Informe de Seguridad de Check Point 2023 1701218461

INFORME SOBRE
CIBERSEGURIDAD
2023
USTED
MERECE
LA MEJOR
SEGURIDAD
CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 2

ÍNDICE
04 CAPÍTULO 1: INTRODUCCIÓN AL INFORME SOBRE CIBERSEGURIDAD 2023
DE MAYA HOROWITZ
07 CAPÍTULO 2: EJE CRONOLÓGICO DE LOS EVENTOS CIBERNÉTICOS CLAVE DE 2022
19 CAPÍTULO 3: TENDENCIAS DE CIBERSEGURIDAD EN 2022

20 Conflicto ruso-ucraniano
22 El año de la disrupción del wiper
26 El hacktivismo adquiere un rol protagonista en el escenario geopolítico
30 El uso de herramientas legítimas como armas
34 La extorsión en torno al ransomware: cambio de enfoque del cifrado a la
extorsión digital
38 Panorama del malware de dispositivos móviles: el riesgo de confiar en lo familiar
41 La nube: amenaza de terceros
44 CAPÍTULO 4: ANÁLISIS GLOBAL
63 CAPÍTULO 5: VULNER ABILIDADES GLOBALES DE ALTO PERFIL
68 CAPÍTULO 6:PERSPECTIVAS DE L A RESPUESTA ANTE INCIDENTES
75 CAPÍTULO 7: PERSPECTIVAS PAR A LOS DIRECTORES EN SEGURIDAD DE

L A INFORMACIÓN EN 2023: DISRUPCIÓN Y DESTRUCCIÓN
85 CAPÍTULO 8: L A PRE VENCIÓN ESTÁ AL ALCANCE
97 CAPÍTULO 9: DESCRIPCIONES DE L A FAMILIA DE MALWARE
107 CAPÍTULO 10: CONCLUSIÓN

CAPÍTULO 1
INTRODUCCIÓN
AL INFORME SOBRE
SEGURIDAD DE
CHECK POINT 2023

CAPÍTULO 1
M AYA HOROW IT Z
Vicepresidenta de Investigación de Check Point
En 1976, la reina Isabel II envió el primer correo electrónico de la realeza. Se envió

a través de ARPANET, 7 años antes de que se inventara Internet y 13 largos años
antes del primer hackeo de Internet registrado.
Casi 50 años después, el correo electrónico ha evolucionado hasta convertirse

no solo en un método de comunicación conocido sino en el vehículo más popular
para que los agentes de amenazas inicien sus ataques. De hecho, el Informe
de seguridad anual de Check Point Research (cp<r>) muestra que en 2022, la
proporción de ataques por correo electrónico ha aumentado, alcanzando un récord
asombroso del 86 % de todos los ataques de libre circulación basados en archivos.
En nuestro Informe de seguridad, analizamos algunas tendencias adicionales

observadas por cp<r> durante todo el año. La guerra entre Rusia y Ucrania
demostró cómo la guerra tradicional y convencional puede verse exacerbada por
una guerra cibernética. También ha influido en el panorama de amenazas más
amplio dados los raudos cambios del hacktivismo y la forma en que los agentes
de amenazas independientes eligen trabajar para misiones estatales. Durante
la guerra también se ha observado un uso optimizado del malware wiper, y esta
tendencia ha sido adoptada por varios agentes, llegando al punto donde 2022
ha sido testigo de más ataques wiper a nivel mundial que en la década anterior.
Los delitos cibernéticos tradicionales también han cambiado: en 2022, los
agentes de amenazas comenzaron a usar herramientas más legítimas en sus
operaciones, incluidos archivos de sistemas operativos nativos, software de TI
y herramientas de prueba de penetración; esto los ayudó en sus esfuerzos por
pasar desapercibidos. En sus ataques de ransomware, los agentes de amenazas
han comenzado a omitir el proceso de cifrado porque se dan cuenta de que las
recompensas financieras provienen principalmente de las filtraciones de datos y
la posterior amenaza de publicar datos de la víctima. En los ataques a dispositivos
móviles, los atacantes han dejado de imitar aplicaciones legítimas y, en el panorama
de amenazas en la nube, son los datos de las empresas los que están en riesgo,
principalmente cuando se alojan en entornos de proveedores externos y, por ende,
son susceptibles a ataques por configuraciones erróneas, roles y autorizaciones
demasiado permisivas y claves de acceso almacenadas públicamente.

CAPÍTULO 1
En los últimos días de 2022, presenciamos un avance drástico en el campo de

la inteligencia artificial generativa, hoy en día completamente a disposición
del público, que puede generar texto altamente profesional (código incluido) a
demanda en segundos. A medida que nos adentramos en 2023, debemos tener en
cuenta que los agentes de amenazas pueden adoptar rápidamente esta tecnología
para crear correos electrónicos aún más maliciosos, de una calidad mucho
mayor que los creados por los agentes de amenazas, y con infinitas variaciones
de malware y código malicioso en general. Esto demuestra, una vez más, la
importancia de la prevención de ataques de día cero en toda la infraestructura
de TI, incluidos el correo electrónico, la terminal, la red, la nube y todas las
posibilidades intermedias.
Check Point Software se compromete a garantizar que nuestros clientes reciban la

mejor seguridad con enfoque en la prevención en todos estos vectores. En Check
Point Research, nos complace proporcionar este Informe de seguridad anual para
ayudar a generar conciencia y ampliar las medidas de supervisión, de modo que
todos podamos unirnos para prevenir el próximo ciberataque.
Maya Horowitz
Vicepresidenta de Investigación en Check Point Software Technologies

CAPÍTULO 2
EJE CRONOLÓGICO
DE LOS EVENTOS
CIBERNÉTICOS
CLAVE DE 2022

CAPÍTULO 2
ENERO
Ucrania ha sido golpeada por un ciberataque a gran escala que derribó varios sitios web
gubernamentales. Los agentes de amenazas desfiguraron el sitio web de Asuntos Exteriores
y colocaron un mensaje amenazante que decía “¡Ucranianos! Toda la información sobre
ustedes se ha hecho pública. Tengan miedo y esperen lo peor”. Los investigadores también
encontraron evidencia sobre una importante operación en curso dirigida a múltiples
organizaciones en Ucrania: se utilizaba un malware disfrazado de ransomware que podría
hacer que un sistema quede inoperable.
Los canales de televisión y una estación de radio dirigida por la emisora estatal de Irán fueron
hackeados en un complejo ataque perpetrado por un grupo de oposición exiliado. El grupo
hacktivista Edalat-e Ali (Justicia de Ali) hackeó el sitio web de la televisión iraní y transmitió
un video con un fuerte mensaje de oposición. El video comenzó con imágenes de personas en
el estadio Azadi de Teherán gritando “muerte al dictador”, refiriéndose al líder supremo Ali
Kamenei, luego cortó un primer plano de un hombre enmascarado similar al protagonista
de la película V de Vendetta, quien dijo “Khamenei tiene miedo, los cimientos del régimen se
tambalean”. Check Point Research realizó un análisis técnico profundo de uno de los ataques.
CPR pudo descubrir parte de las herramientas que se utilizaron en esta operación, incluida la
evidencia del uso de un malware wiper destructivo.
UCR A NI A IR Á N
FEBRERO
Un importante ataque de ransomware ha interrumpido las operaciones de las terminales

portuarias petroleras en Bélgica, Alemania y Países Bajos, lo que afectó al menos a
17 puertos y generó dificultades para realizar cargas y descargas de productos refinados. Se
sospecha que el grupo de cibercrimen BlackCat es el que detrás del ataque.
Ucrania ha estado en el centro de diversos ataques de DDoS dirigidos contra sus fuerzas
armadas, el Ministerio de Defensa, la radio pública y los sitios web de los bancos nacionales.
El Gobierno de Estados Unidos ha atribuido oficialmente los ataques a la Dirección Principal
del Estado Mayor de las Fuerzas Armadas de Rusia.

CAPÍTULO 2
Grupos de ataque patrocinados por el estado sacan provecho de la

guerra entre Rusia y Ucrania para el ciberespionaje
CPR ha observado cómo grupos de amenazas persistentes avanzadas (APT) en todo el mundo
lanzan nuevas campañas o adaptan rápidamente las que están en curso para atacar a las víctimas
con correos electrónicos de spear-phishing utilizando la guerra como señuelo.
https://research.checkpoint.com/2022/state-sponsored-attack-groups-capitalise-on-russia-ukraine-war-for-cyber-espionage/
Check Point Research ha publicado datos sobre los ciberataques observados en torno al
actual conflicto entre Rusia y Ucrania. Los ciberataques contra los sectores gubernamental
y militar de Ucrania aumentaron en un 196 % en los primeros tres días de combate. Los
ciberataques a organizaciones rusas aumentaron en un 4 %. Los correos electrónicos de
phishing en lenguas eslavas orientales se multiplicaron por 7.
Tras un anuncio de OpenSea sobre la planificación de una migración de contratos, Check

Point Research detectó que los hackers se aprovecharon del proceso de actualización y
estafaron a usuarios de NFT, lo que significó el robo de millones de dólares.
BÉLGIC A A LEM A NI A PA ÍSES B A JOS

UCR A NI A
MARZO
El “ejército de TI” de Ucrania, formado por ciberoperadores y voluntarios de todo el mundo,
se ha adjudicado ataques que derribaron múltiples sitios web clave rusos y bielorrusos,
incluido el sitio oficial del Kremlin.
Como parte de la fuga de NVIDIA perpetrada por la banda de ransomware Lapsus$, se utilizaron
2 certificados de firma de código robados para firmar sus controladores y archivos ejecutables.
Los atacantes ya han comenzado a utilizar estos certificados para firmar malware, con la esperanza
de evadir las soluciones de seguridad. La banda de ransomware Lapsus$, que se adjudicó la
responsabilidad de la filtración al gigante de la fabricación de chips NVIDIA, afirma que ha logrado
infiltrarse en el fabricante coreano Samsung y publicar 190 GB de datos confidenciales en Internet.

CAPÍTULO 2
Uno de los mayores productores cárnicos de Rusia, Miratorg Agribusiness Holding, ha sufrido
un importante ciberataque. Los agentes de amenazas usaron Windows BitLocker para cifrar los
sistemas de TI de la víctima en volúmenes completos y exigieron un rescate. El ataque provocó
interrupciones en la distribución durante varios días.
RUSI A
ABRIL
Check Point Research (CPR) reveló un gran aumento en los ataques perpetrados por
grupos de amenazas persistentes avanzadas (Advanced Persistent Threat, APT) en todo el
mundo, utilizando como señuelo la guerra entre Rusia y Ucrania. La mayoría de los ataques
comenzaron con correos electrónicos de spear-phishing con documentos con macros
maliciosas que soltaban malware, como loki.Rat de puerta trasera.
Desde principios de abril, la nueva vulnerabilidad Spring4shell (CVE-2022-22965) ha sido

aprovechada activamente por los agentes de amenazas, junto con la botnet Mirai. Singapur ha sido
una de las áreas geográficas más afectadas. Check Point Research muestra que el 16 % de las
organizaciones en todo el mundo se vieron afectadas con Spring4Shell durante los primeros 4 días
tras el brote de la vulnerabilidad. VMware publicó actualizaciones de seguridad para abordar esta
falla crítica de ejecución remota de código dentro de sus productos.
Check Point Research identificó a “ALHACK”, un conjunto de vulnerabilidades en el formato

de audio ALAC que podrían haberse utilizado para la ejecución remota de código en dos
tercios de los dispositivos móviles del mundo. Las vulnerabilidades afectaron a los teléfonos
inteligentes Android con chips de MediaTek y Qualcomm, los dos mayores fabricantes de
chipset móviles.
Check Point Research identificó una vulnerabilidad en la billetera de blockchain Everscale.

De haber sido aprovechada, la vulnerabilidad habría dado a un atacante el control total de
la billetera de una víctima y los fondos en ella. La vulnerabilidad se descubrió en la versión
web de la billetera Everscale, conocida como Ever Surf. Disponible en Google Play Store y
App Store de Apple, Ever Surf es un mensajero multiplataforma, explorador blockchain y
criptobilletera para la red de blockchain Everscale.
SING A PUR

CAPÍTULO 2
Principio básicos de la seguridad de blockchain

Cada año, gente común pierde dinero en los hackeos de blockchain. ¿Podría ser que esta tecnología es sencillamente insegura
por naturaleza? ¿O hay algo que no estamos viendo, algo que podría evitarle a esta industria, y a los millones de personas que
han invertido su dinero bien ganado en ella, el desperdicio de miles de millones de dólares cada año?
Sintonice CP<RADIO> nuestro canal de podcast para escuchar este podcast revelador
https://research.checkpoint.com/2022/blockchain-security-101/
MAYO
Costa Rica declaró el estado de emergencia tras un devastador ataque de ransomware

ejecutado por la banda Conti. El ataque afectó a muchas organizaciones gubernamentales,
entre ellas el Ministerio de Hacienda, la Caja Costarricense de Seguro Social y el Ministerio
de Ciencia, Innovación, Tecnología y Telecomunicaciones. Se estima que se perdieron
200 millones de dólares debido a las interrupciones relacionadas con las plataformas de
impuestos y aduanas. La banda de ransomware Conti supuestamente ha desconectado
su infraestructura después de que sus líderes anunciaran que estaban reorganizando sus
operaciones. La noticia llega unos días después de que Conti extorsionara a Costa Rica.
Se cree que los miembros de Conti actualmente están migrando y reorganizándose en
operaciones de ransomware más pequeñas.
Lincoln College, una institución con 157 años de trayectoria en Illinois, anunció que cerrará
indefinidamente después de que un importante ataque de ransomware ocurrido en diciembre
de 2021 afectara las operaciones escolares.
Sberbank, una organización rusa de servicios bancarios, ha sido el objetivo de continuos

ataques en el último mes por parte de hackers proucranianos. El banco sufrió recientemente
el ataque de denegación de servicio distribuido (Distributed Denial-of-Service, DDoS)
más grande que se haya registrado, medido en 450 GB/seg.
El grupo de hackers con patrocinio del estado ruso, Turla, ha lanzado una campaña de
reconocimiento contra la Cámara Federal de Economía de Austria, una plataforma de la
OTAN, y el Baltic Defense College (Colegio de Defensa del Báltico).

CAPÍTULO 2
De qué forma la evolución del ransomware cambió el panorama de

amenazas de WannaCry a Conti: Una perspectiva de 5 años
https://www.checkpoint.com/ransomware-hub/
JUNIO
El Equipo de Respuesta ante Emergencias Informáticas (Computer Emergency Response

Team, CERT) de Ucrania ha emitido una advertencia sobre los hackers rusos, posiblemente
el grupo de APT Sandworm patrocinado por el estado que lanzaría ataques para aprovechar
la vulnerabilidad crítica de Follina (CVE-2022-30190) en la herramienta de diagnóstico de
soporte de Microsoft Windows. La campaña aprovecha los correos electrónicos maliciosos
con adjuntos DOCX dirigidos a medios de comunicación y canales de noticias en Ucrania.
El mayor ataque de HTTPS DDoS jamás registrado se ha mitigado recientemente, con

26 millones de solicitudes por segundo. El ataque tenía como objetivo a un cliente de
Cloudflare y se originó en proveedores de servicios en la nube y no en proveedores de
servicios residenciales de Internet, lo que indica el uso de máquinas virtuales hackeadas.
Microsoft ha emitido una solución para abordar la vulnerabilidad crítica de Follina

(identificada como CVE-2022-30190) que ha sido aprovechada en la red, y recomienda a los
usuarios que actualicen y apliquen parches con urgencia.
Se ha informado que los servicios de inteligencia rusos han aumentado los ataques contra los
gobiernos y las ONG que apoyan a Ucrania en 42 países diferentes, con el objetivo de obtener
información confidencial de las agencias de los países miembro de la OTAN.

CAPÍTULO 2
Clientes de Check Point entre los primeros en estar protegidos

de la vulnerabilidad de Follina
Los clientes de Check Point estaban protegidos el mismo día en que se descubrió Follina (30 de mayo). El uso de las protecciones
de comportamiento de Harmony Endpoint y Threat Emulation https://blog.checkpoint.com/2022/05/31/follina-
zero-day-vulnerability-in-microsoft-office-check-point-customers-remain-protected/
JULIO
Tanto Noruega como Lituania fueron víctimas de DDoS a gran escala. Se presume que
los ataques han sido perpetrados por grupos de hackers independientes prorrusos, con el
objetivo de desalentar el apoyo de estos países a Ucrania.
Twitter ha sufrido una filtración de datos después de que agentes de amenazas utilizaran
una vulnerabilidad para crear una base de datos de números de teléfono y direcciones de
correo electrónico pertenecientes a 5,4 millones de cuentas; estos datos están actualmente
a la venta en un foro de hackers por 30 000 USD. Según se ha informado en un mercado de
datos robados, la base de datos contiene información sobre varias cuentas, incluidas las de
celebridades, empresas y usuarios al azar.
NORUEG A LIT UA NI A
Filtraciones de datos. ¿Su negocio está protegido?

Descargue nuestra guía para obtener más información sobre las filtraciones de datos y las mejores prácticas que debe seguir para
prevenirlas. https://pages.checkpoint.com/prevent-cyber-attack-data-breach.html

CAPÍTULO 2
La nueva era del hacktivismo: el hacktivismo político

prolifera hacia Occidente y más allá
En el último año, las cosas han cambiado. Como uno de los tantos efectos colaterales de los conflictos en Europa del Este y
Oriente Medio, algunos grupos hacktivistas intensificaron sus actividades en cuanto a su forma y enfoque hacia una nueva era; el
hacktivismo ya no se trata solo de grupos sociales con agendas variables. https://research.checkpoint.com/2022/the-new-era-of-hacktivism/
AGOSTO
La vulnerabilidad crítica Atlassian Confluence, identificada como CVE-2022-26138, ha sido

aprovechada en la red. Los agentes no autenticados podrían aprovechar la falla de forma
remota para obtener acceso ilimitado a todas las páginas en Confluence. Además, la Agencia
de Ciberseguridad y Seguridad de la Infraestructura (Cybersecurity and Infrastructure
Security Agency, CISA) emitió una advertencia y ordenó que las agencias federales de los
EE. UU. aborden la vulnerabilidad.
Cisco confirma que ha sufrido un ataque del grupo de ransomware Yanluowang. El

perpetrador logró el acceso inicial cuando obtuvo las credenciales de la cuenta de Google
de un empleado guardadas en su navegador porque el usuario aceptó una notificación push
de autenticación de multifactor (Multi-Factor Authentication, MFA). La empresa dice que,
si bien también hubo señales de actividad previa al ransomware, no se ha implementado
ransomware en los sistemas de Cisco.
El grupo de hackers prorrusos Killnet se dirigió públicamente a Lockheed Martin y convocó a

otros grupos de hackers a unirse a los ataques. En este punto, Killnet se adjudica el reciente
ataque de DDoS a la compañía y afirma que obtuvo datos personales de los empleados de la
compañía; la corporación estadounidense desmintió estos dichos.
South Staffordshire Water, la empresa de suministro de agua más grande del Reino Unido que
abastece 330 millones de litros de agua potable a 1,6 millones de consumidores diariamente,
ha sido víctima de un ataque de ransomware lanzado por Cl0p, una banda de ransomware
de habla rusa. El grupo causó la interrupción de los sistemas de TI de la compañía, lo que
les permitió acceder a más de 5 TB de datos, incluidos pasaportes, capturas de pantalla de
sistemas SCADA para el tratamiento del agua, licencias de conducir y mucho más.

CAPÍTULO 2
Apple ha emitido un parche urgente para dos fallas de día cero aprovechadas activamente por
los atacantes para hackear iPhones, iPads o Macs. Entre ellos se encuentra CVE-2022-32893,
una vulnerabilidad de escritura fuera de límites en WebKit que permitiría a un atacante
realizar la ejecución de código arbitrario, y CVE-2022-32894, una vulnerabilidad de escritura
fuera de límites en el núcleo del sistema operativo que permitiría a un atacante ejecutar
código con privilegios del núcleo.
Check Point Research ha descubierto una campaña de minería de criptomonedas activa que
imita a “Google Translate Desktop” y a otro software gratuito para infectar las PC. Creada por
una entidad de habla turca llamada Nitrokod, la campaña cuenta con 111 000 descargas en
11 países desde 2019.
SEPTIEMBRE
Se produjo un gran embotellamiento en Moscú tras un tipo de ataque físico de DDoS, cuando
atacantes hackearon el servicio ruso de taxis Yandex y enviaron a cientos de automóviles a
una ubicación específica. El grupo Anonymous afirma estar detrás de este ataque.
Varios ciberataques vinculados con Irán han estado alterando los sistemas gubernamentales
de Albania desde julio, obligando a este país a cerrar algunos servicios en línea. En
respuesta, el gobierno de Albania puso fin a sus vínculos diplomáticos con Irán, y ordenó al
personal a que se fuera dentro de las 24 horas. El último ataque que ocurrió durante el fin
de semana, supuestamente perpetrado por el mismo actor, tuvo como objetivo el sistema
informático de la policía albanesa y obligó a los funcionarios a dejar de usar su sistema TIMS,
que se utiliza para el registro de datos de inmigración.
Uber ha sufrido una filtración de datos perpetrada, supuestamente, por un hacker de 18

años que logró obtener acceso utilizando tácticas de ingeniería social sobre un empleado.
El hacker afirma tener acceso a los sistemas internos de TI de Uber y a la cuenta de bug
bounty de HackerOne de la compañía, que contiene vulnerabilidades en los sistemas y las
aplicaciones de Uber, divulgadas en privado por investigadores de seguridad. Uber afirma que
la información privada de los usuarios no se vio comprometida.
Esta semana se registró un nuevo ataque DDoS récord, que alcanzó un máximo de
704,8 Mpps, aproximadamente un 7 % más que el ataque anterior registrado en la misma
organización europea el pasado julio.

CAPÍTULO 2
OCTUBRE
Los grupos hacktivistas de todo el mundo han apuntado al régimen iraní, a medida que
continúan las protestas en todo el país. Los grupos han estado filtrando información
relacionada con funcionarios del gobierno iraní y ofreciendo apoyo a los manifestantes para
que compartan información y evadan la censura.
La información personal de 10 millones de australianos ha sido robada en un ciberataque a

la compañía de telecomunicaciones Optus. Entre los datos robados se incluye información
confidencial, como pasaportes e información de atención médica. Si bien los hackers
inicialmente exigieron un rescate de 1 millón de dólares, luego dieron marcha atrás a su
demanda debido a la alta atención que recibió el hackeo y la operación de las fuerzas de
seguridad que se inició para identificar a los atacantes.
Check Point Research publicó un informe que explica la tendencia creciente del hacktivismo
estatal. Si bien en el pasado los grupos hacktivistas solían no afiliarse con intereses
nacionales, actualmente los grupos participan en iniciativas dirigidas por el estado,
impulsados por conflictos geopolíticos.
El grupo de amenazas de habla rusa, Killnet, se adjudica la responsabilidad por los ataques
que dejaron fuera de servicio diferentes sitios web del gobierno estatal de los EE. UU.,
incluidos los de Colorado, Kentucky, Misisipi y otros.
La empresa de compras en línea Woolworths ha informado una filtración de datos que afecta a
más de dos millones de usuarios australianos de su subsidiaria MyDeal. La empresa dijo que la
vulneración se debió a una credencial de usuario comprometida que se utilizó para obtener acceso
no autorizado al sistema de gestión de relaciones con los clientes de MyDeal. Varias compañías
australianas han sido atacadas durante octubre: Medibank, la firma de seguros médicos más
grande del país, congeló sus operaciones en la bolsa de valores de Australia después de
confirmar una filtración de datos de 200 GB; en una vulneración de la red del minorista de vinos
Vinomofo se filtraron datos de más de 500 000 clientes; un ataque a la compañía de energía
EnergyAustralia dejó expuestos los datos de pago de cientos de clientes de la compañía.
El ransomware Azov al descubierto: No es un skidsware

sino un wiper polimórfico
CPR proporciona detalles técnicos de su análisis del infame ransomware Azov
https://research.checkpoint.com/2022/pulling-the-curtains-on-azov-ransomware-not-a-skidsware-but-polymorphic-wiper/

CAPÍTULO 2
El grupo hacktivista afiliado a Rusia “Killnet” ha lanzado un ataque DDoS contra sitios web del
gobierno de Bulgaria, haciendo que estos sean inaccesibles. Killnet afirmó que Bulgaria fue
blanco de sus ataques debido a su “traición a Rusia” y al suministro de armas a Ucrania.
El fabricante de cobre más grande de Europa, Aurubis, ha sido víctima de un ciberataque dirigido
a sus sistemas de TI, y obligó a la compañía a apagar muchos de los sistemas de sus sitios.
OpenSSL, que se utiliza ampliamente para comunicaciones seguras, advirtió sobre una
vulnerabilidad crítica en las versiones 3.0 y superiores que se publicarán el martes 1.º de
noviembre. Eventualmente, las vulnerabilidades publicadas se redujeron a gravedad “alta”.
Check Point Research descubrió que los ataques globales aumentaron en un 28 % en el tercer
trimestre de 2022, siendo los sectores de educación/investigación los más afectados en general
y el sector de atención médica como el blanco más elegido para ataques de ransomware.
NOVIEMBRE
El Ejército de TI de Ucrania afirma haber obtenido acceso al Banco Central de Rusia. Publicaron
27 000 de los archivos filtrados, que contenían datos personales, legales y financieros.
Check Point Research identificó un paquete malicioso nuevo y único en PyPI, el índice de
paquetes líder utilizado por los desarrolladores para el lenguaje de programación de Python.
El paquete fue diseñado para ocultar código en imágenes e infectar a través de proyectos de
código abierto en Github.
El ransomware Azov se está distribuyendo en todo el mundo para cifrar los archivos de
las víctimas mientras que, de hecho, un análisis de Check Point Research demuestra que
el ransomware Azov es un wiper de datos destinado a destruir datos sin forma de recuperar
los archivos.
Meta ha despedido a varios empleados que están acusados de recibir miles de dólares en
sobornos de hackers externos a cambio de otorgarles acceso a los perfiles de Facebook o
Instagram de los usuarios. Los empleados utilizaron la herramienta de soporte interno de
la empresa, que permite el acceso completo a cualquier cuenta de usuario.

