Microsoft Digital Defense Report 2022 - Compressed

Machine Translated by Google
microsoft
Defensa Digital
Informe 2022
Iluminando el panorama de
amenazas y potenciando una defensa digital.
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
01 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Introducción al informe 02 Irán se vuelve cada vez más agresivo tras la Resiliencia cibernética 86
Contenido transición de poder 46
87
Una visión general de la resiliencia cibernética
El estado del cibercrimen 06 Capacidades cibernéticas de Corea del Norte empleadas
Introducción 88
Los datos, conocimientos y eventos de este informe abarcan para lograr los tres objetivos principales del régimen 49
Una visión general del estado del cibercrimen 07
desde julio de 2021 hasta junio de 2022 (año fiscal de Microsoft Resiliencia cibernética: una base
Introducción 08 Los cibermercenarios amenazan la
2022), a menos que se indique lo contrario. crucial para una sociedad conectada 89
estabilidad del ciberespacio 52
Ransomware y extorsión:
La importancia de modernizar los sistemas
Una amenaza a nivel nacional 09 Hacer operativas las normas de ciberseguridad para
y la arquitectura 90
la paz y la seguridad en el ciberespacio 53
Perspectivas sobre ransomware de La postura de seguridad básica es un factor
14
los respondedores de primera Dispositivos e infraestructura 56 determinante en la eficacia de la solución avanzada 92
línea El ciberdelito como servicio 18

Una descripción general de los dispositivos y la infraestructura 57 Mantener la salud de la identidad es fundamental para el
La evolución del panorama de amenazas de phishing 21 bienestar organizacional 93
Introducción 58
Una cronología de la interrupción de las botnets Configuración de seguridad predeterminada del sistema operativo 96
25 Los gobiernos actúan para mejorar la seguridad y la
desde los primeros días de colaboración de Microsoft Centralidad de la cadena de suministro de software 97
resiliencia de las infraestructuras críticas 59
Abuso cibercriminal de la infraestructura ¿Ha 26
62 Desarrollar resiliencia ante ataques DDoS,
IoT y OT al descubierto: tendencias y ataques
llegado el hacktivismo para quedarse? 28 aplicaciones web y redes emergentes 98
Hackeo de firmware y cadena de suministro sesenta y cinco
Desarrollar un enfoque equilibrado para la

Amenazas del Estado nación 30 Foco en las vulnerabilidades del firmware 66
seguridad de los datos y la resiliencia cibernética 101
Ataques OT basados en reconocimiento 68
Una visión general de las amenazas del Estado nación 31 Resiliencia a las operaciones de influencia cibernética:
La dimensión humana 102
Introducción 32
Operaciones de influencia cibernética 71
Fortalecer el factor humano con habilidad 103
Antecedentes de los datos del estado nación 33
Una descripción general de las operaciones de influencia cibernética 72
Información sobre nuestro programa de
Muestra de actores del Estado nación y sus
Introducción 73 eliminación de ransomware 104
actividades. 34
Tendencias en las operaciones de ciberinfluencia 74 Actuar ahora sobre las implicaciones de la seguridad cuántica 105
El panorama de amenazas en evolución 35
Operaciones de influencia durante la pandemia de Integrar negocios, seguridad y TI para una mayor
La cadena de suministro de TI como puerta
COVID19 y la invasión rusa de Ucrania 76 resiliencia 106
de entrada al ecosistema digital 37
Seguimiento del índice de propaganda rusa 78 La curva de campana de la ciberresiliencia 108
Explotación rápida de la vulnerabilidad 39
Medios sintéticos 80
Las cibertácticas de los actores estatales rusos
Equipos contribuyentes 110
en tiempos de guerra amenazan a Ucrania y más allá 41 Un enfoque holístico para protegerse
Para obtener la mejor experiencia al ver y 83
contra las operaciones de influencia cibernética
navegar este informe, recomendamos utilizar China amplía su objetivo global de ventaja
competitiva 44
Adobe Reader, disponible como descarga gratuita
desde el sitio web de Adobe.
Introducción de Tom Burt El 23 de febrero de 2022, el mundo de la ciberseguridad entró Los actores extranjeros también están utilizando técnicas
en una nueva era, la era de la guerra híbrida. muy efectivas para permitir operaciones de influencia
Vicepresidente corporativo, seguridad y confianza del cliente
Ese día, horas antes de que se lanzaran misiles y los tanques propagandística en regiones de todo el mundo, como
“Los billones de señales que analizamos cruzaran las fronteras, los actores rusos lanzaron un se analiza en el tercer capítulo. Por ejemplo, Rusia
ciberataque masivo y destructivo contra objetivos del ha trabajado duro para convencer a sus ciudadanos, y a los
de nuestro ecosistema mundial gobierno, la tecnología y el sector financiero de Ucrania. ciudadanos de muchos otros países, de que su invasión
Puede leer más sobre estos ataques y las lecciones que se de Ucrania estaba justificada, al tiempo que sembraba
de productos y servicios revelan la

pueden aprender de ellos en el capítulo Amenazas del propaganda que desacreditaba las vacunas contra la
Estado Nación de esta tercera edición anual del Informe de COVID en Occidente y simultáneamente promovía
Defensa Digital de Microsoft (MDDR). Entre esas
ferocidad, el alcance y la escala de las
su eficacia en casa.
lecciones, la clave es que la nube proporciona la mejor Además, los actores apuntan cada vez más a los
amenazas digitales en todo el mundo” seguridad física y lógica contra los ciberataques y permite dispositivos de Internet de las cosas (IoT) o a los dispositivos
avances en inteligencia de amenazas y protección de terminales de control de tecnología operativa (OT) como puntos de
entrada a las redes y la infraestructura crítica, como se
que han demostrado su valor en Ucrania.
analiza en el capítulo cuatro. Finalmente, en el último
capítulo, brindamos los conocimientos y lecciones que
hemos aprendido durante el año pasado al
Si bien cualquier estudio sobre los avances del año en
defendernos de los ataques dirigidos a Microsoft y nuestros
materia de ciberseguridad debe comenzar ahí, el informe de
clientes mientras revisamos los desarrollos del año en
este año ofrece una inmersión profunda en mucho más.
resiliencia cibernética.
En el primer capítulo del informe, nos centramos en las
actividades de los ciberdelincuentes, seguido de las amenazas Cada capítulo proporciona las lecciones clave aprendidas
Una instantánea de nuestro paisaje…
a los estados nacionales en el capítulo dos. Ambos grupos y los conocimientos basados en el punto de vista
han aumentado considerablemente la sofisticación de único de Microsoft. Los billones de señales que analizamos
Alcance y escala del panorama Desmantelamiento Abordar las deacciones.
sus ataques, lo que ha aumentado dramáticamente el impacto de sus nuestro ecosistema mundial de productos y servicios
de amenazas El volumen del cibercrimen vulnerabilidades Mientras Rusia acaparaba los titulares, los actores revelan la ferocidad, el alcance y la escala de las
de ataques a contraseñas ha Hasta la fecha, Microsoft El 93% de nuestros iraníes intensificaron sus ataques tras una transición del amenazas digitales en todo el mundo. Microsoft está
aumentado a eliminó más de 10.000 poder presidencial, lanzando ataques destructivos contra tomando medidas para defender a nuestros clientes y
compromisos de
aproximadamente 921 dominios utilizados por Israel y operaciones de ransomware y piratería y filtración el ecosistema digital contra estas amenazas, y usted
respuesta a incidentes de
ataques por segundo, un ciberdelincuentes y 600 ransomware revelaron dirigidas a infraestructuras críticas en Estados Unidos. puede leer sobre nuestra tecnología que identifica y
aumento del 74 % en solo un año. utilizados por actores China también incrementó sus esfuerzos de espionaje en bloquea miles de millones de intentos de phishing,
controles insuficientes sobre
estatales. el acceso privilegiado y el movimiento lateral. el sudeste asiático y en otras partes del sur global, robos de identidad y otras amenazas a nuestros clientes.
buscando contrarrestar la influencia estadounidense y robar
datos e información críticos.
Introducción Amenazas Infraestructura Resiliencia equipos
03 Informe de defensa digital de Microsoft 2022 cibercrimen Operaciones
Introducción de Tom Burt El estado del cibercrimen Amenazas del estado nación
Continuado Los ciberdelincuentes siguen actuando como sofisticadas Los actores estatalesnación están lanzando ciberataques
empresas lucrativas. Los atacantes se están adaptando cada vez más sofisticados diseñados para evadir la
También utilizamos medios legales y técnicos para
y encontrando nuevas formas de implementar sus técnicas, detección y promover sus prioridades estratégicas.
confiscar y cerrar la infraestructura utilizada por
lo que aumenta la complejidad de cómo y dónde alojan La llegada del despliegue de armas cibernéticas en la
ciberdelincuentes y actores estatales y notificar a los clientes
la infraestructura de operaciones de campaña. guerra híbrida en Ucrania es el comienzo de una nueva
cuando están siendo amenazados o atacados por un
Al mismo tiempo, los ciberdelincuentes se están volviendo era de conflictos. Rusia también ha apoyado su guerra
actor estatal. Trabajamos para desarrollar características
más frugales. Para reducir sus gastos generales y aumentar con operaciones de influencia de información,
y servicios cada vez más efectivos que utilicen
la apariencia de legitimidad, los atacantes están utilizando propaganda para impactar las opiniones en
tecnología AI/ML para identificar y bloquear
comprometiendo las redes y dispositivos empresariales para Rusia, Ucrania y en todo el mundo. Fuera de Ucrania,
amenazas cibernéticas y que los profesionales de la
albergar campañas de phishing, malware o incluso utilizar los actores estatales han aumentado su actividad y han
seguridad se defiendan e identifiquen las intrusiones
su potencia informática para extraer criptomonedas. comenzado a utilizar avances en automatización,
cibernéticas de manera más rápida y efectiva.
infraestructura de nube y tecnologías de acceso remoto para
Quizás lo más importante es que a lo largo del MDDR Más información en p6
atacar un conjunto más amplio de objetivos. Las cadenas de
ofrecemos nuestros mejores consejos sobre los pasos que suministro de TI corporativas que permiten el acceso a
las personas, organizaciones y empresas pueden objetivos finales fueron atacadas con frecuencia. La higiene
tomar para defenderse contra estas crecientes amenazas digitales. de la ciberseguridad se volvió aún más crítica a
Adoptar buenas prácticas de ciberhigiene es la mejor medida que los actores explotaron rápidamente
defensa y puede reducir significativamente el riesgo de vulnerabilidades sin parches, utilizaron técnicas
ciberataques. sofisticadas y de fuerza bruta para robar Dispositivos e infraestructura
"La llegada del credenciales y ofuscaron sus operaciones mediante el La pandemia, junto con la rápida adopción de dispositivos de
uso de software legítimo o de código abierto. Además, todo tipo con acceso a Internet como componente de la
despliegue de Irán se suma a Rusia en el uso de armas cibernéticas aceleración de la transformación digital, ha aumentado considerablemente
destructivas, incluido el ransomware, como elemento básico de sus
la ataques.
armas cibernéticas
superficie de ataque de nuestro mundo digital. Como resultado,
Estos acontecimientos requieren la adopción urgente de un los ciberdelincuentes y los estados nacionales se están
en la guerra marco global coherente que dé prioridad a los derechos

humanos y proteja a las personas del comportamiento
aprovechando rápidamente.
Si bien la seguridad del hardware y software de TI se ha fortalecido
híbrida en Ucrania imprudente del Estado en línea. Todas las naciones en los últimos años, la seguridad de los dispositivos IoT y OT no ha
deben trabajar juntas para implementar normas y seguido el ritmo.

es el comienzo reglas para una conducta estatal responsable. Los actores de amenazas están explotando estos dispositivos
para establecer acceso a redes y permitir el movimiento lateral,
de una nueva era de conflicto". Más información en p30 establecer un punto de apoyo en una cadena de suministro o
interrumpir las operaciones de OT de la organización objetivo.
Más información en la página 56

Informe
Informe estadode
El estado de Estadonacional
Estado nacional Dispositivos y Influenciacibernética
Influencia cibernética cibernético Contribuyendo
Contribuyendo
04 Informe
04 Informede
dedefensa
defensadigital dede
digital Microsoft 2022
Microsoft 2022 Introducción
Introducción cibercrimen
cibercrimen Amenazas Infraestructura
Infraestructura Operaciones
Operaciones Resiliencia
Resiliencia equipos
Introducción de Tom
Introducción de Tom Burt
Burt
Continuado
Continuado Nuestro punto de vista único
Operaciones de influencia
Operaciones de influencia cibernética
cibernética
Los
sofisticadas
estados operaciones
nacionales utilizan
de influencia
cada vezparamásdistribuir
propaganda
nivel nacionale como
impactar la opinión
a nivel nacionalpública
e tanto a 37 mil millones
internacional.
confianza Estas
a nivel campañas erosionan
internacional. la
Estas campañas
electrónico
amenazas de amenazas
correo de
erosionan
y amenazan la confianza,
la democracia aumentan
. aumentan
la polarización
la
obstruido
correo electrónico bloqueadas
polarización
democráticos. y amenazan
Procesos persistentes
los procesosavanzados
cualificados .avanzados
persistentes Los actorescalificados
manipuladores
están
utilizando
manipuladoreslos medios
están tradicionales
utilizando los Los
medios
actores
tradicionales
para aumentar junto
enormemente
con Internetelyalcance,
las redeslasociales
escala
yellaenorme
eficiencia
impacto
de susquesistemas.
son sus suscampañas,
campañas, y el y
34.700 millones
enorme
ecosistema impacto
de información
que están teniendo
global. tener
en elen el
ecosistema global de la información. amenazas de identidad
El guerra
la año pasado,
híbridavimos estasenoperaciones
de Rusia utilizadas
Ucrania, utilizadas como
como parte
parte dede
la obstruido
43tn
Resiliencia cibernética
guerrayhíbrida
Rusia de Rusia pero
otras naciones, en Ucrania,
Tambiénpero también
hemos vistohemos visto
a Rusia y a
otras
más operaciones
naciones, incluidos
de propaganda
China e impulsadas
Irán , desplegarse
por lascada
redesvez La seguridad es un factor clave para el éxito tecnológico.
sociales
extenderpara
su influencia
extenderglobal
su influencia
en un rango
globalde
encuestiones.
un rango para
de La innovación
mediante la introducción
y la productividad
de medidas
mejorada
de seguridad
sólo pueden
que hagan
lograrse
que
señales sintetizadas
sintetizadas diariamente,
diariamente,
utilizando
utilizando
análisis de
señales
datossofisticadas
sofisticados
cuestiones. las organizaciones
ataques modernos.sean
La pandemia
lo más resilientes
se ha opuesto
posible
a los
contra
ataques
los
y algoritmosdedeIAIApara
algoritmos paracomprender
comprendery proteger
el análisiscontra
de datos
amenazas
y
modernos.
nuestra seguridad,
La pandemia
nos ha
nos
desafiado
ha desafiado
a Microsoft
en Microsoft
a cambiar
a cambiar
nuestras
digitales y proteger
ciberactividad criminal.
contra
ciberactividad
amenazas digitales
delictiva.y
prácticas y tecnologías para
de seguridad
proteger para
a nuestros
proteger
empleados
nuestras
dondequiera que trabajen. El año pasado, los actores
empleados
de amenazas
Más información
Más información en p71
en p71 continuarondurante
expuestas aprovechándose
la pandemia
deylas
el cambio
vulnerabilidades
a un entorno
8.500+
de trabajo híbrido. y el cambio a un entorno de trabajo híbrido.
2.500 millones
ingenieros, investigadores, científicos de datos, expertos
señales de punto final
en ciberseguridad, cazadores de amenazas, analistas
expertos
Desde entonces,
prevalencia y la complejidad
nuestro principal
de varios
desafío
métodos
ha sido
de gestionar
ataque y el
la analizadasdiariamente
analizado diariamente
geopolíticos, investigadores
investigadores y socorristas de
y analistas
primera geopolíticos,
línea en 77 países.
el aumento
aumento dedelosladiversos
actividadmétodos
del estadode ataque
nación.aEn
nivel
este
nacional
capítuloy personal de primera línea en 77 países.
detallamos
desafíos que
la hemos
actividad
enfrentado,
estatal. Eny este
los desafíos
capítulo,de
detallamos
defensa que
los
hemos
en respuesta
enfrentado,
con nuestros
y las defensas
más deque
15,000
hemos
socios.
movilizado
de
15.000 socios.
15.000+
socios en nuestro ecosistema de seguridad que aumentan
son
la resiliencia
aumentar la resiliencia
cibernéticacibernética
de nuestros
declientes.
nuestros clientes. 1 de julio de 2021 al 30 de junio de 2022
Introducción Amenazas Infraestructura Resiliencia equipos
Introducción de Tom Burt

Continuado Gracias por tomarse el Nuestro objetivo con este informe es doble:
tiempo para revisar el

1 Para iluminar el panorama en evolución de las amenazas digitales para nuestros clientes,
Creemos en Microsoft, de forma independiente y
mediante asociaciones estrechas con otros actores
Informe de defensa socios y partes interesadas que abarcan el ecosistema más amplio, arrojando luz tanto
sobre los nuevos ciberataques como sobre las tendencias en evolución de las amenazas
de la industria privada, el gobierno y la sociedad civil. digital de Microsoft históricamente persistentes.
—tiene la responsabilidad de proteger los sistemas
digitales que sustentan el tejido social de nuestra sociedad de este año. 2 Capacitar a nuestros clientes y socios para que mejoren su resiliencia
cibernética y respondan a estas amenazas.
y promover entornos informáticos seguros para todas las
personas, dondequiera que se encuentren. Esta
Esperamos que
responsabilidad es la razón por la que publicamos el MDDR
cada año desde 2020.
encuentre que
El informe es la culminación de la gran cantidad de datos proporciona
y la investigación exhaustiva de Microsoft. Comparte nuestros
conocimientos únicos sobre cómo está evolucionando el
información y
panorama de las amenazas digitales y las acciones cruciales
que se pueden tomar hoy para mejorar la seguridad del
recomendaciones valiosas
ecosistema.
para ayudarnos a
Esperamos inculcar un sentido de urgencia, para que los
lectores tomen medidas inmediatas basadas en los datos y defender colectivamente el ecosistema digital.
los conocimientos que presentamos aquí y en nuestras
numerosas publicaciones sobre ciberseguridad a lo largo del año. Tom Burt
Al considerar la gravedad de la amenaza al panorama digital vicepresidente corporativo,
(y su traducción al mundo físico), es importante recordar Seguridad y confianza del cliente
que todos estamos capacitados para tomar medidas para
protegernos a nosotros mismos, a nuestras organizaciones y
a nuestras empresas contra las amenazas digitales.
Informe
Informe El estado de Estado nacional
Estado nacional Dispositivos y Influencia cibernética
Influencia cibernética cibernético Contribuyendo
Contribuyendo
06 Informe de defensa digital de Microsoft 2022 Introducción
Introducción cibercrimen Amenazas Infraestructura
Infraestructura Operaciones
Operaciones Resiliencia
Resiliencia equipos
El estado de Una visión general del estado del cibercrimen
Introducción
Ransomware y extorsión:
07
08
cibercrimen
Una amenaza a nivel nacional 09
Información sobre ransomware de

los socorristas de primera línea 14
El cibercrimen como servicio 18

A medida que mejoran las defensas cibernéticas y más
La evolución del panorama de las amenazas de phishing 21
organizaciones adoptan un enfoque proactivo de
prevención, los atacantes adaptan sus técnicas. Una cronología de la interrupción de las botnets desde
Los primeros días de colaboración de Microsoft 25
Abuso cibercriminal de la infraestructura 26
¿Ha llegado el hacktivismo para quedarse? 28

Una visión general de

El ciberdelito continúa aumentando a medida que El ransomware operado por humanos Los esquemas de phishing
El estado del cibercrimen la industrialización de la economía del ciberdelito es el más frecuente, ya que un tercio de credenciales que
reduce la barrera de entrada de habilidades al de los objetivos son comprometidos con éxito apuntan indiscriminadamente a
brindar un mayor acceso a herramientas e por delincuentes que utilizan estos ataques todas las bandejas de entrada
A medida que mejoran las infraestructura. y el 5% de ellos reciben un rescate. están en aumento y el compromiso
defensas cibernéticas y más del correo electrónico empresarial,
organizaciones adoptan un incluido el fraude de facturas,
enfoque proactivo de La amenaza del ransomware y la extorsión 2.500 plantea un importante riesgo de
cibercrimen para las empresas.
prevención, los atacantes adaptan sus setécnicas.
está volviendo más audaz con
Los ciberdelincuentes siguen actuando como sofisticadas

ataques dirigidos a gobiernos, empresas e
infraestructuras críticas.
60
empresas lucrativas. Los atacantes se están adaptando
y encontrando nuevas formas de implementar sus técnicas,
lo que aumenta la complejidad de cómo y dónde
conti BloquearBit
20 Más información en p21
alojan la infraestructura de operaciones de campaña.
1
Negro
Al mismo tiempo, los ciberdelincuentes se están volviendo Asunto
REVOLVER
más frugales. Para reducir sus gastos generales y Para alterar las
aumentar la apariencia de legitimidad, los atacantes infraestructuras
están comprometiendo las redes y dispositivos maliciosas de los
empresariales para albergar campañas de phishing, Obtenga más información en p9
ciberdelincuentes y
malware o incluso utilizar su potencia informática para extraer criptomonedas. los actores estatales,
La defensa más
Microsoft confía
eficaz contra en enfoques legales
El ransomware
innovadores y en
Obtenga más información en p9 incluye autenticación 2022
nuestras asociaciones públicas y privadas.
multifactor, parches de Preransomware Secuestro de datos
Los atacantes amenazan cada vez más seguridad frecuentes y

con revelar datos confidenciales para principios de confianza
fomentar el pago de rescates. cero en toda la
arquitectura de red.
Más información en p10 Más información en la página 13 Más información en la página 25
El cibercrimen sigue A medida que mejoran las defensas En este capítulo, también examinamos el aumento
Introducción cibernéticas y más gobiernos y empresas adoptan un del hacktivismo, una perturbación causada por
aumentando, con aumentos enfoque proactivo para la prevención, vemos a los ciudadanos privados que realizan ciberataques para
tanto de los ataques atacantes utilizar dos estrategias para obtener el acceso promover objetivos sociales o políticos. Miles de personas
necesario para facilitar el delito cibernético. Un enfoque en todo el mundo, tanto expertos como novatos, se han
aleatorios como de los dirigidos. es una campaña con objetivos amplios que se base en movilizado desde febrero de 2022 para lanzar ataques
el volumen. El otro utiliza la vigilancia y una focalización como desactivar sitios web y filtrar datos robados como
más selectiva para aumentar la tasa de rendimiento. Incluso parte de la guerra entre Rusia y Ucrania. Es demasiado
cuando el objetivo no es la generación de ingresos (como pronto para predecir si esta tendencia continuará después
la actividad de un Estado nación con fines geopolíticos), del fin de las hostilidades activas.
se utilizan tanto ataques aleatorios como dirigidos. El año
Las organizaciones deben revisar y fortalecer
pasado, los ciberdelincuentes continuaron confiando en la
periódicamente los controles de acceso e implementar
ingeniería social y la explotación de temas de actualidad
estrategias de seguridad para defenderse de
para maximizar el éxito de las campañas.
los ciberataques. Sin embargo, eso no es todo lo
Por ejemplo, si bien los señuelos de phishing con temática
que pueden hacer. Explicamos cómo nuestra Unidad
de COVID se utilizaron con menos frecuencia, observamos
de Delitos Digitales (DCU) ha utilizado casos civiles para
que aumentaron los señuelos que solicitaban
apoderarse de infraestructura maliciosa utilizada por
donaciones para apoyar a los ciudadanos de Ucrania.
ciberdelincuentes y actores estatales. Debemos luchar
Los atacantes se están adaptando y encontrando juntos contra esta amenaza a través de asociaciones públicas y privada
nuevas formas de implementar sus técnicas, lo que Esperamos que al compartir lo que hemos aprendido
aumenta la complejidad de cómo y dónde alojan la durante los últimos 10 años, ayudemos a otros a
infraestructura de operaciones de campaña. Hemos comprender y considerar las medidas proactivas que pueden
observado que los ciberdelincuentes se vuelven tomar para protegerse a sí mismos y al ecosistema en
más frugales y los atacantes ya no pagan por la general contra la amenaza cada vez mayor del
tecnología. Para reducir sus gastos generales y aumentar delito cibernético.
la apariencia de legitimidad, algunos atacantes buscan
Amy Hogan
cada vez más comprometer a las empresas para que
Gerente General, Unidad de Delitos Digitales
alberguen campañas de phishing, malware o incluso
utilicen su potencia informática para extraer criptomonedas.
• También en mayo, un ataque provocó retrasos y cancelaciones de

Secuestro de datos vuelos en una de las aerolíneas más grandes de la India, Ransomware operado por humanos
dejando a cientos de pasajeros varados.4
y extorsión: modelo de segmentación y tasa de éxito
El éxito de estos ataques y el alcance de sus impactos en el
Factores
Una amenaza a nivel nacional mundo real son el resultado de una industrialización de la
Barrera de entrada baja
economía del ciberdelito, que permite el acceso a herramientas e
Los ataques de ransomware representan un infraestructura y amplía las capacidades de los ciberdelincuentes al
peligro mayor para todas las personas, ya reducir la barrera de entrada de sus habilidades.
que la infraestructura crítica, las empresas de

Los corredores de acceso
todos los tamaños y los gobiernos estatales y En los últimos años, el ransomware ha pasado de un
venden acceso a redes
locales son el objetivo de delincuentes que modelo en el que una única "banda" desarrollaría y 2.500 objetivos potenciales
organizaciones
comprometidas a afiliados de
aprovechan un creciente ecosistema cibercriminal. distribuiría una carga útil de ransomware al modelo de ransomware como servicio,
quienes ejecutan el ataque de ransomware
ransomware como servicio (RaaS). RaaS permite a un grupo
gestionar el desarrollo de la carga útil del ransomware y
En los últimos dos años, los incidentes de ransomware de alto perfil, actividad Los afiliados de
proporcionar servicios de pago y extorsión mediante la filtración
como los que involucran infraestructura crítica, atención asociada con conocidos RaaS priorizan los objetivos
de datos a otros ciberdelincuentes (los que realmente lanzan los
médica y proveedores de servicios de TI, han atraído 60encuentro
atacantes de ransomware según el impacto previsto
ataques de ransomware). o el beneficio percibido
considerable atención pública. A medida que los ataques de
ransomware se han vuelto más audaces en alcance, sus efectos
denominados “afiliados” para obtener una parte de las ganancias. Los atacantes aprovechan
se han vuelto más amplios. Los siguientes son ejemplos de
Esta franquicia de la economía del cibercrimen ha ampliado el cualquier debilidad de seguridad
ataques que ya hemos visto en 2022:
grupo de atacantes. La industrialización de las herramientas 20 son exitosos
comprometida que encuentren en la red, por
lo que los ataques varían
cibercriminales ha facilitado que los atacantes realicen
• En febrero, un ataque a dos empresas afectó a los sistemas intrusiones, extraigan datos e implementen ransomware.
1
de procesamiento de pagos de cientos de es víctima La carga útil del ransomware
gasolineras en el norte de Alemania.1 de un éxito es la culminación de una
El ransomware operado por humanos5, un término acuñado por cadena de actividad maliciosa
evento ransomware
investigadores de Microsoft para describir las amenazas
• En marzo, un ataque contra Grecia
impulsadas por humanos que toman decisiones en cada etapa de
El servicio postal interrumpió temporalmente la entrega
los ataques en función de lo que descubren en la red de su objetivo
de correo y afectó el procesamiento de las transacciones
y delimitan la amenaza de los ataques de ransomware básico, sigue
financieras.2
siendo una amenaza importante para las organizaciones.
• A finales de mayo, un ataque de ransomware contra
agencias gubernamentales de Costa Rica obligó a
declarar una emergencia nacional después de que se Modelo basado en datos de Microsoft Defender for Endpoint (EDR) (enerojunio de 2022).
cerraron hospitales y se interrumpieron las aduanas y
la recaudación de impuestos.3
Las crecientes relaciones entre ciberdelincuentes

Secuestro de datos especializados han aumentado el ritmo, la
sofisticación y el éxito de los ataques de ransomware.
y extorsión: Esto ha impulsado la evolución del ecosistema
cibercriminal hacia actores conectados con diferentes
Una amenaza a nivel nacional técnicas, objetivos y conjuntos de habilidades que se apoyan
Continuado mutuamente en el acceso inicial a objetivos, servicios de
pago y herramientas o sitios de descifrado o publicación.
Los ataques de ransomware se han vuelto aún más
impactantes a medida que la adopción de una estrategia
Los operadores de ransomware ahora pueden comprar
de monetización de doble extorsión se ha convertido en
acceso a organizaciones o redes gubernamentales en línea
una práctica estándar. Esto implica extraer datos de
u obtener credenciales y acceso a través de relaciones
los dispositivos comprometidos, cifrar los datos en los
interpersonales con corredores cuyo objetivo principal es
dispositivos y luego publicar o amenazar con publicar
únicamente monetizar el acceso que han obtenido.
públicamente los datos robados para presionar a las
víctimas a pagar un rescate. Luego, los operadores utilizan el acceso adquirido para
implementar una carga útil de ransomware comprada a
Aunque la mayoría de los atacantes de
través de foros o mercados de la web oscura. En
ransomware implementan ransomware de
muchos casos, las negociaciones con las víctimas
manera oportunista en cualquier red a la que
las lleva a cabo el equipo de RaaS, no los propios operadores.
tengan acceso, algunos compran el acceso a otros
Estas transacciones criminales son fluidas y los participantes
ciberdelincuentes, aprovechando las conexiones
tienen pocas posibilidades de ser arrestados y acusados
entre los agentes de acceso y los operadores de ransomware.
debido al anonimato de la red oscura y la dificultad para
hacer cumplir las leyes a nivel transnacional. Actividad de amenazas digitales
Nuestra amplitud única de
inteligencia de señales se obtiene de múltiples
Un esfuerzo sostenible y exitoso contra esta
está en su punto
amenaza requerirá una estrategia de todo el gobierno
fuentes: identidad, correo electrónico, puntos finales,que se ejecutará en estrecha colaboración con el sector
privado.
más alto y el nivel de
y la nube, y proporciona información sobre la
creciente economía del ransomware, junto sofisticación
con un sistema de afiliados que incluye aumenta cada día.
herramientas diseñadas para atacantes
con menos capacidades técnicas.
Al contrario de cómo a veces se presenta el ransomware

