Documentos de Académico
Documentos de Profesional
Documentos de Cultura
microsoft
Defensa Digital
Informe 2022
Iluminando el panorama de
amenazas y potenciando una defensa digital.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
01 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Introducción al informe 02 Irán se vuelve cada vez más agresivo tras la Resiliencia cibernética 86
Contenido transición de poder 46
87
Una visión general de la resiliencia cibernética
El estado del cibercrimen 06 Capacidades cibernéticas de Corea del Norte empleadas
Introducción 88
Los datos, conocimientos y eventos de este informe abarcan para lograr los tres objetivos principales del régimen 49
Una visión general del estado del cibercrimen 07
desde julio de 2021 hasta junio de 2022 (año fiscal de Microsoft Resiliencia cibernética: una base
Introducción 08 Los cibermercenarios amenazan la
2022), a menos que se indique lo contrario. crucial para una sociedad conectada 89
estabilidad del ciberespacio 52
Ransomware y extorsión:
La importancia de modernizar los sistemas
Una amenaza a nivel nacional 09 Hacer operativas las normas de ciberseguridad para
y la arquitectura 90
la paz y la seguridad en el ciberespacio 53
Perspectivas sobre ransomware de La postura de seguridad básica es un factor
14
los respondedores de primera Dispositivos e infraestructura 56 determinante en la eficacia de la solución avanzada 92
Introducción de Tom Burt El 23 de febrero de 2022, el mundo de la ciberseguridad entró Los actores extranjeros también están utilizando técnicas
en una nueva era, la era de la guerra híbrida. muy efectivas para permitir operaciones de influencia
Vicepresidente corporativo, seguridad y confianza del cliente
Ese día, horas antes de que se lanzaran misiles y los tanques propagandística en regiones de todo el mundo, como
“Los billones de señales que analizamos cruzaran las fronteras, los actores rusos lanzaron un se analiza en el tercer capítulo. Por ejemplo, Rusia
ciberataque masivo y destructivo contra objetivos del ha trabajado duro para convencer a sus ciudadanos, y a los
de nuestro ecosistema mundial gobierno, la tecnología y el sector financiero de Ucrania. ciudadanos de muchos otros países, de que su invasión
Puede leer más sobre estos ataques y las lecciones que se de Ucrania estaba justificada, al tiempo que sembraba
amenazas digitales en todo el mundo” seguridad física y lógica contra los ciberataques y permite dispositivos de Internet de las cosas (IoT) o a los dispositivos
avances en inteligencia de amenazas y protección de terminales de control de tecnología operativa (OT) como puntos de
entrada a las redes y la infraestructura crítica, como se
que han demostrado su valor en Ucrania.
analiza en el capítulo cuatro. Finalmente, en el último
capítulo, brindamos los conocimientos y lecciones que
hemos aprendido durante el año pasado al
Si bien cualquier estudio sobre los avances del año en
defendernos de los ataques dirigidos a Microsoft y nuestros
materia de ciberseguridad debe comenzar ahí, el informe de
clientes mientras revisamos los desarrollos del año en
este año ofrece una inmersión profunda en mucho más.
resiliencia cibernética.
En el primer capítulo del informe, nos centramos en las
actividades de los ciberdelincuentes, seguido de las amenazas Cada capítulo proporciona las lecciones clave aprendidas
Una instantánea de nuestro paisaje…
a los estados nacionales en el capítulo dos. Ambos grupos y los conocimientos basados en el punto de vista
han aumentado considerablemente la sofisticación de único de Microsoft. Los billones de señales que analizamos
Alcance y escala del panorama Desmantelamiento Abordar las deacciones.
sus ataques, lo que ha aumentado dramáticamente el impacto de sus nuestro ecosistema mundial de productos y servicios
de amenazas El volumen del cibercrimen vulnerabilidades Mientras Rusia acaparaba los titulares, los actores revelan la ferocidad, el alcance y la escala de las
de ataques a contraseñas ha Hasta la fecha, Microsoft El 93% de nuestros iraníes intensificaron sus ataques tras una transición del amenazas digitales en todo el mundo. Microsoft está
aumentado a eliminó más de 10.000 poder presidencial, lanzando ataques destructivos contra tomando medidas para defender a nuestros clientes y
compromisos de
aproximadamente 921 dominios utilizados por Israel y operaciones de ransomware y piratería y filtración el ecosistema digital contra estas amenazas, y usted
respuesta a incidentes de
ataques por segundo, un ciberdelincuentes y 600 ransomware revelaron dirigidas a infraestructuras críticas en Estados Unidos. puede leer sobre nuestra tecnología que identifica y
aumento del 74 % en solo un año. utilizados por actores China también incrementó sus esfuerzos de espionaje en bloquea miles de millones de intentos de phishing,
controles insuficientes sobre
estatales. el acceso privilegiado y el movimiento lateral. el sudeste asiático y en otras partes del sur global, robos de identidad y otras amenazas a nuestros clientes.
buscando contrarrestar la influencia estadounidense y robar
datos e información críticos.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
Introducción Amenazas Infraestructura Resiliencia equipos
03 Informe de defensa digital de Microsoft 2022 cibercrimen Operaciones
Introducción de Tom Burt El estado del cibercrimen Amenazas del estado nación
Continuado Los ciberdelincuentes siguen actuando como sofisticadas Los actores estatalesnación están lanzando ciberataques
empresas lucrativas. Los atacantes se están adaptando cada vez más sofisticados diseñados para evadir la
También utilizamos medios legales y técnicos para
y encontrando nuevas formas de implementar sus técnicas, detección y promover sus prioridades estratégicas.
confiscar y cerrar la infraestructura utilizada por
lo que aumenta la complejidad de cómo y dónde alojan La llegada del despliegue de armas cibernéticas en la
ciberdelincuentes y actores estatales y notificar a los clientes
la infraestructura de operaciones de campaña. guerra híbrida en Ucrania es el comienzo de una nueva
cuando están siendo amenazados o atacados por un
Al mismo tiempo, los ciberdelincuentes se están volviendo era de conflictos. Rusia también ha apoyado su guerra
actor estatal. Trabajamos para desarrollar características
más frugales. Para reducir sus gastos generales y aumentar con operaciones de influencia de información,
y servicios cada vez más efectivos que utilicen
la apariencia de legitimidad, los atacantes están utilizando propaganda para impactar las opiniones en
tecnología AI/ML para identificar y bloquear
comprometiendo las redes y dispositivos empresariales para Rusia, Ucrania y en todo el mundo. Fuera de Ucrania,
amenazas cibernéticas y que los profesionales de la
albergar campañas de phishing, malware o incluso utilizar los actores estatales han aumentado su actividad y han
seguridad se defiendan e identifiquen las intrusiones
su potencia informática para extraer criptomonedas. comenzado a utilizar avances en automatización,
cibernéticas de manera más rápida y efectiva.
infraestructura de nube y tecnologías de acceso remoto para
Quizás lo más importante es que a lo largo del MDDR Más información en p6
atacar un conjunto más amplio de objetivos. Las cadenas de
ofrecemos nuestros mejores consejos sobre los pasos que suministro de TI corporativas que permiten el acceso a
las personas, organizaciones y empresas pueden objetivos finales fueron atacadas con frecuencia. La higiene
tomar para defenderse contra estas crecientes amenazas digitales. de la ciberseguridad se volvió aún más crítica a
Adoptar buenas prácticas de ciberhigiene es la mejor medida que los actores explotaron rápidamente
defensa y puede reducir significativamente el riesgo de vulnerabilidades sin parches, utilizaron técnicas
ciberataques. sofisticadas y de fuerza bruta para robar Dispositivos e infraestructura
"La llegada del credenciales y ofuscaron sus operaciones mediante el La pandemia, junto con la rápida adopción de dispositivos de
uso de software legítimo o de código abierto. Además, todo tipo con acceso a Internet como componente de la
despliegue de Irán se suma a Rusia en el uso de armas cibernéticas aceleración de la transformación digital, ha aumentado considerablemente
destructivas, incluido el ransomware, como elemento básico de sus
la ataques.
armas cibernéticas
superficie de ataque de nuestro mundo digital. Como resultado,
Estos acontecimientos requieren la adopción urgente de un los ciberdelincuentes y los estados nacionales se están
de una nueva era de conflicto". Más información en p30 establecer un punto de apoyo en una cadena de suministro o
interrumpir las operaciones de OT de la organización objetivo.
Introducción de Tom
Introducción de Tom Burt
Burt
Continuado
Continuado Nuestro punto de vista único
Operaciones de influencia
Operaciones de influencia cibernética
cibernética
Los
sofisticadas
estados operaciones
nacionales utilizan
de influencia
cada vezparamásdistribuir
propaganda
nivel nacionale como
impactar la opinión
a nivel nacionalpública
e tanto a 37 mil millones
internacional.
confianza Estas
a nivel campañas erosionan
internacional. la
Estas campañas
electrónico
amenazas de amenazas
correo de
erosionan
y amenazan la confianza,
la democracia aumentan
. aumentan
la polarización
la
obstruido
correo electrónico bloqueadas
polarización
democráticos. y amenazan
Procesos persistentes
los procesosavanzados
cualificados .avanzados
persistentes Los actorescalificados
manipuladores
están
utilizando
manipuladoreslos medios
están tradicionales
utilizando los Los
medios
actores
tradicionales
para aumentar junto
enormemente
con Internetelyalcance,
las redeslasociales
escala
yellaenorme
eficiencia
impacto
de susquesistemas.
son sus suscampañas,
campañas, y el y
34.700 millones
enorme
ecosistema impacto
de información
que están teniendo
global. tener
en elen el
ecosistema global de la información. amenazas de identidad
El guerra
la año pasado,
híbridavimos estasenoperaciones
de Rusia utilizadas
Ucrania, utilizadas como
como parte
parte dede
la obstruido
43tn
Resiliencia cibernética
guerrayhíbrida
Rusia de Rusia pero
otras naciones, en Ucrania,
Tambiénpero también
hemos vistohemos visto
a Rusia y a
otras
más operaciones
naciones, incluidos
de propaganda
China e impulsadas
Irán , desplegarse
por lascada
redesvez La seguridad es un factor clave para el éxito tecnológico.
sociales
extenderpara
su influencia
extenderglobal
su influencia
en un rango
globalde
encuestiones.
un rango para
de La innovación
mediante la introducción
y la productividad
de medidas
mejorada
de seguridad
sólo pueden
que hagan
lograrse
que
señales sintetizadas
sintetizadas diariamente,
diariamente,
utilizando
utilizando
análisis de
señales
datossofisticadas
sofisticados
cuestiones. las organizaciones
ataques modernos.sean
La pandemia
lo más resilientes
se ha opuesto
posible
a los
contra
ataques
los
y algoritmosdedeIAIApara
algoritmos paracomprender
comprendery proteger
el análisiscontra
de datos
amenazas
y
modernos.
nuestra seguridad,
La pandemia
nos ha
nos
desafiado
ha desafiado
a Microsoft
en Microsoft
a cambiar
a cambiar
nuestras
digitales y proteger
ciberactividad criminal.
contra
ciberactividad
amenazas digitales
delictiva.y
prácticas y tecnologías para
de seguridad
proteger para
a nuestros
proteger
empleados
nuestras
dondequiera que trabajen. El año pasado, los actores
empleados
de amenazas
Más información
Más información en p71
en p71 continuarondurante
expuestas aprovechándose
la pandemia
deylas
el cambio
vulnerabilidades
a un entorno
8.500+
de trabajo híbrido. y el cambio a un entorno de trabajo híbrido.
2.500 millones
ingenieros, investigadores, científicos de datos, expertos
señales de punto final
en ciberseguridad, cazadores de amenazas, analistas
expertos
Desde entonces,
prevalencia y la complejidad
nuestro principal
de varios
desafío
métodos
ha sido
de gestionar
ataque y el
la analizadasdiariamente
analizado diariamente
geopolíticos, investigadores
investigadores y socorristas de
y analistas
primera geopolíticos,
línea en 77 países.
el aumento
aumento dedelosladiversos
actividadmétodos
del estadode ataque
nación.aEn
nivel
este
nacional
capítuloy personal de primera línea en 77 países.
detallamos
desafíos que
la hemos
actividad
enfrentado,
estatal. Eny este
los desafíos
capítulo,de
detallamos
defensa que
los
hemos
en respuesta
enfrentado,
con nuestros
y las defensas
más deque
15,000
hemos
socios.
movilizado
de
15.000 socios.
15.000+
socios en nuestro ecosistema de seguridad que aumentan
son
la resiliencia
aumentar la resiliencia
cibernéticacibernética
de nuestros
declientes.
nuestros clientes. 1 de julio de 2021 al 30 de junio de 2022
Más información en p86
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
Introducción Amenazas Infraestructura Resiliencia equipos
05 Informe de defensa digital de Microsoft 2022 cibercrimen Operaciones
Introducción
Ransomware y extorsión:
07
08
cibercrimen
Una amenaza a nivel nacional 09
El estado del cibercrimen la industrialización de la economía del ciberdelito es el más frecuente, ya que un tercio de credenciales que
reduce la barrera de entrada de habilidades al de los objetivos son comprometidos con éxito apuntan indiscriminadamente a
brindar un mayor acceso a herramientas e por delincuentes que utilizan estos ataques todas las bandejas de entrada
A medida que mejoran las infraestructura. y el 5% de ellos reciben un rescate. están en aumento y el compromiso
defensas cibernéticas y más del correo electrónico empresarial,
Más información en la página 18
organizaciones adoptan un incluido el fraude de facturas,
enfoque proactivo de La amenaza del ransomware y la extorsión 2.500 plantea un importante riesgo de
cibercrimen para las empresas.
prevención, los atacantes adaptan sus setécnicas.
está volviendo más audaz con
1
Negro
Al mismo tiempo, los ciberdelincuentes se están volviendo Asunto
REVOLVER
más frugales. Para reducir sus gastos generales y Para alterar las
aumentar la apariencia de legitimidad, los atacantes infraestructuras
están comprometiendo las redes y dispositivos maliciosas de los
empresariales para albergar campañas de phishing, Obtenga más información en p9
ciberdelincuentes y
malware o incluso utilizar su potencia informática para extraer criptomonedas. los actores estatales,
La defensa más
Microsoft confía
eficaz contra en enfoques legales
El ransomware
innovadores y en
Obtenga más información en p9 incluye autenticación 2022
nuestras asociaciones públicas y privadas.
multifactor, parches de Preransomware Secuestro de datos
El cibercrimen sigue A medida que mejoran las defensas En este capítulo, también examinamos el aumento
Introducción cibernéticas y más gobiernos y empresas adoptan un del hacktivismo, una perturbación causada por
aumentando, con aumentos enfoque proactivo para la prevención, vemos a los ciudadanos privados que realizan ciberataques para
tanto de los ataques atacantes utilizar dos estrategias para obtener el acceso promover objetivos sociales o políticos. Miles de personas
necesario para facilitar el delito cibernético. Un enfoque en todo el mundo, tanto expertos como novatos, se han
aleatorios como de los dirigidos. es una campaña con objetivos amplios que se base en movilizado desde febrero de 2022 para lanzar ataques
el volumen. El otro utiliza la vigilancia y una focalización como desactivar sitios web y filtrar datos robados como
más selectiva para aumentar la tasa de rendimiento. Incluso parte de la guerra entre Rusia y Ucrania. Es demasiado
cuando el objetivo no es la generación de ingresos (como pronto para predecir si esta tendencia continuará después
la actividad de un Estado nación con fines geopolíticos), del fin de las hostilidades activas.
se utilizan tanto ataques aleatorios como dirigidos. El año
Las organizaciones deben revisar y fortalecer
pasado, los ciberdelincuentes continuaron confiando en la
periódicamente los controles de acceso e implementar
ingeniería social y la explotación de temas de actualidad
estrategias de seguridad para defenderse de
para maximizar el éxito de las campañas.
los ciberataques. Sin embargo, eso no es todo lo
Por ejemplo, si bien los señuelos de phishing con temática
que pueden hacer. Explicamos cómo nuestra Unidad
de COVID se utilizaron con menos frecuencia, observamos
de Delitos Digitales (DCU) ha utilizado casos civiles para
que aumentaron los señuelos que solicitaban
apoderarse de infraestructura maliciosa utilizada por
donaciones para apoyar a los ciudadanos de Ucrania.
ciberdelincuentes y actores estatales. Debemos luchar
Los atacantes se están adaptando y encontrando juntos contra esta amenaza a través de asociaciones públicas y privada
nuevas formas de implementar sus técnicas, lo que Esperamos que al compartir lo que hemos aprendido
aumenta la complejidad de cómo y dónde alojan la durante los últimos 10 años, ayudemos a otros a
infraestructura de operaciones de campaña. Hemos comprender y considerar las medidas proactivas que pueden
observado que los ciberdelincuentes se vuelven tomar para protegerse a sí mismos y al ecosistema en
más frugales y los atacantes ya no pagan por la general contra la amenaza cada vez mayor del
tecnología. Para reducir sus gastos generales y aumentar delito cibernético.
la apariencia de legitimidad, algunos atacantes buscan
Amy Hogan
cada vez más comprometer a las empresas para que
Gerente General, Unidad de Delitos Digitales
alberguen campañas de phishing, malware o incluso
utilicen su potencia informática para extraer criptomonedas.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
09 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
peligro mayor para todas las personas, ya reducir la barrera de entrada de sus habilidades.
aprovechan un creciente ecosistema cibercriminal. distribuiría una carga útil de ransomware al modelo de ransomware como servicio,
quienes ejecutan el ataque de ransomware
ransomware como servicio (RaaS). RaaS permite a un grupo
gestionar el desarrollo de la carga útil del ransomware y
En los últimos dos años, los incidentes de ransomware de alto perfil, actividad Los afiliados de
proporcionar servicios de pago y extorsión mediante la filtración
como los que involucran infraestructura crítica, atención asociada con conocidos RaaS priorizan los objetivos
de datos a otros ciberdelincuentes (los que realmente lanzan los
médica y proveedores de servicios de TI, han atraído 60encuentro
atacantes de ransomware según el impacto previsto
ataques de ransomware). o el beneficio percibido
considerable atención pública. A medida que los ataques de
ransomware se han vuelto más audaces en alcance, sus efectos
denominados “afiliados” para obtener una parte de las ganancias. Los atacantes aprovechan
se han vuelto más amplios. Los siguientes son ejemplos de
Esta franquicia de la economía del cibercrimen ha ampliado el cualquier debilidad de seguridad
ataques que ya hemos visto en 2022:
grupo de atacantes. La industrialización de las herramientas 20 son exitosos
comprometida que encuentren en la red, por
lo que los ataques varían
cibercriminales ha facilitado que los atacantes realicen
• En febrero, un ataque a dos empresas afectó a los sistemas intrusiones, extraigan datos e implementen ransomware.
1
de procesamiento de pagos de cientos de es víctima La carga útil del ransomware
gasolineras en el norte de Alemania.1 de un éxito es la culminación de una
El ransomware operado por humanos5, un término acuñado por cadena de actividad maliciosa
evento ransomware
investigadores de Microsoft para describir las amenazas
• En marzo, un ataque contra Grecia
impulsadas por humanos que toman decisiones en cada etapa de
El servicio postal interrumpió temporalmente la entrega
los ataques en función de lo que descubren en la red de su objetivo
de correo y afectó el procesamiento de las transacciones
y delimitan la amenaza de los ataques de ransomware básico, sigue
financieras.2
siendo una amenaza importante para las organizaciones.
• A finales de mayo, un ataque de ransomware contra
agencias gubernamentales de Costa Rica obligó a
declarar una emergencia nacional después de que se Modelo basado en datos de Microsoft Defender for Endpoint (EDR) (enerojunio de 2022).
cerraron hospitales y se interrumpieron las aduanas y
la recaudación de impuestos.3
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
10 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
RaaS evoluciona el ecosistema de ransomware y dificulta Dicho de otra manera, ya no asumimos que el
Estudio de caso: La disolución de Conti Nuestros equipos de inteligencia de amenazas de la atribución desarrollador de HIVE sea el operador detrás de un ataque
Microsoft rastrean a los actores de amenazas de de ransomware HIVE; es más probable que sea un
Conti, una de las principales variantes de ransomware Debido a que el ransomware operado por humanos es impulsado
ransomware como grupos individuales (etiquetados como afiliado.
de los últimos dos años, comenzó a cerrar sus por operadores individuales, los patrones de ataque varían
DEV) en función de sus herramientas específicas, en
operaciones a mediados de 2022, y el Centro de según el objetivo y se alternan durante la duración del ataque. En
lugar de rastrearlos por el malware que utilizan. Esto La industria de la ciberseguridad ha luchado por capturar
inteligencia de amenazas de Microsoft (MSTIC) observó el pasado, observamos una estrecha relación entre el vector adecuadamente esta delimitación entre desarrolladores y
significó que cuando los afiliados de Conti se
una disminución significativa de la actividad a finales de de entrada inicial, las herramientas y las opciones de carga operadores. La industria todavía informa a menudo un incidente
dispersaron, pudimos continuar rastreando a estos DEV
marzo y principios de abril. Observamos las últimas útil de ransomware en cada campaña de una única cepa de de ransomware por el nombre de su carga útil, dando la falsa
mediante el uso de otras
implementaciones de ransomware Conti a mediados de abril. ransomware. impresión de que una sola entidad, o banda de ransomware,
Sin embargo, al igual que el cierre de otras herramientas o kits RaaS. Por ejemplo: • DEV0230, que está afiliado
Estoafacilitó
Trickbot,
la atribución. El modelo de afiliados de RaaS, sin está detrás de todos los ataques que utilizan esa carga útil de
operaciones de ransomware, la disolución de Conti no había sido un prolífico usuario de Conti. A finales de embargo, desvincula esta relación. ransomware en particular, y que todos los incidentes asociados
tuvo un impacto significativo en las implementaciones abril, MSTIC lo observó utilizando QuantumLocker. Como resultado, Microsoft rastrea a los afiliados de con ella comparten técnicas e infraestructura comunes. Para
de ransomware, ya que MSTIC observó que los afiliados de • DEV0237 pasó del kit de ransomware de Conti a HIVE ransomware que implementan cargas útiles en ataques apoyar a los defensores de la red, es importante
Conti giraban para implementar otras cargas útiles de específicos, en lugar de rastrear a los desarrolladores de
y Nokoyawa, incluido el uso de HIVE en el ataque aprender más sobre las etapas que preceden a los ataques de
ransomware, incluidas BlackBasta, Lockbit 2.0, cargas útiles de ransomware como operadores.
del 31 de mayo contra agencias gubernamentales los diferentes afiliados (como la exfiltración de datos y mecanismos
LockbitBlack y HIVE. Esto es consistente con datos de persistencia adicionales) y las oportunidades de detección y
de Costa Rica.
de años anteriores y sugiere que cuando las protección que podrían existir.
• Se observó que DEV0506, otro prolífico usuario
bandas de ransomware se desconectan, reaparecen
meses después o redistribuyen sus capacidades del kit de ransomware Conti, utilizaba
BlackBasta.
técnicas y recursos a nuevos grupos.
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic Ene Feb Mar Abr May Jun
exitosa de ransomware operada por
Después de cerrar un programa RaaS como Conti, el afiliado de ransomware cambia a otro (Hive) humanos en toda una organización depende
casi de inmediato.
del acceso a una cuenta altamente privilegiada.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
13 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
operados por humanos clasificar en la fase previa al ransomware y la fase de en la mentalidad de una organización para centrarse en la Los atacantes de ransomware están motivados por
implementación del ransomware. protección integral necesaria para ralentizar y detener a los atacantes obtener ganancias fáciles, por lo que aumentar sus
Durante el año pasado, los expertos Durante la fase previa al ransomware, los atacantes se preparan antes de que puedan pasar de la fase previa al ransomware costos mediante el refuerzo de la seguridad es clave para
en ransomware de Microsoft llevaron a cabo para infiltrarse en la red aprendiendo sobre la tipología y la a la fase de implementación del ransomware. alterar la economía cibercriminal.
investigaciones profundas en más de 100 infraestructura de seguridad de la organización.
1 Construya higiene de credenciales. Más que malware, los
incidentes de ransomware operados por humanos Las empresas deben aplicar las mejores prácticas de seguridad atacantes necesitan credenciales para tener éxito en
para rastrear las técnicas de los atacantes y de manera consistente y agresiva a sus redes, con el objetivo de sus operaciones. La infección exitosa de ransomware
comprender cómo proteger mejor a nuestros clientes. Detenga a los atacantes antes de ¡Despliegue!
mitigar tipos de ataques. operada por humanos en toda una organización depende
que lleguen a la fase de implementación
Debido a la toma de decisiones humana, estos ataques de del acceso a una cuenta con privilegios elevados, como la
del ransomware
Es importante tener en cuenta que el análisis que ransomware pueden generar múltiples alertas de productos de administrador de dominio, o de la capacidad de editar
compartimos aquí solo es posible para dispositivos de seguridad aparentemente dispares que pueden perderse fácilmente una política de grupo.
Preransomware Secuestro de datos
integrados y administrados. Los dispositivos no integrados y no o no responder a tiempo.
2 Exposición de credenciales de auditoría.
administrados representan la parte menos segura de los La fatiga de las alertas es real y los centros de operaciones
activos de hardware de una organización. Esta fase puede variar desde unos pocos Esta fase de seguridad (SOC) pueden hacerles la vida más fácil 3 Priorice la implementación de actualizaciones
días hasta varias semanas o meses, puede durar observando las tendencias en sus alertas o agrupándolas en incidentes de Active Directory.
aunque se ha ido acortando en los últimos sólo unos minutos. para poder ver el panorama más amplio.
4 Priorice el endurecimiento de la nube.
dos años. Luego, los SOC pueden mitigar las alertas utilizando capacidades
Técnicas de fase de ransomware más de refuerzo, como reglas de reducción de la superficie de ataque.
5 Reducir la superficie de ataque.
frecuentes: Los atacantes apuntan La protección contra amenazas comunes no sólo puede
Los atacantes se preparan para
reducir el volumen de alertas, sino también detener a muchos 6 Fortalezca los activos conectados a Internet y
75%
infiltrarse en la red aprendiendo todo lo para cifrar tantos
posible sobre la topología y la datos como sea posible atacantes antes de que obtengan acceso a las redes. comprenda su perímetro.
infraestructura de seguridad. posible.
Utilice herramientas de administración. 7 Reduzca la fatiga de las alertas de SOC fortaleciendo su red para
Los atacantes también pueden
extraer datos en esta fase.
Las organizaciones deben reducir el volumen y preservar el ancho de banda para
Utilice una cuenta de usuario comprometida elevada higiene de la red para protegerse RaaS: Comprender la economía del cibercrimen y cómo
adquirida para difundir cargas útiles maliciosas
a través del protocolo SMB. de los ataques de protegerse |
99%
Ataques de ransomware operados por humanos:
Nuestras investigaciones encontraron que la mayoría de los
Un desastre evitable | microsoft
actores detrás de los ataques de ransomware operados por
Blog de seguridad
Intente alterar los productos de seguridad y respaldo
humanos aprovechan debilidades de seguridad similares y
descubiertos utilizando herramientas integradas en
el sistema operativo. comparten patrones y técnicas de ataque comunes.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
14 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Información sobre ransomware Compromisos de recuperación e incidentes Resumen de los hallazgos más comunes en las interacciones de respuesta al ransomware
de ransomware por industria
de los socorristas de 93%
TI 4% Manufactura 28%
87% 86%
primera línea
Salud 20%
Las organizaciones de todo el mundo 74% 74%
experimentaron un crecimiento constante en los
ataques de ransomware operados por humanos a partir de 2019. sesenta y cinco%
Energía 8% 62%
Sin embargo, las operaciones policiales y los
acontecimientos geopolíticos del último año
tuvieron un impacto significativo en las
Finanzas 8%
organizaciones cibercriminales. Comercio minorista de consumo 16%
iu
cra
sendozaied ega
a
rrud em
jpaOd
b
s
basados en las interacciones con ransomware durante el año pasado.
fáciles de usar. Esto permite una mayor flexibilidad a la hora
dsaadciritucgaerd
p
s
de lanzar ataques generalizados contra un mayor
ce
nóiclo rttnoeorp
dc
lerdd
pi
efnF
di
roddaedeitvnoe
nóicamartola
ircurgaem
ds
número de objetivos.
so
dad
Ci
nson
nóicacilpA
nóicaaruruggife
Las siguientes páginas brindan una visión más profunda de los
factores que contribuyen con mayor frecuencia a una protección
nóicpodA
oseccA
tuuim
nóircoatciatnfietln S
a
débil contra el ransomware, agrupados en tres categorías de
in
coleairiflrtvue trm
io
vose nd
apycli
93%
iilm
soetstnnsoeeig
hallazgos:
84%
organizaciones luchan por implementar una
60%
Parcheo:
44%
limitada para detectar amenazas de un extremo a otro y
de gestión de vulnerabilidades y parches, y una alta dependencia
operaciones de seguridad ineficientes. La automatización sigue
de los procesos manuales frente a los parches automatizados
siendo una brecha clave en las herramientas y procesos de SOC,
generó aperturas críticas. La fabricación y la infraestructura de las organizaciones no tenían copias de seguridad
lo que obliga al personal de SOC a pasar innumerables horas
crítica continúan teniendo dificultades con el mantenimiento y la inmutables para los sistemas afectados. Los datos también
dando sentido a la telemetría de seguridad.
aplicación de parches a los sistemas de tecnología muestran que los administradores no tenían copias de seguridad ni
operativa (OT) heredados. planes de recuperación para activos críticos como AD.
Una interpretación de esta observación es que los Si bien las actividades policiales probablemente redujeron la
El ransomware disminuyó en ciberdelincuentes se alejaron de áreas que se frecuencia de los ataques en 2022, los actores de amenazas bien
Información procesable
consideraban de mayor riesgo de desencadenar el escrutinio podrían desarrollar nuevas estrategias para evitar ser descubiertos en
algunas regiones y aumentó en otras de las autoridades en favor de objetivos más débiles. Dado el futuro. Además, la tensión entre Rusia y Estados Unidos por la
1 Centrarse en estrategias de seguridad integrales, como todos
de las familias de ransomware aprovechan las mismas
invasión rusa de Ucrania parece haber puesto fin a la
Este año observamos una caída en el que Microsoft no observó una mejora sustancial en la debilidades de seguridad para afectar una red.
número total de casos de ransomware seguridad de la red empresarial en todo el mundo para explicar la incipiente cooperación de Rusia en la lucha global contra el
disminución de las llamadas de soporte relacionadas con ransomware. Después de un breve período de incertidumbre
reportados a nuestros equipos de respuesta 2 Actualizar y mantener los conceptos básicos de seguridad
ransomware, creemos que la causa más probable es una tras los arrestos de REvil, Estados Unidos y Rusia cesaron la
en Norteamérica y Europa en comparación para aumentar el nivel de protección base de
combinación de actividad policial en 2021 y 2022 que aumentó cooperación para perseguir a los actores del ransomware, lo que
con el año anterior. Al mismo tiempo, defensa en profundidad y modernizar las operaciones
el costo de la actividad delictiva, junto con con algunos significa que los ciberdelincuentes podrían ver a Rusia como un refugio
aumentaron los casos reportados en América Latina.
acontecimientos geopolíticos de 2022. seguro una vez más. de seguridad. Migrar a la nube le permite detectar
amenazas más rápidamente y responder más rápido.