CAPÍTULO 2
El sitio web del Parlamento Europeo ha sido atacado tras un voto que declaraba a Rusia
como estado patrocinador del terrorismo. Los grupos hacktivistas prorrusos, Anonymous
Russia y Killnet, se han atribuido la responsabilidad del ataque que ha causado una deneg-
ación de servicio distribuida (DDoS) continua.
El grupo de ransomware Black Basta está llevando a cabo una campaña dirigida a organi-
zaciones en los Estados Unidos, Canadá, Reino Unido, Australia y Nueva Zelanda. El grupo
utiliza el troyano bancario QakBot (también conocido como QBot, Pinkslipbot) para infectar
un entorno e instalar una puerta trasera que le permita insertar el ransomware.
DICIEMBRE
Los ciberdelincuentes que vulneraron los sistemas australianos de Medibank han liberado otro
lote de datos en la web oscura y afirman que los archivos contienen todos los datos recopilados
en el último atraco bancario que afectó a 9,7 millones de clientes en octubre de 2022. Medibank
ha confirmado la filtración de datos.
Los investigadores descubrieron que más de 300 000 usuarios en 71 países fueron afecta-
dos por una campaña contra Android destinada a robar credenciales de Facebook. Esto se
logró gracias al uso del troyano de dispositivos móviles Schoolyard Bully que se implementó
en aplicaciones legítimas con temas educativos, disponibles en Google Play Store oficial.
Check Point Research ha analizado la actividad del grupo de ciberespionaje Cloud Atlas.
Desde su descubrimiento en 2014, el grupo ha lanzado múltiples ataques altamente dirigidos
a infraestructuras críticas en varias zonas geográficas e involucradas en conflictos políticos;
sin embargo, su alcance se ha reducido significativamente el último año, con un claro enfoque
en Rusia, Bielorrusia y áreas en conflicto en Ucrania y Moldavia.
A medida que los modelos de inteligencia artificial (IA) se vuelven cada vez más populares, Check
Point Research analiza los riesgos y las ventajas de la tecnología. CPR demuestra cómo las
tecnologías de IA, como ChatGPT y Codex, pueden utilizarse fácilmente para crear un flujo de
infección completo, desde el spear-phishing hasta la ejecución de una shell inversa, y proporciona
ejemplos del impacto positivo de la IA del lado de los defensores.

CAPÍTULO 3
TENDENCIAS DE
CIBERSEGURIDAD
EN 2022

CAPÍTULO 3
CONFLICTO ENTRE
RUSIA Y UCRANIA
La guerra Rusia-Ucrania en curso ha tenido un Tal como en el campo de batalla físico, los
profundo efecto en el ciberespacio y ha causado rusos aparentemente no se prepararon
un aumento significativo en los ciberataques para una campaña cibernética larga.
en 2022. El hacktivismo se ha transformado Sus operaciones cibernéticas, que en las
y el uso de malware destructivo por parte de primeras etapas incluyeron ataques precisos
grupos patrocinados por el estado y entidades cuidadosamente planificados, han cesado.
independientes se ha vuelto más frecuente a Múltiples herramientas y wipers nuevos, que
nivel mundial. eran característicos de las etapas iniciales,
han sido reemplazados por un modo operativo
El rol de la ciberguerra se ilustra claramente diferente. Los ciberataques ofensivos actuales
en este primer conflicto híbrido completamente son principalmente vulneraciones rápidas de
desarrollado, donde las batallas se combaten oportunidades a medida que surgen y el uso de
tanto en línea como en tierra física. Los rusos herramientas de ataque ya conocidas. Estos no
revelaron nuevas herramientas cibernéticas y pretenden ser un complemento de los esfuerzos
lograron objetivos tácticos que afectaron las de combate táctico, sino crear un efecto
comunicaciones militares y civiles, incluido el psicológico infligiendo daño a la infraestructura
bloqueo de las transmisiones en los medios civil ucraniana.
públicos. Si bien la actividad cibernética no
puede ganar la guerra por sí sola, desempeña El reclutamiento de ciberprofesionales,
un papel importante en las operaciones tácticas delincuentes y otros civiles para la iniciativa
y tiene un efecto psicológico y económico cibernética militar, en ambos lados del
indiscutible. conflicto, ha difuminado aún más la
distinción entre agentes de estado nación,
Para que las operaciones cibernéticas sean ciberdelincuentes y hacktivistas. El gobierno
eficaces, no es solo cuestión de emplear ucraniano ha conformado un ejército de
malware. Al igual que la guerra convencional, hacktivistas cuyo manejo es muy diferente
la ciberguerra también requiere preparaciones de cualquier cosa que hayamos visto antes.
meticulosas y exhaustivas. El reconocimiento, Anteriormente caracterizadas por una
la recopilación y evaluación de inteligencia, la cooperación poco estructurada entre personas
compilación y priorización de bancos objetivo, circunstanciales, las nuevas organizaciones
el desarrollo de cargas útiles dedicadas y hacktivistas llevan a cabo el reclutamiento, la
la infiltración de redes son todos requisitos capacitación, la recopilación de inteligencia
previos para una campaña exitosa. y asignación de objetivos y la compilación

CAPÍTULO 3
del estado del campo de batalla de manera Ocho años de hostilidad cibernética continua
militarizada. Los ataques a entidades rusas, entre Rusia y Ucrania han servido como
que alguna vez fueron considerados vedados período de capacitación para ambas partes.
por muchas entidades de delitos cibernéticos, Las organizaciones de defensa cibernética de
ahora han aumentado y Rusia está luchando Ucrania son elogiadas como “las estructuras
bajo una ola de hackeo sin precedentes que cibernéticas defensivas más eficaces de
combina actividad patrocinada por el estado, la historia”. Conocer las herramientas y el
guerreros cibernéticos políticos y acciones modus operandi de los adversarios es de
criminales. Por otro lado, se establecieron suma importancia en la guerra cibernética. El
múltiples grupos hacktivistas afiliados a Rusia impacto de la primera implementación de un
que apuntan no solo a Ucrania, sino también
wiper particular puede ser devastador pero
a Europa, América del Norte y Japón. Para
el impacto de una segunda es, por lo general,
obtener más detalles, lea nuestra sección sobre
mucho más pequeño. Por ejemplo, el efecto del
hacktivismo.
ataque del Industroyer2 en el sector energético
El uso extensivo de malware destructivo ya ha en Ucrania en marzo de 2022 fue limitado en
ocasionado un aumento de actividades similares comparación con la primera implementación
en otras regiones que son perpetradas por
del Industroyer en 2016.
otros grupos geopolíticos. ¿Los ciberataques
pueden considerarse un acto hostil? ¿Qué tipo Aún no se ha visto el alcance completo de los
de prueba y cuán extenso debe ser el daño para
cambios provocados por este conflicto, pero ya
ser considerado un casus belli? ¿Se requieren
hemos aprendido algunas lecciones valiosas.
modificaciones a los tratados existentes?
Abordamos estas preguntas en otro capítulo del
informe titulado “Wipers”.
El rol de la ciberguerra se ilustra claramente en este primer
SERGE Y SHYKEVICH conflicto híbrido completamente desarrollado, donde las

batallas se combaten en línea y en tierra física. Los rusos
Gerente del Grupo
de Inteligencia sobre revelaron nuevas herramientas cibernéticas y lograron objetivos
Amenazas de Check Point tácticos que afectaron las comunicaciones militares y civiles,
Software Technologies
incluido el bloqueo de las transmisiones en los medios públicos.
Si bien la actividad cibernética no puede ganar la guerra por
sí sola, desempeña un papel importante en las operaciones
tácticas y tiene un efecto psicológico y económico indiscutible.

CAPÍTULO 3
EL AÑO DE L A DISRUPCIÓN
DESCONTROL ADA DEL WIPER
Los wipers y otros tipos de malware destructivo Stuxnet, posiblemente el malware destructivo
están cuidadosamente diseñados para causar más famoso, se utilizó en 2010 para sabotear
daños irreversibles y, si se usan en estrecha las centrifugadoras en el proyecto nuclear
colaboración con la ciberguerra, el efecto iraní. En ese momento, Stuxnet era único en
puede ser catastrófico. Es probable que por muchos aspectos, pero principalmente porque
eso solo hayamos visto un uso limitado de su impacto inmediato era la destrucción física
los wipers a lo largo de los años y, por lo del hardware mecánico. En 2012, se implementó
general, asociados con los estados nación. Shamoon para interrumpir las actividades de
Hasta hace poco, los países utilizaban los las empresas petroleras en Oriente Medio,
ciberataques principalmente con el fin de llevar apuntando a las instalaciones de Arabia
a cabo tácticas de espionaje y recopilación Saudita y Qatar. En 2013, DarkSeoul, atribuido
de inteligencia, y solo rara vez recurrían a a Corea del Norte, se utilizó para destruir
herramientas cibernéticas destructivas. En más de 30 000 computadoras asociadas con
2022, hemos visto un cambio en la apariencia los sectores bancarios y de comunicación en
de múltiples familias de wipers nuevos que se Corea del Sur. Este ataque tuvo lugar durante
utilizan para destruir miles de máquinas. un período de fuertes tensiones entre los dos
países después de pruebas nucleares por parte
Los wipers son malware destructivo, diseñados de Core del Norte.
para causar daños con un potencial limitado
de ganancias financieras para los atacantes. En los años siguientes, fuimos testigos
Por lo tanto, el uso temprano de wipers para del ataque de Black Energy en 2015 a la
exhibir las capacidades de los atacantes fue infraestructura energética ucraniana (KillDisk)
limitado y de corta duración. Pero en todos y otro ataque a objetivos saudíes llamado
los casos, el propósito principal de los wipers Shamoon2 en 2016. NotPetya se distribuyó
es interrumpir las operaciones o destruir los contra objetivos ucranianos en 2017 en un
datos de manera irreversible. Sin embargo, el ataque a la cadena de suministro que causó
proceso de destrucción de datos tiene varias daños colaterales significativos a nivel mundial.
implementaciones tecnológicas. En 2018, el Olympic Destroyer, supuestamente
diseñado por Corea del Norte, fue utilizado
por el grupo afiliado a Rusia, Sandworm, para
interrumpir las ceremonias de apertura de los

CAPÍTULO 3
Juegos Olímpicos de Invierno. En 2019, Dustman de arranque (Master Boot Record, MBR) de los
y ZeroCleare se utilizaron en ataques iraníes sistemas para evitar el reinicio del sistema
contra objetivos en Oriente Medio relacionados y la recuperación de archivos. Los atacantes
con la producción petrolera. En promedio, hubo dejaron una nota de rescate pero no ofrecieron
un ataque de una familia de wipers por año. un mecanismo de recuperación, lo que llevó a
la especulación de que la demanda de pago solo
Durante 2022, hubo un cambio notable en tenía la intención de engañar a las víctimas.
las tácticas de implementación de malware Los archivos se corrompieron aún más con una
destructivo. El ciberespionaje continuó como carga útil de segunda etapa que se alojaba en
antes pero esta actividad se ha complementado un canal Discord.
con operaciones cibernéticas destructivas,
instigadas por naciones cuyo objetivo parece ser En la víspera de la invasión terrestre en
infligir tanto daño como sea posible. Durante el febrero, se implementaron tres wipers
inicio de la guerra Rusia-Ucrania en febrero se adicionales: HermeticWiper, HermeticWizard
observó un repunte masivo en los ciberataques y HermeticRansom. Las herramientas deben
disruptivos llevados a cabo por Rusia contra su nombre al certificado que se emitió a
Ucrania. Rusia tiene una larga historia de “Hermetica Digital Ltd”. Más adelante ese
ciberataques contra su vecino. En enero de mismo mes se informó sobre la implementación
2022, WhisperGate se utilizó para atacar a de wipers adicionales. Otro ataque se dirigió a
organizaciones gubernamentales y financieras la red eléctrica ucraniana en abril, utilizando
en Ucrania, sobrescribiendo el registro maestro una nueva versión de Industroyer, el malware
que se utilizó en un ataque similar en 2016.
Los wipers (limpiadores) y otros tipos de malware destructivo

están cuidadosamente diseñados para causar daños irreversibles
ELI SMADJA y, si se usan en estrecha colaboración con la ciberguerra, el
Gerente del Grupo efecto puede ser catastrófico. Es probable que por eso solo
de Investigación en
hayamos visto un uso limitado de los wipers a lo largo de los
Seguridad de Check Point
Software Technologies años y, por lo general, han estado asociados con los estados
nación. Hasta hace poco, los países utilizaban los ciberataques
principalmente con el fin de llevar a cabo tácticas de espionaje
y recopilación de inteligencia, y solo rara vez recurrían a
herramientas cibernéticas destructivas. En 2022, hemos visto un
cambio en la apariencia de múltiples familias de wipers nuevos
que se utilizan para destruir miles de máquinas.

CAPÍTULO 3
En total, fueron al menos nueve los distintos En enero de 2022, el servicio de difusión
wipers que se implementaron en Ucrania estatal iraní IRIB fue atacado por un malware
en menos de un año. Muchos de ellos destructivo. El ataque, investigado por cp<r>,
muy probablemente fueron desarrollados causó daños a las computadoras en cientos de
por separado por diferentes servicios de estaciones de televisión y radio en todo Irán.
inteligencia rusos y emplearon diferentes Las imágenes de los líderes de la oposición
mecanismos de limpieza y evasión. iraní, la organización terrorista Mojahedin-e-
Khalq (MEK), se transmitieron en las pantallas
Uno de los ataques, perpetrado horas antes de televisión en todo el país, reclamando
de la invasión terrestre a Ucrania, tenía como “¡Muerte a Ayatolla Khamenei!”. MEK, que
objetivo interferir con Viasat, la compañía lleva a cabo gran parte de su actividad desde
de comunicaciones satelitales que prestaba el exilio en Albania, negó su responsabilidad.
servicios a Ucrania. El ataque utilizó un wiper En junio, el wiper Chaplin, una versión revisada
llamado AcidRain que fue diseñado para borrar de Meteor que había utilizado antes Predatory
módems y enrutadores, y cortar el acceso Sparrow, afectó a las plantas de acero en
a Internet a cientos de miles de sistemas. Irán. Se informaron otros ataques de wipers
También hubo daños colaterales significativos, en Irán que emplearon a las familias Dilema
incluidas miles de turbinas eólicas en Alemania. y Forsaken, pero atrajeron menos atención
debido a los disturbios generales dados en
Los ataques fueron claramente el resultado
el país.
de una planificación detallada. Algunas de las
herramientas se diseñaron específicamente El 18 de julio, solo unos días antes de la
para adaptarse a sus objetivos previstos, con conferencia de MEK titulada “la Cumbre
atacantes que vulneraban las medidas de Mundial de Irán Libre”, el gobierno albanés
seguridad y obtenían acceso meses antes y, declaró que había tenido que “cerrar
luego, utilizaban objetos de políticas grupales temporalmente el acceso a servicios públicos
(Group Policy Objects, GPO) para implementar en línea y otros sitios web gubernamentales”
sus wipers en el momento del ataque real. debido a actividades cibernéticas disruptivas.
El grupo hacktivista Homeland Justice
La actividad destructiva cibernética no se
responsable del incidente (más tarde atribuido
limitó a Rusia-Ucrania. En Oriente Medio, Irán
a Irán) utilizó varias imágenes y artículos que
ha sufrido una serie de ataques destructivos
sugieren que se llevó a cabo en represalia
desde mediados de 2021. En julio de 2021, un
por los ataques a la República Islámica.
grupo hacktivista que se identificaba como
Los investigadores descubrieron que el
Predatory Sparrow atacó el sistema ferroviario
wiper utilizado en este caso, ZeroClear, está
de Irán, causando demoras y pánico general.
relacionado con ataques destructivos dirigidos
Una investigación realizada por Check Point
previamente a objetivos del sector energético
Research (cp<r>) reveló que se utilizaron
en Oriente Medio.
versiones más antiguas de los wipers en
ataques contra múltiples objetivos en Siria.

CAPÍTULO 3
La cumbre de MEK fue cancelada, pero esto Azov es un nuevo wiper generalizado que se
no impidió que un segundo ciberataque vincula falsamente con varios investigadores
golpeara los sistemas del gobierno albanés de seguridad y culpa a múltiples naciones y
en septiembre. Si bien este fue un ataque sin entidades políticas por el estado actual de
precedentes a un estado miembro de la OTAN, guerra. Azov no ha sido oficialmente vinculado
la alianza defensiva no lo consideró un “ataque con ninguna de las partes en combate y ha
armado” según lo definido por el Artículo 5
estado causando daños indiscriminadamente
del tratado de la OTAN. Sin embargo, la
desde noviembre de 2022, como se detalla en
organización ha reafirmado, anteriormente, que
una investigación reciente realizada por cp<r>.
el ciberespacio es parte de la tarea central de
defensa colectiva de la OTAN. Irán ha invertido
Este año se han utilizado más wipers de los
constantemente en ampliar su posición en la
que probablemente se registraron en los
infraestructura de TI de los países occidentales.
últimos 30 años y han evolucionado tanto en la
Este audaz acto de implementar malware
forma de implementarse como en el impacto
destructivo contra un miembro de la OTAN
que ocasionan. Algunos participantes en esta
sin recibir represalias podría tener
área están dispuestos a tomar medidas que
consecuencias graves.
podrían justificar una guerra, modelando la
definición de hostilidad cibernética prolongada.
La actividad cibernética destructiva continuó
Se ha vuelto cada vez más difícil diferenciar
durante 2022. Somnia, un nuevo wiper
la actividad de APT de los estados nación
devenido en ransomware fue implementado
de los grupos hacktivistas. Muchos países
por el grupo hacktivista FRwL (From Russia
están involucrados en un cierto grado en las
with Love) contra objetivos ucranianos. Los
actividades de entidades no gubernamentales,
ataques se asemejaron a las técnicas utilizadas
que van desde proporcionar inspiración,
por los grupos de ransomware, pero no se
herramientas y asignación de objetivos hasta la
exigió rescate y, obviamente, la intención era
gestión directa y el financiamiento de ataques
solo causar el máximo trastorno posible a la
encubiertos como iniciativas privadas. Esta
víctima. Recientemente, ataques similares que
ambigüedad amplía aún más las probabilidades
implementan el malware CryWiper han estado
de que los agentes de amenazas operen
apuntando a municipalidades y tribunales en
sin recibir represalias. Esto conducirá a
Rusia, dejando notas de rescate y direcciones
operaciones cibernéticas destructivas más
de la billetera de Bitcoin. Sin embargo, en
generalizadas y, a su vez, a niveles cada vez
realidad el daño es irreversible.
más altos de daños colaterales.

CAPÍTULO 3
EL HACKTIVISMO ADQUIERE
UN ROL PROTAGONISTA
EN EL ESCENARIO GEOPOLÍTICO
El hacktivismo, el acto de llevar a cabo El aumento en la formación de grupos de

ciberataques motivados por causas políticas Oriente Medio con motivación política en
o sociales, se asociaba tradicionalmente los últimos dos años, como los “Hackers of
con entidades de estructura sencilla como Savior” asociados a Irán o el régimen antiiraní
Anonymous. Estos grupos previamente “Predatory Sparrow”, marcó el comienzo
descentralizados y poco estructurados estaban del cambio, ya que los grupos comenzaron a
compuestos por personas que cooperaban de enfocarse en una única agenda. A principios
manera circunstancial para una variedad de de este año, después de los ataques rusos a la
agendas. Durante el último año, después de infraestructura de TI ucraniana al comienzo de
los desarrollos del conflicto ruso-ucraniano, la guerra, el gobierno ucraniano estableció un
el ecosistema hacktivista ha madurado. Los acuerdo sin precedentes llamado el “Ejército de
grupos hacktivistas han ajustado su nivel TI de Ucrania”. A través de un canal exclusivo
de organización y control. Actualmente, de Telegram, sus operadores administran a
realizan operaciones similares a las militares, más de 350 000 voluntarios internacionales
incluido el reclutamiento y la capacitación, el en su campaña contra objetivos rusos. Del
intercambio de herramientas, la inteligencia y otro lado del campo de batalla, se conformó
la asignación de objetivos. La mayoría de los Killnet, un grupo afiliado a Rusia con una
nuevos grupos hacktivistas tienen una ideología estructura organizativa de tipo militar y una
política clara y coherente que está afiliada clara jerarquía descendente. Killnet consta
con narrativas gubernamentales. Otros tienen de múltiples escuadrones especializados
menos motivación política pero, no obstante, que realizan ataques y responden a los
han logrado operaciones más profesionales comandantes principales. Estos grupos están
y organizadas. dirigidos por un hacker llamado KillMilk.

CAPÍTULO 3
A diferencia de Anonymous, que tiene una La batalla no se trata solo de causar daños.
política de puertas abiertas, sin requerimientos Todos los grupos activos son conscientes de la
de habilidades o agendas específicas, los importancia que supone la cobertura mediática.
hacktivistas de la nueva era desestiman a Utilizan sus canales de comunicación para
aquellos postulantes que no cumplen con recopilar informes de ataques exitosos y los
requisitos específicos. Esto reduce el riesgo publican para maximizar el efecto. Por ejemplo,
de exponer el funcionamiento interno de sus Killnet tiene más de 89 000 suscriptores en su
operaciones. XakNet, un grupo prorruso, canal de Telegram, donde publican ataques,
declaró que no reclutará hackers, pentesters reclutan miembros del equipo y comparten
ni especialistas en OSINT sin experiencia herramientas de ataque. También hay una
y habilidades comprobadas. Otros grupos, amplia cobertura de la actividad del grupo
como el prorruso NoName057(16),ofrecen en los principales medios de difusión rusos
capacitación a través de plataformas de para promover sus logros en el ciberespacio y
aprendizaje electrónico, tutoriales, cursos validar el impacto de sus ataques exitosos.
o tutoría.
Los grupos bien organizados y coordinados
Las operaciones organizadas invierten en la también utilizan sus recursos para cooperar
competencia técnica y las herramientas de con otras entidades. El éxito de Killnet los
sus miembros y las desarrollan. Aunque la ha puesto en una posición en la que otros
mayor parte de la actividad se centra en la grupos quieren colaborar con ellos o unir
desfiguración y los ataques DDoS utilizando fuerzas oficialmente. El 24 de octubre, Zarya
botnets, en algunos casos, los grupos utilizan (escuadrón de Killnet) supuestamente llevó a
herramientas destructivas más sofisticadas. cabo una operación conjunta con dos grupos de
TeamOneFist, un grupo afiliado a Ucrania, habla rusa, Xaknet y Beregini, para vulnerar
ha sido vinculado a actividades destructivas y filtrar datos del Servicio de Seguridad de
contra los sistemas SCADA en Rusia. El grupo Ucrania (Ukrainian Security Service, SBU).
bielorruso Belarusian Cyber Partisans, en un Además, Killnet anunció recientemente el
intento por evitar el movimiento de las tropas lanzamiento de una cooperativa de Killnet
rusas a Ucrania, encriptó las bases de datos que se ha convertido en una organización
internas de los ferrocarriles bielorrusos para coordinadora de 14 grupos hacktivistas
interrumpir su operación justo antes de que prorrusos.
comenzara la invasión. Se puedo observar al
grupo prorruso “From Russia with Love” (FRwL)
utilizando un wiper de datos llamado “Somnia”
para cifrar los datos de las organizaciones
ucranianas e interrumpir sus operaciones.