Comprender la economía del ransomware en los medios, es raro que una única variante de
ransomware sea administrada por una “banda de ransomware”
El operador de RaaS desarrolla y mantiene las herramientas para impulsar
de extremo a extremo. En cambio, existen entidades
Operadores las operaciones de ransomware, incluidos los creadores que producen las
separadas que crean malware, obtienen acceso a las víctimas,
cargas útiles del ransomware y los portales de pago para comunicarse con las
víctimas. implementan ransomware y manejan negociaciones de
extorsión. La industrialización del ecosistema criminal ha
llevado a:
• Agentes de acceso que irrumpen y entregan el
acceso (acceso como servicio).
Un programa (o sindicato) RaaS es un acuerdo entre un operador y un afiliado. El
operador de RaaS desarrolla y mantiene las herramientas para impulsar las • Desarrolladores de malware que venden herramientas.
operaciones de ransomware, incluidos los creadores que producen las cargas
• Operadores criminales y afiliados que
conti BloquearBit Gato negro útiles del ransomware y los portales de pago para comunicarse con las
realizar intrusiones.
víctimas. Muchos programas RaaS incorporan un conjunto de ofertas de
soporte de extorsión, incluido el alojamiento de sitios de filtración y la • Servicio de cifrado y extorsión.
integración en notas de rescate, así como negociación de descifrado, Proveedores que se hacen cargo de la
Negro
COLMENA REVOLVER
presión de pago y servicios de transacciones de criptomonedas.
Asunto monetización de los afiliados (RaaS).
Todas las campañas de ransomware operadas por

humanos comparten dependencias comunes en
Los afiliados son generalmente pequeños grupos de personas "afiliadas" a uno

cuanto a debilidades de seguridad. Específicamente,
Afiliados o más programas RaaS. Su función es implementar las cargas útiles del programa los atacantes generalmente se aprovechan de la mala
RaaS. Los afiliados se mueven lateralmente en la red, persisten en los higiene cibernética de una organización, que a menudo
sistemas y extraen datos. Cada afiliado tiene características únicas, como diferentes
incluye parches poco frecuentes y fallas en la implementación
formas de realizar la filtración de datos.
de la autenticación multifactor (MFA).
Los corredores de acceso venden acceso a la red a otros ciberdelincuentes u

Corredores de acceso obtienen acceso ellos mismos mediante campañas de malware, fuerza bruta
o explotación de vulnerabilidades. Las entidades de intermediarios de acceso
pueden variar de grandes a pequeñas. Los corredores de acceso de
primer nivel se especializan en acceso a redes de alto valor, mientras que
los corredores de nivel inferior en la web oscura pueden tener solo 1 o 2
credenciales robadas utilizables para la venta.
Las organizaciones y las personas con prácticas deficientes de higiene en

materia de ciberseguridad corren un mayor riesgo de que les roben sus
credenciales de red.
RaaS evoluciona el ecosistema de ransomware y dificulta Dicho de otra manera, ya no asumimos que el
Estudio de caso: La disolución de Conti Nuestros equipos de inteligencia de amenazas de la atribución desarrollador de HIVE sea el operador detrás de un ataque
Microsoft rastrean a los actores de amenazas de de ransomware HIVE; es más probable que sea un
Conti, una de las principales variantes de ransomware Debido a que el ransomware operado por humanos es impulsado
ransomware como grupos individuales (etiquetados como afiliado.
de los últimos dos años, comenzó a cerrar sus por operadores individuales, los patrones de ataque varían
DEV) en función de sus herramientas específicas, en
operaciones a mediados de 2022, y el Centro de según el objetivo y se alternan durante la duración del ataque. En
lugar de rastrearlos por el malware que utilizan. Esto La industria de la ciberseguridad ha luchado por capturar
inteligencia de amenazas de Microsoft (MSTIC) observó el pasado, observamos una estrecha relación entre el vector adecuadamente esta delimitación entre desarrolladores y
significó que cuando los afiliados de Conti se
una disminución significativa de la actividad a finales de de entrada inicial, las herramientas y las opciones de carga operadores. La industria todavía informa a menudo un incidente
dispersaron, pudimos continuar rastreando a estos DEV
marzo y principios de abril. Observamos las últimas útil de ransomware en cada campaña de una única cepa de de ransomware por el nombre de su carga útil, dando la falsa
mediante el uso de otras
implementaciones de ransomware Conti a mediados de abril. ransomware. impresión de que una sola entidad, o banda de ransomware,
Sin embargo, al igual que el cierre de otras herramientas o kits RaaS. Por ejemplo: • DEV0230, que está afiliado
Estoafacilitó
Trickbot,
la atribución. El modelo de afiliados de RaaS, sin está detrás de todos los ataques que utilizan esa carga útil de
operaciones de ransomware, la disolución de Conti no había sido un prolífico usuario de Conti. A finales de embargo, desvincula esta relación. ransomware en particular, y que todos los incidentes asociados
tuvo un impacto significativo en las implementaciones abril, MSTIC lo observó utilizando QuantumLocker. Como resultado, Microsoft rastrea a los afiliados de con ella comparten técnicas e infraestructura comunes. Para
de ransomware, ya que MSTIC observó que los afiliados de • DEV0237 pasó del kit de ransomware de Conti a HIVE ransomware que implementan cargas útiles en ataques apoyar a los defensores de la red, es importante
Conti giraban para implementar otras cargas útiles de específicos, en lugar de rastrear a los desarrolladores de
y Nokoyawa, incluido el uso de HIVE en el ataque aprender más sobre las etapas que preceden a los ataques de
ransomware, incluidas BlackBasta, Lockbit 2.0, cargas útiles de ransomware como operadores.
del 31 de mayo contra agencias gubernamentales los diferentes afiliados (como la exfiltración de datos y mecanismos
LockbitBlack y HIVE. Esto es consistente con datos de persistencia adicionales) y las oportunidades de detección y
de Costa Rica.
de años anteriores y sugiere que cuando las protección que podrían existir.
• Se observó que DEV0506, otro prolífico usuario
bandas de ransomware se desconectan, reaparecen
meses después o redistribuyen sus capacidades del kit de ransomware Conti, utilizaba
BlackBasta.
técnicas y recursos a nuevos grupos.
Ejemplo de un afiliado (DEV0237) que cambia rápidamente entre programas RaaS
Ryuk 2020–junio de 2021
Conti juliooctubre de 2021
Colmena de octubre de 2021 al presente Más que malware, los atacantes

BlackCat marzo de 2022 hasta el presente
necesitan credenciales para tener éxito
Nokoyawa mayo de 2022 hasta el presente
Agenda etc. Junio 2022 (experimentando) en sus operaciones. La infección

2021 2022
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic Ene Feb Mar Abr May Jun
exitosa de ransomware operada por
Después de cerrar un programa RaaS como Conti, el afiliado de ransomware cambia a otro (Hive) humanos en toda una organización depende
casi de inmediato.
del acceso a una cuenta altamente privilegiada.
El típico ataque operado por humanos Una estrategia de seguridad duradera

Enfoque en los ataques de ransomware Los ataques de ransomware operados por humanos se pueden Combatir y prevenir ataques de esta naturaleza requiere un cambio
Información procesable
operados por humanos clasificar en la fase previa al ransomware y la fase de en la mentalidad de una organización para centrarse en la Los atacantes de ransomware están motivados por
implementación del ransomware. protección integral necesaria para ralentizar y detener a los atacantes obtener ganancias fáciles, por lo que aumentar sus
Durante el año pasado, los expertos Durante la fase previa al ransomware, los atacantes se preparan antes de que puedan pasar de la fase previa al ransomware costos mediante el refuerzo de la seguridad es clave para
en ransomware de Microsoft llevaron a cabo para infiltrarse en la red aprendiendo sobre la tipología y la a la fase de implementación del ransomware. alterar la economía cibercriminal.
investigaciones profundas en más de 100 infraestructura de seguridad de la organización.
1 Construya higiene de credenciales. Más que malware, los
incidentes de ransomware operados por humanos Las empresas deben aplicar las mejores prácticas de seguridad atacantes necesitan credenciales para tener éxito en
para rastrear las técnicas de los atacantes y de manera consistente y agresiva a sus redes, con el objetivo de sus operaciones. La infección exitosa de ransomware
comprender cómo proteger mejor a nuestros clientes. Detenga a los atacantes antes de ¡Despliegue!
mitigar tipos de ataques. operada por humanos en toda una organización depende
que lleguen a la fase de implementación
Debido a la toma de decisiones humana, estos ataques de del acceso a una cuenta con privilegios elevados, como la
del ransomware
Es importante tener en cuenta que el análisis que ransomware pueden generar múltiples alertas de productos de administrador de dominio, o de la capacidad de editar
compartimos aquí solo es posible para dispositivos de seguridad aparentemente dispares que pueden perderse fácilmente una política de grupo.
Preransomware Secuestro de datos
integrados y administrados. Los dispositivos no integrados y no o no responder a tiempo.
2 Exposición de credenciales de auditoría.
administrados representan la parte menos segura de los La fatiga de las alertas es real y los centros de operaciones
activos de hardware de una organización. Esta fase puede variar desde unos pocos Esta fase de seguridad (SOC) pueden hacerles la vida más fácil 3 Priorice la implementación de actualizaciones
días hasta varias semanas o meses, puede durar observando las tendencias en sus alertas o agrupándolas en incidentes de Active Directory.
aunque se ha ido acortando en los últimos sólo unos minutos. para poder ver el panorama más amplio.
4 Priorice el endurecimiento de la nube.
dos años. Luego, los SOC pueden mitigar las alertas utilizando capacidades
Técnicas de fase de ransomware más de refuerzo, como reglas de reducción de la superficie de ataque.
5 Reducir la superficie de ataque.
frecuentes: Los atacantes apuntan La protección contra amenazas comunes no sólo puede
Los atacantes se preparan para
reducir el volumen de alertas, sino también detener a muchos 6 Fortalezca los activos conectados a Internet y
75%
infiltrarse en la red aprendiendo todo lo para cifrar tantos
posible sobre la topología y la datos como sea posible atacantes antes de que obtengan acceso a las redes. comprenda su perímetro.
infraestructura de seguridad. posible.
Utilice herramientas de administración. 7 Reduzca la fatiga de las alertas de SOC fortaleciendo su red para
Los atacantes también pueden
extraer datos en esta fase.
Las organizaciones deben reducir el volumen y preservar el ancho de banda para
mantener altos estándares

75%
incidentes de alta prioridad.
continuos de seguridad e Enlaces a más información
Utilice una cuenta de usuario comprometida elevada higiene de la red para protegerse RaaS: Comprender la economía del cibercrimen y cómo
adquirida para difundir cargas útiles maliciosas
a través del protocolo SMB. de los ataques de protegerse |
ransomware operados por humanos. Blog de seguridad de Microsoft
99%
Ataques de ransomware operados por humanos:
Nuestras investigaciones encontraron que la mayoría de los
Un desastre evitable | microsoft
actores detrás de los ataques de ransomware operados por
Blog de seguridad
Intente alterar los productos de seguridad y respaldo
humanos aprovechan debilidades de seguridad similares y
descubiertos utilizando herramientas integradas en
el sistema operativo. comparten patrones y técnicas de ataque comunes.
Información sobre ransomware Compromisos de recuperación e incidentes Resumen de los hallazgos más comunes en las interacciones de respuesta al ransomware
de ransomware por industria
de los socorristas de 93%
TI 4% Manufactura 28%
87% 86%
primera línea
Salud 20%
Las organizaciones de todo el mundo 74% 74%
experimentaron un crecimiento constante en los
ataques de ransomware operados por humanos a partir de 2019. sesenta y cinco%
Energía 8% 62%
Sin embargo, las operaciones policiales y los
acontecimientos geopolíticos del último año
tuvieron un impacto significativo en las
Finanzas 8%
organizaciones cibercriminales. Comercio minorista de consumo 16%
La línea de servicios de seguridad de Microsoft Gobierno 8% Educación 8%
apoya a los clientes durante todo un ciberataque,

desde la investigación hasta las actividades A medida que surgen nuevos grupos pequeños y
exitosas de contención y recuperación. Los servicios amenazas, los equipos de defensa deben ser conscientes
de respuesta y recuperación se ofrecen a través de de la evolución de las amenazas de ransomware y, al
dos equipos altamente integrados, uno centrado en la mismo tiempo, protegerse contra familias de malware
investigación y el trabajo preliminar para la recuperación de ransomware previamente desconocidas. El enfoque
y el segundo en la contención y recuperación. Esta de rápido desarrollo utilizado por los grupos criminales llevó
sección presenta un resumen de los hallazgos a la creación de ransomware inteligente empaquetado en kits
iu
cra
sendozaied ega
a
rrud em
jpaOd
b
s
basados en las interacciones con ransomware durante el año pasado.
fáciles de usar. Esto permite una mayor flexibilidad a la hora
dsaadciritucgaerd
p
s
de lanzar ataques generalizados contra un mayor
ce
nóiclo rttnoeorp
dc
lerdd
pi
efnF
di
roddaedeitvnoe
nóicamartola
ircurgaem
ds
número de objetivos.
so
dad
Ci
nson
nóicacilpA
nóicaaruruggife
Las siguientes páginas brindan una visión más profunda de los
factores que contribuyen con mayor frecuencia a una protección
nóicpodA
oseccA
tuuim
nóircoatciatnfietln S
a
débil contra el ransomware, agrupados en tres categorías de
in
coleairiflrtvue trm
io
vose nd
apycli
93%
iilm
soetstnnsoeeig
hallazgos:
1. Controles de identidad débiles

de las investigaciones de Microsoft
durante los compromisos de 2. Operaciones de seguridad ineficaces
recuperación de ransomware
revelaron acceso de privilegios 3. Protección de datos limitada El hallazgo más común entre los compromisos de respuesta a incidentes de ransomware fue un acceso de privilegios insuficiente
insuficiente y controles de movimiento lateral. y controles de movimiento lateral.
Información sobre ransomware Los tres principales factores contribuyentes

observados en nuestros compromisos 1 Controles de identidad débiles
de los socorristas de
de respuesta in situ: El ransomware operado por humanos continúa evolucionando y emplea métodos de robo de credenciales y movimiento lateral
tradicionalmente asociados con ataques dirigidos. Los ataques exitosos suelen ser el resultado de campañas de larga duración que
primera línea involucran el compromiso de sistemas de identidad, como Active Directory (AD), que permiten a los operadores humanos robar
1 Controles de identidad débiles: credenciales, acceder a sistemas y permanecer persistentes en la red.
Continuado
Los ataques de robo de credenciales siguen
siendo uno de los principales factores que contribuyen
Seguridad de Active Directory (AD) y Azure AD Seguridad de la cuenta de privilegios

2 Los procesos de operaciones de
seguridad ineficaces no sólo presentan una ventana

de oportunidad para los atacantes, sino que
88% 88%
de los clientes afectados no empleaban las mejores En el caso de las interacciones, MFA no se implementó para
también afectan significativamente el tiempo prácticas de seguridad de AD y Azure AD. Esto se ha cuentas confidenciales y con altos privilegios, lo que dejó una
de recuperación. convertido en un vector de ataque común a medida que los brecha de seguridad para que los atacantes comprometan
atacantes aprovechan configuraciones erróneas y posturas de las credenciales y realicen más ataques utilizando
seguridad más débiles en sistemas de identidad críticos credenciales legítimas.
3 Al final, todo se reduce a los datos: las
para obtener un acceso más amplio y un mayor impacto en las empresas.
84%
organizaciones luchan por implementar una
estrategia de protección de datos eficaz que se

Acceso con privilegios mínimos y uso de estaciones de trabajo
Los administradores del 84 por ciento de las
alinee con sus necesidades comerciales. con acceso privilegiado (PAW)
organizaciones no utilizaron controles de identidad de
Ninguna de las organizaciones afectadas privilegios, como el acceso justo a tiempo, para evitar un mayor
implementó una segregación de credenciales administrativas uso nefasto de credenciales privilegiadas
adecuada y principios de acceso con privilegios mínimos a través comprometidas.
de estaciones de trabajo dedicadas durante la
gestión de su identidad crítica y activos de alto valor, como
sistemas propietarios y aplicaciones críticas para el negocio.
Contribuyendo
Información sobre ransomware

2 Operaciones de seguridad ineficaces 3 Protección de datos limitada
de los socorristas de
Nuestros datos muestran que las organizaciones que sufrieron ataques de ransomware tienen lagunas importantes en sus operaciones de Muchas organizaciones comprometidas carecían de procesos
seguridad, herramientas y gestión del ciclo de vida de los activos de tecnología de la información. Según los datos disponibles, las lagunas más de protección de datos adecuados, lo que tuvo un impacto
primera línea observadas fueron las siguientes: severo en los tiempos de recuperación y la capacidad
Continuado de regresar a las operaciones comerciales. Las brechas
más comunes encontradas incluyen:
60%
Parcheo:
68% no invirtió en tecnología de gestión de eventos e información

de seguridad (SIEM), lo que generó silos de monitoreo, capacidad
Copia de seguridad inmutable:
de las organizaciones afectadas no tenían un proceso eficaz
44%
limitada para detectar amenazas de un extremo a otro y
de gestión de vulnerabilidades y parches, y una alta dependencia
operaciones de seguridad ineficientes. La automatización sigue
de los procesos manuales frente a los parches automatizados
siendo una brecha clave en las herramientas y procesos de SOC,
generó aperturas críticas. La fabricación y la infraestructura de las organizaciones no tenían copias de seguridad
lo que obliga al personal de SOC a pasar innumerables horas
crítica continúan teniendo dificultades con el mantenimiento y la inmutables para los sistemas afectados. Los datos también
dando sentido a la telemetría de seguridad.
aplicación de parches a los sistemas de tecnología muestran que los administradores no tenían copias de seguridad ni
operativa (OT) heredados. planes de recuperación para activos críticos como AD.
84% Prevención de pérdida de datos:

Falta de herramientas para operaciones de seguridad: de las organizaciones afectadas no permitieron la integración
los atacantes suelen encontrar la manera de comprometer los
de sus entornos multinube en sus herramientas de operaciones de
la mayoría de las organizaciones informaron una falta de sistemas explotando las vulnerabilidades de la
seguridad.
visibilidad de la seguridad de un extremo a otro debido a la organización, extrayendo datos críticos para extorsión, robo
falta o una mala configuración de las herramientas de seguridad, lo de propiedad intelectual o monetización.
que llevó a una disminución en la efectividad de la detección y la respuesta.
Procesos de respuesta y recuperación:
60% 76% 92%

de las organizaciones informaron que no utilizan un EDR6 de las organizaciones afectadas no implementaron controles
La falta de un plan de respuesta eficaz fue un área crítica observada
herramienta, una tecnología fundamental para la detección y efectivos de prevención de pérdida de datos para mitigar
en el 76 por ciento de las organizaciones afectadas, lo que
respuesta. estos riesgos, lo que provocó la pérdida de datos críticos.
impidió la preparación organizacional adecuada para las crisis y afectó
negativamente el tiempo para responder y recuperarse.
Una interpretación de esta observación es que los Si bien las actividades policiales probablemente redujeron la
El ransomware disminuyó en ciberdelincuentes se alejaron de áreas que se frecuencia de los ataques en 2022, los actores de amenazas bien
consideraban de mayor riesgo de desencadenar el escrutinio podrían desarrollar nuevas estrategias para evitar ser descubiertos en
algunas regiones y aumentó en otras de las autoridades en favor de objetivos más débiles. Dado el futuro. Además, la tensión entre Rusia y Estados Unidos por la
1 Centrarse en estrategias de seguridad integrales, como todos
de las familias de ransomware aprovechan las mismas
invasión rusa de Ucrania parece haber puesto fin a la
Este año observamos una caída en el que Microsoft no observó una mejora sustancial en la debilidades de seguridad para afectar una red.
número total de casos de ransomware seguridad de la red empresarial en todo el mundo para explicar la incipiente cooperación de Rusia en la lucha global contra el
disminución de las llamadas de soporte relacionadas con ransomware. Después de un breve período de incertidumbre
reportados a nuestros equipos de respuesta 2 Actualizar y mantener los conceptos básicos de seguridad
ransomware, creemos que la causa más probable es una tras los arrestos de REvil, Estados Unidos y Rusia cesaron la
en Norteamérica y Europa en comparación para aumentar el nivel de protección base de
combinación de actividad policial en 2021 y 2022 que aumentó cooperación para perseguir a los actores del ransomware, lo que
con el año anterior. Al mismo tiempo, defensa en profundidad y modernizar las operaciones
el costo de la actividad delictiva, junto con con algunos significa que los ciberdelincuentes podrían ver a Rusia como un refugio
aumentaron los casos reportados en América Latina.
acontecimientos geopolíticos de 2022. seguro una vez más. de seguridad. Migrar a la nube le permite detectar
amenazas más rápidamente y responder más rápido.
Una de las operaciones RaaS más frecuentes pertenece a un De cara al futuro, predecimos que el ritmo de las
Enlaces a más información
grupo criminal de habla rusa conocido como REvil (también actividades de ransomware dependerá del resultado de
conocido como Sodinokibi) que ha estado activo desde 2019. En algunas preguntas clave:
Proteja su organización del ransomware |
octubre de 2021, los servidores de REvil se desconectaron
1. ¿Tomarán los gobiernos medidas para prevenir Seguridad de Microsoft
como parte de la Operación GoldDust de aplicación de la ley
¿Los delincuentes de ransomware operan dentro de sus
internacional. 7 En enero de 2022, Rusia arrestó a 14 presuntos 7 formas de proteger su entorno contra el
fronteras o buscan perturbar a los actores que operan
miembros de REvil y allanó 25 ubicaciones asociadas con ellos.8 compromiso | microsoft
desde suelo extranjero?
Esta fue la primera vez que Rusia actuó contra los operadores de Blog de seguridad
ransomware en su territorio. 2. ¿Los grupos de ransomware cambiarán de táctica para
¿eliminar la necesidad de ransomware y recurrir a ataques de Mejora de las defensas basadas en inteligencia artificial
para frenar el ransomware operado por humanos | microsoft
estilo extorsión?
Equipo de investigación de 365 defensores
3. ¿Podrán las organizaciones modernizar y transformar sus
Si bien las actividades operaciones de TI más rápido de lo que los delincuentes Security Insider: explore los últimos conocimientos
pueden aprovechar las vulnerabilidades? y actualizaciones sobre ciberseguridad |
policiales probablemente 4. ¿Los avances en el seguimiento y rastreo de los pagos de
Seguridad de Microsoft
redujeron la frecuencia de los rescate obligarán a los destinatarios de los rescates a

cambiar de táctica y negociaciones?
ataques en 2022, los
actores de amenazas bien
podrían desarrollar nuevas
2X
Los ataques de ransomware
disminuyeron en algunas regiones,
estrategias para evitar ser descubiertos en el futuro.
pero las demandas de rescate se duplicaron.
Los ciberdelincuentes ahora colaboran en diferentes zonas procesar facturación, como CFO o “Cuentas por cobrar”. Configure RDP, SSH y cPanels con herramientas y
El cibercrimen horarias e idiomas para lograr resultados específicos. De manera similar, las industrias que participan en la scripts adecuados para facilitar varios tipos de
como servicio Por ejemplo, un sitio web CaaS administrado por un

individuo en Asia mantiene operaciones en Europa y crea
contratación pública suelen ser el objetivo debido a la cantidad
de información que se pone a disposición a través del
ciberataques.
cuentas maliciosas en África. La naturaleza proceso de licitación pública.

El cibercrimen como servicio (CaaS) es Los servicios de creación de dominios homoglifos
multijurisdiccional de estas operaciones presenta complejos
requieren cada vez más pagos en criptomonedas.
una amenaza creciente y en evolución para los desafíos legales y de aplicación. En respuesta, DCU centra sus
Las investigaciones de la DCU sobre CaaS revelaron
clientes de todo el mundo. La Unidad de Delitos una serie de tendencias clave:
esfuerzos en deshabilitar la infraestructura criminal maliciosa
Digitales (DCU) de Microsoft observó un utilizada para facilitar los ataques CaaS y colaborar con Los dominios de homoglifos se hacen pasar por nombres
crecimiento continuo del ecosistema CaaS con un las agencias policiales de todo el mundo para responsabilizar El número y la sofisticación de los servicios está de dominio legítimos mediante el uso de caracteres que
número cada vez mayor de servicios en línea a los delincuentes. aumentando. son idénticos o casi idénticos en apariencia a otro carácter.
que facilitan diversos delitos cibernéticos, El objetivo es engañar al espectador haciéndole creer
Un ejemplo es la evolución de los shells web, que
incluidos BEC y ransomware operado por humanos. Los ciberdelincuentes utilizan cada vez más la analítica para que el dominio homoglifo es el dominio genuino. Estos
normalmente consisten en servidores web comprometidos
El phishing sigue siendo un método de maximizar el alcance, el alcance y las ganancias. Al igual que dominios son una amenaza omnipresente y una puerta
que se utilizan para automatizar ataques de phishing.
ataque preferido, ya que los las empresas legítimas, los sitios web de CaaS deben de entrada para una cantidad significativa de delitos
DCU observó que los revendedores de CaaS simplificaban
ciberdelincuentes pueden obtener un garantizar la validez de los productos y servicios para cibernéticos. Los sitios CaaS ahora venden nombres
la carga de kits de phishing o malware a través de
mantener una reputación sólida. Por ejemplo, los sitios de dominio homoglifos personalizados, lo que permite a los
valor significativo al robar y vender paneles web especializados. Posteriormente, los vendedores
con éxito el acceso a cuentas robadas. web CaaS automatizan habitualmente el acceso a compradores solicitar nombres de dominio y empresas
de CaaS a menudo intentan vender servicios adicionales al
cuentas comprometidas para garantizar la validez de las específicos para suplantar. Una vez recibido el pago, los
actor de amenazas a través del panel, como servicios
credenciales comprometidas. Los ciberdelincuentes comerciantes de CaaS utilizan una herramienta generadora de
En respuesta a la expansión del mercado de CaaS, de mensajes de spam y listas de destinatarios de spam
suspenderán las ventas de cuentas específicas cuando se homoglifos para seleccionar el nombre de dominio y luego
DCU mejoró sus sistemas de escucha para detectar e especializados basadas en atributos definidos, incluida la
restablezcan las contraseñas o se solucionen las vulnerabilidades. registrar el homoglifo malicioso. El pago de este servicio
identificar ofertas de CaaS en todo el ecosistema de ubicación geográfica o la profesión.
Cada vez más, identificamos sitios web CaaS que brindan a los se realiza casi exclusivamente en criptomonedas.
Internet, la web profunda y los foros examinados9. En algunos casos, observamos que se utiliza un único
compradores verificación bajo demanda como un proceso
sitios web dedicados, foros de discusión en línea y shell web en múltiples campañas de ataque, lo que sugiere
de control de calidad. Como resultado, los compradores pueden
plataformas de mensajería. que los actores de amenazas podrían mantener un acceso
estar seguros de que el sitio web de CaaS vende
persistente al servidor comprometido.
cuentas y contraseñas activas y, al mismo tiempo, reduce
También observamos un aumento en los servicios de
los costos potenciales para el comerciante de CaaS si las
anonimización disponibles como parte del ecosistema CaaS,
credenciales robadas se reparan antes de la venta.
así como ofertas para redes privadas virtuales (VPN) y
DCU también observó sitios web CaaS que ofrecen a cuentas de servidores privados virtuales (VPS).
los compradores la opción de comprar cuentas
comprometidas desde ubicaciones geográficas específicas,
proveedores de servicios en línea designados e
En la mayoría de los casos, las VPN/VPS ofrecidas se
obtuvieron inicialmente a través de tarjetas de crédito robadas.
Los sitios web CaaS también ofrecían una mayor cantidad
2.750.000
registros de sitios bloqueados con
individuos, profesiones e industrias específicamente de protocolos de escritorio remoto (RDP), shell seguro éxito por DCU este año para
adelantarse a los actores criminales
dirigidas. Las cuentas solicitadas con frecuencia se (SSH) y cPanels para su uso como plataforma para
que planeaban usarlos para participar
centran en profesionales o departamentos que orquestar ataques de delitos cibernéticos. Comerciantes CaaS
en delitos cibernéticos globales.
es una máquina virtual que recopila detalles sobre el navegador

El cibercrimen y el hardware que se utiliza, y más. PhaaS, los ciberdelincuentes ofrecen múltiples servicios dentro de una
única suscripción. En general, un comprador sólo debe realizar tres
como servicio Si se pasan todas las comprobaciones, el tráfico se envía a una página de
destino utilizada para phishing. acciones:
Continuado
Los servicios de cibercrimen de extremo a extremo venden
suscripciones a servicios gestionados.
Los vendedores de CaaS ofrecen cada
vez más credenciales comprometidas para la compra. Normalmente, cada paso en la comisión de un delito
en línea puede exponer a los actores de amenazas si Los atacantes
Las credenciales comprometidas permiten el acceso no
la seguridad operativa es deficiente. El riesgo de pretenden cifrar
autorizado a cuentas de usuario, incluido el servicio Seleccione tantos datos como Pague al
direcciones de
1 2 3
exposición e identificación aumenta si los servicios se compran correo electrónico para comerciante
de mensajería de correo electrónico, recursos para una plantilla/
en múltiples sitios CaaS. posibles recibir
compartir archivos corporativos y OneDrive for Business. diseño de sitio de PhaaS en criptomonedas.
DCU observó una tendencia preocupante en la web oscura phishing entre los credenciales
Si las credenciales del administrador se ven comprometidas,
por la cual hay un aumento en los servicios que ofrecen cientos ofrecidos. obtenidas de víctimas de phishing.
los usuarios no autorizados podrían obtener acceso
anonimizar el código de software y generalizar el texto
a archivos confidenciales, recursos de Azure y
del sitio web para reducir la exposición. Los proveedores de
cuentas de usuarios de la empresa. En muchos casos,
servicios de suscripción de cibercrimen de extremo a extremo
las investigaciones de la DCU identificaron el uso no autorizado
gestionan todos los servicios y garantizan resultados que reducen
de la misma credencial en varios servidores como medio para
aún más los riesgos de exposición para el OCN suscriptor. La
automatizar la verificación de credenciales. reducción del riesgo ha aumentado la popularidad de Una vez que se completan estos pasos, el comerciante de PhaaS crea servicios con tres o cuatro capas de recursos de redireccionamiento
Este patrón sugiere que el usuario comprometido podría ser y alojamiento para dirigirse a usuarios específicos. Posteriormente se lanza la campaña y las credenciales de la víctima se recopilan,
estos servicios de extremo a extremo.
víctima de múltiples ataques de phishing o tener malware en el verifican y envían a la dirección de correo electrónico proporcionada por el comprador. Por una prima, muchos comerciantes de
dispositivo que permita a los registradores de teclas de botnet El phishing como servicio (PhaaS) es un ejemplo de un PhaaS ofrecen alojar sitios de phishing en la cadena de bloques pública para que puedan acceder a ellos desde cualquier navegador y
recopilar credenciales. servicio de cibercrimen de extremo a extremo. PhaaS es una las redirecciones puedan dirigir a los usuarios a un recurso en el libro mayor distribuido.
evolución de servicios anteriores conocidos como servicios
totalmente indetectables (FUD) y se ofrece mediante suscripción.
Están surgiendo servicios y productos CaaS con funciones
Los términos típicos de PhaaS incluyen mantener activos los
mejoradas para evitar la detección. apoyo. El servicio de suscripción DDoS ofrece diferentes El trabajo de DCU para desarrollar herramientas y técnicas
sitios web de phishing durante un mes.
arquitecturas y métodos de ataque, por lo que el comprador que identifiquen y desbaraten a los ciberdelincuentes de CaaS
Un vendedor de CaaS ofrece kits de phishing con DCU también identificó a un comerciante de CaaS que simplemente selecciona un recurso para atacar y el vendedor está en curso. La evolución de los servicios CaaS presenta
mayores niveles de complejidad y funciones de anonimización ofrece denegación de servicio distribuida (DDoS) en proporciona acceso a una serie de dispositivos desafíos importantes, particularmente en lo que respecta a la
diseñados para eludir los sistemas de detección y prevención un modelo de suscripción. Este modelo subcontrata al comprometidos en su botnet para realizar el ataque. El costo de interrupción de los pagos con criptomonedas.
por tan solo 6 dólares al día. El servicio ofrece una serie de comerciante CaaS la creación y mantenimiento de la botnet
la suscripción DDoS es de apenas $500 USD.
redirecciones que realizan comprobaciones antes de permitir necesaria para realizar ataques. Cada cliente de
el tráfico a la siguiente capa o sitio. Uno de ellos realiza más de 90 suscripción DDoS recibe un servicio cifrado para mejorar la
comprobaciones para tomar huellas dactilares del dispositivo, seguridad operativa y un año de servicio 24 horas al
incluso si día, 7 días a la semana.
Seguimiento de pagos de ransomware