Una de las operaciones RaaS más frecuentes pertenece a un De cara al futuro, predecimos que el ritmo de las
Enlaces a más información
grupo criminal de habla rusa conocido como REvil (también actividades de ransomware dependerá del resultado de
conocido como Sodinokibi) que ha estado activo desde 2019. En algunas preguntas clave:
Proteja su organización del ransomware |
octubre de 2021, los servidores de REvil se desconectaron
1. ¿Tomarán los gobiernos medidas para prevenir Seguridad de Microsoft
como parte de la Operación GoldDust de aplicación de la ley
¿Los delincuentes de ransomware operan dentro de sus
internacional. 7 En enero de 2022, Rusia arrestó a 14 presuntos 7 formas de proteger su entorno contra el
fronteras o buscan perturbar a los actores que operan
miembros de REvil y allanó 25 ubicaciones asociadas con ellos.8 compromiso | microsoft
desde suelo extranjero?
Esta fue la primera vez que Rusia actuó contra los operadores de Blog de seguridad
ransomware en su territorio. 2. ¿Los grupos de ransomware cambiarán de táctica para
¿eliminar la necesidad de ransomware y recurrir a ataques de Mejora de las defensas basadas en inteligencia artificial
para frenar el ransomware operado por humanos | microsoft
estilo extorsión?
Equipo de investigación de 365 defensores
3. ¿Podrán las organizaciones modernizar y transformar sus
Si bien las actividades operaciones de TI más rápido de lo que los delincuentes Security Insider: explore los últimos conocimientos
pueden aprovechar las vulnerabilidades? y actualizaciones sobre ciberseguridad |
policiales probablemente 4. ¿Los avances en el seguimiento y rastreo de los pagos de
Seguridad de Microsoft
Los ciberdelincuentes ahora colaboran en diferentes zonas procesar facturación, como CFO o “Cuentas por cobrar”. Configure RDP, SSH y cPanels con herramientas y
El cibercrimen horarias e idiomas para lograr resultados específicos. De manera similar, las industrias que participan en la scripts adecuados para facilitar varios tipos de
Continuado
Los servicios de cibercrimen de extremo a extremo venden
suscripciones a servicios gestionados.
Los vendedores de CaaS ofrecen cada
vez más credenciales comprometidas para la compra. Normalmente, cada paso en la comisión de un delito
en línea puede exponer a los actores de amenazas si Los atacantes
Las credenciales comprometidas permiten el acceso no
la seguridad operativa es deficiente. El riesgo de pretenden cifrar
autorizado a cuentas de usuario, incluido el servicio Seleccione tantos datos como Pague al
direcciones de
1 2 3
exposición e identificación aumenta si los servicios se compran correo electrónico para comerciante
de mensajería de correo electrónico, recursos para una plantilla/
en múltiples sitios CaaS. posibles recibir
compartir archivos corporativos y OneDrive for Business. diseño de sitio de PhaaS en criptomonedas.
DCU observó una tendencia preocupante en la web oscura phishing entre los credenciales
Si las credenciales del administrador se ven comprometidas,
por la cual hay un aumento en los servicios que ofrecen cientos ofrecidos. obtenidas de víctimas de phishing.
los usuarios no autorizados podrían obtener acceso
anonimizar el código de software y generalizar el texto
a archivos confidenciales, recursos de Azure y
del sitio web para reducir la exposición. Los proveedores de
cuentas de usuarios de la empresa. En muchos casos,
servicios de suscripción de cibercrimen de extremo a extremo
las investigaciones de la DCU identificaron el uso no autorizado
gestionan todos los servicios y garantizan resultados que reducen
de la misma credencial en varios servidores como medio para
aún más los riesgos de exposición para el OCN suscriptor. La
automatizar la verificación de credenciales. reducción del riesgo ha aumentado la popularidad de Una vez que se completan estos pasos, el comerciante de PhaaS crea servicios con tres o cuatro capas de recursos de redireccionamiento
Este patrón sugiere que el usuario comprometido podría ser y alojamiento para dirigirse a usuarios específicos. Posteriormente se lanza la campaña y las credenciales de la víctima se recopilan,
estos servicios de extremo a extremo.
víctima de múltiples ataques de phishing o tener malware en el verifican y envían a la dirección de correo electrónico proporcionada por el comprador. Por una prima, muchos comerciantes de
dispositivo que permita a los registradores de teclas de botnet El phishing como servicio (PhaaS) es un ejemplo de un PhaaS ofrecen alojar sitios de phishing en la cadena de bloques pública para que puedan acceder a ellos desde cualquier navegador y
recopilar credenciales. servicio de cibercrimen de extremo a extremo. PhaaS es una las redirecciones puedan dirigir a los usuarios a un recurso en el libro mayor distribuido.
evolución de servicios anteriores conocidos como servicios
totalmente indetectables (FUD) y se ofrece mediante suscripción.
Están surgiendo servicios y productos CaaS con funciones
Los términos típicos de PhaaS incluyen mantener activos los
mejoradas para evitar la detección. apoyo. El servicio de suscripción DDoS ofrece diferentes El trabajo de DCU para desarrollar herramientas y técnicas
sitios web de phishing durante un mes.
arquitecturas y métodos de ataque, por lo que el comprador que identifiquen y desbaraten a los ciberdelincuentes de CaaS
Un vendedor de CaaS ofrece kits de phishing con DCU también identificó a un comerciante de CaaS que simplemente selecciona un recurso para atacar y el vendedor está en curso. La evolución de los servicios CaaS presenta
mayores niveles de complejidad y funciones de anonimización ofrece denegación de servicio distribuida (DDoS) en proporciona acceso a una serie de dispositivos desafíos importantes, particularmente en lo que respecta a la
diseñados para eludir los sistemas de detección y prevención un modelo de suscripción. Este modelo subcontrata al comprometidos en su botnet para realizar el ataque. El costo de interrupción de los pagos con criptomonedas.
por tan solo 6 dólares al día. El servicio ofrece una serie de comerciante CaaS la creación y mantenimiento de la botnet
la suscripción DDoS es de apenas $500 USD.
redirecciones que realizan comprobaciones antes de permitir necesaria para realizar ataques. Cada cliente de
el tráfico a la siguiente capa o sitio. Uno de ellos realiza más de 90 suscripción DDoS recibe un servicio cifrado para mejorar la
comprobaciones para tomar huellas dactilares del dispositivo, seguridad operativa y un año de servicio 24 horas al
incluso si día, 7 días a la semana.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
20 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
senolliM
400
electrónico malicioso) y nuevamente M365D para correlación
datos confidenciales de la empresa accediendo a archivos de 300
entre productos).
SharePoint y continuar la propagación de phishing enviando
200
correos electrónicos maliciosos adicionales utilizando
100
Outlook, entre otras cosas. otras acciones.
0
Además de las campañas con objetivos más amplios, el
phishing para obtener credenciales, donaciones e información
oiluj
e0n2
e e
d
oinuj
ee2
df
c2o
d
o2r2
2r2b0
b2a
d
erb1u2t0
e
e2
d
s
ei2
d
p0
emd
2
ir0
e
erbm1e2ic0
ore
erbme1it2
o2n
d
zr2a0
2l2
g2
a
d
v0e
o2y2a0m
2
o2
erbme1i2
s2
ot1 o0
e
personal, los atacantes se dirigen a empresas selectivas
para obtener mayores pagos. Los ataques de phishing por
seliM
credenciales, pero un parámetro en la URL contendrá la dirección
con el objetivo de aprovechar el cambiante entorno laboral. Los 200 de correo electrónico del destinatario específico. Una vez que el
operadores de phishing adoptan rápidamente nuevas plantillas objetivo navega a la página, el kit de phishing completará
de correo electrónico utilizando señuelos alineados con los 100 previamente los datos de inicio de sesión del usuario y un
principales eventos mundiales, como la pandemia de COVID19, logotipo corporativo personalizado para el destinatario del correo
0
y temas vinculados a herramientas de colaboración y electrónico, reflejando la apariencia de la página de inicio de sesión
productividad como Google Drive o OneDrive para compartir personalizada de Microsoft 365 de la empresa objetivo.
oiluj
e0n2
e e
d
oinuj
ee2
df
ec2
o
d
o2r2
b2a
d
e2ds
2r2b0
erb1u2t0
ei2
d
erbme1it2p0
emd
2
ir0
e
erbm1e2ic0
o2n
d
zr2a0
ore
2l2
g2a
d
erbme1i2v0
e
o2y2a0m
2
o0e
o2
ot1s2
archivos.
Si bien los temas de COVID19 han disminuido, la guerra en
Ucrania se convirtió en un nuevo atractivo a partir de principios El total de correos electrónicos detectados como phishing que contenían direcciones de billetera Ethereum aumentó al comienzo del conflicto
de marzo de 2022. Nuestros investigadores observaron un entre Ucrania y Rusia y disminuyó después del impulso inicial. Página de phishing que se hace pasar por un inicio de sesión de
aumento asombroso de correos electrónicos que se hacían Microsoft con contenido dinámico
pasar por organizaciones legítimas que solicitaban donaciones de Más que nunca, los phishers dependen de infraestructura legítima para Las grandes operaciones de phishing tienden a utilizar
criptomonedas en Bitcoin y Ethereum, supuestamente para apoyar operar, lo que genera un aumento de campañas de phishing servicios en la nube y máquinas virtuales (VM) en la nube para
a los ciudadanos ucranianos. destinadas a comprometer diversos aspectos de una operación poner en práctica ataques a gran escala. Los atacantes pueden
Solo unos días después del inicio de la guerra en Ucrania a para que no tengan que comprar, alojar u operar la suya automatizar completamente el proceso de implementación y
fines de febrero de 2022, la cantidad de correos electrónicos propia. Por ejemplo, los correos electrónicos maliciosos pueden entrega de correos electrónicos desde máquinas virtuales
de phishing detectados que contenían direcciones de provenir de cuentas de remitentes comprometidas. utilizando retransmisiones de correo electrónico SMTP o
Ethereum entre clientes empresariales aumentó infraestructura de correo electrónico en la nube para beneficiarse
dramáticamente. Los atacantes se benefician del uso de estas direcciones de las altas tasas de entrega y la reputación positiva de estos servicios legítimos.
El total de encuentros alcanzó su punto máximo en la primera de correo electrónico que tienen una puntuación de reputación más Si se permite el envío de correo electrónico malicioso a través de
semana de marzo, cuando medio millón de correos alta y se consideran más confiables que las cuentas y dominios estos servicios en la nube, los defensores deben confiar en
electrónicos de phishing contenían una dirección de billetera recién creados. En algunas campañas de phishing más avanzadas, sólidas capacidades de filtrado de correo electrónico para impedir que
Ethereum. Antes del comienzo de la guerra, la cantidad de observamos que los atacantes prefieren enviar y falsificar desde los correos electrónicos ingresen a su entorno.
direcciones de billetera Ethereum en otros correos electrónicos dominios que tienen DMARC19 configurado incorrectamente
detectadas como phishing era significativamente menor, con un con una política de "no acción", abriendo la puerta a la suplantación
promedio de unos pocos miles de correos electrónicos por día. de correo electrónico.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
23 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Tendencias BEC
Enfoque en el compromiso del Información procesable
Como punto de entrada, los atacantes de BEC normalmente
Defensa contra el phishing
correo electrónico empresarial intentan iniciar una conversación con víctimas potenciales para
establecer una buena relación. Haciéndose pasar por un Para reducir la exposición de su organización al phishing, se recomienda a los administradores de
Los ciberdelincuentes están colega o un conocido de negocios, el atacante poco a poco lleva la TI implementar las siguientes políticas y características:
desarrollando esquemas y técnicas cada conversación hacia una transferencia monetaria. El correo electrónico
vez más complejos para burlar las de presentación, que rastreamos como señuelo BEC, representa 1 Requerir el uso de MFA en todas las cuentas para limitar el acceso 6 Habilite funciones de protección contra
no autorizado.
configuraciones de seguridad y atacar a cerca del 80 por ciento de los correos electrónicos BEC detectados. suplantación de identidad y suplantación de identidad
individuos, empresas y organizaciones. En Otras tendencias identificadas por los investigadores de seguridad de
2 Habilite funciones de acceso condicional para cuentas con
en toda su organización.
respuesta, estamos invirtiendo Microsoft durante el año pasado incluyen: • Las técnicas utilizadas con
privilegios elevados para bloquear el acceso desde 7 Configure las políticas de acción de Correo identificado con
importantes recursos para mejorar más frecuencia en los ataques
países, regiones e IP que normalmente no generan claves de dominio (DKIM) y Cumplimiento e informe
aún más nuestro programa de aplicación de la BEC. BEC observados en 2022 fueron la suplantación de identidad21 tráfico en su organización. de autenticación de mensajes basados en dominio (DMARC)
para evitar la entrega de correos electrónicos no
y suplantación de identidad.22 autenticados que podrían estar suplantando a remitentes
BEC es el delito cibernético financiero más costoso, con un 3 Considere el uso de llaves de seguridad físicas para
• El subtipo BEC que causa la mayor parte de los acreditados.
estimado de $2.4 mil millones de dólares en pérdidas ejecutivos, empleados involucrados en actividades de
ajustadas en 2021, lo que representa más del 59 por ciento El daño a las víctimas fue fraude de facturas (basado en el volumen pago o compra y otras cuentas privilegiadas. 8 Audite las reglas de permiso creadas por inquilinos y
de las cinco principales pérdidas por delitos en Internet a y los montos en dólares solicitados observados en nuestras usuarios y elimine excepciones amplias basadas en
nivel mundial.20 Para comprender el alcance del problema y investigaciones de campaña de BEC). • Robo de dominios e IP. Estas reglas suelen tener prioridad y
4 Imponer el uso de navegadores que admitan servicios como
la mejor manera de proteger a los usuarios contra BEC, información empresarial, como cuentas. pueden permitir correos electrónicos maliciosos
Microsoft SmartScreen para analizar las URL en busca de
Los investigadores de seguridad de Microsoft han estado Los informes de pagos y los contactos con los clientes permiten a los conocidos mediante el filtrado de correo electrónico.
comportamientos sospechosos y bloquear el acceso a sitios
rastreando los temas más comunes utilizados en los ataques.
atacantes elaborar fraudes de facturas convincentes. • La web maliciosos conocidos.23 9 Ejecute periódicamente simuladores de phishing para
Temas BEC (enerojunio de 2022) mayoría de las solicitudes de redirección de nómina se enviaron evaluar el riesgo potencial en toda su organización e
desde servicios de correo electrónico gratuitos y rara vez identificar y educar a los usuarios vulnerables.
Estafa de tarjetas de regalo 1,9% 5 Utilice una seguridad basada en aprendizaje automático
desde cuentas comprometidas. El volumen de correo electrónico
solución que pone en cuarentena el phishing de alta
de estas fuentes se disparó entre el primero y el quince de
probabilidad y detona las URL y los archivos Enlaces a más información
cada mes, las fechas de pago más comunes. • A pesar de ser
Información empresarial 4,3% adjuntos en un entorno aislado antes de que el correo
vías de fraude Del robo de cookies a BEC: los atacantes utilizan
electrónico llegue a la bandeja de entrada, como
Los sitios de phishing de AiTM como punto de entrada
Redirección de nómina 4,6% bien conocidas, las estafas con tarjetas de regalo representaron sólo Microsoft Defender para Office 365.24
a mayores fraudes financieros | microsoft 365
el 1,9 por ciento de los ataques BEC detectados.
Equipo de investigación de defensores, Microsoft
Centro de Inteligencia de Amenazas (MSTIC)
Fraude de facturas 9,3%
engañar a las víctimas potenciales. sub l para yo 25% que la víctima reconoce está registrado en un proveedor de 1 Imponer el uso de navegadores que admitan servicios para
correo con un nombre de usuario idéntico. Luego se envía analizar URL en busca de comportamientos
Un homoglifo es un nombre de dominio utilizado para la sub i por l 12%
un correo electrónico secuestrado desde el dominio secuestrado sospechosos y bloquear el acceso a sitios web
comunicación por correo electrónico en BEC, en el que 7% maliciosos conocidos, como Safe Links y
sub q por g con nuevas instrucciones de pago.
un carácter se reemplaza por uno que es idéntico o SmartScreen.25
sub rn para m 6%
casi idéntico en apariencia, para engañar al objetivo. Aprovechando la inteligencia de código abierto y el
sub .cam para .com 6% acceso a hilos de correo electrónico, el delincuente identifica a 2 Utilice una seguridad basada en aprendizaje automático
las personas responsables de la facturación y los solución que pone en cuarentena el phishing de alta probabilidad
sub 0 para o 5%
Técnicas de homoglifos utilizadas en los intentos de BEC BEC pagos. Luego crean una suplantación de una dirección y detona las URL y los archivos adjuntos en una zona de pruebas
sub ll por l 3% antes de que el correo electrónico llegue a la bandeja de entrada.
generalmente tiene dos fases, la primera de las cuales de correo electrónico de la persona que envía las facturas.
sub ii para yo 2% Esta suplantación se compone de un nombre de usuario y un
implica el compromiso de las credenciales. Estos tipos de Enlaces a más información
fugas de credenciales pueden ser el resultado de ataques sub vv para w 2% dominio de correo idénticos que son un homoglifo del
de phishing o grandes filtraciones de datos. Luego, las remitente genuino. Centro de Denuncias de Delitos en Internet (IC3) |
sub l por ll 2%
credenciales se venden o intercambian en la web oscura. Compromiso de correo electrónico empresarial:
sub e para un 2% La estafa de 43.000 millones de dólares
La segunda fase es la fase de fraude, donde El atacante copia una cadena de correo electrónico que
sub nn para m 1%
los atacantes utilizan credenciales comprometidas para contiene una factura legítima y luego la modifica para que Información de inteligencia falsa:
realizar ingeniería social sofisticada utilizando dominios sub ll para I, sub l para i 1% sub o para contenga sus propios datos bancarios. Esta factura nueva Oficina 365 | Documentos de Microsoft
y modificada luego se reenvía desde el correo
de correo electrónico homoglifos. u 1%
Perspectiva de suplantación
electrónico de suplantación de homoglifos al objetivo.
Debido a que el contexto tiene sentido y el correo electrónico Oficina 365 | Documentos de Microsoft
Análisis de más de 1700 dominios de homoglifos entre enero y julio de 2022. Si
bien se utilizaron 170 técnicas de homoglifos, el 75 % de los dominios utilizaron parece genuino, a menudo el objetivo sigue instrucciones
solo 14 técnicas. fraudulentas.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
25 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Se forma la Unidad de Delitos Digitales de Botnet Sirefef/Acceso Cero Enfoque continuo en la disrupción
Una cronología de la interrupción de las botnets desde Microsoft
Descripción: Un gusano de rápida propagación Descripción: una compleja botnet de Descripción: un robot troyano de puerta trasera Descripción: una botnet sofisticada con DCU continúa innovando y busca
dirigido al sistema operativo Windows, que infecta spam con dominios estadounidenses para correo electrónico no deseado que utiliza infraestructura fragmentada en utilizar su experiencia en
millones de computadoras y dispositivos en una que recopilaba direcciones de correo proveedores de Internet como C2 principales; diseñado todo el mundo dirigida a la industria de interrupciones de botnets para
red común; provocó cortes de red en todo el mundo. electrónico y distribuía spam que infectaba hasta para vender productos farmacéuticos. servicios financieros; Dispositivos IoT llevar a cabo operaciones
90.000 computadoras en todo el mundo.26 Colaboración: Microsoft forjó una comprometidos. coordinadas que vayan más allá
Colaboración: Formación del Grupo de Colaboración: Creación de otro consorcio, el Colaboración: Microsoft se asoció del malware.
asociación con Pfizer Pharmaceuticals para
Microsoft Malware Protection Center (MMPC), comprender los medicamentos vendidos por Nuestro éxito continuo requiere ingeniería
Trabajo Conficker, el primer consorcio con el Centro de análisis e intercambio
de este tipo. centrado en la estrecha colaboración con creativa, intercambio de información,
Rustock y trabajó en estrecha colaboración con de información de servicios financieros (FS
académicos.27 teorías jurídicas innovadoras y
Microsoft se asoció con 16 las autoridades holandesas encargadas de hacer ISAC) para derribar Trickbot.30
cumplir la ley.29 asociaciones públicas y privadas.
organizaciones de todo el mundo para
derrotar al bot.
Respuesta de Microsoft: Microsoft utilizó el Respuesta de Microsoft: Microsoft trabajó Respuesta de Microsoft: DCU creó un
Respuesta de Microsoft: El grupo enfoque de interrupción escalonada del C2 con los Marshalls de EE. UU. y las autoridades sistema para identificar y rastrear la
colaboró en muchas jurisdicciones y sorprendió a los malos actores al de los Países Bajos para desactivar los infraestructura de bots y generó notificaciones
internacionales y logró derribar a Conficker. apoderarse de dominios con sede en servidores C2 en ese país. Se registraron y para proveedores de Internet activos,
EE. UU. sin previo aviso.28 Microsoft otorgó la bloquearon todos los futuros algoritmos teniendo en cuenta leyes específicas de
propiedad temporal de casi 280 dominios generadores de dominios (DGA). varios países.
utilizados por los servidores de Waledac.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
26 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
El equipo de Microsoft Defender para IoT lleva a cabo Instala Trickbot en la Realiza Se comunica con
red de destino. reconocimiento para
investigaciones sobre equipos que van desde Red de
C2 a través de enrutador; gotas
a través de una campaña obtener información de la red. cargas útiles, roba información
controladores de sistemas de control industrial heredados destino
hasta sensores de IoT de última generación. El equipo
investiga malware específico de IoT y OT para contribuir Los enrutadores expuestos corren el riesgo de que se Cadena de ataque de Trickbot que muestra el uso de dispositivos MikroTik IoT como servidores proxy para C2.
a la lista compartida de indicadores de compromiso. exploten posibles vulnerabilidades.
Redirige el tráfico entre dos puertos del enrutador, Los dispositivos que actúan como servidores proxy inversos
Los enrutadores son vectores de ataque particularmente Al rastrear y analizar el tráfico que contiene comandos de estableciendo la línea de comunicación entre los para el malware C2 no son exclusivos de los enrutadores
vulnerables porque están omnipresentes en hogares shell seguro (SSH), observamos que los atacantes usaban dispositivos afectados por Trickbot y el C2. Trickbot y MikroTik. En colaboración con el equipo de
y organizaciones conectados a Internet. Hemos estado enrutadores MikroTik para comunicarse con la
rastreando la actividad de los enrutadores MikroTik, un infraestructura de Trickbot después de obtener credenciales Microsoft RiskIQ, rastreamos hasta el C2 involucrado y,
Hemos agregado nuestro conocimiento de los diversos
enrutador popular en todo el mundo a nivel residencial y mediante la observación de los certificados SSL,
legítimas para los dispositivos. métodos para atacar dispositivos MikroTik, más allá de
comercial, identificando cómo se utilizan para comando y identificamos los dispositivos Ubiquiti y LigoWave que
Estas credenciales se pueden obtener mediante ataques de Trickbot, así como vulnerabilidades y exposiciones comunes
control (C2), ataques al sistema de nombres de dominio también se ven afectados.32 Esto es una fuerte
fuerza bruta, explotando vulnerabilidades conocidas con conocidas (CVE) en una herramienta de código abierto
(DNS) y secuestro de criptominería. indicación de que los dispositivos de IoT se están convirtiendo
parches fácilmente disponibles y utilizando contraseñas para dispositivos MikroTik, que puede extraer los artefactos
forenses relacionados con los ataques a estos. dispositivos.31 en componentes activos de las iniciativas coordinadas por los
predeterminadas. Una vez que se accede a un dispositivo,
estados nacionales. ataques y un objetivo popular para los
el atacante emite un comando único que
ciberdelincuentes que utilizan botnets generalizadas.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
27 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
El año pasado, Microsoft observó un número creciente de la siguiente cuenta, ya preparada mediante scripts para ser activada
Criptocriminales que ataques que abusan de los enrutadores para Máquinas virtuales inmediatamente, y su actividad maliciosa continúa con poca o
redirigir los esfuerzos de minería de criptomonedas.
abusan de los dispositivos IoT como infraestructura criminal ninguna interrupción.
Los ciberdelincuentes comprometen los enrutadores
Al igual que la infraestructura en la nube, la
Los dispositivos de puerta de enlace son un conectados a grupos de minería y redirigen el tráfico El movimiento generalizado hacia la nube infraestructura local se puede utilizar en ataques con
de minería a sus direcciones IP asociadas con
objetivo cada vez más valioso para los actores de incluye a ciberdelincuentes que aprovechan entornos locales virtuales que el usuario local desconoce. Esto
amenazas, ya que el número de vulnerabilidades ataques de envenenamiento de DNS, lo que altera la
los activos privados de víctimas requiere que el punto de acceso inicial permanezca abierto y
configuración de DNS de los dispositivos objetivo. Los
conocidas ha aumentado constantemente año tras año. involuntarias obtenidos mediante accesible.
enrutadores afectados registran la dirección IP incorrecta
Se utilizan para minería de criptomonedas y otros phishing o la distribución de malware ladrones de credenciales.
Los ciberdelincuentes también han abusado de los activos
en un nombre de dominio determinado y envían sus
tipos de actividades maliciosas. Muchos ciberdelincuentes optan por privados locales para iniciar una cadena de infraestructura en la
recursos mineros (o hashes) a grupos utilizados por los
nube, configurada para ofuscar su origen y evitar la detección de
actores de amenazas. Estos grupos pueden extraer configurar sus infraestructuras maliciosas en
creación de infraestructura sospechosa.
A medida que las criptomonedas se han vuelto más monedas anónimas asociadas con actividades delictivas o máquinas virtuales (VM), contenedores y
populares, muchas personas y organizaciones han invertido utilizar hashes legítimos generados por mineros para microservicios basados en la nube.
potencia computacional y recursos de red de dispositivos adquirir un porcentaje de la moneda que extraen, obteniendo así las recompensas.
como enrutadores para extraer monedas en la cadena de
Una vez que el ciberdelincuente tiene acceso, puede ocurrir una Información procesable
bloques. Sin embargo, la extracción de criptomonedas es un secuencia de eventos para configurar la infraestructura, como
Dado que más de la mitad de las 1 Implementar una buena higiene cibernética y brindar
proceso que requiere mucho tiempo y recursos y una serie de máquinas virtuales mediante secuencias de
tiene una baja probabilidad de éxito. Para aumentar la vulnerabilidades conocidas encontradas en capacitación en ciberseguridad a los
comandos y procesos automatizados. Estos procesos
probabilidad de extraer una moneda, los mineros se empleados con orientación para evitar ser
2021 carecen de parche, actualizar y proteger automatizados y programados se utilizan para iniciar
agrupan en redes cooperativas distribuidas y reciben manipulados socialmente.
los enrutadores en redes corporativas y actividades maliciosas, incluidos ataques de spam por
hashes en relación con el porcentaje de la moneda que correo electrónico a gran escala, ataques de phishing y páginas 2 Realice comprobaciones automatizadas periódicas de
lograron extraer con sus recursos conectados. privadas sigue siendo un desafío importante
web que alojan contenido nefasto. Incluso puede incluir la anomalías en la actividad de los usuarios mediante
para los propietarios y administradores de dispositivos.
creación de un entorno virtual a escala para realizar minería de detecciones a escala para ayudar a reducir este tipo de ataques.
criptomonedas, lo que genera a la víctima final una factura
3 Actualice y asegure los enrutadores en la empresa
de cientos de miles de dólares a final de mes.
Dispositivos comprometedores para la minería criptográfica ilegal.
y redes privadas.
El auge de los hackers ciudadanos aeropuertos y el servidor de la administración pública checa, a Existen medidas para evitar que se produzcan este tipo de
¿Ha llegado el
pesar de que Chequia no está directamente involucrada en la cambios en los paquetes de archivos fuente y los usuarios deben
Las plataformas de redes sociales permitieron la rápida
guerra.35 Al mismo tiempo, algunos gobiernos podrían estar conscientes del impacto potencial.
organización y movilización de miles de posibles ciudadanos
hacktivismo para quedarse? utilizar el hacktivismo como cobertura para operaciones
piratas informáticos, a quienes se les proporcionaron
tradicionales de ciberespionaje o sabotaje (por ejemplo, las
Si bien el hacktivismo no es un instrucciones para realizar ataques fácilmente ejecutables,
actividades iraníes contra Israel).
Las plataformas de redes sociales
como los ataques DDoS.
fenómeno nuevo, la guerra en Ucrania vio permitieron la organización y movilización
Los organizadores aprovecharon Twitter, Telegram y foros En un entorno de aumento de los ataques DDoS vinculados al
una oleada de piratas informáticos voluntarios, de miles de posibles ciudadanos piratas
privados para movilizar a los piratas informáticos, hacktivismo, la industria tecnológica tiene el desafío de descifrar
incluidos algunos dirigidos por gobiernos para organizar operaciones y difundir manuales de rápidamente la diferencia entre el flujo de tráfico normal y informáticos, a quienes se les
desplegar herramientas cibernéticas para instrucciones sobre piratería informática. anormal hacia un sitio web. Microsoft y sus socios han
proporcionaron instrucciones para realizar
dañar la reputación o los activos de desarrollado una colección de herramientas que distinguen el
Sin embargo, es probable que la mayoría de estos piratas ataques fácilmente ejecutables, como ataques DDoS.
oponentes políticos, organizaciones e incluso estados nacionales. tráfico DDoS malicioso y lo rastrean hasta su origen. Además, la
informáticos tengan habilidades limitadas, incluso con instrucción.
plataforma Azure de Microsoft puede
Esto sugiere dos futuros potenciales: uno en el que cientos o
En febrero de 2022, el gobierno ucraniano pidió a civiles miles de personas con capacidades técnicas rudimentarias
Identifique las máquinas en la plataforma que producen niveles Información procesable
privados de todo el mundo que llevaran a cabo ataques utilicen plantillas de ataque para llevar a cabo futuros
cibernéticos contra Rusia como parte de su “Ejército de TI” de ataques hacktivistas coordinados o individuales contra extraordinariamente altos de tráfico saliente y apáguelas. 1 La industria tecnológica debe unirse para diseñar una
300.000 efectivos.33 Al mismo tiempo, establecieron objetivos, o un segundo futuro en el que el eventual fin de las respuesta integral a esta nueva amenaza.
grupos hacktivistas como Anonymous, Ghostsec, Against hostilidades en Ucrania los haga dejar atrás su hacktivismo. ,
Aparición del protestware El protestaware
the West, Bielorrusia Cyber Partisans y RaidForum2 al menos hasta que el próximo tema político o social los inspire
ha surgido como resultado directo de reacciones emocionales 2 Las empresas de tecnología líderes, incluida Microsoft, tienen
comenzaron a realizar ataques en apoyo a Ucrania. a actuar.
a la guerra entre Rusia y Ucrania. Algunos desarrolladores de herramientas para identificar el tráfico malicioso asociado
con ataques DDoS y desactivar las máquinas
Otros grupos, incluidos algunos miembros del grupo de software de código abierto utilizaron la popularidad de su
Politización de los hackers software como un medio para hablar o tomar medidas contra una responsables.
ransomware Conti, se pusieron del lado de Rusia.34
situación geopolítica en desarrollo. Esto incluía archivos de
En los meses siguientes, las actividades de Anonymous El mayor riesgo que plantea esta movilización política 3 Los usuarios de código abierto deben mantener
texto inofensivos abiertos en un escritorio o un navegador para
fueron muy visibles. Los piratas informáticos que actuaban es el despliegue de piratas informáticos expertos en tecnología una mayor vigilancia en tiempos de conflictos
difundir mensajes de paz, pero también incluía ataques
en nombre del grupo (o en el de uno de sus afiliados) que podrían continuar realizando ataques cibernéticos geopolíticos.
dirigidos basados en la geolocalización de direcciones IP y
desactivaron temporalmente miles de sitios web rusos y contra objetivos de gobiernos extranjeros para apoyar sus propias
acciones destructivas como borrar un disco duro. A medida que
bielorrusos, filtraron cientos de gigabytes de datos robados, piratearon prioridades nacionales, ya sea por iniciativa propia o a instancias
de su gobierno. se desarrollen otros eventos globales, podemos esperar que
canales de televisión rusos para reproducir contenido proucraniano
el protestware vuelva a aparecer en el futuro. Dado que
e incluso ofrecieron pagar Bitcoin. por los tanques rusos
generalmente se trata de casos en los que respetados mantenedores
rendidos. Irán, China y Rusia ya utilizan el hacktivismo como alimentador de código abierto deciden hacer declaraciones personales
para el reclutamiento en sus grupos de piratería estatales.
utilizando sus propios componentes de código abierto,
Por ejemplo, en abril de 2022, el grupo de hackers prorruso actualmente no existe ninguna protección.
