o recuperó el acceso persistencia y evasión de la defensa, asegúrese
entidades del sudeste asiático y se expandieron Guinea. Consideramos que estas actividades tenían a través de nuevos dominios C2. La persistencia de que su entorno emplea directrices de
a los países de las islas del Pacífico, a medida probablemente fines de recopilación de información de NICKEL en comprometer repetidamente a los seguridad adicionales para protegerse contra
que China cambiaba sus prioridades militares para apoyar la estrategia regional general de China. mismos organismos gubernamentales a nivel esta técnica comúnmente utilizada.26
y económicas para hacer frente a los desafíos del mundial indica la importancia de la tarea a alto nivel.
renovado interés de Estados Unidos en la región. 3 Seguimos observando el uso de las shells web
En enero de 2022, Microsoft observó que RADIUM Microsoft interrumpe las operaciones como vector inicial en las redes dirigidas.27
tenía como objetivo una empresa energética y un de NICKEL, pero el grupo de amenazas China está siendo más asertiva Las organizaciones deben endurecer sus sistemas
organismo gubernamental asociado a la energía demuestra su persistencia. con su postura en política exterior. contra los ataques de shells web que pueden
en Vietnam, y un organismo gubernamental indonesio. proporcionar a los atacantes acceso para ejecutar
Las actividades de RADIUM probablemente estén en En diciembre de 2021, la Unidad de delitos digitales Evaluamos que es probable comandos remotos.28
consonancia con los objetivos estratégicos de China (DCU) de Microsoft presentó alegatos ante el que el espionaje económico
Vínculos a más información
en el Mar de China Meridional.21 A fines de febrero Tribunal de Distrito de los Estados Unidos para y la recopilación de información
y principios de marzo, GALLIUM comprometió más el Distrito Este de Virginia solicitando autoridad NICKEL se dirige a las organizaciones
de 100 cuentas afiliadas a una importante organización para incautar 42 dominios de comando y control
a través de la informática continúen.
gubernamentales de América Latina y Europa
intergubernamental (OIG) de la región del Sudeste (C2) controlados por NICKEL. Estos dominios C2 | Centro de inteligencia sobre amenazas de
Asiático. El momento en que GALLIUM apuntó a la se utilizaron en operaciones contra gobiernos, Microsoft (MSTIC), Unidad de seguridad digital
organización intergubernamental en la región coincidió entidades diplomáticas y ONG en toda América (DSU) de Microsoft
con el anuncio de una reunión programada entre Central y del Sur, el Caribe, Europa y América del
Estados Unidos y los líderes regionales. Es probable que Norte desde septiembre de 2019.24 A través de estas Proteger a las personas de los recientes
a los actores de GALLIUM se les haya encomendado operaciones, NICKEL logró el acceso a largo plazo ciberataques | Microsoft On the Issues
la tarea de vigilar las comunicaciones y recopilar a varias entidades y filtró constantemente datos
información antes del evento. de algunas víctimas desde finales de 2019.
A medida que China ampliaba su influencia A medida que China siga estableciendo relaciones
en los países de las islas del Pacífico, se sucedían las económicas bilaterales con más países, a menudo
actividades de los grupos chinos de amenazas. En abril, en acuerdos asociados a la BRI, la influencia mundial
China y las Islas Salomón firmaron un acuerdo de de China seguirá creciendo. Consideramos que
seguridad destinado a "promover la paz y la seguridad". el estado chino y los actores de amenaza afiliados
El acuerdo permite potencialmente a China desplegar al estado perseguirán objetivos en sus sectores
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los Dispositivos de influencia Resiliencia Equipos
46 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
lincuencia e infraestructura cibernética cibernética colaboradores
de los CGRI.29 Las opiniones belicistas del gobierno de de emergencia en Israel en junio, probablemente en octubre de 2021 en busca de vulnerabilidades
Raisi parecen haber aumentado la disposición de los utilizando un software que ajusta el audio a través sin revisiones de Fortinet y ProxyShell. 50 20
actores iraníes a emprender acciones más audaces de las redes IP. Una vez comprometidos, estos sistemas sin revisiones
0 0
contra Israel y Occidente, en particular contra Estados se utilizaron para ejecutar ataques de ransomware, en Jul 18–Jun 19 Jul 19–Jun 20 Jul 20–Jun 21 Jul 21–Jun 22
Unidos, a pesar de la reanudación del compromiso varios casos contra infraestructuras críticas de Estados Infraestructura Infraestructura Porcentaje de
diplomático para reactivar el acuerdo nuclear con Irán. Unidos y otras naciones occidentales. Se trata de los crítica no crítica infraestructura crítica
del total de NSN
primeros casos confirmados de ataques de ransomware
afiliados al estado iraní fuera de Oriente Medio. Tras el Los ataques iraníes a infraestructuras críticas aumentaron
ciberataque contra las estaciones de servicio iraníes a hasta los niveles más altos observados desde fines de 2018
fines de octubre, Microsoft observó un pico de ataques hasta principios de 2019. Utilizamos la Directiva de Política
de ransomware iraní contra empresas estadounidenses, Presidencial 21 de Estados Unidos (PPD-21) para determinar
si una empresa se ajusta a los criterios de infraestructura
lo que sugiere una posible correlación.
crítica. (Jul 2021 – Jun 2022).
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los Dispositivos de influencia Resiliencia Equipos
47 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
lincuencia e infraestructura cibernética cibernética colaboradores
Irán se torna cada Objetivos de las infraestructuras críticas iraníes por país Información práctica
Es probable que los actores iraníes sigan siendo Los grupos iraníes han ampliado los ataques de
una amenaza para las empresas de transporte ransomware más allá de los adversarios regionales
y energía estadounidenses e israelíes y están apuntando a objetivos de infraestructura
en el próximo año. crítica de alto perfil de Estados Unidos e Israel.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los Dispositivos de influencia Resiliencia Equipos
48 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
lincuencia e infraestructura cibernética cibernética colaboradores
éxito el abuso
conjunto de intereses similares a los de Irán a la hora
y asegúrese de que la protección
de recopilar información sobre Israel o contrarrestarlo
Microsoft supervisa las actividades de de la nube41 esté activada para detectar
de OneDrive por
directamente.37
las ciberamenazas independientemente los indicadores relacionados.
de la plataforma, la víctima objetivo Los vínculos evaluados por POLONIUM con los
parte de POLONIUM 2 Para los clientes con relaciones con
grupos MOIS se basan en los solapamientos
o la región geográfica. Mantenemos la proveedores de servicios, asegúrese de revisar
como C2.
observados entre las víctimas y la coincidencia
visibilidad y la caza activa de amenazas y auditar todas las relaciones con los socios
de herramientas y técnicas.
en todo el mundo para escribir mejores para minimizar los permisos innecesarios entre
detecciones para nuestros clientes. • S
uperposición de víctimas: Un grupo estatal su organización y los proveedores anteriores.⁴2
iraní vinculado al MOIS de Irán, que Microsoft Elimine inmediatamente el acceso a cualquier
rastrea como MERCURY, comprometió previamente relación de socios que parezca desconocida
Aunque las amenazas de Rusia, China, Irán y Corea del a múltiples víctimas de POLONIUM, lo que indica o que no haya sido auditada.
Norte representan la mayor parte de nuestra actividad una convergencia de los requisitos de la misión
observada de actores estatales, también rastreamos o un posible "traspaso" de víctimas entre grupos. Vínculos a más información
y comunicamos las amenazas de los países miembros
• H
erramientas y técnicas comunes: Al igual que Exponer la actividad y la infraestructura
de la OTAN y las naciones democráticas. El año
POLONIUM, MSTIC observó que DEV-0588 (también de POLONIUM dirigida a organizaciones
pasado, presentamos la actividad de un actor radicado
conocido como CopyKittens) suele utilizar AirVPN israelíes | Centro de inteligencia sobre
en Turquía (SILICON) y de un actor radicado en
para sus operaciones y DEV-0133 (también conocido amenazas de Microsoft (MSTIC), Unidad
Vietnam (BISMUTH). Este año, ampliamos los detalles
como Lyceum38) utiliza OneDrive para C2 y la de seguridad digital (DSU) de Microsoft
de un grupo con sede en el Líbano que ya habíamos
filtración. Al igual que los actores de estado iraníes,
revelado públicamente.36 MERCURY aprovecha las vulnerabilidades
POLONIUM utilizó un proveedor de servicios en la
Microsoft descubrió un grupo con sede en el Líbano nube para comprometer una empresa de aviación de Log4j 2 en sistemas sin revisiones
que no estaba documentado y que, según nuestra y un bufete de abogados israelíes.39 para atacar a organizaciones israelíes
opinión, operaba en coordinación con actores | Centro de inteligencia sobre amenazas
POLONIUM implementó una serie de implantes de Microsoft (MSTIC), Equipo de
afiliados al Ministerio de Inteligencia y Seguridad
personalizados que utilizaban servicios en la nube investigación de Microsoft 365 Defender
de Irán (MOIS). Esta colaboración o dirección de
para el C2 y la filtración de datos, especialmente Team, Inteligencia contra amenazas
Teherán estaría en consonancia con las revelaciones
OneDrive y DropBox. POLONIUM a menudo creaba de Microsoft Defender
realizadas desde fines de 2020 de que el gobierno
aplicaciones únicas de OneDrive para los objetivos,
de Irán está utilizando a terceros para llevar a cabo
con el fin de evadir la detección.
operaciones cibernéticas, lo que probablemente
refuerce la negación plausible de Irán. A partir de junio de 2022, Microsoft suspendió
más de 20 aplicaciones de OneDrive creadas por
En la actividad observada, POLONIUM apuntó
POLONIUM, notificó a las organizaciones afectadas
o comprometió a dos docenas de organizaciones con
e implementó una serie de actualizaciones
sede en Israel y a una organización intergubernamental
de inteligencia de seguridad para poner en
con operaciones en el Líbano entre febrero y mayo
cuarentena las herramientas desarrolladas
de 2022, antes de que Microsoft interrumpiera y
por POLONIUM.
revelara públicamente su actividad. Casi la mitad de las
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los Dispositivos de influencia Resiliencia Equipos
49 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
lincuencia e infraestructura cibernética cibernética colaboradores
Capacidades cibernéticas
Los grupos de amenazas de estado norcoreanos,
principalmente CERIUM y ZINC, utilizaron diversas Objetivo de las empresas de defensa Apuntar a la criptomoneda para equilibrar
y aeroespaciales las pérdidas
de Corea del Norte
tácticas para intentar penetrar en las redes de las
empresas de defensa y aeroespaciales de todo
Los actores de estado norcoreanos, liderados Desde que se impusieron las sanciones
empleadas para lograr
el mundo. Cuando Corea del Norte se embarcó
por CERIUM y ZINC, se esforzaron mucho de la ONU en 2016, la economía de Corea del
en su período más agresivo de pruebas de misiles Norte ha seguido contrayéndose, agravada por
en desarrollar tácticas destinadas a penetrar
los tres objetivos en la primera mitad de 2022, utilizó el ciberespionaje
para ayudar a los investigadores norcoreanos
en las empresas de defensa y aeroespaciales.
CERIUM sondeó repetidamente las redes
catástrofes naturales como las inundaciones 44
y la sequía,45 así como por un cierre casi total
principales del régimen a obtener una ventaja en el desarrollo de sistemas
de defensa autóctonos y contramedidas para los
privadas virtuales (VPN) de Corea del Sur
descargando clientes y buscando puntos débiles.
de las fronteras a las importaciones desde el inicio
de la pandemia de COVID-19 a principios de 2020.46
avances de sus adversarios. También descargó aplicaciones comunes utilizadas Aunque Corea del Norte abrió brevemente sus
Las prioridades cibernéticas de Corea del Norte
por clientes militares y gubernamentales surcoreanos, fronteras para el comercio con China a principios
durante el año pasado reflejaron las prioridades Observamos que COPERNICIUM se dirigía a una de 2022, pronto volvieron a cerrarse.47 A mediados
probablemente en busca de vulnerabilidades.
globales declaradas por el gobierno. Kim Jong serie de empresas relacionadas con la criptomoneda El grupo seguía de cerca la actualidad y redactaba de mayo, Corea del Norte informó de su primer
Un hizo hincapié en las tres prioridades de en todo el mundo, a menudo con éxito, para nuevos documentos de señuelo que utilizaban caso local de COVID-19.48 Desde entonces, ha
construir la capacidad de defensa, reforzar ayudar a la difícil economía de Corea del Norte. temas de gran relevancia como cebo para animar aplicado una estrategia de cierre masivo al estilo
la difícil economía del país y garantizar la Aunque no podemos confirmar si el grupo fue capaz a los objetivos a hacer clic en sus ejecutables de China para combatir el virus, que ha afectado
estabilidad interna en varios discursos clave.43 de filtrar dinero tras el compromiso, observamos que y vínculos de malware. negativamente a la ya frágil economía de Corea
Las acciones llevadas a cabo por los actores COPERNICIUM infectó docenas de máquinas enviando Tanto ZINC como CERIUM utilizaron las redes
del Norte.
estatales norcoreanos demuestran claramente documentos malintencionados que se hacían pasar sociales y la ingeniería social en sus campañas. El grupo de estado norcoreano COPERNICIUM
que la cibernética está siendo utilizada para por propuestas de otras empresas de criptomonedas. ZINC era especialmente hábil en la creación trató de compensar parte de los ingresos
lograr estos tres objetivos. Por último, un grupo al que Microsoft rastrea como de perfiles falsos en LinkedIn y otras redes perdidos robando dinero, típicamente en forma
sociales profesionales, donde sus operadores de criptomonedas, de cualquier empresa en cuyas
DEV-0215 trabajó para mantener la estabilidad
se hacían pasar por reclutadores de importantes redes pudiera penetrar. Vimos docenas de máquinas
y la lealtad en Corea del Norte dirigiéndose comprometidas pertenecientes a empresas
empresas de defensa y aeroespaciales.
a las organizaciones de noticias que informan sobre Utilizando estos perfiles, enviaban vínculos relacionadas con la criptomoneda en Estados Unidos,
asuntos norcoreanos. Estos medios tienen fuentes o archivos adjuntos malintencionados a las Canadá, Europa y toda Asia. COPERNICIUM llegó
tanto en Corea del Norte como en las comunidades víctimas potenciales mediante mensajes directos a comprometer máquinas pertenecientes a empresas
de desertores, que Pyongyang considera una en las redes sociales o por correo electrónico. relacionadas con la criptomoneda dentro del aliado
amenaza existencial. Además, el grupo se esforzó más fuerte de Corea del Norte, China, tanto en
Los agentes estatales
Además de los empleados de las empresas, CERIUM
por acceder a las redes de grupos cristianos de el continente como en Hong Kong. El grupo se apoyó
también se dirigió ampliamente a los miembros del
en gran medida en las redes sociales para sus primeros
norcoreanos utilizaron
habla coreana, que suelen ser francos contra ejército surcoreano, mostrando especial interés tanto
Corea del Norte y trabajan activamente con los reconocimientos y aproximaciones a los objetivos.
en las academias militares de Corea del Sur como en
diversas tácticas para desertores norcoreanos. los militares que trabajan en el ámbito académico.
Los actores construirían perfiles fingiendo
ser desarrolladores o altos cargos de empresas
intentar penetrar en las relacionadas con la criptomoneda. A continuación,
empresas aeroespaciales establecían relaciones con las personas del sector,
enviando vínculos o archivos malintencionados
de todo el mundo. una vez que habían establecido una relación.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los Dispositivos de influencia Resiliencia Equipos
50 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
lincuencia e infraestructura cibernética cibernética colaboradores
Capacidades cibernéticas
estuvieran actuando de forma independiente para
Corea del Norte: Principales países y sectores industriales
ganar dinero para sí mismos. Si se tratara de hackers
los tres objetivos
de criptomonedas. gubernamentales 25 %
Estados Unidos 38 %
ransomware H0lyGh0st en las campañas es exclusivo utilizan diversos métodos para comunicarse con
de DEV-0530, MSTIC observó comunicaciones entre el mundo exterior. El gobierno norcoreano ve a estos
ambos grupos, así como que DEV-0530 utilizaba grupos como una amenaza existencial para su Otros 36 %
herramientas creadas exclusivamente por PLUTONIUM. supervivencia, especialmente a los ciudadanos
Otros 24 %
dentro de Corea del Norte que serían vistos como
No es seguro que la actividad de DEV-0530 estuviera
traidores y espías. Es probable que DEV-0215 tratara
patrocinada por el gobierno. Aunque los ataques
de identificar las fuentes de estos medios para poder
de ransomware podrían haber sido ordenados
neutralizar las posibles filtraciones de información.
por el gobierno por la misma razón que patrocina
el robo a las empresas de criptomonedas, también Corea del Norte considera a Estados Unidos, Corea del Sur y Japón como sus principales enemigos. Aunque Rusia es un aliado
es posible que los actores detrás de DEV-0530 desde hace mucho tiempo, los actores de amenaza norcoreana tienen como objetivo los grupos de expertos, los académicos
y los funcionarios diplomáticos rusos para obtener información sobre la visión rusa de los asuntos mundiales.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los Dispositivos de influencia Resiliencia Equipos
51 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
lincuencia e infraestructura cibernética cibernética colaboradores
Capacidades cibernéticas
Por último, el grupo de estado OSMIUM mostró
un interés constante en las organizaciones de
Los cibermercenarios
Microsoft ha evaluado a ciertos actores estatales Cuando un cibermercenario explota
de regímenes democráticos y autoritarios que una vulnerabilidad en un producto o servicio, pone Conocimientos prácticos para los gobiernos
amenazan la estabilidad
subcontratan el desarrollo o el uso de la tecnología en riesgo todo el ecosistema informático. Cuando las
1 Implemente requisitos de transparencia
de "vigilancia como servicio". Así evitan la rendición vulnerabilidades se identifican públicamente, las
y supervisión para la vigilancia como servicio,
del ciberespacio
de cuentas y la supervisión, además de adquirir empresas se encuentran en una carrera contra
especialmente en la contratación, incluyendo
capacidades que serían difíciles de desarrollar el tiempo para liberar las protecciones antes
la prohibición de estos actores ofensivos, como
de forma nativa. de que se produzcan amplios ataques (consulte
ha hecho EE. UU. con la lista de empresas
Existe una industria creciente de nuestro anterior análisis de las vulnerabilidades).
del Departamento de Comercio en la Lista
empresas privadas que desarrollan Se trata de un ciclo peligroso y difícil tanto
Estas armas cibernéticas ofrecen de Entidades.
para los proveedores de software (que deben
y venden herramientas, técnicas
y servicios que permiten a sus clientes,
a los estados nación capacidades desarrollar revisiones de forma expeditiva) como 2 Establezca restricciones posteriores
de vigilancia que no habrían podido para los consumidores de productos (que deben al empleo para los antiguos empleados
a menudo gobiernos, entrar en redes, aplicar las revisiones inmediatamente). de este sector.
equipos, teléfonos y dispositivos desarrollar por sí solos.
conectados a Internet. Estas entidades, Como miembro fundador del Acuerdo 3 Intente aplicar las obligaciones
Tecnológico de Ciberseguridad53 (una alianza líder que
que son un activo para los actores de El mercado en el que operan los cibermercenarios
de "conocer al cliente" y animar a las
reúne a más de 150 empresas tecnológicas) Microsoft empresas a mantener sus compromisos
estado nación, suelen poner en peligro es opaco. Sin embargo, seguimos observando se ha comprometido a no realizar operaciones en materia de derechos humanos.
a disidentes, defensores de los derechos que estos grupos utilizan vulnerabilidades de día ofensivas en línea. Mantenemos ese compromiso
humanos, periodistas, defensores de la cero e incluso vulnerabilidades de clic cero que y nuestras responsabilidades en materia de derechos Vínculos a más información
sociedad civil y otros ciudadanos particulares. no requieren ninguna interacción de la víctima, humanos en este ámbito. Hemos llevado a cabo
Nos referimos a ellos como cibermercenarios permitiendo la vigilancia como servicio. interrupciones técnicas y desafíos legales para poner Desenredar a KNOTWEED: actor ofensivo
o actores ofensivos del sector privado. Microsoft anunció recientemente un actor ofensivo de manifiesto las repercusiones negativas causadas europeo del sector privado que utiliza
del sector privado europeo al que llamamos por los servicios prestados por los cibermercenarios vulnerabilidades de día cero | Centro de
KNOTWEED, una PSOA con sede en Austria llamada y seguiremos protegiendo a nuestros clientes inteligencia sobre amenazas de Microsoft
Un mundo en el que las empresas del sector (MSTIC), Centro de respuestas de seguridad
DSIRF. Múltiples noticias han vinculado a la empresa cuando veamos abusos.
privado crean y venden ciberarmas es más de Microsoft (MSRC), RiskIQ (Inteligencia
peligroso para los consumidores, las empresas con el desarrollo e intento de venta de un conjunto
de herramientas de malware llamado Subzero.51 Entre contra amenazas de Microsoft Defender)
de todos los tamaños y los gobiernos. Los cibermercenarios crean y ofrecen
Estas herramientas ofensivas pueden utilizarse las víctimas se encuentran bufetes de abogados, Continuación de la lucha contra las ciberarmas
de forma incompatible con las normas y los bancos y consultorías estratégicas de países como capacidades de "vigilancia como servicio" del sector privado | Microsoft On the Issues
Austria, Reino Unido y Panamá.52
valores del buen gobierno y la democracia. tecnológicamente sofisticadas y de amplia
Microsoft cree que la protección de los derechos Dado que estas capacidades de vigilancia ofensiva disposición, incluyendo malware avanzado,
humanos es una obligación fundamental, que nos ya no son capacidades altamente clasificadas
tomamos en serio al reducir la "vigilancia como creadas por las agencias de defensa e inteligencia, y una serie de técnicas.
servicio" en todo el mundo. sino productos comerciales que ahora se ofrecen
a empresas y particulares, cualquier régimen
regulador de las ciberarmas debe ir más allá del
control de las exportaciones. El impacto de estas
ciberarmas puede ser devastador.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los Dispositivos de influencia Resiliencia Equipos
53 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
lincuencia e infraestructura cibernética cibernética colaboradores
Operacionalización de las
Esto significa pedir a la industria tecnológica que si declaran cómo entienden sus obligaciones El volumen y la sofisticación de los
asuma una mayor responsabilidad tanto en la en virtud del derecho internacional. actores y ataques de los estados nación
están aumentando, creando una
normas de ciberseguridad
seguridad de los productos y servicios como en • Consultar con otras partes interesadas.
el ecosistema digital en general. Aunque se han Mientras los foros internacionales siguen situación insostenible.