Uso criminal El ransomware es una de las mayores fuentes de
Seguimiento de criptomonedas obtenidas ilícitamente
de criptomonedas criptomonedas obtenidas de forma ilícita. En un esfuerzo Curva

72.19
por interrumpir la infraestructura técnica maliciosa utilizada en ETH
A medida que la adopción de las los ataques de ransomware (por ejemplo, la interrupción de
criptomonedas se generaliza, los Zloader en abril de 202211), la DCU de Microsoft rastrea
AscendEX.com
delincuentes las utilizan cada vez más las billeteras criminales para permitir capacidades de
ETH Fondos robados
para evadir las medidas policiales y contra el seguimiento y recuperación de criptomonedas. 46,77 de
lavado de dinero (AML). Esto aumenta Los investigadores de la DCU han observado que los
AscendEX.com 20211211
Uniswap V3
el desafío para las fuerzas del orden a la actores del ransomware han evolucionado sus tácticas de
hora de rastrear y rastrear los pagos en comunicación con las víctimas para ocultar el rastro del Utilizando la herramienta de investigación de criptomonedas Chainalysis, la Unidad de Delitos Digitales de Microsoft descubrió
criptomonedas a los ciberdelincuentes. dinero. Originalmente, los ciberdelincuentes incluían direcciones que los piratas informáticos de AcendEX intercambiaban sus fondos robados en un DEX más pequeño llamado Curve además de
de Bitcoin en sus notas de rescate. Sin embargo, esto Uniswap. Este diagrama ilustra las rutas de lavado que descubrió el equipo. Cada círculo representa un grupo de billeteras y los
facilitó el seguimiento de las transacciones de pago en la números en cada línea representan la cantidad total de Ethereum transmitida con fines de lavado.
El gasto mundial en soluciones blockchain creció
cadena de bloques, por lo que los actores del ransomware
aproximadamente un 340 por ciento en los últimos cuatro
dejaron de incluir direcciones de billetera y en su lugar agregaron
años, mientras que las nuevas carteras de criptomonedas opciones de retiro de efectivo, como intercambios y obligar a los ciberdelincuentes a utilizar otros métodos de
direcciones de correo electrónico o enlaces a sitios web de chat
crecieron alrededor de un 270 por ciento. Hay más de centralizados (CEX), intercambios peertopeer ofuscación, como la volteo de monedas o los
para comunicar las direcciones de pago del rescate a
83 millones de billeteras únicas en todo el mundo, y la (P2P) y extrabursátiles (OTC). Los DEX son intercambios sin licencia. A modo de ejemplo, Uniswap
las víctimas. Algunos actores incluso crearon páginas web anunció recientemente que comenzará a utilizar listas negras
capitalización de mercado total de todas las criptomonedas un lugar atractivo para el lavado porque a menudo
e inicios de sesión únicos para cada víctima para evitar que no siguen las medidas ALD. para impedir que las billeteras que se sabe que están
fue de aproximadamente $1,1 billones de dólares al 28 de julio de 2022.10
los investigadores de seguridad y las fuerzas del orden involucradas en actividades ilícitas realicen transacciones en el intercambio.1
obtengan las direcciones de billetera de los delincuentes haciéndose En diciembre
pasar de 2021, los piratas informáticos atacaron la
por víctimas.
A pesar de los esfuerzos de los delincuentes por ocultar plataforma global de comercio de criptomonedas
sus huellas, algunos pagos de rescate aún se pueden AscendEx y robaron aproximadamente 77,7 millones de
dólares en criptomonedas pertenecientes a sus clientes.12 1 Si es víctima de un delito cibernético y le pagó al
recuperar trabajando con las fuerzas del orden y las
AscendEx contrató empresas de análisis de blockchain y se delincuente utilizando criptomonedas, comuníquese
empresas de análisis criptográfico que pueden rastrear el
movimiento en la cadena de bloques. puso en contacto con otros CEX para que las billeteras que con las autoridades locales que podrían ayudarlo a
recibían fondos robados pudieran incluirse en la lista negra. rastrear y recuperar los fondos perdidos.
Tendencia: lavado de dinero ilícito por parte de DEX Además, las direcciones a las que se enviaron las
2 Familiarícese con las medidas ALM vigentes al seleccionar
monedas fueron etiquetadas como tales en el explorador
Una cuestión clave para los ciberdelincuentes un DEX.
es la conversión de criptomonedas en moneda fiduciaria. de blockchain Ethereum Etherscan.13 Para eludir las
alertas y las listas negras, los piratas informáticos enviaron Enlaces a más información
Los ciberdelincuentes tienen varias vías potenciales de
conversión, cada una de las cuales conlleva un grado diferente 1,5 millones de dólares en Ethereum a Uniswap, uno de los DEX
Defensa contra amenazas basada en hardware
de riesgo. Un método utilizado para reducir el riesgo es lavar más grandes del mundo, el 18 de febrero. , 2022.14
contra criptojackers cada vez más complejos |
las ganancias a través de un intercambio descentralizado La adopción de medidas ALD más estrictas por parte de los DEX Equipo de investigación de Microsoft 365 Defender
Fuente: Twitter.com—@PeckShieldAlert (PeckShield es una
(DEX) antes de retirar dinero a través de los disponibles. podría mitigar la actividad de lavado en sus plataformas
empresa de seguridad blockchain con sede en China).
Microsoft detecta millones de correos electrónicos BEC cada

La evolución del panorama de 1 hora 12 minutos mes, lo que equivale al 0,6 por ciento de todos los correos
electrónicos de phishing observados. Un informe de IC318
531.000
El tiempo medio que tarda un Además de las URL bloqueadas
las amenazas de phishing publicado en mayo de 2022 indica una tendencia al alza en las
atacante en acceder a sus datos por Defender para Office, nuestro Digital
privados si es víctima de un correo pérdidas expuestas debido a ataques BEC. Unidad de Delitos dirigió el derribo
Los esquemas de phishing de credenciales van en electrónico de phishing.16 de 531.000 URL de phishing únicas
aumento y siguen siendo una amenaza importante para Las técnicas utilizadas en los ataques de phishing alojadas fuera de Microsoft.
siguen aumentando en complejidad. En respuesta a las
los usuarios de todo el mundo porque atacan
contramedidas, los atacantes adaptan nuevas formas de
indiscriminadamente todas las bandejas de entrada.
1 hora 42 minutos implementar sus técnicas y aumentan la complejidad de
Entre las amenazas que nuestros investigadores
El tiempo medio para que un atacante cómo y dónde alojan la infraestructura de operaciones de
rastrean y contra las que protegen, el volumen de ataques campaña. Esto significa que las organizaciones deben
comience a moverse lateralmente dentro
de phishing es mucho mayor que el de todas las demás de su red corporativa una vez que un reevaluar periódicamente su estrategia para implementar
amenazas. dispositivo está comprometido.17 soluciones de seguridad para bloquear correos electrónicos
maliciosos y fortalecer el control de acceso para cuentas de
usuarios individuales.
Al utilizar datos de Defender para Office, vemos correos
electrónicos maliciosos y actividad de identidad
comprometida. Azure Active Directory Identity
Protection proporciona aún más información a través de Correos electrónicos de phishing detectados
alertas de eventos de identidad comprometida.
Al utilizar Defender para aplicaciones en la nube, 900
Las credenciales de Microsoft 365 siguen siendo uno de los tipos
vemos eventos de acceso a datos de identidad comprometidos 800
de cuentas más buscados por los atacantes.
y Microsoft 365 Defender (M365D) proporciona 700
Una vez que las credenciales de inicio de sesión se
correlación entre productos. La métrica de movimiento lateral 600
ven comprometidas, los atacantes pueden iniciar sesión en
proviene de Defender for Endpoint (alertas y eventos de
sistemas informáticos vinculados a la empresa para facilitar la 500
comportamiento de ataque), Defender for Office (correo
infección con malware y ransomware, robar información y
senolliM
400
electrónico malicioso) y nuevamente M365D para correlación
datos confidenciales de la empresa accediendo a archivos de 300
entre productos).
SharePoint y continuar la propagación de phishing enviando
200
correos electrónicos maliciosos adicionales utilizando
100
Outlook, entre otras cosas. otras acciones.
0
Además de las campañas con objetivos más amplios, el
phishing para obtener credenciales, donaciones e información
oiluj
e0n2
e e
d
oinuj
ee2
df
c2o
d
o2r2
2r2b0
b2a
d
erb1u2t0
e
e2
d
s
ei2
d
p0
emd
2
ir0
e
erbm1e2ic0
ore
erbme1it2
o2n
d
zr2a0
2l2
g2
a
d
v0e
o2y2a0m
2
o2
erbme1i2
s2
ot1 o0
e
personal, los atacantes se dirigen a empresas selectivas
para obtener mayores pagos. Los ataques de phishing por
710 millones correo electrónico contra empresas con fines de lucro se

denominan colectivamente ataques BEC.
El número de detecciones de phishing por semana sigue aumentando. La disminución en diciembreenero es una caída estacional
esperada, que también se informó en el informe del año pasado. Fuente: Señales de Exchange Online Protection.
Correos electrónicos de phishing bloqueados por semana.
Las cuentas de Microsoft siguen siendo uno de los principales

La evolución del panorama de Correos electrónicos de phishing con direcciones de billetera Ethereum
objetivos de los operadores de phishing, como lo
600 demuestran las numerosas páginas de inicio de phishing
las amenazas de phishing que se hacen pasar por la página de inicio de sesión de Microsoft 365.
500 Por ejemplo, los phishers intentan igualar la experiencia de
Continuado
inicio de sesión de Microsoft en sus kits de phishing generando
400
Seguimos observando un aumento constante año tras año en los una URL única personalizada para el destinatario. Esta URL
correos electrónicos de phishing. El cambio al trabajo remoto en apunta a una página web maliciosa desarrollada para recopilar
300
2020 y 2021 provocó un aumento sustancial de los ataques de phishing
seliM
credenciales, pero un parámetro en la URL contendrá la dirección
con el objetivo de aprovechar el cambiante entorno laboral. Los 200 de correo electrónico del destinatario específico. Una vez que el
operadores de phishing adoptan rápidamente nuevas plantillas objetivo navega a la página, el kit de phishing completará
de correo electrónico utilizando señuelos alineados con los 100 previamente los datos de inicio de sesión del usuario y un
principales eventos mundiales, como la pandemia de COVID19, logotipo corporativo personalizado para el destinatario del correo
0
y temas vinculados a herramientas de colaboración y electrónico, reflejando la apariencia de la página de inicio de sesión
productividad como Google Drive o OneDrive para compartir personalizada de Microsoft 365 de la empresa objetivo.
oiluj
e0n2
e e
d
oinuj
ee2
df
ec2
o
d
o2r2
b2a
d
e2ds
2r2b0
erb1u2t0
ei2
d
erbme1it2p0
emd
2
ir0
e
erbm1e2ic0
o2n
d
zr2a0
ore
2l2
g2a
d
erbme1i2v0
e
o2y2a0m
2
o0e
o2
ot1s2
archivos.
Si bien los temas de COVID19 han disminuido, la guerra en
Ucrania se convirtió en un nuevo atractivo a partir de principios El total de correos electrónicos detectados como phishing que contenían direcciones de billetera Ethereum aumentó al comienzo del conflicto
de marzo de 2022. Nuestros investigadores observaron un entre Ucrania y Rusia y disminuyó después del impulso inicial. Página de phishing que se hace pasar por un inicio de sesión de
aumento asombroso de correos electrónicos que se hacían Microsoft con contenido dinámico
pasar por organizaciones legítimas que solicitaban donaciones de Más que nunca, los phishers dependen de infraestructura legítima para Las grandes operaciones de phishing tienden a utilizar
criptomonedas en Bitcoin y Ethereum, supuestamente para apoyar operar, lo que genera un aumento de campañas de phishing servicios en la nube y máquinas virtuales (VM) en la nube para
a los ciudadanos ucranianos. destinadas a comprometer diversos aspectos de una operación poner en práctica ataques a gran escala. Los atacantes pueden
Solo unos días después del inicio de la guerra en Ucrania a para que no tengan que comprar, alojar u operar la suya automatizar completamente el proceso de implementación y
fines de febrero de 2022, la cantidad de correos electrónicos propia. Por ejemplo, los correos electrónicos maliciosos pueden entrega de correos electrónicos desde máquinas virtuales
de phishing detectados que contenían direcciones de provenir de cuentas de remitentes comprometidas. utilizando retransmisiones de correo electrónico SMTP o
Ethereum entre clientes empresariales aumentó infraestructura de correo electrónico en la nube para beneficiarse
dramáticamente. Los atacantes se benefician del uso de estas direcciones de las altas tasas de entrega y la reputación positiva de estos servicios legítimos.
El total de encuentros alcanzó su punto máximo en la primera de correo electrónico que tienen una puntuación de reputación más Si se permite el envío de correo electrónico malicioso a través de
semana de marzo, cuando medio millón de correos alta y se consideran más confiables que las cuentas y dominios estos servicios en la nube, los defensores deben confiar en
electrónicos de phishing contenían una dirección de billetera recién creados. En algunas campañas de phishing más avanzadas, sólidas capacidades de filtrado de correo electrónico para impedir que
Ethereum. Antes del comienzo de la guerra, la cantidad de observamos que los atacantes prefieren enviar y falsificar desde los correos electrónicos ingresen a su entorno.
direcciones de billetera Ethereum en otros correos electrónicos dominios que tienen DMARC19 configurado incorrectamente
detectadas como phishing era significativamente menor, con un con una política de "no acción", abriendo la puerta a la suplantación
promedio de unos pocos miles de correos electrónicos por día. de correo electrónico.
Tendencias BEC
Enfoque en el compromiso del Información procesable
Como punto de entrada, los atacantes de BEC normalmente
Defensa contra el phishing
correo electrónico empresarial intentan iniciar una conversación con víctimas potenciales para
establecer una buena relación. Haciéndose pasar por un Para reducir la exposición de su organización al phishing, se recomienda a los administradores de
Los ciberdelincuentes están colega o un conocido de negocios, el atacante poco a poco lleva la TI implementar las siguientes políticas y características:
desarrollando esquemas y técnicas cada conversación hacia una transferencia monetaria. El correo electrónico
vez más complejos para burlar las de presentación, que rastreamos como señuelo BEC, representa 1 Requerir el uso de MFA en todas las cuentas para limitar el acceso 6 Habilite funciones de protección contra
no autorizado.
configuraciones de seguridad y atacar a cerca del 80 por ciento de los correos electrónicos BEC detectados. suplantación de identidad y suplantación de identidad
individuos, empresas y organizaciones. En Otras tendencias identificadas por los investigadores de seguridad de
2 Habilite funciones de acceso condicional para cuentas con
en toda su organización.
respuesta, estamos invirtiendo Microsoft durante el año pasado incluyen: • Las técnicas utilizadas con
privilegios elevados para bloquear el acceso desde 7 Configure las políticas de acción de Correo identificado con
importantes recursos para mejorar más frecuencia en los ataques
países, regiones e IP que normalmente no generan claves de dominio (DKIM) y Cumplimiento e informe
aún más nuestro programa de aplicación de la BEC. BEC observados en 2022 fueron la suplantación de identidad21 tráfico en su organización. de autenticación de mensajes basados en dominio (DMARC)
para evitar la entrega de correos electrónicos no
y suplantación de identidad.22 autenticados que podrían estar suplantando a remitentes
BEC es el delito cibernético financiero más costoso, con un 3 Considere el uso de llaves de seguridad físicas para
• El subtipo BEC que causa la mayor parte de los acreditados.
estimado de $2.4 mil millones de dólares en pérdidas ejecutivos, empleados involucrados en actividades de
ajustadas en 2021, lo que representa más del 59 por ciento El daño a las víctimas fue fraude de facturas (basado en el volumen pago o compra y otras cuentas privilegiadas. 8 Audite las reglas de permiso creadas por inquilinos y
de las cinco principales pérdidas por delitos en Internet a y los montos en dólares solicitados observados en nuestras usuarios y elimine excepciones amplias basadas en
nivel mundial.20 Para comprender el alcance del problema y investigaciones de campaña de BEC). • Robo de dominios e IP. Estas reglas suelen tener prioridad y
4 Imponer el uso de navegadores que admitan servicios como
la mejor manera de proteger a los usuarios contra BEC, información empresarial, como cuentas. pueden permitir correos electrónicos maliciosos
Microsoft SmartScreen para analizar las URL en busca de
Los investigadores de seguridad de Microsoft han estado Los informes de pagos y los contactos con los clientes permiten a los conocidos mediante el filtrado de correo electrónico.
comportamientos sospechosos y bloquear el acceso a sitios
rastreando los temas más comunes utilizados en los ataques.
atacantes elaborar fraudes de facturas convincentes. • La web maliciosos conocidos.23 9 Ejecute periódicamente simuladores de phishing para
Temas BEC (enerojunio de 2022) mayoría de las solicitudes de redirección de nómina se enviaron evaluar el riesgo potencial en toda su organización e
desde servicios de correo electrónico gratuitos y rara vez identificar y educar a los usuarios vulnerables.
Estafa de tarjetas de regalo 1,9% 5 Utilice una seguridad basada en aprendizaje automático
desde cuentas comprometidas. El volumen de correo electrónico
solución que pone en cuarentena el phishing de alta
de estas fuentes se disparó entre el primero y el quince de
probabilidad y detona las URL y los archivos Enlaces a más información
cada mes, las fechas de pago más comunes. • A pesar de ser
Información empresarial 4,3% adjuntos en un entorno aislado antes de que el correo
vías de fraude Del robo de cookies a BEC: los atacantes utilizan
electrónico llegue a la bandeja de entrada, como
Los sitios de phishing de AiTM como punto de entrada
Redirección de nómina 4,6% bien conocidas, las estafas con tarjetas de regalo representaron sólo Microsoft Defender para Office 365.24
a mayores fraudes financieros | microsoft 365
el 1,9 por ciento de los ataques BEC detectados.
Equipo de investigación de defensores, Microsoft
Centro de Inteligencia de Amenazas (MSTIC)
Fraude de facturas 9,3%
Señuelo BEC 79,9%
Temas BEC por porcentaje de ocurrencia

Informe El estado de Estado nacional Dispositivos y Influencia
Influencia cibernética
cibernética cibernético Contribuyendo
24 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones
Operaciones Resiliencia equipos
Progresión de un ataque BEC

Engaño de homoglifos
Cuenta comprometida Fase de fraude
BEC y phishing son tácticas comunes de
ingeniería social. La ingeniería social juega un
papel importante en el crimen,
persuadiendo a un objetivo para que
interactúe con el criminal ganándose la confianza.
Target recibe un correo Enlace Credenciales Cuenta de correo Establecer Correo electrónico
electrónico de phishing cosechadas electrónico monitoreada impostor y fraude electrónico

malicioso al impostor
En el comercio físico, las marcas se utilizan para Oficina 365 infraestructura maliciosa
garantizar la confianza en el origen de un producto o
servicio, y los productos falsificados constituyen un abuso
de la marca. De manera similar, los ciberdelincuentes se
Un homoglifo en acción Un
hacen pasar por un contacto familiar para el objetivo Técnica % de dominios que muestran
durante un ataque de phishing, utilizando homoglifos para la técnica de homoglifos dominio homoglifo que parece idéntico a un dominio de correo
engañar a las víctimas potenciales. sub l para yo 25% que la víctima reconoce está registrado en un proveedor de 1 Imponer el uso de navegadores que admitan servicios para
correo con un nombre de usuario idéntico. Luego se envía analizar URL en busca de comportamientos
Un homoglifo es un nombre de dominio utilizado para la sub i por l 12%
un correo electrónico secuestrado desde el dominio secuestrado sospechosos y bloquear el acceso a sitios web
comunicación por correo electrónico en BEC, en el que 7% maliciosos conocidos, como Safe Links y
sub q por g con nuevas instrucciones de pago.
un carácter se reemplaza por uno que es idéntico o SmartScreen.25
sub rn para m 6%
casi idéntico en apariencia, para engañar al objetivo. Aprovechando la inteligencia de código abierto y el
sub .cam para .com 6% acceso a hilos de correo electrónico, el delincuente identifica a 2 Utilice una seguridad basada en aprendizaje automático
las personas responsables de la facturación y los solución que pone en cuarentena el phishing de alta probabilidad
sub 0 para o 5%
Técnicas de homoglifos utilizadas en los intentos de BEC BEC pagos. Luego crean una suplantación de una dirección y detona las URL y los archivos adjuntos en una zona de pruebas
sub ll por l 3% antes de que el correo electrónico llegue a la bandeja de entrada.
generalmente tiene dos fases, la primera de las cuales de correo electrónico de la persona que envía las facturas.
sub ii para yo 2% Esta suplantación se compone de un nombre de usuario y un
implica el compromiso de las credenciales. Estos tipos de Enlaces a más información
fugas de credenciales pueden ser el resultado de ataques sub vv para w 2% dominio de correo idénticos que son un homoglifo del
de phishing o grandes filtraciones de datos. Luego, las remitente genuino. Centro de Denuncias de Delitos en Internet (IC3) |
sub l por ll 2%
credenciales se venden o intercambian en la web oscura. Compromiso de correo electrónico empresarial:
sub e para un 2% La estafa de 43.000 millones de dólares
La segunda fase es la fase de fraude, donde El atacante copia una cadena de correo electrónico que
sub nn para m 1%
los atacantes utilizan credenciales comprometidas para contiene una factura legítima y luego la modifica para que Información de inteligencia falsa:
realizar ingeniería social sofisticada utilizando dominios sub ll para I, sub l para i 1% sub o para contenga sus propios datos bancarios. Esta factura nueva Oficina 365 | Documentos de Microsoft
y modificada luego se reenvía desde el correo
de correo electrónico homoglifos. u 1%
Perspectiva de suplantación
electrónico de suplantación de homoglifos al objetivo.
Debido a que el contexto tiene sentido y el correo electrónico Oficina 365 | Documentos de Microsoft
Análisis de más de 1700 dominios de homoglifos entre enero y julio de 2022. Si
bien se utilizaron 170 técnicas de homoglifos, el 75 % de los dominios utilizaron parece genuino, a menudo el objetivo sigue instrucciones
solo 14 técnicas. fraudulentas.
Se forma la Unidad de Delitos Digitales de Botnet Sirefef/Acceso Cero Enfoque continuo en la disrupción
Una cronología de la interrupción de las botnets desde Microsoft
Los primeros días de colaboración de Microsoft Colaboración: Diseñado para frustrar el

Descripción: una botnet publicitaria diseñada Descripción: Microsoft interrumpió la
para dirigir a las personas a sitios web peligrosos que infraestructura de siete actores de
cibercrimen que afecta el ecosistema de Microsoft instalarían malware o robarían información personal; amenazas durante el año pasado,
Durante más de una década, DCU ha trabajado para detener de a través de una estrecha integración entre un
infectó más de dos millones de computadoras y impidiéndoles distribuir malware adicional,
manera proactiva el cibercrimen, lo que ha resultado en 26 malware y perturbaciones equipo de investigadores, abogados e
costó a los anunciantes más de 2,7 millones de controlar las computadoras de las víctimas
ingenieros. dólares al mes; principalmente en Estados Unidos y
en los estados nacionales. A medida que el equipo de DCU utiliza tácticas y atacar a víctimas adicionales.
y herramientas más avanzadas para acabar con estas operaciones ilícitas, vemos Enfoque de Microsoft: el objetivo es Europa occidental.
comprender mejor los aspectos técnicos de
que los ciberdelincuentes también evolucionan sus enfoques en un intento de Colaboración: en asociación con
diversos programas maliciosos y
mantenerse a la vanguardia. Aquí hay una línea de tiempo que muestra una Colaboración: Trabajó estrechamente con el FBI proveedores de servicios de Internet,
proporcionar estos conocimientos al equipo legal
y el Centro de Delitos Cibernéticos de Europol gobiernos, fuerzas del orden y la industria
muestra de las botnets interrumpidas por DCU y las estrategias que adoptó de Microsoft para desarrollar una estrategia de
para derribar la infraestructura peertopeer. privada, Microsoft compartió información
Microsoft para cerrarlas. disrupción eficaz. para remediar más de 17 millones de víctimas
de malware en todo el mundo.
Respuesta de Microsoft: se unió a la red Zero
Access, reemplazó los servidores criminales C2 y
confiscó con éxito los dominios del servidor de
descarga.
2008 2009 2011 2013 2019 2022

Red de bots Conficker Red de bots Waledac Red de bots Rustock Red de robots trucobot Mirando hacia el futuro
Descripción: Un gusano de rápida propagación Descripción: una compleja botnet de Descripción: un robot troyano de puerta trasera Descripción: una botnet sofisticada con DCU continúa innovando y busca
dirigido al sistema operativo Windows, que infecta spam con dominios estadounidenses para correo electrónico no deseado que utiliza infraestructura fragmentada en utilizar su experiencia en
millones de computadoras y dispositivos en una que recopilaba direcciones de correo proveedores de Internet como C2 principales; diseñado todo el mundo dirigida a la industria de interrupciones de botnets para
red común; provocó cortes de red en todo el mundo. electrónico y distribuía spam que infectaba hasta para vender productos farmacéuticos. servicios financieros; Dispositivos IoT llevar a cabo operaciones
90.000 computadoras en todo el mundo.26 Colaboración: Microsoft forjó una comprometidos. coordinadas que vayan más allá
Colaboración: Formación del Grupo de Colaboración: Creación de otro consorcio, el Colaboración: Microsoft se asoció del malware.
asociación con Pfizer Pharmaceuticals para
Microsoft Malware Protection Center (MMPC), comprender los medicamentos vendidos por Nuestro éxito continuo requiere ingeniería
Trabajo Conficker, el primer consorcio con el Centro de análisis e intercambio
de este tipo. centrado en la estrecha colaboración con creativa, intercambio de información,
Rustock y trabajó en estrecha colaboración con de información de servicios financieros (FS
académicos.27 teorías jurídicas innovadoras y
Microsoft se asoció con 16 las autoridades holandesas encargadas de hacer ISAC) para derribar Trickbot.30
cumplir la ley.29 asociaciones públicas y privadas.
organizaciones de todo el mundo para
derrotar al bot.
Respuesta de Microsoft: Microsoft utilizó el Respuesta de Microsoft: Microsoft trabajó Respuesta de Microsoft: DCU creó un
Respuesta de Microsoft: El grupo enfoque de interrupción escalonada del C2 con los Marshalls de EE. UU. y las autoridades sistema para identificar y rastrear la
colaboró en muchas jurisdicciones y sorprendió a los malos actores al de los Países Bajos para desactivar los infraestructura de bots y generó notificaciones
internacionales y logró derribar a Conficker. apoderarse de dominios con sede en servidores C2 en ese país. Se registraron y para proveedores de Internet activos,
EE. UU. sin previo aviso.28 Microsoft otorgó la bloquearon todos los futuros algoritmos teniendo en cuenta leyes específicas de
propiedad temporal de casi 280 dominios generadores de dominios (DGA). varios países.
utilizados por los servidores de Waledac.
Más específicamente, identificamos cómo los