Killnet lanzó ataques DDoS contra ferrocarriles checos,
regionales
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
29 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Notas finales
Estado nacional Una visión general de las amenazas del Estado nación
Introducción
31
32
comienzo de una nueva era de conflictos.robar credenciales y ofuscaron sus operaciones mediante
el uso de software legítimo o de código abierto. China se está 14 dias 60 días
E Irán se suma a Rusia en el uso de armas cibernéticas expandiendo a nivel Parche Código POC publicado
Rusia también ha apoyado su guerra con Explotación
destructivas, incluido el ransomware, como global, apuntando liberado en estado salvaje en GitHub
operaciones de influencia informativa, utilizando especialmente
elemento básico de sus ataques. Más información en la p39
propaganda para influir en las opiniones en Rusia, Ucrania a naciones
y el mundo. Este primer conflicto híbrido a gran escala ha Estos acontecimientos requieren la adopción urgente de un
más pequeñas
dejado otras lecciones importantes. marco global coherente que dé prioridad a los derechos Corea del Norte apuntó a empresas aeroespaciales y
del Sudeste
En primer lugar, la mejor forma de proteger la seguridad de humanos y proteja a las personas del comportamiento de defensa, criptomonedas, medios de
Asiático, para ganar
las operaciones y los datos digitales –tanto en el imprudente del Estado en línea. Todas las naciones deben comunicación, desertores y organizaciones de ayuda
inteligencia y ventaja competitiva.
ciberespacio como en el espacio físico– es migrar a la nube. trabajar para implementar normas y reglas acordadas para para lograr los objetivos del régimen: construir
Los ataques rusos iniciales se dirigieron a servicios locales una conducta estatal responsable. defensa, impulsar la economía y garantizar la estabilidad interna.
con malware de limpieza y a centros de datos físicos
Defensa de Ucrania: primeras lecciones de la guerra
con uno de los primeros misiles lanzados.
cibernética: Microsoft sobre los problemas Más información en p44 Más información en p49
Los cibermercenarios amenazan la estabilidad del ciberespacio a medida que esta creciente industria
de empresas privadas desarrolla y vende herramientas, técnicas y servicios avanzados para permitir a
sus clientes (a menudo gobiernos) acceder a redes y dispositivos.
Al igual que las organizaciones empresariales, los adversarios Por primera vez en un evento cibernético importante, Como resultado, mantener una base sólida de higiene de la
Introducción comenzaron a utilizar avances en automatización, infraestructura las detecciones de comportamiento que aprovecharon seguridad de TI a través de parches priorizados, habilitar
de nube y tecnologías de acceso remoto para extender sus el aprendizaje automático utilizaron patrones de funciones antimanipulación, usar herramientas de
ataques contra un conjunto más amplio de objetivos. ataque conocidos para identificar y detener con éxito administración de superficies de ataque como RiskIQ
Luego de ataques de alto Estos ajustes tácticos dieron como resultado nuevos nuevos ataques sin conocimiento previo del malware para obtener una visión externa de una superficie de
enfoques y ataques a gran escala contra las cadenas de subyacente, incluso antes de que los humanos se dieran ataque y habilitar la autenticación multifactor en toda
perfil en 2020 y 2021, los actores cuenta de las amenazas. También confirmamos el valor
suministro corporativas. La higiene de la seguridad de la empresa tiene se convierten en fundamentos
de amenazas de los estados TI adquirió un grado de importancia aún mayor a medida de compartir inteligencia sobre amenazas en tiempo real básicos para defenderse proactivamente contra muchos
que los actores desarrollaron nuevas formas de explotar con los defensores que protegen estos sistemas, actores sofisticados.
nacionales gastaron importantes rápidamente vulnerabilidades no parcheadas, ampliaron brindándoles información vital para anticipar y Los actores estatales también han aumentado el
recursos en adaptarse a las técnicas para comprometer las redes corporativas y defenderse de ataques activos.
uso de ransomware como táctica en sus ataques, a
ofuscaron sus operaciones mediante el uso de software legítimo Los actores de amenazas de los Estadosnación en menudo reutilizando en sus ataques malware de rescate
nuevas protecciones de seguridad o de código abierto. Las nuevas técnicas de ataque
todo el mundo continúan expandiendo sus operaciones creado por ese ecosistema criminal. Hemos visto actores
proporcionaron vectores nuevos y más difíciles de
implementadas por las de formas nuevas y antiguas. China, Corea del Norte, con sede en Irán y Corea del Norte aprovechando
detectar para obtener acceso a la red de un objetivo. Irán y Rusia llevaron a cabo ataques contra clientes herramientas de ransomware para dañar sistemas
organizaciones para defenderse contra amenazas
Finalmente, sofisticadas.
a medida que aumentaron los ataques
de Microsoft. La cadena de suministro de servicios de TI se específicos, que a menudo incluyen infraestructura
físicos en tiempos de guerra, vimos que los
convirtió en un objetivo común a medida que los actores crítica, dentro de rivales regionales.
ciberataques asumieron un papel destacado en la actividad militar.
cambiaron el enfoque hacia servicios ascendentes que Por último, hemos visto la creciente amenaza de que
El conflicto en Ucrania ha proporcionado un ejemplo pueden ser puntos de acceso a múltiples organizaciones. los cibermercenarios desarrollen y vendan
muy conmovedor de cómo los ciberataques evolucionan Esperamos que los actores continúen explotando las herramientas, técnicas y servicios para ampliar los
para impactar al mundo en paralelo con el conflicto relaciones de confianza en las cadenas de suministro ataques contra soluciones vulnerables de terceros.
militar sobre el terreno. Los sistemas de energía, los sistemas empresariales, enfatizando la importancia de la La sofisticación y agilidad de los ataques de los actores estatales
de telecomunicaciones, los medios y otras aplicación integral de las reglas de autenticación, la seguirán evolucionando cada año.
infraestructuras críticas se convirtieron en objetivos tanto aplicación diligente de parches y la configuración de Las organizaciones deben responder estando informadas de
de ataques físicos como ciberataques. cuentas para la infraestructura de acceso remoto, y estos cambios de actores y desarrollar defensas en
Los intentos de comprometer la red comúnmente auditorías frecuentes de las relaciones con los socios para verificar laparalelo.
autenticidad.
observados como parte de campañas de espionaje y
Los actores estatales, al igual que el ransomware y los Juan Lambert
exfiltración de información se centraron en una guerra híbrida
operadores criminales, han respondido a una mayor exposición Vicepresidente Corporativo y Distinguido
contra ataques destructivos de malware contra sistemas de
apuntando a sistemas empresariales mal configurados o Ingeniero, Centro de inteligencia de amenazas de Microsoft
infraestructura crítica. Conectar la seguridad de estos
sin parches (infraestructura VPN/VPS, servidores locales,
sistemas a la nube resultó en la detección temprana y la
software de terceros) para vivir de la seguridad. ataques
interrupción de ataques potencialmente devastadores.1
terrestres. Muchos han aumentado el uso de malware
básico y herramientas del equipo rojo de código abierto
para ocultar su actividad maliciosa.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
33 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Antecedentes de los
datos del estado nación
Rusia
Medios de comunicación,
Correos
superior
ESTRONCIO BROMO oso energético
oso de lujo POLONIO
Corea del Norte
Inteligencia/
Personal
sg de defensa, think
PU
Ciencia y
tecnología,
tanks defensa, industrial.
SEABORGIO
Grupo Calisto Andariel, Seúl Oscuro,
Porcelana
PLUTONIO
Chollima silenciosa
Símbolo
Sectores
comúnmente objetivo
Georgia comunicaciones,
TI, gobierno, ONG, gobierno Dios
cn criptomonedas y
tecnología relacionada
zinc defensa, ciencia y
tecnología.
APT40
Referencias educación
ACTIVIDAD
de la industria APT38, Lázaro
GALIO GADOLINIO COPERNICIO ZINC
GRUPO
Celda suave Chicos Beagle
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
35 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Continuado
1000 45
40
800
35
30
600
25
%
NSN
20
400 Mayoría
15
200 10
0 0
julio de 2018–junio de 2019 julio de 2019 – junio de 2020 julio de 2020 – junio de 2021 julio de 2021–junio de 2022
El menos
Infraestructura crítica Infraestructura no crítica Porcentaje de infraestructura crítica del total de NSN
El año pasado, los ataques de los grupos de estados nacionales a la infraestructura crítica3 aumentaron, y los actores se Los objetivos cibernéticos de los grupos de estadosnación se
centraron en empresas del sector de TI, servicios financieros, sistemas de transporte e infraestructura de comunicaciones. extendieron por todo el mundo el año pasado, con un enfoque
Información procesable
los datos debían permanecer dentro de un país para estar seguros. estratégicas de los grupos de estados nacionales.
Tratado del Atlántico Norte (OTAN), que el gobierno ruso percibe como
Atacar a los proveedores de servicios de TI
una amenaza existencial. Entre julio de 2021 y principios de junio Proveedor de TI/Proveedor Proveedor de servicios
por parte de los estados nacionales podría permitir a de 2022, el 48 por ciento de las notificaciones de clientes de de servicios en la nube gestionados/Proveedor
los actores de amenazas explotar otras organizaciones Microsoft sobre actividades de amenazas rusas contra clientes de de servicios en la nube
de interés aprovechando la confianza y el acceso servicios en línea fueron a empresas del sector de TI con sede
otorgados a estos proveedores de la cadena de suministro. en países miembros de la OTAN, probablemente como puntos
Credenciales robadas
El año pasado, grupos de amenazas cibernéticas de de acceso intermediarios. En general, el 90 por ciento de las
de las instalaciones
estados nacionales se dirigieron a proveedores de notificaciones sobre la actividad de amenaza rusa durante el mismo
servicios de TI para atacar objetivos de terceros y período se dirigieron a clientes con sede en los estados
obtener acceso a clientes intermedios en sectores miembros de la OTAN, principalmente en los sectores de TI, grupos de
Proveedor de servicios en la nube
expertos y organizaciones no gubernamentales (ONG) y NOBELIO
gubernamentales, políticos y de infraestructura crítica.
gubernamentales, lo que sugiere una estrategia de buscar múltiples
medios de detección inicial. acceso a estos objetivos. Relación de confianza del directorio activo de Azure
Los proveedores de servicios de TI son objetivos intermediarios
atractivos, ya que atienden a cientos de clientes directos y miles
de clientes indirectos de interés para los servicios de
Este diagrama muestra el enfoque multivectorial de NOBELIUM para comprometer sus objetivos finales y los daños colaterales
a otras víctimas a lo largo del camino. Además de las acciones mostradas anteriormente, NOBELIUM lanzó ataques de
phishing y pulverización de contraseñas contra las entidades involucradas, incluso apuntando a la cuenta personal de
al menos un empleado del gobierno como otra posible ruta de compromiso.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
38 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
• En enero de 2022, DEV0198, un grupo que Realizar una revisión y auditoría exhaustivas de las
La cadena de suministro de evalua está afiliada al gobierno de Irán y comprometió a relaciones con los socios ayuda a minimizar cualquier Información procesable
un proveedor israelí de soluciones en la nube. Microsoft permiso innecesario entre su organización y los 1 Revise y audite las relaciones con los proveedores de
TI como puerta de entrada al evalúa que el actor probablemente utilizó proveedores upstream y eliminar inmediatamente el servicios ascendentes y descendentes y los accesos con
credenciales comprometidas del proveedor para acceso a cualquier relación que parezca desconocida. Una privilegios delegados para minimizar los permisos
ecosistema digital autenticarse en una empresa de logística israelí. MSTIC mayor familiaridad con los registros de actividad y la revisión innecesarios. Elimine el acceso a cualquier relación de
observó al mismo actor intentando llevar a cabo un de la actividad disponible hace que sea más fácil detectar socio que parezca desconocida o que aún no haya sido
Continuado
ciberataque destructivo contra la empresa de logística a anomalías que podrían generar más investigaciones. auditada.6
A lo largo del año, el Centro de Inteligencia de finales de ese mes.
Amenazas de Microsoft (MSTIC) detectó un número 2 Habilite el registro y revise toda la actividad de autenticación
cada vez mayor de actores estatales iraníes y afiliados a para la infraestructura de acceso remoto y las redes
• En abril de 2022, POLONIUM, un grupo con sede en el
Irán que comprometían a empresas de TI. Atacar a terceros por parte del Estado privadas virtuales (VPN), centrándose en las cuentas
Líbano que evaluamos colaboró con grupos estatales
En muchos casos, se detectó que los actores robaban
iraníes en técnicas de cadena de suministro de TI,
nación les permite explotar configuradas con autenticación de factor único, para
confirmar la autenticidad e investigar actividades
credenciales de inicio de sesión para obtener acceso a clientes
comprometió a otra empresa de TI israelí para obtener organizaciones sensibles aprovechando
posteriores con una variedad de objetivos, desde la recopilación anómalas.
acceso a organizaciones legales y de defensa israelíes.5 la confianza y el acceso a una cadena de suministro.
de inteligencia hasta ataques destructivos de represalia. •
3 Habilite MFA para todas las cuentas (incluidas las
En julio y agosto de 2021, DEV0228 cuentas de servicio) y asegúrese de que se
El último año de actividad demuestra que los actores de
comprometió a un proveedor de software empresarial amenazas como NOBELIUM y DEV0228 están conociendo aplique MFA para toda la conectividad remota.
israelí para luego comprometer a clientes intermedios en
el panorama de las relaciones de confianza de una 4 Utilice soluciones sin contraseña para
los sectores jurídico, energético y de defensa israelí.4 proteger sus cuentas.7
organización mejor que las propias organizaciones. Esta
• De agosto a septiembre
creciente amenaza enfatiza la necesidad de que las
Enlaces a más información
de 2021, Microsoft detectó un aumento en el número de organizaciones comprendan y endurezcan las fronteras y los
actores estatales iraníes que apuntaban a empresas puntos de entrada de sus patrimonios digitales. También subraya NOBELIUM apunta a privilegios
de TI con sede en la India. La falta de cuestiones geopolíticas la importancia de que los proveedores de servicios de TI administrativos delegados para facilitar ataques
apremiantes que habrían provocado tal cambio sugiere que supervisen rigurosamente su propio estado de más amplios | Amenaza de Microsoft
este objetivo es el acceso indirecto a subsidiarias y clientes ciberseguridad. Por ejemplo, las organizaciones deberían Centro de Inteligencia (MSTIC)
fuera de la India.
implementar autenticación multifactor y políticas de
Aumentan los ataques iraníes al sector de TI
acceso condicional que dificulten que los actores
| Centro de inteligencia de amenazas de Microsoft
maliciosos capturen cuentas privilegiadas o se propaguen por
(MSTIC), Unidad de Seguridad Digital de Microsoft
una red.
Exponiendo la actividad y la infraestructura
del POLONIO dirigidas a organizaciones
israelíes | Amenaza de Microsoft
Centro de Inteligencia (MSTIC)
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
39 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Las vulnerabilidades de día cero son un medio suelen ser más fáciles de detectar y, si provienen de un software
particularmente eficaz para la explotación inicial y, una vez completamente parcheado, pueden actuar como una señal de En promedio, un exploit tarda sólo 14 días en estar disponible después de que se divulga públicamente una vulnerabilidad.
expuestas públicamente, pueden ser reutilizadas rápidamente advertencia de un compromiso. Esta vista proporciona un análisis de los cronogramas de explotación de las vulnerabilidades de día cero, junto con la cantidad
de sistemas vulnerables al exploit en cuestión y activos en Internet desde el momento de la primera divulgación pública.
por otros estados nacionales y actores criminales.
El número de vulnerabilidades de día cero divulgadas Parches lanzados para vulnerabilidades de día cero
públicamente durante el año pasado está a la par con el del 2021, lo que marca la primera vez en el mundo que un gobierno
250 17 Si bien los ataques de vulnerabilidad de día exige que se informe de las vulnerabilidades a una
año anterior, que fue el más alto registrado.
24 cero tienden a dirigirse inicialmente a un conjunto autoridad gubernamental para su revisión antes de compartir
200 33
limitado de organizaciones, rápidamente se adoptan la vulnerabilidad con el propietario del producto o servicio.
A medida que los actores de las amenazas cibernéticas
11 Esta nueva regulación podría permitir que elementos del
(tanto los Estados nacionales como los delincuentes) 150 14 en el ecosistema de actores de amenazas más amplio.
8 gobierno chino acumulen vulnerabilidades reportadas para
se vuelven más expertos en aprovechar estas 12 Esto inicia una carrera para que los actores de
6 convertirlas en armas. El mayor uso de días cero durante
vulnerabilidades, hemos observado una reducción en el 100 19 3 6
amenazas exploten la vulnerabilidad lo más posible el último año por parte de actores con sede en China
tiempo entre el anuncio de una vulnerabilidad y su 15
10 antes de que sus objetivos potenciales instalen probablemente refleja el primer año completo de requisitos
mercantilización. 50 18
10 de divulgación de vulnerabilidades de China para la
Esto hace que sea esencial que las organizaciones parcheen 11 parches.
0
comunidad de seguridad china y un paso importante en el uso
los exploits de inmediato. De manera similar, es
de exploits de día cero como prioridad estatal. Las
fundamental que las organizaciones o individuos que Si bien observamos que muchos actores de estados vulnerabilidades que se describen a continuación fueron
descubran nuevas vulnerabilidades las revelen o informen nacionales desarrollan exploits a partir de vulnerabilidades desarrolladas e implementadas por primera vez por
ui2
dJ
eui2
dJ
ui2
dJ
ui2
dJ
eui2
d
J
oiluj
eui2
dJ
ui2
d
J
o1icl0
e
o1icl0
o1icl0
e
o1ilc0
e
o1icl0
o2icl0
o2icl0
e
reinnuEj
reinnuEj
reinnuEj
reinnuEj
reinnuEj
reinnuEj
reinnuEj
reinnuEj
erbm4e
erbm5e
erbm6e
erbm7e
erbm8e
erbm0e
erbm1e
oo
oo
oo
oo
oo
oo
oo
oo
de manera responsable a los proveedores afectados lo desconocidas, los actores de amenazas de estados actores estatalesnación con sede en China en ataques, antes
antes posible, de acuerdo con los procedimientos coordinados nacionales con sede en China son particularmente de ser descubiertas y difundidas entre otros actores en el
de divulgación de vulnerabilidades. Números de exploits de día cero divulgados públicamente de hábiles en descubrir y desarrollar exploits de día cero. La ecosistema de amenazas más amplio.
la Lista de vulnerabilidades y divulgaciones comunes (CVE). regulación de informes de vulnerabilidad de China entró en vigor en septiembre
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
40 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Estos ejemplos de vulnerabilidades recientemente identificadas más adelante en septiembre, utilizándolo como vector inicial 61,559 instancias de estos sistemas activas y en Internet,
Explotación rápida de demuestran que las organizaciones tienen un promedio de 60 días para afianzarse en las redes y realizando acciones adicionales en el momento de la divulgación.
desde el momento en que se parchea una vulnerabilidad y se que incluyen volcado de credenciales, instalación de archivos Continuamos observando actividad de explotación hasta
la vulnerabilidad pone a disposición en línea un código de prueba de binarios personalizados y eliminación de malware para mantener la noviembre de 2021.
Continuado concepto (POC), que a menudo es recogido por otros actores persistencia. En el momento de la divulgación, RiskIQ observó
CVE202226134 Confluencia
para su reutilización. De manera similar, las organizaciones 4.011 instancias de estos sistemas activos y en Internet.
tienen un promedio de 120 días antes de que una Un actor afiliado a China probablemente tenía el código de
vulnerabilidad esté disponible en herramientas automatizadas explotación de día cero para la vulnerabilidad Confluence
CVE202144077 Zoho ManageEngine
de exploración y explotación de vulnerabilidades como Metasploit. (CVE202226134) cuatro días antes de que la
Servicio de escritorio Plus
lo que a menudo resulta en que el exploit se utilice a escala vulnerabilidad se revelara públicamente el 2 de junio, y
Incluso las organizaciones que masiva. Esto destaca que incluso las organizaciones que A finales de octubre de 2021, observamos que DEV0322 probablemente lo aprovechó contra una entidad con sede en EE. UU.
no son objetivo de ataques de no son el objetivo de los actores de amenazas de los estados aprovechaba una vulnerabilidad (CVE202144077) en un En el momento de la divulgación, RiskIQ observó 53.621 casos de
estados nacionales tienen un nacionales tienen un período limitado para parchear las segundo producto de Zoho ManageEngine, ServiceDesk sistemas Confluence vulnerables en Internet.
vulnerabilidades de día cero en los sistemas afectados antes Plus, un software de asistencia técnica de TI con gestión de
período limitado para parchear de que las vulnerabilidades sean explotadas por el ecosistema activos. DEV0322 utilizó esta vulnerabilidad para
las vulnerabilidades de día cero de actores más amplio. atacar y comprometer entidades en los sectores de atención
Las vulnerabilidades se están
médica, tecnología de la información, educación superior y
en los sistemas afectados antes CVE202135211 ServU de SolarWinds
manufactura crítica. El 2 de diciembre, la Oficina Federal de detectando y explotando a gran
de que sean explotadas por el En julio de 2021, SolarWinds publicó un aviso de seguridad Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura escala y en plazos cada vez más cortos.
para CVE202135211, acreditando a Microsoft la notificación.8 En y Ciberseguridad (CISA) emitieron una advertencia conjunta
ecosistema de actores más amplio. ese momento, descubrimos que el actor de amenazas alineado al público sobre los actores de amenazas de los estados
con el estado nacional DEV0322 explotaba activamente nacionales que aprovechan la vulnerabilidad.
la vulnerabilidad de SolarWinds ServU. Nuestro equipo Información procesable
de RiskIQ observó 12,646 direcciones IP que albergaban versiones En el momento de la divulgación, RiskIQ observó 7.956 1 Priorizar la aplicación de parches de día cero
conectadas a Internet de los dispositivos afectados entre el 15 de instancias de estos sistemas activos y en Internet. vulnerabilidades tan pronto como se publiquen;
junio y el 9 de julio. no espere a que se implemente el ciclo de
administración de parches.
CVE202140539 Zoho ManageEngine CVE202142321 Microsoft Exchange
ADSelfService Plus 2 Documentar e inventariar todo
Un exploit de día cero para una vulnerabilidad de Exchange
En septiembre de 2021, nuestros investigadores observaron CVE202142321 se reveló durante la Copa Tianfu, una cumbre activos de hardware y software empresarial
actores afiliados a China que explotaban Zoho internacional de ciberseguridad y competencia de piratería para determinar el riesgo y determinar rápidamente
ManageEngine en varias entidades con sede en EE. UU. celebrada los días 16 y 17 de octubre de 2021 en Chengdu, cuándo actuar sobre los parches.
Las cibertácticas de los Uso de cuentas y protocolos administrativos y utilidades Información procesable Enlaces a más información
nativas para el descubrimiento de redes y el movimiento 1 Minimice el robo de credenciales y el abuso de Defender Ucrania: primeras lecciones de la guerra
actores estatales rusos en lateral.
cuentas protegiendo las identidades de sus cibernética | Microsoft sobre los problemas
tiempos de guerra Después de obtener acceso inicial a una red,
usuarios implementando herramientas de
protección de identidad MFA y aplicando el acceso La guerra híbrida en Ucrania | Microsoft sobre los
Microsoft observó que los actores estatales rusos problemas
con privilegios mínimos para proteger las
amenazan a Ucrania y más allá aprovechaban cuentas legítimas y utilidades de software
cuentas y los sistemas más confidenciales y
utilizadas para realizar tareas básicas de mantenimiento Actividad de ciberamenazas en Ucrania: análisis y
Continuado privilegiados.
para evadir la detección durante el mayor tiempo recursos | Seguridad de Microsoft
2 Aplique actualizaciones para garantizar que todos sus Centro de respuesta (MSRC)
posible. Se basaron en identidades comprometidas
sistemas obtengan el nivel más alto de protección lo
Explotación de aplicaciones públicas para obtener con capacidades administrativas y protocolos, herramientas
antes posible y se mantengan actualizados. Ciberataques disruptivos dirigidos
acceso inicial a las redes. y métodos de administración válidos para moverse
Ucrania | Microsoft sobre los problemas
lateralmente dentro de las redes sin atraer 3 Implemente soluciones antimalware, detección de
Al menos desde finales de 2021, STRONTIUM trabajó inmediatamente la atención de monitores automatizados y terminales y protección de identidad en toda su Ataques de malware dirigidos al gobierno de
para desarrollar y perfeccionar sus capacidades para explotar defensores de la red. organización. Una combinación de soluciones Ucrania | Microsoft sobre los problemas
servicios públicos, como los servidores Microsoft de seguridad de defensa profunda, junto con personal MagicWeb: el truco postcompromiso de NOBELIUM
La higiene cibernética básica y el empleo de herramientas de
Exchange, para robar información. capacitado y capacitado, puede permitir a su para autenticarse como cualquier persona | microsoft
respuesta y detección de terminales pueden ayudar a mitigar
STRONTIUM aprovechó servidores Exchange sin parches organización identificar, detectar y prevenir Centro de Inteligencia de Amenazas (MSTIC),
el impacto negativo de este tipo de operaciones tanto en tiempos
para acceder a cuentas del gobierno ucraniano, así como a intrusiones que afecten su negocio. Equipo de Detección y Respuesta (DART),
de paz como en tiempos de guerra.
organizaciones militares y relacionadas con la industria de Equipo de investigación de Microsoft 365 Defender
defensa en los Estados Unidos, Líbano, Perú y Rumania, y otras 4 Habilite las investigaciones y la recuperación en caso de
agencias gubernamentales con sede en Armenia, Bosnia, que detecte o reciba una notificación de una amenaza
La imprevisibilidad del conflicto en curso
Kosovo y Malasia. a su entorno haciendo copias de seguridad de los
DEV0586, también afiliado al ejército ruso, aprovechó las
exige que las organizaciones de todo el
sistemas críticos y habilitando el registro.
vulnerabilidades del servidor Confluence para obtener
mundo tomen medidas para reforzar la
Se recomienda encarecidamente establecer un plan
acceso inicial a organizaciones gubernamentales y del sector ciberseguridad contra las amenazas de respuesta a incidentes.
de TI en Ucrania y otros países de Europa del Este.
digitales provenientes del Estado ruso
y de los actores de amenazas afiliados a Rusia.
China amplía Países atacados por el Estado chino y China: principales países y sectores industriales objetivo
y militares a las Islas Salomón.22 En mayo, China fue sectores gubernamental, diplomático y de ONG para obtener
China amplía anfitriona de la segunda Reunión de Ministros de Relaciones nuevos conocimientos, probablemente en pos de espionaje Información procesable
su objetivo global
Exteriores ChinaPaíses Insulares del Pacífico (PIC) en Fiji y económico o objetivos tradicionales de recopilación de 1 Impulsar la ciberdefensa para mitigar las ciberamenazas
propuso avanzar en una “asociación estratégica integral” para inteligencia. Desde la interrupción de Microsoft, NICKEL se ha de forma proactiva. La persistencia de los
Irán se vuelve Infraestructura crítica iraní atacada por país Información procesable
más agresivo tras la Estados Unidos 25% como MFA y hacer cumplir su uso para toda la
conectividad remota para mitigar cualquier credencial
estadounidenses e israelíes durante el próximo año. objetivos de infraestructura crítica de alto perfil de Estados
Unidos e Israel.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
48 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
con Irán y que apunta a Israel empresas de defensa israelíes, lo que indica que el grupo tiene detectó y 1 Actualice las herramientas antivirus40 y asegúrese de que la
un conjunto de intereses similar al de Irán en la recopilación de
inteligencia y/o contrarrestar directamente a Israel.37
deshabilitó con protección en la nube41 esté activada para detectar
Microsoft monitorea las actividades de amenazas los indicadores relacionados.
cibernéticas independientemente de la plataforma, la éxito el abuso de OneDrive 2 Para clientes con proveedor de servicios
víctima objetivo o la región geográfica. Mantenemos
visibilidad y búsqueda activa de amenazas en todo
Los vínculos evaluados de POLONIUM con los grupos MOIS
se basan en superposiciones de víctimas observadas y en
por parte de relaciones, garantice la revisión y auditoría de todas
las relaciones con los socios para minimizar los
el mundo para escribir mejores detecciones para nuestros clientes.
herramientas y técnicas comunes. POLONIUM como C2. permisos innecesarios entre su organización y los
• Superposición de víctimas: un grupo estatal iraní proveedores upstream. 2 Elimine inmediatamente el
Aunque las amenazas de Rusia, China, Irán y Corea del Norte vinculado al MOIS de Irán, que Microsoft rastrea como acceso a cualquier relación con los socios que parezca
representan la mayor parte de nuestra actividad observada MERCURIO, comprometió previamente a múltiples desconocida o que no haya sido auditada.
como actor estatal, también rastreamos y comunicamos sobre las víctimas de POLONIUM, lo que indica una convergencia de
amenazas de los países miembros de la OTAN y las naciones los requisitos de la misión o un posible "traspaso" de Enlaces a más información
democráticas. víctimas entre grupos.