Notas finales
1. https://www.microsoft.com/en-us/cybersecurity/content-hub/cloud-security 20. h ttps://greenfdc.org/chinas-two-sessions-2022-what-it-means-for-economy-climate-biodiversity-green-
2. https://blogs.microsoft.com/on-the-issues/2022/04/27/hybrid-war-ukraine-russia-cyberattacks/ finance-and-the-belt-and-road-initiative-bri/
3. En este capítulo, las infraestructuras críticas se definen en la Directiva Política Presidencial 21 (PPD-21), 21. https://www.cfr.org/global-conflict-tracker/conflict/territorial-disputes-south-china-sea
Critical Infrastructure Security and Resilience (febrero de 2013). 22. https://www.theguardian.com/world/2022/apr/30/the-china-solomons-security-deal-has-been-signed-
4. https://www.microsoft.com/security/blog/2021/11/18/iranian-targeting-of-it-sector-on-the-rise/ time-to-move-on-from-megaphone-diplomacy
5. https://www.microsoft.com/security/blog/2022/06/02/exposing-polonium-activity-and-infrastructure- 23. https://www.fmprc.gov.cn/eng/zxxx_662805/202205/t20220531_10694928.html
targeting-israeli-organizations/ 24. https://blogs.microsoft.com/on-the-issues/2021/12/06/cyberattacks-nickel-dcu-china/;
6. https://www.microsoft.com/security/blog/2021/10/25/nobelium-targeting-delegated-administrative- https://www.microsoft.com/security/blog/2021/12/06/nickel-targeting-government-organizations-
privileges-to-facilitate-broader-attacks/ across-latin-america-and-europe/
7. https://www.microsoft.com/en-us/security/business/identity-access/azure-active-directory-passwordless- 25. https://www.microsoft.com/security/blog/2022/04/12/tarrask-malware-uses-scheduled-tasks-for-
authentication defense-evasion/
8. https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211 26. https://attack.mitre.org/techniques/T1053/
9. https://pitstop.manageengine.com/portal/en/community/topic/adselfservice-plus-6114-security-fix- 27. https://www.microsoft.com/security/blog/2022/07/26/malicious-iis-extensions-quietly-open-persistent-
release backdoors-into-servers/
10. https://reliefweb.int/report/ukraine/unicef-ukraine-humanitarian-situation-report-no-13-10-17-may-2022 28. https://www.microsoft.com/security/blog/2021/02/11/web-shell-attacks-continue-to-rise/
11. https://news.un.org/en/story/2022/06/1119672 29. https://www.timesofisrael.com/in-rare-criticism-of-irgc-rouhani-slams-anti-israel-slogans-on-test-missiles/;
12. https://zetter.substack.com/p/dozens-of-computers-in-ukraine-wiped?s=r ; https://www.microsoft.com/ https://www.theguardian.com/world/2017/may/05/iran-president-hassan-rouhani-nuclear-agreement-
security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/ sabotaged; https://d2071andvip0wj.cloudfront.net/184-iran-s-priorities-in-a-turbulent-middle-east_1.
pdf; https://www.aljazeera.com/news/2016/3/9/iran-launches-ballistic-missiles-during-military-
13. https://www.cnn.com/2022/03/14/economy/china-jan-feb-economy-challenges-ahead-intl-hnk/index.html
drill; https://www.usatoday.com/story/news/world/2015/04/25/iran-yemen-weapons/26367493/;
14. https://www.wsj.com/articles/russias-vladimir-putin-meets-with-chinese-leader-xi-jinping-in- https://www.armscontrol.org/blog/ArmsControlNow/2016-03-14/The-Iranian-Ballistic-Missile-Launches-
beijing-11643966743 That-Didnt-Happen; https://www.reuters.com/world/middle-east/iran-parliament-approves-most-raisi-
15. https://www.washingtonpost.com/world/2022/04/01/china-eu-summit/ nominees-hardline-cabinet-2021-08-25/;
16. https://twitter.com/MoNDefense 30. https://www.reuters.com/world/middle-east/iran-parliament-approves-most-raisi-nominees-hardline-
17. https://news.usni.org/2022/01/24/2-u-s-aircraft-carriers-now-in-south-china-sea-as-chinese-air-force- cabinet-2021-08-25/; https://www.france24.com/en/live-news/20210825-iran-s-parliament-approves-
flies-39-aircraft-near-taiwan president-s-cabinet-choices
18. https://ec.europa.eu/trade/policy/in-focus/eu-china-agreement/; https://www.usnews.com/news/world/
articles/2022-02-28/eu-plans-summit-with-china-on-april-1-to-address-tensions
19. https://www.wsj.com/articles/u-s-on-sidelines-as-china-and-other-asia-pacific-nations-launch-trade-
pact-11641038401
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los Dispositivos de influencia Resiliencia Equipos
55 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación
lincuencia e infraestructura cibernética cibernética colaboradores
e infraestructura
Introducción 58
ha aumentado de manera
considerable la superficie Los ataques contra los dispositivos de
administración remota van en aumento,
de ataque del mundo digital. con más de 100 millones de ataques
observados en mayo de 2022, un
Los ciberdelincuentes y los estados nación se están
aprovechando rápidamente. Mientras que la seguridad aumento de cinco veces en el último año.
Weak passwords 27%
Countries advancing
del hardware y el software de TI se ha reforzado en Countries
10+ Critical known vulnerabilities 32%
Más información en la página 62
11 2 9
los últimos años, la seguridad de los dispositivos Más información en laadvancing
10+ Critical vulnerabilities 6+ years old 4%
critical infrastructure
de la Internet de las Cosas (IoT) y la tecnología de página 59 cyber Countries 10+ Certificates expired 3+ years 13%
4%
Más información en la página 59 Industrial control Más información en la página 66
systems
1%
El estado Amenazas Operaciones
Operaciones
Introducción la ciberde-
El estado
de de la
ciberde- para los
para los Dispositivos de influencia
influencia Resiliencia
Resiliencia Equipos
58 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estados nación cibernética
e infraestructura cibernética cibernética
cibernética colaboradores
colaboradores
Introducción
En los últimos años se han producido cambios sin Si bien la prevalencia de las vulnerabilidades de IoT Desde el punto de vista de las operaciones
precedentes en el mundo digital. Las organizaciones y OT es un desafío para todas las organizaciones, la de seguridad, los defensores de la red adoptan varios
están evolucionando para aprovechar los avances en infraestructura crítica está en mayor riesgo porque enfoques para mejorar la postura de seguridad de
la capacidad informática tanto de la nube inteligente los actores de la amenaza han aprendido que la la IoT/OT de su organización. Uno de los enfoques
La aceleración de la como del perímetro inteligente. Como resultado de
la pandemia que obliga a las entidades a digitalizarse
desactivación de los servicios críticos es una palanca
poderosa. El ataque de ransomware de 2021 a la
consiste en implementar la monitorización continua
de los dispositivos IoT y OT. Otra es "cambiar a la
transformación digital para sobrevivir y del ritmo al que las industrias de todo empresa Colonial Pipeline Company demostró cómo izquierda"; es decir, exigir y aplicar mejores prácticas
ha aumentado el riesgo
el mundo están adoptando dispositivos con acceso a los delincuentes pueden interrumpir un servicio de ciberseguridad para los propios dispositivos
Internet, la superficie de ataque del mundo digital está crítico para aumentar la probabilidad de que se pague de IoT y OT. Un tercer enfoque consiste en aplicar una
de ciberseguridad para aumentando exponencialmente. un rescate. Y los ciberataques de Rusia contra
Ucrania demuestran que algunos estados nación
solución de supervisión de la seguridad que abarque
tanto las redes de TI como las de OT. Este enfoque
las infraestructuras críticas
Esta migración rápida ha superado la capacidad de
consideran los ciberataques contra infraestructuras holístico tiene la importante ventaja añadida de
la comunidad de seguridad de mantenerse al día.
y los sistemas ciberfísicos.
críticas como un sabotaje aceptable para lograr sus contribuir a los procesos críticos de la organización,
En el último año, hemos observado que las amenazas
objetivos militares. como "romper los silos" entre OT e IT, lo que a su vez
explotan dispositivos en todas las partes de la
permite a la organización alcanzar una postura de
organización, desde equipos de TI tradicionales hasta No obstante, hay esperanza en el horizonte.
seguridad mejorada al tiempo que se cumplen los
controladores de tecnología operativa (OT) o simples Los legisladores y los defensores de la red están
objetivos empresariales.
sensores de la Internet de las Cosas (IoT). Aunque la actuando para mejorar la ciberseguridad de las
seguridad de los equipos informáticos se ha reforzado infraestructuras críticas, incluidos los dispositivos de Michal Braverman-Blumenstyk
en los últimos años, la seguridad de los dispositivos IoT y OT de los que dependen. Los legisladores están Vicepresidente corporativo, director de Tecnología,
IoT y OT no ha seguido el mismo ritmo. Los actores acelerando el desarrollo de leyes y reglamentos para nube y seguridad de IA
de la amenaza están explotando estos dispositivos fomentar la confianza pública en la ciberseguridad de
para establecer el acceso en las redes y permitir las infraestructuras y dispositivos críticos.
elmovimiento lateral o interrumpir las operaciones de
Microsoft se está asociando con gobiernos de todo
OT de la organización. Hemos visto ataques a las redes
el mundo para aprovechar esta oportunidad de
eléctricas, ataques de ransomware que interrumpen
mejorar la ciberseguridad y agradecemos cualquier
las operaciones de OT, enrutadores de IoT que se
otro compromiso. Sin embargo, nos preocupa que los
aprovechan para aumentar la persistencia y ataques
requisitos incoherentes, a medida o complejos puedan
dirigidos a las vulnerabilidades del firmware.
tener efectos no deseados, incluida la disminución de
la seguridad en algunos casos al desviar los escasos
recursos de seguridad hacia el cumplimiento de
múltiples certificaciones duplicadas.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
59 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
infraestructuras críticas
efectivas de ciberseguridad de las infraestructuras
críticas, aumentando la comprensión de los desafíos
y oportunidades, y apoyando los esfuerzos para
Los gobiernos de todo el mundo están mejorar la postura de riesgo colectivo.
elaborando y desarrollando políticas para
Evolución de la directiva de administración
administrar el riesgo de ciberseguridad de
de riesgos de ciberseguridad de las
las infraestructuras críticas. Muchos también
infraestructuras críticas
están promulgando políticas para mejorar
Durante el último año, múltiples jurisdicciones,
la seguridad de los dispositivos de IoT y OT.
entre ellas Australia, Chile, la Unión Europea
La creciente ola mundial de iniciativas políticas (UE), Japón, Singapur, el Reino Unido (RU) y los
está creando una enorme oportunidad para Estados Unidos, han desarrollado, actualizado
mejorar la ciberseguridad, pero también o implementado requisitos de ciberseguridad
plantea desafíos a las partes interesadas de intersectoriales o específicos del sector.1 Muchos
todo el ecosistema. de estos gobiernos, y otros como el de la India2
y Suiza3, ya han emitido o están desarrollando
requisitos de notificación de incidentes La UE trabajó para actualizar su Directiva En mayo, Indonesia emitió un reglamento
El desarrollo de una visión holística para la de ciberseguridad para las infraestructuras SRI de 2016, que proporciona un marco para presidencial sobre la protección de las
administración de los riesgos cibernéticos de las críticas y los proveedores de servicios esenciales.4 que los Estados miembros de la UE regulen infraestructuras de información vitales ("IIV"), que
infraestructuras críticas es fundamental, pero los servicios y productos tecnológicos considerados entrará en vigor en mayo de 2024 y abarcará sectores
El año pasado se produjeron algunas novedades
complejo, sobre todo teniendo en cuenta el grado de críticos para su economía y el funcionamiento de como la energía, el transporte, las finanzas y la salud,
políticas notables en Australia, la UE, Indonesia
interconexión entre las tecnologías y los proveedores la sociedad. La propuesta de NIS 2 incluye revisiones entre otros. El objetivo de Indonesia con la normativa
y Estados Unidos. Australia promulgó dos leyes
mundiales, la gama de usos de la tecnología y los que crearían una nueva categoría de infraestructura es proteger la continuidad de la implementación
para ayudarle a administrar los riesgos de
riesgos asociados, y la necesidad de invertir en digital crítica, aumentarían los requisitos de la IIV, evitar los ciberataques y aumentar
ciberseguridad de las infraestructuras críticas
estrategias a corto y largo plazo. Unas directivas de notificación de ciberincidentes e impondrían la preparación en la administración de los
intersectoriales. Las leyes, entre otras cosas,
de alcance efectivo que impulsen el aprendizaje requisitos adicionales de administración ciberincidentes. Los proveedores de IIV serán
designan nuevos sectores de infraestructuras
iterativo y las mejoras, y apoyen la interoperabilidad de riesgos de ciberseguridad, La UE también responsables de llevar a cabo una protección
críticas, exigen la elaboración de planes
global e intersectorial, pueden ayudar a administrar desarrolló una propuesta de actualización segura y confiable, de aplicar una administración
de administración de riesgos, obligan a informar
la complejidad y permitir una transformación digital de su Ley de Resiliencia Operativa Digital (DORA), eficaz de los riesgos cibernéticos y de informar
sobre incidentes de ciberseguridad y facultan
más orientada a la seguridad. Sin embargo, un creando nuevos requisitos para las tecnologías de los resultados de estos a los organismos
al gobierno para intervenir si determina
enfoque fragmentado de la legislación podría dar de comunicación de la información utilizadas gubernamentales correspondientes. El reglamento
que un operador de infraestructuras críticas
lugar a requisitos reglamentarios superpuestos en el sector de los servicios financieros. incluye la obligación de notificar los ciberincidentes
no quiere o no puede responder de manera
e incoherentes. Esto podría afectar a los recursos en un plazo de 24 horas.
suficiente a un incidente.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
60 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
infraestructuras críticas designaran un coordinador de ciberseguridad, de productos conectables por los consumidores, requisitos y la complejidad para las organizaciones
notificaran los incidentes de ciberseguridad como los televisores inteligentes, que dejen que tratan de aprovechar la orientación o demostrar
en un plazo de 24 horas, elaboraran y aplicaran un de utilizar contraseñas predeterminadas que el cumplimiento. Sin una definición universalmente
Continuación son un blanco fácil para los ciberdelincuentes,
plan de respuesta ante incidentes de ciberseguridad aceptada de la IoT, el alcance es muy difícil para las
El Congreso de los EE. UU. aprobó una ley que y completaran una evaluación de la vulnerabilidad que establezcan una política de divulgación regulaciones de dispositivos IoT y OT. Los ejemplos
autoriza a la Agencia de Seguridad de Infraestructura de la ciberseguridad. La TSA anunció simultáneamente de vulnerabilidades (como una forma de recibir anteriores se aplican potencialmente a los "productos
y Ciberseguridad (CISA) a emitir reglamentos para que también actualizaba sus programas de seguridad avisos de los fallos de seguridad) y que ofrezcan conectados y servicios auxiliares", los "productos
exigir a los operadores de infraestructuras críticas que aérea para exigir a los operadores de aeropuertos y transparencia sobre el tiempo mínimo durante el conectables de consumo" y los "dispositivos
informen de los ciberincidentes, y la Administración aerolíneas que apliquen las dos primeras disposiciones, que proporcionarán actualizaciones de seguridad.9 inalámbricos". Al mismo tiempo, muchos gobiernos
designando un coordinador y notificando los incidentes pretenden aplicar regímenes de evaluación más
de Seguridad en el Transporte (TSA) de los EE. UU. • En la UE se están aplicando nuevas normas
en un plazo de 24 horas. sólidos para comprender mejor si las organizaciones
emitió nuevos requisitos de ciberseguridad específicos o requisitos de seguridad a través de múltiples
para el sector del transporte. En 2021, la TSA emitió instrumentos legislativos, entre ellos un y los productos cumplen con los requisitos actuales,
Desarrollos de directivas en la IoT
dos directivas de seguridad para los operadores acto delegado de la Directiva sobre equipos emergentes y en evolución, y cómo lo hacen. A medida
y la seguridad de los dispositivos OT que estas tendencias se fusionen, la complejidad
de oleoductos de líquidos peligrosos y gas natural radioeléctricos que se aplica a los dispositivos
en respuesta al ataque de ransomware a Colonial En docenas de países, los gobiernos están activos inalámbricos y pretende mejorar la resiliencia aumentará. Resulta alentador que las preguntas
Pipeline Company: en el desarrollo de requisitos para avanzar en la de la red, proteger la privacidad de los planteadas durante la consulta sobre la Ley de
ciberseguridad de los productos y servicios de consumidores y reducir el riesgo de fraude resiliencia cibernética de la UE exploren cómo la nueva
• La primera directiva exigía a los operadores la tecnología de la información y las comunicaciones (TIC), normativa podría interactuar con la regulación de
monetario.10 Además, podría exigirse el uso
designación de un coordinador de ciberseguridad, incluidos los dispositivos de IoT y OT. En el contexto ciberseguridad existente, lo que indica la intención
de un esquema de certificación de la nube,11
la notificación de ciberincidentes en un plazo de los productos y servicios de la TIC, las mayores de evitar requisitos de ciberseguridad conflictivos.
actualmente en desarrollo como resultado
de 12 horas y la realización de una evaluación preocupaciones son la seguridad de la cadena de
de la Ley. de Ciberseguridad12 de la UE de 2019. Los enfoques iterativos basados en el riesgo
de la vulnerabilidad de sus sistemas. suministro de software y la seguridad de la IoT.
y orientados a los resultados o al proceso (en lugar
• La segunda directiva, que la TSA revisó en • La Comisión Europea propuso la Ley de de a la aplicación) podrían fomentar la ciberseguridad
2022, les exigía aplicar medidas de mitigación resiliencia cibernética, que establecería requisitos y la mejora continua. Del mismo modo, centrarse en
específicas para protegerse contra los ataques de ciberseguridad para el software independiente
permitir la interoperabilidad entre sectores, regiones
de ransomware y otras amenazas conocidas y los dispositivos conectados y servicios auxiliares.5
y áreas políticas podría elevar sistemáticamente
a los sistemas de TI y OT, desarrollar y aplicar Las prácticas más importantes para los proveedores
la ciberseguridad en las cadenas de suministro
un plan de contingencia y respuesta de de software incluyen el aprovechamiento
de un ciclo de vida de desarrollo de software mundiales interconectadas.
ciberseguridad en un plazo de 30 días,
y someterse a una revisión anual del diseño seguro6 y la provisión de una lista de materiales
de la arquitectura de ciberseguridad. de software.7 Se aplicarían nuevos requisitos
de seguridad a los dispositivos conectados
y se encargaría a todos los fabricantes
la administración de procesos coordinados
de divulgación de vulnerabilidades8 para los
productos liberados.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
61 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Los gobiernos actúan Acelerar las inversiones de todo el ecosistema en la seguridad Información práctica
para mejorar la seguridad de la cadena de suministro de software y la arquitectura 1 Las instituciones multilaterales deben
replantearse para hacer frente al acuciante
de Confianza cero
y la resiliencia de las desafío de los ciberataques de los
estados nación.
La Orden Ejecutiva (OE) 14028 de EE. UU.
infraestructuras críticas
Hoy, vamos a ir más allá de los requisitos
2 Desarrolle directivas de ciberseguridad que
sobre la mejora de la ciberseguridad de la EO para demostrar la conformidad sean coherentes e interoperables entre
Continuación ha sido un catalizador para acelerar las con los requisitos de seguridad de regiones, sectores y áreas temáticas.
iniciativas en curso de Microsoft para la cadena de suministro de software
Cada vez son más complejas invertir en nuestra propia seguridad y proporcionar información de la lista Vínculos a más información
las directivas de ciberseguridad de las de la cadena de suministro y de todo de materiales de software (SBOM) de Inversiones continuas en la seguridad de la
el ecosistema y para permitir que dos maneras: cadena de suministro en apoyo de la Orden
infraestructuras críticas que se están
nuestros clientes cumplan los objetivos 1. En primer lugar, compartimos una versión open ejecutiva sobre ciberseguridad | Microsoft
desarrollando en todas las regiones,
de Confianza cero. source de nuestra herramienta generadora de Tech Community
sectores y áreas temáticas. Esta actividad SBOM, que hemos creado para que se integre El gobierno de EE. UU. establece la estrategia y
conlleva grandes oportunidades e con facilidad a los canales de CI/CD que admiten los requisitos de la arquitectura de Confianza
Llevamos mucho tiempo creyendo que para mejorar
importantes retos. La forma de proceder la cadena de suministro de software es necesario
compilaciones en plataformas Windows, Linux, cero | Microsoft Security Blog
Mac, iOS y Android.13
de los gobiernos será crucial para compartir los aprendizajes y los procedimientos CYBER EO | Microsoft Federal
2. En segundo lugar, contribuiremos al desarrollo
el futuro de la transformación digital recomendados, empezando por nuestra publicación
de normas industriales para la integridad, la
del Ciclo de vida de desarrollo de seguridad de Integridad, transparencia y confianza
y la seguridad de todo el ecosistema. Microsoft hace unos 15 años. transparencia y la confianza en la cadena de en la cadena de suministro | github.com
suministro (SCITT). Esto permitirá el intercambio
Además, estamos colaborando estrechamente con automatizado de información verificable sobre la Implementación de una arquitectura
el Centro Nacional de Excelencia en Ciberseguridad cadena de suministro, incluidos los artefactos que de Confianza cero | NCCoE (nist.gov)
para demostrar los enfoques de la arquitectura demuestran la conformidad con los requisitos,
de Confianza cero aplicados tanto a la tecnología como los resultantes de la guía de la cadena
local como a lade la nube, y estableciendo nuevas de suministro de software de EO.
capacidades de producto, incluida la capacidad de
aplicar la autenticación resiliente al phishing para
entornos híbridos y multinube.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
62 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
IoT y OT expuestas: Los dispositivos IoT plantean riesgos Ataques contra dispositivos de administración remota
de seguridad únicos como puntos de entrada
Tendencias y ataques
140
y cambio en la red. Millones de dispositivos 120
IoT no tienen revisiones o están expuestos.