CAPÍTULO 3
La transformación en el ámbito del hacktivismo Se ha observado a varios grupos en

no se limita a conflictos nacionales específicos Oriente Medio, siendo Predatory Sparrow el
o zonas geográficas. Ahora, las principales más destacado, atacando objetivos de alto perfil
corporaciones y gobiernos de Europa y EE. UU. asociados con el régimen iraní. El último ataque
son el blanco de este nuevo tipo de hacktivismo. hacktivista a gran escala fue perpetrado en
Por ejemplo, en noviembre de 2022, el Albania por “HomelandJustice”, un grupo de
Parlamento Europeo fue blanco de un ataque de hacktivistas afiliado al Ministerio de Inteligencia
DDoS lanzado por Killnet. En los últimos meses, y Seguridad de Irán. En servicio a los intereses
los EE. UU., Alemania, Estonia y Lituania, Italia, iraníes, el grupo atacó al gobierno albanés
Noruega, Finlandia, Polonia y Japón sufrieron que albergó a “Mujahedin-e-Khalq” (MEK), un
graves ataques de grupos movilizados por el grupo iraní disidente. Entre octubre de 2021 y
estado, con un impacto significativo en algunos enero de 2022, el grupo utilizó una herramienta
casos. Los nuevos grupos hacktivistas se están única de filtración de correo electrónico para
movilizando en función de narrativas políticas recopilar correos electrónicos. Luego, el 15 de
y están logrando metas estratégicas y de gran julio, cerraron temporalmente varios servicios
alcance con niveles de éxito más altos y un digitales y sitios web del gobierno albanés
impacto público mucho más amplio que nunca. usando el cifrado de archivos de ransomware
y malware de eliminación de datos. Estas
operaciones resultaron en la finalización de los
vínculos diplomáticos entre Albania e Irán el 6
de septiembre.
HACKTIVISMO CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 28

El mayor nivel de organización y especialización Las operaciones hacktivistas, que hasta
entre los grupos hacktivistas no se limita a hace poco se caracterizaban por un espíritu
las agendas políticas. El grupo hacktivista de anarquía y cooperación informal, se han
Guacamaya apunta a entidades en América inspirado en cibercampañas dirigidas por el
Latina por su rol en la degradación ambiental estado para mejorar su nivel de organización
y la represión de las poblaciones indígenas y gestión. Esta orquestación optimizada dio
de la región. Desde marzo de 2022, el grupo como resultado una infraestructura, mano de
se ha enfocado en infiltrarse en compañías obra, herramientas y capacidades mejoradas
mineras y petroleras, en la policía y en varias que, a su vez, condujeron a operaciones más
agencias reguladoras de América Latina. El 19 efectivas y destructivas. Esto comenzó en
de septiembre, Guacamaya filtró 10 terabytes zonas de conflicto específicas, pero se extendió
de documentos pertenecientes a varias rápidamente a nivel mundial. A su vez, se teme
entidades en México, Guatemala, Chile, Perú, que sirva de inspiración a grupos hacktivistas
Colombia y El Salvador. También acusaron a con agendas más diversas. Se han desdibujado
corporaciones estadounidenses y occidentales los límites entre las operaciones cibernéticas
de sobreexplotar los recursos naturales de estatales y el hacktivismo, lo que permite a
la región. los estados nación actuar con un grado de
anonimato sin temor a represalias. Los grupos
hacktivistas sin afiliaciones al estado están
mejor organizados y son más eficaces que
nunca, y se espera que esto aumente en
el futuro.
Se han desdibujado en gran medida los límites entre las

ALEX ANDRA GOFMAN operaciones cibernéticas patrocinadas por el estado y el
hacktivismo, lo que permite a los estados nación actuar con
Líder del Equipo de Análisis
de Inteligencia sobre un cierto grado de anonimato sin temor a las represalias. Esto
Amenazas de Check Point
también brinda a los hacktivistas la oportunidad de reclamar
públicamente la responsabilidad de los ciberataques y llamar la
atención de manera significativa sobre su causa, lo que puede ser
tan importante como el daño real causado. Los grupos hacktivistas
sin afiliaciones al estado están mejor organizados y son más
eficaces que nunca, y se espera que esto aumente en el futuro.

CAPÍTULO 3
EL USO DE HERRAMIENTAS
LEGÍTIMAS COMO ARMAS
La capa básica de protección cibernética Existen varias razones por las que el uso
es reconocer las herramientas y los de herramientas legítimas es una opción
comportamientos maliciosos antes de que atractiva para los ciberdelincuentes. En primer
estos den su golpe. Los proveedores de lugar, dado que estas herramientas no son
seguridad invierten recursos sustanciales en intrínsecamente maliciosas, a menudo evaden
la investigación y el mapeo de tipos y familias la detección y son difíciles de distinguir de las
de malware, y su atribución a agentes de de usuarios regulares u operaciones de TI. En
amenazas específicos y campañas asociadas, segundo lugar, muchas de estas herramientas
a la vez que identifican técnicas, tácticas son de código abierto o están disponibles para
y procedimientos (Techniques, Tactics and la compra, por lo que los agentes de amenazas
Procedures, TTP) que proporcionan información tienen fácil acceso a ellas. Además, cuando los
a los ciclos de seguridad y la política de agentes de amenazas comparten herramientas,
seguridad adecuados. es más difícil identificar quién es responsable
de un ataque en particular.
Para combatir las sofisticadas soluciones de
ciberseguridad, los agentes de amenazas están
LIVING OFF THE L AND (LOTL)
desarrollando y perfeccionando sus técnicas
de ataque, que dependen cada vez menos Los ataques LotL o LOLBin, que han existido
del uso de malware personalizado y tienden durante varios años, aprovechan las utilidades
a utilizar herramientas que no son de firma. ya disponibles dentro del sistema objetivo. Los
Utilizan capacidades y herramientas de sistema atacantes las utilizan para descargar y ejecutar
operativo integradas, que ya están instaladas archivos maliciosos, realizar movimientos
en los sistemas objetivo, y aprovechan las laterales y para la ejecución de comandos
herramientas de gestión de TI populares generales. En el SO Windows, estas utilidades
que tienen menos probabilidades de generar suelen incluir shell de comandos, instrumental
sospechas cuando se detectan. A menudo de administración de Windows y plataformas
también se utilizan herramientas comerciales nativas de secuencias de comandos de Windows
de pentesting y red team disponibles para la como PowerShell, mshta, wscript o cscript.
venta. Aunque este no es un fenómeno nuevo, Esta técnica permite que los atacantes actúen
lo que alguna vez fue raro y exclusivo para los sin ser detectados, ya que es menos probable
agentes sofisticados, ahora se ha convertido en que el software legítimo y los binarios nativos
una técnica generalizada adoptada por agentes del SO generen sospechas y, por lo general,
de amenazas de todo tipo. se encuentran en la lista blanca de manera

CAPÍTULO 3
predeterminada. Los atacantes a menudo Cobalt Strike es la herramienta de prueba de

usan estas utilidades para perpetrar ataques penetración más generalizada que aprovechan
sin archivos. Esto deja menos rastros, ya que los agentes de amenazas, particularmente
no se escriben artefactos maliciosos en los desde que su código fuente se filtró en 2020.
discos duros y, en consecuencia, se complejizan Brute Ratel es otro marco ofensivo legítimo que
la respuesta ante incidentes y el trabajo de utiliza un proceso de licencia y actualmente
corrección. tiene un precio de 2500 USD. Los clientes deben
aprobar un proceso de verificación antes de que
se les emita una licencia para comprobar que el
MARCOS OFENSIVOS
software no se utilizará con intención maliciosa.
Una política de seguridad estricta y sólida
A medida que las soluciones de ciberseguridad
implica pruebas constantes para encontrar
se enfocan cada vez más en las detecciones de
vulnerabilidades y debilidades dentro de la
Cobalt Strike, algunos agentes de amenazas
red y los sistemas implementados en ella.
adoptaron sigilosamente a Brute Ratel para
Las organizaciones a menudo confían en la
perpetrar sus ataques en 2022. Esto incluye
experiencia de los profesionales de Red Team
la creación de empresas estadounidenses
para imitar cada paso de un ciberataque.
falsas para aprobar el sistema de verificación
Los Red Teams implementan múltiples
de licencias. En un informe general sobre esta
herramientas para probar la resiliencia del
herramienta, se identificaron las técnicas
entorno. Muchas de estas herramientas son
asociadas con APT29, lo que sugiere que han
gratuitas o están disponibles para su uso o
sido adoptadas por agentes de nivel de APT.
compra en círculos criminales y, a menudo, se
Los investigadores también identificaron el
detectan circulando libremente en manos de los
uso de la herramienta por parte de la banda
agentes de amenazas.
de ransomware BlackCat, como mínimo,
desde marzo de 2022, lo que hace pensar que
los agentes de amenazas pudieron eludir el
procedimiento de verificación del desarrollador.
Existen varias razones por las que el uso de herramientas

legítimas es una opción atractiva para los ciberdelincuentes.
LOTEM FINKELSTEEN En primer lugar, dado que estas herramientas no son
Director de Investigación intrínsecamente maliciosas, a menudo evaden la detección y son
e Inteligencia sobre
difíciles de distinguir de las de usuarios regulares u operaciones
Amenazas de Check Point
Software Technologies de TI. En segundo lugar, muchas de estas herramientas son de
código abierto o están disponibles para la compra, por lo que los
agentes de amenazas tienen fácil acceso a ellas. Además, cuando
los agentes de amenazas comparten herramientas, es más difícil
identificar quién es responsable de un ataque en particular.

CAPÍTULO 3
Al igual que con Cobalt Strike, se compartió SOFT WARE DE SEGURIDAD Y TI LEGÍTIMO
una versión crackeada de Brute Ratel en foros El software de gestión y monitoreo remotos
ilegales de ciberdelincuentes en septiembre de (Remote Management and Monitoring, RMM)
2022, lo que llevó a predecir que esta herramienta se utiliza diariamente para fines legítimos.
será ampliamente adoptada por los agentes de Dado su potencial destructivo cuando se utiliza
amenazas. Esta es una expansión preocupante en campañas maliciosas, es crucial vigilar
del uso criminal de las herramientas de un de cerca su uso e implementar políticas de
Red Team, ya que Brute Ratel fue desarrollado seguridad inteligentes.
por un exmiembro de un Red Team con amplio
conocimiento de las tecnologías de detección En 2022, múltiples bandas de ransomware
y respuesta de terminales (Endpoint Detection lograron campañas exitosas mediante el uso de
and Response, EDR) y está específicamente software de TI legítimo. Uno de los desarrollos
diseñado para evadir la detección por parte de fue el surgimiento de campañas de ingeniería
los productos de EDR. social al estilo BazarCall, ahora empleadas
por múltiples grupos de ransomware. Visto
Otro marco ofensivo emergente detectado en por primera vez en 2021 cuando lo utilizó la
2022 es Manjusaka, la contraparte china de banda de ransomware Ryuk/Conti, un ataque de
Cobalt Strike, que está disponible libremente en BazarCall comienza con un correo electrónico
GitHub. La herramienta se detectó en campañas de phishing que insta a la víctima a llamar a un
dirigidas a la región de la prefectura autónoma centro de llamadas controlado por un agente. El
mongol y tibetana de Haixi en China. Otra operador le indica a la víctima que instale una
herramienta es el marco Sliver, que se vio en potente herramienta de gestión que se utilizará
múltiples campañas durante 2022, y continuó como malware. Esto no solo permite a los
ganando popularidad hacia el final de ese año. agentes de amenazas enfocarse en entidades
específicas basadas en la industria objetivo, los
A principios de este año, Check Point Research
ingresos u otros factores específicos, sino que
descubrió una campaña de dos años dirigida
además aprovecha las técnicas de ingeniería
a organizaciones financieras en regiones
social para controlar el proceso de entrega de
de habla francesa de África. Los atacantes
malware. En múltiples campañas informadas
implementaron varias de estas herramientas,
en 2022, tres grupos separados, Silent Ransom,
incluidas Metasploit y PoshC2, otro marco
Quantum y Roy/Zeon, utilizaron este método
ofensivo disponible en GitHub. DWservice es
para iniciar sesiones de Zoho Assist, una
otra herramienta interesante que se encontró
herramienta de soporte remoto legítima,
en esta campaña. DWservice es un servicio de
que les permitió obtener acceso inicial a las
acceso remoto legítimo y, si bien está basado en
redes corporativas.
suscripciones, también tiene un plan gratuito.
Todas estas son herramientas fáciles de usar,
que aprovechan los agentes con diferentes
niveles de experiencia técnica, y prevemos
que su uso aumente en diferentes etapas de
operaciones ofensivas.

CAPÍTULO 3
El grupo de ransomware Conti y sus afiliados AD) utilizados en el análisis de derechos y

a menudo dependían de soluciones legítimas relaciones de AD, de los que los atacantes
de gestión remota como Splashtop, AnyDesk o pueden abusar fácilmente. Impacket está
ScreenConnect, así como versiones de prueba diseñado para la administración de TI y las
de un mes del agente Atera para recuperar y pruebas de penetración de protocolos y
establecer persistencia en casos en los que se servicios de red. Ambas herramientas fueron
detectó previamente Cobalt Strike. Esto ahora es aprovechadas por grupos de APT en campañas
utilizado reiteradamente por sus sucesores. En de alto perfil, como la operación destructiva
una publicación de cp<r> a principios de este año, WhisperGate contra organizaciones ucranianas,
los investigadores descubrieron que también se ataques de Sandworm contra instalaciones
utilizó la herramienta de gestión remota Atera energéticas ucranianas junto con el malware
para implementar el banquero Zloader. Industroyer2, y en una campaña patrocinada por
el estado ruso dirigida a redes de contratistas
En un caso que investigó el Equipo de de defensa en los EE. UU.
Respuesta ante Incidentes de Check Point
(Check Point Incident Response Team, CPIRT) Antes de implementar el wiper Somnia, el
sobre un incidente de ransomware Hello, los grupo hacktivista FRwL (From Russia with
atacantes utilizaron Desktop Central, una Love) utilizó un conjunto de herramientas entre
solución de gestión unificada de terminales, las que se incluían AnyDesk, el proxy inverso
junto con Atera y Wazuh. Desktop Central se Ngrok, la herramienta de reconocimiento
instaló antes de que se produjera la vulneración de red Netscan y Rclone de código abierto
objeto de la investigación, lo que indica que fue para la filtración de datos, herramientas que
utilizada legítimamente por el departamento anteriormente se utilizaban en campañas con
de TI, aunque no lo reconocieron como una motivaciones financieras.
herramienta en su uso, o fue parte de una
vulneración anterior. En lugar de desarrollar su propio malware,
los agentes de amenazas ahora utilizan
Wazuh es otro software legítimo que herramientas legítimas desarrolladas y puestas
suele utilizar el personal de TI. No es una a disposición por las empresas tecnológicas.
herramienta de acceso remoto, sino una Esta tendencia plantea nuevos desafíos para la
plataforma de seguridad utilizada para el detección, la protección, la atribución y el mapeo
descubrimiento de activos de red y la gestión de adicional del ámbito cibernético. Para enfrentar
vulnerabilidades. Esto permite a los atacantes estos desafíos, los sistemas de defensa deben
camuflar su actividad como análisis legítimos emplear enfoques holísticos de protección. Esto
de activos y vulnerabilidades de red. enfatiza la necesidad operativa de sistemas
de respuesta y detección extendida (Extended
Otras herramientas de seguridad adoptadas Detection and Response, XDR), que ofrecen
por los agentes de amenazas son Impacket y detección de anomalías según el contexto y
BloodHound. BloodHound es una herramienta se diseñan con precisión para rastrear el uso
poderosa para evaluaciones de seguridad de malicioso de herramientas legítimas.
entornos de Active Directory (Active Directory,

CAPÍTULO 3
L A EXTORSIÓN EN TORNO AL RANSOMWARE:

CAMBIO DE ENFOQUE DEL CIFRADO
A L A EXTORSIÓN DIGITAL
Buscando maximizar la presión sobre sus cuidadosamente a sus víctimas de acuerdo

víctimas, los agentes de ransomware emplean con un perfil deseado e implementan una
tácticas de extorsión múltiple. Los datos en los serie de medidas de presión para obtener por
sistemas de las víctimas están cifrados, con claves la fuerza sumas significativas de dinero. Las
de descifrado que solo se liberan después del pago amenazas de exponer datos confidenciales han
del rescate. A menos que paguen, las empresas demostrado ser muy eficaces. Esto se debe
saben que sus datos podrían publicarse, venderse a que las víctimas temen las consecuencias
o, incluso, utilizarse abiertamente para extorsionar de grandes multas, demandas en nombre de
a sus empleados y clientes directamente. Algunos empleados y clientes, y el efecto negativo en los
afiliados al ransomware, que ahora se han precios de las acciones y en la reputación.
vuelto más dominantes en el ámbito del delito
de ransomware, y están mejor capacitados para La gestión de ataques de ransomware también
identificar información confidencial en las redes ha evolucionado con un aumento de los
de las víctimas, incluso omiten la fase de cifrado agentes de amenazas que operan un modelo
por completo y se valen únicamente de las de ransomware como servicio (Ransomware-
amenazas de publicación de datos para generar as-a-Service, RaaS) a través de afiliados. Los
pagos de rescate. Esto puede tener graves afiliados, que pueden participar en múltiples
implicancias para los mecanismos de defensa, programas de RaaS simultáneamente y elegir
la atribución de la responsabilidad y el análisis entre varias herramientas de cifrado se han
futuro del ecosistema de ransomware. convertido en los “productores”, iniciando

ataques y pagando parte de los ingresos
En un primer momento, los ataques de al operador de RaaS. Los afiliados además
ransomware eran perpetrados por entidades subcontratan las operaciones mediante la
individuales que desarrollaban y distribuían compra de credenciales robadas o acceso a la
cantidades masivas de cargas útiles red de intermediarios de acceso. La naturaleza
automatizadas a víctimas seleccionadas fragmentada de esta operación complica la
aleatoriamente, recolectando pequeñas atribución de la responsabilidad de los ataques
sumas con cada ataque “exitoso”. Avanzamos y el seguimiento de entidades criminales.
rápidamente hasta 2022 y vemos que estos Las tácticas, técnicas y procedimientos
ataques han evolucionado para convertirse en (TTP) utilizados para obtener acceso inicial
procesos principalmente operados por humanos, a un sistema ya no están necesariamente
llevados a cabo por múltiples entidades durante conectados al afiliado o a la carga útil de RaaS
varias semanas. Los atacantes seleccionan implementada posteriormente.

CAPÍTULO 3
Los agentes actuales de ransomware como desde datos financieros y de propiedad

servicio (RaaS) compiten por la atención de los exclusiva corporativos hasta datos personales
afiliados y, por lo general, cobran entre el 10 % relacionados con la salud física o mental, datos
y el 20 % del pago del rescate como una tarifa financieros o cualquier otra información de
por sus servicios. La velocidad del módulo de identificación personal (Personal Identifiable
cifrado es uno de los principales “puntos de Information, PII), lo que hace que la amenaza de
venta”, lo que permite al atacante reducir el la exposición a los datos sea aún más potente.
tiempo de cifrado y la probabilidad de detección.
Los intentos de los agentes de RaaS de acortar La negociación con las víctimas a menudo se
el tiempo de cifrado incluyen permitir a los lleva a cabo a través de medios relativamente
afiliados elegir entre varios modos de cifrado seguros, utilizando códigos de acceso de
o incluso ofrecer cifrado parcial de archivos propiedad exclusiva. Esto generalmente se
(“cifrado intermitente”). hace para evitar la publicación no controlada,

lo que daría como resultado una reducción
Algunos grupos ahora omiten la fase de del aprovechamiento potencial. Al menos en
cifrado por completo, valiéndose solo de las teoría, las víctimas que pagan pueden salir de
amenazas de exponer los datos para obtener un ataque relativamente ilesos, sin que sus
por las fuerzas el dinero. En septiembre detalles se publiquen en el sitio Shame de
de 2021, un grupo llamado Karakurt Team Karakurt y, por lo tanto, evitar que sus clientes
comenzó a emplear la extorsión sin cifrado. o las autoridades se enteren de que han sido
Los operadores de Karakurt, que atacan atacados.
principalmente a víctimas norteamericanas
y europeas, generalmente se comunican En octubre de 2022, se demostró cuán eficaz
con sus víctimas, proporcionan capturas resulta la amenaza de exposición de datos
de pantalla y copias de los datos robados personales en un ataque reciente a Medibank,
y amenazan con subastar la información una aseguradora de salud australiana.
o divulgarla a menos que se cumplan sus Cuando la aseguradora se negó a pagar
exigencias. A menudo se comunican con los demandas de rescate por 10 millones de USD,
empleados, socios comerciales y clientes de los atacantes (posiblemente conectados al
las víctimas para aumentar la presión. Este grupo REvil) arrojaron cantidades masivas
nuevo comportamiento, que implica el contacto de información personal relacionada con la
directo con los clientes de las víctimas, se interrupción del embarazo, el abuso de drogas
observó por primera vez en 2020 y se denomina y alcohol, problemas de salud mental y otros
triple extorsión. Muchos tipos diferentes de datos médicos confidenciales y altamente
información se consideran confidenciales, sensibles relacionados con millones de clientes

australianos e internacionales.

CAPÍTULO 3
El grupo Lapsus$ también recibió mucha datos que se pueden buscar, lo que permite
atención pública después de una serie de a los empleados, clientes y otras posibles
filtraciones de datos de grandes empresas víctimas buscar en repositorios de datos
tecnológicas, incluidas Microsoft, Nvidia y robados. Además, los valiosos datos robados
Samsung. Desde su primer ataque registrado a menudo se monetizan al venderse en los
en diciembre de 2021 al ministerio de salud mercados de la red oscura.
brasileño, en el que robó y amenazó con
publicar información médica sobre las vacunas Otros agentes de amenazas han recurrido a
contra la COVID-19, el grupo ha virado su la destrucción de datos en lugar del cifrado.
enfoque hacia la filtración de datos en lugar del El grupo de ransomware Onyx, activo desde
cifrado. Dirigido por jóvenes delincuentes de abril de 2022, destruye archivos de más de
nacionalidad británica y brasileña, Lapusus$ 2MB en lugar de cifrarlos. Otros han seguido el
utiliza varios métodos para obtener acceso ejemplo. Una nueva muestra de la herramienta
inicial a sus víctimas, incluidos pagos a de filtración ExMatter ahora incluye una
empleados, credenciales de compra e ingeniería funcionalidad exclusiva de eliminación. Aunque
social. El grupo se centra en localizar y filtrar inicialmente se detectó como parte del RaaS
el código fuente de propiedad exclusiva de BlackMatter a fines de 2021, el desarrollo
los productos de sus víctimas. Se estima que de ExMatter se atribuye a un afiliado y no a
la amenaza de la publicación ha generado 14 la entidad de RaaS. Esto marca la posible
millones de USD en ingresos después de solo independencia de los afiliados al ransomware
unos pocos meses de actividad. de sus socios de RaaS.
Algunos agentes de RaaS incluso recomiendan Elegir basar su extorsión únicamente en la
a sus afiliados evitar cifrar áreas críticas, como publicación de datos es comprensiblemente
datos pertenecientes a pacientes de atención atractivo para los atacantes. Ofrece la opción
médica. Permiten atacar y filtrar datos de de implementación rápida, sin un proceso
hospitales, pero no cifrarlos, lo que sugiere la de cifrado prolongado y desordenado, lo que
existencia de una versión retorcida de códigos reduce la posibilidad de detección. La gestión
morales entre los hackers. El RaaS Hive, que de víctimas se vuelve más simple. No es
se centra en la atención médica, a veces se necesario suministrar claves de descifrado
esfuerza por no desactivar los sistemas. La individuales a diferentes víctimas ni operar
publicación de datos robados ha demostrado un mecanismo de “soporte al cliente”
ser eficaz y los agentes de amenazas han logísticamente complicado. Sobre todo,
desarrollado mecanismos de extorsión libera a los afiliados de su dependencia de
elaborados. Los grupos de ransomware grandes agentes de RaaS que exigen su parte
BlackCat y Lockbit agregaron mecanismos de de los ingresos.