El año pasado, presentamos la actividad de un actor con sede en Exponiendo la actividad y la infraestructura del
• Herramientas y técnicas comunes: similares a
Turquía (SILICON) y un actor con sede en Vietnam (BISMUTH). POLONIO dirigidas a organizaciones
POLONIUM, MSTIC observó que DEV0588 (también conocido
Este año, ampliaremos los detalles de un grupo con sede en israelíes | Amenaza de Microsoft
como CopyKittens) usa comúnmente AirVPN para operaciones y
el Líbano que ya divulgamos públicamente.36 Centro de Inteligencia (MSTIC), Microsoft
DEV0133 (también conocido como Lyceum38) usa OneDrive
Unidad de Seguridad Digital (DSU)
para C2 y exfiltración.
Microsoft descubrió un grupo previamente indocumentado con sede Al igual que los actores estatales iraníes, POLONIUM utilizó MERCURY aprovecha las vulnerabilidades
en el Líbano que evaluamos con confianza moderada un proveedor de servicios en la nube para comprometer una de Log4j 2 en sistemas sin parches para atacar a
operaba en coordinación con actores afiliados al empresa de aviación y un bufete de abogados israelíes.39 organizaciones israelíes | microsoft
Ministerio de Inteligencia y Seguridad de Irán (MOIS). Centro de Inteligencia de Amenazas (MSTIC),
POLONIUM implementó una serie de implantes
Equipo de investigación de Microsoft 365 Defender,
personalizados utilizando servicios en la nube para C2 y
Tal colaboración o dirección por parte de Teherán se alinearía Inteligencia de amenazas de Microsoft Defender
exfiltración de datos, en particular OneDrive y DropBox.
con las revelaciones desde finales de 2020 de que el Gobierno de
POLONIUM a menudo creaba aplicaciones OneDrive únicas
Irán está utilizando a terceros para llevar a cabo operaciones
para objetivos que probablemente evadieran la detección.
cibernéticas, lo que probablemente mejoraría la posible
negación de Irán. En junio de 2022, Microsoft suspendió más de 20 aplicaciones
OneDrive creadas por POLONIUM, notificó a las organizaciones
En la actividad observada, POLONIUM apuntó o comprometió a
afectadas e implementó una serie de actualizaciones de
dos docenas de organizaciones con sede en Israel y una
inteligencia de seguridad para poner en cuarentena las
OIG con operaciones en el Líbano entre febrero y mayo de
herramientas desarrolladas por POLONIUM.
2022, antes de que Microsoft interrumpiera y revelara
públicamente
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
49 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Esto significa pedirle a la industria tecnológica que asuma una El camino para establecer expectativas, evitar Los ataques y los actores del Estadonación
Hacer operativas las mayor responsabilidad tanto por la seguridad de los productos y malentendidos y generar confianza al expresar cómo están aumentando en volumen y sofisticación,
servicios como por el ecosistema digital más amplio. Si bien entienden sus obligaciones bajo el derecho internacional. creando una situación que es insostenible.
normas de ciberseguridad ha habido avances notables en todos los frentes, los
La acción inmediata es imperativa: hay cosas que
desafíos han aumentado dramáticamente.
para la paz y la seguridad • Consultar con otras partes interesadas.
A medida que los foros internacionales continúan
los gobiernos pueden hacer ahora para mejorar
de inmediato el ecosistema de ciberseguridad,
en el ciberespacio Debemos redoblar los esfuerzos colectivos para defender la descubriendo las mejores maneras de facilitar una sólida incluida la implementación de normas y reglas acordadas
seguridad del ciberespacio. No podemos dar por sentados los inclusión de múltiples partes interesadas, los gobiernos para el comportamiento estatal en el ciberespacio y
Necesitamos urgentemente un marco global derechos y libertades que esperamos en línea. Mientras pueden apoyar el diálogo informado consultando con las trabajar con la comunidad de múltiples partes
luchamos por abordar los desafíos, los actores maliciosos planifican comunidades de múltiples partes interesadas, en interesadas en general para abordar las brechas
coherente que dé prioridad a los derechos humanos
cómo y dónde atacar a continuación utilizando la inteligencia particular la industria de la tecnología, para emergentes.
y proteja a las personas del comportamiento
imprudente del Estado en línea. En ninguna parte artificial, aprovechando la desinformación y encontrando formas de garantizar que el diálogo beneficie a aquellos con
Es necesario reinventar las instituciones
socavar el incipiente metaverso. Los defensores de los derechos experiencia indispensable.
esto se demuestra más claramente que en la guerra multilaterales para abordar el desafío
humanos, la industria tecnológica y los gobiernos respetuosos de • Formar un organismo permanente para apoyar el comportamiento
en curso en Ucrania. Además de un esfuerzo apremiante de los ciberataques de los Estados nacionales.
los derechos deben trabajar juntos para lograr una visión estatal responsable en el ciberespacio. El trabajo de los
estratégico global, los gobiernos pueden actuar ahora
afirmativa de un mundo en línea seguro y protegido. El camino foros diplomáticos internacionales para promover un
para lograr un impacto positivo inmediato. por recorrer es largo, pero hay cosas que los gobiernos comportamiento estatal responsable en línea nunca ha sido
pueden hacer ahora para mejorar de inmediato el ecosistema más importante. Existe una clara necesidad de un
Hace cinco años, Microsoft pidió una “Convención de Ginebra de ciberseguridad: mecanismo permanente de la ONU para abordar el
Digital” para promover responsabilidades y obligaciones en todos ciberespacio como un ámbito de conflicto.
los sectores para defender la paz y la seguridad en línea. El
• Citar normas, leyes y consecuencias en • Definir nuevas normas para las amenazas en evolución.
ciberespacio estaba emergiendo como un dominio distinto y
atribuciones. Una mejora importante en los últimos cinco Las amenazas del ciberespacio evolucionan constantemente
volátil de conflicto y competencia entre estados, y los
años ha sido la velocidad y coordinación de las atribuciones junto con las innovaciones tecnológicas.
ataques se volvían más comunes, incluso en tiempos de paz. Si bien las normas internacionales deben ser
gubernamentales de los ciberataques. Más allá de
simplemente señalar y avergonzar, estas declaraciones neutrales desde el punto de vista tecnológico, será Enlaces a más información
Hoy en día, todavía existe una clara necesidad de un deben resaltar qué leyes o normas internacionales se violan necesario actualizarlas y atenuarlas en función de los
y qué tipo de consecuencias se impondrán para ayudar a Un momento de ajuste de cuentas: la necesidad de
marco de este tipo, como lo demuestran los ciberataques rusos cambios en el panorama de amenazas y en la forma
una respuesta de ciberseguridad fuerte y global |
contra Ucrania como parte de la invasión rusa. Esta guerra ha fortalecer el reconocimiento de las expectativas en que utilizamos la tecnología. Incluso hoy vemos cómo
Microsoft sobre los problemas
creado un nuevo frente que es dramáticamente diferente de internacionales. se abusa de las lagunas del marco internacional existente.
cualquiera que hayamos conocido antes. Los Estados deben comprometerse a proteger expresamente los Deben cesar los ciberataques dirigidos a la atención
procesos centrales que sustentan el ecosistema digital y que sanitaria | Microsoft sobre los problemas
Para llevar estabilidad al ciberespacio será necesario • Aclarar la interpretación del derecho internacional en línea.
actualmente no están protegidos, como el proceso de
fortalecer y reinventar las instituciones de gobernanza Si bien los gobiernos coinciden en que el derecho
El próximo capítulo de la ciberdiplomacia en las
actualización de software. Además, áreas específicas
global para que sean adecuadas para su propósito. El internacional se aplica en línea, quedan dudas sobre cómo
Naciones Unidas nos llama | microsoft
merecen protecciones adicionales. Por ejemplo, como hemos
ciberespacio es fundamentalmente diferente de otros dominios: se aplica en casos específicos. Esto es particularmente Sobre los problemas
aprendido en medio de la pandemia, las normas para proteger
no tiene fronteras, es sintético y está mantenido en gran medida pertinente tras la invasión de Ucrania. Los gobiernos pueden
la atención médica son esenciales.
por la industria privada. llegar lejos
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
54 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Notas finales
1 https://www.microsoft.com/enus/cybersecurity/contenthub/cloudsecurity 19 https://www.wsj.com/articles/usonsidelinesaschinaandotherasiapacificnationslaunchtradepact11641038401
2 https://blogs.microsoft.com/ontheissues/2022/04/27/hybridwarukrainerussiacyberattacks/
3 La infraestructura crítica en este capítulo está definida por la Directiva de Política Presidencial 21 (PPD21), Seguridad 20 https://greenfdc.org/chinastwosessions2022whatitmeansforeconomyclimatebiodiversitygreen
y Resiliencia de Infraestructuras Críticas (febrero de 2013). financeandthebeltandroadinitiativebri/
4 https://www.microsoft.com/security/blog/2021/11/18/iraniantargetingofitsectorontherise/ 21 https://www.cfr.org/globalconflicttracker/conflict/territorialdisputessouthchinasea 22 https://
5 https://www.microsoft.com/security/blog/2022/06/02/exposingpoloniumactivityand www.theguardian.com/world/2022/apr/30/thechina elacuerdodeseguridaddesalomónhasido
infraestructuradirigidaaorganizacionesisraelíes/ tiempofirmadoparapasardeladiplomaciadelmegáfono
6 https://www.microsoft.com/security/blog/2021/10/25/nobeliumtargetingdelegatedadministrativeprivileges 23 https://www.fmprc.gov.cn/eng/zxxx_662805/202205/t20220531_10694928.html 24 https://
tofacilitatebroaderattacks/ blogs.microsoft.com/ontheissues/2021/12/06/cyberattacksnickeldcu porcelana/; https://www.microsoft.com/
7 https://www.microsoft.com/enus/security/business/identityaccess/azureactivedirectory security/blog/2021/12/06/nickeltargetinggovernmentorganizationsacrosslatinamericaandeurope/
autenticación sin contraseña
8 https://www.solarwinds.com/trustcenter/securityadvisories/cve202135211 25 https://www.microsoft.com/security/blog/2022/04/12/tarraskmalwareusesscheduledtasksfordefenseevasion/
9 https://pitstop.manageengine.com/portal/en/community/topic/adselfserviceplus6114security
liberaciónarreglo 26 https://attack.mitre.org/techniques/T1053/
10 https://reliefweb.int/report/ukraine/unicefukrainehumanitariansituationreportno131017 27 https://www.microsoft.com/security/blog/2022/07/26/maliciousiisextensionsquietlyopen
mayo2022 puertastraseraspersistentesenservidores/
11 https://news.un.org/en/story/2022/06/1119672 28 https://www.microsoft.com/security/blog/2021/02/11/webshellattackscontinuetorise/
12 https://zetter.substack.com/p/dozensofcomputersinukrainewiped?s=r; 29 https://www.timesofisrael.com/inrarecriticismofirgcrouhanislamsantiisraelslogansontestmissiles/; https://
https://www.microsoft.com/security/blog/2022/01/15/destructivomalwaretargetingukrainianorganizations/ www.theguardian.com/world/2017/may/05/iranpresidenthassanrouhaninuclearagreementsabotagged;
https://d2071andvip0wj.cloudfront.net/184iransprioritiesinaturbulentmiddleeast_1.pdf; https://
13 https://www.cnn.com/2022/03/14/economy/chinajanfebeconomychallengesaheadintlhnk/ www.aljazeera.com/news/2016/3/9/
índice.html Iránlanzamisilesbalísticosduranteejerciciomilitar; https://www.usatoday.com/story/news/
mundo/2015/04/25/iranyemenweapons/26367493/; https://www.armscontrol.org/blog/
14 https://www.wsj.com/articles/russiasvladimirputinmeetswithchineseleaderxijinpinginbeijing11643966743 15
ArmsControlNow/20160314/Loslanzamientosdemisilesbalísticosiraníesquenosucedieron; https://
https://
www.reuters.com/world/middleeast/iranparliamentapprovesmostraisinomineeshardlinecabinet20210825/;
www.washingtonpost.com/world/2022 /04/01/cumbrechinaue/
16 https://twitter.com/MoNDefense
30 https://www.reuters.com/world/middleeast/iranparliamentapprovesmostraisinomineeshardline
17 https://news.usni.org/2022/01/24/2usaircraftcarriersnowinsouthchinaseaaschineseair cabinet20210825/; https://www.france24.com/es/livenews/20210825elparlamentodeiranapruebalas
fuerzavuela39avionescercadetaiwán
opcionesdelcabinetdelpresidente
18 https://ec.europa.eu/trade/policy/infocus/euchinaagreement/; https://www.usnews.com/
news/world/articles/20220228/laueplaneacumbreconchinael1deabrilparaabordarlastensiones
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
55 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
31 https://www.janes.com/defencenews/newsdetail/iranianirgcconsolidatesprimacy 45 https://www.reuters.com/world/asiapacific/nkoreamobilisesofficeworkersfightdrought
en operaciones de inteligencia; https://www.proofpoint.com/us/blog/threatinsight/badbloodta453 en mediodeescasezdealimentos20220504/
objetivoscredencialdepersonaldeinvestigaciónmédicaestadounidenseyisraelí; https://miburo.substack.com/p/ 46 https://www.washingtonpost.com/world/asia_pacific/northkoreakim
irandesinfoprivatizado?s=r. pandemia/2021/09/08/31adfd74ff5311eb87e07e07bd9ce270_story.html
32 https://www.reuters.com/business/energy/iransaysisraeluslikelybehindcyberattackgasstations20211030/ 47 https://news.yahoo.com/chinahaltsfreighttraintraffic102451425.html
48 https://www.cnn.com/2022/05/11/asia/northkoreacovidomicroncoronavirusintlhnk/index.
33 https://www.tasnimnews.com/en/news/2021/11/05/2602361/usmilitaryactionoffthetable HTML
general iraní 49 https://www.csis.org/analysis/numbernorthkoreandefectorsdropslowestleveltwodecades
34 En particular, parchear los servidores Exchange para las vulnerabilidades de ProxyShell (CVE202126855, CVE2021 50 https://www.aljazeera.com/economy/2022/5/20/northkoreashunsoutsidehelpascovidcatastrophelooms
26857, CVE202126858 y CVE202127065, CVE202134473). Además, asegúrese de parchear los dispositivos
VPN SSL de Fortinet FortiOS para detectar vulnerabilidades.
51 JanPhilipp Hein, En el misterio del espeluznante software espía, el rastro conduce a través de Wirecard al
35 https://docs.microsoft.com/enus/microsoft365/commerce/managepartners?view=o365 Kremlin, FOCUS Online, (2022), https://www.focus.de/politik/vorabausdemfocus vollekontrolleueber
mundial
zielcomputerdasraetselumdiespionageappfuehrtueberwirecardzuputin_id_24442733.html; Sugar
36 https://www.microsoft.com/security/blog/2022/06/02/exposingpoloniumactivityand Mizzy, presentamos el troyano estatal “Subzero” de Austria, Europecities (2021), https://europecities.com/
infraestructuradirigidaaorganizacionesisraelíes/ 2021/12/17/weunveilthesubzerostatetrojanfrom Austria/; Andre Meister, Presentamos el troyano estatal “Subzero”
37 https://www.microsoft.com/security/blog/2022/06/02/exposingpoloniumactivityand de Austria, Netzpolitik.
infraestructuradirigidaaorganizacionesisraelíes/ org (2022), https://netzpolitik.org/2021/dsirfwirenthuellendenstaatstrojanersubzeroausoesterreich.
38 https://www.secureworks.com/blog/lyceumtakescenterstageinmiddleeastcampaign 39 https://www.microsoft.com/
security/blog/2021/11/18/iranian focalizaciónenelsectorenaumento/ 52 Como se señaló en nuestro blog técnico, la identificación de objetivos en un país no necesariamente
40 https://docs.microsoft.com/enus/microsoft365/security/defenderendpoint/manageupdates significa que un cliente DSIRF reside en el mismo país, ya que la orientación internacional es común.
líneas de basemicrosoftdefenderantivirus?view=o365worldwide 53 Inicio | Acuerdo tecnológico de ciberseguridad (cybertechaccord.org)
41 https://docs.microsoft.com/microsoft365/security/defenderendpoint/cloudprotection
antivirusmicrosoftdefender
42 https://docs.microsoft.com/microsoft365/commerce/managepartners?view=o365worldwide 43 https://
www.marketwatch.com/story/kimjonguncallsforimproved condicionesdevidaencoreadelnorte01633920099
https://www.bbc.com/news/worldasia59845636
https://kcnawatch.org/newstream/1650963237449932111/respectedcomradekimjongunmakesspeechat
militaryparadeheldincelebrationof90thfoundinganniversaryof kpra/
44 https://www.theguardian.com/world/2021/aug/06/northkoreahomeswreckeddamgedandandbridgeswashedawayin
floods
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
56 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Introducción 58
Con la aceleración de la transformación digital, la seguridad Foco en las vulnerabilidades del firmware 66
enormemente
superficie de ataque
la del mundo digital. superficie del mundo digital.
Ataques
Los ataques
contra
contra
la administración
dispositivos de
remota
Los
se están
ciberdelincuentes
aprovechandoy rápidamente.
los Estadosnación aumentando,
administracióny remota
cada vez
están
hay más
Mientras
TI . Si bien
selaaprovecha
seguridadladelseguridad
hardwaredey dispositivos
100 millonesendeaumento, con más de
ataques observados
software
últimos años,
de TIlaseseguridad
ha fortalecido
de Internet
en los de
las cosas (OT)
operativa ( IoT)(IoT)
y losydispositivos
operativa Los de tecnología en mayo
veces de 2022
mayor (un aumento
en mayo de 2022)cinco
se
dispositivos
el ritmo. Lasde tecnología
amenazas que(OT)
los no han seguido
actores están quintuplicó
en en el último año.
el año pasado. 27%
explotando
actores no han seguido
de amenazas estánel ritmo. Losestos
explotando Países
32%
dispositivos
redes paraelestablecer
y permitir movimiento acceso a para
lateral, las Más información en p62 vendido 4%
establecer
para establecer
y permitir
un punto
el movimiento
de apoyo lateral,
en una Más información en p59 13%
cadena
punto dede apoyo
suministro,
en unaocadena
para interrumpir
de el 36%
suministro,
operacioneso OT paradeinterrumpir
la organización
las objetivo. operaciones
SeOT de la organización
Globalmente
necesitan objetivo.
consistentes
políticas de seguridad
e interoperables
globalmente
para garantizar
consistentes
una adopción
e interoperables
amplia.
amplia adopción.
En los últimos años se han producido cambios sin precedentes Si bien la prevalencia de vulnerabilidades de IoT y OT es un Desde el punto de vista de las operaciones de seguridad,
Introducción en el mundo digital. Las organizaciones están evolucionando desafío para todas las organizaciones, la los defensores de la red adoptan múltiples enfoques para
para aprovechar los avances en la capacidad informática infraestructura crítica corre un mayor riesgo porque los mejorar la postura de seguridad de IoT/OT de su organización.
tanto de la nube inteligente como del borde inteligente. actores de amenazas han aprendido que deshabilitar servicios Un enfoque es implementar un monitoreo continuo de
La aceleración de la Como resultado de la pandemia que obliga a las entidades a críticos es una palanca poderosa. El ataque de ransomware los dispositivos IoT y OT. Otra es “girar a la izquierda”, es
transformación digital ha digitalizarse para sobrevivir y el ritmo al que las industrias de 2021 a Colonial Pipeline Company demostró cómo los decir, exigir e implementar mejores prácticas de ciberseguridad
de todo el mundo están adoptando dispositivos con acceso delincuentes pueden interrumpir un servicio crítico para para los propios dispositivos IoT y OT. Un tercer enfoque
aumentado el riesgo de a Internet, la superficie de ataque del mundo digital está aumentar la probabilidad de pago de un rescate. es implementar una solución de monitoreo de seguridad
ciberseguridad para la aumentando exponencialmente. Y los ciberataques de Rusia contra Ucrania demuestran
que algunos estados nacionales ven los ciberataques
que abarque redes de TI y OT. Este enfoque holístico tiene
el importante beneficio adicional de contribuir a los
Esta rápida migración ha superado la capacidad de la
infraestructura crítica y los sistemas ciberfísicos.
comunidad de seguridad para mantenerse al día. Durante
contra infraestructura crítica como un sabotaje procesos organizacionales críticos, como "romper los silos"
aceptable para lograr sus objetivos militares. entre OT y TI, lo que a su vez permite a la organización
el año pasado, hemos observado amenazas que explotan
alcanzar una postura de seguridad mejorada mientras
dispositivos en cada parte de la organización, desde equipos
cumple con los objetivos comerciales.
de TI tradicionales hasta controladores de tecnología Sin embargo, hay esperanza en el horizonte.
operativa (OT) o simples sensores de Internet de las Los formuladores de políticas y los defensores de
cosas (IoT). Aunque la seguridad de los equipos de TI se ha las redes están actuando para mejorar la ciberseguridad
fortalecido en los últimos años, la seguridad de los dispositivos de la infraestructura crítica, incluidos los dispositivos IoT y Michal BravermanBlumenstyk
IoT y OT no ha seguido el ritmo. Los actores de OT de los que dependen. Los formuladores de políticas Vicepresidente corporativo, jefe de tecnología
amenazas están explotando estos dispositivos para están acelerando el desarrollo de leyes y regulaciones Oficial, Seguridad en la nube y la IA
establecer acceso a las redes y permitir el movimiento lateral o para generar confianza pública en la seguridad
interrumpir las operaciones OT de la organización. Hemos cibernética de infraestructuras y dispositivos críticos.
visto ataques a las redes eléctricas, ataques de
Microsoft se está asociando con gobiernos de todo el mundo
ransomware que interrumpen las operaciones de OT,
para aprovechar esta oportunidad de mejorar la
se aprovechan los enrutadores de IoT para aumentar la
ciberseguridad y agradecemos un compromiso
persistencia y ataques dirigidos a vulnerabilidades en el firmware.
adicional. Sin embargo, nos preocupa que los requisitos
inconsistentes, personalizados o complejos puedan tener
efectos no deseados, incluida la disminución de la
seguridad en algunos casos al desviar recursos de
seguridad escasos hacia el cumplimiento de múltiples
certificaciones duplicadas.
Machine Translated by Google
Informe
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
59 Informe de defensa digital de Microsoft 2022 Introducción
Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Sobre la base de sus regulaciones para oleoductos, la TSA emitió Los formuladores de políticas también han centrado su La necesidad de coherencia
Los gobiernos actúan dos directivas de seguridad adicionales a finales de 2021 que atención en la continua proliferación de dispositivos IoT y
En muchos casos, la gama de actividades entre
promulgaron requisitos de ciberseguridad para los sistemas de dispositivos OT conectados en red.
para mejorar la transporte ferroviario de carga, de pasajeros o de tránsito ferroviario.
regiones, sectores, tecnologías y áreas de gestión de riesgos
operativos se lleva a cabo simultáneamente, lo que
• En el Reino Unido, el proyecto de Ley de Infraestructura
Las directivas exigían que los operadores cubiertos
seguridad y la resiliencia designaran un coordinador de ciberseguridad, informaran
de Telecomunicaciones y Seguridad de Productos genera una posible superposición o inconsistencia en el
requerirá que los fabricantes de productos de alcance, los requisitos y la complejidad para las
de las infraestructuras críticas los incidentes de ciberseguridad dentro de las 24 horas,
consumo conectables, como televisores inteligentes, organizaciones que buscan aprovechar la orientación o
desarrollaran e implementaran un plan de respuesta a incidentes
dejen de usar contraseñas predeterminadas que son un demostrar el cumplimiento.
Continuado de ciberseguridad y completaran una evaluación de
blanco fácil para los ciberdelincuentes, para establecer Sin una definición universalmente aceptada de IoT, el
vulnerabilidad de ciberseguridad. La TSA anunció simultáneamente
una política de divulgación de vulnerabilidades (como una alcance es especialmente desafiante para las regulaciones
El Congreso de los EE. UU. aprobó una ley que autorizó a la que también actualizó sus programas de seguridad de la aviación
manera de recibir notificaciones sobre fallas de seguridad) y de dispositivos IoT y OT. Los ejemplos anteriores se
Agencia de Seguridad de Infraestructura y para exigir a los operadores de aeropuertos y aerolíneas que
brindar transparencia sobre el período mínimo de tiempo aplican potencialmente a "productos conectados y servicios
Ciberseguridad (CISA) a emitir regulaciones para exigir implementen las dos primeras disposiciones, designando un
durante el cual proporcionarán actualizaciones de auxiliares", "productos de consumo conectables" y
informes de incidentes cibernéticos a los operadores coordinador e informando incidentes dentro de las 24 horas.
seguridad.9 "dispositivos inalámbricos". Al mismo tiempo, muchos
de infraestructura crítica, y la Administración de
gobiernos pretenden implementar regímenes de
Seguridad del Transporte (TSA) de los EE. UU. emitió Desarrollos de políticas en seguridad • En la UE, nuevas normas de seguridad o
evaluación más sólidos para comprender mejor si las
nuevos requisitos de ciberseguridad específicos del de dispositivos IoT y OT Los requisitos se están implementando a través de
organizaciones y los productos cumplen con los requisitos
sector del transporte. . múltiples instrumentos legislativos, incluido un acto
En docenas de países, los gobiernos participan activamente
actuales, emergentes y en evolución, y cómo lo hacen.
En 2021, la TSA emitió dos directivas de seguridad delegado a la Directiva sobre equipos de radio que
en el desarrollo de requisitos para avanzar en la ciberseguridad
A medida que estas tendencias se fusionen, la complejidad
para los operadores de gasoductos de líquidos y gas se aplica a los dispositivos inalámbricos y busca
de los productos y servicios de tecnologías de la información y
aumentará. Es alentador que las preguntas planteadas durante
natural peligrosos en respuesta al ataque de mejorar la resiliencia de la red, proteger la privacidad
las comunicaciones (TIC), incluidos los dispositivos IoT y OT. En
la consulta sobre la Ley de Resiliencia Cibernética de
ransomware a Colonial Pipeline Company: de los consumidores y reducir el riesgo de fraude
el contexto de los productos y servicios de TIC, las mayores
la UE exploraran cómo la nueva regulación podría potencialmente
monetario.10 Además, el uso de un Podría ser
• La primera directiva exigía a los operadores preocupaciones son la seguridad de la cadena de suministro
interactuar con la regulación de ciberseguridad existente, lo
necesario un esquema de certificación de la nube,11
designar un coordinador de ciberseguridad, informar de software y la seguridad de IoT.
que indica la intención de evitar requisitos de ciberseguridad
actualmente en desarrollo como resultado de la Ley
incidentes cibernéticos en un plazo de 12 horas y realizar • La Comisión Europea propuso la contradictorios.
de Ciberseguridad de la UE de 2019,12 .
una evaluación de vulnerabilidad de sus sistemas. Ley de Resiliencia Cibernética, que establecería
Los enfoques iterativos basados en el riesgo y
• La segunda directiva, que la TSA revisó en 2022, les requisitos de ciberseguridad para software independiente
orientados a los resultados o procesos (en lugar de una
exigía implementar medidas de mitigación específicas y dispositivos conectados y servicios auxiliares.5 Las
implementación específica) podrían fomentar una mayor
para proteger contra ataques de ransomware y prácticas relevantes para los proveedores de software
ciberseguridad y una mejora continua.
otras amenazas conocidas a los sistemas de TI y OT, incluyen aprovechar un ciclo de vida de desarrollo de
Del mismo modo, centrarse en permitir la interoperabilidad
desarrollar e implementar un plan de respuesta y contingencia software seguro6 y proporcionar una lista de
entre sectores, regiones y áreas de políticas podría
de ciberseguridad dentro de los 30 días, y someterse a materiales de software.7 Se aplicarían nuevos
aumentar consistentemente la ciberseguridad en las
un examen anual. Revisión del diseño de la arquitectura requisitos de seguridad a los dispositivos conectados
cadenas de suministro globales interconectadas.
de ciberseguridad. y todos los fabricantes tendrían la tarea de gestionar procesos
coordinados de divulgación de vulnerabilidades8 para
los productos lanzados.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
61 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Los gobiernos actúan Acelerar las inversiones en todo el ecosistema en seguridad de la Información procesable
para mejorar la cadena de suministro de software y arquitectura Zero Trust 1 Las instituciones multilaterales deben
reinventado para abordar el desafío apremiante
La Orden Ejecutiva de EE. UU. (EO) 14028
seguridad y la resiliencia Hoy, vamos más allá de los requisitos de la EO para de los ciberataques de los estados nacionales.
sobre la mejora de la ciberseguridad ha sido un demostrar el cumplimiento de los requisitos de seguridad de la
de las infraestructuras críticas catalizador para acelerar las iniciativas en curso de cadena de suministro de software y proporcionar
2 Desarrollar políticas de ciberseguridad que sean
consistentes e interoperables entre regiones,
Microsoft para invertir en la seguridad de información de la lista de materiales del software (SBOM) de
sectores y áreas temáticas.