Abuso cibercriminal operadores de Trickbot utilizan enrutadores MikroTik
Cadena de ataque de Trickbot
de la infraestructura comprometidos y los reconfiguran para que actúen como

parte de su infraestructura C2. La popularidad de estos
dispositivos agrava la gravedad del abuso que
sufren por parte de Trickbot, y su hardware y software únicos Configura
Pasarelas de Internet permiten a los actores de amenazas evadir las medidas de Agresor Comando y dominios maliciosos
control
como comando criminal seguridad tradicionales, expandir su infraestructura
y comprometer más dispositivos y redes.
e infraestructura de control
Los dispositivos IoT se están convirtiendo en un Distribución de enrutadores MikroTik expuestos en
todo el mundo
objetivo cada vez más popular para los
ciberdelincuentes que utilizan botnets generalizadas. Busca dispositivos Roba las Ejecuta el tráfico
Número de expuestos 93.868 1
Cuando los enrutadores no están parcheados y se Enrutadores MikroTik Comprometida MikroTik que estén expuestos credenciales del comando de
dejan expuestos directamente a Internet, los dispositivo de iot a la Internet dispositivo y mantiene la persistencia redirección
actores de amenazas pueden abusar de

ellos para obtener acceso a las redes, ejecutar
ataques maliciosos e incluso respaldar sus operaciones.
El equipo de Microsoft Defender para IoT lleva a cabo Instala Trickbot en la Realiza Se comunica con
red de destino. reconocimiento para
investigaciones sobre equipos que van desde Red de
C2 a través de enrutador; gotas
a través de una campaña obtener información de la red. cargas útiles, roba información
controladores de sistemas de control industrial heredados destino
hasta sensores de IoT de última generación. El equipo
investiga malware específico de IoT y OT para contribuir Los enrutadores expuestos corren el riesgo de que se Cadena de ataque de Trickbot que muestra el uso de dispositivos MikroTik IoT como servidores proxy para C2.
a la lista compartida de indicadores de compromiso. exploten posibles vulnerabilidades.
Redirige el tráfico entre dos puertos del enrutador, Los dispositivos que actúan como servidores proxy inversos
Los enrutadores son vectores de ataque particularmente Al rastrear y analizar el tráfico que contiene comandos de estableciendo la línea de comunicación entre los para el malware C2 no son exclusivos de los enrutadores
vulnerables porque están omnipresentes en hogares shell seguro (SSH), observamos que los atacantes usaban dispositivos afectados por Trickbot y el C2. Trickbot y MikroTik. En colaboración con el equipo de
y organizaciones conectados a Internet. Hemos estado enrutadores MikroTik para comunicarse con la
rastreando la actividad de los enrutadores MikroTik, un infraestructura de Trickbot después de obtener credenciales Microsoft RiskIQ, rastreamos hasta el C2 involucrado y,
Hemos agregado nuestro conocimiento de los diversos
enrutador popular en todo el mundo a nivel residencial y mediante la observación de los certificados SSL,
legítimas para los dispositivos. métodos para atacar dispositivos MikroTik, más allá de
comercial, identificando cómo se utilizan para comando y identificamos los dispositivos Ubiquiti y LigoWave que
Estas credenciales se pueden obtener mediante ataques de Trickbot, así como vulnerabilidades y exposiciones comunes
control (C2), ataques al sistema de nombres de dominio también se ven afectados.32 Esto es una fuerte
fuerza bruta, explotando vulnerabilidades conocidas con conocidas (CVE) en una herramienta de código abierto
(DNS) y secuestro de criptominería. indicación de que los dispositivos de IoT se están convirtiendo
parches fácilmente disponibles y utilizando contraseñas para dispositivos MikroTik, que puede extraer los artefactos
forenses relacionados con los ataques a estos. dispositivos.31 en componentes activos de las iniciativas coordinadas por los
predeterminadas. Una vez que se accede a un dispositivo,
estados nacionales. ataques y un objetivo popular para los
el atacante emite un comando único que
ciberdelincuentes que utilizan botnets generalizadas.
El año pasado, Microsoft observó un número creciente de la siguiente cuenta, ya preparada mediante scripts para ser activada
Criptocriminales que ataques que abusan de los enrutadores para Máquinas virtuales inmediatamente, y su actividad maliciosa continúa con poca o
redirigir los esfuerzos de minería de criptomonedas.
abusan de los dispositivos IoT como infraestructura criminal ninguna interrupción.
Los ciberdelincuentes comprometen los enrutadores
Al igual que la infraestructura en la nube, la
Los dispositivos de puerta de enlace son un conectados a grupos de minería y redirigen el tráfico El movimiento generalizado hacia la nube infraestructura local se puede utilizar en ataques con
de minería a sus direcciones IP asociadas con
objetivo cada vez más valioso para los actores de incluye a ciberdelincuentes que aprovechan entornos locales virtuales que el usuario local desconoce. Esto
amenazas, ya que el número de vulnerabilidades ataques de envenenamiento de DNS, lo que altera la
los activos privados de víctimas requiere que el punto de acceso inicial permanezca abierto y
configuración de DNS de los dispositivos objetivo. Los
conocidas ha aumentado constantemente año tras año. involuntarias obtenidos mediante accesible.
enrutadores afectados registran la dirección IP incorrecta
Se utilizan para minería de criptomonedas y otros phishing o la distribución de malware ladrones de credenciales.
Los ciberdelincuentes también han abusado de los activos
en un nombre de dominio determinado y envían sus
tipos de actividades maliciosas. Muchos ciberdelincuentes optan por privados locales para iniciar una cadena de infraestructura en la
recursos mineros (o hashes) a grupos utilizados por los
nube, configurada para ofuscar su origen y evitar la detección de
actores de amenazas. Estos grupos pueden extraer configurar sus infraestructuras maliciosas en
creación de infraestructura sospechosa.
A medida que las criptomonedas se han vuelto más monedas anónimas asociadas con actividades delictivas o máquinas virtuales (VM), contenedores y
populares, muchas personas y organizaciones han invertido utilizar hashes legítimos generados por mineros para microservicios basados en la nube.
potencia computacional y recursos de red de dispositivos adquirir un porcentaje de la moneda que extraen, obteniendo así las recompensas.
como enrutadores para extraer monedas en la cadena de
Una vez que el ciberdelincuente tiene acceso, puede ocurrir una Información procesable
bloques. Sin embargo, la extracción de criptomonedas es un secuencia de eventos para configurar la infraestructura, como
Dado que más de la mitad de las 1 Implementar una buena higiene cibernética y brindar
proceso que requiere mucho tiempo y recursos y una serie de máquinas virtuales mediante secuencias de
tiene una baja probabilidad de éxito. Para aumentar la vulnerabilidades conocidas encontradas en capacitación en ciberseguridad a los
comandos y procesos automatizados. Estos procesos
probabilidad de extraer una moneda, los mineros se empleados con orientación para evitar ser
2021 carecen de parche, actualizar y proteger automatizados y programados se utilizan para iniciar
agrupan en redes cooperativas distribuidas y reciben manipulados socialmente.
los enrutadores en redes corporativas y actividades maliciosas, incluidos ataques de spam por
hashes en relación con el porcentaje de la moneda que correo electrónico a gran escala, ataques de phishing y páginas 2 Realice comprobaciones automatizadas periódicas de
lograron extraer con sus recursos conectados. privadas sigue siendo un desafío importante
web que alojan contenido nefasto. Incluso puede incluir la anomalías en la actividad de los usuarios mediante
para los propietarios y administradores de dispositivos.
creación de un entorno virtual a escala para realizar minería de detecciones a escala para ayudar a reducir este tipo de ataques.
criptomonedas, lo que genera a la víctima final una factura
3 Actualice y asegure los enrutadores en la empresa
de cientos de miles de dólares a final de mes.
Dispositivos comprometedores para la minería criptográfica ilegal.
y redes privadas.
Los actores de amenazas

mineros Los ciberdelincuentes entienden que su actividad maliciosa tiene
grupo de criminales roban parte de los hashes del
Piscina Criptomoneda una vida útil limitada antes de ser detectada y desactivada.
grupo original, o los
Envenenamiento DNS recursos se transfieren a su Como resultado, han ampliado su escala y ahora operan de
mineros
grupo, o los enrutadores tienen manera proactiva teniendo en cuenta las contingencias. Se les
malware que roba recursos ha observado preparando cuentas comprometidas con
Enrutadores asico
para la minería. anticipación y monitoreando sus entornos. Tan pronto
mineros
como se detecta una cuenta (configurada con cientos de miles
Minero mineros
de máquinas virtuales), ésta pasa a
El envenenamiento de DNS de los dispositivos de puerta de enlace compromete las actividades mineras legítimas y redirige los
recursos a actividades mineras criminales.
El auge de los hackers ciudadanos aeropuertos y el servidor de la administración pública checa, a Existen medidas para evitar que se produzcan este tipo de
¿Ha llegado el
pesar de que Chequia no está directamente involucrada en la cambios en los paquetes de archivos fuente y los usuarios deben
Las plataformas de redes sociales permitieron la rápida
guerra.35 Al mismo tiempo, algunos gobiernos podrían estar conscientes del impacto potencial.
organización y movilización de miles de posibles ciudadanos
hacktivismo para quedarse? utilizar el hacktivismo como cobertura para operaciones
piratas informáticos, a quienes se les proporcionaron
tradicionales de ciberespionaje o sabotaje (por ejemplo, las
Si bien el hacktivismo no es un instrucciones para realizar ataques fácilmente ejecutables,
actividades iraníes contra Israel).
Las plataformas de redes sociales
como los ataques DDoS.
fenómeno nuevo, la guerra en Ucrania vio permitieron la organización y movilización
Los organizadores aprovecharon Twitter, Telegram y foros En un entorno de aumento de los ataques DDoS vinculados al
una oleada de piratas informáticos voluntarios, de miles de posibles ciudadanos piratas
privados para movilizar a los piratas informáticos, hacktivismo, la industria tecnológica tiene el desafío de descifrar
incluidos algunos dirigidos por gobiernos para organizar operaciones y difundir manuales de rápidamente la diferencia entre el flujo de tráfico normal y informáticos, a quienes se les
desplegar herramientas cibernéticas para instrucciones sobre piratería informática. anormal hacia un sitio web. Microsoft y sus socios han
proporcionaron instrucciones para realizar
dañar la reputación o los activos de desarrollado una colección de herramientas que distinguen el
Sin embargo, es probable que la mayoría de estos piratas ataques fácilmente ejecutables, como ataques DDoS.
oponentes políticos, organizaciones e incluso estados nacionales. tráfico DDoS malicioso y lo rastrean hasta su origen. Además, la
informáticos tengan habilidades limitadas, incluso con instrucción.
plataforma Azure de Microsoft puede
Esto sugiere dos futuros potenciales: uno en el que cientos o
En febrero de 2022, el gobierno ucraniano pidió a civiles miles de personas con capacidades técnicas rudimentarias
Identifique las máquinas en la plataforma que producen niveles Información procesable
privados de todo el mundo que llevaran a cabo ataques utilicen plantillas de ataque para llevar a cabo futuros
cibernéticos contra Rusia como parte de su “Ejército de TI” de ataques hacktivistas coordinados o individuales contra extraordinariamente altos de tráfico saliente y apáguelas. 1 La industria tecnológica debe unirse para diseñar una
300.000 efectivos.33 Al mismo tiempo, establecieron objetivos, o un segundo futuro en el que el eventual fin de las respuesta integral a esta nueva amenaza.
grupos hacktivistas como Anonymous, Ghostsec, Against hostilidades en Ucrania los haga dejar atrás su hacktivismo. ,
Aparición del protestware El protestaware
the West, Bielorrusia Cyber Partisans y RaidForum2 al menos hasta que el próximo tema político o social los inspire
ha surgido como resultado directo de reacciones emocionales 2 Las empresas de tecnología líderes, incluida Microsoft, tienen
comenzaron a realizar ataques en apoyo a Ucrania. a actuar.
a la guerra entre Rusia y Ucrania. Algunos desarrolladores de herramientas para identificar el tráfico malicioso asociado
con ataques DDoS y desactivar las máquinas
Otros grupos, incluidos algunos miembros del grupo de software de código abierto utilizaron la popularidad de su
Politización de los hackers software como un medio para hablar o tomar medidas contra una responsables.
ransomware Conti, se pusieron del lado de Rusia.34
situación geopolítica en desarrollo. Esto incluía archivos de
En los meses siguientes, las actividades de Anonymous El mayor riesgo que plantea esta movilización política 3 Los usuarios de código abierto deben mantener
texto inofensivos abiertos en un escritorio o un navegador para
fueron muy visibles. Los piratas informáticos que actuaban es el despliegue de piratas informáticos expertos en tecnología una mayor vigilancia en tiempos de conflictos
difundir mensajes de paz, pero también incluía ataques
en nombre del grupo (o en el de uno de sus afiliados) que podrían continuar realizando ataques cibernéticos geopolíticos.
dirigidos basados en la geolocalización de direcciones IP y
desactivaron temporalmente miles de sitios web rusos y contra objetivos de gobiernos extranjeros para apoyar sus propias
acciones destructivas como borrar un disco duro. A medida que
bielorrusos, filtraron cientos de gigabytes de datos robados, piratearon prioridades nacionales, ya sea por iniciativa propia o a instancias
de su gobierno. se desarrollen otros eventos globales, podemos esperar que
canales de televisión rusos para reproducir contenido proucraniano
el protestware vuelva a aparecer en el futuro. Dado que
e incluso ofrecieron pagar Bitcoin. por los tanques rusos
generalmente se trata de casos en los que respetados mantenedores
rendidos. Irán, China y Rusia ya utilizan el hacktivismo como alimentador de código abierto deciden hacer declaraciones personales
para el reclutamiento en sus grupos de piratería estatales.
utilizando sus propios componentes de código abierto,
Por ejemplo, en abril de 2022, el grupo de hackers prorruso actualmente no existe ninguna protección.
Killnet lanzó ataques DDoS contra ferrocarriles checos,
regionales
Notas finales
1 https://www.reuters.com/business/energy/shellreroutesoilsuppliesaftercyberattackgermanlogisticsfirm20220201/ 18 https://www.ic3.gov/Media/Y2022/PSA220504 19 Autenticación,

informes y conformidad de mensajes basados en dominio: un protocolo de autenticación, política y generación de informes de
2 https://www.bleepingcomputer.com/news/security/greecespublicpostalserviceofflineduetoransomwareattack/ 3 https:// correo electrónico diseñado para brindar a los propietarios de dominios de correo electrónico la capacidad de proteger su
www.bleepingcomputer.com/ dominio contra ataques no autorizados.
news/security/costa agenciadesaludpublicaricasgolpeadaporhiveransomware/; https://www.reuters.com/world/americas/ usar. 20 https://www.ic3.gov/Media/PDF/AnnualReport/2021_IC3Report.pdf 21 https://

cyberattackcostaricagrowsmoreagencieshitpresidentsays20220516/ docs.microsoft.com/enus/microsoft365/security/office365security/learnabout parodia
inteligencia?view=o365mundial
4 https://www.bleepingcomputer.com/news/security/spicejetairlinepassengersstrandedafterransomwareattack/ 5 https:// 22 https://docs.microsoft.com/enus/microsoft365/security/office365security/impersonation
www.microsoft.com/ insight?view=o365en todo el mundo
security/blog/2020/03/05/ ataquesderansomwareoperadosporhumanosundesastreprevenible/ 6 Detección y respuesta de 23 https://docs.microsoft.com/enus/windows/security/threatprotection/microsoftdefendersmartscreen/microsoftdefender
endpoints. https:// smartscreenoverview
www.microsoft.com/enus/security/business/threatprotection/ 7 https://www.washingtonpost.com/nationalsecurity/cybercommand 24 https://www.microsoft.com/enus/security/business/siemandxdr/microsoftdefenderoffice365 25 https://docs.microsoft.com/en
revil us/windows/security /protecciónamenazas/microsoftdefendersmartscreen/microsoftdefendersmartscreenoverview
ransomware/2021/11/03/528e03e6351711ec9bc486107e7b0ab1_story.html
8 https://www.bbc.com/news/technology59998925 9 Un foro 26 Microsoft Corporation contra John Does 127, et. al., No. 1:10CV156, (EDVa. 22 de febrero de 2010).
examinado es un foro de discusión en línea que requiere que un miembro existente responda por la incorporación de un nuevo 27 Véase Bowden, Mark. Gusano: La Primera Guerra Mundial Digital. Grove/Atlantic, Inc., 27 de septiembre de 2011.
miembro.
28 Específicamente, la Regla 65 de las Reglas Federales de Procedimiento Civil permite a una parte buscar dicho remedio si: 1)
10 https://www.statista.com/statistics/800426/worldwideblockchainsolutionsspending/; https://www.blockchain.com/ la parte sufrirá un daño inmediato e irreparable si no se concede el remedio, y 2) la parte intenta notificar a la otra parte de
charts/mywalletnusers; https://coinmarketcap.com 11 https://blogs.microsoft.com/ontheissues/ una manera oportuna. Además, la ley exige que se aplique una prueba de equilibrio, que sopese el derecho del acusado a
2022/04/13/zloaderbotnetdisruptedmalwareukraine/ 12 https://www.coindesk.com /business/2021/12/13/cryptoexchange recibir notificación con la magnitud del daño al público.
ascendexhackeadopérdidasestimadasen77m/; https://www.zdnet.com/article/after77millionhackcryptoplatform 29 Microsoft Corporation contra John Does 111, et. al., No. 2:11cv222, (WD Wa. 9 de febrero de 2011).
ascendextoreimbursecustomers/ 30 Microsoft Corp. contra Does, No. 1:20cv01171 (AJT/IDD), 2021 Dist. de EE. UU. LEXIS 258143, en *1 (ED Va. 12
de agosto de 2021).
13 https://etherscan.io/address/0x73326b6764187b7176ed3c00109ddc1e6264eb8b 14 https:// 31 https://github.com/microsoft/routerosscanner 32 RiskIQ:
finance.yahoo.com/news/ethereumworthover15m160249300.html 15 https://news.bitcoin.com/ Dispositivos Ubiquiti comprometidos y utilizados como servidores proxy inversos de malware C2 | Edición comunitaria
decentralized financecryptoexchangeuniswapstartsblockingaddresseslinkedtoblockedactivities/ 16 Fuente de RiskIQ 33 https://
datos: Defender for Office (correo electrónico www.theguardian.com/world/2022/mar/18/amateurhackerswarnedagainstjoining
malicioso/actividad de identidad comprometida), Azure Active Directory Identity Protection (eventos/alertas de identidad Ucraniaitejército
comprometida) ), Defender for Cloud Apps (eventos de acceso a datos de identidad comprometidos) y M365D 34 https://therecord.media/russiaorukrainehackinggroupstakesides/ 35 https://www.expats.cz/
(correlación entre productos). czechnews/article/prorussianhackerstargetczech sitios web en un
17 Fuente de datos: Defender for Endpoint (alertas/eventos de comportamiento de ataque), Defender for Office serie de ataques
(correo electrónico malicioso) y M365D (correlación entre productos).
Estado nacional Una visión general de las amenazas del Estado nación
Introducción
31
32
Antecedentes de los datos del estado nación 33
Amenazas Muestra de actores del Estado nación y sus

actividades. 34
El panorama de amenazas en evolución 35
Los actores estatalesnación están lanzando La cadena de suministro de TI como puerta

de entrada al ecosistema digital 37
ciberataques cada vez más sofisticados para evadir la
detección y promover sus prioridades estratégicas. Explotación rápida de la vulnerabilidad 39
Las cibertácticas de los actores estatales rusos

en tiempos de guerra amenazan a Ucrania y más allá 41
China amplía su objetivo global de ventaja

competitiva 44
Irán se vuelve cada vez más agresivo tras la

transición de poder 46
Capacidades cibernéticas de Corea del Norte empleadas

para lograr los tres objetivos principales del régimen 49
Los cibermercenarios amenazan la

estabilidad del ciberespacio 52
Hacer operativas las normas de ciberseguridad

para la paz y la seguridad en el ciberespacio 53
Una visión general de Ucrania respondió trasladando rápidamente cargas de trabajo y

Mayor focalización en infraestructura crítica, Irán se volvió cada vez más agresivo tras la
datos a nubes de hiperescala alojadas en centros de datos
Amenazas del Estado nación fuera de Ucrania. En segundo lugar, los avances en
particularmente en el sector de TI, servicios financieros, transición de poder, amplió los ataques de
sistemas de transporte e infraestructura de comunicaciones. ransomware más allá de los adversarios regionales
inteligencia sobre amenazas cibernéticas y protección de
hacia las víctimas de EE. UU. y la UE, y se
terminales impulsados por datos y servicios avanzados de
Los actores estatalesnación inteligencia artificial y aprendizaje automático en la nube han
dirigió a infraestructuras críticas estadounidenses
de alto perfil.
ayudado a Ucrania a defenderse de los ciberataques rusos. Más información en p35
están lanzando ciberataques
En otros lugares, los actores estatales han aumentado su
cada vez más sofisticados para actividad y están utilizando avances en
La cadena de suministro de TI se
evadir la detección y promover sus automatización, infraestructura de nube y tecnologías de

utiliza como puerta de entrada
La identificación y explotación rápida de
para acceder a los objetivos.
acceso remoto para atacar un conjunto más amplio vulnerabilidades no parcheadas se ha convertido en
prioridades estratégicas. de objetivos. Las cadenas de suministro de TI una táctica clave. La implementación rápida de
La llegada del despliegue de corporativas que permiten el acceso a objetivos NOBELIO actualizaciones de seguridad es clave para la defensa.
finales fueron atacadas con frecuencia. La higiene de la
armas cibernéticas en la guerra seguridad cibernética se volvió aún más crítica a medida
híbrida en Ucrania es el que los actores explotaron rápidamente vulnerabilidades sin
Vulnerabilidad
divulgada
parches, utilizaron técnicas sofisticadas y de fuerza bruta para públicamente
comienzo de una nueva era de conflictos.robar credenciales y ofuscaron sus operaciones mediante
el uso de software legítimo o de código abierto. China se está 14 dias 60 días
E Irán se suma a Rusia en el uso de armas cibernéticas expandiendo a nivel Parche Código POC publicado
Rusia también ha apoyado su guerra con Explotación
destructivas, incluido el ransomware, como global, apuntando liberado en estado salvaje en GitHub
operaciones de influencia informativa, utilizando especialmente
elemento básico de sus ataques. Más información en la p39
propaganda para influir en las opiniones en Rusia, Ucrania a naciones
y el mundo. Este primer conflicto híbrido a gran escala ha Estos acontecimientos requieren la adopción urgente de un
más pequeñas
dejado otras lecciones importantes. marco global coherente que dé prioridad a los derechos Corea del Norte apuntó a empresas aeroespaciales y
del Sudeste
En primer lugar, la mejor forma de proteger la seguridad de humanos y proteja a las personas del comportamiento de defensa, criptomonedas, medios de
Asiático, para ganar
las operaciones y los datos digitales –tanto en el imprudente del Estado en línea. Todas las naciones deben comunicación, desertores y organizaciones de ayuda
inteligencia y ventaja competitiva.
ciberespacio como en el espacio físico– es migrar a la nube. trabajar para implementar normas y reglas acordadas para para lograr los objetivos del régimen: construir
Los ataques rusos iniciales se dirigieron a servicios locales una conducta estatal responsable. defensa, impulsar la economía y garantizar la estabilidad interna.
con malware de limpieza y a centros de datos físicos
Defensa de Ucrania: primeras lecciones de la guerra
con uno de los primeros misiles lanzados.
cibernética: Microsoft sobre los problemas Más información en p44 Más información en p49
Los cibermercenarios amenazan la estabilidad del ciberespacio a medida que esta creciente industria
de empresas privadas desarrolla y vende herramientas, técnicas y servicios avanzados para permitir a
sus clientes (a menudo gobiernos) acceder a redes y dispositivos.

Al igual que las organizaciones empresariales, los adversarios Por primera vez en un evento cibernético importante, Como resultado, mantener una base sólida de higiene de la
Introducción comenzaron a utilizar avances en automatización, infraestructura las detecciones de comportamiento que aprovecharon seguridad de TI a través de parches priorizados, habilitar
de nube y tecnologías de acceso remoto para extender sus el aprendizaje automático utilizaron patrones de funciones antimanipulación, usar herramientas de
ataques contra un conjunto más amplio de objetivos. ataque conocidos para identificar y detener con éxito administración de superficies de ataque como RiskIQ
Luego de ataques de alto Estos ajustes tácticos dieron como resultado nuevos nuevos ataques sin conocimiento previo del malware para obtener una visión externa de una superficie de
enfoques y ataques a gran escala contra las cadenas de subyacente, incluso antes de que los humanos se dieran ataque y habilitar la autenticación multifactor en toda
perfil en 2020 y 2021, los actores cuenta de las amenazas. También confirmamos el valor
suministro corporativas. La higiene de la seguridad de la empresa tiene se convierten en fundamentos
de amenazas de los estados TI adquirió un grado de importancia aún mayor a medida de compartir inteligencia sobre amenazas en tiempo real básicos para defenderse proactivamente contra muchos
que los actores desarrollaron nuevas formas de explotar con los defensores que protegen estos sistemas, actores sofisticados.
nacionales gastaron importantes rápidamente vulnerabilidades no parcheadas, ampliaron brindándoles información vital para anticipar y Los actores estatales también han aumentado el
recursos en adaptarse a las técnicas para comprometer las redes corporativas y defenderse de ataques activos.
uso de ransomware como táctica en sus ataques, a
ofuscaron sus operaciones mediante el uso de software legítimo Los actores de amenazas de los Estadosnación en menudo reutilizando en sus ataques malware de rescate
nuevas protecciones de seguridad o de código abierto. Las nuevas técnicas de ataque
todo el mundo continúan expandiendo sus operaciones creado por ese ecosistema criminal. Hemos visto actores
proporcionaron vectores nuevos y más difíciles de
implementadas por las de formas nuevas y antiguas. China, Corea del Norte, con sede en Irán y Corea del Norte aprovechando
detectar para obtener acceso a la red de un objetivo. Irán y Rusia llevaron a cabo ataques contra clientes herramientas de ransomware para dañar sistemas
organizaciones para defenderse contra amenazas
Finalmente, sofisticadas.
a medida que aumentaron los ataques
de Microsoft. La cadena de suministro de servicios de TI se específicos, que a menudo incluyen infraestructura
físicos en tiempos de guerra, vimos que los
convirtió en un objetivo común a medida que los actores crítica, dentro de rivales regionales.
ciberataques asumieron un papel destacado en la actividad militar.
cambiaron el enfoque hacia servicios ascendentes que Por último, hemos visto la creciente amenaza de que
El conflicto en Ucrania ha proporcionado un ejemplo pueden ser puntos de acceso a múltiples organizaciones. los cibermercenarios desarrollen y vendan
muy conmovedor de cómo los ciberataques evolucionan Esperamos que los actores continúen explotando las herramientas, técnicas y servicios para ampliar los
para impactar al mundo en paralelo con el conflicto relaciones de confianza en las cadenas de suministro ataques contra soluciones vulnerables de terceros.
militar sobre el terreno. Los sistemas de energía, los sistemas empresariales, enfatizando la importancia de la La sofisticación y agilidad de los ataques de los actores estatales
de telecomunicaciones, los medios y otras aplicación integral de las reglas de autenticación, la seguirán evolucionando cada año.
infraestructuras críticas se convirtieron en objetivos tanto aplicación diligente de parches y la configuración de Las organizaciones deben responder estando informadas de
de ataques físicos como ciberataques. cuentas para la infraestructura de acceso remoto, y estos cambios de actores y desarrollar defensas en
Los intentos de comprometer la red comúnmente auditorías frecuentes de las relaciones con los socios para verificar laparalelo.
autenticidad.
observados como parte de campañas de espionaje y
Los actores estatales, al igual que el ransomware y los Juan Lambert
exfiltración de información se centraron en una guerra híbrida
operadores criminales, han respondido a una mayor exposición Vicepresidente Corporativo y Distinguido
contra ataques destructivos de malware contra sistemas de
apuntando a sistemas empresariales mal configurados o Ingeniero, Centro de inteligencia de amenazas de Microsoft
infraestructura crítica. Conectar la seguridad de estos
sin parches (infraestructura VPN/VPS, servidores locales,
sistemas a la nube resultó en la detección temprana y la
software de terceros) para vivir de la seguridad. ataques
interrupción de ataques potencialmente devastadores.1
terrestres. Muchos han aumentado el uso de malware
básico y herramientas del equipo rojo de código abierto
para ocultar su actividad maliciosa.
Antecedentes de los
datos del estado nación
Las amenazas de los estados nacionales son

actividades de amenazas cibernéticas que se originan
en un país específico con la aparente intención
de promover los intereses nacionales. Los
actores del estado nación presentan algunas de las
amenazas más avanzadas y persistentes que
enfrentan nuestros clientes, incluido el robo de
propiedad intelectual, el espionaje, la vigilancia, el
robo de credenciales, los ataques destructivos y más.
Invertimos importantes recursos en descubrir, comprender

y contrarrestar estas amenazas.
Cuando una organización o titular de una cuenta
individual es atacado o comprometido por actividades
observadas de un estado nación, Microsoft envía una
alerta en forma de notificación de estado nación (NSN)
directamente al cliente, incluida la información que
necesita para investigar la actividad.
En junio de 2022, habíamos entregado más de 67 000
NSN desde que comenzamos en 2018.
Los datos de alerta de Microsoft NSN se presentan

Los cuatro estados nacionales principales cuyos grupos Microsoft identifica grupos de estados nacionales Una vez que cumple con los criterios, un DEV se
en este capítulo para proporcionar una vista de la
de amenaza incluimos en este informe son Rusia, mediante nombres de elementos químicos (como convierte en un actor designado o se fusiona con actores existentes.
actividad mensurable. El nivel de actividad del estado
nación que se muestra en los gráficos se basa en la China, Irán y Corea del Norte. Estos representan los NOBELIUM), algunos de los cuales se muestran en la A lo largo de este capítulo, citamos ejemplos de estados
países de origen de los actores más comúnmente página siguiente. Usamos designaciones DEV#### nacionales y grupos DEV para brindar una visión más
cantidad de NSN que Microsoft emitió a los clientes en
observados dirigiéndose a los clientes de Microsoft durante como un nombre temporal dado a un grupo de actividad de profunda de los objetivos de los ataques, las técnicas y el
respuesta a la detección de actores del estado nación
el año pasado. El informe también incluye nuestras amenaza desconocido, emergente o en desarrollo, lo que análisis de las motivaciones. Aunque muchos de estos
que apuntan o comprometen al menos una cuenta en
observaciones sobre grupos amenazadores del Líbano y de nos permite rastrearlo como un conjunto único de grupos utilizan las mismas herramientas que los
la organización del cliente.
mercenarios cibernéticos o actores ofensivos contratados información hasta que alcancemos un alto grado de ciberdelincuentes, presentan amenazas únicas en forma
por el sector privado. de malware personalizado, la capacidad de descubrir y
confianza sobre el origen o identidad del actor detrás de la actividad.
aprovechar vulnerabilidades de día cero e impunidad legal.
Muestra de actores del Estado nación y sus actividades. Irán
Rusia
Medios de comunicación,
PAG activistas de derechos

humanos, políticos y transporte
TI, gobierno, think Gobierno ucraniano,
No C.A
y energía de EE. UU.
tanks, ejército, FÓSFORO
aplicación de la ley. gatito encantador
educación superior
NOBELIO Gamaredón
ACTINIO
APT29 TI, navieras,
Líbano
bh Medio
gobiernos del este
Gobierno, Energía, aviación, fabricación
Sr. defensa, think
tanks, educación
hermano crítica, base industrial de
defensa.
Industria de
defensa israelí, TI
BOHRIO
Carey
Correos
superior
ESTRONCIO BROMO oso energético
oso de lujo POLONIO
Corea del Norte
Inteligencia/
Personal
sg de defensa, think
PU
Ciencia y
tecnología,
tanks defensa, industrial.
SEABORGIO
Grupo Calisto Andariel, Seúl Oscuro,
Porcelana
PLUTONIO
Chollima silenciosa
ir Infraestructura Gobierno, Gobierno. Gobierno, Think tanks,

crítica,
tecnología operativa. educación, ra defensa
Ni ONG
ce defensa, energía,
aeroespacial.
os académicos,
ONG, gobierno
IRIDIO APT15
gusano de arena panda zorra Konni
RADIO NÍQUEL CERIO OSMIO
infraestructura de telecomunicaciones, Empresas de Gobierno,

Llave
Símbolo
Sectores
comúnmente objetivo
Georgia comunicaciones,
TI, gobierno, ONG, gobierno Dios
cn criptomonedas y
tecnología relacionada
zinc defensa, ciencia y
tecnología.
APT40
Referencias educación
ACTIVIDAD
de la industria APT38, Lázaro
GALIO GADOLINIO COPERNICIO ZINC
GRUPO
Celda suave Chicos Beagle
Los acontecimientos políticos del año pasado han dado

El panorama de forma a las prioridades y la tolerancia al riesgo de los
Sectores industriales objetivo de los actores del estado nación
grupos amenazantes patrocinados por Estados en todo el mundo. Comunicaciones Otro

amenazas en evolución A medida que las relaciones geopolíticas se han roto y
los elementos de línea dura han adquirido más control en 2% 20% Tecnologías de la información
La misión de Microsoft de rastrear la actividad de
los actores estatales y notificar a los clientes
algunas naciones, los actores cibernéticos se han vuelto Organizaciones 22%
más descarados y agresivos. intergubernamentales
cuando vemos que están siendo atacados o Por ejemplo: •
comprometidos tiene sus raíces en nuestra 2%
Rusia atacó implacablemente al gobierno ucraniano y a la
misión de proteger a nuestros clientes de los ataques. Transporte
infraestructura crítica del país para complementar
Esta notificación es una parte crucial de nuestro

su acción militar sobre el terreno.2 • Irán buscó
2%
agresivamente incursiones en
compromiso de informar a los clientes si las protecciones de Cuidado de la salud
EE.UU.
nuestros productos de seguridad previenen con éxito los
ataques observados o si los ataques son efectivos debido a
infraestructura crítica como las autoridades portuarias.
2%
debilidades de seguridad desconocidas. El seguimiento • Corea del Norte continuó su campaña de
Robar criptomonedas de empresas financieras y
Medios de comunicación
Grupos de expertos/ONG
de las notificaciones a lo largo del tiempo ayuda a Microsoft a
identificar las tendencias de amenazas en evolución por parte
tecnológicas. • China amplió su
4% 17%
de los actores y centrar las protecciones de los productos en la presencia global
Finanzas
mitigación proactiva de las amenazas a los clientes en todos operaciones de ciberespionaje.
Gobierno Educación
nuestros servicios en la nube.
Aunque los actores estatales pueden ser técnicamente
5%
Este seguimiento también nos permite compartir datos sofisticados y emplear una amplia variedad de tácticas, sus 10% 14%
e ideas sobre lo que vemos. Los analistas que rastrean a ataques a menudo pueden mitigarse con una buena higiene
cibernética. Muchos de estos actores dependen de medios de Los grupos de estados nacionales se dirigieron a una variedad de sectores. Los actores estatales rusos e iraníes apuntaron a la industria de TI
estos actores y siguen sus ataques se basan en una combinación
como un medio para acceder a los clientes de las empresas de TI. Los think tanks, las organizaciones no gubernamentales (ONG), las
de indicadores técnicos y experiencia geopolítica para tecnología relativamente baja, como correos electrónicos de
universidades y las agencias gubernamentales siguieron siendo otros objetivos comunes de los actores estatales.
comprender las motivaciones de los actores, combinando phishing, para entregar malware sofisticado en lugar de invertir
el contexto técnico y global en nuevos conocimientos. en el desarrollo de exploits personalizados o utilizar ingeniería
social dirigida para lograr sus objetivos. Los actores del estado nación tienen una variedad de o potencialmente ejecutar ataques a una escala mucho
Esta selección proporciona una visión única de las prioridades objetivos que pueden resultar en apuntar a grupos mayor comprometiendo a cientos de clientes intermedios en
de los ciberactores de los estados nacionales y de cómo sus específicos de organizaciones o individuos. En el un solo ataque. Después del sector de TI, las entidades
motivaciones podrían reflejar las prioridades políticas, último año, los ataques a la cadena de suministro atacadas con mayor frecuencia fueron los think tanks,
militares y económicas de los estados nacionales que los han aumentado, con especial atención a las empresas de TI. los académicos adscritos a universidades y los
emplean. Al comprometer a los proveedores de servicios de TI, funcionarios gubernamentales. Estos son “objetivos
los actores de amenazas a menudo pueden alcanzar fáciles” deseables para que el espionaje recopile
su objetivo original a través de una relación de confianza inteligencia sobre cuestiones geopolíticas.
con la empresa que gestiona los sistemas conectados.
El panorama de amenazas en evolución Orientación geográfica de los actores del Estadonación
Continuado
Tendencias de infraestructura crítica

34% 18% 20% 40%
1000 45
40
800
35
30
600
25
%
NSN
20
400 Mayoría
15
200 10
0 0
julio de 2018–junio de 2019 julio de 2019 – junio de 2020 julio de 2020 – junio de 2021 julio de 2021–junio de 2022
El menos
Infraestructura crítica Infraestructura no crítica Porcentaje de infraestructura crítica del total de NSN
El año pasado, los ataques de los grupos de estados nacionales a la infraestructura crítica3 aumentaron, y los actores se Los objetivos cibernéticos de los grupos de estadosnación se
centraron en empresas del sector de TI, servicios financieros, sistemas de transporte e infraestructura de comunicaciones. extendieron por todo el mundo el año pasado, con un enfoque
particularmente fuerte en empresas estadounidenses y británicas.