CAPÍTULO 3
A medida que este modelo de extorsión más difíciles y los mecanismos de protección
digital adquiere predominancia, las existentes que se basan en la detección de la
posibles ramificaciones incluyen una mayor actividad de cifrado podrían resultar menos
fragmentación del ecosistema de ransomware. efectivos. En su lugar, los proveedores de
La atribución de responsabilidad de las ciberseguridad deberán enfocarse más en
operaciones de ransomware y el seguimiento de la eliminación de datos y la detección de
los agentes de amenazas pueden volverse aún filtraciones.
A medida que este modelo de extorsión digital adquiere

I TAY C O H E N predominancia, las posibles ramificaciones incluyen una mayor
Líder de Tecnología fragmentación del ecosistema de ransomware. La atribución
de Check Point de responsabilidad de las operaciones de ransomware y el
seguimiento de los agentes de amenazas pueden volverse aún
más difíciles y los mecanismos de protección existentes que se
basan en la detección de la actividad de cifrado podrían resultar
menos efectivos. En su lugar, los proveedores de ciberseguridad
deberán enfocarse más en la eliminación de datos y la detección
de filtraciones.
R A NSOM WA RE
CAPÍTULO 3
PANORAMA DEL MALWARE

DE DISPOSITIVOS MÓVILES:
EL RIESGO DE CONFIAR EN LO FAMILIAR
En nuestro informe de mitad del año 2022, los usuarios funcionalidades ampliadas o
revisamos algunos eventos importantes en el acceso que no están disponibles en la versión
panorama de amenazas móviles, incluido el original. En los últimos años, hemos visto
gran aumento en la cantidad de aplicaciones versiones modificadas de una variedad de
maliciosas que se infiltran en las tiendas de aplicaciones, desde aplicaciones de mensajería
Google y Apple. A menudo camufladas como instantánea y redes sociales hasta transmisión
aplicaciones inocentes, como lectores QR, en vivo, servicios VPN y mucho más. Las
aplicaciones Bluetooth externas, linternas o aplicaciones generalmente se distribuyen a
juegos, están diseñadas para atraer la menor través de canales no oficiales a usuarios que
atención posible. En nuestro último análisis, buscan versiones gratuitas de aplicaciones
nos enfocamos en los intentos de ocultar conocidas o funciones adicionales que no
malware en dispositivos móviles en versiones existen en las versiones originales. En
“no oficiales” de aplicaciones conocidas. En algunos casos, se seleccionan a los usuarios
su mayoría, estas son versiones maliciosas y se les ofrecen enlaces directos a los APK
modificadas (también conocidas como Mods), modificados. En otros casos, los usuarios
generalmente distribuidas a través de tiendas los buscan voluntariamente debido al acceso
de aplicaciones de terceros y descargadas limitado a las aplicaciones oficiales. Por
por usuarios que prefieren una versión no ejemplo, FMWhatsApp permite a los usuarios
oficial por una variedad de motivos. Esta no es rediseñar su interfaz de WhatsApp y editar
una amenaza completamente inaudita, pero las funcionalidades de “visto por última
durante el 2022, se han visto múltiples ataques vez” y la “marca azul”. Estos Mods no se
utilizando aplicaciones que son bien conocidas, examinan tan cuidadosamente como la versión
confiables y ampliamente utilizadas. oficial, lo que los convierte en un objetivo de
aprovechamiento natural para los agentes de
Los Mod de APK (kits de paquetes Android; amenazas. A menudo, la infección se logra a
aplicaciones para dispositivos Android) son través de los SDK de publicidad, utilizados por
copias reacondicionadas de aplicaciones los desarrolladores de Mods. Este fue el caso
conocidas, diseñadas para proporcionar a de la infección con HMWhatsApp perpetrada por
el troyano Triada en agosto de 2021 y APKPure
más adelante ese año.

M A LWA RE
Cuando tomó conocimiento de estas amenazas, En la mayoría de los casos, los Mods no se
WhatsApp emitió una alerta en julio de 2022, en distribuyen a través de tiendas de aplicaciones
la que advertía a los usuarios que no utilizaran oficiales. Sin embargo, a veces los usuarios
versiones modificadas de la aplicación y desprevenidos pueden obtenerlos a través de
explicaba sus esfuerzos conjuntos con Google canales oficiales. En octubre, la empresa matriz
para erradicar versiones maliciosas anteriores. de WhatsApp, Meta, presentó una demanda
A pesar de esta advertencia, se informó de contra tres empresas con sede en China y
la existencia de otra versión modificada de Taiwán por desarrollar versiones no oficiales
WhatsApp en octubre de 2022. Una vez más, se de la aplicación y venderlas en sus sitios web
descubrió que el malware Triada se encontraba y en Google Play Store. Una vez instalada, la
en el Mod YoWhatsApp. Cuando se implementa aplicación modificada se utilizó para secuestrar
en una versión completamente funcional de la cuentas y robar información confidencial de
popular aplicación de mensajería, el malware más de un millón de usuarios de Android.
recibe una amplia variedad de permisos,
incluido el acceso a mensajes SMS, similares Los Mods también han sido utilizados por
a los permisos que recibe la aplicación oficial agentes a nivel de los estados nación. En
de WhatsApp. Esto permite a los agentes agosto, los investigadores dieron a conocer el
de amenazas eludir los mecanismos de spyware Dracarys para Andoid, que se había
autenticación de múltiples factores y asumir el implementado en una versión modificada de la
control sobre una amplia gama de aplicaciones aplicación de mensajería Signal. A pesar de los
y cuentas, desde correo electrónico hasta informes de ataques contra sus usuarios, Signal
cuentas bancarias y corporativas, así como la se considera una aplicación de mensajería
propia cuenta WhatsApp. La última campaña segura, pero su versión modificada proporcionó
que implementó el malware Triada a través de a los atacantes amplias capacidades de
aplicaciones modificadas, que fue informada espionaje junto con sus funciones regulares.
por Check Point Research, utilizó copias falsas La operación se atribuyó a Bitter APT, un
de la aplicación de mensajería Telegram para grupo conocido por operar en Asia del Sur, que
robar información personal de varios usuarios. supuestamente también estaría produciendo

CAPÍTULO 3
Mods similares para Facebook, Telegram, perpetrados por agentes con motivaciones
YouTube y WhatsApp. El ataque se perpetró financieras o políticas. Este fue el caso en
utilizando sitios de phishing que imitaban el 2018 y 2019 cuando el gobierno iraní bloqueó
sitio de Signal genuino y, muy probablemente, aplicaciones seguras de mensajería instantánea
llegaba a los usuarios a través de correos (MI), lo que dio como resultado un aumento en
electrónicos de phishing y redes sociales. las versiones no oficiales clonadas de Telegram,
Meta también acusó a Transparent Tribe (APT- Instagram y otras aplicaciones de MI. Muchas de
36), un actor de amenazas afiliado a Pakistán las aplicaciones no oficiales se dieron a conocer
patrocinado por el estado, de crear y usar posteriormente como parte de un programa
versiones falsas de WhatsApp, WeChat y gubernamental para espiar y controlar a la
YouTube, e identificó a más de 10 000 usuarios oposición y a los grupos minoritarios.
posiblemente afectados.
Los dispositivos móviles son el blanco de
El grupo mercenario Bahamut APT, que ofrece entidades hostiles por una variedad de razones
servicios de piratería a una amplia gama y motivaciones. Los atacantes a menudo
de clientes, utilizó las versiones maliciosas apuntan a las aplicaciones más populares,
modificadas de dos aplicaciones VPN móviles, conocidas y ampliamente utilizadas que
SoftVPN y OpenVPN para espiar a los usuarios. los usuarios considerarían seguras. Las
vulnerabilidades pueden adoptar la forma de
Las poblaciones de regímenes totalitarios aplicaciones modificadas o falsas, o a través
a menudo tienen acceso limitado a las del aprovechamiento de vulnerabilidades en las
aplicaciones en las tiendas de aplicaciones versiones originales. Debemos tomar esto como
oficiales y deben buscar otras alternativas. recordatorio de la necesidad de estar atentos,
Esto las hace más susceptibles a sufrir ataques especialmente al usar las aplicaciones más
populares y más utilizadas.
Los dispositivos móviles son el blanco de entidades hostiles

SHANI SHPRINGER por una variedad de razones y motivaciones. Los atacantes a
menudo apuntan a las aplicaciones más populares, conocidas y
Líder del Equipo de Análisis
de Investigación de ampliamente utilizadas que los usuarios considerarían seguras.
Datos de Check Point Las vulnerabilidades pueden adoptar la forma de aplicaciones
modificadas o falsas, o a través del aprovechamiento de
vulnerabilidades en las versiones originales. Debemos tomar esto
como recordatorio de la necesidad de estar atentos, especialmente
al usar las aplicaciones más populares y más utilizadas.

CAPÍTULO 3
L A NUBE:
AMENAZA DE TERCEROS
Durante los últimos años, Check Point Research

27.4%
(cp<r>) ha seguido el aumento constante en
la adopción de infraestructura en la nube por
22.9%
parte de entornos corporativos, así como la
evolución del panorama de amenazas en la
nube. Actualmente, alrededor del 98 % de
las organizaciones utilizan servicios basados
en la nube y el 76 % de ellas cuentan con
entornos multinube que incorporan servicios
proporcionados por dos o más proveedores de
la nube.
Al comparar los últimos dos años, hemos

visto un aumento significativo en la cantidad
de ataques por organización a redes basadas Nu be E ntor no
en la nube; estos aumentaron drásticamente l oc al
Figura 1: Porcentaje de ataques que aprovechan las
en un 48 % en 2022 en comparación con 2021.
vulnerabilidades recientes (divulgado en 2020-2022)
Aunque la cantidad general de ataques en redes
basadas en la nube es un 17 % menor que en
redes no basadas en la nube, un análisis más
Además de los intentos de explotación de
detallado de los tipos de ataques muestra que
vulnerabilidades, los entornos en la nube se
las vulnerabilidades recientemente divulgadas
han convertido en una fuente y un blanco de
(2020-2022) se aprovechan con mayor
incidentes y vulneraciones de seguridad que
frecuencia en entornos basados en la nube que
derivan de una gestión de acceso inadecuada,
en entornos locales. Esto podría indicar un
a veces combinada con el uso de credenciales
cambio en las tácticas, y que algunos agentes
comprometidas. En marzo de 2022, la banda
de amenazas ahora prefieren escanear el rango
de ransomware Lapsus$ anunció en una
IP de los proveedores de nube. Esto podría
declaración en su canal de Telegram que había
permitir un acceso más fácil a información
obtenido acceso a Okta, una plataforma de
confidencial o servicios críticos.
gestión de identidades. Lapsus$ es conocido

CAPÍTULO 3
por publicar información confidencial, a En su canal de Telegram, Lapsus$ afirmó que

menudo código fuente, robada de empresas Okta almacenaba claves de AWS en Slack y
tecnológicas de alto perfil, como Microsoft, que los ingenieros de soporte externos de Okta
NVIDIA y Samsung. Sin embargo, esta vez, los tenían acceso a los 8600 canales de Slack de la
agentes afirmaron que su objetivo no era Okta empresa. Es posible que Lapsus$ haya obtenido
en sí, sino más bien sus clientes. acceso inicial a Okta a través de Slack utilizando
cookies robadas o ingeniería social. cp<r> sugirió
que el acceso de Lapsus$ a los clientes de Okta
ANTES DE QUE LAS PERSONAS COMIENCEN A podría explicar el modus operandi de la banda de
PREGUNTAR: NO ACCEDIMOS/ROBAMOS NINGUNA
BASE DE DATOS DE OKTA; nuestro blanco eran ciberdelincuentes y su impresionante historial de
ÚNICAMENTE los clientes de okta. éxitos, todo gracias a que se otorgaron permisos
Figura 2: Anuncio de Lapsus$ sobre OKTA, en su canal excesivos a un tercero dentro del entorno de
de Telegram.
la nube corporativa. Los ataques de abuso de
roles de administración de identidades y accesos
(Identity and Access Management, IAM) fueron
Después de la vulneración, Okta publicó una analizados a fondo por CPR en 2021 y, aunque
declaración oficial en la que revelaba que todavía es un problema en la actualidad, existen
aproximadamente el 2,5 % de sus clientes se otros riesgos que las empresas deben tener en
vieron afectados por la vulneración de Lapsus$, cuenta.
esto es alrededor de 375 empresas, según
El 16 de septiembre de 2022, Uber declaró
estimaciones independientes. Okta es utilizado
que estaban respondiendo a un incidente
por miles de empresas para administrar y
de seguridad que luego atribuyeron a un
asegurar los procesos de autenticación de
hacker conectado al mismo grupo Lapsus$.
usuarios, así como por desarrolladores para
La empresa explicó que el atacante utilizó
crear controles de identidad. Esto, de hecho,
credenciales robadas de un contratista de
significa que cientos de miles de usuarios en
Uber en un ataque de fatiga de autenticación
todo el mundo podrían haber sido puestos
de múltiples factores, mediante el cual se
en riesgo por la misma empresa que es
inundó al contratista de solicitudes de inicio
responsable de su seguridad.
de sesión con autenticación de dos factores
(2FA) hasta que un usuario aceptó una de ellas.
Estas credenciales luego se utilizaron para el
movimiento lateral y la escalada de privilegios
que permitieron que el intruso obtuviera acceso
de administrador a la cuenta en la nube de AWS
de Uber y a sus recursos.

CAPÍTULO 3
Hacia fin de año, Uber sufrió otra fuga de datos de Desde reglas básicas como no almacenar las
alto perfil que expuso datos confidenciales de sus claves de acceso a la nube en lugares públicos
empleados y la empresa. Esta vez, los atacantes o no ignorar los intentos de omisión de 2FA,
vulneraron a la empresa al comprometer un hasta las más complicadas pero esenciales,
servidor en la nube de AWS utilizado por Tequivity, como la prevención de configuraciones
que proporciona a Uber servicios de gestión y erróneas de la nube y el uso de IAM adecuado,
seguimiento de activos. No está claro si el acceso los eventos de 2022 demuestran que cualquier
no autorizado se debió a una configuración violación de estas reglas pone en riesgo los
errónea o a credenciales robadas, pero es evidente entornos en la nube.
que necesitamos adaptar nuestros métodos de
evaluación del riesgo de terceros al mundo de la
infraestructura en la nube.
Al comparar los últimos dos años, hemos visto un aumento

significativo en la cantidad de ataques por organización a redes
OMER DEMBINSK Y basadas en la nube; estos aumentaron drásticamente en un 48 %
Gerente del Grupo de en 2022 en comparación con 2021. Aunque la cantidad general de
Investigación de Datos de Check ataques en redes basadas en la nube es un 17 % menor que en redes
Point Software Technologies
no basadas en la nube, un análisis más detallado de los tipos de
ataques muestra que las vulnerabilidades recientemente divulgadas
(2020-2022) se aprovechan con mayor frecuencia en entornos basados
en la nube que en entornos locales. Esto podría indicar un cambio
en las tácticas, y que algunos agentes de amenazas ahora prefieren
escanear el rango IP de los proveedores de nube. Esto podría permitir
un acceso más fácil a información confidencial o servicios críticos.
AMENAZA
CAPÍTULO 4
ANÁLISIS
GLOBAL

CAPÍTULO 4
CATEGORÍAS DE CIBERATAQUES SEGÚN LA REGIÓN
GLOBAL
MALWARE MULTIPROPÓSITO*
32%
INTERCEPTORES DE INFORMACIÓN
24%
CRIPTOMINEROS
16%
MÓVIL
9%
RANSOMWARE
7%
Figura 3: Porcentaje de organizaciones afectadas por el tipo de malware a nivel mundial en 2022.
* Las botnets y los troyanos bancarios, anteriormente clasificados como dos tipos distintos, se combinan en una sola categoría. Como muchos troyanos bancarios recibieron
funcionalidades adicionales, lo que dificulta la diferenciación entre las dos categorías, introducimos la categoría “malware multipropósito” para incluir a ambos grupos.
AMÉRICA MALWARE MULTIPROPÓSITO*

23%
18%
CRIPTOMINEROS
12%
MÓVIL
7%
RANSOMWARE
5%
Figura 4: Porcentaje de organizaciones afectadas por el tipo de malware en América en 2022.
CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023

2022 45
CAPÍTULO 4
CATEGORÍAS DE CIBERATAQUES SEGÚN LA REGIÓN
EMEA MALWARE MULTIPROPÓSITO*

33%
25%
CRIPTOMINEROS
15%
MÓVIL
8%
RANSOMWARE
8%
Figura 5: Porcentaje de organizaciones afectadas por el tipo de malware en EMEA en 2022.
APAC MALWARE MULTIPROPÓSITO*

44%
30%
CRIPTOMINEROS
25%
MÓVIL
14%
RANSOMWARE
9%
Figura 6: Porcentaje de organizaciones afectadas por el tipo de malware en APAC en 2022.

2022 46
CAPÍTULO 4
MAPA INDICATIVO DE AMENA Z AS GLOBALES
En el mapa, se muestra el índice de riesgo de amenazas cibernéticas a

nivel mundial, lo que demuestra las principales áreas de riesgo en todo
el mundo.*
* Más oscuro = Riesgo más alto

* Gris = Datos insuficientes
Figura 7. Mapa indicativo de amenazas globales

CAPÍTULO 4
Educación/Investigación 2314 (+43%)

Gobierno/Fuerzas Armadas 1661 (+46%)
Atención médica 1463 (+74%)
Comunicaciones 1380 (+27%)
ISP/MSP 1372 (+28%)
Finanzas/Banca 1131 (+52%)
Servicios públicos 1101 (+48%)
Seguro/Legal 957 (+47%)
Fabricación 950 (+36%)
Ocio/Hospitalidad 943 (+60%)
SI/VAR/Distribuidor 904 (+18%)
Comercio minorista/mayorista 871 (+66%)
Transporte 750 (+41%)
Proveedor de software 747 (+37%)
Consultor 689 (+19%)
Proveedor de hardware 448 (+25%)
Figura 8: Promedio global de ataques semanales por organización por industria en 2022 [% de cambio desde 2021]
Los datos recopilados en 2022 muestran un aumento continuo en los ataques contra
todas las industrias. La mayor parte de las industrias seleccionadas para los ataques
son instituciones educativas y de investigación, con un promedio de 2314 ataques por
semana por organización, un aumento de más del 40 % con respecto a 2021. Los ataques
al sector de la atención médica son los que registraron el mayor aumento, un 74 % más
de ataques que el año pasado, lo que la coloca como la tercera industria con más ataques
en este índice. Desde hospitales y clínicas hasta centros de investigación, los atacantes
se han centrado en la industria de la atención médica desde el comienzo de la pandemia
de la COVID-19, en busca de ganancias financieras. El 89 % de las organizaciones de
atención médica informaron ciberataques en el último año con un costo total promedio
que alcanzó los 4,4 millones de USD. CommonSpirit Health, la segunda cadena de
hospitales sin fines de lucro más grande de los EE. UU se incluía entre las instituciones
que informaron ataques. CommonSpirit, que opera 140 hospitales, ha informado el robo
de datos de más de 600 000 pacientes, ataque que ha provocado daños médicos a los
pacientes. Los hospitales de Nueva York fueron atacados en noviembre por ransomware
que dejó inactivos los sistemas médicos durante semanas después del ataque. Un ataque
a Tenet Healthcare Corporation con sede en Dallas, que opera cientos de centros médicos,
causó interrupciones en las operaciones de cuidados intensivos. Entre los grupos
de ransomware a los que se les adjudica apuntar a organizaciones de atención
médica se encuentran Lockbit, BlackCat, Cuba, Zeppelin y muchos más.

CAPÍTULO 4
2018 2019 2020 2021

17% 16%
33% 36%
67% 64%
83%
84%
2022
14%
86%
CORREO ELECTRÓNICO WEB
Figura 9: Protocolos de entrega: el correo electrónico frente a los vectores de ataque web en 2018-2022.

CAPÍTULO 4
PRINCIPALES TIPOS DE ARCHIVOS MALICIOSOS:

L A WEB FRENTE AL CORREO ELECTRÓNICO
57%
10%
8%
5% 4% 3% 2% 1% 1% 1%
r
sb
e
c
m
dl
pd
ja
do
xl
ex
ps
ln
xl
ht
Figura 10: Web: principales tipos de archivos maliciosos en 2022.
26%
22%
17%
15%
9%
4%
3% 3%
0.8% 0.6%
e
sx
sm
cx
s
m
pd
rt
do
xl
vb
ex
do
xl
ht
xl
Figura 11: Correo electrónico: principales tipos de archivos maliciosos en 2022.

CAPÍTULO 4
51%
15%
9%
6%
4%
2% 2% 2% 1% 1%
p
gz
7z
z
ra
tg
r0
is
im
ca
zi
Figura 12: Principales archivos de almacenamiento maliciosos entregados

por web y correo electrónico en 2022.
La proporción de ataques entregados por correo electrónico ha aumentado hasta

alcanzar un asombroso récord de 86 % de todos los ataques de libre circulación
basados en archivos. Los datos muestran un aumento en la utilización de varios
tipos de formatos de archivos de almacenamiento, ya que los agentes de amenazas
intentan ocultar cargas útiles maliciosas. Incluido en archivos protegidos con
contraseña, la funcionalidad del malware se oculta hasta que se extrae, lo
que hace que le sea difícil a los productos de seguridad su identificación como
malware malicioso. Los archivos Zip son el formato más comúnmente utilizado
para este fin, mientras que entre los principales tipos de archivos maliciosos
también se incluyen archivos .img y .iso, ya que su funcionalidad de extracción
está integrada en Windows o con herramientas muy populares. Los archivos de
almacenamiento a menudo se utilizan para eludir el mecanismo de protección
basado en la marca de web.