Continuado nuestra cadena de suministro propia y de todo el dos maneras:
ecosistema y para permitir que nuestros clientes 1. Primero, compartimos una versión de código abierto de Enlaces a más información
cumplan con los objetivos de Zero Trust. nuestra herramienta generadora de SBOM, que creamos
Hay políticas de ciberseguridad de Inversiones continuas en seguridad de la
para integrarse fácilmente con canalizaciones de CI/CD
infraestructura crítica cada vez más que admiten compilaciones en plataformas Windows, Linux,
cadena de suministro en apoyo de la
complejas en desarrollo en todas las Durante mucho tiempo hemos creído que mejorar la
Mac, iOS y Android.13
Orden Ejecutiva de ciberseguridad | microsoft
cadena de suministro de software requiere compartir aprendizajes Comunidad tecnológica
regiones, sectores y áreas temáticas. 2. En segundo lugar, estamos contribuyendo a la
y mejores prácticas, comenzando con nuestro lanzamiento
El gobierno de EE. UU. establece la estrategia y
Esta actividad trae grandes público del Ciclo de vida de desarrollo de seguridad de
desarrollo de estándares industriales para la
integridad, transparencia y confianza de la cadena los requisitos de la arquitectura Zero Trust |
oportunidades y desafíos importantes. La Microsoft hace unos 15 años.
de suministro (SCITT). Esto permitirá el intercambio Blog de seguridad de Microsoft
forma en que procedan los gobiernos Además, nos estamos asociando estrechamente con el Centro automatizado de información verificable de la cadena
CIBER EO | Microsoft federal
será crucial para el futuro de la Nacional de Excelencia en Ciberseguridad para demostrar de suministro, incluidos artefactos que demuestren
enfoques de arquitectura de confianza cero aplicados a
transformación digital y la seguridad de todo el ecosistema. conformidad con requisitos como los que resultan de la guía Integridad, transparencia y confianza de la cadena
la tecnología local y en la nube y establecer nuevas capacidades de la cadena de suministro de software de la EO. de suministro | github.com
de productos, incluida la capacidad de aplicar autenticación
resistente al phishing para sistemas híbridos y múltiples. Implementación de una arquitectura de confianza cero |
El mundo digital cada vez más conectado no están parcheados o están expuestos. 100
senolliM
rápidamente, se comunican con sistemas Los dispositivos expuestos se pueden descubrir a 60
más grandes, recopilan datos y crean visibilidad en través de herramientas de búsqueda en Internet
40
espacios antes oscuros. Esto brinda identificando servicios que escuchan en puertos de red
20
oportunidades tanto para las organizaciones abiertos. Estos puertos se utilizan comúnmente para la
gestión remota de dispositivos. Si no se protege 0
como para los actores de amenazas, ya que el
correctamente, un dispositivo IoT expuesto se puede utilizar
negocio del cibercrimen se está
oiluj
e0n2
e e
d
oinuj
ee2
df
c2o
d
o2r2
b2a
d
como punto de pivote hacia otra capa de la red empresarial,
e2d
s
2r2b0
erb1u2t0
e
ei2
d
erbme1it2p0
emd
2
ir0
e
erbm1e2ic0
o2n
d
zr2a0
ore
2l2
g2a
d
v0e
o2y2a0m
2
o2
o0e
erbme1i2
ot1s2
convirtiendo en una industria y un riesgo multimillonario.
ya que usuarios no autorizados pueden acceder de
forma remota a los puertos. Hemos observado una variedad
Los dispositivos de IoT, que incluyen desde impresoras de actores de amenazas que intentan explotar vulnerabilidades Aumento de los ataques a puertos de gestión remota con el tiempo, como se ve a través de la red de sensores del MSTIC.
hasta cámaras web, dispositivos de control climático y en dispositivos expuestos a Internet, desde cámaras hasta enrutadores y termostatos.
controles de acceso a edificios, plantean riesgos Sin embargo, a pesar del riesgo, millones de dispositivos
de seguridad únicos para individuos, organizaciones y
Ataques web contra IoT y OT
siguen sin parchear o expuestos.
redes. Si bien son fundamentales para las operaciones de 50
muchas organizaciones, pueden convertirse rápidamente
Resumen de tipos de ataques a IoT/OT
en un riesgo de responsabilidad y seguridad. La 40
seliM
20
control
El malware como servicio se ha trasladado a industrial 1%
10
operaciones a gran escala contra infraestructura y servicios
públicos civiles (incluidos hospitales, petróleo y gas, redes
0
eléctricas, servicios de transporte y otras infraestructuras
críticas), así como redes corporativas. Correo electrónico 4%
oiluj
e0n2
e e
d
oinuj
oinuj
ee2
df
ec2
o
d
o2r2
b2a
d
e2ds
2r2b0
erb1u2t0
ei2
d
erbme1it2p0
emd
2
ir0
e
erbm1e2ic0
o2n
d
zr2a0
ore
2l2
g2a
d
erbme1i2v0
e
o2y2a0m
2
o2
o0
ot1s2 e
Los actores de amenazas requieren importantes esfuerzos de Gestión
Principales programas maliciosos de IoT detectados en la naturaleza A medida que los ingresos por ataques contra
dispositivos IoT disminuyeron en 2022, observamos usuario
103.092 87.479 11.895 10,192 3.166
que varios grupos de actores de amenazas abusaban usuario
de las vulnerabilidades (como Log4j y Spring4Shell) para
entregar una carga útil maliciosa a dispositivos como
administración
tsunami
Minero círculo exterior
Muchos protocolos de sistemas de control industrial
gafgyt
mirai no están supervisados y, por lo tanto, son vulnerables a contraseñas
IoT y OT expuestos: Prevalencia del protocolo del sistema de control industrial. El malware como Mirai persiste mediante el desarrollo
1. Ethernet/IP 13.IEC60870 de nuevas capacidades y está siendo adoptado
Tendencias y ataques 2.MODBUS por grupos de delitos cibernéticos y actores estatales,
14. FDA de Honeywell
Diagnóstico aprovechando nuevas variantes de botnets existentes
Continuado 3. BACNet
15. Enlace de suite en ataques DDoS contra adversarios extranjeros.
4.Siemens S7
Si bien las configuraciones débiles y las 16. DeltaV
5. Profinet en
credenciales predeterminadas aún representan un riesgo para 3 4 5
tiempo real 17.GSM
las redes, Microsoft observó muchos exploits basados en
la web que utilizan HTTP. Observamos este aumento 6. Profinet DCP 18. DNP3 Información procesable
El firmware es responsable de las funciones principales de El proceso de actualización del firmware varía ampliamente
Hackeo de firmware un dispositivo, como conectarse a una red o almacenar entre dispositivos, y la complejidad y el desafío logístico de “Los proveedores de infraestructura de TIC son cada vez
datos. El firmware se encuentra en enrutadores, cámaras, realizarlo afecta la frecuencia de actualización. No siempre más objetivos, ya que permiten la replicación generalizada
y cadena de suministro televisores y otros dispositivos utilizados en empresas (IoT), es posible determinar si un dispositivo ejecuta el firmware más de un único ataque. Al mismo tiempo, la legislación
junto con equipos de control industrial (OT) utilizados en reciente, lo que dificulta que los profesionales de seguridad global, la regulación y las demandas de los clientes en materia
Casi todos los dispositivos conectados a Internet infraestructuras críticas. monitoreen y garanticen la postura de seguridad en sus de seguridad y resiliencia de la cadena de suministro están
tienen firmware, que es un software integrado en el Históricamente, el firmware se ha escrito con dispositivos IoT y OT. Además, algunos dispositivos aumentando, y a menudo divergen en sus requisitos.
hardware o en la placa de circuito del dispositivo. código no seguro, lo que crea vulnerabilidades tienen firmware que no está firmado criptográficamente, lo que
La solución es la asociación. Junto con los proveedores
En los últimos años, hemos visto un aumento importantes que pueden explotarse para controlar el permite actualizarlos sin verificación por parte del usuario.
y los gobiernos globales, Microsoft se compromete a abordar
en el ataque al firmware para lanzar ataques dispositivo o inyectar código malicioso en el firmware. Estas debilidades exponen aún más los dispositivos a ataques a
la seguridad en todo el ecosistema de nuestra cadena de
devastadores. Dado que es probable que el firmware la cadena de suministro en toda la cadena de producción y
suministro, superando las demandas tanto de los clientes
siga siendo un objetivo valioso para los actores de distribución.
Este riesgo se agrava cuando se trata de la cadena de como de los reguladores. Para ello, estamos impulsando
amenazas, las organizaciones deben protegerse suministro. La mayoría de los dispositivos se construyen un enfoque integral de seguridad y resiliencia operativa que
contra la piratería de firmware. utilizando componentes de software y hardware de Para abordar estas amenazas, Microsoft invierte se implemente de manera flexible en toda la cadena de
numerosos fabricantes, así como bibliotecas de código significativamente en garantizar la seguridad y la integridad del suministro.
abierto. En muchos casos, los operadores de dispositivos no firmware a medida que avanza por las distintas etapas de
Impulsar la integridad del firmware desde el diseño
tienen visibilidad de la lista de materiales de hardware y la cadena de suministro, y en certificar en cualquier momento que
hasta el funcionamiento del dispositivo es clave para
software (H/SBOM) para evaluar el riesgo de la cadena de no ha sido manipulado durante la ingestión o durante el camino.
nuestro enfoque colectivo. Garantizar los procesos SDL
suministro de los dispositivos en su red. En junio de Esto nos permitirá validar la confianza entre cada segmento
de los proveedores y desplegar innovación de raíz de
2020, se revelaron vulnerabilidades en una pila de red de tubería y proporcionar una cadena de custodia de extremo
confianza en hardware son ejemplos de cómo podemos
utilizada por muchos fabricantes diferentes que afectaban a a extremo certificada y demostrable para cada componente que
"construir" la integridad de la cadena de suministro.
cientos de millones de dispositivos IoT en el espacio de enviamos a los clientes. Estamos trabajando con nuestros
equipos industriales y de consumo.14 En algunos casos, socios para llevar esta seguridad del chip a la nube a todos los Nuestra comunidad está aprovechando la
otros proveedores cambiaron el nombre de la pila de red y dispositivos de la empresa y la red OT. investigación y el desarrollo colectivos que abarcan
no había indicios de que El dispositivo era vulnerable. nuevas técnicas antimanipulación y mecanismos criptográficos,
Vemos una creciente amenaza de actores maliciosos que combinados con monitoreo continuo y detección
apuntan a esta cadena de suministro de software y de anomalías. Juntos, estamos progresando para minimizar
hardware de dispositivos IoT/OT para comprometer a las el atractivo de la cadena de suministro como superficie
organizaciones. de ataque”.
Edna Conway,
Vicepresidente, Oficial de Seguridad y Riesgos,
Infraestructura de la nube
Machine Translated by Google
Informe El
El estado
estado de
de Estado
Estado nacional
nacional Dispositivos y Influencia Contribuyendo
Informe Influencia cibernética
cibernética cibernético
cibernético Contribuyendo
66 Informe de defensa digital de Microsoft 2022 Introducción
Introducción cibercrimen
cibercrimen
Amenazas
Amenazas Infraestructura Operaciones Resiliencia
Resiliencia equipos
equipos
Operaciones
Los atacantes aprovechan cada vez más las Microsoft adquirió ReFirm Labs para arrojar luz sobre la Más de 10 vulnerabilidades críticas conocidas 32%
vulnerabilidades del firmware de los dispositivos IoT seguridad de los dispositivos antiguos y permitir a los
4%
fabricantes de dispositivos mejorar la seguridad de sus productos. Más de 10 vulnerabilidades críticas de más de 6 años
para infiltrarse en las redes corporativas.
ReFirm Labs analiza la imagen binaria del firmware de un
A diferencia de los puntos finales de TI tradicionales Más de 10 certificados caducados hace más de 3 años 13%
dispositivo y produce un informe detallado sobre posibles
que utilizan agentes XDR para identificar debilidades, la
debilidades de seguridad.17 Esta tecnología se está Presencia de componentes peligrosos. 36%
identificación de vulnerabilidades dentro de los dispositivos
incorporando en una versión futura de Microsoft Defender
IoT/OT es mucho más difícil de alcanzar.
para IoT.
• Vulnerabilidades conocidas: al igual que otros sistemas, • Componentes de software: el treinta y seis por ciento de
Durante el año pasado, examinamos los resultados
Una encuesta reciente realizada por Microsoft y el Instituto El firmware del dispositivo IoT/OT aprovechó ampliamente las imágenes contienen componentes de software que
agregados del firmware único escaneado por nuestros
Ponemon destaca tanto la oportunidad como el desafío las bibliotecas de código abierto. Sin embargo, los Microsoft recomienda excluir de los dispositivos IoT,
clientes. Si bien no todas las debilidades descubiertas
de seguridad de IoT/ dispositivos suelen enviarse con versiones obsoletas de como herramientas de captura de paquetes (tcpdump,
pueden ser explotables, subrayan el desafío
dispositivos OT en una empresa.15 Mientras que el 68 por estos componentes. En nuestro análisis, el 32 por ciento de libpcap), que pueden aprovecharse para el reconocimiento
fundamental de la seguridad del firmware del
ciento de los encuestados cree que la adopción de IoT/OT es las imágenes contenían al menos 10 vulnerabilidades de la red como parte de una cadena de ataque.
dispositivo.
fundamental para su transformación digital estratégica, el 60 conocidas (CVE) clasificadas como críticas (9,0 o
por ciento reconoce que la seguridad de IoT/OT es uno Tenga en cuenta que los tipos de debilidades que existen en los superior). El cuatro por ciento contenía al menos 10
de los aspectos menos seguros de la TI/ dispositivos IoT/OT nunca serían aceptables en terminales vulnerabilidades críticas que tenían más de seis años.
Infraestructura de TO. tradicionales de Windows o Linux.
Un ejemplo de atacantes que utilizan vulnerabilidades en • Contraseñas débiles: veintisiete por ciento • Certificados caducados: los certificados se utilizan para
el firmware de dispositivos IoT para infiltrarse en una red de las imágenes de firmware escaneadas contenían autenticar conexiones e identidades, así como para
es el troyano Trickbot, que aprovechó las contraseñas cuentas con contraseñas codificadas utilizando proteger datos confidenciales, pero el 13 por ciento de las
predeterminadas y las vulnerabilidades en los algoritmos débiles (MD5/DES), que los atacantes imágenes analizadas contenían al menos 10 certificados
enrutadores Mikrotik16 para eludir los sistemas de defensa corporativos.pueden romper fácilmente. que habían caducado hacía más de tres años.
El desafío fundamental del firmware de dispositivos IoT
es la falta de visibilidad de la situación de seguridad y las
vulnerabilidades de los dispositivos.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
67 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
de la seguridad de los dispositivos y brindar (consulte la discusión en la página 66). Nuestra contribución para la empresa si se ven comprometidos.
En febrero de 2022, un incidente en una red de satélites
incluirá el aprovechamiento de la tecnología de análisis de
desconectó una red de comunicación estratégica con impactos que seguridad del ciclo de vida completo para
firmware para brindar a los operadores de dispositivos visibilidad
se sintieron en toda Europa. El sistema KASAT de Viasat recibió los fabricantes y operadores de dispositivos. 2 Utilice herramientas de escaneo de firmware para comprender
de la situación de seguridad de los dispositivos en su red. Esto
una gran cantidad de tráfico que desconectó muchos módems y las posibles debilidades de seguridad y trabajar con los
permitirá a los clientes identificar y priorizar los dispositivos que
se inició un ataque de denegación de servicio contra la red. proveedores para identificar cómo mitigar los riesgos de
Desde junio de 2019, un grupo de amenazas persistentes necesitan protecciones, actualizaciones o reemplazos
los dispositivos de alto riesgo.
avanzadas (APT) afiliado a un estado nacional utilizó el malware adicionales, e impulsará la demanda de que los fabricantes de
A medida que se interrumpió la banda ancha fija, miles de
modular Cyclops Blink para atacar dispositivos de firewall dispositivos inviertan en seguridad de dispositivos. Al mismo 3 Influir positivamente en la seguridad de IoT/
turbinas eólicas quedaron remotamente inaccesibles para los
WatchGuard vulnerables y enrutadores ASUS mediante la tiempo, apoyamos a los constructores con soluciones Dispositivos OT al requerir la adopción de mejores
operadores y se implementó malware de limpieza malicioso en
ejecución de actualizaciones de firmware maliciosas y su integrales para diseñar dispositivos seguros y adoptar ciclos prácticas de ciclo de vida de desarrollo seguro por
los módems afectados. La interrupción afectó a más de 30.000
reclutamiento para una gran botnet. de vida de desarrollo seguros. parte de sus proveedores.
terminales satelitales utilizados por empresas y organizaciones
El malware infecta con éxito los dispositivos explotando una Enlaces a más información
para la comunicación.
vulnerabilidad conocida que permite una escalada de privilegios,
Otro componente clave es proporcionar a los constructores y
lo que permite a los actores de la amenaza administrar el dispositivo. Evaluación de las cadenas de suministro críticas
operadores una infraestructura sólida que permita actualizar
Cyclops Blink: uso de un ataque a la cadena de suministro Una vez infectado, el malware permite que se instalen más módulos Apoyando a la información de EE. UU. y
el firmware del dispositivo a medida que se descubren y
de firmware para apuntar a las puertas de enlace del firewall y evade las actualizaciones de firmware. Se ha observado que los Industria de la tecnología de las comunicaciones
resuelven problemas de seguridad. Microsoft está combinando el
dispositivos comprometidos se conectan a servidores C2 alojados
Para los actores de amenazas, el desarrollo y la análisis de firmware y Defender para IoT con Device Update para IoT
en otros dispositivos WatchGuard. Al emitir muchos certificados
expansión de la infraestructura de comando y control (C2) y de Hub para proporcionar una solución que aborde el ciclo de vida
SSL para su C2 en varios puertos TCP, los operadores de Cyclops
ataque es un componente crucial del éxito. A medida que ha completo de la seguridad de los dispositivos IoT y OT. Estos son
aumentado la necesidad de una infraestructura C2 estable, los Blink obtuvieron acceso remoto privilegiado a las redes
pasos importantes para hacer realidad nuestra visión de que los
ejecutando actualizaciones de firmware maliciosas y evadiendo
enrutadores se han convertido en un vector de ataque clientes aseguren la infraestructura mediante la adopción de
métodos de seguridad tradicionales como el escaneo.
deseable debido a sus parches poco frecuentes y a la falta de dispositivos que admitan un enfoque de Confianza Cero para
soluciones de seguridad integrales. sus soluciones de IoT y OT.18
Apuntar a los sistemas industriales para alterar los ataque semanas o meses y permitir a los atacantes
procesos operativos implica dos pasos. modelar el entorno objetivo de forma rápida y precisa,
lo que aumenta la dificultad para detectar actividad maliciosa.
1. Primero, el atacante debe acceder a la red OT.
Esto se puede hacer ingresando a través de dispositivos IoT
en el lado empresarial de la red (Modelo Purdue Nivel 4) y Industrial e Incontrolador
cruzando el límite ITOT, tradicionalmente separado por Hemos observado un aumento de los ataques a
firewalls y equipos de red, hacia los niveles de operación y
organizaciones, infraestructuras críticas y objetivos
control.
gubernamentales por parte de actores patrocinados por el
2. En segundo lugar, los dispositivos de red deben estar estado que utilizan malware modular y marcos de ataque.
identificado. Los sistemas industriales utilizan Los nuevos intentos de interferir con operaciones críticas en
dispositivos y componentes estándar en arquitecturas Ucrania subrayan la creciente amenaza de ataques OT
personalizadas diseñadas específicamente para sus basados en reconocimiento que están altamente
entornos. Uno de estos dispositivos estándar es el adaptados a sus entornos objetivo.
controlador lógico programable (PLC). Las fases extendidas de reconocimiento e investigación
Cada fabricante desarrolla interfaces y funciones únicas para llevadas a cabo por los actores cibernéticos de los estados
sus PLC, que son un componente crucial de los nacionales apuntan a una estrategia de utilizar la guerra
sistemas industriales, y estos dispositivos se configuran cibernética para paralizar la infraestructura de forma remota
además con esquemas personalizados diseñados para cumplir objetivos estratégicos u operativos específicos
específicamente para los entornos del cliente. en operaciones cibercinéticas combinadas y estrategia política.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
69 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Incontroller, un marco de ataque modular identificado El marco Incontroller admite protocolos para PLC de Schneider
Basado en reconocimiento durante el mismo período, es un conjunto de herramientas Electric y Omron y recopila información, como la versión de Información procesable
modular que reduce significativamente el tiempo de espera firmware, el tipo de modelo y los dispositivos conectados. El kit
ataques OT para penetrar y atacar dispositivos OT, evitando las soluciones de herramientas puede emitir comandos para cambiar
1 Evite transferir archivos que contengan definiciones
del sistema a través de canales no seguros o a
de seguridad heredadas. El kit de herramientas de uso general configuraciones y activar y desactivar salidas. Una vez que se personal no esencial.
Continuado
tiene capacidades de recopilación de datos, reconocimiento y accede a un entorno, el marco admite la implantación
A principios de 2022, se identificaron dos ataques OT críticos ataque que son altamente personalizables para diferentes de puertas traseras en los dispositivos para la entrega de más cargas 2 Cuando la transferencia de dichos archivos sea inevitable,
adaptables. Se llevó a cabo un ataque ciberfísico a entornos y pueden tener un gran impacto en la fase de investigación útiles, la emisión de vulnerabilidades para aumentar los puntos de asegúrese de monitorear la actividad en la red y asegurarse
de que los activos estén seguros.
subestaciones eléctricas y relés de protección en Ucrania de un ataque OT, reduciendo el tiempo necesario para realizar acceso, la carga de lógica de escalera y la capacidad de
con malware personalizado, incluida una variante de el reconocimiento y respaldando la simulación de entornos iniciar ataques DoS. La naturaleza genérica del conjunto de 3 Proteja las estaciones de ingeniería mediante el monitoreo con
Industroyer, un malware que se sabe que causó cortes de mediante la extracción de información. sobre dispositivos y herramientas permite a un actor de amenazas atacar un entorno soluciones EDR.
energía en Ucrania después de su implementación en 2016. sus configuraciones. rápidamente sin necesidad de escribir nuevos ataques para
Notas finales
1 Véase, por ejemplo, Directiva revisada sobre seguridad de redes y sistemas de información (NIS2) | 16 Descubriendo el uso de dispositivos IoT por parte de Trickbot en la infraestructura C2 (marzo de
Dar forma al futuro digital de Europa (europa.eu); https://eurlex.europa.eu/legalcontent/ES/TXT/ 2022): https://www.microsoft.com/security/blog/2022/03/16/uncoveringtrickbotsuseofiotdevicesincommand ycontrol
PDF/?uri=COM:2020:595:FIN&rid=1; Ley de enmienda de la legislación de seguridad (protección de infraestructuras críticas) infraestructura/
de 2022 (homeaffairs.gov.au); Chile: Proyecto de ley de ciberseguridad e infraestructura de información crítica presentado en 17 Programa de IoT en el episodio del canal 9 sobre escaneo de firmware de IoT (mayo de 2022): https://docs.microsoft.
el Senado | Publicación de noticias | Guía de datos; Japón aprueba un proyecto de ley de seguridad económica para proteger la com/enus/shows/internetofthingsshow/iotdevicefirmwaresecurityscanningwithazuredefenderforiot
tecnología sensible | Los tiempos de Japón; Revisión de la Ley de Ciberseguridad y Actualización del Código de Prácticas de
Ciberseguridad para ICI (csa.gov.sg); Propuesta de legislación para mejorar la resiliencia cibernética del Reino Unido: GOV.UK 18 Cómo aplicar un enfoque Zero Trust a sus soluciones de IoT (mayo de 2021): https://
(www.gov.uk); Ley de Telecomunicaciones (Seguridad) de 2021 (legislation.gov.uk); Actualización del marco de www.microsoft.com/security/blog/2021/05/05/howtoapplyazerotrustapproach asussolucionesiot/
ciberseguridad del NIST: viaje hacia CSF 2.0 | NIST
2 Certificado de entrada: página de inicio
3 Inicio de una consulta sobre la introducción de la obligación de informar sobre ciberataques (admin.ch)
4 Véase, por ejemplo, sin título (house.gov)
5 Ley de Resiliencia Cibernética | Dar forma al futuro digital de Europa (europa.eu)
6 Véase, por ejemplo, Ciclo de vida de desarrollo de seguridad de Microsoft.
7 Véase, por ejemplo, Generación de listas de materiales de software (SBOM) con SPDX en Microsoft—Engineering@
Microsoft; consulte también, por ejemplo, Los elementos mínimos para una lista de materiales de software (SBOM) |
Administración Nacional de Telecomunicaciones e Información (ntia.gov)
8 Véase, por ejemplo, https://www.microsoft.com/enus/msrc/cvd
9 Proyecto de ley sobre seguridad de productos e infraestructura de telecomunicaciones (PSTI): seguridad de productos
Ficha informativa: GOV.UK (www.gov.uk)
10 La Comisión refuerza la ciberseguridad de los dispositivos y productos inalámbricos (europa.eu)
11 Esquema de certificación de la nube: creación de servicios de nube confiables en toda Europa — ENISA (europa.eu)
12 Certificación — ENISA (europa.eu)
13 https://github.com/microsoft/sbomtool” GitHub microsoft/sbomtool: La herramienta SBOM es una
Herramienta altamente escalable y lista para empresas para crear SBOM compatibles con SPDX 2.2 para cualquier variedad de
artefactos.
14 https://www.zdnet.com/article/ripple20vulnerabilitieswillhaunttheiotlandscapeforyears
venir
Influencia cibernética
Una descripción general de las operaciones de influencia cibernética 72
Introducción 73
Operaciones
Foco en las operaciones de influencia durante
la pandemia de COVID19 y
La invasión rusa de Ucrania 76
como internacional. Estas campañas erosionan la de los medios es prometedora para combatir el uso indebido.
confianza, aumentan la polarización y amenazan los influencia cibernética integradas con ataques cibernéticos
Efectos
procesos democráticos. Los actores expertos en más tradicionales y operaciones militares cinéticas para
Erosión de la confianza
manipulación persistente avanzada están utilizando los maximizar el impacto. Más información en p80
medios tradicionales junto con Internet y las redes sociales
para aumentar enormemente el alcance, la escala y la
eficiencia de sus campañas, y el enorme impacto que
están teniendo en el ecosistema de información global.
Un enfoque holístico para protegerse
El año pasado, hemos visto estas operaciones utilizadas
como parte de la guerra híbrida de Rusia en Ucrania, pero
contra las operaciones de influencia cibernética
también hemos visto a Rusia y otras naciones, incluidas
Microsoft está aprovechando su ya madura infraestructura de
China e Irán, recurrir cada vez más a operaciones de
inteligencia sobre amenazas cibernéticas para combatir las
propaganda impulsadas por las redes sociales para extender
operaciones de influencia cibernética. Nuestra estrategia es detectar,
su influencia global.
perturbar, defender y disuadir las campañas de propaganda de los agresores extranjeros.
La democracia Las operaciones de influencia extranjera siempre han sido También estamos estudiando cómo tecnologías avanzadas
Introducción una amenaza para el ecosistema de la información. Sin como los deepfakes pueden convertirse en armas y
necesita información confiable embargo, lo que difiere en la era de Internet y las socavar la credibilidad de los periodistas.
redes sociales es el alcance, la escala y la eficiencia Y estamos trabajando con la industria, el gobierno y el
para prosperar. Un área clave enormemente aumentados de las campañas, y el enorme mundo académico para desarrollar mejores formas de
de atención para Microsoft son impacto que pueden tener en la salud del ecosistema de detectar medios sintéticos y restablecer la confianza,
información global. como sistemas de inteligencia artificial (IA) que
las operaciones de influencia puedan detectar falsificaciones.
El viejo dicho de que “una mentira llega al otro lado
que están desarrollando y perpetuando del mundo antes de que la verdad tenga la oportunidad de La naturaleza rápidamente cambiante del ecosistema de
ponerse los zapatos” ahora se está confirmando con datos. información y la propaganda en línea de los estados
los estados nacionales. Estas
Un estudio del Instituto Tecnológico de Massachusetts nacionales, incluida la combinación de ciberataques
campañas erosionan la (MIT)1 encontró que las falsedades tienen un 70 por ciento más tradicionales con operaciones de influencia y la interferencia
de probabilidades de ser retuiteadas que la verdad y en elecciones democráticas, requiere un enfoque de toda la
confianza, aumentan la llegan a las primeras 1.500 personas seis veces más sociedad para mitigar las amenazas a la democracia,
polarización y amenazan los procesos democráticos.
rápido. El ecosistema de la información se ha vuelto cada tanto en línea como fuera de línea.
vez más turbio a medida que florecen las campañas de
Microsoft se dedica a respaldar un ecosistema de
propaganda en Internet y las redes sociales y socavan la
información saludable en el que prosperan las noticias y
confianza en las noticias tradicionales. En un estudio de
la información confiables. Estamos desarrollando herramientas
2021,2 solo el siete por ciento de los adultos estadounidenses
y capacidades de detección de amenazas para combatir
dijeron que tenían “mucha” confianza en los informes de
el riesgo en evolución y expansión de las operaciones de
noticias de los periódicos, la televisión y la radio, mientras que
influencia impulsadas por los estados nacionales. Para
el 34 por ciento informó “ninguna en absoluto”.
permitir este trabajo, recientemente adquirimos Miburo
Microsoft ha estado trabajando para identificar los principales Solutions, nos asociamos con validadores externos como
actores, amenazas y tácticas en el espacio de influencia Global Disinformation Index y NewsGuard, y participamos y, en
cibernética extranjera y compartir las lecciones aprendidas. ocasiones, lideramos asociaciones de múltiples partes
En junio de este año, publicamos un informe completo sobre interesadas, incluida la Coalición para la Procedencia y
las lecciones aprendidas de Ucrania, que contenía una Autenticidad del Contenido (C2PA). Sólo trabajando
mirada detallada a las operaciones de influencia juntos podremos lograr enfrentarnos a quienes buscan
cibernética de Rusia.3 socavar los procesos e instituciones democráticos.
Teresa Hutson
Vicepresidente de Tecnología y
Responsabilidad Corporativa
Machine Translated by Google
Informe
Informe
El
El estado
estado de
de Estado
Estado nacional
nacional Dispositivos
Dispositivos yy Influencia cibernética cibernético
cibernético Contribuyendo
Contribuyendo
74 Informe de defensa digital de Microsoft 2022 Introducción
Introducción cibercrimen Amenazas
Amenazas Infraestructura
Infraestructura Operaciones Resiliencia
Resiliencia equipos
equipos
cibercrimen
Estas operaciones de influencia cibernética extranjera suelen Este enfoque de tres pasos se aplicó a finales de 2021 para Estamos viendo regímenes autoritarios en todo el mundo
Tendencias en las tener tres etapas: respaldar la falsa narrativa rusa sobre supuestas armas trabajando juntos para contaminar el ecosistema de la
biológicas y laboratorios biológicos en Ucrania. Esta narrativa se información en beneficio mutuo.
operaciones de ciberinfluencia subió por primera vez a YouTube el 29 de noviembre de 2021 Por ejemplo, durante la pandemia de COVID19, Rusia, Irán y China
Preposición
como parte de un programa regular en inglés por un expatriado emplearon operaciones de propaganda e influencia utilizando una
Las operaciones de influencia cibernética se están estadounidense radicado en Moscú que afirmó que los combinación de métodos de difusión abiertos, semiencubiertos y
Al igual que el preposicionamiento de malware dentro de la
volviendo cada vez más sofisticadas a medida que biolaboratorios financiados por Estados Unidos en Ucrania encubiertos para atacar a las democracias y otros objetivos
red informática de una organización, las operaciones de influencia
la tecnología evoluciona rápidamente. Estamos cibernética extranjera preposicionan narrativas falsas en el
estaban conectados con armas biológicas. La historia pasó desapercibida geopolíticos (que se analizan más adelante en la página 76 ) . Los
viendo una superposición y expansión de dominio público de Internet. durante meses. El 24 de febrero de 2022, justo cuando los tanques tres regímenes jugaron con los ecosistemas de mensajería e
las herramientas utilizadas en los ciberataques La táctica de posicionamiento previo ha ayudado durante rusos cruzaban la frontera, la narrativa se lanzó a la batalla. Un equipo información de cada uno para promover narrativas preferidas. Gran
tradicionales que se aplican a las operaciones de mucho tiempo a las actividades cibernéticas más tradicionales, de análisis de datos de Microsoft identificó 10 sitios de noticias parte de esta cobertura consistió en críticas o teorías de
influencia cibernética. Además, estamos viendo especialmente si los administradores de TI escanean su controlados o influenciados por Rusia que publicaron conspiración sobre Estados Unidos y sus aliados difundidas
simultáneamente informes el 24 de febrero apuntando al "informe por figuras gubernamentales en declaraciones oficiales mientras
una mayor coordinación y amplificación entre los estados nacionales.
actividad de red más reciente. El malware que permanece inactivo
durante un tiempo prolongado en una red puede hacer que su del año pasado" y buscando darle crédito. promocionaban sus propias vacunas y respuestas al COVID19 como
uso posterior sea más eficaz. Las narrativas falsas que pasan superiores a las de Estados Unidos y otras democracias.