El mundo digital, cada vez más conectado, 100
implica que los dispositivos se conectan
Millones
80
Los dispositivos expuestos pueden ser descubiertos
rápidamente, se comunican con sistemas a través de herramientas de búsqueda en Internet, 60
más amplios, recopilan datos y crean identificando los servicios que escuchan en los puertos 40
visibilidad en espacios antes oscuros. de red abiertos. Estos puertos se usan habitualmente
Esto supone una oportunidad tanto para para la administración remota de dispositivos.
20
las organizaciones como para los actores Si no se asegura correctamente, un dispositivo IoT 0
de las amenazas, ya que el negocio expuesto puede utilizarse como punto de cambio en
Abr 2022
May 2022
Jun 2021
Jul 2021
Ago 2021
Sep 2021
Oct 2021
Nov 2021
Dic 2021
Ene 2022
Feb 2022
Mar 2022
de la ciberdelincuencia se está convirtiendo otra capa de la red de la empresa, ya que los usuarios
en una industria multimillonaria y en un riesgo. no autorizados pueden acceder remotamente a los
puertos. Hemos observado una variedad de actores
de amenaza que intentan explotar las vulnerabilidades Aumento de los ataques a los puertos de administración remota a lo largo del tiempo, como se observa
Los dispositivos IoT, que incluyen desde impresoras de los dispositivos expuestos a Internet, desde cámaras en la red de sensores MSTIC.
hasta cámaras web, dispositivos de control climático hasta enrutadores y termostatos. Sin embargo, a pesar
y controles de acceso a edificios, suponen riesgos de del riesgo, millones de dispositivos siguen sin revisiones
seguridad únicos para las personas, las organizaciones o expuestos. Ataques web contra la IoT y OT
y las redes. Aunque son fundamentales para las
operaciones de muchas organizaciones, pueden 50
convertirse con rapidez en una responsabilidad Resumen de los tipos de ataque en la IoT/OT
y un riesgo para la seguridad. La rápida adopción Bases de datos 18 % Web 30 % 40
de soluciones de IoT en casi todas las industrias
ha aumentado el número de vectores de ataque 30
Sistemas
Miles
yel riesgo de exposición de las organizaciones. de control
industrial 1 % 20
El malware como servicio se ha trasladado a las
operaciones a gran escala contra la infraestructura 10
civil y los servicios públicos (incluidos los hospitales,
el petróleo y el gas, las redes eléctricas, los servicios 0
de transporte y otras infraestructuras críticas), Correo elec-
Jun 2021
Jul 2021
Ago 2021
Sep 2021
Oct 2021
Nov 2021
Dic 2021
Ene 2022
Feb 2022
Mar 2022
Abr 2022
May 2022
Jun 2022
trónico 4 %
así como las redes corporativas. Los actores Administración
remota 46 %
de las amenazas deben realizar importantes Otro 1 %
IoT y OT expuestas:
Mirai evolucionó para infectar una amplia gama
de dispositivos IoT, incluyendo cámaras de protocolo Prevalencia relativa de los pares de nombre de usuario y contraseña observados entre los
dispositivos IoT/OT en 45 días de señales de sensores.
Tendencias y ataques
de Internet, grabadores de video digital de cámaras
de seguridad y enrutadores. El vector de ataque eludió
los controles de seguridad heredados y supone un
adminteleco
Continuación riesgo para los puntos de conexión de la red al explotar
vulnerabilidades adicionales y desplazarse lateralmente.
supp
Utilidad de malware renovada Mirai se rediseñó en múltiples ocasiones, con variantes
123
ort
A medida que los grupos de ciberdelincuentes que se adaptan a diferentes arquitecturas y explotan
45
m
han ido evolucionando, también lo ha hecho vulnerabilidades conocidas y de día cero para
6
ad
m
su implementación de malware y la elección comprometer nuevos vectores de ataque.
telecomadm
in
11
12
de sus objetivos. El año pasado, observamos que nc
3
El uso de Mirai creció entre las arquitecturas de CPU 12
supp
los ataques contra protocolos comunes de la IoT 34
x86 de 32 y 64 bits durante el año pasado, y el malware
roo
(como Telnet) disminuyeron significativamente,
ort
recibió nuevas capacidades que los grupos delictivos
t
ad
en algunos casos hasta un 60 %. Al mismo tiempo, 11
in
m
y de estados nación adoptaron con rapidez. tsg ad
oin nc
in
los grupos de ciberdelincuentes y los agentes gon m
in
Los ataques del estado nación aprovechan ahora
de los estados nación reutilizaron las redes de
las nuevas variantes de las redes de robots existentes roo
robots. La persistencia del malware, como Mirai, t
en los ataques de denegación de servicio distribuidos
pone de manifiesto la modularidad de estos ataques
(DDoS) contra adversarios extranjeros. default
y la adaptabilidad de las amenazas existentes. default
A medida que los ingresos de los ataques contra
El principal malware de IoT detectado los dispositivos IoT disminuyeron en 2022, observamos
El en la práctica
principal (julio de
malware de2021 a junio de 2022)
IoT detectado que varios grupos de actores de amenaza abusan de las usuar
io
en la práctica vulnerabilidades (como Log4j y Spring4Shell) para io
usuar
entregar una carga útil malintencionada a dispositivos in
m
103 092 87 479 11 895 10 192 3166 como servidores, infectándolos y reclutándolos tad ad
lne m
en grandes redes de robots que realizan ataques te in
DDoS. La renovada utilidad del malware diseñado in
m
ad
root
para dirigirse a los dispositivos vulnerables de la IoT t
lne ad
tiene graves implicaciones tanto para las organizaciones te m
in
como para los países, ya que el movimiento lateral
puede exponer puertas traseras a cargas útiles
ot
ro
adicionales y a otros dispositivos en las redes.
521
Nombres de usuario
in
Zte
del círculo interior
1001ch
vizxv
Muchos protocolos de los sistemas de control
Contraseñas del
industrial no están supervisados y, por tanto, son círculo exterior
Xhide
Tsunami vulnerables a los ataques específicos de la OT.
Miner
Mirai
Gafgyt Esto puede significar un mayor riesgo para las
infraestructuras críticas. El uso de pares de nombres de usuario y contraseñas comunes incrementa el riesgo de compromiso. Sobre la base
de una muestra de más de 39 millones de dispositivos IoT y OT, los que utilizaban nombres de usuario y contraseñas idénticos
representaban alrededor del 20 %.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
64 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
IoT y OT expuestas: Prevalencia del protocolo del sistema de control industrial El malware como Mirai persiste desarrollando
nuevas capacidades y está siendo adoptado
Tendencias y ataques
1. EtherNet/IP 13. IEC-60870
por grupos de ciberdelincuentes y actores
2. MODBUS 14. Diagnóstico de
Honeywell FDA de estado nación, aprovechando nuevas
Continuación 3. BACNet
variantes de redes de robots existentes
15. Suitelink
Aunque las configuraciones débiles y las credenciales
4. Siemens S7 en ataques DDoS a adversarios extranjeros.
16. DeltaV
predeterminadas siguen suponiendo un riesgo para las 3 4 5 5. Profinet en
redes, Microsoft ha observado muchas vulnerabilidades tiempo real 17. GSM
basadas en web que utilizan HTTP. Hemos observado 6. Profinet DCP 18. DNP3 Información práctica
este aumento de los ataques a los servicios basados
1 7. Siemens S7 Plus 19. AMS
en web mediante redes de robots heredadas. 1 Asegúrese de que los dispositivos son
Mientras tanto, disminuyó el número de puertos telnet 8 11 12 8. CodeSys 20. SRTP robustos aplicando revisiones, cambiando
abiertos en Internet, un signo positivo para la seguridad 9. Agente 21. TwinCat las contraseñas predeterminadas
de la red, ya que las redes de robots que suponían un 6 Siemens WinCC y los puertos SSH predeterminados.
riesgo histórico para los dispositivos están perdiendo 22. Emerson Roc
relevancia. Mientras tanto, disminuyó el número de 13 14 15 10. EtherNet/IP
23. Bently Nevada 2 Reduzca la superficie de ataque eliminando
9
puertos telnet abiertos en Internet, un signo positivo O/O las conexiones a Internet innecesarias
20 21 24. Mitsubishi y los puertos abiertos, restringiendo
para la seguridad de la red, ya que las redes de robots 11. Acceso a datos
MELSEC
16 18 de control el acceso remoto mediante el bloqueo
que suponían un riesgo histórico para los dispositivos 22 23
están perdiendo relevancia. de Honeywell 25. TriStation Tricon de puertos, denegando el acceso
2 7 10 17 19 24 25 remoto y utilizando servicios VPN.
12. MMS
Distribución del malware de IoT por 3 Utilice una solución de detección y respuesta
arquitectura de CPU de red (NDR) con conciencia de IoT/
Vulnerabilidades del protocolo del sistema de 2. Existe una gran variedad de protocolos específicos OT y una solución de administración de
PowerPC o ARC Cores Tangent-A5 <1 % control industrial de los proveedores. Esto significa que las eventos e información de seguridad (SIEM)/
Cisco 4500 6 % soluciones de seguridad específicas del proveedor orquestación y respuesta de seguridad (SOAR)
Examinamos los datos de OT de nuestros sensores no podrán cubrir de manera suficiente toda la red. para supervisar los dispositivos en busca de
ARM 26 %
conectados a la nube, revelando los protocolos más Microsoft da prioridad a un enfoque agnóstico del comportamientos anómalos o no autorizados,
Renesas
SH 6 %
comunes del sistema de control industrial (ICS). proveedor, para ofrecer cobertura de seguridad como la comunicación con hosts desconocidos.
Estos protocolos permiten conocer la naturaleza de para la amplia variedad de dispositivos diferentes.
estos dispositivos y su superficie de ataque. Esto es 4 Segmentar las redes para limitar la capacidad
ARM muy relevante para la seguridad de las infraestructuras 3. Las organizaciones tienen que asegurarse de que de un atacante de moverse lateralmente
Intel 80386 AArch64 1 % estos protocolos no están expuestos directamente
críticas. Algunos aprendizajes clave son: y comprometer los activos después de
15 % a Internet desde sus redes. Esta exposición podría
1. La mayoría de los protocolos representados son la intrusión inicial. Los dispositivos de IoT y las
suponer un importante riesgo para la seguridad redes de OT deben aislarse de las redes de
propietarios, por lo que las herramientas estándar debido a las vulnerabilidades y a la naturaleza
MIPS 20 % de supervisión de TI no tendrán una visibilidad TI corporativas a través del uso de firewalls.
Motorola insegura de estos protocolos.
de seguridad suficiente en estos dispositivos y Asegúrese de que los protocolos de ICS
m68k 4 % 5
x86-64 19 % SPARC 3 % protocolos. Como resultado, las redes quedan no se expongan directamente a Internet.
sin supervisión y, por tanto, son más vulnerables
Microsoft ha observado que los dispositivos IoT que funcionan a los ataques específicos de la OT.
con ARM son los más atacados por el malware, seguidos por
los MIPS, X86-64 e Intel 80386 CPU.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
65 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Cadena de suministro
El firmware es responsable de las funciones El proceso de actualización del firmware varía
principales de un dispositivo, como la conexión mucho según los dispositivos, y la complejidad "Los proveedores de infraestructuras ICT son cada
Edna Conway,
Vicepresidente, agente de Seguridad
y riesgo, Infraestructura en la nube
El estado Amenazas Operaciones
Operaciones
Introducción la ciberde-
El estado
de de la
ciberde- para los
para los Dispositivos de influencia
influencia Resiliencia
Resiliencia Equipos
66 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estados nación cibernética
e infraestructura cibernética cibernética
cibernética colaboradores
colaboradores
en las redes corporativas. A diferencia de ReFirm Labs analiza la imagen binaria del firmware de Más de 10 certificados que caducaron
hace más de 3 años 13 %
los puntos de conexión de TI tradicionales un dispositivo y elabora un informe detallado sobre
posibles fallos de seguridad.17 Esta tecnología se
que utilizan agentes XDR para identificar
Presencia de componentes peligrosos 36 %
está incorporando a una futura versión de Microsoft
las debilidades, la identificación de Defender for IoT.
vulnerabilidades dentro de los dispositivos • Vulnerabilidades conocidas: Al igual que otros • Componentes de software: El 36 % de las imágenes
Durante el año pasado, examinamos los resultados
de IoT/OT es mucho más esquiva. agregados del firmware único escaneado por sistemas, el firmware de los dispositivos IoT/ contienen componentes de software que
nuestros clientes. Aunque no todos los puntos débiles OT aprovecha ampliamente las bibliotecas open Microsoft recomienda excluir en los dispositivos
descubiertos pueden explotarse, ponen de manifiesto source. Sin embargo, los dispositivos suelen venir IoT, como herramientas de captura de paquetes
Un reciente estudio realizado por Microsoft
el desafío fundamental de la seguridad del firmware con versiones desfasadas de estos componentes. (tcpdump, libpcap), que pueden aprovecharse
y el Instituto Ponemon pone de manifiesto tanto
de los dispositivos. En nuestro análisis, el 32 % de las imágenes para el reconocimiento de la red como parte
la oportunidad como el desafío de la seguridad de
contenían al menos 10 vulnerabilidades conocidas de una cadena de ataque.
los dispositivos IoT/OT en una empresa.15 Aunque Tenga en cuenta que los tipos de debilidades que (CVE) calificadas como críticas (9,0 o más).
el 68 % de los encuestados cree que la adopción existen en los dispositivos IoT/OT nunca serían El 4 % contenía al menos 10 vulnerabilidades
de IoT/OT es fundamental para su transformación aceptables en los puntos de conexión tradicionales críticas con más de seis años de antigüedad.
digital estratégica, el 60 % reconoce que la seguridad de Windows o Linux.
de IoT/OT es uno de los aspectos menos seguros • Certificados caducados: Los certificados se
de la infraestructura de TI/OT. • Contraseñas débiles: El 27 % de las imágenes utilizan para autenticar conexiones e identidades,
de firmware analizadas contenían cuentas así como para proteger datos sensibles, pero
Un ejemplo de atacantes que utilizan las con contraseñas codificadas con algoritmos el 13 % de las imágenes analizadas contenían
vulnerabilidades del firmware de los dispositivos IoT débiles (MD5/DES), que los atacantes pueden al menos 10 certificados que habían caducado
para infiltrarse en una red es el troyano Trickbot, romper fácilmente. hace más de tres años.
que aprovechó las contraseñas predeterminadas
y las vulnerabilidades de los enrutadores Mikrotik16
para eludir los sistemas de defensa corporativos.
El desafío fundamental del firmware de los dispositivos
IoT es la falta de visibilidad de la postura de seguridad
y las vulnerabilidades de los dispositivos.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
67 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Ataques de OT basados
La configuración única de cada PLC se describe
en el archivo de proyecto, que contiene la definición
en el reconocimiento
del entorno y sus activos, la lógica de escalera, etc.
En la mayoría de los entornos que muestran
Ataques de OT basados
Incontroller, un marco de ataque modular El marco de trabajo de Incontroller es compatible
identificado durante el mismo período, con los protocolos de los PLC de Schneider Electric Información práctica
en el reconocimiento
es un conjunto de herramientas modulares y Omron y recoge información, como la versión
1 Evite transferir archivos que contengan
que reduce de forma considerable el tiempo del firmware, eltipo de modelo y los dispositivos
definiciones del sistema a través de canales
de espera para penetrar y atacar los dispositivos conectados. El kit de herramientas puede emitir
no seguros, o a personal no esencial.
Continuación OT, eludiendo las soluciones de seguridad comandos para cambiar las configuraciones y encender
heredadas. El kit de herramientas de propósito y apagar las salidas. Una vez que se accede a un 2 Cuando la transferencia de este tipo
A principios de 2022, se identificaron dos ataques
general tiene capacidades de recopilación entorno, el marco admite la implantación de puertas de archivos sea inevitable, asegúrese
críticos de OT adaptables. Un ataque ciberfísico
de datos, reconocimiento y ataque que son traseras en los dispositivos para la entrega de más de supervisar la actividad en la red
contra subestaciones eléctricas y relés de protección
altamente personalizables para diferentes cargas útiles, la emisión de vulnerabilidades para y garantizar la seguridad de los activos.
en Ucrania se llevó a cabo con malware personalizado,
entornos y pueden tener un gran impacto en la fase aumentar los puntos de acceso, la carga de lógica
incluida una variante de Industroyer, un malware 3 Proteja las estaciones de ingeniería
de investigación para un ataque de OT, lo que reduce de escalera y la capacidad de iniciar ataques DoS.
conocido por haber causado cortes de energía mediante la supervisión con soluciones EDR.
el tiempo necesario para realizar el reconocimiento, La naturaleza genérica del conjunto de herramientas
en Ucrania tras su implementación en 2016.
apoya la simulación de entornos mediante la permite a un actor de amenaza atacar un entorno Lleve a cabo de forma proactiva
4
Industroyer2 es la primera reimplementación extracción de información sobre los dispositivos con rapidez sin necesidad de escribir nuevos ataques la respuesta ante incidentes en las redes OT.
conocida de malware de ataque a OT en un nuevo y sus configuraciones. para cada PLC o ubicación. Esto permite al actor
objetivo. Utilizó el complemento del protocolo IEC104 interactuar de forma sencilla con diferentes tipos 5 Implantar una monitorización continua,
(protocolo estándar para la monitorización y el control de máquinas potencialmente en muchas industrias. como Defender for IoT.
de sistemas de energía) desarrollado para Industroyer
y dirigido principalmente a unidades terminales
remotas tipo PLC con número de modelo ABB
RTU540/560. El autor de este malware utilizó
el conocimiento del entorno de la víctima para
emitir comandos de manera repetida a salidas
predeterminadas, asegurándose de que no pudieran
encenderse manualmente. Esto aseguraba cortes
de energía más duraderos y un impacto más dañino.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
70 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Notas finales
1. Consulte, por ejemplo, Revised Directive on Security of Network and Information Systems (NIS2) 16. D escubrimiento del uso de dispositivos IoT por parte de Trickbot en la infraestructura C2 (marzo
| Shaping Europe’s digital future (europa.eu); https://eur-lex.europa.eu/legal-content/EN/TXT/ de 2022): https://www.microsoft.com/security/blog/2022/03/16/uncovering-trickbots-use-of-iot-devices-
PDF/?uri=COM:2020:595:FIN&rid=1; Ley de modificación de la legislación en materia de seguridad in-command-and-control-infrastructure/
(Protección de infraestructura crítica) de 2022 (homeaffairs.gov.au); Chile: Bill for cybersecurity and critical 17. Episodio del programa de IoT en Channel 9 sobre el escaneo del firmware de IoT (mayo de 2022): https://
information infrastructure introduced in Senate | Publicación de prensa | DataGuidance; Japan passes docs.microsoft.com/en-us/shows/internet-of-things-show/iot-device-firmware-security-scanning-with-
economic security bill to guard sensitive technology | The Japan Times; Review of the Cybersecurity azure-defender-for-iot
Act and Update to the Cybersecurity Code of Practice for CIIs (csa.gov.sg); Proposal for legislation 18. Cómo aplicar un enfoque de Confianza cero a sus soluciones de IoT (mayo de 2021):
to improve the UK’s cyber resilience—GOV.UK (www.gov.uk); Ley sobre telecomunicaciones (Seguridad) https://www.microsoft.com/security/blog/2021/05/05/how-to-apply-a-zero-trust-approach-
2021 (legislation.gov.uk); Updating the NIST Cybersecurity Framework—Journey To CSF 2.0 | NIST to-your-iot-solutions/
2. Cert-In: página de inicio
3. Initiation of consultation on introduction of cyberattack reporting obligation (admin.ch)
4. Consulte, por ejemplo, sin título (house.gov)
5. Ley de ciberresiliencia | Configurar el futuro digital de Europa (europa.eu)
6. Consulte, por ejemplo, Ciclo de vida de desarrollo de seguridad de Microsoft
7. Consulte, por ejemplo, Generación de listas de materiales de software (SBOM) con SPDX en Microsoft:
Engineering@Microsoft; consulte también, por ejemplo, The Minimum Elements For a Software Bill of
Materials (SBOM) | National Telecommunications and Information Administration (ntia.gov)
8. Consulte, por ejemplo, https://www.microsoft.com/en-us/msrc/cvd
9. The Product Security and Telecommunications Infrastructure (PSTI) Bill—product security factsheet—GOV.
UK (www.gov.uk)
10. Commission strengthens cybersecurity of wireless devices and products (europa.eu)
11. Cloud Certification Scheme: Building Trusted Cloud Services Across Europe — ENISA (europa.eu)
12. Certification — ENISA (europa.eu)
13. https://github.com/microsoft/sbom-tool” GitHub - microsoft/sbom-tool: The SBOM tool is a highly
scalable and enterprise ready tool to create SPDX 2.2 compatible SBOMs for any variety of artifacts.