1 Identifique y proteja sus posibles objetivos de datos de alto
Según nuestros datos de NSN, organizaciones en Israel, los Emiratos
valor, tecnologías en riesgo, información y operaciones
Árabes Unidos, Canadá, Alemania, India, Suiza y Japón también se
“Antes de la invasión de Ucrania, los gobiernos pensaban que encuentran entre algunos de los ataques más frecuentes.
comerciales que podrían alinearse con las prioridades
los datos debían permanecer dentro de un país para estar seguros. estratégicas de los grupos de estados nacionales.
Después de la invasión, migrar datos a la nube y salir de las

fronteras territoriales ahora forma parte de la planificación 2 Habilite las protecciones en la nube para proporcionar
de la resiliencia y la buena gobernanza”. identificación y mitigación de amenazas conocidas y

novedosas a su red a escala.
Cristin Flynn Goodwin,
Asesor General Asociado, Seguridad y Confianza del Cliente
NOBELIUM demostró cómo un enfoque de “comprometer uno para

La cadena de suministro comprometer a muchos” podría dirigirse contra un adversario Enfoques para llegar a un acuerdo
geopolítico percibido. El año pasado, el actor de amenazas – Camino 1

de TI como puerta de persiguió
– Camino 2
Intrusiones directas y de terceros en organizaciones
entrada al ecosistema digital sensibles con sede en estados miembros de la Organización del
Ingeniería social
Tratado del Atlántico Norte (OTAN), que el gobierno ruso percibe como
Atacar a los proveedores de servicios de TI
una amenaza existencial. Entre julio de 2021 y principios de junio Proveedor de TI/Proveedor Proveedor de servicios
por parte de los estados nacionales podría permitir a de 2022, el 48 por ciento de las notificaciones de clientes de de servicios en la nube gestionados/Proveedor
los actores de amenazas explotar otras organizaciones Microsoft sobre actividades de amenazas rusas contra clientes de de servicios en la nube
de interés aprovechando la confianza y el acceso servicios en línea fueron a empresas del sector de TI con sede
otorgados a estos proveedores de la cadena de suministro. en países miembros de la OTAN, probablemente como puntos
Credenciales robadas
El año pasado, grupos de amenazas cibernéticas de de acceso intermediarios. En general, el 90 por ciento de las
de las instalaciones
estados nacionales se dirigieron a proveedores de notificaciones sobre la actividad de amenaza rusa durante el mismo
servicios de TI para atacar objetivos de terceros y período se dirigieron a clientes con sede en los estados
obtener acceso a clientes intermedios en sectores miembros de la OTAN, principalmente en los sectores de TI, grupos de
Proveedor de servicios en la nube
expertos y organizaciones no gubernamentales (ONG) y NOBELIO
gubernamentales, políticos y de infraestructura crítica.
gubernamentales, lo que sugiere una estrategia de buscar múltiples
medios de detección inicial. acceso a estos objetivos. Relación de confianza del directorio activo de Azure
Los proveedores de servicios de TI son objetivos intermediarios
atractivos, ya que atienden a cientos de clientes directos y miles
de clientes indirectos de interés para los servicios de
inteligencia extranjeros. Si se explotan, las prácticas comerciales Acceso local
rutinarias y los privilegios administrativos delegados de los que

Ha habido un cambio de explotar
disfrutan estas empresas podrían permitir que actores maliciosos la cadena de suministro de software a proveedor de TI Objetivo del
accedan y manipulen las redes de clientes de proveedores de
explotar la cadena de suministro de gobierno n.º 1
servicios de TI sin activar alertas inmediatas.
servicios de TI, apuntando a soluciones en
la nube y proveedores de servicios Soluciones de acceso remoto
El año pasado, NOBELIUM intentó comprometer y
gestionados para llegar a los clientes intermedios.
aprovechar cuentas privilegiadas en soluciones en la nube y otros
Proveedor de servicios Objetivo del
proveedores de servicios administrados para intentar un acceso
gestionados gobierno n.º 2
descendente dirigido principalmente a clientes gubernamentales
y políticos de EE. UU. y Europa.
Este diagrama muestra el enfoque multivectorial de NOBELIUM para comprometer sus objetivos finales y los daños colaterales
a otras víctimas a lo largo del camino. Además de las acciones mostradas anteriormente, NOBELIUM lanzó ataques de
phishing y pulverización de contraseñas contra las entidades involucradas, incluso apuntando a la cuenta personal de
al menos un empleado del gobierno como otra posible ruta de compromiso.
• En enero de 2022, DEV0198, un grupo que Realizar una revisión y auditoría exhaustivas de las
La cadena de suministro de evalua está afiliada al gobierno de Irán y comprometió a relaciones con los socios ayuda a minimizar cualquier Información procesable
un proveedor israelí de soluciones en la nube. Microsoft permiso innecesario entre su organización y los 1 Revise y audite las relaciones con los proveedores de
TI como puerta de entrada al evalúa que el actor probablemente utilizó proveedores upstream y eliminar inmediatamente el servicios ascendentes y descendentes y los accesos con
credenciales comprometidas del proveedor para acceso a cualquier relación que parezca desconocida. Una privilegios delegados para minimizar los permisos
ecosistema digital autenticarse en una empresa de logística israelí. MSTIC mayor familiaridad con los registros de actividad y la revisión innecesarios. Elimine el acceso a cualquier relación de
observó al mismo actor intentando llevar a cabo un de la actividad disponible hace que sea más fácil detectar socio que parezca desconocida o que aún no haya sido
Continuado
ciberataque destructivo contra la empresa de logística a anomalías que podrían generar más investigaciones. auditada.6
A lo largo del año, el Centro de Inteligencia de finales de ese mes.
Amenazas de Microsoft (MSTIC) detectó un número 2 Habilite el registro y revise toda la actividad de autenticación
cada vez mayor de actores estatales iraníes y afiliados a para la infraestructura de acceso remoto y las redes
• En abril de 2022, POLONIUM, un grupo con sede en el
Irán que comprometían a empresas de TI. Atacar a terceros por parte del Estado privadas virtuales (VPN), centrándose en las cuentas
Líbano que evaluamos colaboró con grupos estatales
En muchos casos, se detectó que los actores robaban
iraníes en técnicas de cadena de suministro de TI,
nación les permite explotar configuradas con autenticación de factor único, para
confirmar la autenticidad e investigar actividades
credenciales de inicio de sesión para obtener acceso a clientes
comprometió a otra empresa de TI israelí para obtener organizaciones sensibles aprovechando
posteriores con una variedad de objetivos, desde la recopilación anómalas.
acceso a organizaciones legales y de defensa israelíes.5 la confianza y el acceso a una cadena de suministro.
de inteligencia hasta ataques destructivos de represalia. •
3 Habilite MFA para todas las cuentas (incluidas las
En julio y agosto de 2021, DEV0228 cuentas de servicio) y asegúrese de que se
El último año de actividad demuestra que los actores de
comprometió a un proveedor de software empresarial amenazas como NOBELIUM y DEV0228 están conociendo aplique MFA para toda la conectividad remota.
israelí para luego comprometer a clientes intermedios en
el panorama de las relaciones de confianza de una 4 Utilice soluciones sin contraseña para
los sectores jurídico, energético y de defensa israelí.4 proteger sus cuentas.7
organización mejor que las propias organizaciones. Esta
• De agosto a septiembre
creciente amenaza enfatiza la necesidad de que las
de 2021, Microsoft detectó un aumento en el número de organizaciones comprendan y endurezcan las fronteras y los
actores estatales iraníes que apuntaban a empresas puntos de entrada de sus patrimonios digitales. También subraya NOBELIUM apunta a privilegios
de TI con sede en la India. La falta de cuestiones geopolíticas la importancia de que los proveedores de servicios de TI administrativos delegados para facilitar ataques
apremiantes que habrían provocado tal cambio sugiere que supervisen rigurosamente su propio estado de más amplios | Amenaza de Microsoft
este objetivo es el acceso indirecto a subsidiarias y clientes ciberseguridad. Por ejemplo, las organizaciones deberían Centro de Inteligencia (MSTIC)
fuera de la India.
implementar autenticación multifactor y políticas de
Aumentan los ataques iraníes al sector de TI
acceso condicional que dificulten que los actores
| Centro de inteligencia de amenazas de Microsoft
maliciosos capturen cuentas privilegiadas o se propaguen por
(MSTIC), Unidad de Seguridad Digital de Microsoft
una red.
Exponiendo la actividad y la infraestructura
del POLONIO dirigidas a organizaciones
israelíes | Amenaza de Microsoft
Centro de Inteligencia (MSTIC)
Esto garantiza que se identifiquen las vulnerabilidades y se

Explotación rápida de desarrollen parches de manera oportuna para proteger a Velocidad y escala de la mercantilización de la vulnerabilidad
Riesgo
los clientes de amenazas previamente desconocidas.

la vulnerabilidad
Muchas organizaciones asumen que es menos probable que
A medida que las organizaciones
sean víctimas de ataques de exploits de día cero si la
fortalecen sus posturas de ciberseguridad,
gestión de vulnerabilidades es parte integral de la seguridad
los actores estatales responden aplicando
de su red. Sin embargo, la mercantilización de los exploits está
tácticas nuevas y únicas para lanzar Vulnerabilidad
llevando a que se produzcan a un ritmo mucho más rápido. A divulgada
ataques y evadir la detección. La identificación públicamente
menudo se descubren exploits de día cero
y explotación de vulnerabilidades por otros actores y reutilizados ampliamente en un corto
previamente desconocidas (conocidas período de tiempo, dejando en riesgo los sistemas sin
14 dias 60 días 120 días
Días
como vulnerabilidades de día cero) es una táctica clave parches.
en esteAunque
esfuerzo.
la explotación de día cero puede ser difícil de Parche Código POC publicado Disponible en
Explotación
detectar, las acciones posteriores a la explotación de los actores liberado en estado salvaje en GitHub herramientas de escaneo
Las vulnerabilidades de día cero son un medio suelen ser más fáciles de detectar y, si provienen de un software
particularmente eficaz para la explotación inicial y, una vez completamente parcheado, pueden actuar como una señal de En promedio, un exploit tarda sólo 14 días en estar disponible después de que se divulga públicamente una vulnerabilidad.
expuestas públicamente, pueden ser reutilizadas rápidamente advertencia de un compromiso. Esta vista proporciona un análisis de los cronogramas de explotación de las vulnerabilidades de día cero, junto con la cantidad
de sistemas vulnerables al exploit en cuestión y activos en Internet desde el momento de la primera divulgación pública.
por otros estados nacionales y actores criminales.
El número de vulnerabilidades de día cero divulgadas Parches lanzados para vulnerabilidades de día cero
públicamente durante el año pasado está a la par con el del 2021, lo que marca la primera vez en el mundo que un gobierno
250 17 Si bien los ataques de vulnerabilidad de día exige que se informe de las vulnerabilidades a una
año anterior, que fue el más alto registrado.
24 cero tienden a dirigirse inicialmente a un conjunto autoridad gubernamental para su revisión antes de compartir
200 33
limitado de organizaciones, rápidamente se adoptan la vulnerabilidad con el propietario del producto o servicio.
A medida que los actores de las amenazas cibernéticas
11 Esta nueva regulación podría permitir que elementos del
(tanto los Estados nacionales como los delincuentes) 150 14 en el ecosistema de actores de amenazas más amplio.
8 gobierno chino acumulen vulnerabilidades reportadas para
se vuelven más expertos en aprovechar estas 12 Esto inicia una carrera para que los actores de
6 convertirlas en armas. El mayor uso de días cero durante
vulnerabilidades, hemos observado una reducción en el 100 19 3 6
amenazas exploten la vulnerabilidad lo más posible el último año por parte de actores con sede en China
tiempo entre el anuncio de una vulnerabilidad y su 15
10 antes de que sus objetivos potenciales instalen probablemente refleja el primer año completo de requisitos
mercantilización. 50 18
10 de divulgación de vulnerabilidades de China para la
Esto hace que sea esencial que las organizaciones parcheen 11 parches.
0
comunidad de seguridad china y un paso importante en el uso
los exploits de inmediato. De manera similar, es
de exploits de día cero como prioridad estatal. Las
fundamental que las organizaciones o individuos que Si bien observamos que muchos actores de estados vulnerabilidades que se describen a continuación fueron
descubran nuevas vulnerabilidades las revelen o informen nacionales desarrollan exploits a partir de vulnerabilidades desarrolladas e implementadas por primera vez por
ui2
dJ
eui2
dJ
ui2
dJ
ui2
dJ
eui2
d
J
oiluj
eui2
dJ
ui2
d
J
o1icl0
e
o1icl0
o1icl0
e
o1ilc0
e
o1icl0
o2icl0
o2icl0
e
reinnuEj
reinnuEj
reinnuEj
reinnuEj
reinnuEj
reinnuEj
reinnuEj
reinnuEj
erbm4e
erbm5e
erbm6e
erbm7e
erbm8e
erbm0e
erbm1e
oo
oo
oo
oo
oo
oo
oo
oo
de manera responsable a los proveedores afectados lo desconocidas, los actores de amenazas de estados actores estatalesnación con sede en China en ataques, antes
antes posible, de acuerdo con los procedimientos coordinados nacionales con sede en China son particularmente de ser descubiertas y difundidas entre otros actores en el
de divulgación de vulnerabilidades. Números de exploits de día cero divulgados públicamente de hábiles en descubrir y desarrollar exploits de día cero. La ecosistema de amenazas más amplio.
la Lista de vulnerabilidades y divulgaciones comunes (CVE). regulación de informes de vulnerabilidad de China entró en vigor en septiembre
Estos ejemplos de vulnerabilidades recientemente identificadas más adelante en septiembre, utilizándolo como vector inicial 61,559 instancias de estos sistemas activas y en Internet,
Explotación rápida de demuestran que las organizaciones tienen un promedio de 60 días para afianzarse en las redes y realizando acciones adicionales en el momento de la divulgación.
desde el momento en que se parchea una vulnerabilidad y se que incluyen volcado de credenciales, instalación de archivos Continuamos observando actividad de explotación hasta
la vulnerabilidad pone a disposición en línea un código de prueba de binarios personalizados y eliminación de malware para mantener la noviembre de 2021.
Continuado concepto (POC), que a menudo es recogido por otros actores persistencia. En el momento de la divulgación, RiskIQ observó
CVE202226134 Confluencia
para su reutilización. De manera similar, las organizaciones 4.011 instancias de estos sistemas activos y en Internet.
tienen un promedio de 120 días antes de que una Un actor afiliado a China probablemente tenía el código de
vulnerabilidad esté disponible en herramientas automatizadas explotación de día cero para la vulnerabilidad Confluence
CVE202144077 Zoho ManageEngine
de exploración y explotación de vulnerabilidades como Metasploit. (CVE202226134) cuatro días antes de que la
Servicio de escritorio Plus
lo que a menudo resulta en que el exploit se utilice a escala vulnerabilidad se revelara públicamente el 2 de junio, y
Incluso las organizaciones que masiva. Esto destaca que incluso las organizaciones que A finales de octubre de 2021, observamos que DEV0322 probablemente lo aprovechó contra una entidad con sede en EE. UU.
no son objetivo de ataques de no son el objetivo de los actores de amenazas de los estados aprovechaba una vulnerabilidad (CVE202144077) en un En el momento de la divulgación, RiskIQ observó 53.621 casos de
estados nacionales tienen un nacionales tienen un período limitado para parchear las segundo producto de Zoho ManageEngine, ServiceDesk sistemas Confluence vulnerables en Internet.
vulnerabilidades de día cero en los sistemas afectados antes Plus, un software de asistencia técnica de TI con gestión de
período limitado para parchear de que las vulnerabilidades sean explotadas por el ecosistema activos. DEV0322 utilizó esta vulnerabilidad para
las vulnerabilidades de día cero de actores más amplio. atacar y comprometer entidades en los sectores de atención
Las vulnerabilidades se están
médica, tecnología de la información, educación superior y
en los sistemas afectados antes CVE202135211 ServU de SolarWinds
manufactura crítica. El 2 de diciembre, la Oficina Federal de detectando y explotando a gran
de que sean explotadas por el En julio de 2021, SolarWinds publicó un aviso de seguridad Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura escala y en plazos cada vez más cortos.
para CVE202135211, acreditando a Microsoft la notificación.8 En y Ciberseguridad (CISA) emitieron una advertencia conjunta
ecosistema de actores más amplio. ese momento, descubrimos que el actor de amenazas alineado al público sobre los actores de amenazas de los estados
con el estado nacional DEV0322 explotaba activamente nacionales que aprovechan la vulnerabilidad.
la vulnerabilidad de SolarWinds ServU. Nuestro equipo Información procesable
de RiskIQ observó 12,646 direcciones IP que albergaban versiones En el momento de la divulgación, RiskIQ observó 7.956 1 Priorizar la aplicación de parches de día cero
conectadas a Internet de los dispositivos afectados entre el 15 de instancias de estos sistemas activos y en Internet. vulnerabilidades tan pronto como se publiquen;
junio y el 9 de julio. no espere a que se implemente el ciclo de
administración de parches.
CVE202140539 Zoho ManageEngine CVE202142321 Microsoft Exchange
ADSelfService Plus 2 Documentar e inventariar todo
Un exploit de día cero para una vulnerabilidad de Exchange
En septiembre de 2021, nuestros investigadores observaron CVE202142321 se reveló durante la Copa Tianfu, una cumbre activos de hardware y software empresarial
actores afiliados a China que explotaban Zoho internacional de ciberseguridad y competencia de piratería para determinar el riesgo y determinar rápidamente
ManageEngine en varias entidades con sede en EE. UU. celebrada los días 16 y 17 de octubre de 2021 en Chengdu, cuándo actuar sobre los parches.
La vulnerabilidad se informó públicamente el 6 de China. Los investigadores de seguridad de Microsoft observaron

septiembre como CVE202140539 Zoho ManageEngine el exploit para la vulnerabilidad de Exchange utilizado en estado
ADSelfService Plus, que las organizaciones suelen salvaje el 21 de octubre, sólo tres días después de que se revelara
utilizar para gestionar el restablecimiento de contraseñas.9 la vulnerabilidad.
DEV0322 aprovechó la vulnerabilidad En el momento de la divulgación, RiskIQ observó
Las cibertácticas de los En cada operación, los actores de amenazas

Los sectores industriales más atacados en Ucrania desde la invasión
rusos emplearon muchas de las tácticas, técnicas y
procedimientos (TTP) que observamos que se utilizaban Tecnologías de la información
actores estatales rusos en
Comercio minorista de consumo
antes de la invasión contra objetivos tanto dentro como

tiempos de guerra fuera de Ucrania. Estos actores pretendían destruir 10% 3%
datos y desequilibrar a las agencias gubernamentales
Energía
ucranianas en el período inicial del conflicto. Desde
amenazan a Ucrania y más allá
entonces, han tratado de descarrilar el transporte de 8% Otro
asistencia militar y humanitaria a Ucrania, perturbar el acceso
Este año, los actores estatales rusos lanzaron operaciones
cibernéticas para complementar la acción militar
público a servicios y medios de comunicación y robar
21%
información de inteligencia a largo plazo o de valor
durante la invasión rusa de Ucrania, utilizando a
económico para Rusia.
menudo las mismas tácticas y técnicas desplegadas Medios de comunicación
contra objetivos fuera de Ucrania. Atacar el transporte amenaza un área de importancia
Es fundamental que las organizaciones de todo el

crítica para los ciudadanos ucranianos que intentan 9%
sobrevivir al conflicto. Según una encuesta patrocinada
mundo tomen medidas para reforzar la
por UNICEF en mayo, los encuestados en áreas
ciberseguridad contra las amenazas digitales urbanas afectadas por conflictos estaban más preocupados
derivadas de actores de amenazas alineados con Rusia.
por el transporte y el combustible, las interrupciones
en el suministro, la seguridad y el acceso limitado a
Nuclear
La situación sobre el terreno continúa fluctuando alimentos, servicios médicos y financieros.10 En junio, Transporte
la crisis de las Naciones Unidas El Coordinador para
a medida que persiste el conflicto militar, y Ucrania y 3%
sus aliados deben estar preparados para defenderse si Ucrania dijo que al menos 15,7 millones de personas 7%
los ciberoperadores estatales rusos aumentan la en Ucrania necesitaban urgentemente asistencia
frecuencia o intensidad de las intrusiones en consonancia humanitaria y que el número crecería a medida que continuara la guerra.11
con los objetivos militares. Fuera de Ucrania, Microsoft detectó esfuerzos
Comunicaciones
Durante los primeros cuatro meses de la guerra, de intrusión en la red rusa contra 128 organizaciones
Microsoft observó que actores de amenazas asociados
en 42 países entre finales de febrero y junio. Estados 7%
con el ejército ruso lanzaban múltiples oleadas de Unidos era el objetivo número uno de Rusia. Polonia, por
ciberataques destructivos contra casi 50 agencias y donde transita gran parte de la asistencia militar y
empresas ucranianas distintas e intrusiones centradas humanitaria internacional a Ucrania, también fue un
Financiero Gobierno
en el espionaje contra muchas otras. Excluyendo las objetivo importante durante este período.
operaciones contra clientes de servicios en línea, el
5% 27%
64 por ciento de la actividad de amenazas rusas Los actores de amenazas afiliados al Estado ruso
contra objetivos conocidos estuvo dirigida a persiguieron organizaciones en los países bálticos y
organizaciones con sede en Ucrania entre finales de Las organizaciones gubernamentales federales, estatales y locales de Ucrania han seguido siendo objetivos prioritarios para los grupos amenazantes
redes informáticas en Dinamarca, Noruega, Finlandia y Suecia
estatales rusos y afiliados al estado durante todo el conflicto. El enfoque en las organizaciones de los sectores de transporte, energía, finanzas y
febrero y junio. también en abril y mayo. medios de comunicación resalta el riesgo que estas operaciones cibernéticas representan para los servicios de los que dependen los ciudadanos ucranianos.
Informe El estado de Estado nacional Dispositivos y Influencia cibernética cibernético
cibernético Contribuyendo
42 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia
Resiliencia equipos
utilizó cuentas comprometidas o falsificadas en

Las cibertácticas de los Rusia: principales países y sectores industriales objetivo
organizaciones específicas o dentro de la misma industria
y temas atractivos para atraer a las víctimas.
actores estatales rusos en NOBELIUM utilizó cuentas diplomáticas comprometidas
tiempos de guerra para enviar correo de phishing disfrazado de comunicaciones

Tecnología de
diplomáticas a empleados del Ministerio de Relaciones
la información 29%
Exteriores de todo el mundo. STRONTIUM creó cuentas falsas
amenazan a Ucrania y más allá basadas en nombres disponibles públicamente de
titulares de cuentas en centros de estudios de Estados Unidos
Continuado
y envió mensajes de phishing para obtener acceso a las
Estados Unidos 55%
Hemos visto un aumento de actividades cuentas de esos centros de estudios.
similares dirigidas a los ministerios de Asuntos Exteriores SEABORGIUM utilizó señuelos relacionados con la
de los países de la OTAN. información sobre el conflicto de Ucrania para obtener acceso Organizaciones no
inicial a cuentas en centros de estudios sobre asuntos gubernamentales 18%
Los grupos de amenaza estatales rusos siguieron interesados
internacionales en los países nórdicos.
en comprometer infraestructura crítica tanto dentro como
fuera de Ucrania el año pasado.
IRIDIUM implementó el malware Industroyer2 en un intento fallido Explotación de la cadena de suministro de servicios de Rusia
Agencias y servicios
de dejar sin electricidad a millones de personas en Ucrania. Fuera TI para impactar a los clientes intermedios gubernamentales 12%
de Ucrania, BROMINE llevó a cabo intrusiones contra Reino Unido 8%
organizaciones involucradas en la fabricación y los A finales de 2021, actores estatales rusos comprometieron a
sistemas de control industrial a principios de 2022. proveedores de servicios de TI y utilizaron el acceso Canadá 3%
para facilitar la desfiguración de sitios web y la Educación 12%
implementación del malware destructivo Whispergate por parte Alemania 3%