Microsoft invirtió este año en la lucha contra las operaciones de influencia
desapercibidas en Internet pueden hacer que las referencias
extranjera mediante la adquisición de Miburo Solutions, una empresa
posteriores parezcan más creíbles. Además, funcionarios del Ministerio de Asuntos Exteriores ruso
especializada en el análisis de operaciones de influencia extranjera.
celebraron conferencias de prensa que sembraron aún más Al amplificarse mutuamente, los medios de comunicación estatales
Combinando a estos analistas con los analistas de contexto de afirmaciones falsas sobre los biolaboratorios estadounidenses crearon un ecosistema en el que la cobertura negativa de las
amenazas de Microsoft, Microsoft formó el Centro de análisis de Lanzamiento
en el entorno informativo. Luego, los equipos patrocinados por democracias (o la cobertura positiva de Rusia, Irán y China) producida
amenazas digitales (DTAC).
A menudo, en el momento más beneficioso para lograr los Rusia trabajaron para amplificar la narrativa en las redes sociales y por un medio de comunicación estatal fue reforzada por otros.
DTAC analiza e informa sobre las amenazas de los estados nacionales,
sitios de Internet de manera más amplia.
incluidos los ciberataques y las operaciones de influencia, combinando objetivos del actor, se lanza una campaña coordinada para propagar
información e inteligencia de amenazas con análisis geopolítico narrativas a través de medios de comunicación y canales de
para proporcionar conocimientos e informar respuestas y protecciones redes sociales influenciados y respaldados por el gobierno.
Progresión de las operaciones de influencia cibernética extranjera5
efectivas.
Preposición Lanzamiento Amplificación
Más de tres cuartas partes de las personas en todo el mundo dijeron
que les preocupa que la información se convierta en un arma,4 y nuestros Amplificación
Tendencias en las Se necesita una mayor A nivel mundial, más de tres cuartas partes
operaciones de ciberinfluencia coordinación e intercambio de la gente se preocupa por cómo
de información entre el
Continuado se está utilizando la información como arma.
gobierno, el sector
Para aumentar el desafío, las entidades
privado y la sociedad
tecnológicas del sector privado podrían
habilitar estas campañas sin saberlo. Los facilitadores
civil para aumentar la
pueden incluir empresas que registran dominios de transparencia
Internet, alojan sitios web, promocionan material y exponer e
en redes sociales y sitios de búsqueda, canalizan
interrumpir estas campañas de influencia.
tráfico y ayudan a pagar estos ejercicios a través de
publicidad digital. Las organizaciones deben ser conscientes
de las herramientas y métodos empleados por los
regímenes autoritarios para las operaciones de influencia
cibernética, de modo que puedan detectar y luego
prevenir la propagación de campañas. También existe una
creciente necesidad de ayudar a los consumidores a
desarrollar una capacidad más sofisticada para identificar
operaciones de influencia extranjera y limitar la interacción con sus narrativas o contenidos.
degradar la confianza en las instituciones y sembrar Dominios con tráfico El encubrimiento de las atrocidades por parte de Rusia ha
Enfoque en las dudas sobre las narrativas dominantes. Esta información
(9 de marzo de 2022 – 30 de abril de 2022)
continuado a medida que avanzaba la guerra. Por ejemplo,
puede manipularse para crear propaganda dirigida a a finales de junio de 2022, medios de comunicación y personas
operaciones de influencia Ucrania y Occidente, disminuir la confianza en la 500 influyentes rusas describieron el bombardeo de un centro
durante el COVID19 y la invasión rusaseguridad
de Ucrania
digital y erosionar el apoyo a la ayuda comercial como justificado y necesario, afirmando falsamente
occidental a Ucrania. 400
que no estaba en uso como centro comercial, sino más
Continuado
bien como arsenal de las fuerzas de defensa territorial
Rusia utilizó otros ataques informativos para moldear la 300
En un informe de Microsoft publicado en abril de ucranianas. 13 Varios blogueros proKremlin en Telegram
opinión pública después de los acontecimientos sobre
2022, mostramos cómo, en un aparente intento de 200 publicaron y amplificaron contenido que reforzaba la
el terreno para oscurecer o socavar los hechos. Por
controlar el entorno de la información en Kiev, Rusia narrativa de la “bandera falsa”, y los blogueros
ejemplo, el 7 de marzo, Rusia presentó una
lanzó un ataque con misiles contra una torre de 100 señalaron presuntos indicadores de fabricación, incluida la
narrativa a través de una presentación ante las
televisión en Kiev el mismo día que lanzó un presencia de personas con uniforme militar en las
Naciones Unidas (ONU) de que un hospital de 0
malware destructivo contra una importante empresa de imágenes de la escena14 y la ausencia de mujeres en
maternidad en Mariupol, Ucrania, había sido vaciado
medios ucraniana. .12 las imágenes . 15 Rusia lanzó campañas apoyándose en un
2a0
d
0a1
d
8a1
d
6a
2
d
ra9m
0
7m
1
d
5m
2
d
lirb
e
lirb
e
lirb
e
lirb
e
y estaba siendo utilizado como sitio militar. El 9 de
ozrae
ozrae
sistema desarrollado de mensajeros y médiums de propaganda.
En otro ejemplo de cómo convergen los ciberataques marzo Rusia bombardeó el hospital. Después de que
La amplificación de estas historias en línea brinda a Rusia la
y las operaciones de influencia, un actor de amenazas se conoció la noticia del bombardeo, el representante Los sitios web de propaganda publicaron historias sobre el
capacidad de desviar la culpa en el escenario internacional y
ruso envió correos electrónicos a ciudadanos ucranianos ruso ante la ONU, Dmitry Polyanskiy, tuiteó que la hospital de maternidad durante aproximadamente dos semanas
cobertura del bombardeo era “noticia falsa” y citó las con un breve resurgimiento a partir del 1 de abril de 2022. Fuente: evitar la rendición de cuentas.
que supuestamente provenían de residentes de
Microsoft AI for Good Lab.
Mariupol, culpando al gobierno ucraniano por la afirmaciones anteriores de Rusia sobre su presunto uso
escalada de la guerra y pidiendo a sus compatriotas como sitio militar. Luego, Rusia impulsó ampliamente Los estados nacionales como Rusia comprenden el valor de
que respondieran al gobierno. Estos correos esta narrativa en los sitios web controlados por Rusia Imágenes de satélite de un hospital utilizar información derivada de fuentes cerradas para
electrónicos estaban dirigidos específicamente durante las dos semanas posteriores al ataque al hospital. perinatal en Mariupol en febrero y marzo de 2022 influir en las percepciones públicas, utilizando campañas de
(por nombre) a quienes los recibieron, lo que “pirateo y filtración” para difundir narrativas contrarias y
indica que es posible que les hayan robado su sembrar desconfianza.
información en un ciberataque anterior relacionado con el Dmitry Polyanskiy
@Dpol_un
espionaje. No se incluyeron enlaces maliciosos, lo que
Enlaces a más información
sugiere que la intención fueron puras operaciones de influencia.
Así nacen las #fakenews. Advertimos en
Presentar material supuestamente pirateado, nuestra declaración del pasado Defender Ucrania: primeras lecciones de la
filtrado o sensible es una táctica común utilizada por los 7 de marzo (russia.ru/en/news/070322n) guerra cibernética | Microsoft sobre los problemas
actores rusos en operaciones de influencia. que los radicales han convertido Una visión general de la actividad de
A lo largo de la guerra en Ucrania, los canales de redes este hospital en un objeto militar.
ciberataques de Rusia en Ucrania | microsoft
sociales proRusia han promocionado lo que afirman son muy preocupante que la ONU
difunda esta información sin Reporte especial
materiales filtrados o sensibles de fuentes ucranianas. El El propio análisis de imágenes satelitales de Microsoft mostró
verificación #Mariupol #Mariupolhospital que el hospital perinatal fue bombardeado. La primera foto es del Perturbadores ciberataques dirigidos a Ucrania |
material filtrado o sensible es utilizado por canales y
24 de febrero de 2022 y la segunda es del 24 de marzo de 2022. Microsoft sobre los problemas
medios de redes sociales prorrusos como parte de una Fuente de la foto: Planet Labs.
estrategia de influencia más amplia. 1 4 8
Machine Translated by Google
Informe
Informe El estado
El estadodede Estadonacional
Estado nacional Dispositivos y Influencia cibernética cibernético
cibernético Contribuyendo
Contribuyendo
78 Informe de defensa digital de Microsoft 2022 Introducción
Introducción cibercrimen
cibercrimen Amenazas Infraestructura
Infraestructura Operaciones Resiliencia
Resiliencia equipos
n2
e0
e e
d
ee2
df
ec2
o
d
o2r2
erb1u2t0
2r2b0
b2a
d
ei2
erbm1e2ic0 d
ir0
e
emd
2
ore
o2
n
d
zr2a0
2l2
v2
erbme1i0 e
o2
Machine Translated by Google
Informe
Informe
El estado
El estado de
de Estado nacional
Estado nacional Dispositivos yy
Dispositivos Influencia cibernética cibernético
cibernético Contribuyendo
Contribuyendo
79 Informe de defensa digital de Microsoft 2022 Introducción
Introducción cibercrimen Amenazas
Amenazas Infraestructura
Infraestructura Operaciones Resiliencia
Resiliencia equipos
equipos
cibercrimen
RPI, Ucrania
El consumo de propaganda rusa es 2 veces mayor
(7 de octubre de 2021 – 30 de abril de 2022)
entre los hispanohablantes
Consumo de
propaganda
de los hispanohablantes.
e0
o2r2 n2
e 6
e
d
c28
o
d
ee2
5f
d
erb1u2t0
e
2r2b0
ei2
7
d
ore
erbm1e2ic0
v0o2
e 7
n
d
62
1
e
d
erbme1i2
62e
d
e0
o2r2 n
e
e0n
e
c21
o
d
o2r2
c2o
d
erb1u2t0
8
e
erb1u2t0
8
e
7i2
d
12c0
12c0
721
n
d
72n
d
v0o
e
v0o
e
erbme1i2
erbme1i2
ee2
df
o2r2
erb1u2t0
2r2b0
b2a
d
ei2
erbm1e2ic0 d
emd
2
ir2
e
ore
o2n
d
zr2a0
2l0
v0
erbme1i2 e
o2
n2
e0
ee
d
ee2
df
ec2
o
d
o2r2
erb1u2t0
2r2b0
b2a
d
ei2
erbm1e2ic0 d
emd
2
ir0
e
ore
o2n
d
zr2a0
2l2
erbme1i2v0
e
o2
vistas y seguidores en Facebook.
El consumo de propaganda rusa en Nueva Zelanda es
similar al de Australia hasta la primera semana de diciembre Inglés Español
Fuente: Microsoft AI for Good Research Lab
2021. Después de diciembre, el consumo de
El consumo de propaganda rusa en Estados Unidos es
propaganda rusa en Nueva Zelanda aumentó más
dos veces mayor entre los hispanohablantes.
del 30 por ciento en relación con el consumo en Australia
y Estados Unidos.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
80 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Creación de medios sintéticos El Para crear el efecto, la “falsificación barata” se extendió por Estas técnicas avanzadas basadas en IA aún no se utilizan
Medios sintéticos campo del texto y los medios sintéticos está avanzando.
todas partes antes de que aparecieran el vídeo y el contexto ampliamente en las campañas de influencia cibernética actuales.
originales. pero esperamos que el problema crezca a medida que las
increíblemente rápido, ya que técnicas que antes solo eran
Estamos entrando en una era dorada para la herramientas sean más fáciles de usar y estén más disponibles.
posibles con los vastos recursos informáticos de los grandes Los enfoques más sofisticados para alterar el contenido de los medios
creación y manipulación de medios mediante IA.
estudios cinematográficos ahora se integran en aplicaciones incluyen la aplicación de técnicas avanzadas de inteligencia
Los analistas de Microsoft señalan que esto se debe a El impacto de la manipulación de los medios sintéticos El uso de
telefónicas. Al mismo tiempo, las herramientas son artificial para (a) crear contenido puramente sintético.
dos tendencias clave: la proliferación de herramientas Cada vez es más fácil de usar y puede generar contenido con un nivel
operaciones de información para causar daño o ampliar la influencia
medios, y (b) realizar ediciones más sofisticadas
y servicios fáciles de usar para crear artificialmente de realismo que puede engañar incluso a los especialistas en medios de los medios existentes. El término deepfake es a menudo
no es nuevo. sin embargo, el
imágenes sintéticas, vídeos, audio y texto altamente velocidad con la que se puede difundir la información y nuestra
forenses. Estamos muy cerca de alcanzar Se utiliza para medios sintéticos que se han creado utilizando
realistas, y la capacidad de reproducir rápidamente incapacidad para separar rápidamente los hechos de la ficción,
el punto en el que cualquiera puede crear un vídeo sintético de técnicas de inteligencia artificial de última generación (el
Esto significa que el impacto y el daño causado por falsificaciones
difundir contenidos optimizados para cualquiera diciendo o haciendo cualquier cosa. Es nombre proviene de las redes neuronales profundas que a
y otros medios maliciosos generados sintéticamente pueden ser
audiencias específicas. No es descabellado creer que estamos entrando en una era en la veces se utilizan). Estas tecnologías son
mucho mayores, como lo demuestra el ejemplo de Pelosi.
que una cantidad significativa del contenido se están desarrollando como aplicaciones, herramientas y
que vemos en línea es total o parcialmente sintético utilizando técnicas servicios independientes y se integran en herramientas de
Ninguno de estos acontecimientos es intrínsecamente
de inteligencia artificial. edición comerciales y de código abierto establecidas. Hay varias categorías de daños que consideramos:
problemático por sí solo. Tecnología basada en IA
manipulación del mercado, fraude de pagos, vishing,
se puede utilizar para crear contenido digital divertido y Estas tecnologías son utilizadas como armas por actores
suplantaciones, daños a la marca, daños a la reputación y
emocionante, ya sea creando puramente sintético o mejorando Con la disponibilidad de malintencionados que esperan dañar a personas e instituciones.
botnets. muchos de
material existente. Estas herramientas son Ejemplos de técnicas de deepfake incluyen: • Intercambio
herramientas más sofisticadas, fáciles de Estas categorías han reportado ampliamente ejemplos del mundo
siendo ampliamente utilizado por empresas para publicidad y
comunicaciones y por individuos para crear contenido atractivo para usar y ampliamente disponibles, la de caras (video, imágenes): reemplazar una cara en un video por real, lo que podría socavar nuestra capacidad de separar los
creación de contenidos sintéticos va en otra. Esta técnica puede ser hechos de la ficción.
sus seguidores. Sin embargo,
Se utiliza para intentar chantajear a un individuo, empresa
Los medios sintéticos, cuando se crean y distribuyen con la aumento y pronto será indistinguible de la realidad. o institución, o para colocar a personas en lugares o situaciones Una amenaza más insidiosa y a más largo plazo es para nuestra
intención de dañar, tienen el potencial de causar graves comprensión de lo que es verdad si ya no podemos confiar en lo que
embarazosas.
daños a individuos, empresas, instituciones y sociedad. Microsoft vemos y oímos. Debido a esto, cualquier
Existen muchas herramientas de edición de imágenes, vídeos y audio • Titiriteros (vídeos, imágenes): utilizando un
ha sido un Una imagen, un audio o un vídeo comprometedores de una figura
comerciales y gratuitas de alta calidad. Estas herramientas vídeo para animar una imagen fija o un segundo vídeo.
fuerza impulsora en el desarrollo de tecnologías y prácticas, pública o privada pueden descartarse como falsos: una
se puede utilizar para realizar cambios simples pero Esto puede hacer que parezca que una persona dijo algo resultado conocido como El dividendo del mentiroso.17
tanto internamente como en todo el ecosistema de medios más
potencialmente dañinos en el contenido digital, como agregar texto vergonzoso o engañoso.
amplio, para limitar este daño. Investigaciones recientes18 muestran que este abuso de
engañoso, intercambiar caras y eliminar o alterar el contexto. Estas • Redes generativas de confrontación la tecnología ya se está utilizando para atacar las finanzas
Esta sección explora ideas del análisis de Microsoft sobre el “falsificaciones baratas” son ampliamente
(vídeo, imágenes): una familia de técnicas para generar sistemas, aunque son posibles muchos otros escenarios de abuso.
estado actual de la tecnología para crear contenido sintético dañino, se utiliza para difundir contenido nefasto, promover ideologías
imágenes fotorrealistas.
los daños que pueden surgir si este contenido se difunde políticas y dañar reputaciones.
ampliamente y las mitigaciones técnicas que pueden defender • Modelos de transformadores (vídeo, imágenes, texto): creación de
Un ejemplo bien conocido es el vídeo de 201916 en el que la presidenta de la
contra las amenazas cibernéticas basadas en medios sintéticos. imágenes ricas a partir de descripciones de texto.
Cámara de Representantes de Estados Unidos, Nancy Pelosi, arrastra las palabras.
Un enfoque es construir sistemas basados en inteligencia artificial competencia abierta para construir detectores de imágenes En segundo lugar, los algoritmos avanzados de creación falsa utilizan una
Medios sintéticos que puedan detectar falsificaciones, esencialmente “defensivos”. deepfake.19 Es tentador aumentar la inversión en el desarrollo de técnica llamada Generative Adversarial Networks (GAN) como parte del
Sistemas de IA para contrarrestar los sistemas de IA ofensivos. detectores más avanzados, pero Microsoft es muy escéptico de proceso de creación. UNA GAN
Continuado Esta es un área de investigación activa donde los sistemas que esto resulte en mejoras significativas por dos razones: primero, enfrenta dos sistemas de inteligencia artificial entre sí utilizando un
Detección de medios sintéticos actuales para crear audio y video sintéticos dejan artefactos tenemos excelentes modelos físicos que reflejan el mundo real. generador para crear la falsificación y un discriminador para detectar
reveladores que pueden ser detectados por analistas forenses de imágenes falsas y entrenar el generador.
Se están realizando esfuerzos en la industria, el Eliminación de creadores falsos actuales
medios capacitados y herramientas automatizadas. Cualquier inversión en el desarrollo de un mejor detector sólo permitirá
gobierno y el mundo académico para desarrollar mejores formas de
al generador mejorar la calidad de las falsificaciones.
detectar y mitigar los medios sintéticos y restaurar la confianza. esquinas, lo que resulta en artefactos detectables, pero los modelos
Hay varios prometedores Desafortunadamente, si bien las falsificaciones actuales tienen defectos más nuevos serán cada vez más realistas.
caminos a seguir, así como barreras que merecen reveladores, los artefactos precisos tienden a ser específicos de No hay nada inherentemente especial en una escena del mundo
consideración.
una herramienta o algoritmo particular. Esto significa entrenar real capturada por una cámara que no pueda ser modelada por
sobre falsificaciones conocidas no suele generalizarse a otros una computadora.
algoritmos, como se demostró en un estudio de 2020
Factores
Herramientas fáciles de usar Herramientas más sofisticadas Fácil de distribuir
Barrera de entrada baja
diseñada para capturar la fuente, editar el historial y los emergente prometedora que tiene el 1 Tome medidas proactivas para proteger su
Continuado
metadatos de los objetos a medida que fluyen a través del mundo actual.
potencial de ayudar a restaurar la confianza de organización contra amenazas de desinformación
Procedencia de los activos digitales Si la web. La visión y los métodos técnicos para
las personas en el contenido de los medios en mediante la consideración proactiva de sus respuestas
Un equipo de investigadores y científicos de Microsoft desarrolló de comunicación y relaciones públicas.
detección de falsificaciones no es confiable, ¿qué se puede hacer
este tipo de certificación de medios a prueba de manipulaciones línea al certificar el origen de un activo mediático.
para proteger contra los usos dañinos de los medios sintéticos?
de extremo a extremo. 2 Utilizar tecnología de procedencia para proteger las
Una tecnología emergente importante es la procedencia digital, comunicaciones oficiales.
Codirigimos una asociación intersectorial destinada a dar vida Las soluciones disponibles públicamente basadas en la
un mecanismo que permite a los creadores de medios digitales
a la tecnología de procedencia de los medios en Project Origin especificación C2PA están apareciendo como una nueva característica Enlaces a más información
certificar un activo y ayuda a los consumidores a identificar si
(fundado por Microsoft, BBC, CBC/RadioCanada y el New en productos existentes o nuevas aplicaciones y servicios
el activo digital ha sido manipulado o no.
York Times). Un prometedor paso adelante en
independientes. Esperamos que la mayoría de los comúnmente
y participar en la Iniciativa de Autenticidad de Contenido (fundada materia de desinformación | Microsoft sobre los problemas
La procedencia digital es particularmente importante en el Usó herramientas de captura, edición y creación para habilitar
por Adobe). Microsoft también trabajó con C2PA en unos pocos años. Esto presenta un
contexto de las redes sociales actuales, dada la velocidad Un hito alcanzado, 31 de enero de 2022
socios en tecnología y servicios de medios para establecer oportunidad para que las empresas determinen sus
con la que el contenido puede viajar por Internet y la
la Coalición para la Procedencia y Autenticidad del Contenido Origen del proyecto | Innovación ALT de Microsoft
oportunidad para que los malos actores manipulen el contenido necesidades y usos de la procedencia digital hoy en día, y
(C2PA). C2PA es un estándar requieran esta capa adicional de protección en las
fácilmente. Coalición para la procedencia del contenido y
organización que recientemente publicó la especificación de herramientas que utilizan en los flujos de trabajo existentes.
Autenticidad (C2PA)
procedencia digital más avanzada para
utilizar con recursos multimedia que incluyen imágenes, Explore los detalles técnicos sobre el sistema
videos, audio y texto. que utiliza Project Origin para la autenticación de
Un objeto habilitado para C2PA lleva un manifiesto que medios | Innovación ALT de Microsoft
900%
Aumento año tras año en la
personas y las instituciones.
proliferación de
deepfakes desde 2019.20
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
83 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Trabajar de manera proactiva para evitar que nuestras plataformas carecen de un periódico están, sin saberlo e inevitablemente,
experiencia en procesamiento y análisis de datos para acelerar
y productos se utilicen para amplificar contenidos y sitios de expuestas a un volumen de propaganda extranjera mayor que el
y escalar nuevos descubrimientos en este espacio.
influencia cibernética extranjeros. En tercer lugar, haremos promedio. Para éstos
Los hallazgos se compartirán para informar a los responsables
no beneficiarse intencionalmente de la influencia cibernética extranjera Por estas razones, uno de los pilares defensivos críticos de la
políticos, las empresas de tecnología y los consumidores
contenido o actores. Finalmente, priorizamos la superficie democracia debe fortalecer el periodismo tradicional y la prensa
en general.
Contenido para contrarrestar la influencia cibernética extranjera. libre, especialmente a nivel local. Esto requiere una
Defender inversión continua
operaciones utilizando datos internos y de terceros confiables
e innovación que debe reflejar la
sobre nuestros productos. El segundo pilar estratégico es apuntalar las defensas
necesidades locales de diferentes países y continentes. Una amenaza más
democráticas, una prioridad de larga data que necesita inversión e
innovación. debería tomar Estas cuestiones no son fáciles, insidiosa y a más largo plazo
y requieren enfoques de múltiples partes
en cuenta los desafíos que la tecnología ha creado para la democracia y
interesadas, que Microsoft y otras es para nuestra comprensión de lo
las oportunidades que la tecnología ha creado para defender las
sociedades democráticas de manera más efectiva. empresas tecnológicas apoyan cada
que es verdad si ya no podemos
vez más.
confiar en lo que vemos y oímos.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
84 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Mientras pensamos en contrarrestar la influencia cibernética incluyendo declaraciones de atribución cuando A través de una rápida transparencia radical, los gobiernos y las
Un enfoque holístico para operaciones, la disrupción podría desempeñar un papel corresponda. Publicaremos un informe anual que sociedades democráticas pueden mitigar eficazmente las campañas
aún más importante y el mejor enfoque para abordar la disrupción utiliza un enfoque basado en datos para observar en toda la de influencia atribuyendo la fuente
protegerse contra las operaciones es cada vez más claro. El mas efectivo empresa la prevalencia de operaciones de información extranjera y de ataques de estados nacionales, informar al público y
El antídoto contra el engaño generalizado es la transparencia. los próximos pasos para garantizar una mejora incremental. generar confianza en las instituciones.
de influencia cibernética Por eso Microsoft aumentó su capacidad para detectar y También consideraremos adicionales
Continuado perturbar la influencia de los Estados nacionales. medidas que se basen en este tipo de transparencia.
Hemos aumentado la capacidad técnica para
operaciones mediante la adquisición de Miburo Solutions,
El papel de la publicidad digital es especialmente
Programa: están ayudando a desarrollar consumidores una empresa líder en análisis e investigación de amenazas detectar y desbaratar la influencia extranjera.
importante, por ejemplo, ya que la publicidad puede ayudar a financiar
de noticias e información mejor informados. cibernéticas especializada en la detección y respuesta a
operaciones en el extranjero y al mismo tiempo crear una
operaciones y estamos comprometidos a
A nivel mundial, las nuevas tecnologías, como el complemento de operaciones de influencia cibernética extranjera.
apariencia de legitimidad para los sitios de propaganda patrocinados informar de forma transparente sobre estas
navegador de NewsGuard, pueden ayudar a que este
Nuestra experiencia ha demostrado que los gobiernos, las en el extranjero. Se harán nuevos esfuerzos operaciones, como nuestros informes
esfuerzo avance mucho más rápido.
empresas de tecnología y las ONG deben atribuir los necesarios para perturbar estos flujos financieros.
sobre ataques cibernéticos.
Esto también debería recordarnos que parte de la base de ciberataques con cuidado y con amplia evidencia. Comprender el
Desalentar
la democracia es la educación cívica. Como siempre, este impacto de tales
esfuerzo debe comenzar en La disrupción es vital y puede ser aún más útil para alterar la Por último, no podemos esperar que las naciones cambien
escuelas. Pero vivimos en un mundo que requiere que influencia cibernética. Sea testigo del su comportamiento si no hay responsabilidad por violar las normas
recibir educación cívica continua durante toda nuestra vida. El El intercambio de información por parte del gobierno de internacionales. Hacer cumplir esa responsabilidad
nuevo compromiso de Civismo en el Trabajo, liderado Estados Unidos en el período previo a la invasión rusa de es exclusivamente una responsabilidad gubernamental. Información procesable
por el Centro de Estudios Estratégicos e Internacionales, y Ucrania que convirtió la transparencia en acciones efectivas, Sin embargo, cada vez más, la acción de múltiples partes interesadas es
1 Implemente sólidas prácticas de higiene digital en
del cual Microsoft fue signatario y socio inaugural, busca revitalizar como exponer los planes rusos, incluidos los específicos. desempeñando un papel importante en el fortalecimiento y
toda su organización.
la alfabetización cívica dentro de las comunidades corporativas. Es campañas como un complot para utilizar un video gráfico falso. ampliación de las normas internacionales. Mas de 30
un Las plataformas en línea, los anunciantes y los editores, incluido 2 Considerar formas de reducir cualquier habilitación
Como se muestra en la publicación del verano pasado del
buen ejemplo de la amplitud de oportunidades para fortalecer Microsoft, firmaron el Código de prácticas sobre desinformación involuntaria de campañas de influencia cibernética
Instituto CyberPeace de Ginebra sobre los ciberataques en curso
nuestras defensas democráticas. de la Comisión Europea recientemente actualizado, acordando sus empleados o sus prácticas comerciales.
dentro y fuera de Ucrania, existe una oportunidad para que una
compromisos reforzados para abordar este creciente desafío. Esto incluye reducir el suministro a sitios conocidos de
Interrumpir amplia gama de organizaciones de la sociedad civil y del
propaganda extranjera.
sector privado avancen en la transparencia en relación con
En los últimos años, la Unidad de Delitos Digitales (DCU) de Al igual que el reciente Llamado de París, el Llamado de
la influencia cibernética. 3 Apoyar las campañas de alfabetización informacional y
Microsoft ha perfeccionado tácticas y desarrollado herramientas para Christchurch y la Declaración sobre el futuro de Internet, la
operaciones. Informes confiables sobre nuevos participación cívica como componente clave
Interrumpir las amenazas cibernéticas que van desde ransomware acción multilateral y de múltiples partes interesadas puede
Las operaciones descubiertas y bien documentadas pueden para ayudar a las sociedades a defenderse contra
hasta botnets y ataques de estados nacionales. Tenemos reunir a los gobiernos y al público de las naciones
ayudar al público a evaluar mejor lo que lee, ve y oye, la propaganda y la influencia extranjera.
Aprendí muchas lecciones críticas, comenzando con el papel de democráticas. Los gobiernos pueden
especialmente en Internet.
la disrupción activa para contrarrestar una amplia gama de luego aprovechar estas normas y leyes para promover la rendición 4 Interactúe directamente con grupos relevantes para su
Con este fin, Microsoft aprovechará y ampliará sus informes
ciberataques. de cuentas que las democracias del mundo necesitan y merecen. industria que trabajan para abordar las operaciones
cibernéticos existentes y publicará nuevos informes, datos y
de influencia.
actualizaciones relacionados con lo que descubramos sobre las
operaciones de influencia cibernética.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
85 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Notas finales
1 https://mitsloan.mit.edu/ideasmadetomatter/mitsloanresearchaboutsocialmediamisinformationand
elections?msclkid=8dc75d6abcfe11ecad9946a058d581c9 2 https://news.gallup.com /encuesta/
355526/americanstrustmediadipssegundorecordmás bajo.aspx
3 Defensa de Ucrania: primeras lecciones de la guerra cibernética (microsoft.com)
4 https://www.edelman.com/sites/g/files/aatuss191/files/202201/2022 Barómetro de confianza de Edelman_
Informe Completo.pdf
7 https://www.justice.gov/opa/pr/unitedstatesseizeswebsitesusediranianislamicradioand
unióndetelevisiónykataib
8 https://www.presstv.ir/Detail/2020/02/04/617877/IsthecoronavirusaUSbioweapon
9 https://www.state.gov/wpcontent/uploads/2022/01/KremlinFundedMedia_January_update19.pdf
10 https://www.rt.com/news/482405irancoronavirususbiologicalweapon/
11 https://web.archive.org/web/20220319124125/https://twitter.com/RT_com/
estado/1233187558793924608?s=20
12 https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE4Vwwd
13 afirmaciones de Kremenchuk de Rusia frente a la evidencia—bellingcat
14 https://t.me/oddr_info/39658
15 https://t.me/voenacher/23339
16 Verificación de hechos: Video de Nancy Pelosi “borracha” es manipulado |
Reuters 17 https://lawcat.berkeley.edu/record/1136469
18 https://carnegieendowment.org/2020/07/08/deepfakesandsyntheticmediainfinancial
evaluacióndelsistemaescenariosdeamenazaspub82237
19 Resultados del desafío de detección de deepfake: una iniciativa abierta para avanzar en la IA (facebook.com)
20 Deepfakes 2020: El punto de inflexión, Johannes Tammekänd, John Thomas y Kristjan Peterson,
octubre 2020
Machine Translated by Google
Informe
Informe
El estadode
El estado de Estado nacional
Estado nacional Dispositivos y Influencia cibernética Contribuyendo
Contribuyendo
Influencia cibernética cibernético
86 Informe de defensa digital de Microsoft 2022 Introducción
Introducción cibercrimen
cibercrimen
Amenazas
Amenazas Infraestructura
Infraestructura Operaciones Resiliencia equipos
Operaciones
Introducción 88
Comprender los riesgos y las recompensas Configuración de seguridad predeterminada del sistema operativo 96
de la modernización se vuelve crucial para 97
Centralidad de la cadena de suministro de software
un enfoque holístico de la resiliencia.