14. https://www.zdnet.com/article/ripple20-vulnerabilities-will-haunt-the-iot-landscape-for-years- to-come
15. La innovación en IoT/OT es fundamental, pero conlleva importantes riesgos (diciembre de 2021):
https://www.microsoft.com/security/blog/2021/12/08/new-research-shows-iot-and-ot-innovation-is-
critical-to-business-but-comes-with-significant-risks/
El estado Amenazas
Amenazas para
para Operaciones
Introducción El estado
de de la
ciberde-
la ciberde- para los
los estados
para los
estados Dispositivos ee
Dispositivos
Dispositivos de influencia Resiliencia
Resiliencia Equipos
71 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados
nación nación
estados nación infraestructura
e infraestructura cibernética
infraestructura
e infraestructura cibernética
cibernética colaboradores
colaboradores
de influencia
Introducción 73
cibernética
Enfoque en las operaciones de influencia durante
el COVID-19 y lainvasión rusa de Ucrania 76
Medios sintéticos 80
Información general de Las operaciones de ciberinfluencia son cada vez más Rusia, Irán y China
sofisticadas, ya que cada vez más gobiernos y estados nación emplearon campañas
las operaciones utilizan estas operaciones para moldear la opinión, desacreditar de propaganda e influencia
de influencia cibernética a los adversarios y promover la discordia. a. lo largo de la pandemia
de COVID-19, a menudo como
Las operaciones de influencia un dispositivo estratégico
para lograr objetivos políticos
extranjera actuales utilizan más amplios.
nuevos métodos y tecnologías, Progresión de Más información en la página 76
lo que hace que sus campañas las operaciones
Posición
Factors
Low barrier to entry
de influencia Lanzamiento Amplificación
destinadas a erosionar
El 24 de febrero de 2022,
previa Rusia invadió Ucrania
cibernética Los medios sintéticos son cada vez más
la confianza sean más extranjeras frecuentes debido a la proliferación de Producers
herramientas que crean y difunden fácilmente Good and harmful u
eficientes y eficaces. imágenes, videos y audio artificiales de gran
Oct 2021
Nov 2201
Dic 2021
Ene 2022
Feb 2022
Mar 2022
Abr 2022
Más información en la página 74 realismo. La tecnología de procedencia digital
que certifica el origen de los activos de los Distribution
Los estados nación recurren cada vez más medios de comunicación es prometedora para Unprecedented spee
a sofisticadas operaciones de influencia para La invasión rusa de Ucrania demuestra combatir el uso indebido.
distribuir propaganda e influir en la opinión pública, las operaciones de influencia cibernética
tanto en el nivel nacional como en el internacional. integradas con ciberataques más tradicionales Effects
Estas campañas erosionan la confianza, aumentan
la polarización y amenazan los procesos democráticos.
y operaciones militares cinéticas para Más información en la página 80
Erosion of trust
la confianza, aumentan la
verdad y llegan seis veces más rápido a las primeras y la interferencia en las elecciones democráticas,
1500 personas. El ecosistema de la información se requiere un enfoque de toda la sociedad para mitigar
polarización y amenazan ha vuelto cada vez más turbio a medida que las
campañas de propaganda florecen en Internet y en las
las amenazas a la democracia tanto en línea como
fuera de ella.
los procesos democráticos. redes sociales y socavan la confianza en las noticias
tradicionales. En un estudio de 2021,2 solo el 7 %
Microsoft se dedica a apoyar un ecosistema informativo
saludable en el que prosperen las noticias y la
de los adultos estadounidenses dijo tener "mucha"
información de confianza. Estamos desarrollando
confianza en la información de los periódicos, la
herramientas y capacidades de detección de amenazas
televisión y la radio, mientras que el 34 % dijo no tener
para combatir el riesgo cambiante y creciente de las
"ninguna".
operaciones de influencia impulsadas por el estado
Microsoft ha estado trabajando para identificar nación. Para que este trabajo sea posible, adquirimos
los principales actores, amenazas y tácticas en el recientemente Miburo Solutions, nos asociamos con
espacio de influencia cibernética extranjera y para validadores de terceros como el Global Disinformation
compartir las lecciones aprendidas. En junio de Index y NewsGuard, y participamos y a veces lideramos
este año, publicamos un informe exhaustivo sobre asociaciones de múltiples partes interesadas, como
las lecciones aprendidas de Ucrania, que contenía la Coalition for Content Provenance and Authenticity
un análisis detallado de las operaciones de influencia (C2PA). Solo trabajando juntos podremos conseguir
cibernética de Rusia.3 enfrentarnos a quienes pretenden socavar los procesos
y las instituciones democráticas.
Teresa Hutson
Vicepresidenta, Tecnología
y responsabilidad corporativa
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
74 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Tendencias en las
destructivos y los esfuerzos de ciberespionaje, Por ejemplo, la publicidad en línea puede ayudar en las redes sociales y en los sitios de Internet de
los regímenes autoritarios emplean cada vez más a financiar actividades y los sistemas coordinados manera más amplia.
las operaciones de ciberinfluencia para moldear de entrega de contenidos pueden inundar los
operaciones de influencia
Estamos viendo cómo los regímenes autoritarios
la opinión, desacreditar a los adversarios, incitar motores de búsqueda.
de todo el mundo colaboran para contaminar el
al miedo, promover la discordia y distorsionar
cibernética
Este enfoque de tres pasos se aplicó a fines de ecosistema de la información en beneficio mutuo.
la realidad.
2021 para apoyar la falsa narración rusa en torno Por ejemplo, a lo largo de la pandemia de COVID-19,
a supuestas armas biológicas y biolaboratorios en Rusia, Irán y China emplearon operaciones de
Estas operaciones de ciberinfluencia Ucrania. Esta narración se subió por primera vez a propaganda e influencia utilizando una combinación
Las operaciones de ciberinfluencia son cada extranjera suelen tener tres fases: YouTube el 29 de noviembre de 2021 como parte de métodos de difusión abiertos, semiclandestinos y
vez más sofisticadas, ya que la tecnología de un programa habitual en inglés de un expatriado encubiertos para atacar a las democracias y promover
evoluciona al mismo ritmo. Estamos asistiendo estadounidense afincado en Moscú que afirmaba que objetivos geopolíticos (se analiza en profundidad
Posición previa
a una superposición y ampliación de las los laboratorios biológicos financiados por Estados en la página 76). Los tres regímenes aprovecharon
herramientas utilizadas en los ciberataques Al igual que el posicionamiento previo de malware
Unidos en Ucrania estaban relacionados con las armas los ecosistemas de mensajes e información de los
biológicas. La historia pasó prácticamente inadvertida demás para promover las narraciones preferidas.
tradicionales que se aplican a las operaciones en la red informática de una organización, las
durante meses. El 24 de febrero de 2022, justo cuando Gran parte de esta cobertura consistió en críticas
de ciberinfluencia. Además, estamos asistiendo operaciones de ciberinfluencia extranjeras posicionan
los tanques rusos cruzaron la frontera, la narración se o teorías conspirativas sobre Estados Unidos y sus
a una mayor coordinación y amplificación entre previamente narraciones falsas en el dominio público
envió a la batalla. Un equipo de análisis de datos de aliados, difundidas por figuras gubernamentales en
de Internet. La táctica de posicionamiento previo ha
los estados nación. ayudado durante mucho tiempo a las actividades
Microsoft identificó 10 sitios de noticias controlados declaraciones oficiales, al tiempo que promovían
o influenciados por Rusia que publicaron de manera sus propias vacunas y respuestas al COVID-19
cibernéticas más tradicionales, sobre todo si los
simultánea informes el 24 de febrero apuntando como superiores a las de Estados Unidos y otras
Microsoft invirtió este año en la lucha contra las administradores de TI analizan su actividad de
al "informe del año pasado" y tratando de darle democracias. Al amplificarse mutuamente, los medios
red más reciente. El malware que permanece
operaciones de influencia extranjera mediante la credibilidad. Además, funcionarios rusos del Ministerio de comunicación estatales crearon un ecosistema en
latente durante un tiempo prolongado en una red
adquisición de Miburo Solutions, una empresa de Asuntos Exteriores celebraron conferencias de el que la cobertura negativa de las democracias (o la
puede hacer que su uso posterior sea más eficaz.
especializada en el análisis de operaciones de prensa que sembraron aún más las falsas afirmaciones cobertura positiva de Rusia, Irán y China) producida
Las narraciones falsas que pasan inadvertidas en
influencia extranjera. Mediante la combinación sobre los biolaboratorios estadounidenses en el por un medio de comunicación estatal se vio
Internet pueden hacer que las referencias posteriores
de estos analistas con los analistas de contexto entorno informativo. Los equipos patrocinados por reforzada por otros.
parezcan más creíbles.
Rusia trabajaron entonces para amplificar la narración
de amenazas de Microsoft, se formó el Centro
de análisis de amenazas digitales (DTAC).
DTAC analiza e informa sobre las amenazas de Lanzamiento Progresión de las operaciones de ciberinfluencia extranjeras5
estado nación, incluyendo tanto los ciberataques
A menudo, en el momento más beneficioso para Posición previa Lanzamiento Amplificación
como las operaciones de influencia, combinando
lograr los objetivos del actor, se lanza una campaña
la información y la inteligencia de las amenazas coordinada para propagar las narraciones a través
con el análisis geopolítico para brindar de los medios de comunicación respaldados e
conocimientos e informar sobre la respuesta y las influenciados por el gobierno y los canales de las
protecciones eficaces. redes sociales.
Más de tres cuartas partes de las personas de
todo el mundo afirmaron estar preocupadas por la Conferencia de prensa Cobertura del ecosistema de Los medios
Amplificación
militarización de la información,4 y nuestros datos medios rusos extranjeros amplifican
respaldan estas preocupaciones. Microsoft y sus
Por último, los medios de comunicación controlados
socios han estado rastreando el modo en que los
por el estado y sus apoderados amplifican las
actores de estado nación usan las operaciones de Ilustración de cómo las narraciones sobre los biolaboratorios y las armas biológicas de Estados Unidos se difunden
narraciones dentro de las audiencias objetivo.
influencia para lograr sus objetivos estratégicos a través de las tres amplias fases de muchas operaciones de influencia extranjera: posición previa, lanzamiento y amplificación.
A menudo, los facilitadores tecnológicos
y metas políticas. Además de los ciberataques
involuntarios amplían el alcance de las narraciones.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
75 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Tendencias en las Es necesario aumentar En todo el mundo, más de tres cuartas partes de las
operaciones de la coordinación personas se preocupan por la forma en que la información
y el intercambio
influencia cibernética de información entre se convierte en un arma.
Continuación el gobierno, el sector
Por si fuera poco, las entidades tecnológicas del sector privado y la sociedad
privado podrían facilitar estas campañas sin saberlo. civil para aumentar
Los facilitadores pueden ser empresas que registran
dominios de Internet, hospedan sitios web, promueven
la transparencia
material en las redes sociales y sitios de búsqueda, y exponer y desbaratar
canalizan el tráfico y ayudan a pagar estos ejercicios estas campañas
mediante la publicidad digital. Las organizaciones
deben conocer las herramientas y los métodos
de influencia.
empleados por los regímenes autoritarios para
las operaciones de ciberinfluencia, de modo que
puedan detectar y luego prevenir la propagación
de las campañas. También existe una necesidad
creciente de ayudar a los consumidores a desarrollar
una capacidad más sofisticada para identificar
las operaciones de influencia extranjeras y limitar
el compromiso con sus narrativas o contenidos.
una estrategia de influencia más amplia para degradar El encubrimiento de las atrocidades por parte de Rusia
Dominios con tráfico
Enfoque en las operaciones de la confianza en las instituciones y poner en duda
(9 de marzo de 2022 al 30 de abril de 2022)
ha continuado a medida que avanzaba la guerra.
las narraciones principales. Esta información puede Por ejemplo, a fines de junio de 2022, los medios
influencia durante el COVID-19 manipularse para crear propaganda contra Ucrania 500 de comunicación rusos y las personas influyentes
y la invasión rusa de Ucrania y Occidente, disminuir la confianza en la seguridad
digital y erosionar el apoyo a la ayuda occidental 400
presentaron el bombardeo de un centro comercial
como algo justificado y necesario, afirmando
Continuación a Ucrania. falsamente que no se utilizaba como centro comercial,
300 sino como arsenal de las fuerzas de defensa territorial
En un informe de Microsoft publicado en abril de 2022, Rusia utilizó otros ataques informativos para
ucranianas.13 Varios blogueros pro-Kremlin en
mostramos cómo, en un aparente intento de controlar moldear la opinión pública después de los 200 Telegram publicaron y amplificaron contenidos
el entorno informativo en Kiev, Rusia lanzó un ataque acontecimientos sobre el terreno para oscurecer
que reforzaban la narración de "falsa bandera",
con misiles contra una torre de televisión en Kiev o socavar los hechos. Por ejemplo, el 7 de marzo, 100 con blogueros que señalaban supuestos indicadores
el mismo día que lanzó un destructivo programa Rusia predijo, mediante una presentación ante la
de fabricación, como la presencia de personas con
malintencionado contra una importante empresa Organización de las Naciones Unidas (ONU), que 0 uniforme militar en las imágenes del lugar de los
de medios de comunicación ucraniana.12 un hospital de maternidad de Mariupol (Ucrania)
hechos14 y la ausencia de mujeres en el metraje.15
marzo
marzo
marzo
02 de
26 de
09 de
10 de
18 de
25 de
se había desocupado y se estaba usando como
17 de
abril
abril
abril
abril
En otro ejemplo de cómo convergen los Rusia lanzó campañas apoyándose en un sistema
sitio militar. El 9 de marzo, Rusia bombardeó
ciberataques y las operaciones de influencia, construido de mensajeros y medios de propaganda.
el hospital. Tras conocerse la noticia del bombardeo, Los sitios web de propaganda publicaron historias
un actor de amenazas ruso envió a ciudadanos La amplificación de estas historias en línea
el representante de Rusia en la ONU, Dmitry sobre la maternidad durante unas dos semanas, con
ucranianos correos electrónicos que pretendían proporciona a Rusia la capacidad de desviar la culpa
Polyanskiy, tuiteó que la cobertura del bombardeo una breve reactivación a partir del 1 de abril de 2022.
ser de residentes de Mariupol, culpando en la escena internacional y evitar la responsabilidad.
era una "noticia falsa" y citó las afirmaciones anteriores Fuente: Microsoft AI for Good Lab.
al gobierno ucraniano de la escalada de la guerra
de Rusia sobre su supuesto uso como emplazamiento
y llamando a sus compatriotas a contraatacar Los Estados nación como Rusia comprenden
militar. A continuación, Rusia difundió este relato
al gobierno. Estos correos electrónicos se dirigían Imágenes por satélite de un hospital perinatal el valor de utilizar la información derivada de
en los sitios web controlados por Rusia durante las
específicamente (por su nombre) a quienes los en Mariupol en febrero y marzo de 2022 fuentes cerradas para influir en las percepciones
dos semanas siguientes al ataque al hospital.
recibían, indicando que podrían haber sufrido
del público, utilizando campañas de "hackeo
el robo de su información en un ciberataque
y filtración" para difundir narraciones contrarias
anterior relacionado con el espionaje. No se Dmitry Polyanskiy
incluyeron vínculos malintencionados, lo que sugiere y sembrar la desconfianza.
@Dpol_un
que la intención eran puras operaciones de influencia.
La presentación de material supuestamente Así es como nacen las #fakenews. Vínculos a más información
pirateado, filtrado o sensible es una táctica común Ya advertimos en nuestra declaración del
La defensa de Ucrania: Primeras lecciones de
utilizada por los actores rusos en las operaciones 7 de marzo (russia.ru/en/news/070322n)
la guerra cibernética | Microsoft On the Issues
de influencia. A lo largo de la guerra en Ucrania, que los radicales convirtieron este hospital
los canales de medios sociales prorrusos han se convirtió en un objeto militar. Resumen de la actividad de ciberataques
promovido lo que afirman que son materiales muy preocupante que la ONU difunda de Rusia en Ucrania | Microsoft Special Report
El propio análisis de imágenes por satélite de Microsoft
filtrados o sensiblesde fuentes ucranianas. esta información sin verificación
mostró el bombardeó al hospital perinatal. La primera Interrupción de los ciberataques dirigidos
Los canales y medios de comunicación social prorrusos #Mariupol #Mariupolhospital
foto es del 24 de febrero de 2022 y la segunda es del a Ucrania | Microsoft On the Issues
utilizan el material filtrado o sensible como parte de 24 de marzo de 2022. Fuente de la foto: Planet Labs.
1 4 8
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
78 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Seguimiento del Índice Índice de propaganda rusa en Estados Unidos (Oct 2021 - Abr 2022)
de propaganda rusa
En enero de 2022, casi mil sitios web
estadounidenses remitían tráfico a sitios
web de propaganda rusa. Los temas más
comunes de los sitios web de propaganda
rusa dirigidos a un público estadounidense
fueron la guerra en Ucrania, la política interna
de Estados Unidos (ya sea a favor de Trump
o de Biden) y las narraciones relacionadas con
el COVID-19 y las vacunas.
Mar 2022
Abr 2022
Ene 2022
Feb 2022
Oct 2021
Nov 2201
Dic 2021
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
79 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Angloparlantes
8 oct. 2021
18 oct. 2021
28 oct. 2021
7 nov. 2021
17 nov. 2021
27 nov. 2021
7 dic. 2021
17 dic. 2021
27 dic. 2021
6 ene. 2022
16 ene. 2022
26 ene. 2022
5 feb. 2022
El 24 de febrero de 2022, El 24 de febrero de 2022,
Rusia invadió Ucrania Rusia invadió Ucrania
RT en español es el medio de
comunicación internacional con
Oct 2021
Nov 2021
Dic 2021
Ene 2022
Feb 2022
Mar 2022
Abr 2022
mayor número de páginas vistas
Oct 2021
Nov 2021
Dic 2021
Ene 2022
Feb 2022
Mar 2022
Abr 2022
Medios sintéticos
Creación de medios sintéticos con rapidez que el video estaba ralentizado para Estas técnicas avanzadas basadas en la IA todavía
crear el efecto, la "falsificación barata" se difundió no se utilizan de forma generalizada en las campañas
El campo del texto y los medios de comunicación
mucho antes de que salieran a la luz el video original de ciberinfluencia, pero esperamos que el problema
sintéticos está avanzando a una velocidad increíble,
Estamos entrando en una era dorada para ya que técnicas que antes solo eran posibles con los
y el contexto. crezca a medida que las herramientas sean más
la creación y manipulación de medios vastos recursos informáticos de los grandes estudios Los enfoques más sofisticados para alterar
fáciles de usar y estén más disponibles.
con IA. Los analistas de Microsoft señalan cinematográficos se integran ahora en aplicaciones el contenido de los medios de comunicación El impacto de la manipulación
que esto se debe a dos tendencias clave: para teléfonos. Al mismo tiempo, las herramientas incluyen la aplicación de técnicas avanzadas
de los medios sintéticos
la proliferación de herramientas y servicios son cada vez más fáciles de usar y pueden generar de IA para (a) crear medios de comunicación
fáciles de usar para crear artificialmente contenidos con un nivel de realismo que puede puramente sintéticos, y (b) realizar ediciones más El uso de operaciones de información para causar
imágenes, videos, audio y texto sintéticos engañar incluso a los especialistas en medios forenses. sofisticadas de los medios existentes. El término daño o ampliar la influencia no es nuevo. Sin embargo,
de gran realismo, y la capacidad de difundir Estamos muy cerca de alcanzar el punto en el que "deepfake" se utiliza a.menudo para los medios la velocidad con la que se difunde la información
sintéticos que se crearon mediante técnicas de y nuestra incapacidad para distinguir con rapidez
con rapidez contenidos optimizados para cualquiera puede crear un video sintético de cualquier
persona diciendo o haciendo cualquier cosa. IA de vanguardia (el nombre proviene de las redes la realidad de la ficción hacen que el impacto
audiencias específicas. y el daño provocado por las falsificaciones y otros
No es descabellado pensar que estamos entrando neuronales profundas que a veces se utilizan).
en una era en la que una cantidad importante Estas tecnologías se están desarrollando como medios malintencionados generados de forma sintética
Ninguno de estos desarrollos es intrínsecamente de los contenidos que vemos en Internet son total aplicaciones, herramientas y servicios independientes puedan ser mucho mayores, como se ha demostrado
problemático por sí mismo. La tecnología basada en o parcialmente sintéticos mediante técnicas de IA. y se están integrando en herramientas de edición con el ejemplo de Pelosi.
la IA puede utilizarse para crear contenidos digitales comerciales y de código abierto. Hay varias categorías de daños que consideramos:
divertidos y emocionantes, ya sea creando material manipulación del mercado, fraude en los pagos,
Estas tecnologías se utilizan como armas
puramente sintético o mejorando el existente. Con la disponibilidad de herramientas vishing, su plantación de identidad, daño a la marca,
por los malos actores que esperan dañar a las
Estas herramientas están siendo muy utilizadas por más sofisticadas, fáciles de usar personas e instituciones. Algunos ejemplos daño a la reputación y redes de robots. Muchas de
las empresas para la publicidad y la comunicación
y ampliamente disponibles, la creación de técnicas de "deepfake" son: estas categorías tienen ejemplos del mundo real
y por los particulares para crear contenidos atractivos ampliamente difundidos, lo que podría socavar
para sus seguidores. Sin embargo, los medios de de contenidos sintéticos va en aumento • Intercambio de caras (video, imágenes):
nuestra capacidad de separar los hechos de la ficción.
comunicación sintéticos, cuando se crean y distribuyen y pronto será indistinguible de la realidad. reemplazar una cara en un video por
con la intención de dañar, tienen el potencial de otra. Esta técnica puede utilizarse para Una amenaza más a largo plazo y más insidiosa
causar graves daños a las personas, las empresas, intentar chantajear a una persona, empresa es la que se cierne sobre nuestra comprensión de
Hay muchas herramientas de edición de imagen, o institución, o para colocar a personas la verdad si ya no podemos confiar en lo que vemos
las instituciones y la sociedad. Microsoft ha sido
video y audio, gratuitas y comerciales, de gran en lugares o situaciones embarazosas. y oímos. Por ello, cualquier imagen, audio o video
una fuerza impulsora en el desarrollo de tecnologías
calidad. Estas herramientas pueden utilizarse para comprometedor de un personaje público o privado
y prácticas, tanto a nivel interno como en todo • Titiriteros (video, imágenes): usar un video
realizar cambios sencillos pero potencialmente puede descartarse como falso, un resultado conocido
el ecosistema de los medios de comunicación, para animar una imagen fija o un segundo video.
perjudiciales en los contenidos digitales, como como "El dividendo del mentiroso".17 Investigaciones
para limitar este daño. Esto puede hacer que parezca que una persona
agregar texto engañoso, intercambiar caras y eliminar recientes18 muestran que este abuso de la tecnología
Esta sección explora las ideas del análisis o alterar el contexto. Estas "falsificaciones baratas" ha dicho algo vergonzoso o engañoso.
ya se está utilizando para atacar los sistemas
de Microsoft sobre el estado actual de la tecnología se utilizan ampliamente para difundir contenidos • Redes generativas antagónicas (video, financieros, aunque hay muchos otros escenarios
para crear contenido sintético perjudicial, los daños nefastos, promover ideologías políticas y dañar la imágenes): una familia de técnicas de abuso que son plausibles.
que pueden surgir si este contenido se difunde reputación. Un ejemplo conocido es el video de 201916 para generar imágenes fotorrealistas.
de forma amplia, y las mitigaciones técnicas de la presidenta de la Cámara de Representantes • Modelos de transformadores (video,
que pueden defender contra las ciberamenazas de Estados Unidos, Nancy Pelosi, arrastrando las imágenes, texto): crear imágenes ricas
basadas en medios sintéticos. palabras y pareciendo ebria. Aunque se determinó a partir de descripciones de texto.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
81 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Medios sintéticos
Uno de los enfoques consiste en crear como se demostró en un concurso abierto de 2020 para En segundo lugar, los algoritmos avanzados de
sistemas basados en la IA que puedan detectar construir detectores de "deepfake".19 Resulta tentador creación de falsificaciones utilizan una técnica
las falsificaciones, es decir, sistemas de IA aumentar la inversión en el desarrollo de detectores llamada Redes generativas antagónicas (GAN) como
Continuación "defensivos"3para contrarrestar los sistemas d IA más avanzados, pero Microsoft es muy escéptica de parte del proceso de creación. Una GAN enfrenta
ofensivos. Se trata de un área de investigación que esto se traduzca en mejoras significativas por a dos sistemas de IA utilizando un generador
Detección de medios sintéticos
activa en la que los sistemas actuales de creación de dos razones: para crear la falsificación y un discriminador para
La industria, el gobierno y el mundo audio y video sintéticos dejan artefactos reveladores detectar las imágenes falsas y entrenar al generador.