El estado ruso y actores afiliados al estado dirigieron operaciones
de DEV0586 en enero.12 DEV0586 también
cibernéticas contra Ucrania, sus aliados y otros objetivos de Suiza 2%
comprometió la red de una empresa de TI que construyó sistemas Servicios financieros 5%
valor de inteligencia este año utilizando muchos de los siguientes
de gestión de recursos para el Ministerio de Defensa de Ucrania 2%
TTP:
Ucrania y otras organizaciones en los sectores de
comunicaciones y transporte, lo que indica que el grupo estaba
Spear phishing con archivos adjuntos o enlaces maliciosos explorando opciones de ataque de terceros en esos sectores
también. Otro 24%
Otro 27%
En todo el mundo, pero especialmente en Estados Unidos y
El estado ruso y los grupos afiliados a Rusia como ACTINIUM,
Europa occidental, NOBELIUM apuntó a proveedores de
NOBELIUM, STRONTIUM, DEV0257, SEABORGIUM e
servicios de TI para obtener acceso al gobierno y otras redes
IRIDIUM utilizaron campañas de phishing para obtener
sensibles durante 20212022 (consulte la discusión
acceso inicial a cuentas y redes deseadas en
sobre las vulnerabilidades de la cadena de suministro A pesar de un mayor enfoque en las organizaciones con sede en Ucrania desde principios de 2022, las empresas con sede en América del
organizaciones dentro y fuera de Ucrania. Muchas campañas
anteriormente en este capítulo). Norte y Europa Occidental seguían siendo los clientes de servicios en línea a los que más se dirigían los actores rusos. La campaña de
NOBELIUM contra el sector de TI lo convirtió en el sector más atacado el año pasado.
Las cibertácticas de los Uso de cuentas y protocolos administrativos y utilidades Información procesable Enlaces a más información
nativas para el descubrimiento de redes y el movimiento 1 Minimice el robo de credenciales y el abuso de Defender Ucrania: primeras lecciones de la guerra
actores estatales rusos en lateral.
cuentas protegiendo las identidades de sus cibernética | Microsoft sobre los problemas
tiempos de guerra Después de obtener acceso inicial a una red,
usuarios implementando herramientas de
protección de identidad MFA y aplicando el acceso La guerra híbrida en Ucrania | Microsoft sobre los
Microsoft observó que los actores estatales rusos problemas
con privilegios mínimos para proteger las
amenazan a Ucrania y más allá aprovechaban cuentas legítimas y utilidades de software
cuentas y los sistemas más confidenciales y
utilizadas para realizar tareas básicas de mantenimiento Actividad de ciberamenazas en Ucrania: análisis y
Continuado privilegiados.
para evadir la detección durante el mayor tiempo recursos | Seguridad de Microsoft
2 Aplique actualizaciones para garantizar que todos sus Centro de respuesta (MSRC)
posible. Se basaron en identidades comprometidas
sistemas obtengan el nivel más alto de protección lo
Explotación de aplicaciones públicas para obtener con capacidades administrativas y protocolos, herramientas
antes posible y se mantengan actualizados. Ciberataques disruptivos dirigidos
acceso inicial a las redes. y métodos de administración válidos para moverse
Ucrania | Microsoft sobre los problemas
lateralmente dentro de las redes sin atraer 3 Implemente soluciones antimalware, detección de
Al menos desde finales de 2021, STRONTIUM trabajó inmediatamente la atención de monitores automatizados y terminales y protección de identidad en toda su Ataques de malware dirigidos al gobierno de
para desarrollar y perfeccionar sus capacidades para explotar defensores de la red. organización. Una combinación de soluciones Ucrania | Microsoft sobre los problemas
servicios públicos, como los servidores Microsoft de seguridad de defensa profunda, junto con personal MagicWeb: el truco postcompromiso de NOBELIUM
La higiene cibernética básica y el empleo de herramientas de
Exchange, para robar información. capacitado y capacitado, puede permitir a su para autenticarse como cualquier persona | microsoft
respuesta y detección de terminales pueden ayudar a mitigar
STRONTIUM aprovechó servidores Exchange sin parches organización identificar, detectar y prevenir Centro de Inteligencia de Amenazas (MSTIC),
el impacto negativo de este tipo de operaciones tanto en tiempos
para acceder a cuentas del gobierno ucraniano, así como a intrusiones que afecten su negocio. Equipo de Detección y Respuesta (DART),
de paz como en tiempos de guerra.
organizaciones militares y relacionadas con la industria de Equipo de investigación de Microsoft 365 Defender
defensa en los Estados Unidos, Líbano, Perú y Rumania, y otras 4 Habilite las investigaciones y la recuperación en caso de
agencias gubernamentales con sede en Armenia, Bosnia, que detecte o reciba una notificación de una amenaza
La imprevisibilidad del conflicto en curso
Kosovo y Malasia. a su entorno haciendo copias de seguridad de los
DEV0586, también afiliado al ejército ruso, aprovechó las
exige que las organizaciones de todo el
sistemas críticos y habilitando el registro.
vulnerabilidades del servidor Confluence para obtener
mundo tomen medidas para reforzar la
Se recomienda encarecidamente establecer un plan
acceso inicial a organizaciones gubernamentales y del sector ciberseguridad contra las amenazas de respuesta a incidentes.
de TI en Ucrania y otros países de Europa del Este.
digitales provenientes del Estado ruso
y de los actores de amenazas afiliados a Rusia.
El estado ruso y los actores de

amenazas afiliados utilizan muchos de los
mismos TTP para comprometer
organizaciones de interés en tiempos de guerra y paz.
China amplía Países atacados por el Estado chino y China: principales países y sectores industriales objetivo
grupos afiliados al Estado

su objetivo global
Organizaciones no
de ventaja competitiva gubernamentales 28%
En el complejo clima geopolítico actual, los Estados Unidos 54%

actores de amenazas estatales chinos y afiliados
a ellos que llevan a cabo operaciones cibernéticas Medios impresos y
de radiodifusión digitales 17%
a menudo tienen como objetivo promover los objetivos
estratégicos militares, económicos y de relaciones
exteriores del país como parte del objetivo de Porcelana
Tecnología de
la información 10%
China de lograr una ventaja competitiva. En
China también continuó expandiendo su influencia Reino Unido 7%
el último año, Microsoft ha observado una actividad Educación 9%
económica a nivel mundial a través de las Iniciativas de la Canadá 5%
de amenazas china generalizada dirigida a países de todo el mundo.
Franja y la Ruta (BRI) previamente establecidas,
intentando reactivar un marco de inversión integral con la Taiwán 5% Agencias y servicios
Desde mediados de 2021, China ha estado gubernamentales 9%
UE18 y negociando un nuevo acuerdo comercial regional Italia 3%
maniobrando para garantizar la estabilidad económica con 15 países de Asia Pacífico conocido como el
y financiera en medio del peor aumento de COVID19 Acuerdo Económico Integral Regional. Asociación.19
en dos años.13 China continuó haciendo malabarismos Microsoft evalúa que China continuará utilizando la recopilación Otro 27%
con su posición ante acontecimientos geopolíticos, Otro 26%
cibernética como herramienta para ayudar a avanzar en sus
como la lucha por equilibrar su asociación “ilimitada” con objetivos políticos, militares y económicos estratégicos
Rusia. ,14 y mantener su posición en el escenario debido a las operaciones cibernéticas observadas y la
mundial.15 Además, la postura de China contra amplitud de las entidades objetivo. Los sectores de think tanks/ONG, medios de comunicación, TI, gobierno y educación se encontraban entre los sectores más atacados por
Estados Unidos y sus aliados en Taiwán16 y el
los grupos de amenazas con sede en China, probablemente para la recopilación y el reconocimiento persistentes de inteligencia.
mar de China Meridional siguió tensando las
Los ataques cibernéticos probablemente promuevan
relaciones exteriores con muchos países.17
intereses económicos y militares. La gama de objetivos incluía, entre otros, Tobago.20 Por ejemplo, Trinidad y Tobago fue el
países de África, el Caribe, Oriente Medio, primer país caribeño en respaldar la estrategia BRI
Los grupos de amenaza estatales chinos y afiliados Microsoft observó ataques generalizados contra naciones Oceanía y el sur de Asia, con especial atención a los de China en 2018, y China lo considera un socio
más pequeñas de todo el mundo por parte del Estado países del sudeste asiático y las islas del Pacífico. importante en la región. NICKEL ha realizado
a ellos aumentaron sus ataques contra naciones
chino y de grupos de amenazas afiliados al operaciones de red persistentes dirigidas a
más pequeñas de todo el mundo, centrándose Estado, lo que sugiere que China probablemente esté Trinidad y Tobago desde 2021. Por ejemplo, en
en el Sudeste Asiático para obtener ventajas De acuerdo con la estrategia BRI de China, grupos de
utilizando el ciberespionaje como un componente de marzo de 2022, NICKEL llevó a cabo actividades de
amenazas con sede en China atacaron entidades en Afganistán,
competitivas en todos los frentes. su influencia económica y militar global. reconocimiento dirigidas a una agencia
Kazajstán, Mauricio, Namibia y Trinidad y
gubernamental, probablemente con fines de recopilación de inte
y militares a las Islas Salomón.22 En mayo, China fue sectores gubernamental, diplomático y de ONG para obtener
China amplía anfitriona de la segunda Reunión de Ministros de Relaciones nuevos conocimientos, probablemente en pos de espionaje Información procesable
su objetivo global
Exteriores ChinaPaíses Insulares del Pacífico (PIC) en Fiji y económico o objetivos tradicionales de recopilación de 1 Impulsar la ciberdefensa para mitigar las ciberamenazas
propuso avanzar en una “asociación estratégica integral” para inteligencia. Desde la interrupción de Microsoft, NICKEL se ha de forma proactiva. La persistencia de los
de ventaja competitiva promover avances políticos, culturales, sociales, de seguridad y

intereses del cambio climático y también para luchar contra la
dirigido a varias agencias gubernamentales, probablemente
intentando recuperar el acceso perdido. Entre finales de marzo
actores de amenazas chinos requiere que
las organizaciones identifiquen, protejan, detecten y
pandemia.23 Casi al mismo tiempo, en mayo, Microsoft y mayo de 2022, NICKEL volvió a comprometer al menos respondan a posibles intrusiones de manera
Continuado
identificó el malware de GADOLINIUM en los sistemas cinco agencias gubernamentales en todo el mundo. Esto oportuna.
Mientras tanto, Microsoft observó que los grupos de gubernamentales de las Islas Salomón. RADIUM sugiere que el grupo tenía puntos de entrada adicionales a
amenazas estatales chinos y afiliados a ellos centraban sus 2 Los actores de amenazas abusan de las tareas
también ejecutó código malicioso en los sistemas de una esas entidades o recuperó el acceso a través de nuevos
operaciones de red contra entidades en el sudeste asiático y se empresa de telecomunicaciones en Papúa Nueva Guinea. dominios C2. La persistencia de NICKEL en comprometer programadas25 como un método común de
expandían a los países insulares del Pacífico a medida que Evaluamos que estas actividades probablemente tenían fines repetidamente a las mismas agencias gubernamentales a nivel persistencia y evasión de defensa, asegúrese de que su
China cambiaba sus prioridades militares y económicas para de recopilación de inteligencia para apoyar la estrategia mundial indica la importancia de la tarea a alto nivel. entorno emplee pautas de seguridad adicionales
hacer frente a los desafíos del renovado interés de Estados regional general de China. para protegerse contra esta técnica comúnmente
Unidos en la región. . En enero de 2022, Microsoft observó que utilizada.26
RADIUM apuntaba a una empresa de energía y a una agencia 3 Seguimos observando el uso de web shells como vector
Microsoft interrumpe las operaciones de NICKEL, pero el grupo China está siendo más asertiva con
gubernamental asociada a la energía en Vietnam, y a una
de amenazas muestra su persistencia. inicial en las redes objetivo.27 Las organizaciones
agencia gubernamental de Indonesia. Las su postura en política exterior.
deben reforzar sus sistemas contra ataques de web
actividades de RADIUM probablemente se alinearon con los Evaluamos que el espionaje económico
En diciembre de 2021, la Unidad de Delitos Digitales (DCU) de shells que pueden proporcionar a los atacantes
objetivos estratégicos de China en el Mar de China Meridional.21
Microsoft presentó alegatos ante el Tribunal de Distrito de cibernético y la recopilación de inteligencia acceso para ejecutar comandos remotos.28
A finales de febrero y principios de marzo, GALLIUM
EE. UU. para el Distrito Este de Virginia solicitando autoridad
comprometió más de 100 cuentas afiliadas a una destacada probablemente continuarán.
para confiscar 42 dominios de comando y control (C2)
organización intergubernamental (OIG) en la región del Enlaces a más información
controlados por NICKEL. Estos dominios C2 se utilizaron en
Sudeste Asiático.
operaciones contra gobiernos, entidades diplomáticas y ONG NICKEL dirigido a organizaciones
El momento en que GALLIUM atacó a la OIG en la región
en América Central, del Sur, el Caribe, Europa y América del gubernamentales en América Latina y
coincidió con el anuncio de una reunión programada entre
Norte desde septiembre de 2019.24 A través de estas operaciones, Europa | Inteligencia de amenazas de Microsoft
Estados Unidos y los líderes regionales. Es probable que a los
NICKEL logró acceso a largo plazo a varias entidades y exfiltró Centro (MSTIC), Seguridad Digital de Microsoft
actores de GALLIUM se les haya asignado la tarea de monitorear Unidad (ESD)
consistentemente datos de algunas víctimas desde finales de
las comunicaciones y recopilar información de inteligencia
2019.
antes del evento. Proteger a las personas de los recientes
ciberataques | Microsoft sobre los problemas
A medida que China expandió su influencia en los países A medida que China continúa estableciendo
insulares del Pacífico, siguieron las actividades de los relaciones económicas bilaterales con más países—
grupos amenazantes chinos. En abril, China y las Islas
a menudo en acuerdos asociados con BRI—
Salomón firmaron un acuerdo de seguridad destinado a
La influencia global de China seguirá creciendo.
“promover la paz y la seguridad”. El acuerdo permite Evaluamos que los actores de amenazas estatales chinos
potencialmente a China desplegar policía armada
y afiliados al estado perseguirán objetivos en su
Al mismo tiempo, PHOSPHORUS pasó a atacar

Irán se vuelve Mayor ritmo y alcance de los ciberataques iraníes La amenaza iraní a la infraestructura crítica de
directamente, a menudo a través de phishing, a empresas
contra Israel Estados Unidos e Israel aumentó a lo largo del año. estadounidenses de infraestructura crítica de alto perfil,
cada vez Los actores estatales iraníes que Microsoft evalúa están
incluidos los principales puertos marítimos y aeropuertos de
A las pocas semanas de que Raisi completara la formación de
más agresivo tras la
entrada, sistemas de tránsito, empresas de servicios
su equipo de política exterior,30 actores estatales iraníes afiliados al IRGC (PHOSPHORUS y DEV0198) que
públicos y compañías de petróleo y gas. Esta orientación, a
reanudaron los ciberataques destructivos contra Israel atacaron infraestructuras críticas de alto perfil de Estados
transición de poder a un ritmo más rápido que el año anterior. Unidos e Israel desde finales de 2021 hasta mediados de 2022.
menudo realizada mediante phishing, duró hasta mediados de 2022.
Los objetivos se alinean directamente con los sectores a los que
Estos ataques de ransomware y piratería y filtración se El objetivo probable era proporcionar a Teherán opciones para Teherán ha culpado a Estados Unidos e Israel por atacar
Microsoft ha observado que los grupos estatales llevaron a cabo cada pocas semanas a partir de septiembre tomar represalias contra los mismos sectores que altos
a Irán, y probablemente le brindaron a Irán opciones de
iraníes y los actores afiliados aumentan el ritmo y el e involucraron al menos a tres actores afiliados a Irán, lo funcionarios del IRGC culparon a Estados Unidos e Israel de
represalia. El compromiso de objetivos casi idénticos brindaría
alcance de los ciberataques contra Israel, expanden que sugiere que los ataques podrían haber sido parte de perturbar en Irán.31 Evaluamos que esta actividad está
una oportunidad para disuadir tales ataques futuros, al mismo
los ataques de ransomware más allá de los una campaña nacional de represalia contra Israel. En al vinculada a declaraciones de finales de octubre de 2021 del
tiempo que se trataría de evitar una escalada señalando la
menos un caso, Microsoft evaluó que un ataque de general del IRGC Gholamreza Jalali, jefe de la Organización de
adversarios regionales hacia las víctimas de EE. UU. y causa de los ataques sin admitir culpabilidad.
ransomware contra una organización israelí a finales Defensa Pasiva de Irán, quien se hizo eco de las acusaciones
la UE, y apuntan a infraestructuras críticas
de 2021 tenía como objetivo ocultar un ataque de eliminación de otras figuras influyentes dentro del régimen de que Estados
estadounidenses de alto perfil para al menos
de datos subyacente. El análisis de malware de Microsoft Unidos e Israel llevaron a cabo ataques cibernéticos
posicionarse previamente para posibles ataques cibernéticos destructivos. Resurgimiento de los ataques contra la infraestructura iraní
determinó que el ransomware entregado a la víctima estaba contra los puertos, ferrocarriles y estaciones de servicio de
programado para ejecutar malware de limpieza después Irán.32 Jalali pronunció esta acusación por segunda 24%
56% 19% 39%
La creciente ciberagresión de los actores estatales iraníes ha del cifrado. vez en comentarios preparados durante una oración del viernes
250 100
seguido a una transición de su poder presidencial. En organizada discurso en un podio con la imagen de un misil
el verano de 2021, el presidente de línea dura Ibrahim Raisi golpeando las palabras “EE.UU.”, sugiriendo que sus superiores 200 80
Para 2022, los ciberataques iraníes aumentaron en cuanto a la
reemplazó al presidente moderado Hassan Rouhani. En tenían la misma opinión.33
selección de objetivos y la forma de los ataques. En 150 60
marcado contraste con Raisi, quien es un protegido del Líder
febrero, DEV0198 intentó llevar a cabo un ataque destructivo PHOSPHORUS comenzó un escaneo generalizado de %
Supremo y un aliado cercano del Cuerpo de la Guardia 100 40
contra infraestructura crítica israelí. organizaciones estadounidenses en octubre de 2021
Revolucionaria Islámica (CGRI), la inclinación del ex
Microsoft también evalúa que un actor afiliado a Irán fue muy en busca de vulnerabilidades sin parches de Fortinet y ProxyShell. 50 20
Presidente Rouhani por la diplomacia a menudo lo llevó a
probablemente responsable de un sofisticado ciberataque Una vez comprometidos, estos sistemas sin parches se
enfrentarse con el Líder Supremo y los altos líderes del 0 0
que activó sirenas de cohetes de emergencia en Israel en junio, utilizaron para ejecutar ataques de ransomware, en varios 18 de julio – 19 de junio 19 de julio – 20 de junio 20 de julio – 21 de junio 21 de julio – 22 de junio
CGRI.29
Las opiniones duras de la administración Raisi parecen probablemente mediante el uso de software que ajusta el audio casos contra infraestructura crítica en los Estados Unidos Infraestructura Porcentaje de
a través de redes IP. y otras naciones occidentales. Infraestructura crítica no crítica infraestructura
haber aumentado la voluntad de los actores iraníes de tomar
Estos marcaron los primeros casos confirmados de ataques de crítica del total de NSN
medidas más audaces contra Israel y Occidente, particularmente
ransomware afiliados al estado iraní fuera de Medio Oriente.
Estados Unidos, a pesar de la reanudación del compromiso Los ataques iraníes a infraestructuras críticas aumentaron a los
Tras el ciberataque contra las estaciones de servicio de Irán niveles más altos observados desde finales de 2018 hasta principios
diplomático para reactivar el acuerdo nuclear con Irán.
a finales de octubre, Microsoft observó un aumento en los de 2019. Utilizamos la Directiva de Política Presidencial de EE.
ataques de ransomware iraníes contra empresas UU. 21 (PPD21) para determinar si una empresa cumplía con
estadounidenses, lo que sugiere una posible correlación. los criterios de infraestructura crítica. (julio de 2021 a junio de 2022).
Irán se vuelve Infraestructura crítica iraní atacada por país Información procesable
cada vez 1 Mejore el desempeño general de su organización

higiene cibernética al habilitar soluciones sin contraseña
más agresivo tras la Estados Unidos 25% como MFA y hacer cumplir su uso para toda la
conectividad remota para mitigar cualquier credencial
transición de poder Infraestructura no crítica 61% potencialmente comprometida.
2 Evaluar la autenticidad de todos los entrantes

Continuado tráfico de correo electrónico para garantizar que la dirección del
En Israel, DEV0198 apuntó a ferrocarriles remitente sea legítima.

Israel 22%
israelíes, empresas de logística, proveedores
3 Parche temprano y con frecuencia.34
de software para empresas de logística y empresas
de combustible, centrándose en gasolineras. A Irán 4 Revise y audite cada una de sus relaciones de socios con
principios de 2022, el grupo llevó a cabo un ataque proveedores de servicios para minimizar cualquier
disruptivo a la red de una importante empresa permiso innecesario entre su organización y los
Arabes unidos
de logística israelí, que obligó a la empresa a apagar proveedores ascendentes. Microsoft recomienda eliminar
Emiratos 15%
sus computadoras y algunas de sus inmediatamente el acceso a cualquier relación
operaciones para contener el ataque. En otro caso, de socio que parezca desconocida o que aún no haya
observamos que el grupo intentó acceder a la red de sido auditada.35
Reino Unido 7%
un importante proveedor de transporte israelí
mediante credenciales robadas o reutilizadas. Infraestructura crítica 39% India 5% Enlaces a más información
Mientras tanto, otro actor iraní, DEV0343, cuyo objetivo
contra empresas de defensa, transporte marítimo e Arabia Saudita 4% Aumenta el ataque iraní al sector TI | Centro de
imágenes satelitales sugiere vínculos con el inteligencia de amenazas de Microsoft
IRGC, comprometió cuentas de entidades (MSTIC), Unidad de Seguridad Digital de Microsoft
israelíes relacionadas con el transporte y los puertos a principios de 2021. (ESD)
Otro 22%
Es probable que los grupos amenazantes iraníes sigan siendo DEV0343 vinculado a Irán apunta a la defensa,
una amenaza para las empresas de transporte y energía SIG y sectores marítimos | microsoft
estadounidenses e israelíes, particularmente a medida que Centro de Inteligencia de Amenazas (MSTIC),
los esfuerzos diplomáticos para reactivar el acuerdo Los ataques iraníes contra infraestructuras críticas se produjeron principalmente contra organizaciones israelíes, emiratíes y estadounidenses.
Unidad de seguridad digital de Microsoft (DSU)
nuclear iraní disminuyen y Washington, Tel Aviv y Teherán buscan
medios coercitivos alternativos para lograr concesiones.
Es probable que los actores iraníes sigan siendo una Los grupos iraníes han ampliado los ataques de ransomware
amenaza para las empresas de transporte y energía más allá de los adversarios regionales y están dirigidos a
estadounidenses e israelíes durante el próximo año. objetivos de infraestructura crítica de alto perfil de Estados
Unidos e Israel.
su actividad. Casi la mitad de las organizaciones israelíes formaban Microsoft

Grupo con base en el Líbano con vínculos parte de la industria de defensa de Israel o tenían vínculos con
con Irán y que apunta a Israel empresas de defensa israelíes, lo que indica que el grupo tiene detectó y 1 Actualice las herramientas antivirus40 y asegúrese de que la
un conjunto de intereses similar al de Irán en la recopilación de
inteligencia y/o contrarrestar directamente a Israel.37
deshabilitó con protección en la nube41 esté activada para detectar
Microsoft monitorea las actividades de amenazas los indicadores relacionados.
cibernéticas independientemente de la plataforma, la éxito el abuso de OneDrive 2 Para clientes con proveedor de servicios
víctima objetivo o la región geográfica. Mantenemos
visibilidad y búsqueda activa de amenazas en todo
Los vínculos evaluados de POLONIUM con los grupos MOIS
se basan en superposiciones de víctimas observadas y en
por parte de relaciones, garantice la revisión y auditoría de todas
las relaciones con los socios para minimizar los
el mundo para escribir mejores detecciones para nuestros clientes.
herramientas y técnicas comunes. POLONIUM como C2. permisos innecesarios entre su organización y los
• Superposición de víctimas: un grupo estatal iraní proveedores upstream. 2 Elimine inmediatamente el
Aunque las amenazas de Rusia, China, Irán y Corea del Norte vinculado al MOIS de Irán, que Microsoft rastrea como acceso a cualquier relación con los socios que parezca
representan la mayor parte de nuestra actividad observada MERCURIO, comprometió previamente a múltiples desconocida o que no haya sido auditada.
como actor estatal, también rastreamos y comunicamos sobre las víctimas de POLONIUM, lo que indica una convergencia de
amenazas de los países miembros de la OTAN y las naciones los requisitos de la misión o un posible "traspaso" de Enlaces a más información
democráticas. víctimas entre grupos.
El año pasado, presentamos la actividad de un actor con sede en Exponiendo la actividad y la infraestructura del
• Herramientas y técnicas comunes: similares a
Turquía (SILICON) y un actor con sede en Vietnam (BISMUTH). POLONIO dirigidas a organizaciones
POLONIUM, MSTIC observó que DEV0588 (también conocido
Este año, ampliaremos los detalles de un grupo con sede en israelíes | Amenaza de Microsoft
como CopyKittens) usa comúnmente AirVPN para operaciones y
el Líbano que ya divulgamos públicamente.36 Centro de Inteligencia (MSTIC), Microsoft
DEV0133 (también conocido como Lyceum38) usa OneDrive
Unidad de Seguridad Digital (DSU)
para C2 y exfiltración.
Microsoft descubrió un grupo previamente indocumentado con sede Al igual que los actores estatales iraníes, POLONIUM utilizó MERCURY aprovecha las vulnerabilidades
en el Líbano que evaluamos con confianza moderada un proveedor de servicios en la nube para comprometer una de Log4j 2 en sistemas sin parches para atacar a
operaba en coordinación con actores afiliados al empresa de aviación y un bufete de abogados israelíes.39 organizaciones israelíes | microsoft
Ministerio de Inteligencia y Seguridad de Irán (MOIS). Centro de Inteligencia de Amenazas (MSTIC),
POLONIUM implementó una serie de implantes
Equipo de investigación de Microsoft 365 Defender,
personalizados utilizando servicios en la nube para C2 y
Tal colaboración o dirección por parte de Teherán se alinearía Inteligencia de amenazas de Microsoft Defender
exfiltración de datos, en particular OneDrive y DropBox.
con las revelaciones desde finales de 2020 de que el Gobierno de
POLONIUM a menudo creaba aplicaciones OneDrive únicas
Irán está utilizando a terceros para llevar a cabo operaciones
para objetivos que probablemente evadieran la detección.
cibernéticas, lo que probablemente mejoraría la posible
negación de Irán. En junio de 2022, Microsoft suspendió más de 20 aplicaciones
OneDrive creadas por POLONIUM, notificó a las organizaciones
En la actividad observada, POLONIUM apuntó o comprometió a
afectadas e implementó una serie de actualizaciones de
dos docenas de organizaciones con sede en Israel y una
inteligencia de seguridad para poner en cuarentena las
OIG con operaciones en el Líbano entre febrero y mayo de
herramientas desarrolladas por POLONIUM.
2022, antes de que Microsoft interrumpiera y revelara
públicamente
Los grupos amenazantes estatales de Corea del Norte,

Capacidades cibernéticas principalmente CERIUM y ZINC, utilizaron una variedad de Ataques a empresas aeroespaciales y de defensa Apuntar a las criptomonedas para equilibrar las pérdidas
tácticas para intentar penetrar redes de empresas

de Corea del Norte empleadas aeroespaciales y de defensa en todo el mundo. Cuando Corea
Los actores estatales norcoreanos liderados por CERIUM Desde que se impusieron las sanciones de la ONU en 2016,
y ZINC pusieron un esfuerzo significativo en desarrollar tácticas la economía de Corea del Norte ha seguido contrayéndose,
del Norte se embarcó en el período de pruebas de misiles más
para lograr los tres objetivos agresivo de su historia en la primera mitad de 2022, utilizó el
destinadas a penetrar en las empresas aeroespaciales y agravada por desastres naturales como inundaciones44
de defensa. CERIUM investigó repetidamente las redes y la sequía45 , así como un cierre casi total de las fronteras
ciberespionaje para ayudar a los investigadores norcoreanos a
principales del régimen obtener una ventaja en el desarrollo de sistemas de defensa
privadas virtuales (VPN) de Corea del Sur descargando a las importaciones desde el inicio de la pandemia de
clientes y buscando debilidades. COVID19 a principios de 2020.46 Aunque Corea del Norte
locales y contramedidas para los avances de sus adversarios.
Las prioridades cibernéticas de Corea del Norte También descargó aplicaciones comunes utilizadas por abrió brevemente sus fronteras para el comercio con China
durante el año pasado reflejaron las prioridades clientes militares y gubernamentales de Corea del Sur, a principios de 2022, pronto se cerraron nuevamente.47 A
globales declaradas por el gobierno. Kim Jong Un Observamos que COPERNICUM se dirigió a una variedad de probablemente en busca de vulnerabilidades. El grupo mediados Mayo, Corea del Norte informó su primer caso
empresas relacionadas con criptomonedas en todo el mundo, a siguió de cerca los acontecimientos actuales y escribió interno de COVID19.48 Desde entonces ha aplicado una
enfatizó las tres prioridades de desarrollar
menudo con éxito, para ayudar a respaldar la economía en nuevos documentos señuelo que utilizaban temas de alto estrategia de “COVID cero” al estilo de China de bloqueos
capacidad de defensa, reforzar la economía en
dificultades de Corea del Norte. Si bien no podemos perfil como cebo para alentar a los objetivos a hacer clic masivos para combatir el virus que ha impactado
dificultades del país y garantizar la estabilidad
confirmar si el grupo pudo exfiltrar dinero después de un en sus ejecutables y enlaces de malware. negativamente la ya frágil economía de Corea del Norte.
interna en varios aspectos clave.43 Las acciones
compromiso, observamos que COPERNICUM infectó
Tanto ZINC como CERIUM utilizaron las redes sociales y la
tomadas por los actores estatales norcoreanos docenas de máquinas enviando documentos maliciosos
muestran claramente que se está utilizando lo ingeniería social en sus campañas. ZINC era El grupo estatal norcoreano COPERNICIUM intentó
disfrazados de propuestas de otras empresas de criptomonedas.
cibernético para lograr estos tres objetivos. particularmente hábil en la creación de perfiles falsos en compensar parte de la pérdida de ingresos robando
LinkedIn y otros sitios de redes sociales profesionales, dinero (normalmente en forma de criptomonedas) de
Finalmente, un grupo al que Microsoft rastrea como donde sus operadores se hacían pasar por reclutadores cualquier empresa en cuyas redes pudiera penetrar.
DEV0215 trabajó para mantener la estabilidad y la lealtad para las principales empresas aeroespaciales y de defensa. Vimos decenas de máquinas comprometidas
en Corea del Norte apuntando a organizaciones de Utilizando estos perfiles, enviaban enlaces o archivos adjuntos pertenecientes a empresas relacionadas con
noticias que informan sobre temas de Corea del Norte. maliciosos a víctimas potenciales mediante mensajes directos criptomonedas en Estados Unidos, Canadá, Europa y toda
Estos medios tienen fuentes tanto en Corea del Norte
en las redes sociales o por correo electrónico. Asia.
como dentro de comunidades de desertores, que COPERNICUM incluso comprometió máquinas
Además de los empleados de las corporaciones,
Pyongyang considera una amenaza existencial. Además, pertenecientes a empresas relacionadas con criptomonedas
CERIUM también apuntó ampliamente a los miembros del
el grupo trabajó para obtener acceso a redes de grupos dentro del aliado más fuerte de Corea del Norte, China, tanto
ejército de Corea del Sur, mostrando especial interés tanto
cristianos de habla coreana, que tienden a ser francos en el continente como en Hong Kong. El grupo dependió en
Los actores contra Corea del Norte y trabajan activamente con los
en las academias militares de Corea del Sur como en los
gran medida de las redes sociales para su
militares que trabajan en el mundo académico.
estatales norcoreanos desertores norcoreanos. reconocimiento temprano y sus aproximaciones a los objetivos.
Los actores crearían perfiles que pretenderían ser
utilizaron una variedad desarrolladores o altos funcionarios en negocios
de tácticas para intentar relacionados con las criptomonedas. Luego establecerían

relaciones con aquellos en la industria, enviando enlaces o
penetrar en las empresas archivos maliciosos una vez que hubieran establecido una
aeroespaciales de todo el mundo. buena relación.
También es posible que los actores detrás de

Capacidades cibernéticas DEV0530 actuaran de forma independiente para ganar
Corea del Norte: principales países y sectores industriales objetivo
dinero. Si se tratara de piratas informáticos norcoreanos

de Corea del Norte empleadas que operaran de forma independiente, eso explicaría por qué
la actividad no fue generalizada en comparación con las
para lograr los tres objetivos operaciones de robo patrocinadas por el gobierno contra Organizaciones no
empresas de criptomonedas. gubernamentales 25%
principales del régimen Estados Unidos 38%
Continuado Apuntando a medios de comunicación, desertores,

grupos religiosos y organizaciones de
Un grupo relacionado con PLUTONIUM desarrolla e ayuda de Corea del Norte
implementa ransomware
El año pasado, el Líder Supremo Kim Jong Un se centró
Educación 23%
Un grupo de actores originarios de Corea del Norte públicamente más en la seguridad interna y la lealtad que
que Microsoft rastrea como DEV0530 comenzó a desarrollar en los misiles y las armas nucleares. Corea 8%
y utilizar ransomware en ataques en junio de 2021. Este Como reflejo de esta preocupación por las cuestiones
grupo, que se hacía llamar H0lyGh0st, utilizó una carga internas, al menos dos grupos estatales norcoreanos se
útil de ransomware con el mismo nombre para sus campañas centraron en aspectos que el régimen consideraría Corea del Norte Japón 7%
amenazas internas. Servicios financieros 11%
y comprometió con éxito a pequeñas empresas. en varios países
a partir de septiembre de 2021. El primero fue un grupo que Microsoft rastrea como
DEV0215, dirigido a organizaciones de medios que Reino Unido 7%
Agencias y Servicios
Microsoft evaluó que DEV0530 tenía conexiones siguen de cerca las noticias de Corea del Norte. Una
Gubernamentales 9%
con otro grupo con sede en Corea del Norte rastreado como razón probable para este ataque es que estos medios de Rusia 4%
comunicación obtienen sus noticias de desertores norcoreanos,
PLUTONIUM (también conocido como DarkSeoul o
Andariel). Si bien el uso del ransomware H0lyGh0st en ciudadanos chinos que trabajan en estrecha colaboración Medios impresos y
con Corea del Norte e incluso algunos ciudadanos de radiodifusión digitales 8%
campañas es exclusivo de DEV0530, MSTIC observó las
comunicaciones entre los dos grupos, así como DEV0530 norcoreanos radicados dentro del país, utilizando una
variedad de métodos para comunicarse con el mundo exterior.
utilizando herramientas creadas exclusivamente por
PLUTONIUM. El gobierno de Corea del Norte ve a estos grupos como Otro 36%
una amenaza existencial a su supervivencia,
Otro 24%
No es seguro que la actividad DEV0530 haya sido
particularmente a los ciudadanos dentro de Corea del
patrocinada por el gobierno. Aunque el gobierno podría
Norte que serían vistos como traidores y espías. DEV0215
haber ordenado ataques de ransomware por la
probablemente buscó identificar las fuentes de estos medios
misma razón por la que patrocina el robo a empresas de
para que pudieran neutralizar posibles fugas de información.
criptomonedas, es Corea del Norte considera a Estados Unidos, Corea del Sur y Japón como sus principales enemigos. Si bien Rusia es un aliado desde hace mucho
tiempo, los actores de amenazas norcoreanos atacan a los think tanks, académicos y funcionarios diplomáticos rusos para obtener inteligencia sobre las
opiniones rusas sobre los asuntos globales.
Finalmente, el grupo estatal OSMIUM mostró un interés