CAPÍTULO 4
ESTADÍSTICAS DE MALWARE A NIVEL GLOBAL
Las comparaciones de datos que se presentan en las siguientes secciones de este informe se basan
en datos extraídos del Mapa de amenazas cibernéticas ThreatCloud de Check Point entre enero y
diciembre de 2022.
Para cada una de las regiones a continuación, presentamos el porcentaje de redes corporativas
afectadas por cada familia de malware, para el malware más frecuente en 2022.
GLOBAL
10%
8%
4%
3% 3% 3%
2% 2% 2%
1%
T
et
la
ok
ot
er
er
s
bo
RA
co
Ri
es
ot
Qb
gg
ad
bo
ki
XM
m
nj
Em
tT
lo
lo
rm
Lo
Re
en
Gu
ey
Fo
Ag
eK
ak
Sn
Figura 13: Malware más frecuente a nivel global en 2022
AMÉRICA
8%
3% 3%
2% 2% 2%
1% 1% 1% 1%
T
et
ot
la
ok
er
er
t
bo
RA
co
Ri
es
ot
Qb
ad
gg
bo
ki
XM
m
nj
Em
tT
lo
lo
rm
Lo
Re
en
Gu
ey
Fo
Ag
eK
ak
Sn
Figura 14: Malware más frecuente en América en 2022

CAPÍTULO 4
EUROPA, ORIENTE MEDIO Y ÁFRICA (EMEA)

10%
9%
4% 4% 4%
3%
2% 2%
1% 1%
T
et
la
ok
ot
er
er
bo
RA
co
Ri
es
ot
Qb
gg
ad
bo
ki
XM
nj
Em
tT
lo
lo
rm
Lo
Re
en
Gu
ey
Fo
Ag
eK
ak
Sn
Figura 15: Malware más frecuente en EMEA en 2022
ASIA-PACÍFICO (APAC)
15%
14%
9%
7%
5%
4%
3% 3%
2% 2%
T
et
la
ok
er
ot
ba
bo
ni
RA
Ri
es
ot
Qb
gg
bo
te
m
ki
XM
nj
Em
tT
up
Ra
lo
rm
Lo
en
ey
Gl
Fo
Ag
eK
ak
Sn
Figura 16: Malware más frecuente en APAC en 2022

CAPÍTULO 4
ANÁLISIS A NIVEL GLOBAL DE LOS PRINCIPALES MALWARE
Volviendo de su cuarto lugar en la lista de malware más frecuente de Check Point

en 2021, Emotet ha recuperado su posición en la cima de la tabla de 2022, ya que
afecta al 10 % de todas las redes corporativas. Inicialmente descubierto en 2014
como un troyano bancario, Emotet se ha convertido en un malware multipropósito
muy importante, que sirve como malware de acceso inicial y es utilizado por
sofisticados ciberdelincuentes de Europa del Este. Identificado como una de las
principales amenazas cibernéticas, Emotet fue interrumpido en enero de 2021, en
una operación global de las fuerzas de seguridad, pero luego resurgió a finales
de ese año. A su regreso, Emotet se distribuyó con la ayuda de Trickbot y luego
implementó campañas de spam a gran escala con documentos maliciosos de
Office. Valiéndose en gran medida de las vulnerabilidades de los macros de Office,
se esperaba que el plan de Microsoft de desactivar macros de VBA en documentos
obtenidos de Internet afectara la distribución de Emotet. Los operadores de
Emotet se prepararon para ese cambio, y experimentaron con tipos de archivos
alternativos, incluidos archivos .lnk, .xll zip e .iso En noviembre, Emotet regresó
de uno de sus descansos de rutina y volvió a utilizar su arma predilecta anterior:
archivos Excel con macros maliciosas. Para eludir las limitaciones de la marca
de web, los maldocs adjuntos mostraban instrucciones detalladas que instaban
a los usuarios a copiar los archivos en la carpeta de “Plantillas” de confianza.
Emotet continúa utilizando la técnica de secuestro de hilos de correos electrónicos
y personaliza el contenido del correo electrónico según el país objetivo. Se
observó a Emotet implementar otras familias de malware como IcedID y XMRig
en el sistema de las víctimas. Otras dos campañas de Emotet en 2022 son una
campaña dirigida a los empleados de IKEA; una campaña de phishing en EE. UU.
suplantando al IRS durante la temporada de impuestos de 2022 y muchas más.
Los interceptores de información ocuparon un lugar central en la tabla de posiciones

de este año, con cuatro de los interceptores más comúnmente utilizados, AgentTesla,
Formbook, SnakeKeylogger y LokiBot ocupando los seis primeros lugares de nuestra
lista de malware. La popularidad de los interceptores de información está relacionada
con el creciente mercado de credenciales robadas y su disponibilidad para los agentes
de amenazas a precios relativamente bajos. Una de las técnicas emergentes entre
los ciberdelincuentes es el uso de interceptores de información para infecciones
de amplia diseminación que no se centran específicamente en las redes
corporativas. Después de la infección inicial, los ciberdelincuentes extraen los
datos para identificar las credenciales de VPN corporativas, lo que les permitirá
obtener un acceso inicial a las redes corporativas.

CAPÍTULO 4
PRINCIPALES MALWARE MULTIPROPÓSITO
GLOBAL AMÉRICA
22% 19%
Emotet Emotet 3%
Qbot 3% 45% Qbot 5% 43%
Raspberry Robin 5% Raspberry Robin
5%
Phorpiex 5% Phorpiex
6%
Glupteba 5% Glupteba
Icedid 15% Icedid 19%
Otro Otro
Figura 17: Malware multipropósito más frecuente Figura 18: Malware multipropósito más frecuente
a nivel global en América
EUROPA, ORIENTE MEDIO Y ÁFRICA (EMEA) ASIA-PACÍFICO (APAC)
23% 23%
Emotet Emotet
Qbot 3% 46% Qbot 3% 47%
Raspberry Robin 3% Glupteba 5%
Phorpiex
4% Phorpiex
5% 6%
Glupteba Raspberry Robin
Icedid
7%
17% Mylobot
9%
Otro Otro
Figura 19: Malware multipropósito más frecuente Figura 20: Malware multipropósito más frecuente
en EMEA en APAC

CAPÍTULO 4
ANÁLISIS GLOBAL DEL MALWARE MULTIPROPÓSITO
Al igual que en nuestro último informe de mitad del año, se han fusionado dos
categorías de malware, los troyanos bancarios y las botnets, que anteriormente se
clasificaban como dos tipos distintos. Como muchos troyanos bancarios recibieron
funcionalidades adicionales, lo que dificulta la diferenciación entre las dos
categorías, introducimos la categoría unificada “malware multipropósito”. Por lo
tanto, las comparaciones en esta categoría se relacionan con el último informe de
mitad del año y no con datos anuales más antiguos.
Emotet y Qbot han aumentado su actividad relativa y ahora son los responsables
de más del 60 % de los intentos de infecciones en esta categoría. Raspberry Robin
es un nuevo participante de la lista de malware multipropósito. Raspberry Robin
se detectó por primera vez en septiembre de 2021 cuando utilizaba dispositivos
USB infectados y capacidades de tipo gusano para propagarse, y se ha convertido
en una de las plataformas de distribución de malware activo más grandes en un
año. Se informó que implementaba otras diversas familias de malware, incluidas
IcedID, Bumblebee y marcas de ransomware como Clop y LockBit. Con posibles
relaciones con Evil Corp, este malware constituye una nueva amenaza grave.
La botnet Phorpiex, que ha sido conocida por distribuir otras familias de malware
a través de campañas de spam, así como por alimentar el spam a gran escala, las
campañas de extorsión sexual y la propagación de ransomware dio inicio al 2022
con el secuestro de criptotransacciones y continúa su expansión, ocupando el
cuarto lugar en la tabla de posiciones de malware multipropósito.
Glupteba ha regresado con todo su potencial tras la operación de interrupción en

2021 realizada por Google. Este malware presenta diversas capacidades, como
un interceptor de credenciales, un criptominero, un aprovechador de enrutador
y mucho más. Sin embargo, Glupteba es mejor conocido por su utilización de la
tecnología blockchain de BitCoin como su infraestructura de comando y control
(C&C) para recibir información de configuración. El uso de registros de bitcoin
por parte de Glupteba mejora su resiliencia contra las interrupciones, ya que las
transacciones de blockchain no pueden eliminarse; sin embargo, permanecen
expuestas para su inspección pública. El seguimiento de la actividad de Glupteba
a través de la blockchain ha dejado al descubierto una gran campaña en curso que
comenzó en junio de 2022.

CAPÍTULO 4
PRINCIPALES MALWARE DE INTERCEPTACIÓN
GLOBAL AMÉRICA
11% 16%
1%
5% 2% 29%
AgentTesla 35% AgentTesla
12% 8%
Formbook Formbook
SnakeKeylogger SnakeKeylogger
Lokibot Lokibot 12%
Vidar 16% Vidar 22%
Pony 20% RedLine Stealer 12%
Otro Otro
Figura 21: Principales malware de interceptación Figura 22: Principales malware de interceptación
1% 8%
1% 10%
5%
4%
AgentTesla AgentTesla 12% 35%
12% 38%
Formbook Formbook
SnakeKeylogger SnakeKeylogger
Lokibot Lokibot
15% 17%
Vidar Vidar
xloader
19% Pony 21%
Otro Otro
Figura 23: Principales malware de interceptación Figura 24: Principales malware de interceptación
en EMEA en APAC

CAPÍTULO 4
ANÁLISIS GLOBAL DE LOS MALWARE

El mercado en desarrollo de credenciales y cookies robadas, que luego se utilizan

en el ciclo de vida en evolución de los intermediarios de acceso, los afiliados al
ransomware y los proveedores de RaaS, ha contribuido a la creciente popularidad
de los interceptores de información. Los datos de Check Point revelan un aumento
constante en el uso de interceptores de información, lo que afectó al 18 % de
las redes corporativas en 2020, al 21 % en 2021 y alcanzó tanto como el 24 % de
todas las organizaciones en 2022. Los interceptores de información se venden en
foros ilegales a agentes de amenazas de diversos niveles de conocimiento técnico
por una tarifa de suscripción mensual que varía entre 60 USD y 1000 USD. Este
mercado, que anteriormente se dividía entre múltiples familias de malware más
pequeñas, se ha consolidado, y este año tres marcas, AgentTesla, Formbook y
SnakeKeylogger son responsables del 71 % de los ataques de interceptores de
información monitoreados por Check Point.
Formbook, detectado en el 20 % de los casos de interceptores de información, es

un malware de consumo que se vende como servicio en foros ilegales desde 2016.
Está diseñado para recopilar pulsaciones de teclas, buscar y acceder a archivos,
tomar capturas de pantalla, recolectar credenciales de navegadores y descargar
e implementar cargas útiles adicionales. Ha sido utilizado por múltiples agentes,
a menudo distribuidos mediante archivos adjuntos de correo electrónico, incluidos
pdf, doc, documento RTF, exe, zip, rar, etc. Formbook se ha implementado este año
teniendo como blanco a Ucrania y en muchas otras campañas.
El interceptor de información Snake Keyloggermodular .NET ha triplicado su

rango en comparación con nuestras principales estadísticas de malware de
2021. Snake apareció hacia fines de 2020, creció rápido en popularidad entre los
ciberdelincuentes. Entre las principales funcionalidades de Snake, figuran grabar
pulsaciones de teclas, realizar capturas de pantalla, recolectar credenciales y
contenido del portapapeles, además de admitir la exfiltración de los datos robados
por los protocolos HTTP y SMTP. En agosto, los investigadores observaron a
Snake Keylogger en una campaña de malspam que se extendió a través de correos
electrónicos de phishing para atacar a empresas de TI ubicadas en los EE. UU.

CAPÍTULO 4
PRINCIPALES MALWARE DE CRIPTOMINERÍA
GLOBAL AMÉRICA
1% 1%
5% 4% 4%
8% 7%
10%
XMRig XMRig
LemonDuck LemonDuck 84%
76%
Wannamine Wannamine
Kinsing Lucifer
Otro Otro
Figura 25: Principales malware de criptominería Figura 26: Principales malware de criptominería
2% 6% 2%
5%
3%
5% 14%
XMRig XMRig 15% 64%

LemonDuck LemonDuck
84%
Wannamine Wannamine
JenkinsMiner NRSMiner
Otro Otro
Figura 27: Principales malware de criptominería Figura 28: Principales malware de criptominería
en EMEA en APAC

CAPÍTULO 4
ANÁLISIS GLOBAL DE CRIPTOMINEROS
La capitalización del mercado de las criptomonedas ha caído drásticamente

en 2022, y perdió casi 2 billones de USD, desde una capitalización récord
de 2,9 billones de USD en noviembre de 2021. Las bajas cotizaciones de las
criptomonedas combinadas con los crecientes costos del minado afectan la
rentabilidad de la minería y, por ende, la motivación para la criptominería. Esto
explica la disminución de la visibilidad de los criptomineros de 21 % en 2021 a 16 %
en 2022 a nivel mundial. Esta disminución ha dejado a XMRig, una herramienta
de minería legítima de código abierto, como la herramienta más dominante
utilizada por los atacantes con fines maliciosos. XMRig se ha utilizado en el 76 %
de los ataques de criptominería en 2022 y, como se informa en el capítulo de
CPIRT, a menudo se caracteriza por una vulneración que podría conducir a la
implementación de otro malware.
LemonDuck, un malware de criptominería relativamente nuevo que no tiene un uso

legítimo, y que desde su detección inicial en 2019 añadió amplias funcionalidades
maliciosas, como el robo de credenciales y el movimiento lateral. Como
Lemonduck está equipado con la capacidad para soltar herramientas adicionales
para ataques operados por humanos, su detección debe tratarse seriamente como
un posible precursor de ataques graves.

CAPÍTULO 4
PRINCIPALES MALWARE MÓVILES
GLOBAL AMÉRICA
25% 26%
31%
Joker 42% Joker

Anubis Anubis
AlienBot 20% AlienBot 6%
24%
Hiddad Hydra 7%
8%
Hydra
5% 5% Hyddad 11%
Otro Otro
Figura 29: Troyanos bancarios más frecuentes Figura 30: Troyanos bancarios más frecuentes
19%
34%
38%
Anubis 49% Joker
18%
Joker Anubis
AlienBot Sharkbot
Hydra Hiddad 5%
9% 5%
Hiddad
5% 6%
AlienBot 5% 17%
Otro Otro
Figura 31: Troyanos bancarios más frecuentes Figura 32: Troyanos bancarios más frecuentes
en EMEA en APAC

CAPÍTULO 4
ANÁLISIS GLOBAL DE MALWARE

DE DISPOSITIVOS MÓVILES
Joker, un malware para dispositivos móviles para Android, es un interceptor capaz

de acceder a mensajes SMS, listas de contactos e información de dispositivos,
pero principalmente genera ingresos a través de suscripciones no autorizadas
a servicios prémium pagados. Joker utiliza su acceso a mensajes SMS para
autenticar solicitudes y autorizar pagos. Joker (también conocido como Bread)
se detectó por primera vez en 2017 camuflado en más de 1700 aplicaciones de
aspecto benigno ofrecidas en Google Play Store. El malware ha resurgido este
año, y se ha camuflado en al menos 8 aplicaciones en Google Store con más de
3 millones de descargas en 2022, ascendiendo así hasta la cima de la lista global
de malware de dispositivos móviles de Check Point.
Anubis es un malware troyano bancario diseñado para teléfonos móviles con

Android. Desde su detección inicial en 2017, se ha visto aumentado con funciones
adicionales, incluidas la funcionalidad de troyano de acceso remoto (Remote
Access Trojan, RAT), registro de pulsaciones de teclas y capacidades de grabación
de audio. Se ha detectado en cientos de aplicaciones diferentes disponibles
en Google Store lo que hizo que pudiera incorporarse a la lista de malware de
dispositivos móviles más importantes de Check Point a principios de este año.

CAPÍTULO 5
VULNERABILIDADES
GLOBALES DE
ALTO PERFIL

CAPÍTULO 5
La siguiente lista de las principales vulnerabilidades se basa en los datos

recopilados por la red de sensores del Sistema de Prevención de Intrusiones
(Intrusion Prevention System, IPS) de Check Point y detalla algunos de los
aprovechamientos de vulnerabilidades y las técnicas de ataque más populares e
interesantes que detectaron los investigadores de cp<r> en 2022.
VULNERABILIDADES PROX YSHELL

(CVE-2021-34473, CVE-2021-34523 Y CVE-2021-31207)
Este es el nombre que se le da a una cadena de ataque que aprovecha tres

vulnerabilidades en Microsoft Exchange Server. La combinación de estas
vulnerabilidades permite a los atacantes no autenticados realizar la ejecución
remota de código (RCE) en servidores vulnerables. Las tres vulnerabilidades
se informaron y aplicaron parches en 2021 y permanecen en la cima de la
lista de vulnerabilidades más aprovechadas, incluso en 2022. Algunos de los
motivos de su popularidad entre los atacantes son su simple explotación, la
prevalencia de servidores de MS Exchange en el gobierno y en las grandes
empresas y el hecho de haber sido objeto de análisis y debate minuciosos por
parte de los investigadores. Los datos de Check Point muestran que el 21 % de
nuestros clientes se ha visto afectados por los intentos de ProxyShell en 2022.
Las vulnerabilidades ProxyShell han sido aprovechadas según una variedad de
motivaciones, incluso por agentes de amenazas con motivaciones financieras
para implementar ransomware, para espionaje en Oriente Medio y África y por
entidades de APT iraníes para obtener acceso a organismos estadounidenses,
australianos, canadienses y del Reino Unido. Las investigaciones del Equipo de
Respuesta ante Incidentes de Check Point (CPIRT) hallaron vulnerabilidades
ProxyShell en uno de cada seis casos de ataque. Junto con ProxyLogon y
el recientemente informado ProxyNotShell, estas vulnerabilidades de MS
Exchange constituyen una superficie de ataque muy importante, frecuentemente
aprovechada en la red, lo que a menudo resulta en importantes vulneraciones.

CAPÍTULO 5
FOLLINA EN MICROSOFT OFFICE (CVE-2022-30190)
Informada en mayo de 2022, esta vulnerabilidad en la herramienta de diagnóstico

de soporte de Microsoft (Microsoft Support Diagnostic Tool, MSDT) se aprovecha
mediante el uso de documentos de Microsoft Office. Microsoft ha recorrido un
largo camino en su esfuerzo por reducir los ataques que utilizan documentos de
Office al deshabilitar macros en documentos de fuentes externas. Al aprovechar la
nueva vulnerabilidad Follina, los atacantes ahora utilizan documentos .docx y .rtf
especialmente diseñados para descargar y ejecutar códigos maliciosos, incluso
en modo protegido y cuando las macros están deshabilitadas. A pesar de los
esfuerzos de mitigación de Microsoft, los agentes de amenazas han aprovechado
a Follina en sistemas sin parches para implementar Qbot y otros RAT, lo que
convierte a Follina en la vulnerabilidad más utilizada descubierta en 2022 y
contribuye a la popularidad de los documentos maliciosos de Office.
FORTINET CVE-2022-40684 Y CVE-2022-42475
Dos errores críticos informados en octubre (puntuación CVSS de 9,6) y diciembre

(puntuación CVSS de 9,3) en productos Fortinet permiten a los atacantes no
autenticados ejecutar código arbitrario a través de solicitudes especialmente
diseñadas. La empresa notificó sobre las vulnerabilidades de libre circulación y
emitió actualizaciones, mientras que CISA advirtió sobre un riesgo significativo
para la empresa federal. Los intentos de explotación de CVE-2022-40684 en los
últimos 3 meses afectaron al 18 % de las organizaciones.

CAPÍTULO 5
2022 6%
2021 9%
2020 9%
2019 5%
2018 10%
2017 12%
2016 7%
2015 11%
2014 10%
2013 4%
2012 7%
Earlier 10%
0 2 4 6 8 10
Figura 33: Porcentaje de ataques que aprovechan las vulnerabilidades por año de divulgación en 2022. 12
Las nuevas vulnerabilidades descubiertas e informadas en 2022 han sido

rápidamente utilizadas como armas por los agentes de amenazas este
año. En comparación con solo el 2 % de los ataques en 2021 que utilizaban
vulnerabilidades del mismo año, este año se observaron en el 6 % de los
ataques monitoreados por Check Point. Además de las vulnerabilidades
descritas anteriormente, la ejecución del código remoto (RCE) de Confluence
de Atlassian (CVE-2022-26134) y BIG-IP de F5 (CVE-2022-1388), analizadas en
nuestro informe de mitad del año, contribuyeron con su participación en nuevos
intentos de explotación. Nuestros datos muestran que las vulnerabilidades
informadas en los últimos tres años constituyeron el 24 % de los intentos de
aprovechamiento en comparación con solo el 18 % en 2021. Esto indica una
actualización en la competencia y capacidad de integración de los agentes
de amenazas, especialmente manifestada en ataques basados en la nube; el

CAPÍTULO 5
27 % de estos ataques aprovecharon nuevas vulnerabilidades (2020-2022). El

aprovechamiento de vulnerabilidades más antiguas continuó con los CVE de
2017 que se usaron ampliamente, incluida la ejecución remota de código Apache
Struts2 (CVE-2017-5638), que utilizan las botnets y la ejecución remota de código
PHPUnit (CVE-2017-9841), que aún se utiliza para explotar los complementos
vulnerables de WordPress. La información recopilada por el Equipo de
Respuesta ante Incidentes de Check Point (CPIRT) muestra que la proporción de
vulnerabilidades recientemente informadas en ataques exitosos es aún mayor,
con las vulnerabilidades ProxyShell solamente utilizadas en el 17 % de los casos
investigados. Esto demuestra que, si bien los intentos de explotación de las
vulnerabilidades con una antigüedad de 4 a 5 años son generalizados, los ataques
exitosos a menudo se valen de fallas recientemente descubiertas, que fueron
aprovechadas antes de que se apliquen los parches. El fenómeno de “cola larga”
del aprovechamiento de vulnerabilidades persiste, con el 50 % de los ataques de
libre circulación dirigidos a vulnerabilidades informadas antes de 2017. Estos son
menos efectivos y utilizados por atacantes menos avanzados. Estos hallazgos resaltan
una vez más la importancia de la aplicación oportuna de parches del sistema.
VULNERABILIDAD

CAPÍTULO 6
PERSPECTIVA DE
LA RESPUESTA
ANTE INCIDENTES

CAPÍTULO 6
(En el recuadro, se destaca un caso específico investigado por CPIRT en 2022. Otro texto
incluye observaciones y datos que se refieren a todos los casos manejados en 2022.
Se han modificado ciertos detalles para garantizar la confidencialidad del cliente.)
Un lunes por la mañana en marzo de 2022, el Equipo de Respuesta ante

Incidentes de Check Point (CPIRT) recibió una llamada de una empresa
tecnológica mediana de Europa que había sido víctima de un ataque de
ransomware de Quantum Locker implementado temprano en la mañana
del día anterior. Robert, director en Seguridad de la Información de la
compañía, estaba en la línea. Así comenzó un día de trabajo típico en la
vida de un analista de IR, que a menudo es uno de los peores días en la
vida (profesional) de los clientes.
A diferencia de los análisis y tendencias analizados en capítulos anteriores de este

informe, que se basan en datos anónimos de productos de Check Point recopilados
durante la protección preventiva de rutina, este capítulo ofrece la perspectiva
del Equipo de Respuesta ante Incidentes de Check Point (CPIRT), que proporciona
servicios de mitigación de ataques en respuesta a diversos tipos de vulneraciones
activas, no es exclusivo de los clientes de Check Point.
Robert informó que la mayoría de los servidores de sus centros de datos,

incluidos los controladores de dominio y servidores de archivos, habían
sido cifrados e inhabilitados. Sin respaldos, toda sus operaciones se
detuvieron y necesitaban asistencia para investigar y mitigar este ataque.
La misión de CPIRT era buscar vulnerabilidades y actividad maliciosa en
curso, reanudar la funcionalidad de la red y realizar un análisis de la causa
raíz para identificar el vector de ataque inicial y prevenir ataques futuros.