En primer lugar, disponemos de excelentes modelos
académico se esfuerzan por desarrollar que analistas forenses capacitados de medios y Cualquier inversión en el desarrollo de un mejor
físicos que reflejan el mundo real. Los actuales
mejores formas de detectar y mitigar los herramientas automatizadas pueden detectar. detector solo permitirá al generador mejorar la
creadores de falsificaciones recortan las distancias,
medios sintéticos y restaurar la confianza. calidad de las falsificaciones.
Por desgracia, aunque las falsificaciones actuales tienen lo que da lugar a artefactos detectables, pero
Hay varias vías prometedoras para avanzar,
fallas reveladoras, los artefactos precisos tienden a ser los nuevos modelos serán cada vez más realistas.
así como barreras que merecen consideración.
específicos de una herramienta o algoritmo concreto. No hay nada inherentemente especial en una
Esto significa que el entrenamiento con falsificaciones escena del mundo real captada por una cámara
conocidas no suele generalizarse a otros algoritmos, que no pueda modelarse con un equipo.
Factores
Herramientas fáciles de usar Herramientas más sofisticadas Fácil distribución
Baja barrera de entrada
Medios sintéticos
La tecnología de procedencia digital es una
versión moderna de la firma criptográfica de La procedencia digital es una Información práctica
documentos, diseñada para capturar el origen, prometedora tecnología emergente Tome medidas proactivas para proteger
Continuación el historial de edición y los metadatos de los objetos 1
que tiene el potencial de ayudar a su organización contra las amenazas
a medida que fluyen por la web actual. Un equipo
Procedencia de los activos digitales a restaurar la confianza de la gente de desinformación mediante la consideración
interdisciplinario de investigadores y científicos
proactiva de sus respuestas de relaciones
Si la detección de falsificaciones no es confiable, ¿qué de Microsoft desarrolló la visión y los métodos en los contenidos de los medios
públicas y comunicación.
se puede hacer para protegerse de los usos nocivos técnicos para hacer posible este tipo de certificación de comunicación en línea al certificar
de los medios sintéticos? Una importante tecnología de extremo a extremo a prueba de manipulaciones 2 Utilice la tecnología de procedencia
emergente es la procedencia digital, un mecanismo
el origen de un activo de medios.
de los medios. Codirigimos una asociación para proteger las comunicaciones oficiales.
que permite a los creadores de medios digitales intersectorial destinada a dar vida a la tecnología
certificar un activo y ayuda a los consumidores de procedencia de los medios en Project Origin Las soluciones disponibles públicamente basadas Vínculos a más información
a identificar si el activo digital se manipuló o no. (fundado por Microsoft, BBC, CBC/Radio-Canada en la especificación C2PA están apareciendo Un avance prometedor en materia
La procedencia digital es muy importante en el y el New York Times) y participamos en la Iniciativa como una nueva función en los productos de desinformación | Microsoft On the Issues
contexto de las redes sociales actuales, dada la de autenticidad de los contenidos (fundada por existentes o como nuevas aplicaciones y servicios
velocidad con la que los contenidos pueden recorrer Adobe). Microsoft también ha colaborado con independientes. Esperamos que la mayoría de las A Milestone Reached, 31 de enero de 2022
Internet y la posibilidad de que los malos actores socios de servicios tecnológicos y de medios de herramientas de captura, edición y creación más
manipulen con facilidad los contenidos. comunicación para crear la Coalition for Content utilizadas estén habilitadas para C2PA en unos años. Project Origin | Microsoft ALT Innovation
Provenance and Authenticity (C2PA). C2PA es una Esto supone una oportunidad para que las empresas
Coalition for Content Provenance and
organización de normalización que ha publicado determinen sus necesidades y usos de la procedencia
Authenticity (C2PA)
hace poco la especificación de procedencia digital digital en la actualidad, y exijan esta capa adicional
más avanzada para utilizar con activos de medios de de protección en las herramientas que utilizan Explore los detalles técnicos del sistema que
comunicación como imágenes, videos, audio y texto. en los flujos de trabajo existentes. utiliza Project Origin para la autentificación
Un objeto habilitado para C2PA lleva un manifiesto de medios | Microsoft ALT Innovation
que protege el objeto y los metadatos de la
manipulación, y elcertificado que lo acompaña
identifica al editor.
900 %
como armas para socavar la confianza
en las personas e instituciones.
de aumento interanual
de la proliferación de
"deepfakes" desde 2019.20
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
83 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Un enfoque holístico
Detección publicitarios de forma colectiva con las empresas
El marco estratégico de Microsoft tiene tecnológicas, y legislación que proporcione créditos
Al igual que en el caso de la ciberdefensa,
como objetivo ayudar a las partes
para protegerse de las
fiscales para aliviar a las redacciones locales de una
el primer paso para contrarrestar las
interesadas intersectoriales a detectar, parte de sus impuestos sobre las nóminas de los
operaciones de ciberinfluencia extranjeras
operaciones de influencia
periodistas que emplean. Los periodistas necesitan
es desarrollar la capacidad de detectarlas. interrumpir, defender y disuadir de la muchas otras herramientas para su oficio, incluida
Ninguna empresa u organización puede
propaganda, en especial de las campañas la capacidad de separar los contenidos de fuentes
cibernética
esperar realizar individualmente los progresos
necesarios. Será crucial una nueva y más amplia de agresores extranjeros. legítimas y fraudulentas.
colaboración en el sector tecnológico, y los avances También existe la necesidad de ayudar a los
Microsoft está aprovechando su ya madura en el análisis y la denuncia de las operaciones Conviene empezar por uno de los grandes consumidores a desarrollar una capacidad más
infraestructura de inteligencia sobre de ciberinfluencia dependerán en gran medida del desafíos tecnológicos de nuestra época: el impacto sofisticada para identificar las operaciones de
ciberamenazas para desarrollar una visión papel de la sociedad civil, incluso en instituciones de Internet y la publicidad digital en el periodismo información impulsadas por el estado nación.
más amplia e inclusiva de las operaciones académicas y organizaciones sin ánimo de lucro. tradicional. Desde el año 1700, una prensa libre Aunque esto pueda parecer desalentador,
de ciberinfluencia. Reconociendo este papel, los investigadores e independiente ha desempeñado un papel especial se asemeja al trabajo que el sector tecnológico
en el apoyo a todas las democracias del planeta, lleva a cabo desde hace tiempo para combatir
Jake Shapiro y Alicia Wanless de la Universidad
descubriendo la corrupción, documentando las otras ciberamenazas. Considere la posibilidad
Utilizamos un marco para sugerir estrategias de Princeton y la Fundación Carnegie para la Paz
guerras e iluminando los mayores desafíos sociales de educar a los consumidores para que miren
de respuesta y mitigación para combatir la amenaza Internacional, respectivamente, han trazado
de esta y otras épocas. Sin embargo, Internet ha con más atención una dirección de correo
que suponen las operaciones, que puede dividirse planes para lanzar el nuevo "Institute for Research
destruido las noticias locales al devorar los ingresos electrónico para ayudar a detectar el correo
en cuatro pilares clave: detectar, interrumpir, on the Information Environment" (IRIE, Instituto
por publicidad y atraer a los suscriptores de pago. no deseado u otras comunicaciones fraudulentas.
defender y disuadir. de investigación sobre el entorno de la información).
Muchos periódicos locales se han hundido. Una de Las iniciativas en Estados Unidos, como el News
Con el apoyo de Microsoft, la Fundación Knight
Además, Microsoft ha adoptado cuatro principios las tantas conclusiones de nuestro reciente trabajo Literacy Project y el Trusted Journalism
y Craig Newmark Philanthropies, el IRIE creará
para anclar nuestro trabajo en este espacio. una institución de investigación inclusiva con es que las ciudades que carecen de periódico están
Lo primero es el compromiso de respetar la libertad varias partes interesadas, siguiendo el modelo de expuestas, sin saberlo, a un volumen de propaganda
de expresión y defender la capacidad de nuestros la Organización Europea para la E Investigación extranjera superior a la media. Por estos motivos,
clientes para crear, publicar y buscar información Nuclear (CERN). Combinará la experiencia uno de los pilares defensivos de la democracia debe
a través de nuestras plataformas, productos en el procesamiento y análisis de datos para fortalecer el periodismo tradicional y la prensa
y servicios. En segundo lugar, trabajamos de forma acelerar y ampliar los nuevos descubrimientos libre, sobre todo a nivel local. Esto requiere una
proactiva para evitar que nuestras plataformas en este espacio. Los resultados se compartirán para inversión e innovación constantes que deben
Un enfoque holístico
Al pensar en contrarrestar las operaciones de atribución cuando proceda. Publicaremos un A través de una rápida transparencia radical, los
de ciberinfluencia, la interrupción podría informe anual que utilice un enfoque basado en gobiernos y las sociedades democráticas pueden
operaciones de influencia
aclarando. El antídoto más eficaz contra el engaño y los próximos pasos para garantizar una mejora nación, informando al público y creando confianza
generalizado es la transparencia. Por este motivo, progresiva. También estudiaremos otras medidas en las instituciones.
Microsoft ha aumentado su capacidad para que se basen en este tipo de transparencia.
cibernética detectar e interrumpir las operaciones de influencia
de los estados nación mediante la adquisición
El papel de la publicidad digital es de suma Hemos aumentado la capacidad
importancia, por ejemplo, ya que la publicidad
Continuación de Miburo Solutions, una empresa líder en análisis
puede ayudar a financiar las operaciones extranjeras técnica para detectar y desbaratar
e investigación de ciberamenazas especializada operaciones de influencia extranjera
Program, están ayudando a desarrollar consumidores y, al mismo tiempo, crear una apariencia de legitimidad
en la detección y respuesta a las operaciones
de noticias e información mejor informados. A nivel de ciberinfluencia extranjeras.
para los sitios de propaganda patrocinados por y nos comprometemos a informar
el extranjero. Serán necesarios nuevos esfuerzos
mundial, una nueva tecnología como el complemento
Nuestra experiencia ha demostrado que los para interrumpir estos flujos financieros.
de forma transparente sobre estas
para explorador de NewsGuard puede ayudar operaciones, al igual que lo hacemos
a que este esfuerzo avance mucho más rápido. gobiernos, las empresas tecnológicas y las ONG
deben atribuir los ciberataques con cuidado y con Disuasión con los ciberataques.
Esto también debería recordarnos que parte amplias pruebas. Comprender el impacto de dicha Por último, no podemos esperar que las
de la base de la democracia es la educación cívica. perturbación es vital y puede ser aún más útil para naciones cambien de comportamiento si no hay
Como siempre, este esfuerzo debe comenzar en las desbaratar la influencia cibernética. El intercambio responsabilidad por la infracción de las normas
escuelas. Pero vivimos en un mundo que requiere que de información por parte del gobierno de EE. UU. internacionales. La aplicación de esta responsabilidad
recibamos una educación cívica continua a lo largo en el período previo a la invasión rusa de Ucrania Información práctica
pertenece exclusivamente al gobierno. No obstante,
de nuestra vida. El nuevo compromiso de Civismo puso en práctica la transparencia, al exponer los cada vez más, la acción de las varias partes 1 Implemente sólidas prácticas de higiene
en el trabajo, liderado por el Centro de Estudios planes rusos, incluyendo campañas específicas, interesadas está desempeñando un papel importante digital en toda su organización.
Estratégicos e Internacionales (Center for Strategic como un complot para utilizar un video gráfico falso. en el fortalecimiento y la ampliación de las normas
and International Studies), y del que Microsoft fue internacionales. Más de 30 plataformas, anunciantes 2 Considere las formas de reducir cualquier
uno de los firmantes y socios inaugurales, pretende Como se muestra en la publicación del verano habilitación involuntaria de las campañas
pasado del CyberPeace Institute de Ginebra sobre y editores en línea (entre ellos Microsoft) han
revitalizar la alfabetización cívica en las comunidades firmado el recién actualizado Código de buenas de ciberinfluencia por parte de sus
empresariales. Es un buen ejemplo de la amplitud los ciberataques en curso dentro y fuera de Ucrania, empleados o de sus prácticas empresariales.
existe una oportunidad para que una amplia gama de prácticas en materia de desinformación de la
de oportunidades para reforzar nuestras Comisión Europea, acordando compromisos Esto incluye la reducción del suministro
defensas democráticas. organizaciones de la sociedad civil y del sector privado a sitios de propaganda extranjeros conocidos.
promuevan la transparencia en relación con las reforzados para hacer frente a este creciente
operaciones de ciberinfluencia. Los informes confiables desafío. Al igual que el reciente Llamado de Apoye las campañas de alfabetización
Interrupción 3
sobre operaciones recién descubiertas y bien París, el Llamado de Christchurch y la Declaración informativa y compromiso cívico
En los últimos años, la Unidad de delitos digitales documentadas pueden ayudar al público a evaluar sobre el futuro de Internet, la acción multilateral como componente clave para ayudar
(DCU) de Microsoft ha perfeccionado las tácticas mejor lo que lee, ve y oye, sobre todo en Internet. y de varias partes interesadas puede reunir a los a las sociedades a defenderse de
y desarrollado herramientas para desbaratar Para ello, Microsoft se basará en sus actuales gobiernos y al público de las naciones democráticas. la propaganda y la influencia extranjera.
ciberamenazas que van desde el ransomware hasta informes cibernéticos y los ampliará, y publicará Los gobiernos pueden entonces basarse en estas
las redes de robots y los ataques de estados nación. nuevos informes, datos y actualizaciones relacionados normas y leyes para promover la responsabilidad 4 Comprométase directamente con los grupos
Hemos aprendido muchas lecciones fundamentales, con lo que descubramos sobre las operaciones que las democracias del mundo necesitan y merecen. correspondientes para su industria que trabajan
empezando por el papel de la interrupción activa de ciberinfluencia, incluyendo declaraciones para abordar las operaciones de influencia.
para contrarrestar una amplia gama de ciberataques.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
85 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Notas finales
1. https://mitsloan.mit.edu/ideas-made-to-matter/mit-sloan-research-about-social-media-misinformation-
and-elections?msclkid=8dc75d6abcfe11ecad9946a058d581c9
2. https://news.gallup.com/poll/355526/americans-trust-media-dips-second-lowest-record.aspx
3. La defensa de Ucrania: Primeras lecciones de la guerra cibernética (microsoft.com)
4. https://www.edelman.com/sites/g/files/aatuss191/files/2022-01/2022 Edelman Trust Barometer_
FullReport pdf
5. La portavoz del Ministerio de Asuntos Exteriores ruso, Maria Zakharova: https://tass.com/politics/1401777;
Lavrov:https://www.cnn.com/2022/05/05/opinions/sergey-lavrov-hitler-comments-ukraine-kauders/index.
html,Kirill Kudryavtsev/Pool/AFP/Getty Images
6. https://apnews.com/article/conspiracy-theories-iran-only-on-ap-media-misinformation-
bfca6d5b236a29d61c4dd38702495ffe
7. https://www.justice.gov/opa/pr/united-states-seizes-websites-used-iranian-islamic-radio-and-television-
union-and-kata-ib
8. https://www.presstv.ir/Detail/2020/02/04/617877/Is-the-coronavirus-a-US-bioweapon
9. https://www.state.gov/wp-content/uploads/2022/01/Kremlin-Funded-Media_January_update-19.pdf
10. https://www.rt.com/news/482405-iran-coronavirus-us-biological-weapon/
11. h
ttps://web.archive.org/web/20220319124125/https://twitter.com/RT_com/
status/1233187558793924608?s=20
12. https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE4Vwwd
13. Russia’s Kremenchuk Claims Versus the Evidence—bellingcat
14. https://t.me/oddr_info/39658
15. https://t.me/voenacher/23339
16. Fact check: “Drunk” Nancy Pelosi video is manipulated | Reuters
17. https://lawcat.berkeley.edu/record/1136469
18. h
ttps://carnegieendowment.org/2020/07/08/deepfakes-and-synthetic-media-in-financial-system-
assessing-threat-scenarios-pub-82237
19. Deepfake Detection Challenge Results: An open initiative to advance AI (facebook.com)
20. D
eepfakes 2020: The Tipping Point, Johannes Tammekänd, John Thomas, and Kristjan Peterson,
octubre de 2020
Amenazas Operaciones
Introducción El estado de la para los Dispositivos e
Dispositivos de influencia Resiliencia Equipos
86 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación infraestructura
e infraestructura cibernética cibernética colaboradores
Resiliencia
Introducción 88
Resiliencia cibernética: Una base crucial
para una sociedad conectada 89
La importancia de modernizar
cibernética
los sistemas y la arquitectura 90
La postura de seguridad básica
es un factor determinante en la eficacia
de las soluciones avanzadas 92
El mantenimiento del estado
de la identidad es fundamental
para el bienestar de la organización 93
Configuración de seguridad
Comprender los riesgos y las recompensas predeterminada del sistema operativo 96
de la modernización resulta crucial para Centralidad de la cadena
un enfoque holístico de la resiliencia. de suministro de software 97
Creación de resiliencia a los nuevos ataques
DDoS, a las aplicaciones web y a la red 98
Desarrollo de un enfoque equilibrado
de la seguridad de los datos
y la resiliencia cibernética 101
Resiliencia a las operaciones de influencia
cibernética: la dimensión humana 102
Fortalecimiento del factor humano
con la capacitación 103
Información de nuestro programa
de eliminación de ransomware 104
Cómo actuar ahora sobre las implicaciones
de la seguridad cuántica 105
Integración de la empresa, la seguridad
y la TI para una mayor resiliencia 106
La curva de la campana de la
esiliencia cibernética 108
Amenazas Operaciones
Milli
Introducción El estado de la para los Dispositivos e
Dispositivos de influencia Resiliencia Equipos
87 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación infraestructura
e infraestructura cibernética cibernética colaboradores
0.8
Información general de la Una resiliencia cibernética eficaz Aunque los ataques basados en La gran mayoría de los
resiliencia cibernética requiere un enfoque holístico y adaptable contraseñas siguen siendo la principal
fuente de compromiso de la identidad,
ciberataques que tienen éxito
para resistir las amenazas cambiantes podrían evitarse utilizando una
a los servicios e infraestructuras básicos. están surgiendo otros tipos de ataques. higiene de seguridad básica.
La seguridad cibernética es un 0.6
Más información en la página 89
Más información en la página 108
factor clave del éxito tecnológico.
La innovación y la mejora de La modernización de los sistemas
la productividad solo pueden y la arquitectura son importantes
conseguirse al introducir para administrar las amenazas
en un mundo hiperconectado.
medidas de seguridad que Configuración de Active Directory no segura
0.4 90 %
contra los ataques modernos. Sin uso de las estaciones de trabajo con acceso con privilegios 100 %
Falta de controles de administración de contraseñas de administradores locales 82 %
0.2
Falta de controles de administración del acceso con privilegios 84 %
La pandemia nos ha desafiado a dar Se encontraron credenciales de administrador excesivas 98 %
0 el mundo experimentó
de trabajo híbrido. Desde entonces, nuestro
Procesos y modelo operativo ineficaces de SOC
54 %
principal desafío ha sido administrar laNo prevalencia
hay copias de seguridad inmutables o utilizables
Jan 2021
Mar 2021
Apr 2021
May 2021
Jun 2021
Jul 2021
Aug 2021
Jun 2020
Jul 2020
Aug 2020
Sep 2020
Oct 2020
Nov 2020
Dec 2020
Feb 2021
Más información en la página 93
88 % 2000
Más información
Falta de administración de revisiones y vulnerabilidades
precedentes en cuanto
y el aumento de la actividad de los estados nación. 76 %
en la página 90
OT no administrada y sistemas heredados
a volumen, complejidad
50 %
No hay Confianza cero de la adopción del marco de seguridad
Introducción La pandemia nos desafió suplantación de identidad (phishing) son una En consecuencia, Microsoft diseñó un programa
amenaza clara y presente. Sin embargo, este de eliminación de ransomware. El objetivo del
a dar un giro a nuestras prácticas tipo de ataques suelen no tener éxito con una programa es subsanar las deficiencias en los
y tecnologías de seguridad buena administración de identidades, control de controles y la cobertura, contribuir a la mejora
phishing y prácticas de administración de puntos de las funciones de los servicios y desarrollar
para proteger a los empleados de conexión. Por lo tanto, debemos recordar lo manuales de recuperación para nuestro centro
de Microsoft dondequiera básico: el 98 % de los ataques pueden detenerse de operaciones de seguridad y los equipos
con medidas básicas de higiene. En Microsoft, de ingeniería en caso de ataque de ransomware.
que trabajen. El año pasado, administramos las identidades y los dispositivos Los recientes ataques a la cadena de suministro y
los actores de amenaza como parte de nuestro enfoque de Confianza a los proveedores externos indican un importante
cero, que incluye el acceso menos privilegios
continuaron aprovechando y las credenciales resistentes al phishing para
punto de inflexión en el sector. Los trastornos
que estos ataques provocan a nuestros
las vulnerabilidades expuestas detener eficazmente a los actores de amenaza clientes, socios, gobiernos y a Microsoft siguen
y mantener nuestros datos protegidos.
durante la pandemia y. el cambio Hoy en día, incluso los actores de amenaza
aumentando, lo que ilustra la importancia de
centrar la atención en la resiliencia cibernética
a un entorno de trabajo que carecen de conocimientos técnicos y la colaboración entre las partes interesadas
híbrido. Desde entonces, sofisticados pueden lanzar ataques
increíblemente destructivos, ya que el acceso
en la seguridad. Los adversarios también atacan
los sistemas locales, lo que refuerza la necesidad
nuestro principal desafío a tácticas, técnicas y procedimientos avanzados de que las organizaciones administren las
ha sido administrar la está ampliamente disponible en la economía
de la ciberdelincuencia. La guerra en Ucrania
vulnerabilidades que plantean los sistemas
heredados mediante la modernización
prevalencia y la complejidad demostró cómo los actores de los estados y el traslado de la infraestructura a la nube,
de diversos métodos de ataque nación han intensificado sus operaciones
cibernéticas ofensivas a través del aumento del
donde la seguridad es más sólida.