Desarrollar resiliencia ante ataques DDoS,
aplicaciones web y redes emergentes 98
Introducción La pandemia nos desafió a Como resultado, debemos recordar lo básico: noventa Los recientes ataques a la cadena de suministro y a
El ocho por ciento de los ataques se pueden detener con proveedores externos indican un importante punto de inflexión en la
cambiar nuestras prácticas y medidas básicas de higiene. En Microsoft, industria. La perturbación que causan estos ataques
Gestionamos identidades y dispositivos como parte de para nuestros clientes, socios, gobiernos y Microsoft continúa
tecnologías de seguridad para nuestro enfoque Zero Trust, que incluye acceso con menos aumentando, lo que ilustra la importancia de centrar la
proteger a los empleados privilegios y credenciales resistentes al phishing para detener atención en la resiliencia cibernética y la colaboración entre
eficazmente a los actores de amenazas y mantener nuestros las partes interesadas en la seguridad. Los adversarios
de Microsoft dondequiera que datos protegidos. también apuntan
trabajen. El año pasado, Hoy en día, incluso los actores de amenazas que carecen de
sistemas locales, lo que refuerza la necesidad de que las
organizaciones gestionen las vulnerabilidades que plantean los
los actores de amenazas habilidades técnicas sofisticadas pueden lanzar ataques
increíblemente destructivos, a medida que el acceso
sistemas heredados mediante la modernización y el traslado de la
durante la pandemia y el intensificado sus operaciones cibernéticas ofensivas el éxito tecnológico. Innovación y
mediante el mayor uso de ransomware. El ransomware Una mayor productividad sólo se puede lograr mediante la
cambio a un entorno de trabajo es ahora una sofisticada introducción de medidas de seguridad que hagan que las
híbrido. Desde entonces, nuestro industria con actores de amenazas que utilizan tácticas de organizaciones sean lo más resistentes posible contra los
extorsión doble o triple para obtener un pago y desarrolladores ataques modernos. A medida que las amenazas digitales aumentan y
principal desafío ha sido gestionar que ofrecen ransomware como servicio (RaaS). Con RaaS, evolucionar, es crucial incorporar la resiliencia cibernética en el
los actores de amenazas utilizan un afiliado tejido de cada organización.
la prevalencia y la complejidad red para llevar a cabo ataques, reduciendo la barrera de entrada
de diversos métodos de ataque y el para ciberdelincuentes menos capacitados y, en última
Bret Arsenault
Desarrollar un enfoque holístico Para ofrecer un enfoque holístico, nos asociamos con organizaciones
Resiliencia cibernética: a la resiliencia cibernética para identificar sus servicios, procesos comerciales, dependencias,
Información procesable
Una base crucial para una La resiliencia cibernética requiere un enfoque holístico, adaptable
personal, proveedores y proveedores locales y en línea 1 Construir y gestionar sistemas tecnológicos que limiten
más críticos. También buscamos identificar activos. el impacto de una infracción y les permitan seguir
y global que pueda resistir las amenazas cambiantes a los servicios
la transformación digital impulsando tecnologías innovadoras que y comprender las responsabilidades compartidas y las amenazas. Por ejemplo, una seguridad resistir, adaptar y responder a futuras amenazas en
permitan a las personas colaborar de nuevas formas y desde dependencias de recursos externos, como las soluciones de El incidente podría resultar en una violación de datos con evolución.
cualquier lugar. seguridad basadas en la nube. implicaciones para la privacidad, lo que requeriría que muchos
4 Asegúrese de que los líderes empresariales consulten
equipos internos y externos trabajen juntos para responder
A medida que las amenazas cibernéticas se vuelven endémicas, Un programa eficaz de ciberresiliencia comienza con los fundamentos con los equipos de seguridad según sea
rápidamente y minimizar el impacto. necesario para comprender los riesgos asociados con los
evitar que comprometan a una organización se vuelve más de los recursos, como comprender los servicios disponibles y
difícil en nuestra sociedad “siempre conectada”. tener un catálogo confiable de recursos a los que se puede nuevos desarrollos. Asimismo, los equipos de seguridad
recurrir en caso de una interrupción. Construyendo sobre esa base, deberían considerar los objetivos empresariales y asesorar
mundo. La resiliencia cibernética representa la capacidad de una organización. La resiliencia cibernética es la capacidad de
capacidad para continuar las operaciones y sostener la aceleración a los líderes sobre cómo perseguirlos de forma segura.
una empresa para continuar sus operaciones y
del crecimiento a pesar del aluvión de ataques. el programa debe poder evaluar su propia eficacia, medir el
sostener la aceleración del crecimiento a pesar 5 Garantizar prácticas operativas claras y
La prevención debe equilibrarse con las capacidades de rendimiento de los servicios críticos y sus dependencias, probar y
Existen procedimientos para la resiliencia organizacional
supervivencia y recuperación, y los gobiernos y las empresas están validar capacidades en los servicios locales y en la nube, y alimentar de las interrupciones, incluidos los ataques cibernéticos.
en caso de incidentes cibernéticos.
desarrollando modelos integrales que van más allá de la la mejora continua en todo el ciclo de vida digital de la
72%
empresarial. Deberían planificar la cibernética.
de seguridad que ayuda a los clientes a responder y Sin solución SIEM/SOAR 56% Ana Johnson,
recuperarse de los ataques. 54% Vicepresidente Corporativo de Seguridad,
Procesos SOC y modelo operativo ineficaces
relacionados con seis categorías, como se muestra en el gráfico Falta de gestión de parches y vulnerabilidades. 76%
de esta página. La siguiente página describe acciones OT no gestionada y sistemas heredados 50%
pasos a seguir para mejorar la resiliencia. 88%
No Zero Trust en la adopción del marco de seguridad
Más del 80 por ciento de los incidentes de Falta de prácticas SDL en DevOps 82%
Este gráfico muestra el porcentaje de clientes afectados que carecen de controles de seguridad básicos que son fundamentales para
aumentar la resiliencia cibernética de la organización. Los hallazgos se basan en los compromisos de Microsoft durante el año pasado.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
91 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Hay áreas claras que las organizaciones pueden abordar para modernizar su enfoque y protegerse de las amenazas:
La importancia de
Problema
modernizar los Pasos procesables
sistemas y la arquitectura Configuración insegura del proveedor de identidad Siga las líneas base de configuración de seguridad y las mejores prácticas al implementar
y mantener sistemas de identidad como AD y la infraestructura de Azure AD.
Mala configuración y exposición de plataformas de identidad y sus componentes.
Continuado son un vector común para obtener acceso no autorizado con altos privilegios. Implementar restricciones de acceso imponiendo la segregación de privilegios, el acceso
con privilegios mínimos y el uso de estaciones de trabajo con acceso privilegiado (PAW)
para la gestión de sistemas de identidad.
Acceso con privilegios insuficientes y controles de movimiento lateral Proteja y limite el acceso administrativo para hacer que el entorno sea más resistente
Los administradores tienen permisos excesivos en el entorno digital y, a menudo, exponen y limitar el alcance de un ataque. Privilegio de empleo
credenciales administrativas en estaciones de trabajo sujetas a riesgos de productividad y de Controles de gestión de acceso, como acceso justo a tiempo y administración suficiente.
Internet.
Sin autenticación multifactor (MFA) MFA es un control de acceso de usuarios fundamental y crítico que todas las organizaciones
Los atacantes de hoy no irrumpen, sino que inician sesión. deberían habilitar. Junto con el acceso condicional, la MFA puede ser invaluable en
luchar contra las ciberamenazas.
Operaciones de seguridad de baja madurez La Una estrategia integral de detección de amenazas requiere inversiones en detección y
mayoría de las organizaciones afectadas utilizaban herramientas tradicionales de detección de respuesta extendidas (XDR) y nube moderna nativa.
amenazas y no tenían información relevante para una respuesta y remediación oportunas. Herramientas que emplean aprendizaje automático para separar el ruido de las señales.
Modernice las herramientas de operaciones de seguridad incorporando XDR que puede
proporcionar información detallada sobre seguridad en todo el panorama digital.
Falta de control de protección de la información Las Identifique los datos comerciales críticos y dónde se encuentran.
organizaciones continúan luchando por implementar controles integrales de protección de la Revise los procesos del ciclo de vida de la información y aplique la protección de datos
información que tengan una cobertura total en todas las ubicaciones de los datos y sigan mientras garantiza la continuidad del negocio.
siendo efectivos durante todo el ciclo de vida de la información y estén alineados con la
criticidad de los datos para el negocio.
Adopción limitada de marcos de seguridad modernos La identidad es Los marcos Zero Trust imponen conceptos de privilegio mínimo, verificación
el nuevo perímetro de seguridad, que permite el acceso a servicios digitales y entornos informáticos explícita de todos los accesos y siempre asumen compromisos.
dispares. Integrando los principios de confianza cero, Las organizaciones también deben implementar controles y prácticas de seguridad en
La seguridad de las aplicaciones y otros marcos cibernéticos modernos permiten a las DevOps y procesos del ciclo de vida de las aplicaciones para lograr mayores niveles de garantía
organizaciones gestionar de forma proactiva riesgos que, de otro modo, les resultaría difícil en sus sistemas comerciales.
imaginar.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
Contribuyendo
92 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Las configuraciones de seguridad básicas deben estar activadas. Riesgo que representan los dispositivos
La postura de seguridad Los dispositivos de una organización que no están desconocidos A diferencia de las redes en la nube, donde los clientes
Información procesable
3.500
temprano
etapa aumenta en gran medida la oportunidad de reducir el impacto Las mejores prácticas en configuraciones de seguridad son una
general. mayor indicador de resiliencia que el tiempo de respuesta de los Número promedio de
analistas del centro de operaciones de seguridad (SOC) dispositivos conectados
Microsoft estudió configuraciones específicas en
en una empresa que no
posturas de seguridad para identificar las deficiencias más comunes Observamos una reducción del 70 por ciento en el tiempo que
están protegidos por
en la práctica real en estos entornos. Esto nos permitió le toma a un analista de SOC ver y actuar ante una alerta un agente de respuesta
ver la mayoría relevante durante un período de seis meses en toda nuestra y detección de terminales.
Vulnerabilidades comunes explotadas durante ataques de ransomware población de clientes y socios.
operados por humanos que permitieron a los actores de amenazas Esta mayor conciencia es una buena señal.
obtener acceso y viajar a través de una red sin ser detectados. Sin embargo, aunque la visibilidad de la configuración de seguridad
La mejora del rendimiento de los analistas de SOC, lo que permitió Para los dispositivos que no son compatibles con un agente
la visibilidad del producto mediante la incorporación y actualización EDR, al menos sea consciente de su existencia y actúe para
de los dispositivos de la organización, fue un mayor predictor de una protegerlos evaluando las vulnerabilidades, así como
prevención exitosa. restringiendo el acceso a la red.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
93 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
4.500
1.2 En el tiempo que
otros tipos de ataques. El volumen de ataques
sofisticados continúa aumentando en relación lleva leer esta declaración,
con la norma anterior de difusión de contraseñas 1.0 nos hemos defendido de
y repetición de violaciones.
4500 ataques a contraseñas.
senolliM 0,8
Los ataques basados en contraseñas siguen siendo
comunes y más del 90 por ciento de las cuentas
comprometidas mediante estos métodos no están
0,6
protegidas con una autenticación sólida. La autenticación fuerte utiliza más
de un factor de autenticación, por ejemplo contraseña +
SMS y claves de seguridad FIDO2. 0,4
0
oiluj
oiluj
n2e
d
e0n2
e e
d
e0
e
oinuj
oinuj
oinuj
ee2
df
ee2
df
ec2
o
d
c2
o
d
o2r2
o1r2
erb1u2t0
e
2r2b0
1r2b0
b2a
d
b2a
d
erb0u2t0
e2
d
s
e2ds
ei2
d
ei2
d
p0
erbme1it2p0
emd
2
emd
2
ir0
e
ir0
e
erbm0e2ic0
erbm1e2ic0
ore
ore
erbme0it2
o2n
d
o2n
d
zr2a0
zr2a0
2l2
1l2
g2a
d
g2a
d
erbme0i2v0
e
erbme1i2v0
e
o1y2a0m
2
o2y2a0m
2
o2
o1
o0e
o0e
ot0s2
ot1s2
Repetición de infracción spray de contraseña Otro*
Usuarios comprometidos por mes por categoría de ataque. Los volúmenes de ataques de pulverización de contraseñas fueron muy volátiles, como se ve en el
picos en noviembre de 2021 y marzo de 2022. Estos picos representan miles de usuarios y miles de direcciones IP
tocado. *“Otros” indica ataques diferentes a la difusión de contraseñas y la repetición de violaciones, incluidos phishing, malware,
intermediario, compromiso del emisor de tokens local, y otros. Fuente: Protección de identidad de Azure AD.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
94 Introducción Infraestructura Resiliencia equipos
Informe de defensa digital de Microsoft 2022 cibercrimen Amenazas Operaciones
oiluj
oiluj
Los usuarios activos mensuales (MAU) de autenticación por mes en Azure AD Identity Protection. La repetición de tokens es la
n2e
d
n2e
d
n2e
d
e0e
e0e
e0e
o0r2
o2r2
o1r2
e2
ds
e2
ds
e2
ds
p0
p0
p0
emd
2
emd
2
emd
2
erbme9it1
erbme0it2
erbme1it2
o2
n
d
o2
n
d
o2
n
d
zr2a0
zr2a0
zr2a0
v0
e
o0y2a0m
2
v0
e
o1y2a0m
2
v0
e
o2y2a0m
2
o0
o2
o1
erbme9i1
erbme0i2
erbme1i2
oiluj
e0n2
e e
d
oinuj
oinuj
ee2
df
c2o
d
o2r2
erb1u2t0
e
2r2b0
b2a
d
fuerte crecieron del 19 por ciento al 26 por ciento en
ei2
d
uso de tokens que fueron emitidos a un usuario legítimo por un
emd
2
ir0
e
erbm1e2ic0
ore
o2
n
d
zr2a0
2l2
g2
a
d
v0
e
o1y2a0m
2
o2y2a0m
2
o2
erbme1i2
o0
e
e2
ds
s2
p0
erbme1it2
ot1
el año pasado, mientras que el MAU de autenticación fuerte atacante que tiene posesión de dichos tokens. Los tokens se
para cuentas administrativas creció del 30 a Si bien el uso de la autenticación sólida se ha duplicado obtienen comúnmente a través de
aproximadamente el 33 por ciento. desde 2019, solo el 26 por ciento de los usuarios y el 33 por malware, por ejemplo extrayendo las cookies Ataques de repetición de tokens detectados por mes. Fuente: azur
ciento de los administradores utilizan una autenticación sólida. Fuente: desde el navegador del usuario o mediante métodos avanzados AD Identity Protection, sesiones únicas marcadas por el
Esta tendencia es positiva, pero se espera un crecimiento significativo. Detección de tokens anómalos.
Directorio activo de Azure. de phishing.
todavía es necesario alcanzar una cobertura mayoritaria de
autenticación fuerte; Los clientes que aún no utilizan una
autenticación sólida en sus entornos deben comenzar a
planificar e implementar una autenticación sólida para
proteger a sus usuarios.3 Al diseñar una
implementación de autenticación sólida, se debe considerar
la autenticación sin contraseña, ya que ofrece la
experiencia de uso más segura y elimina el riesgo de
ataques de contraseña. .
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
95 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
llaves de seguridad.
2 La autenticación sin contraseña ofrece la
Continuado
20.000 experiencia más segura y fácil de usar, eliminando
Extracción de tokens el riesgo de ataques de contraseña.
Los ataques basados en contraseñas
Más que malware, los atacantes necesitan credenciales 3 Desactive la autenticación heredada en toda su
10.000
son el método principal por el cual las
para lograr sus objetivos. De hecho, el 100 por ciento de organización.
todos los ataques de ransomware operados por humanos cuentas se ven comprometidas.
0 4 Proteja las cuentas administrativas y de alto
incluyen credenciales robadas. Muchas intrusiones
valor con formas de autenticación sólida
sofisticadas incluyen credenciales compradas en la web
oiluj
Fatiga de MFA resistentes al phishing.
e0n2
e e
d
oinuj
oinuj
ee2
df
ec2
o
d
o2r2
erb1u2t0
2r2b0
b2a
d
ei2
d
emd
2
ir0
e
erbm1e2ic0
ore
o2
n
d
zr2a0
2l2
g2a
d
erbme1i2v0
e
o2y2a0m
2
o2
o0e
e2ds
oscura, inicialmente robadas mediante malware de robo de
ot1s2
erbme1it2p0
credenciales poco sofisticado y ampliamente distribuido. Esta Utilizando el concepto de “fatiga de MFA”, los atacantes
5 Modernice desde un proveedor de identidad local a
clase de malware ha evolucionado para robar tokens, generan múltiples solicitudes de MFA en el Fuente: Protección de identidad de Azure AD. un proveedor de identidad en la nube y conecte
incluida información de sesión y reclamaciones de MFA. dispositivo de la víctima, con la esperanza de que la víctima
todas sus aplicaciones al proveedor de identidad
Esto significa que las infecciones en sistemas domésticos, acepte la solicitud sin darse cuenta o como resultado de la Casos detectados de phishing seguidos de basado en la nube para una experiencia de
donde los usuarios inician sesión en activos corporativos, fatiga. Este ataque se puede prevenir mediante el uso de ataques de intermediario usuario y seguridad consistentes.
pueden provocar incidentes graves en las redes corporativas. aplicaciones de autenticación modernas, como Microsoft
Authenticator, combinadas con funciones como la 1.200 Enlaces a más información
Los atacantes también pueden extraer tokens de los
coincidencia de números4 y la habilitación de contexto En este Día Mundial de la Contraseña, considere deshacerse
dispositivos de las víctimas mediante ataques de 1.000
intermediario, en los que la víctima hace clic en un adicional.5 Azure AD Identity Protection estima que hay de las contraseñas por completo | Seguridad de Microsoft
30 000 ataques de fatiga de MFA por mes. 800
enlace malicioso en un correo electrónico de phishing o
mensaje instantáneo y se le dirige a un sitio web que se 600
parece a la página de inicio de sesión legítima de el proveedor
La proporción de ataques sofisticados
de identidad. En realidad, es un servicio web creado por 400
continúa
el atacante que retransmite e intercepta todo el tráfico entre el usuario y el aumentando, lo que subraya la
200
proveedor de identidad. El atacante puede interceptar el necesidad de contar con factores de
nombre de usuario y la contraseña y también transmitir autenticación multifactor resistentes al phishing. 0
desafíos de MFA; Los tokens resultantes emitidos por el
proveedor de identidad e interceptados por el atacante
e0n2
e e
d
ee2
df
o2r2
2r2b0
b2a
d
emd
2
ir0
e
ore
zr2a0
2l2
o2y2a0m
2
o2
pueden contener afirmaciones de MFA que el atacante
puede utilizar para satisfacer los requisitos de MFA.
Fuente: Microsoft Defender para aplicaciones en la nube.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
96 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
seguridad, parches y actualizaciones periódicas y consistentes, así como no está habilitada de forma predeterminada, 1 Utilice una solución sin contraseña que
predeterminada del sistema operativo capacitación y concientización en seguridad para denunciar
Microsoft recomienda configurar manualmente vincula las credenciales de inicio de sesión en el Módulo
phishing y otras estafas, pueden esperar menos malware. de plataforma segura, específicamente busque
Con el panorama de amenazas a la seguridad en en entornos donde sea posible.
una solución sin contraseña que cumple con la Alianza
continua evolución, vemos una necesidad cada vez mayor 8
Para simplificar la defensa en profundidad, Windows 11 tiene Faster Identity Online (FIDO)
de seguridad informática configurada de forma predeterminada.
protecciones de hardware y software estrechamente integradas estándar en la industria.
para mejorar la ciberresiliencia. Si bien la seguridad del
activadas de forma predeterminada, incluida la integridad de la
2 Realice una limpieza oportuna de todos los ejecutables obsoletos
sistema operativo es más urgente, compleja y crítica
memoria, el arranque seguro y un módulo de plataforma segura 2.0.
para el negocio que nunca, puede ser un desafío lograrlo y no utilizados que se encuentran en los dispositivos de las
Usuarios de Windows 10 en
organizaciones.
y administrarlo correctamente. El hardware compatible también puede activar estas funciones en la
aplicación de configuración de Windows o en el menú del 3 Proteja los ataques de firmware avanzados mediante
BIOS. habilitando la integridad de la memoria, el arranque seguro
En el pasado, la seguridad de computadoras y dispositivos
y el Módulo de plataforma segura 2.0, si no
incluía características de seguridad integradas que se esperaba
Los dispositivos más antiguos en general a menudo no tienen
que el cliente o el profesional de TI configurara al nivel deseado. habilitado de forma predeterminada, lo que refuerza el
una alineación tan sólida entre las técnicas de seguridad del
arranque utilizando capacidades integradas en las CPU modernas.
hardware y del software.
Este enfoque ya no es adecuado, ya que los atacantes
Para dispositivos donde la seguridad no está habilitada de forma 4 Active el cifrado de datos y la protección de
están utilizando herramientas más avanzadas en automatización,
predeterminada, configúrelos manualmente en la configuración credenciales.
infraestructura de nube y tecnologías de acceso remoto para lograr
donde sea posible.7
sus objetivos. Tiene 5 Habilitar aplicación y navegador
Se vuelve fundamental que todas las capas de seguridad, desde el controles para una protección mejorada contra aplicaciones
chip hasta la nube, estén configuradas de forma predeterminada. que no son de confianza y otras protecciones integradas
operativo y parches de seguridad que ayuden a Nuevas funciones de seguridad para Windows 11
ayudarán a proteger el trabajo híbrido | microsoft
brindar protección durante todo el ciclo de vida del Blog de seguridad
hardware y el software.
Machine Translated by Google
Informe
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
97 Informe de defensa digital de Microsoft 2022 Introducción
Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
uacigteesrR
einm
nza e
d
o
central en el ecosistema de suministro. El uso de la teoría
senoicooatd
1,5 millones
Ecosistema de aplicaciones comerciales. Después de examinar una vulnerabilidad crítica que afectó a 134 los dispositivos de las organizaciones.
siguen utilizando versiones de aplicaciones vulnerables
versiones de un conjunto de navegadores, encontramos que el 78 por
En primer lugar, existe una centralidad en el ecosistema de muchos meses después del lanzamiento del parche o incluso Enlaces a más información
ciento, o millones de dispositivos, todavía usaban una de las
años después del final del soporte del producto. Por ejemplo, allí
aplicaciones comerciales de Windows. Sólo los 100.000 primeros (de los versiones afectadas nueve meses después del lanzamiento del parche.
Hay más de un millón de dispositivos comerciales Documentación de Microsoft Intune |
18 millones) de aplicaciones se utilizan en 1.000 o más Documentos de Microsoft
dispositivos. En otras palabras, poco más de la mitad de 1 Windows activos que ejecutan una versión de un lector Utilizamos el kit de herramientas InterpretML9 para
El porcentaje de estas aplicaciones tiene este tipo de efecto de de PDF que no es compatible desde 2017. identificar características correlacionadas con organizaciones Administrar aplicaciones | Documentos de Microsoft
amplio alcance en el ecosistema de dispositivos. que tienen más probabilidades de tener dispositivos con
Microsoft Defender para punto final |
versiones de aplicaciones más antiguas. El más importante de estos predictores.
En segundo lugar, existe diversidad en la capacidad de Las versiones antiguas de aplicaciones que Seguridad de Microsoft
gestión de esas aplicaciones, donde los 10.000 principales incluidos: pocas horas de participación en los dispositivos;
no son compatibles siguen utilizándose
áreas geográficas como Asia Pacífico y América Latina Marco de cadena de suministro segura de OSS |
proveedores de aplicaciones gestionan las actualizaciones activamente en millones de dispositivos comerciales. America; e industrias como la automoción, la química, las Ingeniería de seguridad de Microsoft
y parches de seguridad de las aplicaciones comerciales
más utilizadas. Esto demuestra Como resultado, las organizaciones corren el telecomunicaciones, el transporte y la logística, los
Software de código abierto de Microsoft seguro
pagadores de salud (tramitadores de reclamaciones),
La interdependencia que tiene una empresa con riesgo de tener vulnerabilidades que no Marco de la cadena de suministro | GitHub
y seguro.
respecto a un conjunto diverso de controles de gestión, podrán solucionarse.
cumplimiento y seguridad de los proveedores de software.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
98 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
una seguridad de red nativa de la nube para temporada navideña de fin de año. Este año, sin embargo,
proteger los activos digitales. la mayor cantidad registrada en un día fue el 10 de agosto de
2021. Esto podría indicar un cambio hacia ataques durante
todo el año y resalta la importancia de la protección continua 1.500
indica un cambio hacia ataques durante todo el terabits por segundo (Tbps) de aproximadamente
10.000 fuentes que abarcan varios países.
año. Esto resalta la importancia
En 2022 se mitigaron ataques similares de alto volumen por
de protección continua más allá de las
encima de 2+Tbps, destacando que no solo está aumentando la 500
temporadas tradicionales de mayor tráfico. complejidad y la frecuencia de los ataques, sino también el
volumen (ancho de banda).
de ataque.
oiluj
La mayoría de los ataques observados durante el año pasado
e0n2
e e
d
oinuj
ee2
df
ec2
o
d
o2r2
2r2b0
b2a
d
b2a
d
e2d
s
erb1u2t0
ei2
d
p0
emd
2
em
d
2
ir0
e
ir0
e
erbm1e2ic0
ore
erbme1it2
o2n
d
zr2a0
zr2a0
2l2
1l2
g2
a
d
erbme1i2v0
e
o1y2a0m
2
o2y2a0m
2
o2
o1
s2
ot1 o0
e
fueron de corta duración. Aproximadamente el 28 por ciento de los
Los ataques duraron menos de 10 minutos, el 26 por ciento duró
entre 10 y 30 minutos y el 14 por ciento duró
12 minutos 3 a 5 minutos 6 a 10 minutos 11 a 20 minutos 21 a 30 minutos 31 a 40 minutos 41 a 50 minutos
31 a 60 minutos. El treinta y dos por ciento de los ataques
51 a 60 minutos 1 a 2 horas 23 horas 3 a 4 horas 4 a 10 horas >10 horas
duraron más de una hora.
La mayoría de los ataques del año pasado fueron de corta duración. Aproximadamente el 28 por ciento de los ataques duraron menos de 10 minutos.
Machine Translated by Google
Informe El estado de Estado
Estadonacional
nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
99 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas
Amenazas Infraestructura Operaciones Resiliencia equipos
empleados fueron el Protocolo de datagramas de usuario (UDP). Amsterdam, Viena, París y Frankfurt.
Ataque de amplificación de DNS 6% Ejecución remota de código
reflexión sobre el puerto 80 usando un servicio simple
(RCE) ataca 1%
protocolo de descubrimiento (SSDP), sin conexión Destino del ataque DDoS
El ataque de inundación UDP Spoof alcanzó el primer vector en
protocolo ligero de acceso a directorios (CLDAP),
la primera mitad de 2022, del 16 por ciento al 55 por ciento. secuencias de comandos entre sitios
sistema de nombres de dominio (DNS) y hora de la red Estados Unidos 54% (XSS) ataca 5%
El ataque de inundación TCP Ack disminuyó del 54 por ciento al
protocolo (NTP) que comprende un solo pico. 19 por ciento. Emiratos Árabes Unidos 1%
También vimos un aumento en los ataques DDoS a la Ataques de inyección de RFI 5%
Reino Unido 1%
En 2022, Microsoft mitigó casi Azure WAF detecta miles de millones de ataques Top 1010 del Open
Brasil 1% Web Application Security Project (OWASP) diariamente.
2000 ataques DDoS diarios y frustró el Según nuestras señales, la mayoría de los atacantes intentaron
Sudeste Asiático 3%
mayor ataque DDoS jamás registrado ataques de inyección SQL seguidos de inyección de archivos locales.
y ataques de inyección remota de archivos. Esto está en línea con
en la historia. Europa 6%
La lista OWASP Top Ten muestra los ataques de inyección
Asia Oriental 8%
La industria del juego sigue siendo el principal objetivo de como el tercer tipo más común de ataques web.
los ataques DDoS, principalmente debido a mutaciones de la India 23%
botnet Mirai y ataques de protocolo UDP de bajo volumen. También ha habido un aumento en los ataques de
Atribuimos el alto volumen de ataques en Asia a la enorme huella bots contra aplicaciones web de Azure, con un promedio
Dado que UDP se usa comúnmente en juegos
de juego en la región, especialmente en China, Japón, Corea
y aplicaciones de streaming, una abrumadora mayoría de de 1,7 mil millones de solicitudes de bots por mes y 4,6
del Sur e India. Esta huella continuará
los vectores de ataque fueron inundaciones de suplantación por ciento de ese tráfico consiste en robots malos.
expandirse a medida que la creciente penetración de los teléfonos
de UDP, mientras que una pequeña porción fueron reflejos de UDP.
inteligentes impulse la popularidad de los juegos móviles, lo
y ataques de amplificación. que sugiere que este objetivo geográfico seguirá creciendo.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
Introducción Amenazas
Amenazas Infraestructura Resiliencia equipos
Informe 100 de defensa digital de Microsoft 2022 cibercrimen Operaciones
ataques DDoS, (IDPS) bloqueó más de 150 millones de conexiones sólo en el mes de junio. buscando acceder a ellos.
fraude con tarjetas de crédito, influencia cibernética Mejore sus defensas de seguridad para
ataques de ransomware con Azure Firewall |
campañas y ataques a la cadena de suministro,
Blog y actualizaciones de Azure | MicrosoftAzure
esperamos ver un aumento constante en
El intento de privilegio Anatomía de un ataque de amplificación DDoS |
Ataques de bots contra aplicaciones web. Agente de usuario HTTP 26% de usuario obtuvo RPC 29% Blog de seguridad de Microsoft
El análisis del tráfico de alerta y denegación de IDPS muestra los siguientes enfoques utilizados por
atacantes. En Denegar tráfico, vemos atacantes que utilizan SSL para ocultar sus actividades.
y los ataques de ejecución remota son cada vez más comunes. En el tráfico de alerta,
Estamos viendo protocolos SMB/SMB2 utilizados para realizar ataques de ejecución remota.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
101 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas
Amenazas Infraestructura Operaciones Resiliencia equipos
Gobernanza de datos, seguridad, cumplimiento, Trabajando a partir del mismo inventario de datos y
Desarrollar un enfoque y la privacidad son interdependientes. Hemos La información de la actividad facilita la interacción entre equipos.