CAPÍTULO 6
En general, tras la asistencia de CPIRT sigue el descubrimiento de actividad

maliciosa visible, como archivos cifrados (ransomware), detección de correos
electrónicos falsificados o falsos (vulneración del correo electrónico) o la
presencia de archivos de malware o de procesos desconocidos en un sistema
informático. El análisis detallado del equipo CPIRT del indicio de amenaza inicial
proporciona una perspectiva diferente del panorama de amenazas que la que
habitualmente proporcionan los datos de nuestros productos.
7%
3%
3%
Ransomware 3%
Compromiso de correo electrónico 4%
Compromiso de servidor único
Intento de phishing 5%
Credenciales comprometidas 49%
Compromiso de múltiples hosts 5%
Compromiso de un solo host
Fuerza bruta
Filtración de datos
10%
Otros
11%
Figura 34: Desglose de casos del equipo CPIRT según indicios de amenaza inicial en 2022
El análisis de los indicios iniciales de amenazas según lo

observado por CPIRT en 2022 indica que casi el 50 % de las
DANIEL WILE Y investigaciones involucran infecciones por ransomware. El análisis
Jefe de Gestión de de amenazas anterior es diferente de lo que vemos en nuestros
Amenazas y Asesor Jefe de
Seguridad de Check Point datos de productos, lo que coloca al malware multipropósito y a los
Software Technologies interceptores de información en la cima de la lista de amenazas.
Sin embargo, los datos del equipo CPIRT muestran que los riesgos
más grandes visibles desde la perspectiva de una corporación
grande, son ataques de ransomware total y compromisos
completos de la red. La telemetría de productos que registra la
actividad de los malware multipropósito a menudo solo muestra la
incursión inicial que, si se evita, bloquea daños mucho mayores.
CAPÍTULO 6
Tras la investigación forense inicial de CPIRT, quedó claro que el punto

de entrada a la organización fue el servidor de Exchange de la empresa.
No se habían aplicado los parches correspondientes al servidor y estaba
expuesto a dos vulnerabilidades muy conocidas utilizadas por los agentes
de amenazas desde 2021: el mismo grupo de vulnerabilidades utilizadas
por Hafnium (CVE-2021-26855 y CVE-2021-26855, CVE-2021-26857 o CVE-
2021-26858) y las vulnerabilidades ProxyShell (CVE-2021-34473, CVE-2021-
34523, CVE-2021-31207).
En casi la mitad de los casos en los que trabaja CPIRT, el punto de apoyo inicial
se logra mediante el aprovechamiento de un servidor débil con una vulnerabilidad
de RCE sin parches y puertos abiertos a Internet. De hecho, las vulnerabilidades
ProxyShell específicamente fueron la causa de uno de cada seis incidentes que
CPIRT investigó en 2022, a pesar de que esas vulnerabilidades se comunicaron y
aplicaron parches en 2021.
Vulnerabilidad de ejecución de código

remoto (Remote Code execution, RCE) 47%
Servicio de RDP expuesto 24%
Phishing / Malspam 21%
Fuerza bruta/Relleno de credenciales 8%
Amenaza interna 7%
Credenciales comprometidas 3%
Figura 35: Desglose de vectores de entrada inicial en casos investigados por CPIRT en 2022
0 10 20 30 40 50

CAPÍTULO 6
Los atacantes suelen utilizar un servicio de protocolo de escritorio remoto

(Remote Desktop Protocol, RDP) expuesto en combinación con una vulnerabilidad
de RCE o ataques de contraseña, como ataques de fuerza bruta o de relleno de
credenciales, para obtener una posición en la red. Los servidores de correo suelen
ser el enlace débil en una red y son un punto de entrada inicial común para los
atacantes y los que más fácilmente se cifran. Esto se debe a que, por cuestiones
de rendimiento, a menudo no se instalan en los servidores la seguridad de
terminales ni los productos antiransomware. En combinación con la gran cantidad
de vulnerabilidades, la exposición de la red y la mala gestión de parches, en
muchas organizaciones, el punto más débil son los servidores y no las terminales
periféricas y, por lo tanto, en muchos ataques son el blanco de aprovechamiento.
Un análisis adicional reveló que el mismo servidor de Exchange vulnerable

había sido aprovechado dos veces, en distintos incidentes con nueve meses
de diferencia. El primer aprovechamiento del servidor ocurrió en junio de
2021. Inicialmente, “solo” se instaló un criptominero, utilizando múltiples
activos en toda la red.
Esto enfatiza la necesidad de tratar cada vulneración con la misma seriedad que
un ataque de ransomware total. Al igual que en este caso, los criptomineros y
otros tipos de malware “leves” a menudo son indicadores iniciales de un posible
aprovechamiento que podría conducir a desastres cibernéticos más adelante.
La persistencia en este ataque se logró mediante la modificación de una

clave de registro para conectar y descargar periódicamente un recurso
externo. Inicialmente, se trataba de un criptominero instalado en decenas
de máquinas, pero el recurso podría haberse sustituido fácilmente con
otra carga útil. Al final del ataque inicial a mediados de 2021, los atacantes
filtraron una lista de activos de red en la red y utilizaron Mimikatz para
recolectar credenciales de la red infectada. Algunas de las contraseñas
recolectadas fueron hash NTLM que, debido a la práctica de contraseñas
simples, se les aplicó fácilmente ingeniería inversa a la versión de texto
sin formato.

CAPÍTULO 6
Las estadísticas de casos del equipo CPIRT revelan una amplia utilización por parte
de los atacantes de herramientas que no son de firma. Las principales herramientas
utilizadas este año fueron Cobalt Strike y Mimikatz. Sin embargo, por primera vez, la
tercera herramienta más popular de esta lista, AnyDesk, es una herramienta de
administración legítima. A medida que los agentes de amenazas han comenzado
a usar herramientas de administración más legítimas en sus ataques, el uso de
malware personalizado creado por los mismos agentes de amenazas ha disminuido, y
estamos viendo un aumento en los ataques que podrían no incluir ningún malware
en absoluto. Este cambio en las herramientas implementadas por los atacantes se
detalla en un capítulo exclusivo de este informe.
Cobalt Strike 38%
Mimikatz 33%
AnyDesk 21%
XMRig 13%
PsExec 9%
RdpWrap 8%
Teamviewer 7%
Session Gropher 7%
Metasploit 6%
Kali Linux 6%
Chrome Password Reader 6%
ADAudit 5%
0 5 10 15 20 25 30 35
Figura 36: Herramientas utilizadas en sistemas comprometidos en casos investigados por CPIRT en 2022. 40
Durante la segunda vulneración en marzo de 2022, los atacantes utilizaron

los datos obtenidos nueve meses antes. La lista de activos y el volcado
de credenciales robados durante el primer ataque se utilizaron en esta
instancia para habilitar y dirigir la implementación de ransomware.
Las credenciales robadas y el acceso inicial a las redes corporativas a menudo

CAPÍTULO 6
Las credenciales robadas y el acceso inicial a las redes corporativas ahora

se intercambian a menudo entre agentes de amenazas o son vendidos por
“intermediarios de acceso inicial”. La tercerización de cada vez más partes del
proceso de ataque y la fragmentación adicional del panorama de amenazas
complican los esfuerzos por descubrir a los responsables. Por estos motivos, en
muchos de los casos que CPIRT tomó en 2022, la responsabilidad del ataque no
fue atribuida a un grupo de amenazas ni muy conocido ni popular. También hemos
visto múltiples familias de malware utilizadas en un solo ataque, por ejemplo, el
uso de IceID para entregar RansomEXX.
Lockbit 8%
Black Basta 7%
Conti 7%
Dharma 5%
Hive 5%
Royal 5%
Vice Society 4%
Phobos 4%
Figura 37: Principales familias de ransomware observadas en casos tomados por IR en 2022
0 1 2 3 4 5 6 7 8
Si bien el primer ataque pasó relativamente inadvertido, el segundo logró

cifrar servidores críticos y ocasionó graves daños. Pero hay un final feliz:
al final de un proceso largo y estresante, gracias a la asistencia de CPIRT,
Robert pudo recuperar los datos de su empresa y reanudar las actividades
comerciales normales.
Este caso es uno de los cientos que el equipo CPIRT manejó en 2022 y que enfatiza
la importancia crítica de lo siguiente:
• implementar los parches inmediatamente cuando haya una actualización
disponible;
• aplicar una política de contraseñas compleja con actualizaciones frecuentes;
• utilizar la seguridad de terminales y antiransomware en sistemas críticos.
Robert puede dar fe de que estas acciones previenen catástrofes corporativas.

CAPÍTULO 7
PERSPECTIVAS PARA LOS

DIRECTORES EN SEGURIDAD
DE LA INFORMACIÓN 2023:
DISRUPCIÓN Y DESTRUCCIÓN

CAPÍTULO 7
SE ESPERA UN AUMENTO DE LOS ATAQUES GLOBALES A EMPRESAS,

REGULACIONES GUBERNAMENTALES MÁS ESTRICTAS Y MUCHO MÁS
Los directores en Seguridad de la Información lidiaron con muchas cosas en 2022. Los ataques
globales aumentaron un 28% en el tercer trimestre de 2022 en comparación con el mismo
período en 2021, y el promedio de ataques semanales por organización en todo el mundo
alcanzó más de 1130. Al adentrarnos en 2023, esa tendencia no muestra signos de disminución,
con aumentos en los ataques de ransomware y el hacktivismo político impulsado por conflictos
internacionales. Al mismo tiempo, los equipos de seguridad y directores en Seguridad de la
Información de las organizaciones enfrentarán una presión cada vez mayor a medida que la
brecha global de la fuerza laboral cibernética de 3,4 millones de empleados se amplíe aún
más, y los gobiernos introduzcan regulaciones cibernéticas más estrictas para proteger a los
ciudadanos contra las vulneraciones.
En 2022, los ciberdelincuentes y agentes de amenazas vinculados al estado continuaron

aprovechando las prácticas de trabajo híbridas de las organizaciones a medida que las empresas
optaban por una fuerza laboral descentralizada, y el aumento de estos ataques no muestra signos
de disminución, ya que el conflicto entre Rusia y Ucrania continúa teniendo un profundo impacto
a nivel mundial. Las organizaciones necesitan consolidar y automatizar su infraestructura de
seguridad para poder monitorear y administrar mejor sus superficies de ataque y prevenir todo
tipo de amenazas con menos complejidad y menos demanda de recursos de personal.
PERSPECTIVAS PARA 2023: ¿A QUÉ DEBEN ESTAR ATENTOS

LOS DIRECTORES EN SEGURIDAD DE LA INFORMACIÓN Y QUÉ
SIGNIFICA ESO PARA SU ORGANIZACIÓN?
Aumento en malware destructivos y explotaciones de hackeo impactantes
• El ransomware no da tregua: esta fue la principal amenaza para las organizaciones en la primera
mitad de 2022, y el ecosistema de ransomware continuará evolucionando y creciendo con la formación
de grupos criminales más pequeños y ágiles que buscan evadir a las fuerzas de seguridad.
• Vulneración de las herramientas de colaboración: si bien los intentos de phishing contra las
cuentas de correo electrónico empresariales y personales son una amenaza diaria, en 2023 los
delincuentes ampliarán su blanco y dirigirán sus ataques a las herramientas de colaboración
empresariales, como Slack, Teams, OneDrive y Google Drive con ataques de phishing. Estas
herramientas son una fuente rica de datos confidenciales dado que los empleados de la mayoría
de las organizaciones a menudo continúan trabajando de forma remota.

CAPÍTULO 7
Los agentes de amenazas que utilizan ransomware

continuarán realizando extorsiones dobles —cifrando la
red y enviando datos— ya que la filtración de datos es lo
M AYA H O R O W I T Z
que deja mucho dinero. Pero también comenzaremos a ver
Vicepresidenta de
Investigación de Check Point más ataques en los que la extorsión solo está relacionada
Software Technologies con una filtración de datos sin que se produzca el cifrado
lo que significa que, si bien los datos son robados, aún se
pueden usar.
Si analizamos las herramientas de colaboración comprometidas,

observamos que habrá ataques más sofisticados dentro de múltiples
dominios, conocidos como ataques de quinta generación, ya que
el ataque puede comenzar en el correo electrónico pero se irá JEREMY FUCHS
trasladando a la red, el firewall y demás. Todo esto puede tardar Investigador/analista
en Avanan (una compañía de
meses en desarrollarse. También estamos viendo un aumento en Check Point Software)
la “autopista estática” donde puede crear “listas de permisos”
estáticas para que todo lo que provenga desde Google esté
permitido. Esta es una práctica común porque es difícil pasar por todos los dominios. Por
ejemplo, podemos crear algo malicioso en un sitio popular y saber que la parte receptora lo
recibirá, en buena parte, haciendo clic en él porque es una factura real de PayPal/Quickbook,
pero con un virus adjunto. Esto podría ampliarse a otras marcas de confianza. Con el phishing,
los atacantes usan un correo electrónico falso pero que, en estos casos, parece legítimo por lo
que, tanto el usuario como el sistema de seguridad, están desconcertados.
Con la adopción de herramientas de colaboración, como Slack y Teams durante el período

de la pandemia, habrá un aumento de ataques que utilicen estas plataformas. La mayoría de
los ataques hasta ahora se han dado por correo electrónico, pero podrían ocurrir a través de
cualquier aplicación o a través de servicios que utilizan los mismos inicios de sesión. Existe la
percepción de que Teams es inmune a los ataques, por ello, los usuarios se sienten confiados
al compartir datos e información personal, pero esto no es cierto. Business Email Compromise
ha dado lugar a pérdidas de 2400 millones de USD pero, en realidad, tal vez se deba cambiar el
nombre a business collaboration compromise (compromiso de la colaboración empresarial).

CAPÍTULO 7
EL HACKTIVISMO Y LAS DEEPFAKES

(FALSIFICACIONES PROFUNDAS)
EVOLUCIONAN CON ATAQUES A ORGANIZACIONES
NACIONALES Y AGENCIAS GUBERNAMENTALES
• Hacktivismo político: El año pasado, el hacktivismo de grupos sociales

con agendas fluidas (como Anonymous) devino en el hacktivismo de grupos
políticos que se caracterizan por ser más organizados, estructurados y
sofisticados. Dichos grupos recientemente han atacado objetivos en EE. UU.,
Alemania, Italia, Noruega, Finlandia, Polonia y Japón, y estos ataques
ideológicos continuarán creciendo en 2023.
• El uso de deepfakes como armas: En octubre de 2022, se dio amplia difusión a

un deepfake del presidente de los EE. UU., Joe Biden, cantando “Baby Shark”
en lugar del himno nacional. ¿Fue esta una broma o un intento de influir en
las importantes elecciones de medio mandato de EE. UU.? La tecnología
de deepfakes apuntará cada vez más a la opinión para manipularla, o para
engañar a los empleados para que divulguen sus credenciales de acceso.
Las líneas entre los agentes a nivel de los estados

nación, los ciberdelincuentes y los hacktivistas seguirán
desdibujándose. Veremos más grupos de hacktivistas
SERGE Y SHYKEVICH
en apoyo de las narrativas de estados nación y agentes
Gerente del Grupo de
Inteligencia sobre Amenazas
a nivel de los estados nación que aprenden técnicas de
de Check Point Software ciberdelincuentes expertos. Todo esto hace que sea más
Technologies
difícil atribuir la responsabilidad de los ataques a un grupo
en particular, por lo que las organizaciones tendrán que
crear protecciones cibernéticas adecuadas contra todo tipo
de agentes de amenazas.

CAPÍTULO 7
SOLUCIONES DE L A IOT Y BASADAS EN L A NUBE:

“VULNERABLE POR SIEÑO” AFECTA A LOS
VECTORES DE ATAQUE EMPRESARIAL
• La nube se torna más complicada: Está claro que el aumento en el uso de

soluciones basadas en la nube y la IoT ha presentado nuevos desafíos para los
profesionales de seguridad. Con menos control y visibilidad sobre dónde se
almacenan los datos y cómo se accede a ellos, puede resultar difícil garantizar que
el acceso a la información confidencial esté protegido de manera adecuada. Esto
es especialmente cierto en industrias como la atención médica y la fabricación,
donde los sensores y dispositivos basados en la IoT se están volviendo más
frecuentes. Además, el uso de dispositivos, como cámaras, impresoras y televisores
inteligentes para videoconferencias ha introducido nuevas vulnerabilidades. En
general, es importante que las organizaciones tomen medidas para garantizar
la seguridad de sus sistemas basados en la nube y la IoT, ya que continuarán
siendo piezas centrales y de tendencia de cualquier entorno de TI, incluida la
implementación de controles de acceso adecuados y el monitoreo regular de
posibles vulnerabilidades.
El aprovechamiento de vulnerabilidades se vuelve

predominante, ya que los atacantes son excepcionalmente
M U H A M M A D YA H YA PAT E L rápidos en encontrar agujeros en productos

muy conocidos y ampliamente utilizados por las
Gurú de Ciberseguridad Global
en Check Point Software organizaciones. Por eso es importante aplicar parches
Technologies una y otra vez y, como mínimo, mantenerse al día con las
actualizaciones ya que, por lo general, estas sencillas
medidas de seguridad se pasan por alto.

CAPÍTULO 7
Creo que la transformación de la nube se desacelerará

debido al costo que implica y a su complejidad, y muchas
empresas considerarán devolver las cargas de trabajo DERYCK MITCHELSON
a las instalaciones o, al menos, a los centros de datos Director en Seguridad de la
privados. Esto podría ayudar a reducir la superficie Información de Campo de Check
general de amenazas. para EMEA
LOS GOBIERNOS INTENSIFICAN LAS MEDIDAS PARA

PROTEGER A LOS CIUDADANOS Y LAS ORGANIZACIONES
• Nuevas leyes en torno a las filtraciones de datos: la vulneración en la
empresa de telecomunicaciones australiana Optus ha motivado al gobierno
del país a introducir nuevas regulaciones relativas a las filtraciones de datos
para proteger a los clientes contra fraudes subsiguientes, con nuevas leyes
introducidas que elevan las sanciones máximas por vulneraciones graves
o repetidas de los 2,22 millones de AUD actuales al elevado importe de
50 millones de AUD. El gobierno británico introdujo medidas similares con una
nueva obligación obligatoria de informar sobre los proveedores de servicios
administrados (Managed Service Providers, MSP) para divulgar incidentes
cibernéticos o recibir una multa de 17 millones de GBP por incumplimiento. En
Australia, el gobierno también está considerando prohibir el pago de rescates
a ciberdelincuentes; esto ha conducido a que otros gobiernos nacionales estén
considerando seguir este ejemplo en 2023, además de las medidas existentes
como el Reglamento General de Protección de Datos (RGPD).
• Nuevos grupos de trabajo nacionales contra los delitos cibernéticos: Más

gobiernos seguirán el ejemplo de Singapur de establecer grupos de trabajo
entre agencias para contrarrestar el ransomware y los delitos cibernéticos,
uniendo a empresas, departamentos estatales y fuerzas de seguridad para
combatir la creciente amenaza al sector empresarial y a los consumidores.
Estos esfuerzos son, en parte, el resultado de cuestionamientos sobre si el
sector de seguros cibernéticos puede ser considerado o no como una red
de seguridad para incidentes cibernéticos. La UE también ha fortalecido su

CAPÍTULO 7
ciberseguridad y resiliencia con su nueva directiva, NIS2. NIS2 sentará las

bases para la gestión de riesgos y la generación de informes en todos los
sectores, incluidos los de energía, salud e infraestructura crítica.
• Exigir seguridad y privacidad por diseño: La industria automotriz ya se ha

movilizado para introducir medidas para proteger los datos de los propietarios
de vehículos. Otras áreas de bienes de consumo que almacenan y procesan
datos seguirán este ejemplo, y responsabilizarán a los fabricantes de las
vulnerabilidades en sus productos.
Para evitar que los datos altamente confidenciales caigan

en las manos equivocadas, los directores en Seguridad de
la Información deben enfocarse en comprender dónde se
ASHWIN R AM almacena lo más preciado de la organización, incluso dentro
Gurú de Ciberseguridad de los sistemas de terceros. Los directores en Seguridad
en Check Point Software
de la Información deben tener en cuenta quién y qué cosa
Technologies
tiene acceso a sus datos, pensar en las API y priorizar la
implementación de Zero Trust. Esto significa hacer cumplir
el principio de menor privilegio para que los usuarios y
los sistemas reciban el acceso mínimo a los recursos para
hacer su trabajo.
Los ataques a la infraestructura crítica continuarán

aumentando a medida que los agentes de amenazas
se vuelvan más osados, aunque serán más difíciles de M AYA H O R O W I T Z
llevar a cabo y requerirán herramientas especiales. Los
Vicepresidenta de Investigación
sectores clave como la energía, las telecomunicaciones de Check Point Software
y la atención médica son un blanco de ataques porque Technologies
tienen mucho que perder y, por ende, más probabilidades

de pagar. Aunque los ataques al sector educativo son
aleatorios, los ataques al sector continuarán debido a la
forma en que se construyen sus redes.

CAPÍTULO 7
L AS VULNERABILIDADES DE DÍA CERO EN L A

CADENA DE SUMINISTRO Y EL CÓDIGO DE SOFTWARE
SE PUEDEN EXPLOTAR, ARRASANDO ASÍ CON L AS
OPERACIONES COMERCIALES COTIDIANAS
• Las vulnerabilidades de día cero siguen acosando a las empresas: Si bien

los hackers de sombrero blanco generalmente descubren y parchan estas
vulnerabilidades antes de que se hagan públicas, una vez que se encuentran
pueden explotarse fácilmente. Esto aún no ha sucedido, ya que la mayoría de
los agentes de amenazas están más interesados en explotar vulnerabilidades a
las que es más fácil acceder. La vulnerabilidad ProxyLogon, que se descubrió
el año pasado, sigue siendo la vulnerabilidad más aprovechada, simplemente
porque es efectiva. Sin embargo, si un actor de amenazas encontrara y
aprovechara una vulnerabilidad de día cero antes de que se aplique un parche,
el daño podría ser devastador y destructivo. Hasta hace poco, no había muchos
agentes de amenazas con la motivación para derribar todas las redes posibles,
pero el clima actual de caos y las motivaciones cambiantes pueden conducir
a mayor cantidad de intentos de explotar dichas vulnerabilidades de día cero.
Aplicar parches y mantener actualizado el software es una misión fundamental.
Los ataques y las vulneraciones a la cadena de

suministro continuarán acelerándose durante
PETE NICOLETTI el próximo año. La mayoría de las empresas no
hacen un buen trabajo en la gestión del riesgo de
Director en Seguridad de la
Información de Campo de Check los componentes que están utilizando y no tienen
visibilidad de su lista de materiales de software
para América
(Software Bill of Materials, SBOM) ni una estrategia
completa, mucho menos una comprensión de dónde
están las vulnerabilidades.

CAPÍTULO 7
L A CONSOLIDACIÓN COMO SOLUCIÓN A LOS DE-

SAFÍOS CIBERNÉTICOS CORPORATIVOS EN EVOLUCIÓN
Reducir la complejidad para reducir los riesgos: Las organizaciones tienen redes
distribuidas e implementaciones en la nube más complejas que nunca debido
a la pandemia. Con tantos elementos a considerar, los equipos de seguridad
necesitan consolidar sus infraestructuras de TI y seguridad para mejorar sus
defensas y reducir su carga de trabajo para poder mantenerse a la vanguardia
de las amenazas. Las estadísticas hablan por sí solas: más de dos tercios de los
directores en Seguridad de la Información afirmaron que trabajar con menor
cantidad de soluciones de proveedores aumentaría la seguridad de su empresa.
Los equipos de seguridad necesitan consolidar sus infraestructuras de TI y
seguridad para mejorar sus defensas y reducir su carga de trabajo para poder
mantenerse a la vanguardia de las amenazas.
La industria en su conjunto ha hecho grandes avances en

la disminución de la cantidad de soluciones para reducir
J O N AT H A N “J O N Y ” la complejidad. Históricamente, las empresas utilizaban
FISCHBEIN
entre 15 y 17 soluciones. Actualmente, los directores en
Información en Check Point
Seguridad de la Información están tratando de reducir
Software Technologies la cantidad de soluciones para reducir la complejidad, lo
que lleva a la industria a recurrir a la consolidación como
respuesta. Sugerimos un panel de gestión que permita
a los profesionales de seguridad reducir el nivel de
complejidad al lidiar con problemas de seguridad.

CAPÍTULO 7
La consolidación se convertirá en una prioridad “real”

DERYCK MITCHELSON en 2023, especialmente a medida que las empresas
buscan eliminar costos que se intensifican con la tan
Información de Campo de Check nombrada recesión y, lo que es más importante, la
complejidad derivada de toda la pila digital y
para EMEA
de seguridad.
Las organizaciones deben considerar el nuevo ámbito

del “trabajo desde casa” y cómo abordar los desafíos de ANTOINETTE HODES
seguridad de la fuerza laboral híbrida y remota, ya que es Arquitecto y gurú de Soluciones
posible que esta no tenga una postura de seguridad tan de Check Point Software
Technologies para EMEA
sólida como las organizaciones para las que trabajan. Con
estos trabajadores aprovechando la red, se debe considerar
la prevención de dichos ataques a través de este nuevo
vector. Consolidar toda la postura de ciberseguridad sería
dar un paso en la dirección correcta.

CAPÍTULO 8
LA PREVENCIÓN
ESTÁ AL ALCANCE

CAPÍTULO 8
NO ESTÁ PREDESTINADO CONVERTIRSE EN VÍCTIMA:

L A PREVENCIÓN ESTÁ AL ALCANCE
Los ataques de día cero son riesgos cibernéticos desconocidos que eluden
fácilmente las soluciones de seguridad basadas en firmas y, por lo tanto,
representan un riesgo excepcionalmente peligroso para las empresas. Los
ataques de ransomware se convirtieron en una amenaza cibernética central y
se oponen a un factor disruptivo a nivel mundial para las organizaciones, las
empresas e, incluso, los gobiernos. Los ataques de phishing pueden tener
varios objetivos diferentes, como la entrega de malware, el robo de dinero y
el robo de credenciales. Sin embargo, la mayoría de las estafas de phishing
diseñadas para robar su información personal pueden detectarse y, a veces,
pueden evitarse daños enormes. Una filtración de datos puede hacer estragos
en una organización. Una filtración de datos a menudo resulta en costosas
auditorías de seguridad, multas y, en consecuencia, las partes interesadas
muchas veces pierden la confianza en la organización. El rápido aumento de
las filtraciones de datos de alto perfil demuestra que es fundamental que los
profesionales de seguridad vuelvan a examinar sus estrategias de seguridad
actuales e implementen seguridad unificada en entornos de red, nube y móviles
en un esfuerzo por prevenir filtraciones posteriores. Las modernas aplicaciones
en la nube presentan nuevos desafíos de seguridad a los desarrolladores que
deben asegurarse de prevenir continuamente fugas de código y otras posibles
vulneraciones que pueden ser desastrosas.
En esta sección, proporcionamos a los profesionales de la seguridad

recomendaciones prácticas que pueden marcar la diferencia entre unirse a las
estadísticas en alza de víctimas cibernéticas o evitar ser la siguiente.