Resiliencia cibernética:
Desarrollar un enfoque integral para Para ofrecer un enfoque integral, nos asociamos
la resiliencia cibernética con las organizaciones para identificar sus servicios Información práctica
una sociedad conectada
proveedores más críticos. También buscamos
las amenazas cambiantes a los servicios permitan seguir operando con seguridad
identificar los activos y recursos asociados a
e infraestructuras básicos, lo que incluye: y eficacia, incluso si una brecha tiene éxito.
las expectativas de los clientes y del mercado,
Enfóquese en los activos críticos comunes,
La revolución de la tecnología digital ha hecho • La higiene cibernética básica descrita en nuestra las obligaciones reglamentarias y contractuales
apoye la agilidad y realice una arquitectura
que las organizaciones se transformen para curva de campana de la resiliencia cibernética. y las operaciones internas. A medida que se
para la adaptabilidad (por ejemplo, nube
estar cada vez más conectadas tanto en su • La comprensión y administración de la relación identifican estos recursos críticos, los esfuerzos
híbrida y multinube, multiplataforma), reduzca
paralelos tienen que detectar y supervisar las
funcionamiento como en los servicios que riesgo/recompensa de la transformación digital. las superficies de ataque (por ejemplo, elimine
amenazas, las interrupciones, los posibles vectores
ofrecen. A medida que crecen las amenazas • Las capacidades de respuesta en tiempo real que de ataque y las vulnerabilidades de los sistemas
las aplicaciones no utilizadas y los derechos
en el panorama cibernético, el desarrollo de permiten la detección proactiva de amenazas y procesos. La capacidad de hacer esto en el marco
de acceso sobreaprovisionados), suponga
la resiliencia cibernética en el tejido de la y vulnerabilidades. de la actual escasez de competencias requiere rigor
recursos comprometidos y espere que los
organización es tan esencial como la resiliencia adversarios evolucionen.
• La protección contra ataques conocidos en la priorización basada en el riesgo global que
financiera y operativa. y actividad preventiva contra los vectores supone para la organización. 2 A la hora de planificar los proyectos digitales,
de ataque nuevos y previstos, incluida hay que tener en cuenta las posibles amenazas
Este tipo de enfoque holístico tiene que ser
la capacidad de corrección automática. junto con las oportunidades, así como las
La transformación digital ha alterado para siempre adaptable en un contexto de un panorama
• El menor impacto de los ataques responsabilidades compartidas en materia
la forma en que las organizaciones interactúan con de amenazas en continua evolución, con el objetivo
y desastres mediante el aislamiento de resiliencia en toda la cadena de suministro
los clientes, los socios, los empleados y otras partes de impulsar una mejora medible del rendimiento,
y la segmentación de las fallas. de tecnología digital, incluidas las soluciones
interesadas. Las nuevas tecnologías ofrecen enormes reducir el tiempo de detección, respuesta
• La recuperación automática y redundancia de seguridad basadas en la nube.
oportunidades para relacionarse con las personas, y recuperación, y reducir el radio de impacto
transformar los productos y optimizar las operaciones. en caso de interrupción. en caso de interrupción. El enfoque también 3 Cree sistemas para integrar la seguridad
La pandemia aceleró la transformación digital al impulsar • La priorización de las pruebas operativas tiene que reconocer la creciente conexión de las por diseño y tomar medidas para prever,
tecnologías innovadoras que permiten a las personas para encontrar las brechas y comprender las amenazas. Por ejemplo, un incidente de seguridad detectar, resistir, adaptar y responder
colaborar de nuevas maneras y desde cualquier lugar. responsabilidades compartidas y las dependencias puede dar lugar a una vulneración de datos con a futuras amenazas en evolución.
de los recursos externos, como las soluciones implicaciones para la privacidad, lo que requiere que
A medida que las ciberamenazas se vuelven endémicas, Asegúrese de que los líderes empresariales
de seguridad basadas en la nube. muchos equipos internos y externos trabajen juntos 4
se torna más difícil evitar que comprometan a una consulten con los equipos de seguridad
para responder con celeridad y minimizar el impacto.
organización en nuestro mundo "siempre conectado". Un programa eficaz de resiliencia cibernética cuando sea necesario para comprender los
La resiliencia cibernética representa la capacidad de comienza con los fundamentos de los recursos, como riesgos asociados a los nuevos desarrollos.
una organización para continuar con las operaciones Del mismo modo, los equipos de seguridad
conocer los servicios disponibles y tener un catálogo La resiliencia cibernética es la capacidad deben considerar los objetivos empresariales
y mantener la aceleración del crecimiento a pesar confiable de recursos a los que se puede recurrir
del aluvión de ataques. La prevención tiene que de una empresa para continuar las y asesorar a los líderes sobre cómo alcanzarlos
en caso de interrupción. Partiendo de esta base,
equilibrarse con la capacidad de supervivencia el programa debe ser capaz de evaluar su propia
operaciones y mantener la aceleración de forma segura.
y recuperación, y los gobiernos y las empresas están eficacia, medir el rendimiento de los servicios críticos del crecimiento a pesar de las 5 Garantice la existencia de prácticas
desarrollando modelos integrales que van más y sus dependencias, probar y validar las capacidades interrupciones, incluidos los ciberataques. y procedimientos operativos claros
allá de la seguridad y la privacidad para proteger en los servicios locales y en la nube, y alimentar para la resiliencia de la organización
los activos, los datos y otros recursos como parte la mejora continua en todo el ciclo de vida digital en caso de incidentes cibernéticos.
de la resiliencia cibernética. de la organización.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
90 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
modernizar los sistemas Configuración de Active Directory no segura 90 % cibernética como una faceta crítica de la
Configuración de Azure Active Directory no segura 72 % resiliencia empresarial. Tienen que planificar
pocos elementos que faltan y Controles de acceso a privilegios y movimiento lateral insuficientes Falta de control de protección de la información
que podrían abordarse mediante Sin autenticación multifactor Adopción limitada de marcos de seguridad modernos
La importancia de
Hay áreas claras que las organizaciones pueden abordar para modernizar su enfoque y protegerse de las amenazas:
y la arquitectura
Configuración insegura del proveedor de identidades Siga las líneas básicas de configuración de seguridad y los procedimientos
La configuración errónea y la exposición de las plataformas de identidad recomendados al implementar y mantener sistemas de identidad como
y sus componentes son un vector común para obtener acceso no autorizado la infraestructura de AD y Azure AD.
Continuación de alto privilegio. Implementar restricciones de acceso mediante la aplicación de la segregación de
privilegios, el acceso de mínimo privilegio y la utilización de estaciones de trabajo
de acceso privilegiado (PAW) para la administración de los sistemas de identidad.
Controles de acceso a privilegios y movimiento lateral insuficientes Asegure y limite el acceso administrativo para hacer el entorno más resiliente
Los administradores tienen excesivos permisos en el entorno digital y a menudo y limitar el alcance de un ataque. Emplee controles de administración de acceso
exponen las credenciales administrativas en las estaciones de trabajo sujetas a privilegios, como el acceso Just-In-Time y la administración justa.
a riesgos de Internet y productividad.
No hay autenticación multifactor (MFA) MFA es un control de acceso de usuarios crítico y fundamental que todas
Los atacantes de hoy en día no entran por la fuerza, sino que inician sesión. las organizaciones tienen que habilitar. Junto con el acceso condicional,
MFA puede ser inestimable para luchar contra las ciberamenazas.
Operaciones de seguridad de baja madurez Una estrategia integral de detección de amenazas requiere inversiones
La mayoría de las organizaciones afectadas utilizaban herramientas tradicionales en detección y respuesta extendida (XDR) y modernas herramientas
de detección de amenazas y no disponían de información pertinente para nativas de la nube que emplean el machine learning para separar el ruido
responder y corregir a tiempo. de las señales. Modernice las herramientas de operaciones de seguridad
mediante la incorporación de XDR, que puede entregar una visión
profunda de la seguridad en todo el panorama digital.
Falta de control de protección de la información Identifique los datos críticos de su empresa y dónde se encuentran.
Las organizaciones siguen luchando por establecer controles holísticos Revise los procesos del ciclo de vida de la información y aplique
de protección de la información que tengan una cobertura total en todas la protección de los datos garantizando la continuidad del negocio.
las ubicaciones de los datos, que sigan siendo eficaces durante todo el ciclo de vida
de la información y que estén alineados con la criticidad empresarial de los datos.
Adopción limitada de marcos de seguridad modernos Los marcos de Confianza cero aplican los conceptos de mínimo privilegio,
La identidad es el nuevo perímetro de seguridad, que permite el acceso verificación explícita de todos los accesos y suponen siempre un compromiso.
a servicios digitales y entornos informáticos dispares. La integración de los Las organizaciones también tienen que implementar controles y prácticas
principios de Confianza cero, la seguridad de las aplicaciones y otros marcos de seguridad en los procesos de DevOps y del ciclo de vida de las aplicaciones
cibernéticos modernos permite a las organizaciones administrar de forma para obtener mayores niveles de garantía en sus sistemas empresariales.
proactiva riesgos que, de otro modo, les costaría prever.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
92 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
La postura de seguridad
con las vulnerabilidades como con el estado de los Riesgo que suponen los
agentes de seguridad) sirven como potenciales puntos dispositivos desconocidos Información práctica
básica es un factor
de entrada y rutas de establecimiento de acceso para
A diferencia de las redes en la nube, en las que los 1 Incluso las soluciones avanzadas
los atacantes. Descubrimos que, si bien es cierto que
clientes saben qué activos se ejecutan en cada sistema pueden verse perjudicadas por la ausencia
determinante en
los dispositivos de la organización cuentan con una
operativo, las redes locales pueden contener una gran de configuraciones básicas de seguridad.
detección y respuesta de puntos de conexión1 (EDR)
actualizada y la solución de la plataforma de protección variedad de dispositivos como IoT, equipos, servidores 2 Invierta en los procedimientos
la eficaciade las de puntos de conexión2 (EPP) es un paso importante, no
está garantizado que detenga el ransomware.
y dispositivos de red que no son supervisados ni
administrados por la organización.
recomendados de configuración
de la postura de seguridad para protegerse
soluciones avanzadas Las soluciones avanzadas, como el EDR y el EPP, La red empresarial promedio tiene más de 3500
dispositivos conectados que no están protegidos
de futuros ataques. Estos ajustes básicos
producen un enorme retorno de la inversión
son fundamentales para detectar a un atacante en en términos de la capacidad de una
A través de nuestro análisis, descubrimos un una fase temprana del flujo de ataque y permitir la por un agente EDR y que pueden tener acceso a los
recursos de la empresa o incluso a activos de gran organización para defenderse de los ataques.
predominio de puntos ciegos comunes en las reparación y protección automáticas. Sin embargo,
valor. Microsoft Defender para punto de conexión 3 Incorpore todos los dispositivos aplicables
defensas de las organizaciones que permiten como estas soluciones avanzadas se basan en una
(MDE) utiliza la inspección de la red para descubrir a una solución EDR.
a los atacantes obtener un acceso inicial, capacidad fundamental para detectar un ataque,
dispositivos y entregar información sobre las
requieren que se activen las configuraciones 4 Asegúrese de actualizar los agentes
establecer un punto de apoyo e implementar un clasificaciones de los dispositivos conectados a la red, de seguridad y garantizar la protección
básicas de seguridad. De hecho, observamos un
ataque, incluso en presencia de soluciones de como el nombre del dispositivo, la distribución del contra la manipulación para permitir
predominio de escenarios con soluciones avanzadas
seguridad avanzadas. en funcionamiento que se veían mermadas por la sistema operativo y el tipo de dispositivo. una mayor visibilidad y una protección
más completa de los productos.
ausencia de configuraciones básicas de seguridad.
En muchos casos, el resultado de un ciberataque está
determinado mucho antes de que este comience. Los procedimientos recomendados
Los atacantes aprovechan los entornos vulnerables en las configuraciones de seguridad son
3500
para obtener el acceso inicial, llevar a cabo la vigilancia un mayor indicador de resiliencia que
y causar estragos mediante el movimiento lateral el tiempo de respuesta de los analistas del
y el cifrado o la filtración. Detener a un atacante centro de operaciones de seguridad (SOC)
en una fase temprana aumenta en gran medida es el número promedio de
Hemos observado una reducción del 70 % en el
la oportunidad de reducir el impacto global. dispositivos conectados en
tiempo que tarda un analista del SOC en ver y actuar una empresa que no están
Microsoft estudió configuraciones específicas en sobre una alerta pertinente durante un periodo de
posturas de seguridad para identificar las deficiencias protegidos por un agente
seis meses en toda nuestra población de clientes de detección y respuesta
más comunes en la práctica real de estos entornos. y socios. Esta mayor concienciación es una buena de puntos de conexión.
Esto nos permitió ver las vulnerabilidades más señal. Sin embargo, mientras que la visibilidad de la
comunes explotadas durante los ataques de configuración de seguridad mejoró el rendimiento
ransomware operados por humanos que permitieron de los analistas del SOC, la habilitación de la
a los actores de la amenaza obtener acceso y viajar a visibilidad del producto mediante la incorporación y la
través de una red sin ser detectados. En el caso de los dispositivos no admitidos por un agente
actualización de los dispositivos de la organización fue
EDR, al menos hay que conocer su existencia y actuar
Las configuraciones básicas de seguridad un mayor predictor de la prevención exitosa.
para protegerlos evaluando las vulnerabilidades, así
deben estar activadas como restringiendo el acceso a la red.
Los dispositivos de una organización que no están
incorporados o están obsoletos (tanto en relación
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
93 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
4500
el bienestar de la 1,4
organización
La protección de la identidad es más importante
1,2
En el tiempo que se tarda
que nunca. Aunque los ataques basados
en contraseñas siguen siendo la principal
en leer esta declaración, nos
fuente de compromiso de la identidad, están
1,0
hemos defendido de 4500
Millones
surgiendo otros tipos de ataques. El volumen
de ataques sofisticados sigue aumentando
ataques con contraseña.
0,8
en relación con la norma anterior de difusión
de contraseñas y repetición de infracciones.
0,6
Los ataques basados en contraseñas siguen
siendo comunes, y más del 90 % de las cuentas
comprometidas a través de estos métodos 0,4
no están protegidas con una autenticación fuerte.
La autenticación fuerte utiliza más de un factor
de autenticación, por ejemplo, contraseña 0,2
+ SMS y claves de seguridad FIDO2.
Hemos observado un aumento de los ataques
0
de difusión de contraseñas dirigidos, con alzas
Mar 2022
Abr 2022
May 2022
Jun 2022
Ago 2021
Sep 2021
Oct 2021
Nov 2021
Dic 2021
Ene 2022
Feb 2022
Jun 2020
Jul 2020
Ago 2020
Sep 2020
Oct 2020
Nov 2020
Dic 2020
Ene 2021
Feb 2021
Mar 2021
Abr 2021
May 2021
Jun 2021
Jul 2021
muy grandes en el volumen de tráfico de los
atacantes repartidos entre miles de direcciones IP.
El mantenimiento del
Aumento constante de los ataques
Uso de una autenticación sólida Volumen de ataques de repetición
de repetición de tokens
(Sep 2019–May 2022) de tokens detectados
estado de la identidad 100
La proporción de otras formas de ataque aumentó
en 2022. Vimos un aumento de los ataques dirigidos
70,000
es fundamental para
90 60,000
que evitan específicamente la autenticación basada
80
en contraseñas para reducir la posibilidad de
el bienestar de la
70 50,000
detección. Estos ataques aprovechan las cookies
60
% 50 de inicio de sesión único (SSO) del explorador o los 40,000
organización 40
30
tokens de actualización obtenidos a través de malware,
phishing y otros métodos. En algunos casos, los 30,000
atacantes eligen infraestructuras en lugares cercanos
Continuación 20 20,000
10 a la ubicación geográfica del usuario objetivo para
Adopción de autenticación sólida 0 reducir aún más las posibilidades de detección. 10,000
Hemos visto un aumento constante de los ataques
Sep 2019
Nov 2019
Ene 2020
Mar 2020
May 2020
Jul 2020
Sep 2020
Nov 2020
Ene 2021
Mar 2021
May 2021
Jul 2021
Sep 2021
Nov 2021
Ene 2022
Mar 2022
May 2022
Como nota positiva, estamos viendo un crecimiento de repetición de token, llegando a más de 40 000 0
constante en la adopción de la autenticación
Mar 2022
Abr 2022
May 2022
Jun 2022
May 2021
Jun 2021
Jul 2021
Ago 2021
Sep 2021
Oct 2021
Nov 2021
Dic 2021
Ene 2022
Feb 2022
detecciones al mes en Azure AD Identity Protection.
fuerte entre la base de clientes empresariales La repetición de tokens es el uso de tokens que
de Azure Active Directory (Azure AD). En el caso se emitieron a un usuario legítimo por parte
Aunque el uso de la autenticación fuerte se ha duplicado
de Azure AD, los usuarios activos mensuales de un atacante que tiene la posesión de dichos
desde 2019, solo el 26 % de los usuarios y el 33 % de los
(MAU) de autenticación fuerte crecieron del 19 % administradores utilizan la autenticación fuerte. Fuente: tokens. Los tokens se obtienen comúnmente a través Ataques de repetición de tokens detectados por mes. Fuente:
al 26 % en el último año, mientras que los MAU de Azure Active Directory. de malware, por ejemplo filtrando las cookies Azure AD Identity Protection, sesiones únicas marcadas
autenticación fuerte para las cuentas administrativas del explorador del usuario o a través de métodos por la detección de tokens anómalos.
crecieron del 30 % al 33 % aproximadamente. avanzados de phishing.
Esta tendencia es positiva, pero aún se necesita
un crecimiento significativo para alcanzar una
cobertura mayoritaria de la autenticación fuerte;
los clientes que aún no utilizan la autenticación
fuerte en sus entornos deberían empezar
a planificar e implementar la autenticación fuerte
para proteger a sus usuarios.3 A la hora de diseñar
la implementación de la autenticación fuerte, debería
considerarse la autenticación sin contraseña, ya que
ofrece la experiencia de uso más segura, eliminando
el riesgo de ataques con contraseña.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
95 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
El mantenimiento del
contraseña y también retransmitir los desafíos MFA;
Instancias estimadas de ataques Información práctica
los tokens resultantes emitidos por el proveedor de
de fatiga de MFA
estado de la identidad
identidad e interceptados por el atacante podrían
1 Asegúrese de que todas las cuentas
contener afirmaciones MFA que el atacante puede 40,000 de su organización están protegidas
es fundamental
utilizar para satisfacer los requisitos MFA.
por medidas de autenticación sólidas.
Microsoft Defender for Cloud Apps ha detectado
para el bienestar
30,000 2 La autenticación sin contraseña ofrece
un promedio de 895 ataques de este tipo al mes
la experiencia más segura y fácil de
desde principios de 2022. Esta forma de ataque
usar, eliminando el riesgo de ataques
de la organización
puede evitarse con los factores de MFA resistentes 20,000 con contraseña.
al phishing, como la autenticación basada en
certificados, Windows Hello para empresas o las 3 Deshabilite la autenticación heredada
Continuación claves de seguridad FIDO2. 10,000 en toda su organización.
Extracción de tokens Proteja las cuentas administrativas
4
Más que el malware, los atacantes necesitan Los ataques basados en contraseñas 0 y de alto valor con formas de autenticación
Mar 2022
Abr 2022
May 2022
Jun 2022
Jun 2021
Jul 2021
Ago 2021
Sep 2021
Oct 2021
Nov 2021
Dic 2021
Ene 2022
Feb 2022
credenciales para lograr sus objetivos. De hecho, son el principal método por el que fuerte resistentes al phishing.
el 100 % de los ataques de ransomware operados
por humanos incluyen credenciales robadas.
se comprometen las cuentas. 5 Modernice de un proveedor de identidades
local a un proveedor de identidades
Muchas intrusiones sofisticadas incluyen credenciales
Fuente: Azure AD Identity Protection. en la nube y conecte todas sus aplicaciones
compradas en la web oscura, inicialmente robadas a Fatiga de MFA al proveedor de identidades en la nube
un malware de robo de credenciales poco sofisticado
Utilizando el concepto de "fatiga de MFA", Casos detectados de phishing seguidos para obtener una experiencia de usuario
y de amplia distribución. Esta clase de malware
los atacantes generan varias solicitudes de MFA de ataques tipo "man-in-the-middle" y una seguridad coherentes.
ha evolucionado para robar tokens, incluyendo la
información de la sesión y las reclamaciones MFA. al dispositivo de la víctima, esperando que esta 1,200 Vínculos a más información
Esto significa que las infecciones en los sistemas acepte la solicitud, ya sea de forma involuntaria
domésticos, donde los usuarios se conectan a los o como resultado de la fatiga. Este ataque puede 1,000 En el Día Mundial de la Contraseña, considere
activos corporativos, pueden conducir a graves evitarse utilizando aplicaciones modernas de la posibilidad de prescindir de las contraseñas
incidentes en las redes corporativas. autenticación, como Microsoft Authenticator, 800 | Seguridad de Microsoft
combinadas con funciones como la coincidencia
Los atacantes también pueden extraer tokens de de números 4 y la habilitación de contexto adicional.5 600
los dispositivos de las víctimas a través de ataques Azure AD Identity Protection calcula que se
tipo "man-in-the-middle", en los que la víctima hace producen 30 000 ataques de fatiga de MFA al mes. 400
clic en un vínculo malintencionado en un correo
electrónico o mensaje instantáneo de phishing y se le 200
dirige a un sitio web que se parece la página legítima
de inicio de sesión del proveedor de identidad. La proporción de ataques sofisticados 0
Ene 2022
Feb 2022
Mar 2022
Abr 2022
May 2022
En realidad, es un servicio web creado por el atacante sigue aumentando, lo que subraya
que retransmite e intercepta todo el tráfico entre la necesidad de contar con factores
el usuario y el proveedor de identidad. El atacante
puede interceptar el nombre de usuario y la
de autenticación multifactor
Fuente: Microsoft Defender for Cloud Apps.
resistentes al phishing.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
96 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Configuración de
Los clientes que adoptan una defensa en profundidad
(incluida una postura de seguridad en capas, nuevas Para los dispositivos en los que Información práctica
la seguridad no está activada de
seguridad predeterminada
funciones de seguridad, revisiones y actualizaciones
1 Utilice una solución sin contraseña que
periódicas y constantes, así como capacitación en manera predeterminada, Microsoft vincule las credenciales de inicio de sesión
Centralidad de la cadena
En el caso de las versiones de aplicaciones en soporte,
Penetración comercial de las aplicaciones El mantenimiento de la
observamos un estancamiento de la velocidad
más utilizadas resiliencia del software debe incluir
de suministro de software
de adopción de revisiones críticas, que es lo contrario
3,5 millones de la tendencia que impulsará la resiliencia. En cambio, la desactivación o desinstalación
la curva debería mostrar una adopción exponencial
periódica de las aplicaciones no utilizadas.