Información procesable
La transformación digital ha impulsado una gran La gobernanza y la seguridad han desdibujado las líneas
2 Desarrollar y adoptar procesos y herramientas
entre roles de riesgo. Mientras que los nuevos roles de nivel C
expansión de los activos de datos y un aumento Inventario de que trascienden los silos de riesgo de datos y cubren
como el director de datos (CDO) o el director
de los riesgos de seguridad, cumplimiento y privacidad. datos y actividad. el patrimonio de datos completo.
Los responsables de privacidad (CPO) tienen intereses creados en CIO
Las organizaciones ciberresilientes deben equilibrar CRO Enlaces a más información
seguridad y cumplimiento, la implementación
las inversiones en protección de datos, cumplimiento y
y la puesta en práctica de la protección de datos a menudo —
director de operaciones
Las violaciones de datos no son una cuestión de si, sino de cuándo. interconexión, TI, gobernanza de datos, seguridad,
El “Costo de un dato” de IBM y Ponemon Institute los equipos de cumplimiento y privacidad deben trabajar El “panel único de vidrio” debería actuar como un prisma.
El estudio Breach, 2021” reporta un dato promedio global cada vez más estrechamente para lograr la eficiencia y Equipos que tienen interés en la seguridad de los datos, el cumplimiento,
gestionar el riesgo. y la privacidad necesitan visiones diferentes pero consistentes de
costo de incumplimiento de $ 4,24 millones de dólares (un aumento del 10 por ciento
el mismo inventario de datos y actividad para entrar en
del año anterior) y $9.05 millones de dólares en
Plataformas unificadas de gestión de riesgos de datos alineación y colaboración. La actividad de datos incluye datos.
los Estados Unidos. Se encontraron fallas de cumplimiento
para el conjunto de datos de toda la organización es el futuro eventos de acceso, modificación y movimiento, que son
ser el principal factor que amplifica los costos. En cambio,
una parte valiosa de la ecuación de seguridad de los datos.
Las reducciones de costos por incumplimiento se asociaron con mejores
prácticas como la planificación de respuesta a incidentes (IR), Alinear TI, gobernanza de datos, seguridad,
Surgen preguntas sobre qué podemos hacer para prepararnos. También reconocemos que restaurar la confianza en
Enlaces a más información
Resiliencia a las por un futuro más resiliente frente a estos ciberataques El contenido digital es un objetivo ambicioso que
influir en las operaciones. La tecnología es sólo una. requieren diversas perspectivas y participación. Aplicaciones de la inteligencia artificial en
operaciones de influencia cibernética: parte del rompecabezas. Se necesitarán varias No existe una sola empresa, o institución, o Misiones cibernéticas del Departamento de Defensa |
esfuerzos, incluida la educación dirigida a los medios gobierno que pueda resolver estas amenazas Microsoft sobre los problemas
La dimensión humana alfabetización, sensibilización y vigilancia, inversiones en su propio. Nuestro superpoder como humanos es nuestro
Inteligencia Artificial y Ciberseguridad:
periodismo de calidad, con reporteros confiables sobre el capacidad de colaborar y cooperar. Esto es
En los últimos cinco años, los avances en Desafíos crecientes y prometedores
escena, a nivel local, nacional e internacional— especialmente importante ahora porque requerirá
Los gráficos y el aprendizaje automático han Direcciones. Audiencia sobre artificiales
Redes de intercambio y alerta sobre influencia. todos: gobiernos globales, industrias,
Aplicaciones de inteligencia a las operaciones
introducido herramientas fáciles de usar capaces operaciones y nuevos tipos de regulaciones que academia, y especialmente noticias, redes sociales y
en el Ciberespacio ante el Subcomité
de generar rápidamente imágenes de alta calidad. penalizar a los actores malévolos que generan o organizaciones de medios—trabajando juntas para
en Ciberseguridad, del Senado Armado
Contenido realista que puede difundirse manipular los medios digitales con el objetivo de engañar. el mejoramiento y la salud de nuestra sociedad.
Comité de Servicios, 117º Congreso
ampliamente en Internet en segundos.
(3 de mayo de 2022; Testimonio de Eric Horvitz)
Una habilidad de ciberseguridad centralizada y específica Específico del programa: programas de formación específicos
Fortalecer el factor El programa llega a todos los empleados de Microsoft. apoyar iniciativas específicas de ciberseguridad, incluidas
Información procesable
al menos una vez al año. Las ofertas de formación son TI en la sombra, amenazas internas y Microsoft Federal.
humano con habilidad optimizado para soportar la ciberseguridad actual Estas ofertas están estrechamente integradas en la
1 Proporcionar capacitación y recursos de seguridad a
empleados cuando y donde lo necesiten.
iniciativas y ofrecer un comportamiento medible estrategia general de participación para sus respectivos
Abordar el factor humano es un componente resultados. El riesgo de la información de Microsoft iniciativas de ciberseguridad a través del ejecutivo 2 Desarrollar una estrategia de capacitación centralizada
clave de cualquier estrategia de habilidades en El Consejo de Gestión (IRMC) desempeña un papel clave patrocinio y elaboración de informes de cuadro de mando para prevenir informados por partes interesadas de todo
ciberseguridad. Según un estudio de Kaspersky para identificar comportamientos importantes en materia de ciberseguridad un enfoque de capacitación de “marcar la casilla”. la empresa.
Human Factor in IT Security,12 el 46 por ciento resultados de cambio que se abordarán mediante la capacitación. MSProtect: el recurso web centralizado de Microsoft 3 Garantizar que se realice un seguimiento del impacto de la formación
de los incidentes de ciberseguridad involucran a y analizado para determinar la eficiencia (cantidad),
Con todos nuestros programas de habilidades en ciberseguridad, proporciona mejores prácticas, política de la empresa
personal descuidado o uniformado que sin medimos la eficiencia de la solución, información y notificación de incidentes para todo lo relacionado efectividad (calidad) y resultados
darse cuenta facilita el ataque. (impacto de negocios).
efectividad y resultados cuando sea posible. relacionados con la ciberseguridad. Este recurso bajo demanda
Por ejemplo, nuestra oferta de habilidades sobre amenazas internas es la opción ideal para los empleados fuera del ámbito formal Enlaces a más información
El equipo de Educación y Concientización de Microsoft en tiene un 95 por ciento de cumplimiento de la capacitación, excepcional ofertas de formación.
satisfacción del alumno, y ha resultado en una Microsoft lanza la siguiente etapa de habilidades
la organización de Seguridad y Resiliencia Digital
aumento significativo en los informes de los gerentes iniciativa tras ayudar a 30 millones de personas
se encarga de fortalecer el factor humano
Las habilidades en seguridad no deben verse como
de la ciberseguridad al empoderar a los empleados para posibles casos de amenazas internas a través de la empresa
Proteger nuestros sistemas y los de nuestros clientes. Herramienta Informarlo ahora. El programa incluye: una actividad de cumplimiento, de marcar la casilla.
y datos. Nuestros objetivos son: En lugar de ello, céntrese en el cambio de comportamiento
Fundamentos de seguridad: Concientización y cumplimiento de la
• Reducir el riesgo para Microsoft y nuestros clientes ciberseguridad centralizados y en toda la empresa
para permitir el seguimiento de los resultados
mediante la creación de un conjunto centralizado de formación que aborda la seguridad básica y a través de conductas objetivo identificadas,
habilidades de seguridad centralizadas para toda la empresa en todo el prácticas de privacidad. Esta formación tan esperada
y establecer sistemas de escucha para
población de empleados. La serie emplea un modelo de entretenimiento educativo para
hacer que el aprendizaje sobre ciberseguridad sea atractivo
determinar el impacto de las ofertas.
• Fortalecer el conocimiento de seguridad de los empleados
e interesante.
a través de una formación en varias fases
enfoque de refuerzo para soportar lo deseado HUELGA: La formación técnica requerida por Microsoft
resultados del comportamiento. para ingenieros que crean y mantienen soluciones de línea
• Fomentar el cambio cultural creando una estrategia de seguridad. de negocio. Este solo por invitación
La mentalidad es una parte intrínseca de la cultura de Microsoft. La capacitación aborda áreas críticas y oportunas de
a través de la capacitación en seguridad requerida anualmente mejores prácticas de higiene en ciberseguridad y utiliza un
y eventos. modelo de entrega híbrido en vivo hecho a medida
a las necesidades de la audiencia.
• Promocionar un recurso web centralizado de ventanilla única
para obtener mejores prácticas, información sobre políticas de la empresa,
y reporte de incidentes para todo
relacionados con la ciberseguridad.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
104 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas
Amenazas Infraestructura Operaciones Resiliencia equipos
El primer paso fue comprender el alcance de nuestra protección Incorporar los hallazgos en nuestra propia empresa Para remediar
Perspectivas de contra un ataque de ransomware dirigido a Microsoft. Los
los principales riesgos y proteger nuestros servicios críticos
Información procesable
inversiones durante los próximos 6 a 12 meses en lograr los cinco remediación de un extremo a otro relacionadas con
administrados y cumplan con nuestras políticas de Confianza
programa de eliminación Cero, pero necesitábamos encontrar una manera de comprender
escenarios siguientes como parte de un programa de ransomware
dedicado.
ataques de ransomware contra servicios críticos.
todas las facetas de la pregunta más importante: si podríamos Una vez que tengamos éxito en cada uno de los escenarios, ampliaremos
Microsoft ha emprendido su propio viaje Zero Trust13
recuperarnos efectivamente de un ataque. . Para obtener más 2 Involucre a las partes interesadas en la actualización de su
gradualmente el alcance del programa para llegar a todas las
en los últimos cinco años para garantizar que las información, evaluamos el NIST 8374: Gestión de riesgos de Manuales de gestión de crisis empresariales que incluyan
partes de la empresa.
identidades y los dispositivos estén administrados de ransomware: un marco de ciberseguridad (CSF) actividades específicas de ransomware y un proceso de
manera sólida y en buen estado. A medida que Escenario 1: Los miembros del equipo de seguridad comprenden el decisión y orientación para determinar si pagar por
riesgo general asociado con un ataque de ransomware y tienen ransomware y cuándo.
crece el riesgo de ransomware, hemos desarrollado Perfil,14 que se alinea con nuestra política empresarial general frente
una visión profunda para respaldar nuestro enfoque a nuestra lista conocida de controles. un proceso establecido para concienciar a los ejecutivos sobre las
3 Mejorar la detección y la protección
de protección a nosotros mismos y a nuestros clientes. Este análisis identificó rápidamente brechas en la cobertura. brechas de control y el estado del riesgo.
cobertura habilitando las capacidades disponibles en sus
A continuación, priorizamos las brechas en las funciones de productos de seguridad implementados (p. ej.
Luego de una evaluación interna en profundidad, creamos Identificar, Detectar, Proteger, Responder y Recuperar del CSF. Escenario 2: los miembros del equipo de seguridad tienen acceso a Defender para las reglas de reducción de la superficie
un programa de eliminación de ransomware para subsanar las Encontramos una alineación estratégica con Zero Trust y guías diseñadas para ayudarlos a ellos y a otros equipos dentro de de ataque de endpoints).
brechas en los controles y la cobertura, contribuir a mejorar las otros programas y también descubrimos brechas que no Microsoft a responder y recuperar servicios críticos de un ataque de
ransomware. 4 Trabajar con el equipo de estándares de seguridad para definir
funciones de servicios como Defender para Endpoint, Azure y M365, tenían un flujo de trabajo existente.
una base de protección contra un ataque de ransomware
y desarrollar guías para nuestros equipos de SOC y de ingeniería Después de evaluar la cantidad de trabajo y esfuerzo necesarios Escenario 3: Los miembros del equipo de Enterprise Resilience tienen y brindar capacitación y documentación a los equipos de
sobre cómo para recuperarse en caso de un ataque de para remediar estas brechas, las separamos en dos pilares: • un estándar a seguir para el respaldo de sistemas críticos. ingeniería sobre cómo protegerse contra un ataque
ransomware. Proteger la empresa (PtE): Existen manuales y se realizan ejercicios periódicos de copia de ransomware.
Definir el trabajo de seguridad y recuperación para garantizar que los datos se
puedan recuperar en caso de un ataque de ransomware.
elementos que debemos hacer como empresa para protegernos
5 Implemente la automatización para que el
y poder recuperarnos de un ataque, en caso de que uno tenga
Facilita la implementación de políticas de seguridad y
éxito. Escenario 4: Los propietarios de servicios comprenden e
operaciones para los equipos de DevOps y garantiza
• Proteger al cliente (PtC): Desarrollar capacidades en nuestras ofertas implementan las políticas y controles operativos y de seguridad
que, si un sistema no cumple con el cumplimiento,
para proteger a nuestros clientes y nuestro negocio. necesarios para proteger sus servicios, datos de clientes, puntos
se marcará y remediará rápidamente.
finales y activos de red contra ataques de ransomware, con
especial atención en los servicios priorizados como servicios críticos de
Enlaces a más información
Microsoft.
Escenario 5: todos los empleados pueden acceder a recursos educativos Compartiendo cómo Microsoft protege contra el
y de capacitación que describen cómo reconocer un ataque de ransomware | Pista interna de Microsoft
ransomware y cómo notificar al equipo de seguridad e iniciar la respuesta.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
105 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas
Amenazas Infraestructura Operaciones Resiliencia equipos
¿Qué son las computadoras cuánticas? donde sea necesario." minimizar la rotación de código requerida cuando
Esto significa que existe presión para gestionar la
cambios de criptografía.
Las computadoras cuánticas son máquinas que utilizan amenaza para la criptografía actual y todo La estandarización es una actividad de largo plazo en
propiedades de la física cuántica para almacenar datos y protege. Los adversarios pueden grabar encriptados la transición a la criptografía cuántica segura. 3 Pilotar el uso de candidatos cuánticos seguros
realizar cálculos. Esto puede ser extremadamente datos ahora y explotarlos más tarde una vez que se Organismos de normalización que trabajan en normas utilizando algoritmos en sus productos o servicios
ventajoso para ciertas tareas donde podrían computadora está disponible. Esperando cuántica La criptografía de clave pública debe comenzar a experimentar. que utilizan criptografía.
superan ampliamente incluso a nuestras mejores supercomputadoras. informática llegue antes de abordar su con algoritmos postcuánticos y adaptarse a ellos ahora.
4 Esté preparado para utilizar diferentes claves públicas
La computación cuántica ya abre nuevas Las implicaciones criptográficas llegarán demasiado tarde.
Nueva criptografía poscuántica (PQC) algoritmos de cifrado, intercambio de claves,
horizontes para el cifrado y procesamiento de datos. Como la criptografía se utiliza en todo el mundo cibernético algoritmos: algoritmos clásicos que se cree que son y firmas.
Los estudios predicen que la computación cuántica se convertirá en ecosistema, esto significa que nuestros servicios de robustos al ataque cuántico: ahora están bajo revisión
una industria cuántica multimillonaria (USD) como seguridad basados en criptografía podrían verse comprometidos. 5 Pruebe sus aplicaciones para detectar el impacto de
a través de la estandarización poscuántica del NIST
en 2030.17 De hecho, la computación cuántica y Por ejemplo, esto incluye servicios para claves de gran tamaño, cifrados y firmas.
Proyecto.20 Este trabajo influirá en los esfuerzos globales
La comunicación cuántica está a punto de tener comunicaciones (TLS, IPSec), mensajería dentro de los organismos de normalización. Aunque habrá Enlaces a más información
un efecto transformador en una multitud de
(correo electrónico, conferencias web), identidad y acceso cierta superposición con el algoritmo del gobierno de EE. UU.
industrias, que van desde la atención sanitaria y la energía Microsoft ha demostrado el fundamento
gestión, navegación web, firma de código, selecciones, diferentes organismos nacionales/reguladores
a las finanzas y la seguridad. física necesaria para crear un nuevo tipo de
transacciones de pago y otros servicios que son opciones para algoritmos compatibles podrían presentar
cúbit | Investigación de Microsoft
depende de la criptografía para su protección. desafíos internacionales. Esta fragmentación en
a su vez complican la ingeniería de productos y servicios.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
106 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas
Amenazas Infraestructura Operaciones Resiliencia equipos
Los líderes organizacionales y los formuladores de políticas pueden Desafortunadamente, muchas organizaciones retrasan,
Integrar negocios, tener un impacto positivo significativo en la seguridad al diferir o aplicar estas prácticas comunes únicamente
Las decisiones sobre riesgos de
seguridad y TI para
apoyando activamente a los líderes de seguridad y ayudando parcialmente. Esto proporciona amplias oportunidades
construir un puente entre la seguridad integrada para que los atacantes la exploten. La necesidad de seguridad seguridad las toman mejor los
propietarios de empresas o
una mayor resiliencia y el resto de la organización. Cuando Microsoft
trabaja con clientes que tienen esta alineación,
la normalización se captura en el NIST 80040.22 de EE. UU.
Integrar negocios, Reduzca el riesgo eliminando silos “La resiliencia cibernética está en una escala móvil desde
continuidad empresarial clásica y recuperación ante desastres
seguridad y TI para comenzando con una buena copia de seguridad de los datos; progresando a
98%
–
– Verificar explícitamente: garantizar que los usuarios y dispositivos
están en buen estado antes de permitir el acceso
a los recursos.
–
– Utilice el acceso con privilegios mínimos: solo permita el acceso
privilegio necesario para acceder a un
recurso y nada más. La higiene de seguridad
–
– Supongamos una infracción: supongamos que las defensas del sistema
básica aún protege contra
han sido vulnerados y los sistemas podrían
verse comprometido. Esto significa constantemente
el 98% de los ataques
monitorear el ambiente para
posible ataque.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
109 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas
Amenazas Infraestructura Operaciones Resiliencia equipos
Notas finales
1 EndpointDetection and Response (EDR) es una plataforma de seguridad de endpoints empresarial diseñada 18 “El largo camino por recorrer hacia la transición a la criptografía poscuántica”, https://cacm.acm.org/
para ayudar a las redes empresariales a prevenir, detectar, investigar y responder a amenazas avanzadas. magazines/2022/1/257440ellargocaminoporhacialatransiciónalacriptografíapostcuántica/
Las capacidades de detección y respuesta de endpoints proporcionan detecciones de ataques avanzadas que están cerca texto completo
en tiempo real y procesable. Los analistas de seguridad pueden priorizar las alertas de manera efectiva, obtener visibilidad del 19 https://www.whitehouse.gov/briefingroom/presidentialactions/2022/01/19/memorandum
alcance completo de una infracción y tomar acciones de respuesta para remediar las amenazas. sobrelamejoradelaciberseguridaddelossistemascomunitariosdeldepartamentodedefensaeinteligencianacional/
2 Una plataforma de protección de terminales (EPP) es una solución implementada en dispositivos terminales para prevenir el
malware basado en archivos, detectar y bloquear actividades maliciosas de aplicaciones confiables y no confiables. 20 https://csrc.nist.gov/projects/postquantumcryptography/postquantumcryptography
y proporcionar las capacidades de investigación y remediación necesarias para responder dinámicamente a Estandarización
Incidentes y alertas de seguridad. 21 https://safecode.org/blog/preparingforpostquantumcryptographyroadmapinitialguidance/
3 https://docs.microsoft.com/enus/azure/activedirectory/authentication/howtomfagetstarted 22 https://csrc.nist.gov/publications/detail/sp/80040/rev4/final
4 https://docs.microsoft.com/enus/azure/activedirectory/authentication/howtomfanumber
fósforo
5 https://docs.microsoft.com/enus/azure/activedirectory/authentication/howtomfaadditional
contexto
12 https://www.kaspersky.com/blog/thehumanfactorinitsecurity/
13 https://aka.ms/ZTatMSFT
14 https://csrc.nist.gov/publications/detail/nistir/8374/final
15 https://www.whitehouse.gov/briefingroom/presidentialactions/2022/01/19/memorandum
sobrelamejoradelaciberseguridaddelossistemascomunitariosdeldepartamentodedefensaeinteligencianacional/
Contribuyendo
equipos
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético
cibernético Contribuyendo
111 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas
Amenazas Infraestructura Operaciones Resiliencia
Resiliencia equipos
Azure Networking, Core: un equipo de redes en la nube Centro de operaciones de defensa cibernética (CDOC): Seguridad y resiliencia digital (DSR): una
Equipos contribuyentes centrado en Microsoft WAN, redes de centros de las instalaciones de defensa y ciberseguridad de organización dedicada a permitir que Microsoft cree los
datos y la infraestructura de redes definida por Microsoft son un centro de fusión que reúne a dispositivos y servicios más confiables, manteniendo al
Los datos y las ideas de este informe fueron software de Azure, incluida la plataforma DDoS, la profesionales de seguridad de toda la empresa para proteger mismo tiempo nuestra empresa segura y los datos de
proporcionados por un grupo diverso de plataforma de borde de red y productos de seguridad de nuestra infraestructura corporativa y la infraestructura nuestra empresa y de nuestros clientes protegidos.
profesionales centrados en la seguridad, que red como Azure WAF, Azure Firewall y Estándar de nube a la que tienen acceso los clientes.
Unidad de Seguridad Digital (DSU): un equipo de
trabajan en muchos equipos diferentes de Microsoft. de protección DDoS de Azure. Los equipos de respuesta a incidentes se sientan junto a científicos de
abogados y analistas de ciberseguridad que brindan
En conjunto, su objetivo es proteger a Microsoft, datos e ingenieros de seguridad de todos los grupos de servicios,
experiencia legal, geopolítica y técnica para proteger a
a sus clientes y al mundo en general de la Equipo de investigación de seguridad en la nube: al
productos y dispositivos de Microsoft para ayudar a proteger, detectar
Microsoft y sus clientes. DSU genera confianza en las
amenaza de los ciberataques. Estamos orgullosos y responder a las amenazas las 24 horas del día, los 7 días de la semana.
proteger la nube de Microsoft, crear características defensas de seguridad empresarial de Microsoft contra
de compartir estos conocimientos con un espíritu y productos de seguridad innovadores y realizar Iniciativa Democracy Forward: un equipo de Microsoft adversarios cibernéticos avanzados en todo el mundo.
de transparencia y el objetivo común de hacer investigaciones, este equipo protege y capacita a los que trabaja para preservar, proteger y promover los
Centro de análisis de amenazas digitales (DTAC): un
del mundo un lugar más seguro para todos. clientes de Microsoft para transformar sus fundamentos de la democracia mediante la promoción de
equipo de expertos que analizan e informan sobre las
organizaciones de forma segura. un ecosistema de información saludable, la salvaguardia
amenazas de los estados nacionales, incluidos los
de procesos democráticos abiertos y seguros y la
Laboratorio de investigación AI for Good: aprovechar Seguridad y confianza del cliente (CST): un equipo que ciberataques y las operaciones de influencia. El equipo
defensa de la responsabilidad cívica corporativa.
el poder de los datos y la inteligencia artificial para impulsa la mejora continua de la seguridad del cliente combina información e inteligencia sobre amenazas
abordar muchos de los desafíos del mundo. El en los productos y servicios en línea de Microsoft. Unidad de Delitos Digitales (DCU): Un equipo de abogados, cibernéticas con análisis geopolítico para brindar
laboratorio colabora con organizaciones fuera de Microsoft, Al trabajar con equipos de ingeniería y seguridad de toda investigadores, científicos de datos, ingenieros, analistas y información a nuestros clientes y a Microsoft para informar
aplicando IA para mejorar los medios de vida y el entorno. la empresa, CST garantiza el cumplimiento, profesionales de negocios dedicados a combatir el delito respuestas y protecciones efectivas.
Las áreas de interés incluyen la seguridad en línea mejora la seguridad y proporciona más transparencia cibernético a escala global utilizando tecnología, análisis
Empresa y seguridad: un equipo centrado en proporcionar
(desinformación, ciberseguridad, seguridad infantil), para proteger a los clientes y promover la confianza forense, acciones civiles, referencias criminales y
una plataforma moderna, segura y manejable para la
respuesta a desastres, sostenibilidad e IA para la salud. global en Microsoft. asociaciones tanto públicas como privadas.
nube inteligente y el borde inteligente.
Azure Edge & Platform, Enterprise & OS Security: Éxito del cliente: los equipos de seguridad de Éxito del Diplomacia digital: un equipo internacional de
Responsable de la seguridad principal del sistema cliente trabajan directamente con los clientes para exdiplomáticos, formuladores de políticas y expertos
Movilidad empresarial: un equipo que ayuda a ofrecer un
operativo y de la plataforma en Windows, Azure y otros compartir mejores prácticas, lecciones aprendidas y legales que trabajan para promover un ciberespacio
lugar de trabajo moderno y una gestión moderna para
productos de Microsoft. El equipo crea soluciones orientación para acelerar la transformación y pacífico, estable y seguro frente al creciente conflicto
mantener los datos seguros, en la nube y en las
de hardware y seguridad líderes en la industria en plataformas modernización de la seguridad. Este equipo reúne entre estados nación.
instalaciones. Endpoint Manager incluye los
de Microsoft para reducir el compromiso de exploits, y organiza las mejores prácticas y las lecciones servicios y herramientas que Microsoft y sus clientes utilizan
identidades y malware desde el chip a la nube. aprendidas del recorrido de Microsoft (así como el
para administrar y monitorear dispositivos móviles,
Creadores de la plataforma Securedcore de de nuestros clientes) hacia estrategias de referencia,
computadoras de escritorio, máquinas virtuales, dispositivos
Microsoft en PC, Edge y Server, el procesador de arquitecturas de referencia, planes de referencia y más. integrados y servidores.
seguridad Microsoft Pluton y más.
Machine Translated by Google
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético
cibernético Contribuyendo
Introducción Amenazas
Amenazas Infraestructura Resiliencia equipos
112 Informe de defensa digital de Microsoft 2022 cibercrimen Operaciones
Microsoft AI, Ética y efectos en ingeniería e investigación Microsoft Defender Threat Intelligence (RiskIQ): un Microsoft Threat Intelligence Center (MSTIC): un equipo
Equipos contribuyentes (AETHER): un consejo asesor de Microsoft con la misión equipo que produce inteligencia táctica a través del centrado en identificar, rastrear y recopilar inteligencia
de garantizar que las nuevas tecnologías se desarrollen y análisis de la extensa colección de telemetría externa relacionada con los adversarios más sofisticados que
Continuado
utilicen de manera responsable. de Microsoft, trazando el panorama de amenazas a medida afectan a los clientes de Microsoft, incluidas amenazas de
Gestión de riesgos empresariales: un equipo que que evoluciona para descubrir una infraestructura de estados nacionales, malware y phishing.
trabaja en todas las unidades de negocio para priorizar las amenazas previamente desconocida y agregando contexto
Búsqueda y distribución de Microsoft Bing: un equipo
discusiones sobre riesgos con los altos directivos de Microsoft. a los actores y campañas de amenazas.
dedicado a proporcionar un motor de búsqueda en Internet One Engineering System (1ES): un equipo con la misión de
ERM conecta múltiples equipos de riesgo operativo, El equipo publica periódicamente investigaciones
de clase mundial, que permite a los usuarios de todo el ofrecer herramientas de clase mundial para ayudar a los
administra el marco de riesgo empresarial de Microsoft oportunas y distintivas para brindar inteligencia táctica
mundo encontrar información y resultados de búsqueda desarrolladores de Microsoft a ser lo más productivos y
y facilita la evaluación de seguridad interna de la crucial a los defensores.
confiables rápidamente, incluido el seguimiento de temas seguros posible. El equipo lidera la estrategia central para
empresa utilizando el marco de ciberseguridad del NIST.
e historias de actualidad que les interesan, al tiempo que les Equipo de desarrollo empresarial de seguridad de asegurar la cadena de suministro de software de extremo
brinda a los usuarios el control de sus privacidad. Microsoft: un equipo que lidera la estrategia de a extremo de Microsoft.
Política global de ciberseguridad: un equipo que trabaja con Soluciones para clientes y socios de Microsoft: la crecimiento, las asociaciones y las inversiones estratégicas
Centro de inteligencia sobre amenazas cibernéticas
gobiernos, ONG y socios de la industria para en ciberseguridad de Microsoft.
organización comercial unificada de lanzamiento al (OpTIC): el equipo responsable de administrar y difundir
promover políticas públicas de ciberseguridad que
mercado de Microsoft responsable de roles de campo Centro de respuesta de seguridad de Microsoft (MSRC): un inteligencia sobre amenazas cibernéticas que respalda la
permitan a los clientes fortalecer su seguridad y resiliencia a
como asesores y especialistas en ventas técnicas y equipo que colabora con investigadores de seguridad que misión del Centro de operaciones de defensa cibernética
medida que adoptan la tecnología de Microsoft. de seguridad. trabajan para proteger el ecosistema de socios y clientes (CDOC) de Microsoft de proteger a Microsoft y a nuestros
de Microsoft. Como parte integral del Centro de operaciones clientes.
Expertos en Microsoft Defender: la organización global
Seguridad de identidad y acceso a la red (IDNA): un equipo de defensa cibernética (CDOC) de Microsoft, MSRC reúne a
más grande de Microsoft de investigadores de seguridad,
que trabaja para proteger a todos los clientes de expertos en respuesta de seguridad para detectar y responder
científicos aplicados y analistas de inteligencia de amenazas
Microsoft del acceso no autorizado y el fraude. a amenazas en tiempo real.
centrados en productos. Defender Experts ofrece capacidades
IDNA Security es un equipo interdisciplinario de
innovadoras de detección y respuesta en productos de seguridad Servicios de seguridad de Microsoft para respuesta a
ingenieros, gerentes de productos, científicos de datos e
de Microsoft 365 y servicios administrados de Microsoft incidentes: un equipo de expertos en ciberseguridad que
investigadores de seguridad.
Defender Experts. ayudan a los clientes durante todo el ciberataque, desde la
M365 Security: organización que desarrolla soluciones investigación hasta la contención exitosa y las actividades
Microsoft Defender para IoT: un equipo compuesto por
de seguridad que incluyen Microsoft Defender for Endpoint relacionadas con la recuperación. Los servicios se ofrecen
investigadores expertos en el dominio que se especializan
(MDE), Microsoft Defender for Identity (MDI) y otras, a través de dos equipos altamente integrados, el Equipo de
en ingeniería inversa de malware, protocolos y firmware de IoT/
para proteger a los clientes empresariales. Detección y Respuesta (DART), que se centra en la
OT. El equipo busca amenazas de IoT/OT para descubrir
investigación y el trabajo preliminar para la recuperación, y el
tendencias y campañas maliciosas.
Compromise Recovery Security Practice (CRSP), que se
centra en los aspectos de contención y recuperación.
Machine Translated by Google