CAPÍTULO 8
CÓMO PREVENIR UN ATAQUE DE RANSOMWARE
Hay varias medidas que una empresa puede tomar para minimizar su exposición y
los posibles impactos de un ataque de ransomware.
1. Copia de seguridad de los datos sólida

El objetivo de un ransomware es forzar a la víctima a pagar un rescate para
recuperar el acceso a sus datos cifrados. Sin embargo, esto solo es eficaz si
la víctima realmente pierde el acceso a sus datos. Una solución de copia de
seguridad de los datos sólida y segura es una forma eficaz de mitigar el impacto
de un ataque de ransomware. Si se realiza una copia de seguridad de los sistemas
regularmente, los datos que se pierdan a causa de un ataque de ransomware
deberían ser mínimos o nulos. Sin embargo, también es importante asegurarse
de que la solución de copia de seguridad de los datos tampoco pueda cifrarse. Los
datos deben almacenarse en un formato de solo lectura para evitar la propagación
del ransomware a las unidades que contengan los datos de recuperación.
2. Capacitación sobre concientización cibernética

Los correos electrónicos de phishing son una de las formas más conocidas de
propagar un malware de rescate. Al engañar a un usuario para que haga clic en un
enlace o abra un archivo adjunto malicioso, los delincuentes cibernéticos pueden
acceder a la computadora del empleado y comenzar el proceso de instalación y
ejecución del programa de ransomware. Dada la brecha global entre el personal
calificado de ciberseguridad que afecta a las organizaciones de todo el mundo,
la capacitación frecuente en torno a la concientización sobre ciberseguridad es
crucial para proteger a la organización contra el ransomware, ya que así se puede
aprovechar el propio personal como la primera línea de defensa para garantizar un
entorno protegido. En este tipo de capacitación, se debe indicar a los empleados que
tomen las siguientes medidas:
• No hacer clic en enlaces maliciosos

• Nunca abrir archivos adjuntos imprevistos o no confiables
• Evitar revelar datos personales o confidenciales a suplantadores de identidad
• Verificar la legitimidad del software antes de descargarlo
• Nunca conectar un USB desconocido a su computadora
• Utilizar una VPN al conectarse a una red wifi pública o no confiable

CAPÍTULO 8
3. Parches actualizados
WannaCry, una de las variantes de ransomware más famosas que existen, es un
ejemplo de gusano de ransomware. En lugar de utilizar los correos electrónicos
de phishing o el Protocolo de Escritorio Remoto (RDP) para acceder a los sistemas
objetivo, WannaCry logró propagarse mediante una vulnerabilidad en el protocolo
de bloque de mensajes del servidor (Server Message Block, SMB) de Windows.
Cuando se produjo el famoso ataque de WannaCry en mayo de 2017, ya existía un
parche para la vulnerabilidad de EternalBlue de la que se aprovechó WannaCry.
Este parche estaba disponible un mes antes del ataque y había sido etiquetado
como “crítico” debido a su alto potencial de vulneración. Sin embargo, hubo
muchas organizaciones y personas que no lograron aplicar el parche a tiempo,
lo que tuvo como consecuencia un brote de ransomware que infectó a 200 000
computadoras en un plazo de tres días. Mantener las computadoras actualizadas
y aplicar parches de seguridad, especialmente aquellos etiquetados como críticos,
puede ayudar a disminuir la vulnerabilidad de una organización a los ataques de
ransomware porque dichos parches a veces son omitidos o se retrasan demasiado
tiempo como para brindar la protección adecuada.
4. Cómo fortalecer la autenticación del usuario

Los delincuentes cibernéticos generalmente utilizan el protocolo de escritorio
remoto (Remote Desktop Protocol, RDP) y herramientas similares para acceder
de forma remota a los sistemas de una organización mediante credenciales
de inicio de sesión que han descubierto o robado. Una vez dentro, el atacante
puede insertar el ransomware en el equipo y ejecutarlo para cifrar los archivos
almacenados. Este vector de ataque potencial puede bloquearse mediante el uso
de una autenticación de usuario sólida. La implementación y el cumplimiento
de una política de contraseñas seguras, que requiera el uso de autenticación
de múltiples factores, y la capacitación a los empleados sobre ataques de
phishing diseñados para robar credenciales de inicio de sesión son componentes
fundamentales de la estrategia de ciberseguridad de una organización.
5. Soluciones antiransomware
Si bien las medidas de prevención de ransomware descritas anteriormente
pueden ayudar a mitigar la exposición de una organización a las amenazas de
ransomware, no proporcionan una protección perfecta. Algunos operadores de
ransomware utilizan correos electrónicos de phishing de objetivo definido bien
investigados y altamente dirigidos como su vector de ataque. Estos correos
electrónicos pueden engañar incluso al empleado más precavido y hacer que el

CAPÍTULO 8
ransomware penetre en los sistemas internos de una organización. La protección

contra este ransomware que pasa inadvertido requiere una solución de seguridad
especializada. Para lograr su objetivo, el ransomware debe realizar ciertas
acciones anómalas, como abrir y cifrar grandes cantidades de archivos. Las
soluciones antiransomware supervisan los programas que se ejecutan en una
computadora en busca de comportamientos sospechosos que suele mostrar un
ransomware. Si se detectan estos comportamientos, el programa puede tomar
medidas para detener el cifrado antes de que se ocasione más daño.
6. Utilice una mejor prevención de amenazas

La mayoría de los ataques de ransomware pueden detectarse y resolverse
antes de que sea demasiado tarde. Su organización debe tener implementada
una detección y prevención automatizada de amenazas para maximizar sus
posibilidades de protección.
• Analice y supervise los correos electrónicos. El correo electrónico es

una opción comúnmente utilizada por los ciberdelincuentes para ejecutar
esquemas de phishing, así que tómese el tiempo necesario para analizar
y supervisar los correos electrónicos de manera continua y considere
implementar una solución de seguridad del correo electrónico automatizada
para evitar que los correos electrónicos maliciosos lleguen a los usuarios.
• Analice y supervise la actividad de los archivos. También es una buena

idea analizar y supervisar la actividad de los archivos. Debería recibir
una notificación cada vez que haya un archivo sospechoso antes de que se
convierta en una amenaza.
ATA Q U E S
CAPÍTULO 8
CÓMO PREVENIR LOS ATAQUES DE PHISHING
1. Siempre esté atento al idioma utilizado en el correo electrónico

Las técnicas de ingeniería social están diseñadas para aprovecharse de la
naturaleza humana. Esto incluye el hecho de que las personas tienen más
probabilidades de cometer errores cuando tienen prisa y suelen seguir órdenes
de personas en puestos de autoridad. Los ataques de phishing, por lo general,
utilizan estas técnicas para convencer a sus blancos de ignorar sus sospechas
potenciales sobre un correo electrónico y hacer clic en un enlace o abrir un
archivo adjunto. Algunas técnicas comunes de phishing son las siguientes:
• Pedido/entrega falsos: Un correo electrónico de phishing se hará pasar por

una marca de confianza (Amazon, FedEx, etc.) y le informará que ha realizado
un pedido o tiene una entrega pendiente. Cuando hace clic para cancelar
el pedido o la entrega no autorizados, el sitio web (que pertenece a un
ciberdelincuente) requerirá autenticación, lo que permite al atacante robar las
credenciales de inicio de sesión.
• Business Email Compromise (BEC): Las estafas de BEC aprovechan la

jerarquía y la autoridad dentro de una empresa. Un atacante se hará pasar
por el director ejecutivo u otro ejecutivo de alto nivel e instará al destinatario
del correo electrónico a que tome alguna medida, como enviar dinero a una
determinada cuenta bancaria (que pertenece al estafador).
• Factura falsa: El suplantador finge ser un proveedor legítimo que solicita el

pago de una factura pendiente. El objetivo final de esta estafa es hacer que el
dinero se transfiera a la cuenta del atacante o entregar malware a través de
un documento malicioso.

CAPÍTULO 8
2. Nunca comparta sus credenciales

El robo de credenciales es un objetivo común de los ciberataques. Muchas
personas reutilizan los mismos nombres de usuario y contraseñas en muchas
cuentas diferentes, por lo que es probable que robar las credenciales de una sola
cuenta otorgue a un atacante el acceso a varias de las cuentas en línea del usuario.
Como resultado, los ataques de phishing están diseñados para robar credenciales
de inicio de sesión de varias maneras, como por ejemplo:
• Sitios de phishing: Los atacantes crearán sitios similares que requieren
autenticación de usuario e incluirán estos sitios en sus correos electrónicos de
phishing. Tenga cuidado con los enlaces que lo dirigen a lugares imprevistos.
• Malware de robo de credenciales: No todos los ataques contra sus credenciales

son directos. Algunos correos electrónicos de phishing transportan malware,
como registradores de pulsaciones de teclas o troyanos, que están diseñados
para espiar cuando escribe contraseñas en su computadora.
• Estafas de atención al cliente: Los ciberdelincuentes pueden hacerse pasar

por especialistas en atención al cliente de Microsoft, Apple y empresas
similares, y solicitar sus credenciales de inicio de sesión mientras lo “ayudan”
con su computadora.
3. Sospeche siempre de los correos electrónicos de restablecimiento de contraseña.

Los correos electrónicos de restablecimiento de contraseña están diseñados
para ayudarlo cuando no pueda recuperar la contraseña de su cuenta. Al hacer
clic en un enlace, puede restablecer la contraseña de esa cuenta y aplicar una
nueva. No saber su contraseña es, de hecho, también el problema que enfrentan
los ciberdelincuentes cuando intentan obtener acceso a sus cuentas en línea. Al
enviar un correo electrónico de restablecimiento de contraseña falso que lo dirige
a un sitio de phishing similar, pueden convencerlo de que escriba las credenciales
de su cuenta y las envíe. Si recibe un correo electrónico de restablecimiento de
contraseña no solicitado, siempre visite el sitio web directamente (no haga clic en
enlaces incrustados) y cambie su contraseña en ese sitio (y cualquier otro sitio con
la misma contraseña).

CAPÍTULO 8
4. Eduque a los empleados sobre las amenazas actuales de phishing.

Los ataques de phishing se aprovechan de la naturaleza humana para engañar
a las personas para que hagan algo que el atacante desea. Entre las técnicas
más comunes se incluyen crear un sentido de urgencia y ofrecer al destinatario
del correo electrónico algo que desee, lo que aumenta la probabilidad de que el
objetivo tome medidas sin validar adecuadamente el correo electrónico.
Los suplantadores de identidad a menudo aprovechan los eventos actuales o se

hacen pasar por marcas confiables en sus correos electrónicos para hacerlos
más realistas. Al ofrecer información, bienes u oportunidades relacionadas con
un evento actual o al crear una situación en la que el destinatario cree que algo
salió mal (como una notificación falsa de entrega de paquetes), estos correos
electrónicos aumentan su probabilidad de obtener clics.
Las técnicas de phishing y los pretextos utilizados por los ciberdelincuentes para
hacer que sus ataques parezcan realistas cambian con frecuencia. Los empleados
deben recibir capacitación sobre las tendencias actuales de phishing para
aumentar la probabilidad de que puedan identificar y responder adecuadamente a
los ataques de phishing.
5. Implemente una solución automatizada antiphishing.

A pesar de los mejores esfuerzos de una organización, la capacitación sobre
ciberseguridad de los empleados no proporcionará la protección absoluta contra los
ataques de phishing. Estos ataques son cada vez más sofisticados e incluso, en algunos
casos, pueden engañar a expertos en ciberseguridad. Si bien la capacitación
sobre phishing puede ayudar a reducir la cantidad de ataques de phishing exitosos
contra la organización, es probable que algunos correos electrónicos se filtren.
Minimizar el riesgo de ataques de phishing a la organización requiere software

antiphishing basado en IA capaz de identificar y bloquear el contenido de phishing en
todos los servicios de comunicación (correo electrónico, aplicaciones de productividad,
etc.) y las plataformas de la organización (estaciones de trabajo de empleados,
dispositivos móviles, etc.). Esta cobertura integral es necesaria, ya que el contenido de
phishing puede llegar a cualquier medio, y los empleados pueden ser más vulnerables a
los ataques cuando usan dispositivos móviles.
Para obtener más información sobre cómo protegerse contra los ataques de
phishing programe una demostración privada para ver usted mismo cómo las
soluciones de seguridad de correo electrónico de Check Point pueden ayudarlo a
identificar y bloquear los ataques de phishing contra su organización.

CAPÍTULO 8
CÓMO PREVENIR LOS ATAQUES DE DÍA CERO
Prevención de amenazas en toda su organización

• La inteligencia sobre amenazas proporciona la información necesaria para
detectar eficazmente los ataques de día cero. La protección contra estos
requiere soluciones que puedan traducir esta inteligencia en acciones que
eviten que el ataque tenga éxito.
Check Point ha desarrollado más de sesenta motores de prevención de amenazas

que aprovechan la inteligencia sobre amenazas de ThreatCloud para la prevención
de ataques de día cero. Algunas capacidades clave de prevención de amenazas son
las siguientes:
• Inspección en el nivel de la CPU: Los atacantes cibernéticos suelen utilizar la
programación orientada al retorno (Return Oriented Programming, ROP) para
eludir las defensas incorporadas en las CPU. La inspección en el nivel de la
CPU identifica los intentos de superar la protección del espacio ejecutable y
la firma de códigos, bloqueando el ataque antes de que se pueda descargar y
ejecutar un código malicioso.
• Emulación y extracción de amenazas: El análisis de contenido sospechoso dentro

de un entorno aislado puede ayudar a detectar malware antes de que se entregue
a un sistema objetivo. Esto permite el bloqueo de malware o la eliminación de
contenido malicioso de un documento antes de su entrega.
• Análisis de ADN del malware: Los autores de malware comúnmente

desarrollan, toman prestado y modifican su código existente para desarrollar
nuevas campañas de ataque. Esto significa que las vulnerabilidades nuevas a
menudo incluyen el comportamiento y el código de campañas anteriores, que
pueden utilizarse para detectar la variación más reciente del ataque.
• Protección contra bots y explotaciones: Los ciberataques modernos a menudo

dependen en gran medida de máquinas comprometidas que se utilizan como
parte de una botnet. Después de identificar una máquina comprometida, una
organización puede aislarla y bloquear el tráfico relacionado con bots para
detener la propagación del malware.
• Búsqueda de campañas: El malware depende de la infraestructura de

back-end del atacante para su comando y control. Mediante la emulación y
extracción de amenazas, Check Point puede identificar nuevos dominios de
comando y control utilizados por el malware y aprovechar esta información
para detectar otras instancias de la campaña de ataque.

CAPÍTULO 8
• Protección de id.: Los ataques de apropiación de cuentas se han vuelto cada

vez más comunes con el creciente uso de las aplicaciones de Software como
servicio (Software as a Service, SaaS). El análisis conductual y la detección de
anomalías pueden identificar y bloquear los intentos de ataques, incluso si el
atacante tiene las credenciales correctas.
Trabajos de consolidación de seguridad

Muchas organizaciones dependen de una amplia gama de soluciones de seguridad
independientes e inconexas. Si bien estas soluciones pueden ser eficaces para
proteger contra una amenaza en particular, disminuyen la efectividad del equipo
de seguridad de una organización porque lo abruman con datos y lo obligan
a configurar, monitorear y administrar muchas soluciones diferentes. Como
resultado, el personal de seguridad agobiado omite las alertas críticas.
Una plataforma de seguridad unificada es esencial para prevenir ataques de día

cero. Una única solución con visibilidad y control en todo el ecosistema de TI de
una organización tiene el contexto y la perspectiva necesarios para identificar un
ciberataque distribuido. Además, la capacidad de emitir respuestas coordinadas
y automatizadas en toda la infraestructura de una organización es esencial para
prevenir las veloces campañas de ataque de día cero.
La inteligencia sobre amenazas debe mantenerse actualizada.

Los ciberataques modernos son generalizados y automatizados. Un ataque de día
cero estará dirigido a muchas organizaciones diferentes, aprovechando la estrecha
ventana entre el descubrimiento de vulnerabilidades y el lanzamiento de parches.
La protección contra este tipo de ataque a gran escala requiere acceso a inteligencia
sobre amenazas de alta calidad. Cuando una organización experimenta un ataque,
los datos que recopila pueden ser invaluables para otras organizaciones que intentan
detectar y bloquear el mismo tipo de ataque. Sin embargo, la velocidad y el
volumen de las campañas de ataque modernas hacen que el intercambio manual
de inteligencia sobre amenazas sea demasiado lento para ser eficaz.
ThreatCloud de Check Point es la base de datos de inteligencia sobre amenazas

cibernéticas más grande del mundo. ThreatCloud aprovecha la inteligencia artificial
(IA) para filtrar los datos que se le proporcionan y convertirlos en perspectivas valiosas
en torno a posibles ataques y vulnerabilidades desconocidas. El análisis de más de
86 mil millones de transacciones diarias de más de 100 000 clientes de Check Point
proporciona la visibilidad necesaria para identificar campañas de ataque de día cero.

CAPÍTULO 8
L AS FILTRACIONES DE DATOS
PUEDEN PREVENIRSE
EDUCAR Y CAPACITAR
En primer lugar, educar y
1
capacitar a su fuerza laboral
para que tome precauciones de
seguridad a fin de evitar que
CONTRASEÑAS SEGURAS
2
ocurra una vulneración.
Crear una contraseña segura y
cambiarla con frecuencia para
evitar el acceso.
REDUCIR EL ACCESO
A LOS DATOS
Reducir la capacidad de
3
transferir datos de un dispositivo
a otro disminuye el riesgo de que
EVALUAR A PROVEEDORES
los datos lleguen a las manos
DE TERCEROS
equivocadas.
4 Evaluar a proveedores de
terceros para asegurarse de
que tengan los protocolos
CIFRAR LAS PC Y LOS de seguridad adecuados
DISPOSITIVOS
5
implementados para evitar que
los hackers accedan a través de
Se puede reducir significativamente
su red.
la regulación de las computadoras
y los dispositivos de los empleados
a través de los cuales tienen acceso
CREAR UNA NUBE
INTERNA
6
a los datos de la empresa utilizando
solo PC y dispositivos cifrados.
Una forma de evitar el acceso
abierto a datos confidenciales es
mediante la creación de una nube
ACTUALIZAR interna donde solo aquellos que
CONTRASEÑAS
7
necesitan acceso a ella puedan,
de hecho, acceder a ella.
La implementación de
actualizaciones de contraseñas
y la autenticación de dos pasos
también mitigan este problema.
ACTUALIZAR EL
8
Las medidas de seguridad SOFTWARE
adicionales, como limitar el acceso
Las actualizaciones frecuentes
al sitio web desde los dispositivos
de software de seguridad pueden
de trabajo, los cambios frecuentes
evitar brechas en su seguridad.
de contraseñas, la actualización
Actualizar es crucial.
del software de seguridad y el
monitoreo del acceso a los datos,
pueden reducir significativamente
el riesgo de una filtración de datos.

2022 95
CAPÍTULO 8
Los ataques a la cadena de suministro están EVITE ERRORES COSTOSOS

diseñados para aprovechar las relaciones Mitigue fugas secretas causadas por una mala
de confianza entre una organización y partes administración de credenciales y errores humanos
externas. Estas relaciones podrían incluir que pueden tener resultados devastadores.
asociaciones, relaciones con proveedores o el
uso de software de terceros. Los agentes de
INTEGRACIÓN CON SU INFRAESTRUCTURA EN
amenazas cibernéticas comprometerán a una
L A NUBE
organización y, luego, ascenderán por la cadena
de suministro, aprovechando estas relaciones CloudGuard Spectral se integra con todos los
de confianza para obtener acceso a los entornos principales sistemas de integración continua
de otras organizaciones. (CI) con soporte integrado para Jenkins, Azure
y otros.
Dichos ataques se volvieron más frecuentes y

DETECCIÓN TEMPRANA A PARTIR DE L A
aumentaron su impacto en los últimos años; por
EJECUCIÓN DE PRE-COMMIT
lo tanto, es esencial que los desarrolladores se
aseguren de proteger sus acciones, verifiquen Cuando trabaje con Git, emplee nuestro
dos veces cada ingrediente del software en uso pre-commit, Husky y hooks personalizados
y, en especial, aquellos que se descargan de para automatizar la detección temprana de
diferentes repositorios, en particular los que no problemas.
son de su autoría.
INSTALE SU COMPLEMENTO DE SISTEMAS DE
COMPIL ACIÓN
La mejor seguridad del código a la nube, Check
Point CloudGuard ofrece seguridad nativa Ejecute análisis durante sus compilaciones
unificada en todas sus aplicaciones, cargas de estáticas con complementos nativos para
trabajo y red, y le brinda la confianza necesaria JAMStack, Webpack, Gatsby, Netlify y
para automatizar la seguridad, prevenir mucho más.
amenazas y administrar la postura de seguridad
Las herramientas automatizadas de
a velocidad y escala de la nube.CloudGuard
CloudGuard Spectral se integran con las
Spectral es una plataforma de seguridad de
herramientas de los desarrolladores para
códigos centrada en el desarrollador que
detectar vulnerabilidades de código e identificar
monitorea, clasifica y protege códigos, activos
secretos y configuraciones erróneas en el
e infraestructura sin problemas y de manera
código antes de la implementación, lo que evita
sencilla.
el uso no autorizado para fines perversos.
Con CloudGuard Spectral, las organizaciones

Para escalar este proceso, es imprescindible la
pueden evitar la exposición de claves de API,
automatización.
tokens y credenciales, así como la corrección
de errores en la configuración de seguridad.

CAPÍTULO 9
DESCRIPCIONES
DE LAS FAMILIAS
DE MALWARE

CAPÍTULO 9
AcidRain
AcidRain es un malware destructivo que se informó el 24 de febrero de 2022 dirigido
a módems de Viasat. En coincidencia con la invasión terrestre rusa a Ucrania, el
ataque de AcidRain a los sistemas de comunicación satelital causó una disrupción
generalizada de los sistemas de comunicación que prestaban servicios a Ucrania.
AgentTesla
AgentTesla es un RAT avanzado que funciona como un registrador de pulsaciones
de teclas e interceptación de contraseñas; ha estado activo desde 2014. Agent Tesla
puede monitorear y recopilar el ingreso de datos a través del teclado de la víctima
y del portapapeles del sistema, así como también tomar capturas de pantalla y
extraer credenciales de una variedad de software instalados en la máquina de una
víctima (incluidos Google Chrome, Mozilla Firefox y el cliente de correo electrónico
Microsoft Outlook). Agent Tesla se vende en varios mercados en línea y foros de hackeo.
AlienBot
AlienBot es un troyano bancario para Android que se vende ilegalmente como
malware como servicio (MaaS). Admite registro de las pulsaciones de tecla,
superposiciones dinámicas para robo de credenciales y obtención de SMS para
omisión de 2FA. Se proveen capacidades de control remoto adicional usando un
módulo de TeamViewer.
Anubis
Anubis es un malware troyano bancario diseñado para teléfonos móviles con
Android. Desde su detección inicial, se ha visto aumentado con funciones
adicionales, incluidas la funcionalidad de troyano de acceso remoto (RAT),
registrador de pulsaciones de teclas, capacidades de grabación de audio y varias
características de ransomware. Ha sido detectado en cientos de aplicaciones
diferentes disponibles en Google Store.
AZORult
AZORult es un troyano que recopila y extrae datos del sistema infectado. Una vez
que el malware está instalado en un sistema, puede enviar contraseñas guardadas,
archivos locales, datos de criptobilleteras e información de perfil de la computadora
a un servidor de C&C remoto. El generador Gazorp, disponible en la web oculta,
permite a cualquier persona alojar un servidor de C&C con Azorult con un esfuerzo
moderadamente bajo.
Azov
Azov es un wiper que se informó por primera vez en noviembre de 2022 y que se
propaga principalmente a través del malware SmokeLoader. La nota de rescate que
se dejó en los sistemas de las víctimas culpa a los investigadores de seguridad y a
las entidades políticas por la lucha en Ucrania.