Capacidades cibernéticas constante en las organizaciones de ayuda internacional
durante todo el año, incluidas organizaciones que han
de Corea del Norte empleadas ayudado a Corea del Norte en el pasado.
Si bien Corea del Norte ha rechazado en general las ofertas de
para lograr los tres objetivos ayuda desde fuera del país, especialmente desde el brote de
COVID19,50 es posible que Corea del Norte esté
principales del régimen considerando aceptar ofertas de ayuda, pero desconfía de
Continuado las ramificaciones de seguridad que tendría permitir que

trabajadores de ayuda extranjeros Dentro del país.
Microsoft también vio evidencia de que
Corea del Norte puede estar penetrando las redes de
DEV0215 apuntaba a comunidades cristianas de habla organizaciones de ayuda en todo el mundo para determinar
coreana. Las iglesias cristianas evangélicas coreanas si permite que dicha ayuda ingrese a su propio país.
tienden a ser críticas tanto con los gobiernos de Corea del Norte
como con los de Corea del Sur que favorecen el
compromiso con Corea del Norte. Es probable que estas
iglesias realicen actividades de acercamiento a los desertores
y algunas participen en trabajos humanitarios con Corea del
Norte. Corea del Norte los ve como una amenaza
porque, si bien el flujo de desertores procedentes de Corea
del Norte casi se agotó durante la pandemia,49 estos grupos 1 Los actores estatales norcoreanos son hábiles,
cristianos a menudo desempeñan un papel fundamental a la implacables y creativos, pero las organizaciones pueden
hora de ayudar a los desertores a escapar. defenderse de ellos.
DEV0215 ha generado documentos falsos sobre conferencias
2 La mayoría de los ataques exitosos se pueden detener
cristianas para hablantes de coreano como señuelo para
con una higiene cibernética básica, como la
apuntar al grupo y descubrir quién está ayudando a organizar
las deserciones.
autenticación de dos factores o no abrir archivos Entre los expertos en Corea del Norte se ha
adjuntos de personas desconocidas en un entorno
debatido durante mucho tiempo si el
virtual.
gobierno de Corea del Norte habla en serio
con sus declaraciones públicas o si está
Actor de amenazas norcoreano apunta a pequeñas
fingiendo para causar efecto. La alineación
y medianas empresas con el ransomware H0lyGh0st de los ciberataques con las prioridades
| Inteligencia de amenazas de Microsoft anunciadas por Corea del Norte valida la
Centro (MSTIC), Seguridad Digital de Microsoft creencia de que Corea del Norte quiere
Unidad (ESD)
decir lo que dice cuando habla públicamente sobre sus obj
Microsoft ha evaluado a ciertos actores estatales de Cuando un cibermercenario explota una

Los cibermercenarios regímenes democráticos y autoritarios que subcontratan el vulnerabilidad en un producto o servicio, pone en riesgo Ideas prácticas para los gobiernos
desarrollo o el uso de tecnología de “vigilancia todo el ecosistema informático.

amenazan la estabilidad como servicio”. Así es como evitan la rendición de cuentas Cuando las vulnerabilidades se identifican públicamente,
1 Implementar transparencia y supervisión
requisitos para la vigilancia como servicio, particularmente
y la supervisión, además de adquirir capacidades que sería las empresas están en una carrera contra el tiempo
del ciberespacio difícil desarrollar de forma nativa. para liberar protecciones antes de que se produzcan
en adquisiciones, incluida la prohibición de estos
actores ofensivos, como lo ha hecho Estados
ataques de gran alcance (consulte nuestra discusión Unidos con la inclusión de empresas en la Lista de
Existe una creciente industria de empresas anterior sobre vulnerabilidades). Este es un ciclo Entidades del Departamento de Comercio.
privadas que desarrollan y venden peligroso y difícil tanto para los proveedores de software (que
herramientas, técnicas y servicios que permiten Estas armas cibernéticas proporcionan a deben desarrollar parches rápidamente) como para los
a sus clientes (a menudo gobiernos) acceder a los estados nacionales capacidades de consumidores de productos (que deben implementar los 2 Establecer restricciones postempleo para ex empleados
redes, computadoras, teléfonos y dispositivos de este sector.

vigilancia que no habrían podido parches inmediatamente).
conectados a Internet. Estas entidades, que
desarrollar por sí solos. Como miembro fundador del Cybersecurity Tech Accord53, 3 Apuntar a implementar obligaciones de “conocer a su
son un activo para los actores estatales, a menudo una alianza líder que reúne a más de 150 empresas de cliente” y alentar a las empresas a cumplir con sus
ponen en peligro a disidentes, defensores tecnología, compromisos en materia de derechos humanos.
El mercado en el que operan los cibermercenarios es opaco. Sin
de derechos humanos, periodistas, defensores Microsoft se ha comprometido a no realizar operaciones
embargo, seguimos observando que estos grupos utilizan exploits Enlaces a más información
de la sociedad civil y otros ciudadanos privados. ofensivas en línea. Mantenemos ese compromiso y nuestras
de día cero e incluso exploits de clic cero que no
Nos referimos a ellos como cibermercenarios requieren interacción alguna de la víctima, lo que permite la
responsabilidades en materia de derechos humanos en esta
Desenredando KNOTWEED: actor ofensivo del sector
o actores ofensivos del sector privado. esfera. Hemos participado en interrupciones técnicas y
vigilancia como servicio. privado europeo que utiliza exploits de día 0
desafíos legales para resaltar los impactos negativos causados
| Centro de inteligencia de amenazas de Microsoft
Microsoft anunció recientemente un actor ofensivo del sector por los servicios proporcionados por los cibermercenarios y
Un mundo donde las empresas del sector privado crean y (MSTIC), Respuesta de seguridad de Microsoft
privado europeo al que llamamos KNOTWEED, un PSOA continuaremos protegiendo a nuestros clientes cuando
venden armas cibernéticas es más peligroso para los Centro (MSRC), RiskIQ (Microsoft Defender
con sede en Austria llamado DSIRF. Múltiples informes noticiosos veamos abusos.
consumidores, las empresas de todos los tamaños y los Inteligencia de amenazas)
han vinculado a la empresa con el desarrollo e intento
gobiernos. Estas herramientas ofensivas pueden utilizarse de
de venta de un conjunto de herramientas de malware llamado Continuando la lucha contra las ciberarmas del sector
maneras que sean incompatibles con las normas y valores
Subzero.51 Entre las víctimas se incluyen bufetes de abogados, privado | Microsoft sobre los problemas
del buen gobierno y la democracia.
bancos y consultorías estratégicas en países como Austria, el Los cibermercenarios crean y brindan
Microsoft cree que la protección de los derechos humanos es una
Reino Unido y Panamá.52 capacidades de “vigilancia como servicio”
obligación fundamental que tomamos en serio al restringir la
“vigilancia como servicio” en todo el mundo. Debido a que estas capacidades de vigilancia ofensiva ya no son que son tecnológicamente sofisticadas y
capacidades altamente clasificadas creadas por agencias de ampliamente disponibles, incluido
defensa y de inteligencia, sino más bien productos comerciales
malware avanzado y una variedad
que ahora se ofrecen a empresas e individuos, cualquier régimen
regulatorio para las armas cibernéticas debe ir más allá
de técnicas.
del control de las exportaciones. El impacto de estas armas
cibernéticas puede ser devastador.
Esto significa pedirle a la industria tecnológica que asuma una El camino para establecer expectativas, evitar Los ataques y los actores del Estadonación
Hacer operativas las mayor responsabilidad tanto por la seguridad de los productos y malentendidos y generar confianza al expresar cómo están aumentando en volumen y sofisticación,
servicios como por el ecosistema digital más amplio. Si bien entienden sus obligaciones bajo el derecho internacional. creando una situación que es insostenible.
normas de ciberseguridad ha habido avances notables en todos los frentes, los
La acción inmediata es imperativa: hay cosas que
desafíos han aumentado dramáticamente.
para la paz y la seguridad • Consultar con otras partes interesadas.
A medida que los foros internacionales continúan
los gobiernos pueden hacer ahora para mejorar
de inmediato el ecosistema de ciberseguridad,
en el ciberespacio Debemos redoblar los esfuerzos colectivos para defender la descubriendo las mejores maneras de facilitar una sólida incluida la implementación de normas y reglas acordadas
seguridad del ciberespacio. No podemos dar por sentados los inclusión de múltiples partes interesadas, los gobiernos para el comportamiento estatal en el ciberespacio y
Necesitamos urgentemente un marco global derechos y libertades que esperamos en línea. Mientras pueden apoyar el diálogo informado consultando con las trabajar con la comunidad de múltiples partes
luchamos por abordar los desafíos, los actores maliciosos planifican comunidades de múltiples partes interesadas, en interesadas en general para abordar las brechas
coherente que dé prioridad a los derechos humanos
cómo y dónde atacar a continuación utilizando la inteligencia particular la industria de la tecnología, para emergentes.
y proteja a las personas del comportamiento
imprudente del Estado en línea. En ninguna parte artificial, aprovechando la desinformación y encontrando formas de garantizar que el diálogo beneficie a aquellos con
Es necesario reinventar las instituciones
socavar el incipiente metaverso. Los defensores de los derechos experiencia indispensable.
esto se demuestra más claramente que en la guerra multilaterales para abordar el desafío
humanos, la industria tecnológica y los gobiernos respetuosos de • Formar un organismo permanente para apoyar el comportamiento
en curso en Ucrania. Además de un esfuerzo apremiante de los ciberataques de los Estados nacionales.
los derechos deben trabajar juntos para lograr una visión estatal responsable en el ciberespacio. El trabajo de los
estratégico global, los gobiernos pueden actuar ahora
afirmativa de un mundo en línea seguro y protegido. El camino foros diplomáticos internacionales para promover un
para lograr un impacto positivo inmediato. por recorrer es largo, pero hay cosas que los gobiernos comportamiento estatal responsable en línea nunca ha sido
pueden hacer ahora para mejorar de inmediato el ecosistema más importante. Existe una clara necesidad de un
Hace cinco años, Microsoft pidió una “Convención de Ginebra de ciberseguridad: mecanismo permanente de la ONU para abordar el
Digital” para promover responsabilidades y obligaciones en todos ciberespacio como un ámbito de conflicto.
los sectores para defender la paz y la seguridad en línea. El
• Citar normas, leyes y consecuencias en • Definir nuevas normas para las amenazas en evolución.
ciberespacio estaba emergiendo como un dominio distinto y
atribuciones. Una mejora importante en los últimos cinco Las amenazas del ciberespacio evolucionan constantemente
volátil de conflicto y competencia entre estados, y los
años ha sido la velocidad y coordinación de las atribuciones junto con las innovaciones tecnológicas.
ataques se volvían más comunes, incluso en tiempos de paz. Si bien las normas internacionales deben ser
gubernamentales de los ciberataques. Más allá de
simplemente señalar y avergonzar, estas declaraciones neutrales desde el punto de vista tecnológico, será Enlaces a más información
Hoy en día, todavía existe una clara necesidad de un deben resaltar qué leyes o normas internacionales se violan necesario actualizarlas y atenuarlas en función de los
y qué tipo de consecuencias se impondrán para ayudar a Un momento de ajuste de cuentas: la necesidad de
marco de este tipo, como lo demuestran los ciberataques rusos cambios en el panorama de amenazas y en la forma
una respuesta de ciberseguridad fuerte y global |
contra Ucrania como parte de la invasión rusa. Esta guerra ha fortalecer el reconocimiento de las expectativas en que utilizamos la tecnología. Incluso hoy vemos cómo
Microsoft sobre los problemas
creado un nuevo frente que es dramáticamente diferente de internacionales. se abusa de las lagunas del marco internacional existente.
cualquiera que hayamos conocido antes. Los Estados deben comprometerse a proteger expresamente los Deben cesar los ciberataques dirigidos a la atención
procesos centrales que sustentan el ecosistema digital y que sanitaria | Microsoft sobre los problemas
Para llevar estabilidad al ciberespacio será necesario • Aclarar la interpretación del derecho internacional en línea.
actualmente no están protegidos, como el proceso de
fortalecer y reinventar las instituciones de gobernanza Si bien los gobiernos coinciden en que el derecho
El próximo capítulo de la ciberdiplomacia en las
actualización de software. Además, áreas específicas
global para que sean adecuadas para su propósito. El internacional se aplica en línea, quedan dudas sobre cómo
Naciones Unidas nos llama | microsoft
merecen protecciones adicionales. Por ejemplo, como hemos
ciberespacio es fundamentalmente diferente de otros dominios: se aplica en casos específicos. Esto es particularmente Sobre los problemas
aprendido en medio de la pandemia, las normas para proteger
no tiene fronteras, es sintético y está mantenido en gran medida pertinente tras la invasión de Ucrania. Los gobiernos pueden
la atención médica son esenciales.
por la industria privada. llegar lejos
Notas finales
1 https://www.microsoft.com/enus/cybersecurity/contenthub/cloudsecurity 19 https://www.wsj.com/articles/usonsidelinesaschinaandotherasiapacificnationslaunchtradepact11641038401
2 https://blogs.microsoft.com/ontheissues/2022/04/27/hybridwarukrainerussiacyberattacks/
3 La infraestructura crítica en este capítulo está definida por la Directiva de Política Presidencial 21 (PPD21), Seguridad 20 https://greenfdc.org/chinastwosessions2022whatitmeansforeconomyclimatebiodiversitygreen
y Resiliencia de Infraestructuras Críticas (febrero de 2013). financeandthebeltandroadinitiativebri/
4 https://www.microsoft.com/security/blog/2021/11/18/iraniantargetingofitsectorontherise/ 21 https://www.cfr.org/globalconflicttracker/conflict/territorialdisputessouthchinasea 22 https://
5 https://www.microsoft.com/security/blog/2022/06/02/exposingpoloniumactivityand www.theguardian.com/world/2022/apr/30/thechina elacuerdodeseguridaddesalomónhasido
infraestructuradirigidaaorganizacionesisraelíes/ tiempofirmadoparapasardeladiplomaciadelmegáfono
6 https://www.microsoft.com/security/blog/2021/10/25/nobeliumtargetingdelegatedadministrativeprivileges 23 https://www.fmprc.gov.cn/eng/zxxx_662805/202205/t20220531_10694928.html 24 https://
tofacilitatebroaderattacks/ blogs.microsoft.com/ontheissues/2021/12/06/cyberattacksnickeldcu porcelana/; https://www.microsoft.com/
7 https://www.microsoft.com/enus/security/business/identityaccess/azureactivedirectory security/blog/2021/12/06/nickeltargetinggovernmentorganizationsacrosslatinamericaandeurope/
autenticación sin contraseña
8 https://www.solarwinds.com/trustcenter/securityadvisories/cve202135211 25 https://www.microsoft.com/security/blog/2022/04/12/tarraskmalwareusesscheduledtasksfordefenseevasion/
9 https://pitstop.manageengine.com/portal/en/community/topic/adselfserviceplus6114security
liberaciónarreglo 26 https://attack.mitre.org/techniques/T1053/
10 https://reliefweb.int/report/ukraine/unicefukrainehumanitariansituationreportno131017 27 https://www.microsoft.com/security/blog/2022/07/26/maliciousiisextensionsquietlyopen
mayo2022 puertastraseraspersistentesenservidores/
11 https://news.un.org/en/story/2022/06/1119672 28 https://www.microsoft.com/security/blog/2021/02/11/webshellattackscontinuetorise/
12 https://zetter.substack.com/p/dozensofcomputersinukrainewiped?s=r; 29 https://www.timesofisrael.com/inrarecriticismofirgcrouhanislamsantiisraelslogansontestmissiles/; https://
https://www.microsoft.com/security/blog/2022/01/15/destructivomalwaretargetingukrainianorganizations/ www.theguardian.com/world/2017/may/05/iranpresidenthassanrouhaninuclearagreementsabotagged;
https://d2071andvip0wj.cloudfront.net/184iransprioritiesinaturbulentmiddleeast_1.pdf; https://
13 https://www.cnn.com/2022/03/14/economy/chinajanfebeconomychallengesaheadintlhnk/ www.aljazeera.com/news/2016/3/9/
índice.html Iránlanzamisilesbalísticosduranteejerciciomilitar; https://www.usatoday.com/story/news/
mundo/2015/04/25/iranyemenweapons/26367493/; https://www.armscontrol.org/blog/
14 https://www.wsj.com/articles/russiasvladimirputinmeetswithchineseleaderxijinpinginbeijing11643966743 15
ArmsControlNow/20160314/Loslanzamientosdemisilesbalísticosiraníesquenosucedieron; https://
https://
www.reuters.com/world/middleeast/iranparliamentapprovesmostraisinomineeshardlinecabinet20210825/;
www.washingtonpost.com/world/2022 /04/01/cumbrechinaue/
16 https://twitter.com/MoNDefense
30 https://www.reuters.com/world/middleeast/iranparliamentapprovesmostraisinomineeshardline
17 https://news.usni.org/2022/01/24/2usaircraftcarriersnowinsouthchinaseaaschineseair cabinet20210825/; https://www.france24.com/es/livenews/20210825elparlamentodeiranapruebalas
fuerzavuela39avionescercadetaiwán
opcionesdelcabinetdelpresidente
18 https://ec.europa.eu/trade/policy/infocus/euchinaagreement/; https://www.usnews.com/
news/world/articles/20220228/laueplaneacumbreconchinael1deabrilparaabordarlastensiones
Continuación de las notas finales
31 https://www.janes.com/defencenews/newsdetail/iranianirgcconsolidatesprimacy 45 https://www.reuters.com/world/asiapacific/nkoreamobilisesofficeworkersfightdrought
en operaciones de inteligencia; https://www.proofpoint.com/us/blog/threatinsight/badbloodta453 en mediodeescasezdealimentos20220504/
objetivoscredencialdepersonaldeinvestigaciónmédicaestadounidenseyisraelí; https://miburo.substack.com/p/ 46 https://www.washingtonpost.com/world/asia_pacific/northkoreakim
irandesinfoprivatizado?s=r. pandemia/2021/09/08/31adfd74ff5311eb87e07e07bd9ce270_story.html
32 https://www.reuters.com/business/energy/iransaysisraeluslikelybehindcyberattackgasstations20211030/ 47 https://news.yahoo.com/chinahaltsfreighttraintraffic102451425.html
48 https://www.cnn.com/2022/05/11/asia/northkoreacovidomicroncoronavirusintlhnk/index.
33 https://www.tasnimnews.com/en/news/2021/11/05/2602361/usmilitaryactionoffthetable HTML
general iraní 49 https://www.csis.org/analysis/numbernorthkoreandefectorsdropslowestleveltwodecades
34 En particular, parchear los servidores Exchange para las vulnerabilidades de ProxyShell (CVE202126855, CVE2021 50 https://www.aljazeera.com/economy/2022/5/20/northkoreashunsoutsidehelpascovidcatastrophelooms
26857, CVE202126858 y CVE202127065, CVE202134473). Además, asegúrese de parchear los dispositivos
VPN SSL de Fortinet FortiOS para detectar vulnerabilidades.
51 JanPhilipp Hein, En el misterio del espeluznante software espía, el rastro conduce a través de Wirecard al
35 https://docs.microsoft.com/enus/microsoft365/commerce/managepartners?view=o365 Kremlin, FOCUS Online, (2022), https://www.focus.de/politik/vorabausdemfocus vollekontrolleueber
mundial
zielcomputerdasraetselumdiespionageappfuehrtueberwirecardzuputin_id_24442733.html; Sugar
36 https://www.microsoft.com/security/blog/2022/06/02/exposingpoloniumactivityand Mizzy, presentamos el troyano estatal “Subzero” de Austria, Europecities (2021), https://europecities.com/
infraestructuradirigidaaorganizacionesisraelíes/ 2021/12/17/weunveilthesubzerostatetrojanfrom Austria/; Andre Meister, Presentamos el troyano estatal “Subzero”
37 https://www.microsoft.com/security/blog/2022/06/02/exposingpoloniumactivityand de Austria, Netzpolitik.
infraestructuradirigidaaorganizacionesisraelíes/ org (2022), https://netzpolitik.org/2021/dsirfwirenthuellendenstaatstrojanersubzeroausoesterreich.
38 https://www.secureworks.com/blog/lyceumtakescenterstageinmiddleeastcampaign 39 https://www.microsoft.com/
security/blog/2021/11/18/iranian focalizaciónenelsectorenaumento/ 52 Como se señaló en nuestro blog técnico, la identificación de objetivos en un país no necesariamente
40 https://docs.microsoft.com/enus/microsoft365/security/defenderendpoint/manageupdates significa que un cliente DSIRF reside en el mismo país, ya que la orientación internacional es común.
líneas de basemicrosoftdefenderantivirus?view=o365worldwide 53 Inicio | Acuerdo tecnológico de ciberseguridad (cybertechaccord.org)
41 https://docs.microsoft.com/microsoft365/security/defenderendpoint/cloudprotection
antivirusmicrosoftdefender
42 https://docs.microsoft.com/microsoft365/commerce/managepartners?view=o365worldwide 43 https://
www.marketwatch.com/story/kimjonguncallsforimproved condicionesdevidaencoreadelnorte01633920099
https://www.bbc.com/news/worldasia59845636
https://kcnawatch.org/newstream/1650963237449932111/respectedcomradekimjongunmakesspeechat
militaryparadeheldincelebrationof90thfoundinganniversaryof kpra/
44 https://www.theguardian.com/world/2021/aug/06/northkoreahomeswreckeddamgedandandbridgeswashedawayin
floods
Dispositivos y Una descripción general de dispositivos e infraestructura 57
Introducción 58
Los gobiernos actúan para mejorar la seguridad
Infraestructura y la resiliencia de las infraestructuras críticas 59
IoT y OT al descubierto: tendencias y ataques 62
Hackeo de firmware y cadena de suministro sesenta y cinco
Con la aceleración de la transformación digital, la seguridad Foco en las vulnerabilidades del firmware 66
de la infraestructura digital es más importante que nunca. Ataques OT basados en reconocimiento 68

57 Informe de defensa digital de Microsoft
Microsoft 2022
2022 Introducción cibercrimen Amenazas Infraestructura
Infraestructura Operaciones Resiliencia equipos

Los gobiernos de todo el mundo se están moviendo El
como
malware
servicio Los
másatacantes aprovechan
las vulnerabilidades cada
del vez
firmware
103.092 87.479
El
servicio
malware
se ha
como de
en los
las dispositivos IoT para
redes corporativas infiltrarse
y lanzar
Dispositivos y para
la protegerde
seguridad la IoT
infraestructura
y OT. crítica mejorando
mejorar la seguridad de IoT y OT. trasladado
operaciones aa devastadores.
ataques devastadores. lanzar ataques
Infraestructura gran
operaciones
escala contra
contra
IoT y OT expuestos
La pandemia,
rápida adopciónjunto
de con la en infraestructura y
servicios
así como públicos,
servicios
Internet : la
adopción derápida
dispositivos Más información en p65
públicos y redes
corporativas. redes corporativas.
conectados
todo tipo comoa Internet
un de
El 32 % de contenían
analizadas las imágenes de firmware
al menos 10
componentede
aceleración delala vulnerabilidades críticas conocidas .
transformación
ha aumentado digital, vulnerabilidades.
gafgyt
considerablemente.
ataque aumentó El Más información en p63
mirai
mirai
gafgyt
enormemente
superficie de ataque
la del mundo digital. superficie del mundo digital.
Ataques
Los ataques
contra
contra
la administración
dispositivos de
remota
Los
se están
ciberdelincuentes
aprovechandoy rápidamente.
los Estadosnación aumentando,
administracióny remota
cada vez
están
hay más
Mientras
TI . Si bien
selaaprovecha
seguridadladelseguridad
hardwaredey dispositivos
100 millonesendeaumento, con más de
ataques observados
software
últimos años,
de TIlaseseguridad
ha fortalecido
de Internet
en los de
las cosas (OT)
operativa ( IoT)(IoT)
y losydispositivos
operativa Los de tecnología en mayo
veces de 2022
mayor (un aumento
en mayo de 2022)cinco
se
dispositivos
el ritmo. Lasde tecnología
amenazas que(OT)
los no han seguido
actores están quintuplicó
en en el último año.
el año pasado. 27%
explotando
actores no han seguido
de amenazas estánel ritmo. Losestos
explotando Países
32%
dispositivos
redes paraelestablecer
y permitir movimiento acceso a para
lateral, las Más información en p62 vendido 4%
establecer
para establecer
y permitir
un punto
el movimiento
de apoyo lateral,
en una Más información en p59 13%
cadena
punto dede apoyo
suministro,
en unaocadena
para interrumpir
de el 36%
suministro,
operacioneso OT paradeinterrumpir
la organización
las objetivo. operaciones
SeOT de la organización
Globalmente
necesitan objetivo.
consistentes
políticas de seguridad
e interoperables
globalmente
para garantizar
consistentes
una adopción
e interoperables
amplia.
amplia adopción.
Más información en p59 Más información en p66

En los últimos años se han producido cambios sin precedentes Si bien la prevalencia de vulnerabilidades de IoT y OT es un Desde el punto de vista de las operaciones de seguridad,
Introducción en el mundo digital. Las organizaciones están evolucionando desafío para todas las organizaciones, la los defensores de la red adoptan múltiples enfoques para
para aprovechar los avances en la capacidad informática infraestructura crítica corre un mayor riesgo porque los mejorar la postura de seguridad de IoT/OT de su organización.
tanto de la nube inteligente como del borde inteligente. actores de amenazas han aprendido que deshabilitar servicios Un enfoque es implementar un monitoreo continuo de
La aceleración de la Como resultado de la pandemia que obliga a las entidades a críticos es una palanca poderosa. El ataque de ransomware los dispositivos IoT y OT. Otra es “girar a la izquierda”, es
transformación digital ha digitalizarse para sobrevivir y el ritmo al que las industrias de 2021 a Colonial Pipeline Company demostró cómo los decir, exigir e implementar mejores prácticas de ciberseguridad
de todo el mundo están adoptando dispositivos con acceso delincuentes pueden interrumpir un servicio crítico para para los propios dispositivos IoT y OT. Un tercer enfoque
aumentado el riesgo de a Internet, la superficie de ataque del mundo digital está aumentar la probabilidad de pago de un rescate. es implementar una solución de monitoreo de seguridad
ciberseguridad para la aumentando exponencialmente. Y los ciberataques de Rusia contra Ucrania demuestran
que algunos estados nacionales ven los ciberataques
que abarque redes de TI y OT. Este enfoque holístico tiene
el importante beneficio adicional de contribuir a los
Esta rápida migración ha superado la capacidad de la
infraestructura crítica y los sistemas ciberfísicos.
comunidad de seguridad para mantenerse al día. Durante
contra infraestructura crítica como un sabotaje procesos organizacionales críticos, como "romper los silos"
aceptable para lograr sus objetivos militares. entre OT y TI, lo que a su vez permite a la organización
el año pasado, hemos observado amenazas que explotan
alcanzar una postura de seguridad mejorada mientras
dispositivos en cada parte de la organización, desde equipos
cumple con los objetivos comerciales.
de TI tradicionales hasta controladores de tecnología Sin embargo, hay esperanza en el horizonte.
operativa (OT) o simples sensores de Internet de las Los formuladores de políticas y los defensores de
cosas (IoT). Aunque la seguridad de los equipos de TI se ha las redes están actuando para mejorar la ciberseguridad
fortalecido en los últimos años, la seguridad de los dispositivos de la infraestructura crítica, incluidos los dispositivos IoT y Michal BravermanBlumenstyk
IoT y OT no ha seguido el ritmo. Los actores de OT de los que dependen. Los formuladores de políticas Vicepresidente corporativo, jefe de tecnología
amenazas están explotando estos dispositivos para están acelerando el desarrollo de leyes y regulaciones Oficial, Seguridad en la nube y la IA
establecer acceso a las redes y permitir el movimiento lateral o para generar confianza pública en la seguridad
interrumpir las operaciones OT de la organización. Hemos cibernética de infraestructuras y dispositivos críticos.
visto ataques a las redes eléctricas, ataques de
Microsoft se está asociando con gobiernos de todo el mundo
ransomware que interrumpen las operaciones de OT,
para aprovechar esta oportunidad de mejorar la
se aprovechan los enrutadores de IoT para aumentar la
ciberseguridad y agradecemos un compromiso
persistencia y ataques dirigidos a vulnerabilidades en el firmware.
adicional. Sin embargo, nos preocupa que los requisitos
inconsistentes, personalizados o complejos puedan tener
efectos no deseados, incluida la disminución de la
seguridad en algunos casos al desviar recursos de
seguridad escasos hacia el cumplimiento de múltiples
certificaciones duplicadas.
Informe
Introducción cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Microsoft busca asociarse con gobiernos de todo el