Los ataques a aplicaciones, complementos
3,0 millones
que desempeñan un papel central en el 1,5 millones Tasa de implementación de revisiones críticas
La seguridad y el cumplimiento
ecosistema de suministro. El uso de la teoría de 1,0 millónes 100
de las normas de una organización
redes para observar la centralidad del software 0,5 millones
90 dependen de sus propios esfuerzos
ayuda a iluminar la criticidad de las revisiones, 80 y delos de sus proveedores de software.
sobre todo para las aplicaciones centrales.
0,0 millones 70
0M 35 millones 70 millones 105 millones 140 millones
El 78 % de los dispositivos siguen
60 en riesgo después de 9 meses
Recuento de dispositivos activos estimados %
50
La Red de aplicaciones de Windows, compuesta Publicador Microsoft Corporation Terceros
40
por 18 millones de ejecutables de aplicaciones, Las principales aplicaciones son utilizadas por millones 30 Información práctica
está instalada y se utiliza en cinco millones de de organizaciones y decenas de millones de dispositivos. 20
organizaciones, lo que brinda una visión de alto nivel Como son casi omnipresentes, los adversarios están en 10 1 Realice actualizaciones oportunas de todas
de nuestro ecosistema de software. De las 100 000 constante búsqueda para explotar las vulnerabilidades de 0 las aplicaciones y puntos de conexión
0 días 3 mo 6 mo 9 mo de su organización.
aplicaciones más utilizadas, el 97 % las producen estas aplicaciones principales, que pueden afectar a millones
organizaciones de terceros, cuyas actualizaciones de dispositivos de la base de usuarios. Sin revisiones Con revisiones
2 Realice una limpieza oportuna de todos
y revisiones de seguridad son responsabilidad de
Observamos que millones de dispositivos comerciales los ejecutables no utilizados y obsoletos
ellas. Esto ilustra dos rasgos importantes de nuestro Tras examinar una vulnerabilidad crítica que afectaba a 134
siguen utilizando versiones de aplicaciones que se encuentran en los dispositivos
ecosistema de aplicaciones comerciales. versiones de un conjunto de navegadores, descubrimos que
vulnerables muchos meses después de la publicación el 78 %, es decir, millones de dispositivos, seguían utilizando
de las organizaciones.
En primer lugar, está la centralidad en el ecosistema de de la revisión o incluso años después del fin del una de las versiones afectadas nueve meses después de la
aplicaciones comerciales de Windows. Solo las 100 000 Vínculos a más información
soporte del producto. Por ejemplo, hay más de un publicación de la revisión.
aplicaciones más importantes (de las 18 millones) millón de dispositivos comerciales de Windows activos Documentación de Microsoft Intune
se utilizan en 1000 o más dispositivos. En otras palabras, que ejecutan la versión de un lector de PDF que no es Utilizamos el conjunto de herramientas InterpretML9 | Microsoft Docs
poco más de la mitad del 1 % de estas aplicaciones compatible desde 2017. para identificar las características correlacionadas
tienen este tipo de efecto de amplio alcance entre con las organizaciones que son más propensas a tener Administración de aplicaciones
el ecosistema de dispositivos. dispositivos con versiones de aplicaciones más antiguas. | Microsoft Docs
En segundo lugar, hay diversidad en la administración Las versiones antiguas de las aplicaciones Entre los factores de predicción más importantes Microsoft Defender para punto
de esas aplicaciones, donde los 10 000 principales que no son compatibles siguen en se encuentran: las bajas horas de dedicación a los de conexión | Seguridad de Microsoft
dispositivos; zonas geográficas como Asia-Pacífico
proveedores de aplicaciones administran las uso activo en millones de dispositivos y América Latina; e industrias como la del automóvil, Marco de cadena de suministro seguro
actualizaciones y las revisiones de seguridad de estas
aplicaciones comerciales más utilizadas. Esto demuestra
comerciales. En consecuencia, las los productos químicos, las telecomunicaciones, de OSS | Ingeniería de seguridad de Microsoft
la interdependencia que tiene una empresa en organizaciones corren el riesgo de el transporte y la logística, los pagadores de salud
Marco de cadena de suministro seguro
(encargados de las reclamaciones) y los seguros.
un conjunto diverso de controles de seguridad, tener vulnerabilidades a las que no se de software open source Microsoft | GitHub
cumplimiento y administración de los proveedores aplicarán revisiones.
de software.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
98 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
La acelerada transformación digital ha puesto de servicios de DDoS de bajo costo. Microsoft mitigó
fin al modelo tradicional de red y perímetro un promedio de 1955 ataques al día, lo que supone
un aumento del 40 % respecto al año anterior.
de seguridad. Pasar a la nube significa que las
Con anterioridad, el número máximo de ataques
empresas tienen que adoptar una seguridad se producía normalmente durante la temporada
2,000
de red nativa de la nube para proteger los de vacaciones de fin de año. Este año, no obstante,
activos digitales. la mayor cantidad registrada en un día fue el 10 de
agosto de 2021. Esto podría indicar un cambio hacia
los ataques durante todo el año y pone de manifiesto 1,500
la importancia de la protección continua más allá
La complejidad, la frecuencia y el volumen de las tradicionales temporadas de mayor tráfico.
de los ataques siguen creciendo En noviembre de 2021, Microsoft frustró un ataque
y ya no se limitan a las temporadas DDoS volumétrico con un rendimiento de 3,4 terabits 1,000
de vacaciones, lo que indica un cambio por segundo (Tbps) procedente de aproximadamente
hacia ataques durante todo el año. 10 000 fuentes que abarcaban varios países. En 2022
se mitigaron ataques similares de gran volumen por
Esto pone de manifiesto la importancia encima de los 2+Tbps, lo que pone de manifiesto que
de la protección continua más allá de las no solo aumenta la complejidad y la frecuencia de los 500
tradicionales temporadas de mayor tráfico. ataques, sino también su volumen (ancho de banda).
Abr 2022
May 2022
Mar 2021
Abr 2021
May 2021
Jun 2021
Jul 2021
Ago 2021
Sep 2021
Oct 2021
Nov 2021
Dic 2021
Ene 2022
Feb 2022
Mar 2022
Aproximadamente el 28 % de los ataques duraron
menos de 10 minutos, el 26 % entre 10 y 30 minutos
y el 14 % entre 31 y 60 minutos. El 32 % de los ataques
duraron más de una hora.
1 a 2 minutos 3 a 5 minutos 6 a 10 minutos 11 a 20 minutos 21 a 30 minutos 31 a 40 minutos 41 a 50 minutos
La mayoría de los ataques del último año fueron de corta duración. Aproximadamente el 28 % de los ataques duraron
menos de 10 minutos.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
99 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Creación de resiliencia
Regiones de destino geográficas
Vectores de ataque DDoS
De los ataques DDoS detectados durante el año Vulnerabilidades
a los nuevos ataques de aplicaciones web
Ataques "flood" de congestión pasado, el 54 % se realizaron contra objetivos en
del servidor para suplantar
electrónicamente UDP 55 % Estados Unidos, una tendencia que podría explicarse
a directorios sin conexión (CLDAP), el sistema de electrónicamente UDP subió al primer vector en la primera Ataques de ejecución de código
mitad de 2022, del 16 % al 55 %. El ataque "flood" de Estados Unidos 54 % remoto (RCE) 1 %
nombres de dominio (DNS) y el protocolo de tiempo
congestión del servidor TCP ACK disminuyó del 54 % al 19 %.
de red (NTP) que comprende un solo valor máximo. Emiratos Árabes Unidos 1 %
También se observó un aumento de los ataques Australia 1 %
Ataques de scripting
entre sitios (XSS) 5 %
DDoS en la capa de aplicación dirigidos a sitios web,
con 16,3 millones de RPS (solicitudes por segundo) Japón 1 %
Ataques de inyección de RFI 5 %
máximos y 9,89 Tbps de tráfico máximo. Corea del Sur 1 %
Sudeste de Asia 3 %
ataque DDoS registrado en la historia. Azure WAF detecta diariamente miles de millones de ataques
Europa 6 %
Open Web Application Security Project (OWASP) Top 1010.
El sector del juego sigue siendo el principal objetivo Este de Asia 8 % Según nuestras señales, los atacantes intentaron en su
de los ataques DDoS, en su mayoría procedentes mayoría ataques de inyección SQL, seguidos de ataques
India 23 %
de mutaciones de la red de robots Mirai y de ataques de inyección de archivos locales y de inyección de archivos
de bajo volumen del protocolo UDP. Dado que el UDP remotos. Esto coincide con la lista OWASP Top Ten que
Atribuimos el alto volumen de ataques en Asia a la
se utiliza habitualmente en aplicaciones de juegos muestra los ataques de inyección como el tercer tipo más
enorme presencia de juegos en la región, sobre todo en
y streaming, una abrumadora mayoría de los vectores China, Japón, Corea del Sur e India. Esta huella continuará común de ataques web.
de ataque eran ataques "flood" de congestión del expandiéndose a medida que la creciente penetración de los
teléfonos inteligentes impulsa la popularidad de los juegos También se ha producido un aumento de los ataques
servidor para suplantar electrónicamente UDP,
móviles, lo que sugiere que este objetivo geográfico solo de bots contra las aplicaciones web de Azure, con un
mientras que una pequeña parte eran ataques
seguirá creciendo. promedio de 1700 millones de solicitudes de bots al
de reflejo y amplificación UDP.
mes y un 4,6 % de ese tráfico formado por bots malos.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
100 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
a los nuevos ataques Hemos observado un aumento significativo de las vulnerabilidades de la capa
de red, en particular del malware, en 2022. El sistema de detección y prevención
1 Inspeccione todo el tráfico entre sistemas
dentro de un centro de datos o servicio en
web y a la red
2 Desarrollar una sólida estrategia de respuesta
a la seguridad de la red durante todo el año.
Motivo de denegación del tráfico IDPS
3 Utilice los servicios de seguridad nativos
Continuación
Administración remota de JA3: tráfico cifrado de la nube para implementar una sólida
ataques laterales 2 % malintencionado HTTPS 38 % postura de seguridad de red de Confianza cero.
Debido al creciente número de bots que
Vínculos a más información
realizan ataques de relleno de credenciales, Tráfico DNS
Mejore sus defensas de seguridad para los
fraude con tarjetas de crédito, campañas
malintencionado
DNS 5 %
ataques de ransomware con Azure Firewall
de ciberinfluencia y ataques a la cadena | Azure Blog and Updates | Microsoft Azure
de suministro, esperamos ver un aumento Anatomía de un ataque de amplificación DDoS
constante de los ataques de bots contra | Microsoft Security Blog
las aplicaciones web. Agente de usuario HTTP 26 %
Intento de obtención de
privilegios de usuario RPC 29 % Protección inteligente de aplicaciones
desde el perímetro hasta la nube con Azure
Web Application Firewall | Azure Blog and
Updates | Microsoft Azure
Motivos de alerta de tráfico IDPS
El análisis del tráfico de alerta y denegación de IDPS muestra los siguientes enfoques utilizados
por los atacantes. En el tráfico de denegación, estamos viendo que los atacantes utilizan SSL
para ocultar sus actividades y los ataques de ejecución remota son cada vez más comunes.
En el tráfico de alerta, estamos viendo que se utilizan los protocolos SMB/SMB2 para realizar
ataques de ejecución remota.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
101 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Desarrollo de un enfoque
a medida para cada disciplina y una cobertura
Las vulneraciones de datos son inevitables. uniforme a través de la típica organización híbrida, la Información práctica
Las organizaciones que adopten
equilibrado de la
dispersión de datos en varias nubes. Creemos que las
1 Equilibre la defensa con la recuperación y
un enfoque de resiliencia equilibrado organizaciones necesitan un único panel para localizar
minimice el impacto de la vulneración de datos
Resiliencia a las
Surgen preguntas sobre lo que podemos hacer También reconocemos que restablecer la confianza
para prepararnos para un futuro más resiliente en los contenidos digitales es un objetivo ambicioso Vínculos a más información
operaciones de influencia
contra estas operaciones de ciberinfluencia. que requerirá diversas perspectivas y participación. Aplicaciones de la inteligencia artificial
La tecnología es solo una parte del rompecabezas. No hay ninguna empresa, ni institución, ni gobierno en las misiones cibernéticas del Departamento
cibernética: la dimensión
Se necesitarán varios esfuerzos, incluida que pueda resolver estas amenazas por sí solo. de Defensa | Microsoft On the Issues
la educación dirigida a la alfabetización mediática, Nuestro superpoder como humanos es la capacidad
la concienciación y la vigilancia, las inversiones en de colaborar y cooperar. Esto es de suma importancia Artificial Intelligence and Cybersecurity:
humana periodismo de calidad (con periodistas de confianza,
en el nivel local, nacional e internacional), las redes de
ahora porque requerirá que todo el mundo (gobiernos
de todo el mundo, industrias, academias y sobre todo
Rising Challenges and Promising Directions.
Hearing on Artificial Intelligence Applications
intercambio y alerta sobre las operaciones de influencia, organizaciones de noticias, sociales y de medios de to Operations in Cyberspace before the
En los últimos cinco años, los avances Subcommittee on Cybersecurity, of the
y nuevos tipos de regulaciones que penalicen a los comunicación) trabajen juntos para la mejora y la salud
en materia de gráficos y machine learning Senate Armed Services Committee, 117th
actores malintencionados que generan o manipulan de nuestra sociedad.
han introducido herramientas fáciles de usar, los medios digitales con el objetivo de engañar. Congress (3 de mayo de 2022; Testimonio
capaces de generar rápidamente contenidos de Eric Horvitz)
realistas de alta calidad que pueden difundirse
ampliamente en Internet en cuestión
de segundos.
Fortalecimiento del
sobre la directiva de la empresa y la notificación híbrido en vivo adaptado a las necesidades de
de incidentes para todo lo relacionado con la audiencia. Información práctica
de capacitación están optimizadas para apoyar en la estrategia general de compromiso para 2 Desarrolle una estrategia de capacitación
Abordar el factor humano es un componente las iniciativas actuales de ciberseguridad y ofrecer sus respectivas iniciativas de ciberseguridad centralizada informada por las partes
clave de cualquier estrategia de capacitación en resultados medibles de comportamiento. El Consejo mediante el patrocinio ejecutivo y la presentación interesadas de toda la empresa.
ciberseguridad. Según un estudio de Kaspersky de administración de riesgos de la información (IRMC) de informes de puntuación para evitar un enfoque
sobre el factor humano en la seguridad de Microsoft desempeña un papel fundamental de capacitación de "marcar la casilla". 3 Garantice el seguimiento y el análisis del
informática,12 el 46 % de los incidentes de en la identificación de los resultados importantes impacto de la capacitación en cuanto a la
MSProtect: el recurso web centralizado de Microsoft
ciberseguridad implican a personal descuidado del cambio de comportamiento en materia eficiencia (cantidad), la eficacia (calidad)
ofrece procedimientos recomendados, información
o uniformado que facilita el ataque de de ciberseguridad que debe abordar la capacitación. sobre la directiva de la empresa y notificación
y los resultados (impacto empresarial).
forma inadvertida. Con todos nuestros programas de capacitación de incidentes para todo lo relacionado con Vínculos a más información
en ciberseguridad, medimos la eficiencia, la eficacia la ciberseguridad. Este recurso on-demand
y los resultados de la solución cuando es posible. es el más utilizado por los empleados fuera Microsoft pone en marcha la siguiente fase
El equipo de Educación y Concienciación de Microsoft de su iniciativa de capacitación tras ayudar
Por ejemplo, nuestra oferta de capacitación sobre de la oferta de capacitación formal.
en la organización de Seguridad digital y resiliencia
amenazas internas tiene un 95 % de cumplimiento a 30 millones de personas
es responsable de fortalecer el factor humano
de la capacitación, una satisfacción excepcional
de la ciberseguridad mediante la capacitación
de los alumnos y ha dado lugar a un aumento La capacitación en seguridad
a los empleados para asegurar nuestros propios
sistemas y datos y los de nuestros clientes.
considerable de los gerentes que informan de posibles no debe verse como una actividad
Nuestros objetivos son:
casos de amenazas internas a través de la herramienta de cumplimiento, de marcar la casilla.
Report It Now de la empresa. El programa incluye:
• Reducir el riesgo para Microsoft y nuestros clientes En su lugar, hay que centrarse
Security Foundations: capacitación en el cambio de comportamiento
mediante la creación de un conjunto de habilidades
centralizada de concienciación y cumplimiento
de seguridad centralizado para toda la empresa
de la ciberseguridad en toda la empresa que para poder supervisar los resultados
en toda la población de empleados.
aborda las principales prácticas de seguridad en los comportamientos objetivo
• Fortalecer los conocimientos de seguridad y privacidad. Esta esperada serie de capacitación identificados, y establecer sistemas
de losempleados mediante un enfoque de refuerzo emplea un modelo de entretenimiento educativo
de la capacitación en varias fases para apoyar de escucha para determinar el impacto
o "edutainment" para hacer que el aprendizaje
los resultados de comportamiento deseados. sobre ciberseguridad sea atractivo e interesante. de las ofertas.
• Fomentar el cambio de cultura haciendo que
STRIKE: capacitación técnica exigida por Microsoft
la mentalidad de seguridad sea una parte
para los ingenieros que crean y mantienen
intrínseca de la cultura de Microsoft a través
soluciones de línea de negocio. Esta capacitación
de la capacitación y los eventos de seguridad
por invitación aborda áreas oportunas y críticas
requeridos anualmente.
de los procedimientos recomendados de higiene
• Promover un recurso web centralizado para de ciberseguridad y utiliza un modelo de entrega
los procedimientos recomendados, la información
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
104 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Información de nuestro
El primer paso fue comprender el alcance de nuestra un programa dedicado al ransomware. Una vez
protección contra un ataque de ransomware dirigido que tengamos éxito en cada uno de los escenarios, Información práctica
programa de eliminación
a Microsoft. Los esfuerzos ya estaban en marcha ampliaremos de manera gradual el alcance del
1 Documente y valide las actividades
para implementar Defender para punto de conexión programa para llegar a todas las partes de la empresa.
de recuperación y reparación de extremo
de ransomware
y garantizar que todos los dispositivos se administran
Escenario 1: Los miembros del equipo de seguridad a extremo relacionadas con los ataques
y cumplen con nuestras directivas de Confianza
comprenden el riesgo global asociado a un ataque de ransomware contra servicios críticos.
cero, pero necesitábamos encontrar una forma de
de ransomware y tienen un proceso establecido para
Microsoft ha emprendido su propio recorrido comprender todas las facetas de la interrogante más
dar a conocer a los ejecutivos las brechas de control 2 Involucre a las partes interesadas en
de Confianza cero13 en los últimos cinco amplia de si podríamos recuperarnos eficazmente la actualización de sus manuales de
y el estado del riesgo.
de un ataque. Para obtener información, evaluamos administración de crisis de la empresa para
años para garantizar que las identidades Escenario 2: Los miembros del equipo de seguridad
el NIST 8374: Ransomware Risk Management: incluir actividades específicas de ransomware
y los dispositivos se administren de forma A Cybersecurity Framework (CSF) Profile,14 que se tienen acceso a los manuales diseñados para ayudarles y un proceso de decisión y orientación para
sólida y saludable. A medida que aumenta alinea con nuestra directiva general de la empresa a ellos y a otros equipos de Microsoft a responder determinar si se debe pagar por el ransomware
el riesgo de ransomware, hemos desarrollado contra nuestra lista conocida de controles. Este análisis y recuperar los servicios críticos de un ataque y cuándo.
una visión profunda para apoyar nuestro identificó rápidamente las brechas en la cobertura. de ransomware.
enfoque de protección de nosotros mismos Escenario 3: Los miembros del equipo de resiliencia
3 Mejore la cobertura de detección y protección
A continuación, priorizamos las brechas en habilitando las capacidades disponibles en
y de nuestros clientes. las funciones de identificación, detección, de la empresa tienen una norma que seguir para sus productos de seguridad implementados
protección, respuesta y recuperación del CSF. la copia de seguridad de los sistemas críticos. (por ejemplo, las reglas de reducción de la
Tras una evaluación interna en profundidad, creamos Encontramos una alineación estratégica con Existen manuales y se realizan ejercicios periódicos superficie de ataque de Defender para puntos
un programa de eliminación de ransomware para Confianza cero y otros programas y también de copia de seguridad y recuperación para garantizar de conexión).
corregir las deficiencias en los controles y la cobertura, descubrimos brechas que no tenían una línea que los datos puedan recuperarse en caso de ataque
contribuir a la mejora de las funciones de servicios de trabajo existente. Una vez evaluada la cantidad de ransomware. 4 Trabajar con el equipo de normas de
como Defender para punto de conexión, Azure de trabajo y el esfuerzo necesario para corregir seguridad para definir una línea de base para
Escenario 4: Los propietarios de los servicios la protección contra un ataque de ransomware,
y M365, y desarrollar manuales para nuestros equipos estas deficiencias, las separamos en dos pilares: comprenden e implementan los controles y directivas
de SOC e ingeniería sobre cómo recuperarse en caso y proporcionar capacitación y documentación
• Proteger la empresa (PtE): defina los elementos de seguridad y operativos necesarios para proteger a los equipos de ingeniería sobre cómo
de un ataque de ransomware. de trabajo que debemos hacer como empresa para sus servicios, los datos de los clientes, los puntos de protegerse contra un ataque de ransomware.
protegernos y poder recuperarnos de un ataque, conexión y los activos de red contra los ataques de
en caso de que este tenga éxito. ransomware, con especial atención a los servicios 5 Poner en marcha la automatización para
• Proteger al cliente (PtC): incorpore capacidades priorizados como servicios críticos de Microsoft. facilitar la implementación de las directivas
a nuestra oferta para proteger tanto a nuestros de seguridad y operaciones a los equipos
Escenario 5: Todos los empleados pueden acceder
clientes como a nuestro negocio. de DevOps y garantizar que si un sistema
a recursos educativos y de capacitación que describen
se desvía del cumplimiento se señale con
cómo reconocer un ataque de ransomware y cómo
Incorporación de resultados en nuestra rapidez y se corrija.
notificar al equipo de seguridad e iniciar la respuesta.
propia empresa Vínculos a más información
Para corregir los principales riesgos y proteger
Cómo se protege Microsoft contra
nuestros servicios críticos contra un ataque de
el ransomware | Microsoft Inside Track
ransomware, planificamos enfocar las inversiones
en los próximos 6 a 12 meses en la consecución
de los cinco escenarios siguientes como parte de
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
105 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
seguridad cuántica
y los gobiernos están incrementando sus esfuerzos NIST. Este trabajo influirá en los esfuerzos globales
La amenaza a la criptografía actual para definir los requisitos de seguridad de la cadena de los organismos de normalización.
de suministro de software y, en algunos casos,
Con el algoritmo de Shor de 1994 y un equipo
Existe presión para administrar la amenaza cuántico a escala industrial de más de unos pocos
introduciendo nuevos mandatos para asegurar
la cadena. National Security Memorandum NSM-
que la computación cuántica supone para millones de qubits físicos, todos nuestros algoritmos
819 establece requisitos y plazos para implementar Información práctica
la criptografía actual y todo lo que protege. criptográficos de clave pública actuales y ampliamente
la criptografía poscuántica en los Sistemas de
El recientemente publicado Memorandum implementados podrían romperse de manera eficaz.