CAPÍTULO 9
Bazar
Bazar Loader y Bazar Backdoor se descubrieron en 2020 y fueron usados en
las etapas iniciales de la infección por el grupo delictivo de delito cibernético
WizardSpider. El cargador es responsable de alcanzar las etapas siguientes y la
puerta trasera se creó para conservar la persistencia. Las infecciones generalmente
están seguidas de una implementación de ransomware a escala completa, usando
Conti o Ryuk.
BlackMatter
BlackMatter es un ransomware operado en un modelo RaaS. El malware ha
estado activo desde 2021, y entre sus víctimas se incluyen múltiples entidades de
infraestructura crítica de los EE. UU. BlackMatter es posiblemente el ransomware
DarkSide con otro nombre.
Bumblebee
BumbleBee es un nuevo cargador que está activo desde principios de 2022 y se utiliza
para entregar otras cargas útiles. Las cargas útiles de Bumblebee varían en gran
medida según el tipo de víctima. Por lo general, las computadoras independientes
infectadas son atacadas con troyanos bancarios o interceptores de información,
mientras que las redes organizacionales son blanco de ataques que utilizan
herramientas más avanzadas posteriores al aprovechamiento, como CobaltStrike.
Conti
El ransomware Conti surgió en 2020 y desde entonces se ha utilizado en múltiples
ataques contra organizaciones en todo el mundo. Este ransomware es entregado
como la etapa final después de una intrusión exitosa en la red de las víctimas. La
intrusión inicial puede realizarse mediante campañas de spearphishing, credenciales
robadas o débiles para RDP o campañas de ingeniería social por teléfono.
CryWiper
CryWiper es un malware de eliminación de datos disfrazado de ransomware que
se utilizó en 2022 para atacar a entidades del sector público ruso. A pesar de las
demandas de pago que figuran en las notas de rescate, los archivos cifrados por
CryWiper no se pueden restaurar.
Cl0p
Cl0p es un ransomware que se descubrió por primera vez a principios de 2019 y que
mayormente está dirigido a grandes empresas y corporaciones. Durante 2020, los
operadores de Clop comenzaron a ejecutar una estrategia de doble extorsión donde,
además de cifrar los datos de la víctima, los atacantes también amenazan con publicar
información robada a menos que se cumplan las demandas de rescate. En 2021, el
ransomware Clop se usó en numerosos ataques donde el acceso inicial fue obtenido
al utilizar las vulnerabilidades del día cero en Accellion File Transfer Appliance.

CAPÍTULO 9
Dracarys
Dracarys es un interceptor de información para Android descubierto en 2022,
utilizado por el grupo Bitter APT para robar contactos, mensajes, registros de
llamadas, capturas de pantalla y más.
Dridex
Dridex es un troyano bancario devenido en botnet que tiene como objetivo
la plataforma Windows. Se introduce mediante campañas de spam y kits de
explotación, y se basa en seminarios web para interceptar y redirigir credenciales
bancarias a un servidor controlado por los atacantes. Dridex contacta a un servidor
remoto, envía información sobre el sistema infectado y puede descargar y ejecutar
módulos adicionales para el control remoto.
Dustman/ZeroCleare
Dustman es un wiper, detectado por primera vez en diciembre de 2019, dirigido a
entidades de Oriente Medio. Dustman es una variante del wiper ZeroCleare y tiene
similitudes de código con el malware Shamoon.
Emotet
Emotet es un troyano avanzado modular de autopropagación. Emotet se utilizó
en su momento como un troyano bancario y ahora se utiliza como distribuidor de
otros malware o campañas maliciosas. Utiliza múltiples métodos para mantener la
persistencia y técnicas de evasión para eludir la detección. Además, Emotet también
se puede propagar a través de correos electrónicos no deseados de suplantación de
identidad (phishing) con enlaces o archivos adjuntos maliciosos.
FormBook
FormBook es un interceptor de información dirigido al SO Windows. Se detectó
por primera vez en 2016. Se distribuye a modo de malware como servicio (MaaS)
en foros de hackeo ilegales por sus sólidas técnicas de evasión y su precio
relativamente bajo. FormBook recopila credenciales de varios navegadores web y
capturas de pantalla, controla y registra pulsaciones de teclas, y puede descargar y
ejecutar archivos de acuerdo con las órdenes de su C&C.
Glupteba
Glupteba es una puerta trasera de Windows conocida desde 2011 que, gradualmente,
se convirtió en un botnet. En 2019, ya incluía un mecanismo de actualización de
dirección de C&C a través de listas públicas de bitcoins, un interceptor de navegador
incorporado y un aprovechador de enrutador.
GuLoader
GuLoader es un descargador que se informó por primera vez en 2019. Desde entonces,
se utilizó para distribuir diversos malware, incluidos Lokibot, NanoCore, Formbook,
Azorult, Remcos y muchos más.

CAPÍTULO 9
HermeticRansom
A principios de 2022, el malware HermeticRansom se utilizó para distraer a
las víctimas, mientras que HermeticWiper lanzaba ataques contra diversas
organizaciones en Ucrania. Estos ataques dejaron inoperables los dispositivos y,
como tales, fueron de naturaleza destructiva, y no existía una motivación financiera
de fondo.
HermeticWiper
HermeticWiper es un malware destructivo que se informó por primera vez en enero
de 2022 y se utilizó para atacar a organizaciones en Ucrania. El malware forma
parte de una serie de malware de eliminación dirigido a organizaciones ucranianas
durante la guerra Rusia-Ucrania y tiene similitudes con WhisperGate
Hiddad
Es un malware para Android que reempaqueta aplicaciones legítimas y, a
continuación, las libera en tiendas de terceros. Su función principal es mostrar
anuncios, pero también puede obtener acceso a datos de seguridad clave integrados
en el SO.
Hive
El ransomware Hive surgió en junio de 2021 y utiliza múltiples mecanismos para
comprometer las redes comerciales, como los correos electrónicos de phishing con
archivos adjuntos maliciosos para obtener acceso y el protocolo de escritorio remoto
(RDP), para moverse lateralmente una vez en la red. Hive implica tanto el cifrado como
la exfiltración de datos y opera un “sitio de fuga” en TOR.
Hydra
Hydra en un troyano bancario para Android descubierto en 2019 que se distribuía a
través de aplicaciones infectadas en Google Play Store.
IcedID
IcedID es un troyano bancario que apareció por primera vez en septiembre de 2017.
Se propaga mediante campañas de spam y a menudo utiliza otros malware, como
Emotet, para ayudar a su propagación. IcedID utiliza técnicas evasivas, como la
inyección de procesos y la esteganografía, y roba datos financieros del usuario a
través de ataques de redireccionamiento (instala un proxy local para redirigir a los
usuarios a sitios clonados falsos) y ataques de inyección web.
Joker
Joker, un malware de dispositivos móviles para Android se conoce desde 2017, es
un interceptor capaz de acceder a mensajes SMS, listas de contactos e información
de dispositivos. Joker genera ingresos principalmente a través de suscripciones no
autorizadas a servicios prémium pagados.

CAPÍTULO 9
Kinsing
Descubierto en 2020, Kinsing es un criptominero Golang con un componente de
rootkit. Originalmente diseñado para vulnerar los sistemas de Linux, Kinsing se
instaló en servidores afectados al abusar de las vulnerabilidades en los servicios
que se conectan a Internet. A fines de 2021, se desarrolló también variante de
malware de Windows, permitiendo que los atacantes aumentaran su superficie
de ataque.
LemonDuck
LemonDuck es un criptominero que fue descubierto por primera vez en 2018 que
se dirige a los sistemas de Windows. Tiene módulos avanzados de propagación,
incluyendo el envío de malspam, la fuerza bruta de RDP y el aprovechamiento
en masa mediante vulnerabilidades conocidas como BlueKeep. Se observó que
recopilaba correos electrónicos y credenciales con el paso del tiempo como así
también enviaba otras familias de malware, como Ramnit.
LockBit
LockBit es un ransomware que opera en un modelo RaaS, y se informó por primera
vez en septiembre de 2019. LockBit tiene como objetivo a grandes empresas y
entidades gubernamentales de varios países, absteniéndose de víctimas rusas u otras
víctimas de la Comunidad de Estados Independientes.
LokiBot
LokiBot es un interceptor de información de consumo para Windows. Recolecta
credenciales desde diversas aplicaciones, navegadores web, clientes de correo
electrónico, herramientas de administración de TI como PuTTY, etc. LokiBot se
vende en foros de hackeo y se cree que su código fuente ha sido filtrado, lo que
permite la aparición de una gran cantidad de variantes. Se identificó por primera vez
en febrero de 2016.
MyloBot
MyloBot es un botnet sofisticado que emergió por primera vez en junio de 2018 y
está equipado con técnicas complejas de evasión que incluyen técnicas anti-VM,
antisandbox y antidepuración. El botnet permite que un atacante tome control total del
sistema del usuario y descargue cualquier carga útil adicional desde su C&C.
NanoCore
NanoCore es un troyano de acceso remoto que fija los usuarios del sistema
operativo Windows como objetivo y se observó por primera vez en la red en 2013.
Todas las versiones de RAT contienen complementos básicos y funcionalidades,
como capturas de pantalla, minería de criptomonedas, control remoto del escritorio
y robo de sesión de cámara web.

CAPÍTULO 9
njRAT
njRAT, también conocido como Bladabindi, es un RAT desarrollado por el grupo
de hackers M38dHhM. Se informó por primera vez en 2012, y se ha utilizado
principalmente contra objetivos en Oriente Medio.
Pegasus
Pegasus es un spyware altamente sofisticado que se dirige a los dispositivos
móviles de Android e iOS, desarrollado por el grupo israelí NSO. El malware se
ofrece para la venta, mayoritariamente para organizaciones y corporaciones
relacionadas con el gobierno. Pegasus puede aprovechar las vulnerabilidades que
permiten una fuga silenciosa del dispositivo e instalan el malware.
Phobos
Phobos es un ransomware detectado por primera vez en diciembre de 2018. Tiene
como objetivos a los sistemas operativos Windows y su vector de ataque a menudo
incluye el aprovechamiento de puertos RDP abiertos o poco protegidos. Phobos tiene
un gran parecido con el ransomware Dharma, tanto en su nota de rescate como
con gran parte de su código. Se cree que han sido desarrollados y utilizados por el
mismo grupo.
Phorpiex
Phorpiex es una botnet que ha estado activa desde 2010 y que, en su auge, llegó a
controlar más de un millón de hosts infectados. Es conocido por distribuir otras
familias de malware a través de campañas de spam, así como también por impulsar
campañas de extorsión sexual y de spam de gran escala.
Ponystealer
PonyStealer es un interceptor de información que se utiliza para robar contraseñas
de una gran cantidad de aplicaciones, incluidas VPN, clientes FTP, programas de
correo electrónico, herramientas de mensajería instantánea y navegadores web.
Qbot
Qbot, también conocido como Qakbot, es un troyano bancario que apareció por
primera vez en 2008. Fue diseñado para robar las credenciales bancarias y las
pulsaciones de teclas de los usuarios. A menudo distribuido por correo electrónico
de spam, Qbot emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para
dificultar el análisis y evadir la detección.
Quantum
Quantum es un ransomware operado en un modelo RaaS. El malware se descubrió
en 2021 y entre sus víctimas se incluyen múltiples entidades de atención médica.
Los investigadores vinculan a Quantoum con exacgentes de Conti.

CAPÍTULO 9
Raccoon
El interceptor Raccoon se observó por primera vez en abril de 2019. Este interceptor
se dirige a los sistemas de Windows y se vende como malware como servicio (MaaS)
en los foros ilegales. Es un interceptor simple capaz de recopilar las cookies
del buscador, el historial, las credenciales de inicio de sesión, las billeteras de
criptomonedas y la información de las tarjetas de crédito.
Ramnit
Ramnit es un troyano bancario modular que se descubrió por primera vez en
2010. Ramnit roba la información de la sesión web y brinda a los operadores la
capacidad de robar las credenciales de las cuentas de todos los servicios utilizados
por la víctima, incluidas cuentas bancarias, corporativas y de redes sociales. El
troyano utiliza dominios con códigos fijos y dominios generados por un algoritmo de
generación de dominio (Domain Generation Algorithm, DGA) para comunicarse con
el servidor de C&C y descargar módulos adicionales.
RansomEXX
RansomEXX es un ransomware operado en un modelo RaaS con variantes de
Windows y Linux. El malware ha estado activo desde 2020 y sus objetivos han sido
principalmente grandes corporaciones.
Raspberry Robin
Raspberry Robin es un malware multipropósito distribuido inicialmente a través de
dispositivos USB infectados con capacidades de gusano.
RedLine Stealer
RedLine Stealer es un interceptor en tendencia que se vio por primera vez en marzo de
2020. Vendido como malware como servicio (MaaS) y, a menudo, distribuido mediante
adjuntos de correo electrónico malicioso, tiene todas las capacidades de un interceptor
moderno: recopilación de información del buscador web (detalles de la tarjeta de
crédito, cookies de la sesión, datos de autocompletar), obtención de billeteras de
criptomoneda, la capacidad de descargar cargas útiles adicionales y más.
Remcos
Remcos es un RAT que apareció por primera vez en línea en 2016. Remcos se
distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a
correos electrónicos SPAM, y está diseñado para evitar la seguridad de control de
cuentas de usuario (User Account Control, UAC) de Microsoft Windows y ejecutar
malware con privilegios de alto nivel.

CAPÍTULO 9
REvil
REvil, también conocido como Sodinokibi, es un ransomware como servicio que
opera un programa de “afiliados” y se detectó por primera vez en 2019. REvil cifra los
datos en el directorio del usuario y elimina las copias de seguridad de instantáneas
con el fin de dificultar la recuperación de los datos. Además, los afiliados de
REvil utilizan varias tácticas para propagarlo a través del aprovechamiento de las
vulnerabilidades de servidores y del spam, además de introducirlo por hackeo en
los sistemas de back-end de los proveedores de servicios administrados (Managed
Service Provider, MSP) y a través de campañas de publicidad maliciosa con
redirección al kit de explotación de RIG.
SharkBot
Sharkbot roba credenciales e información bancaria en dispositivos móviles Android.
Atrae a las víctimas para que ingresen sus credenciales en ventanas que imitan
formularios legítimos de entrada de credenciales. Cuando el usuario introduce sus
credenciales en estas ventanas, los datos capturados se envían a un servidor del
atacante. El malware implementa la función de geodelimitación y excluye o a los
usuarios de China, India, Rumania, Rusia, Ucrania o Bielorrusia. SharkBot incluye
varias técnicas de evasión anti-sandbox.
Snake Keylogger
Snake Keylogger es un registrador de pulsaciones de teclas/interceptor modular
.NET. Surgió alrededor de fines de 2020 y alcanzó rápidamente popularidad entre
los ciberdelincuentes. Snake es capaz de registrar pulsaciones de teclas, tomar
capturas de pantalla, recolectar credenciales y contenido de portapapeles. Admite la
filtración de datos robados tanto por los protocolos de HTTP y SMTP.
Somnia
Somnia es un tipo de ransomware que fue implementado por el grupo FRwL (From
Russia with Love) contra entidades ucranianas en noviembre de 2022. A las víctimas
de Somnia no se les solicitaba que pagaran por el descifrado. En lugar de obtener
ganancias financieras, el objetivo de los atacantes era interrumpir los sistemas.
Stuxnet
Stuxnet es un gusano informático malicioso que se descubrió en 2010 y cuyo objetivo
era interrumpir el programa nuclear iraní. Provocó daños físicos a los equipos
mediante la manipulación de sistemas de control industrial y fue el primer ejemplo
de ciberataques estados nación.
Triada
Triada que se descubrió por primera vez en 2016, es una puerta trasera modular
para Android que otorga privilegios de administrador para descargar otro malware.
Su última versión se distribuye mediante kits de desarrollo de adware en WhatsApp
para Android.

CAPÍTULO 9
TrickBot
TrickBot es un troyano bancario modular, atribuido al grupo delictivo de delito
cibernético WizardSpider. Mayoritariamente enviadas mediante campañas vía spam
y otras familias de malware como Emotet y BazarLoader. TrickBot envía información
sobre el sistema infectado y también puede descargar y ejecutar módulos arbitrarios
de una gran variedad de módulos disponibles, incluidos un módulo VNC para control
remoto y un módulo SMB para propagarse dentro de una red comprometida. Una vez
que una máquina está infectada, los atacantes detrás de este malware utilizan esta
amplia gama de módulos no solo para robar credenciales bancarias de la PC objetivo,
sino también para el movimiento y reconocimiento laterales en la organización objetivo
en sí, antes de implementar un ataque de ransomware dirigido a toda la compañía.
Vidar
Vidar es un interceptor de información que fija los sistemas operativos de Windows
como objetivo. Se detectó por primera vez a fines de 2018 y está diseñado para robar
contraseñas, datos de tarjetas de crédito y otra información confidencial de diversos
navegadores web y billeteras digitales. Vidar se vende en varios foros en línea y se
utiliza como un instalador de malware para descargar el ransomware GandCrab
como su carga útil secundaria.
WannaMine
WannaMine es un sofisticado gusano de criptominería Monero que se propaga
mediante la vulnerabilidad EternalBlue. WannaMine implementa un mecanismo
de propagación y técnicas de persistencia al aprovechar las suscripciones de
eventos permanentes del Instrumental de administración de Windows (Windows
Management Instrumentation, WMI).
Whispergate
WhisperGate es un malware destructivo que se informó por primera vez en enero de
2022 y se utilizó para atacar a organizaciones en Ucrania. El malware forma parte de
una serie de malware de eliminación dirigido a organizaciones ucranianas durante
la guerra Rusia-Ucrania. WhisperGate daña el registro maestro de arranque (Master
Boot Record, MBR) del sistema mientras muestra un mensaje de rescate falso.
XMRig
XMRig es un software de minería de CPU de código abierto utilizado para extraer
la criptomoneda Monero. Los atacantes a menudo hacen mal uso de este software
de código abierto al integrarlo en su malware para realizar minería ilegal en los
dispositivos de las víctimas.
ZeroCleare
ZeroCleare es un malware wiper destructivo que se identificó por primera vez en
diciembre de 2020. Se ha utilizado en ataques dirigidos contra organizaciones en
Oriente Medio y se caracteriza por su capacidad para evadir la detección y borrar
tanto los discos duros como los sistemas de copia de seguridad. Se cree que
ZeroCleare es el fruto del trabajo de un grupo de hackers patrocinado por el estado.

CAPÍTULO 10
CONCLUSIÓN

CAPÍTULO 10
A medida que nos adentramos en un nuevo año, es importante reevaluar

los procesos de ciberseguridad que tiene implementados para garantizar
que resistan las amenazas emergentes que nuestros expertos han
descrito en este informe.
Sin duda, habrá un aumento en los ataques con motivaciones ideológicas

en respuesta a los conflictos geopolíticos, como los que se vislumbran
entre Rusia y Ucrania. Las amenazas conocidas, como el ransomware,
continuarán evolucionando y se aprovecharán nuevas vulnerabilidades,
especialmente dados los enormes avances en la IA generativa; esta
facilita a los agentes maliciosos elaborar cuidadosamente ataques, lo
que conduce a nuevas cepas de modos de ciberataque y vulneraciones.
Los gobiernos de todo el mundo endurecerán las regulaciones en
torno a los delitos cibernéticos para proteger a sus ciudadanos y las
organizaciones tendrán que consolidar y automatizar su infraestructura
de TI y seguridad para sobreponerse a la escasez de habilidades
cibernéticas que, aparentemente, aumentará aún más este año.
Si bien estamos viendo un aumento en los ciberataques en general, dado

el crecimiento de los ciberataques de quinta generación en el último
año, la maduración de las soluciones de defensa cibernética hoy en día
significa que las organizaciones y la sociedad en general puedan adoptar
soluciones que prioricen la prevención para evitar que las amenazas
lleguen a nosotros. Las empresas y los gobiernos están abordando
las amenazas sofisticadas de hoy en día y aumentando su inversión en
estrategias de seguridad, lo que constituye una buena señal a medida
que el mundo enfrenta desafíos aún mayores, con la próxima recesión en
puerta y la esperada evolución de nuevos software maliciosos y prácticas
nefastas. Solo con el tiempo se sabrá cómo continúa este aumento de
ataques en 2023.

2022 108
CONTÁCTENOS
SEDE MUNDIAL
5 Ha’Solelim Street, Tel Aviv 67897, Israel Tel: 972-3-753-4555
SEDE EN EE. UU.
959 Skyway Road, Suite 300, San Carlos, CA 94070 Tel.: 800-429-4391 | 650-628-2000
¿ESTÁ SIENDO ATACADO?
Póngase en contacto con nuestro Equipo de Respuesta ante Incidentes: emergency-response@checkpoint.com
PODCAST DE CHECK POINT RESEARCH

Sintonice cp<radio> para obtener la investigación más reciente de CPR,
además del detrás de escena y otro contenido exclusivo.
Visítenos en https://research.checkpoint.com/category/cpradio/
W W W. C H E C K P O I N T. C O M
© 1994-2023 Check Point Software Technologies Ltd. Todos los derechos reservados.

Informe de Seguridad de Check Point 2023 1701218461

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Informe de Seguridad de Check Point 2023 1701218461

Cargado por

Copyright:

Formatos disponibles

INFORME SOBRE

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 2

07 CAPÍTULO 2: EJE CRONOLÓGICO DE LOS EVENTOS CIBERNÉTICOS CLAVE DE 2022

19 CAPÍTULO 3: TENDENCIAS DE CIBERSEGURIDAD EN 2022

44 CAPÍTULO 4: ANÁLISIS GLOBAL

63 CAPÍTULO 5: VULNER ABILIDADES GLOBALES DE ALTO PERFIL

68 CAPÍTULO 6:PERSPECTIVAS DE L A RESPUESTA ANTE INCIDENTES

75 CAPÍTULO 7: PERSPECTIVAS PAR A LOS DIRECTORES EN SEGURIDAD DE

85 CAPÍTULO 8: L A PRE VENCIÓN ESTÁ AL ALCANCE

97 CAPÍTULO 9: DESCRIPCIONES DE L A FAMILIA DE MALWARE

107 CAPÍTULO 10: CONCLUSIÓN

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 3

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 4

En 1976, la reina Isabel II envió el primer correo electrónico de la realeza. Se envió

Casi 50 años después, el correo electrónico ha evolucionado hasta convertirse

En nuestro Informe de seguridad, analizamos algunas tendencias adicionales

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 5

En los últimos días de 2022, presenciamos un avance drástico en el campo de

Check Point Software se compromete a garantizar que nuestros clientes reciban la

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 6

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 7

Un importante ataque de ransomware ha interrumpido las operaciones de las terminales

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 8

Grupos de ataque patrocinados por el estado sacan provecho de la

Tras un anuncio de OpenSea sobre la planificación de una migración de contratos, Check

BÉLGIC A A LEM A NI A PA ÍSES B A JOS

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 9

Desde principios de abril, la nueva vulnerabilidad Spring4shell (CVE-2022-22965) ha sido

Check Point Research identificó a “ALHACK”, un conjunto de vulnerabilidades en el formato

Check Point Research identificó una vulnerabilidad en la billetera de blockchain Everscale.

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 10

Principio básicos de la seguridad de blockchain

Costa Rica declaró el estado de emergencia tras un devastador ataque de ransomware

Sberbank, una organización rusa de servicios bancarios, ha sido el objetivo de continuos

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 11

De qué forma la evolución del ransomware cambió el panorama de

El Equipo de Respuesta ante Emergencias Informáticas (Computer Emergency Response

El mayor ataque de HTTPS DDoS jamás registrado se ha mitigado recientemente, con

Microsoft ha emitido una solución para abordar la vulnerabilidad crítica de Follina

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 12

Clientes de Check Point entre los primeros en estar protegidos

Filtraciones de datos. ¿Su negocio está protegido?

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 13

La nueva era del hacktivismo: el hacktivismo político

La vulnerabilidad crítica Atlassian Confluence, identificada como CVE-2022-26138, ha sido

Cisco confirma que ha sufrido un ataque del grupo de ransomware Yanluowang. El

El grupo de hackers prorrusos Killnet se dirigió públicamente a Lockheed Martin y convocó a

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 14

Uber ha sufrido una filtración de datos perpetrada, supuestamente, por un hacker de 18

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 15

La información personal de 10 millones de australianos ha sido robada en un ciberataque a

El ransomware Azov al descubierto: No es un skidsware

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 16

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 17

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 18

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 19

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 20

El rol de la ciberguerra se ilustra claramente en este primer

SERGE Y SHYKEVICH conflicto híbrido completamente desarrollado, donde las

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 21

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 22

Los wipers (limpiadores) y otros tipos de malware destructivo

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 23

CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 24