Seguridad Nacional (NSS). Establece un plazo Junto con SAFECode y los miembros asociados,
Es fundamental considerar, evaluar y normalizar
on Improving the Cybersecurity of National criptosistemas "seguros desde el punto de vista
de 180 días para "la planificación de la modernización, la industria debería emprender actividades
Security Department of Defense and cuántico" que sean eficientes, ágiles y seguros frente
el uso de cifrado no compatible, los protocolos inmediatas a más corto plazo para preparar
Intelligence Community Systems15 se basa a un ataque adversario cuántico. La migración del
exclusivos para misiones aprobados, los protocolos la transición al PQC.21 Estos incluyen:
resistentes al cuanto y la planificación del uso de
en el Decreto 10428 de EE. UU.16 para software a la "criptografía poscuántica", es decir,
criptografía resistente al cuanto cuando sea necesario". 1 Hacer un inventario de sus productos/
mejorar la ciberseguridad del país destaca la robustez de los algoritmos y protocolos clásicos códigos que utilizan criptografía.
existentes frente a los ataques cuánticos, tardará años, La normalización es una actividad que requiere
que la seguridad de la cadena de suministro Implementar una estrategia de agilidad
si no una década o más, en lograrse.18 mucho tiempo en la transición hacia una 2
de software es fundamental para hacer criptografía segura desde el punto de vista criptográfica en toda su organización que
frente a futuros ataques de estados nación. Esto significa que existe presión para administrar
cuántico.Los organismos de normalización que incluya la minimización del cambio de código
la amenaza para la criptografía actual y todo lo
trabajan en normas que utilizan criptografía de necesario cuando cambia la criptografía.
que protege. Los adversarios pueden grabar datos
clave pública deben empezar ya a experimentar
¿Qué son los equipos cuánticos? cifrados ahora y explotarlos más tarde, cuando 3 Dirigir el uso de algoritmos candidatos
y adaptarse a los algoritmos poscuánticos.
dispongan de un equipo cuántico. Esperar a que a la seguridad cuántica en sus productos
Los ordenadores cuánticos son máquinas que
llegue la computación cuántica para abordar sus El Post-Quantum Standardization Project del NIST o servicios que utilicen criptografía.
utilizan las propiedades de la física cuántica para
implicaciones criptográficas será demasiado tarde. está revisando nuevos algoritmos de criptografía
almacenar datos y realizar cálculos. Esto puede ser 4 Estar preparado para utilizar diferentes
poscuántica (PQC), algoritmos clásicos que se
muy ventajoso para determinadas tareas en las que Como la criptografía se utiliza en todo el ecosistema algoritmos de clave pública para el cifrado,
consideran resistentes a los ataques cuánticos.20
podrían superar ampliamente incluso a nuestros cibernético, esto significa que nuestros servicios el intercambio de claves y las firmas.
Este trabajo influirá en los esfuerzos globales de los
mejores superequipos. La computación cuántica de seguridad basados en criptografía podrían verse
organismos de normalización. Aunque habrá cierto 5 Probar en sus aplicaciones el impacto de
ya está abriendo nuevos horizontes para el cifrado comprometidos. Por ejemplo, esto incluye servicios
solapamiento con las selecciones de algoritmos claves, cifrados y firmas de gran tamaño.
y el procesamiento de datos. Los estudios predicen de comunicaciones (TLS, IPSec), mensajería (correo
del gobierno de EE. UU., las distintas opciones
que la computación cuántica se convertirá en una electrónico, conferencias web), administración
de organismos nacionales/reguladores para los Vínculos a más información
industria multimillonaria ya en 2030.17 De hecho, de identidad y acceso, navegación web, firma
algoritmos conformes podrían plantear desafíos Microsoft ha demostrado la física subyacente
la computación y la comunicación cuánticas están decódigo, transacciones de pago y otros servicios
internacionales. Esta fragmentación complicará a su necesaria para crear un nuevo tipo de qubit
a punto de tener un efecto transformador en varias que dependen de la criptografía para su protección.
vez la ingeniería de productos y servicios. | Microsoft Research
industrias, desde la salud y la energía hasta las A medida que los equipos cuánticos se conviertan en
finanzas y la seguridad. una realidad, los componentes de software de terceros
que contengan implementaciones de algoritmos
y capacidades criptográficas requerirán también
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
106 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Integración de la
Los líderes de las organizaciones y los legisladores inactividad programados, requisitos de adquisición
pueden tener un impacto positivo significativo para la asistencia de productos de proveedores). La mejor forma de tomar decisiones
empresa, la seguridad
en la seguridad apoyando activamente a los líderes
de seguridad y ayudando a construir un puente entre
Por desgracia, muchas organizaciones retrasan, sobre los riesgos de seguridad
es que lo hagan los responsables
aplazan o aplican solo de manera parcial estas
Integración de la empresa, Reduzca el riesgo al eliminar los silos "La resiliencia cibernética se sitúa en una escala
La curva de la campana
• Utilizar antimalware de detección y respuesta
extendidas: implemente software para detectar
Clave
de la resiliencia cibernética
y bloquear automáticamente los ataques
y entregar información a las operaciones
de seguridad. Supervisar la información de Habilitar la
Factores de éxito de la resiliencia los sistemas de detección de amenazas es esencial autenticación multifactor
que toda organización debe adoptar para poder responder a las amenazas a tiempo.
Como hemos visto, muchos ciberataques tienen éxito • Mantenerse actualizado: los sistemas sin Aplicar los principios
simplemente porque no se ha seguido una higiene revisiones y desactualizados son una de de Confianza cero
de seguridad básica. Las normas mínimas que toda las principales razones por las que muchas
organización tiene que adoptar son: organizaciones son víctimas de un ataque.
Garantice que todos los sistemas se mantienen Usar antimalware
• Habilitar la autenticación multifactor (MFA): actualizados, incluidos el firmware, el sistema moderno
para proteger contra contraseñas de usuario operativo y las aplicaciones.
comprometidas y ayuda a proporcionar Mantenerse
resiliencia adicional para las identidades. • Proteger los datos: conocer sus datos
importantes, dónde se encuentran y si se han actualizado
• Aplicar principios de Confianza cero: la piedra
implementado los sistemas adecuados es
98 %
angular de cualquier plan de resiliencia que
crucial para aplicar la protección apropiada. Proteja
limite el impacto en una organización.
los datos
Estos principios son:
Notas finales
1. La detección y respuesta de puntos de conexión (EDR) es una plataforma de seguridad de punto 18. “ The Long Road Ahead to Transition to Post-Quantum Cryptography”, https://cacm.acm.org/
de conexión empresarial diseñada para ayudar a las redes empresariales a prevenir, detectar, investigar magazines/2022/1/257440-the-long-road-ahead-to-transition-to-post-quantum-cryptography/fulltext
y responder a amenazas avanzadas. La detección y respuesta de punto de conexión ofrece detecciones 19. https://www.whitehouse.gov/briefing-room/presidential-actions/2022/01/19/memorandum-on-
avanzadas de ataques que son prácticas y casi en tiempo real. Los analistas de seguridad pueden priorizar improving-the-cybersecurity-of-national-security-department-of-defense-and-intelligence-community-
las alertas con eficacia, obtener visibilidad de todo el alcance de una vulneración y tomar medidas de systems/
respuesta para corregir las amenazas. 20. https://csrc.nist.gov/projects/post-quantum-cryptography/post-quantum-cryptography-standardization
2. Una plataforma de protección de puntos de conexión (EPP) es una solución que se implementa en los 21. https://safecode.org/blog/preparing-for-post-quantum-cryptography-roadmap-initial-guidance/
dispositivos de los puntos de conexión para evitar el malware basado en archivos, detectar y bloquear
22. https://csrc.nist.gov/publications/detail/sp/800-40/rev-4/final
la actividad malintencionada de aplicaciones confiables y no confiables, y ofrecer las capacidades de
investigación y corrección necesarias para responder de manera dinámica a los incidentes y alertas
de seguridad.
3. https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-getstarted
4. https://docs.microsoft.com/en-us/azure/active-directory/authentication/how-to-mfa-number-match
5. https://docs.microsoft.com/en-us/azure/active-directory/authentication/how-to-mfa-additional-context
6. Libro de seguridad de Windows: Comercial
7. Las nuevas características de seguridad de Windows 11 ayudarán a proteger el trabajo híbrido | Microsoft
Security Blog
8. FIDO Alliance: Open Authentication Standards More Secure than Passwords
9. https://interpret.ml/
10. OWASP Top Ten | OWASP Foundation
11. https://blogs.microsoft.com/on-the-issues/2022/05/03/artificial-intelligence-department-of-defense-
cyber-missions/
12. https://www.kaspersky.com/blog/the-human-factor-in-it-security/
13. https://aka.ms/ZTatMSFT
14. https://csrc.nist.gov/publications/detail/nistir/8374/final
15. https://www.whitehouse.gov/briefing-room/presidential-actions/2022/01/19/memorandum-on-
improving-the-cybersecurity-of-national-security-department-of-defense-and-
intelligence-community-systems/
16. Orden ejecutiva 14028 Improving the Nation’s Cybersecurity
17. https://thequantumdaily.com/2020/02/18/the-quantum-computing-market-
size-superpositioned-for-growth
Amenazas Operaciones
Introducción El estado de la para los Dispositivos e
Dispositivos de influencia Resiliencia Equipos
110 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia estados nación infraestructura
e infraestructura cibernética cibernética colaboradores
Equipos
colaboradores
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
111 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Equipos colaboradores
Azure Networking, Core: un equipo de redes en la Centro de operaciones de ciberdefensa (CDOC): Seguridad digital y resiliencia (DSR): una
nube centrado en la WAN de Microsoft, las redes de la instalación de ciberseguridad y defensa organización dedicada a permitir a Microsoft
centros de datos y la infraestructura de redes definidas de Microsoft es un centro de fusión que reúne crear los dispositivos y servicios más confiables,
Un grupo diverso de profesionales centrados por software de Azure, incluida la plataforma DDoS, a profesionales de seguridad de toda la empresa manteniendo al mismo tiempo la seguridad
en la seguridad, que trabajan en diferentes la plataforma de perímetro de red y los productos para proteger nuestra infraestructura corporativa de nuestra empresa y la protección de nuestros
equipos de Microsoft entregan los datos y las de seguridad de red como Azure WAF, Azure Firewall y la infraestructura en la nube a la que los clientes datos y los de nuestros clientes.
perspectivas de este informe. En conjunto, su y Azure DDoS Protection Standard. tienen acceso. Los responsables de responder
Unidad de seguridad digital (DSU): un equipo de
a los incidentes colaboran con científicos de datos
objetivo es proteger a Microsoft, sus clientes Equipo de investigación sobre seguridad en abogados y analistas de ciberseguridad que aportan
e ingenieros de seguridad de todos los grupos
y al mundo en general de la amenaza de los la nube: al proteger la nube de Microsoft, crear
de servicios, productos y dispositivos de Microsoft
conocimientos jurídicos, geopolíticos y técnicos para
ciberataques. Nos enorgullece compartir estos características y productos de seguridad innovadores
para ayudar a proteger, detectar y responder a las
proteger a Microsoft y a sus clientes. La DSU fomenta
conocimientos como un acto de transparencia, y llevar a cabo investigaciones, este equipo
amenazas las 24 horas, los 7 días de la semana.
la confianza en las defensas de seguridad empresarial
con el objetivo común de convertir el mundo en protege y capacita a los clientes de Microsoft para de Microsoft frente a ciberadversarios avanzados
transformar de manera segura sus organizaciones. Iniciativa de democracia para el futuro: un de todo el mundo.
un lugar más seguro para todos.
equipo de Microsoft que trabaja para preservar,
Seguridad y confianza de los clientes (CST): Centro de análisis de amenazas digitales (DTAC):
proteger y promover los fundamentos de
un equipo que impulsa la mejora continua de la un equipo de expertos que analiza e informa sobre
AI for Good Research Lab: aprovechar el poder la democracia mediante el fomento de un ecosistema
seguridad del cliente en los productos y servicios las amenazas de los estados nación, incluidos
de los datos y la IA para abordar muchos de los de información saludable, salvaguardando procesos
en línea de Microsoft. Al trabajar con equipos de los ciberataques y las operaciones de influencia.
desafíos del mundo. El laboratorio colabora con democráticos abiertos y seguros y abogando
ingeniería y seguridad en toda la empresa, CST El equipo combina información e inteligencia
organizaciones ajenas a Microsoft, aplicando por la responsabilidad cívica de las empresas.
garantiza el cumplimiento, mejora la seguridad sobre ciberamenazas con análisis geopolíticos
la IA para mejorar los medios de subsistencia
y ofrece más transparencia para proteger a nuestros Unidad de delitos digitales (DCU): un equipo para entregar información a nuestros clientes
y el medioambiente. Entre sus áreas de interés
clientes y promover la confianza global en Microsoft. de abogados, investigadores, científicos de datos, y a Microsoft que sirva de base para una respuesta
figuran la seguridad en línea (desinformación,
ingenieros, analistas y profesionales empresariales y protección eficaces.
ciberseguridad, seguridad infantil), la respuesta Éxito del cliente: Los equipos de seguridad
dedicados a luchar contra la ciberdelincuencia
ante desastres, la sostenibilidad y la IA para la salud. de Éxito del cliente trabajan directamente con Empresa y seguridad: un equipo centrado
a escala mundial mediante el uso de tecnología,
los clientes para compartir procedimientos en brindar una plataforma moderna, segura
Azure Edge y seguridad de plataformas, empresas análisis forense, acciones civiles, remisiones penales
recomendados, lecciones aprendidas y orientación y administrable para la nube inteligente
y sistemas operativos: responsable de la seguridad y asociaciones tanto públicas como privadas.
para acelerar la transformación y modernización y el perímetro inteligente.
del sistema operativo central y de la plataforma en
de la seguridad. Este equipo reúne y organiza los Diplomacia digital: un equipo internacional
Windows, Azure y otros productos de Microsoft. Movilidad empresarial: un equipo que
procedimientos recomendados y las lecciones de antiguos diplomáticos, legisladores y expertos
El equipo crea soluciones de seguridad y hardware ayuda a brindar un lugar de trabajo moderno
aprendidas del recorrido de Microsoft, así como jurídicos que trabajan para fomentar un ciberespacio
líderes del sector en las plataformas de Microsoft y una administración moderna para mantener
de nuestros clientes, en estrategias, arquitecturas pacífico, estable y seguro frente a los crecientes
para reducir los riesgos de vulnerabilidades, la seguridad de los datos, en la nube y en
y planes de referencia, etc. conflictos entre estados nación.
identidad y malware desde el chip hasta la nube. las instalaciones. Endpoint Manager incluye
Creadores de la plataforma de núcleo protegido los servicios y herramientas que Microsoft
de Microsoft en PC, Edge y Server, el procesador y sus clientes usan para administrar y supervisar
de seguridad Microsoft Pluton y mucho más. dispositivos móviles, equipos.de escritorio,
máquinas virtuales, dispositivos integrados
y servidores.
El estado Amenazas Operaciones
Introducción El estado
de de la
la ciberde- para los
para los Dispositivos de influencia Resiliencia Equipos
112 Informe de defensa digital de Microsoft 2022 al informe ciberdelincuencia
lincuencia estados nación
estadosnación e infraestructura cibernética cibernética colaboradores
Equipos colaboradores
IA, Ética y Efectos en Ingeniería e Investigación Inteligencia sobre amenazas de Microsoft Centro de inteligencia sobre amenazas
(AETHER) de Microsoft: un consejo asesor Defender (RiskIQ): un equipo que produce de Microsoft (MSTIC): un equipo enfocado
de Microsoft cuya misión es garantizar que las inteligencia táctica mediante el análisis de la amplia en la identificación, el seguimiento y la recopilación
Continuación nuevas tecnologías se desarrollen y apliquen recopilación de telemetría externa de Microsoft, de inteligencia relacionada con los adversarios más
de forma responsable. trazando el panorama de las amenazas a medida sofisticados y avanzados que impactan a los clientes
Administración de riesgos empresariales: un equipo
que evoluciona para descubrir infraestructuras de Microsoft, incluidas las amenazas de estado
que trabaja en todas las unidades de negocio para Búsqueda y distribución de Microsoft Bing:
de amenazas desconocidas hasta ahora, y añadiendo de nación, el malware y el phishing.
dar prioridad a los debates sobre riesgos con los un equipo dedicado a ofrecer un motor de búsqueda
contexto a los actores y campañas de amenazas.
altos directivos de Microsoft. ERM conecta múltiples en Internet de primera clase, que permite a los One Engineering System (1ES): un equipo con
El equipo publica de forma periódica investigaciones
equipos de riesgo operativo, administra el marco de usuarios de todo el mundo encontrar con rapidez la misión de ofrecer herramientas de primera clase
puntuales y distintivas para brindar a los defensores
riesgo empresarial de Microsoft y facilita la evaluación resultados de búsqueda e información confiables, para ayudar a los desarrolladores de Microsoft a ser
información táctica crucial.
de la seguridad interna de la empresa utilizando incluido el seguimiento de los temas y las tendencias lo más productivos y seguros posible. El equipo
el Marco de ciberseguridad de NIST. que les interesan, al tiempo que les da el control de Equipo de desarrollo empresarial de seguridad dirige la estrategia central para asegurar la cadena
su privacidad. de Microsoft: un equipo que dirige la estrategia de suministro de software de Microsoft de extremo
Directiva global de ciberseguridad: un equipo que
de crecimiento de la ciberseguridad, las asociaciones a extremo.
trabaja con gobiernos, ONG y socios de la industria Soluciones para socios y clientes de Microsoft:
y las inversiones estratégicas de Microsoft.
para promover políticas públicas de ciberseguridad Organización comercial unificada de comercialización Centro de inteligencia sobre amenazas operativas
que permitan a los clientes fortalecer su seguridad de Microsoft responsable de funciones de campo Centro de respuestas de seguridad de Microsoft (OpTIC): el equipo responsable de administrar
y resiliencia cuando adoptan y usan la tecnología como especialistas y asesores de ventas técnicas (MSRC): un equipo comprometido con los y difundir la información sobre ciberamenazas que
de Microsoft. y de seguridad. investigadores de seguridad que trabajan para respalda la misión del Centro de operaciones de
proteger a los clientes y al ecosistema de socios ciberdefensa (CDOC) de Microsoft para proteger
Seguridad de identidad y acceso a la red (IDNA): Expertos de Microsoft Defender: la mayor
de Microsoft. MSRC, una parte integral del Centro a Microsoft y a nuestros clientes.
un equipo que trabaja para proteger a todos los organización mundial de Microsoft de investigadores
de operaciones de ciberdefensa (CDOC) de Microsoft,
clientes de Microsoft de accesos no autorizados de seguridad centrados en productos, científicos
reúne a expertos en respuesta de seguridad para
y fraudes. Seguridad de IDNA es un equipo aplicados y analistas de inteligencia de amenazas.
detectar y responder a las amenazas en tiempo real.
interdisciplinario de ingenieros, gerentes de Expertos de Defender ofrece capacidades innovadoras
productos, científicos de datos e investigadores de detección y respuesta en productos de seguridad Servicios de seguridad de Microsoft para la
de seguridad. de Microsoft 365 y servicios administrados respuesta ante incidentes: un equipo de expertos
de Expertos de Microsoft Defender. en ciberseguridad que ayuda a los clientes durante
Seguridad de M365: organización que desarrolla
todo el ciberataque, desde la investigación hasta la
soluciones de seguridad, como Microsoft Defender Microsoft Defender for IoT: un equipo compuesto
contención con éxito y las actividades relacionadas
para punto de conexión (MDE) y Microsoft Defender por investigadores expertos en la materia
con la recuperación. Los servicios se ofrecen a través
for Identity (MDI), entre otras, para proteger a los especializados en ingeniería inversa de malware,
de dos equipos altamente integrados, el Equipo
clientes empresariales. protocolos y firmware de IoT/OT. El equipo busca
de detección y respuesta (DART), centrado en la
amenazas IoT/OT para descubrir tendencias
investigación y los preparativos para la recuperación,
y campañas malintencionadas.
y la Práctica de seguridad de recuperación
de compromiso (CRSP), que se centra en los aspectos
de contención y recuperación.
Iluminar el panorama de las amenazas
y potenciar una defensa digital.