Los gobiernos actúan mundo para implementar políticas efectivas de
ciberseguridad de infraestructura crítica, aumentar la
para mejorar la comprensión de los desafíos y oportunidades y apoyar los
esfuerzos para mejorar la postura de riesgo colectivo.
seguridad y la resiliencia
de las infraestructuras críticas Desarrollos de políticas en la gestión de riesgos de
ciberseguridad de infraestructuras críticas
Los gobiernos de todo el mundo están desarrollando
Durante el último año, múltiples jurisdicciones,
y evolucionando políticas para gestionar el riesgo
incluidas Australia, Chile, la Unión Europea (UE), Japón,
de ciberseguridad de la infraestructura crítica. Muchos Singapur, el Reino Unido (Reino Unido) y los Estados
también están promulgando políticas para mejorar Unidos, han desarrollado, actualizado o implementado
la seguridad de los dispositivos IoT y OT. La ciberseguridad intersectorial o específica de un sector.
creciente ola global de iniciativas políticas requisitos.1 Muchos de estos gobiernos (y otros
está creando enormes oportunidades para como India2 y Suiza3) ya emitieron o están Países que avanzan en Países que
requisitos de riesgo de Países que
mejorar la ciberseguridad, pero también plantea
desafíos a las partes interesadas en todo el ecosistema.
desarrollando requisitos de notificación de incidentes de
ciberseguridad para infraestructura crítica y proveedores 11 ciberseguridad de 2 avanzan en requisitos
de notificación de 9 avanzan en ambos
de servicios esenciales.4 infraestructura crítica incidentes cibernéticos
Desarrollar una visión holística para gestionar el riesgo

cibernético de la infraestructura crítica es fundamental, Durante el último año se produjeron algunos avances
políticos notables en Australia, la UE, Indonesia y Estados La UE trabajó para actualizar su Directiva NIS de En mayo, Indonesia emitió un reglamento
pero complejo, especialmente dado el grado de interconexión
Unidos. Australia promulgó dos leyes para ayudarle a 2016, que proporciona un marco para que los estados presidencial sobre la protección de la infraestructura de
entre tecnologías y proveedores globales, la variedad de
gestionar los riesgos de ciberseguridad de infraestructura miembros de la UE regulen los servicios y productos información vital (“IIV”), que entrará en vigor en mayo
usos de la tecnología y los riesgos asociados, y la necesidad
tecnológicos considerados críticos para su economía y el de 2024 y cubrirá sectores como la energía, el
de invertir tanto en el corto como en el largo plazo. estrategias. crítica intersectoriales. Las leyes, entre otras cosas, designan
nuevos sectores de infraestructura crítica, exigen el funcionamiento de la sociedad. La propuesta NIS 2 transporte, las finanzas y la salud, entre otros. El
Las políticas con un alcance eficaz que impulsen el
incluye revisiones que crearían una nueva categoría objetivo de Indonesia con el reglamento es proteger la
aprendizaje y las mejoras iterativas, y respalden la desarrollo de planes de gestión de riesgos, exigen la
notificación de incidentes de ciberseguridad y facultan al de infraestructura digital crítica, aumentarían los continuidad de la implementación de IIV, prevenir ataques
interoperabilidad global e intersectorial, pueden ayudar
gobierno para intervenir si determina que un operador de requisitos para la notificación de incidentes cibernéticos y aumentar la preparación para
a gestionar la complejidad y permitir una transformación
infraestructura crítica no está dispuesto o no puede cibernéticos e impondrían requisitos adicionales de gestión manejar incidentes cibernéticos.
digital más orientada a la seguridad. Sin embargo, un
responder adecuadamente a un incidente. de riesgos de ciberseguridad. La UE también desarrolló Los proveedores de IIV serán responsables de llevar a
enfoque fragmentado de la legislación podría dar lugar a
una propuesta de actualización de su Ley de cabo una protección segura y confiable, implementar
requisitos reglamentarios superpuestos e incoherentes. Esto
Resiliencia Operacional Digital (DORA), creando nuevos una gestión eficaz del riesgo cibernético e informar los
podría afectar los recursos y, en última instancia, socavar los
requisitos para las tecnologías de la información y la resultados del riesgo cibernético a las agencias
objetivos de seguridad. Por ejemplo, las organizaciones
comunicación utilizadas en el sector de servicios financieros. gubernamentales correspondientes. El reglamento incluye
podrían desviar recursos de la innovación y la seguridad
el requisito de informar los incidentes cibernéticos en un plazo de 24 ho
hacia ejercicios de cumplimiento formalistas.
Sobre la base de sus regulaciones para oleoductos, la TSA emitió Los formuladores de políticas también han centrado su La necesidad de coherencia
Los gobiernos actúan dos directivas de seguridad adicionales a finales de 2021 que atención en la continua proliferación de dispositivos IoT y
En muchos casos, la gama de actividades entre
promulgaron requisitos de ciberseguridad para los sistemas de dispositivos OT conectados en red.
para mejorar la transporte ferroviario de carga, de pasajeros o de tránsito ferroviario.
regiones, sectores, tecnologías y áreas de gestión de riesgos
operativos se lleva a cabo simultáneamente, lo que
• En el Reino Unido, el proyecto de Ley de Infraestructura
Las directivas exigían que los operadores cubiertos
seguridad y la resiliencia designaran un coordinador de ciberseguridad, informaran
de Telecomunicaciones y Seguridad de Productos genera una posible superposición o inconsistencia en el
requerirá que los fabricantes de productos de alcance, los requisitos y la complejidad para las
de las infraestructuras críticas los incidentes de ciberseguridad dentro de las 24 horas,
consumo conectables, como televisores inteligentes, organizaciones que buscan aprovechar la orientación o
desarrollaran e implementaran un plan de respuesta a incidentes
dejen de usar contraseñas predeterminadas que son un demostrar el cumplimiento.
Continuado de ciberseguridad y completaran una evaluación de
blanco fácil para los ciberdelincuentes, para establecer Sin una definición universalmente aceptada de IoT, el
vulnerabilidad de ciberseguridad. La TSA anunció simultáneamente
una política de divulgación de vulnerabilidades (como una alcance es especialmente desafiante para las regulaciones
El Congreso de los EE. UU. aprobó una ley que autorizó a la que también actualizó sus programas de seguridad de la aviación
manera de recibir notificaciones sobre fallas de seguridad) y de dispositivos IoT y OT. Los ejemplos anteriores se
Agencia de Seguridad de Infraestructura y para exigir a los operadores de aeropuertos y aerolíneas que
brindar transparencia sobre el período mínimo de tiempo aplican potencialmente a "productos conectados y servicios
Ciberseguridad (CISA) a emitir regulaciones para exigir implementen las dos primeras disposiciones, designando un
durante el cual proporcionarán actualizaciones de auxiliares", "productos de consumo conectables" y
informes de incidentes cibernéticos a los operadores coordinador e informando incidentes dentro de las 24 horas.
seguridad.9 "dispositivos inalámbricos". Al mismo tiempo, muchos
de infraestructura crítica, y la Administración de
gobiernos pretenden implementar regímenes de
Seguridad del Transporte (TSA) de los EE. UU. emitió Desarrollos de políticas en seguridad • En la UE, nuevas normas de seguridad o
evaluación más sólidos para comprender mejor si las
nuevos requisitos de ciberseguridad específicos del de dispositivos IoT y OT Los requisitos se están implementando a través de
organizaciones y los productos cumplen con los requisitos
sector del transporte. . múltiples instrumentos legislativos, incluido un acto
En docenas de países, los gobiernos participan activamente
actuales, emergentes y en evolución, y cómo lo hacen.
En 2021, la TSA emitió dos directivas de seguridad delegado a la Directiva sobre equipos de radio que
en el desarrollo de requisitos para avanzar en la ciberseguridad
A medida que estas tendencias se fusionen, la complejidad
para los operadores de gasoductos de líquidos y gas se aplica a los dispositivos inalámbricos y busca
de los productos y servicios de tecnologías de la información y
aumentará. Es alentador que las preguntas planteadas durante
natural peligrosos en respuesta al ataque de mejorar la resiliencia de la red, proteger la privacidad
las comunicaciones (TIC), incluidos los dispositivos IoT y OT. En
la consulta sobre la Ley de Resiliencia Cibernética de
ransomware a Colonial Pipeline Company: de los consumidores y reducir el riesgo de fraude
el contexto de los productos y servicios de TIC, las mayores
la UE exploraran cómo la nueva regulación podría potencialmente
monetario.10 Además, el uso de un Podría ser
• La primera directiva exigía a los operadores preocupaciones son la seguridad de la cadena de suministro
interactuar con la regulación de ciberseguridad existente, lo
necesario un esquema de certificación de la nube,11
designar un coordinador de ciberseguridad, informar de software y la seguridad de IoT.
que indica la intención de evitar requisitos de ciberseguridad
actualmente en desarrollo como resultado de la Ley
incidentes cibernéticos en un plazo de 12 horas y realizar • La Comisión Europea propuso la contradictorios.
de Ciberseguridad de la UE de 2019,12 .
una evaluación de vulnerabilidad de sus sistemas. Ley de Resiliencia Cibernética, que establecería
Los enfoques iterativos basados en el riesgo y
• La segunda directiva, que la TSA revisó en 2022, les requisitos de ciberseguridad para software independiente
orientados a los resultados o procesos (en lugar de una
exigía implementar medidas de mitigación específicas y dispositivos conectados y servicios auxiliares.5 Las
implementación específica) podrían fomentar una mayor
para proteger contra ataques de ransomware y prácticas relevantes para los proveedores de software
ciberseguridad y una mejora continua.
otras amenazas conocidas a los sistemas de TI y OT, incluyen aprovechar un ciclo de vida de desarrollo de
Del mismo modo, centrarse en permitir la interoperabilidad
desarrollar e implementar un plan de respuesta y contingencia software seguro6 y proporcionar una lista de
entre sectores, regiones y áreas de políticas podría
de ciberseguridad dentro de los 30 días, y someterse a materiales de software.7 Se aplicarían nuevos
aumentar consistentemente la ciberseguridad en las
un examen anual. Revisión del diseño de la arquitectura requisitos de seguridad a los dispositivos conectados
cadenas de suministro globales interconectadas.
de ciberseguridad. y todos los fabricantes tendrían la tarea de gestionar procesos
coordinados de divulgación de vulnerabilidades8 para
los productos lanzados.
Los gobiernos actúan Acelerar las inversiones en todo el ecosistema en seguridad de la Información procesable
para mejorar la cadena de suministro de software y arquitectura Zero Trust 1 Las instituciones multilaterales deben
reinventado para abordar el desafío apremiante
La Orden Ejecutiva de EE. UU. (EO) 14028
seguridad y la resiliencia Hoy, vamos más allá de los requisitos de la EO para de los ciberataques de los estados nacionales.
sobre la mejora de la ciberseguridad ha sido un demostrar el cumplimiento de los requisitos de seguridad de la
de las infraestructuras críticas catalizador para acelerar las iniciativas en curso de cadena de suministro de software y proporcionar
2 Desarrollar políticas de ciberseguridad que sean
consistentes e interoperables entre regiones,
Microsoft para invertir en la seguridad de información de la lista de materiales del software (SBOM) de
sectores y áreas temáticas.
Continuado nuestra cadena de suministro propia y de todo el dos maneras:
ecosistema y para permitir que nuestros clientes 1. Primero, compartimos una versión de código abierto de Enlaces a más información
cumplan con los objetivos de Zero Trust. nuestra herramienta generadora de SBOM, que creamos
Hay políticas de ciberseguridad de Inversiones continuas en seguridad de la
para integrarse fácilmente con canalizaciones de CI/CD
infraestructura crítica cada vez más que admiten compilaciones en plataformas Windows, Linux,
cadena de suministro en apoyo de la
complejas en desarrollo en todas las Durante mucho tiempo hemos creído que mejorar la
Mac, iOS y Android.13
Orden Ejecutiva de ciberseguridad | microsoft
cadena de suministro de software requiere compartir aprendizajes Comunidad tecnológica
regiones, sectores y áreas temáticas. 2. En segundo lugar, estamos contribuyendo a la
y mejores prácticas, comenzando con nuestro lanzamiento
El gobierno de EE. UU. establece la estrategia y
Esta actividad trae grandes público del Ciclo de vida de desarrollo de seguridad de
desarrollo de estándares industriales para la
integridad, transparencia y confianza de la cadena los requisitos de la arquitectura Zero Trust |
oportunidades y desafíos importantes. La Microsoft hace unos 15 años.
de suministro (SCITT). Esto permitirá el intercambio Blog de seguridad de Microsoft
forma en que procedan los gobiernos Además, nos estamos asociando estrechamente con el Centro automatizado de información verificable de la cadena
CIBER EO | Microsoft federal
será crucial para el futuro de la Nacional de Excelencia en Ciberseguridad para demostrar de suministro, incluidos artefactos que demuestren
enfoques de arquitectura de confianza cero aplicados a
transformación digital y la seguridad de todo el ecosistema. conformidad con requisitos como los que resultan de la guía Integridad, transparencia y confianza de la cadena
la tecnología local y en la nube y establecer nuevas capacidades de la cadena de suministro de software de la EO. de suministro | github.com
de productos, incluida la capacidad de aplicar autenticación
resistente al phishing para sistemas híbridos y múltiples. Implementación de una arquitectura de confianza cero |
entornos de nube. NCCoE (nist.gov)

Informe El
El estado
estadode
de Estado
Estadonacional
nacional Dispositivos y Influencia Contribuyendo
Informe Influenciacibernética
cibernética cibernético
Introducción cibercrimen Amenazas
Amenazas Infraestructura Operaciones Resiliencia
Resiliencia equipos
equipos
cibercrimen Operaciones
Ataques contra dispositivos de gestión remota

IoT y OT expuestos: Los dispositivos IoT plantean riesgos de
seguridad únicos como puntos de entrada y 140
Tendencias y ataques pivote en la red. Millones de dispositivos IoT 120
El mundo digital cada vez más conectado no están parcheados o están expuestos. 100
significa que los dispositivos se conectan 80
senolliM
rápidamente, se comunican con sistemas Los dispositivos expuestos se pueden descubrir a 60
más grandes, recopilan datos y crean visibilidad en través de herramientas de búsqueda en Internet
40
espacios antes oscuros. Esto brinda identificando servicios que escuchan en puertos de red
20
oportunidades tanto para las organizaciones abiertos. Estos puertos se utilizan comúnmente para la
gestión remota de dispositivos. Si no se protege 0
como para los actores de amenazas, ya que el
correctamente, un dispositivo IoT expuesto se puede utilizar
negocio del cibercrimen se está
oiluj
e0n2
e e
d
oinuj
ee2
df
c2o
d
o2r2
b2a
d
como punto de pivote hacia otra capa de la red empresarial,
e2d
s
2r2b0
erb1u2t0
e
ei2
d
erbme1it2p0
emd
2
ir0
e
erbm1e2ic0
o2n
d
zr2a0
ore
2l2
g2a
d
v0e
o2y2a0m
2
o2
o0e
erbme1i2
ot1s2
convirtiendo en una industria y un riesgo multimillonario.
ya que usuarios no autorizados pueden acceder de
forma remota a los puertos. Hemos observado una variedad
Los dispositivos de IoT, que incluyen desde impresoras de actores de amenazas que intentan explotar vulnerabilidades Aumento de los ataques a puertos de gestión remota con el tiempo, como se ve a través de la red de sensores del MSTIC.
hasta cámaras web, dispositivos de control climático y en dispositivos expuestos a Internet, desde cámaras hasta enrutadores y termostatos.
controles de acceso a edificios, plantean riesgos Sin embargo, a pesar del riesgo, millones de dispositivos
de seguridad únicos para individuos, organizaciones y
Ataques web contra IoT y OT
siguen sin parchear o expuestos.
redes. Si bien son fundamentales para las operaciones de 50
muchas organizaciones, pueden convertirse rápidamente
Resumen de tipos de ataques a IoT/OT
en un riesgo de responsabilidad y seguridad. La 40
Bases de datos 18% web 30%

rápida adopción de soluciones de IoT en casi todas las
30
industrias ha aumentado la cantidad de vectores de ataque
y el riesgo de exposición de las organizaciones. Sistemas de
seliM
20
control
El malware como servicio se ha trasladado a industrial 1%
10
operaciones a gran escala contra infraestructura y servicios
públicos civiles (incluidos hospitales, petróleo y gas, redes
0
eléctricas, servicios de transporte y otras infraestructuras
críticas), así como redes corporativas. Correo electrónico 4%
oiluj
e0n2
e e
d
oinuj
oinuj
ee2
df
ec2
o
d
o2r2
b2a
d
e2ds
2r2b0
erb1u2t0
ei2
d
erbme1it2p0
emd
2
ir0
e
erbm1e2ic0
o2n
d
zr2a0
ore
2l2
g2a
d
erbme1i2v0
e
o2y2a0m
2
o2
o0
ot1s2 e
Los actores de amenazas requieren importantes esfuerzos de Gestión
remota 46% Otro 1%

investigación para descubrir y explotar la configuración de los
entornos operativos y los dispositivos IoT y OT integrados.
Tipos de ataques observados a través de la red de
sensores MSTIC. Los más frecuentes fueron los ataques Volumen de ataques web a lo largo del tiempo, visto a través de la red de sensores MSTIC. A medida que la cantidad de dispositivos conectados
contra dispositivos de gestión remota, ataques vía web y directamente a la web continúa disminuyendo, es posible que eventualmente sea menos probable que los atacantes los investiguen.
ataques a bases de datos (fuerza bruta o exploits).
Informe El estado
El estado de
de Estado nacional
Estado nacional Dispositivos y Influencia cibernética
cibernética cibernético Contribuyendo
Informe Influencia cibernético Contribuyendo
cibercrimen
Amenazas
Resiliencia equipos
equipos
Operaciones
Mirai evolucionó para infectar una amplia gama de

IoT y OT expuestos: dispositivos IoT, incluidas cámaras de protocolo de Prevalencia relativa de pares de nombre de usuario y contraseña observada
Internet, grabadoras de vídeo digitales de cámaras entre dispositivos IoT/OT en 45 días de señales de sensores
Tendencias y ataques
Continuado
Utilidad de malware renovada

uncom
inte
dm
le
de seguridad y enrutadores. El vector de ataque
eludió los controles de seguridad heredados y plantea un
riesgo para los puntos finales dentro de la red al
apoyo
123456
explotar vulnerabilidades adicionales y moverse
lateralmente. Mirai ha sido rediseñado varias veces,
A medida que los grupos de ciberdelincuentes han evolucionado, también
lo ha hecho su implementación de malware y la elección de objetivos.
coma
dm
en
te
le administrador123
con variantes que se adaptan a diferentes arquitecturas y
El año pasado, observamos ataques contra protocolos comunes de
explotan vulnerabilidades conocidas y de día cero
nc11
para comprometer nuevos vectores de ataque.
IoT, como Telnet.
disminuyen significativamente, en algunos casos hasta un 60 por
apoyo
El uso de Mirai creció entre arquitecturas de CPU x86 de 32 administración 1234 raíz
ciento. Al mismo tiempo, los grupos de ciberdelincuencia y los y 64 bits durante el año pasado, y el malware recibió nuevas
nc11
actores estatalesnación reutilizaron las botnets. La persistencia de capacidades que fueron adoptadas rápidamente por
tsgoingon administración
malware, como Mirai, resalta la modularidad de estos ataques y la estados nacionales y grupos criminales. Los ataques
adaptabilidad de las amenazas existentes. de estados nacionales ahora aprovechan nuevas variantes raíz
de botnets existentes en ataques distribuidos de
por defecto
denegación de servicio (DDoS) contra adversarios extranjeros. por defecto
Principales programas maliciosos de IoT detectados en la naturaleza A medida que los ingresos por ataques contra
dispositivos IoT disminuyeron en 2022, observamos usuario
103.092 87.479 11.895 10,192 3.166
que varios grupos de actores de amenazas abusaban usuario
de las vulnerabilidades (como Log4j y Spring4Shell) para
entregar una carga útil maliciosa a dispositivos como
administración
servidores, infectarlos y reclutarlos en grandes botnets administrador de telnet administrador de telnet
que llevan a cabo ataques DDoS. La utilidad raíz

renovada del malware diseñado para atacar dispositivos
IoT vulnerables tiene serias implicaciones tanto para administración
las organizaciones como para las naciones, ya que el raíz

movimiento lateral puede exponer las puertas traseras
a cargas útiles adicionales y otros dispositivos en las redes. Zte521 Círculo interno
1001barbilla nombres de usuario
Xocultar
vizxv
tsunami
Minero círculo exterior
Muchos protocolos de sistemas de control industrial
gafgyt
mirai no están supervisados y, por lo tanto, son vulnerables a contraseñas
ataques específicos de OT. Esto puede significar un

mayor riesgo para la infraestructura crítica. El uso de pares de nombre de usuario y contraseña comunes aumenta el riesgo de compromiso. Según un tamaño de muestra de más de
39 millones de dispositivos IoT y OT, aquellos que usaban nombres de usuario y contraseñas idénticos representaban alrededor del 20 por ciento.
Informe El
El estado
estadode
de Estado
Estadonacional
Informe Influenciacibernética
Resiliencia equipos
equipos
cibercrimen Operaciones
IoT y OT expuestos: Prevalencia del protocolo del sistema de control industrial. El malware como Mirai persiste mediante el desarrollo
1. Ethernet/IP 13.IEC60870 de nuevas capacidades y está siendo adoptado
Tendencias y ataques 2.MODBUS por grupos de delitos cibernéticos y actores estatales,
14. FDA de Honeywell
Diagnóstico aprovechando nuevas variantes de botnets existentes
Continuado 3. BACNet
15. Enlace de suite en ataques DDoS contra adversarios extranjeros.
4.Siemens S7
Si bien las configuraciones débiles y las 16. DeltaV
5. Profinet en
credenciales predeterminadas aún representan un riesgo para 3 4 5
tiempo real 17.GSM
las redes, Microsoft observó muchos exploits basados en
la web que utilizan HTTP. Observamos este aumento 6. Profinet DCP 18. DNP3 Información procesable
en los ataques a servicios basados en web que utilizan botnets heredadas.

1 7.Siemens S7 Plus 19. AMS
1 Asegúrese de que los dispositivos sean robustos aplicando
Mientras tanto, hubo una disminución en el número de puertos 8 11 12 20. SRTP
8. Sistema de código parches, cambiando las contraseñas predeterminadas
telnet abiertos en Internet, una señal positiva para la 9.Siemens 21. Gato gemelo y los puertos SSH predeterminados.
seguridad de la red, ya que las botnets que representaban un 6 Agente WinCC 22. Emerson Roc
riesgo histórico para los dispositivos están perdiendo relevancia. 2 Reduzca la superficie de ataque eliminando conexiones a Internet
13 14 15 10. Salida/salida
A pesar de esta disminución en los puertos telnet abiertos, 9 23. Nevada doblada innecesarias y puertos abiertos, restringiendo el acceso
Ethernet/IP
todavía observamos botnets persistentes en las redes de sensores. 24. Mitsubishi remoto bloqueando puertos, denegando el acceso remoto y
20 21
11. Control MELSEC
18 utilizando servicios VPN.
dieciséis
Honeywell
22 23
Acceso a los datos 25. TriStation Tricón
Distribución de malware de IoT por 2 7 10 17 19 24 25
arquitectura de CPU 12.MMS 3 Utilice una solución de detección y respuesta de red (NDR)
compatible con IoT/OT y una solución de gestión
PowerPC o Núcleos ARC TangenteA5 <1% de eventos e información de seguridad (SIEM)/
Cisco 4500 6% Vulnerabilidades del protocolo del sistema de control industrial 2. Existe una gran variedad de proveedores específicos.
orquestación y respuesta de seguridad (SOAR) para monitorear
BRAZO 26% protocolos. Esto significa que las soluciones de seguridad específicas
Analizamos los datos de OT de nuestros sensores dispositivos en busca de comportamientos anómalos o no
Renesas
de cada proveedor no podrán cubrir adecuadamente toda la red. autorizados, como la comunicación con hosts desconocidos. .
SH 6% conectados a la nube y revelamos los protocolos de sistemas de control
Microsoft prioriza un enfoque independiente del proveedor
industrial (ICS) más comunes.
para brindar cobertura de seguridad para una amplia
BRAZO Estos protocolos proporcionan información sobre la naturaleza de estos
Intel 80386 dispositivos y su superficie de ataque. Esto es especialmente relevante variedad de dispositivos diferentes.
AArch64 1%
15% 4 Segmentar las redes para limitar la capacidad de un atacante
para la seguridad de la infraestructura crítica. Algunos
de moverse lateralmente y comprometer los activos después
aprendizajes clave son: 3. Las organizaciones deben asegurarse de que estos protocolos no
de la intrusión inicial. Los dispositivos IoT y las redes OT
MIPS 20% estén expuestos directamente a Internet desde sus redes. Esta
Motorola 1. La mayoría de los protocolos representados son deben aislarse de las redes informáticas corporativas mediante
exposición podría representar un riesgo de seguridad importante
m68k 4% patentado, por lo que las herramientas de monitoreo de TI firewalls.
debido a las vulnerabilidades y la naturaleza insegura de estos
x8664 19% ESPACIO 3% estándar no tendrán una visibilidad de seguridad adecuada en
protocolos. 5 Asegúrese de que los protocolos ICS no estén expuestos
estos dispositivos y protocolos. Como resultado, las redes
Microsoft observó que los dispositivos IoT que se ejecutan quedan sin supervisión y, por lo tanto, son más vulnerables a directamente a Internet.
en ARM son los más atacados por malware, seguidos
ataques específicos de OT.
por MIPS, X8664 e Intel 80386 CPU.
El firmware es responsable de las funciones principales de El proceso de actualización del firmware varía ampliamente
Hackeo de firmware un dispositivo, como conectarse a una red o almacenar entre dispositivos, y la complejidad y el desafío logístico de “Los proveedores de infraestructura de TIC son cada vez
datos. El firmware se encuentra en enrutadores, cámaras, realizarlo afecta la frecuencia de actualización. No siempre más objetivos, ya que permiten la replicación generalizada
y cadena de suministro televisores y otros dispositivos utilizados en empresas (IoT), es posible determinar si un dispositivo ejecuta el firmware más de un único ataque. Al mismo tiempo, la legislación
junto con equipos de control industrial (OT) utilizados en reciente, lo que dificulta que los profesionales de seguridad global, la regulación y las demandas de los clientes en materia
Casi todos los dispositivos conectados a Internet infraestructuras críticas. monitoreen y garanticen la postura de seguridad en sus de seguridad y resiliencia de la cadena de suministro están
tienen firmware, que es un software integrado en el Históricamente, el firmware se ha escrito con dispositivos IoT y OT. Además, algunos dispositivos aumentando, y a menudo divergen en sus requisitos.
hardware o en la placa de circuito del dispositivo. código no seguro, lo que crea vulnerabilidades tienen firmware que no está firmado criptográficamente, lo que
La solución es la asociación. Junto con los proveedores
En los últimos años, hemos visto un aumento importantes que pueden explotarse para controlar el permite actualizarlos sin verificación por parte del usuario.
y los gobiernos globales, Microsoft se compromete a abordar
en el ataque al firmware para lanzar ataques dispositivo o inyectar código malicioso en el firmware. Estas debilidades exponen aún más los dispositivos a ataques a
la seguridad en todo el ecosistema de nuestra cadena de
devastadores. Dado que es probable que el firmware la cadena de suministro en toda la cadena de producción y
suministro, superando las demandas tanto de los clientes
siga siendo un objetivo valioso para los actores de distribución.
Este riesgo se agrava cuando se trata de la cadena de como de los reguladores. Para ello, estamos impulsando
amenazas, las organizaciones deben protegerse suministro. La mayoría de los dispositivos se construyen un enfoque integral de seguridad y resiliencia operativa que
contra la piratería de firmware. utilizando componentes de software y hardware de Para abordar estas amenazas, Microsoft invierte se implemente de manera flexible en toda la cadena de
numerosos fabricantes, así como bibliotecas de código significativamente en garantizar la seguridad y la integridad del suministro.
abierto. En muchos casos, los operadores de dispositivos no firmware a medida que avanza por las distintas etapas de
Impulsar la integridad del firmware desde el diseño
tienen visibilidad de la lista de materiales de hardware y la cadena de suministro, y en certificar en cualquier momento que
hasta el funcionamiento del dispositivo es clave para
software (H/SBOM) para evaluar el riesgo de la cadena de no ha sido manipulado durante la ingestión o durante el camino.
nuestro enfoque colectivo. Garantizar los procesos SDL
suministro de los dispositivos en su red. En junio de Esto nos permitirá validar la confianza entre cada segmento
de los proveedores y desplegar innovación de raíz de
2020, se revelaron vulnerabilidades en una pila de red de tubería y proporcionar una cadena de custodia de extremo
confianza en hardware son ejemplos de cómo podemos
utilizada por muchos fabricantes diferentes que afectaban a a extremo certificada y demostrable para cada componente que
"construir" la integridad de la cadena de suministro.
cientos de millones de dispositivos IoT en el espacio de enviamos a los clientes. Estamos trabajando con nuestros
equipos industriales y de consumo.14 En algunos casos, socios para llevar esta seguridad del chip a la nube a todos los Nuestra comunidad está aprovechando la
otros proveedores cambiaron el nombre de la pila de red y dispositivos de la empresa y la red OT. investigación y el desarrollo colectivos que abarcan
no había indicios de que El dispositivo era vulnerable. nuevas técnicas antimanipulación y mecanismos criptográficos,
Vemos una creciente amenaza de actores maliciosos que combinados con monitoreo continuo y detección
apuntan a esta cadena de suministro de software y de anomalías. Juntos, estamos progresando para minimizar
hardware de dispositivos IoT/OT para comprometer a las el atractivo de la cadena de suministro como superficie
organizaciones. de ataque”.
Edna Conway,
Vicepresidente, Oficial de Seguridad y Riesgos,
Infraestructura de la nube
Informe El
El estado
estado de
de Estado
Estado nacional
Informe Influencia cibernética
cibercrimen
Amenazas
Resiliencia equipos
equipos
Operaciones
Si bien existen soluciones disponibles para crear dispositivos

Debilidades de seguridad en imágenes de firmware analizadas
Foco en las seguros, ya hay miles de millones de dispositivos en el
vulnerabilidades del firmware mercado e implementados en las empresas.

Contraseñas débiles 27%
Estos se conocen como dispositivos brownfield. En 2021,
Los atacantes aprovechan cada vez más las Microsoft adquirió ReFirm Labs para arrojar luz sobre la Más de 10 vulnerabilidades críticas conocidas 32%
vulnerabilidades del firmware de los dispositivos IoT seguridad de los dispositivos antiguos y permitir a los
4%
fabricantes de dispositivos mejorar la seguridad de sus productos. Más de 10 vulnerabilidades críticas de más de 6 años
para infiltrarse en las redes corporativas.
ReFirm Labs analiza la imagen binaria del firmware de un
A diferencia de los puntos finales de TI tradicionales Más de 10 certificados caducados hace más de 3 años 13%
dispositivo y produce un informe detallado sobre posibles
que utilizan agentes XDR para identificar debilidades, la
debilidades de seguridad.17 Esta tecnología se está Presencia de componentes peligrosos. 36%
identificación de vulnerabilidades dentro de los dispositivos
incorporando en una versión futura de Microsoft Defender
IoT/OT es mucho más difícil de alcanzar.
para IoT.
• Vulnerabilidades conocidas: al igual que otros sistemas, • Componentes de software: el treinta y seis por ciento de
Durante el año pasado, examinamos los resultados
Una encuesta reciente realizada por Microsoft y el Instituto El firmware del dispositivo IoT/OT aprovechó ampliamente las imágenes contienen componentes de software que
agregados del firmware único escaneado por nuestros
Ponemon destaca tanto la oportunidad como el desafío las bibliotecas de código abierto. Sin embargo, los Microsoft recomienda excluir de los dispositivos IoT,
clientes. Si bien no todas las debilidades descubiertas
de seguridad de IoT/ dispositivos suelen enviarse con versiones obsoletas de como herramientas de captura de paquetes (tcpdump,
pueden ser explotables, subrayan el desafío
dispositivos OT en una empresa.15 Mientras que el 68 por estos componentes. En nuestro análisis, el 32 por ciento de libpcap), que pueden aprovecharse para el reconocimiento
fundamental de la seguridad del firmware del
ciento de los encuestados cree que la adopción de IoT/OT es las imágenes contenían al menos 10 vulnerabilidades de la red como parte de una cadena de ataque.
dispositivo.
fundamental para su transformación digital estratégica, el 60 conocidas (CVE) clasificadas como críticas (9,0 o
por ciento reconoce que la seguridad de IoT/OT es uno Tenga en cuenta que los tipos de debilidades que existen en los superior). El cuatro por ciento contenía al menos 10
de los aspectos menos seguros de la TI/ dispositivos IoT/OT nunca serían aceptables en terminales vulnerabilidades críticas que tenían más de seis años.
Infraestructura de TO. tradicionales de Windows o Linux.
Un ejemplo de atacantes que utilizan vulnerabilidades en • Contraseñas débiles: veintisiete por ciento • Certificados caducados: los certificados se utilizan para
el firmware de dispositivos IoT para infiltrarse en una red de las imágenes de firmware escaneadas contenían autenticar conexiones e identidades, así como para
es el troyano Trickbot, que aprovechó las contraseñas cuentas con contraseñas codificadas utilizando proteger datos confidenciales, pero el 13 por ciento de las
predeterminadas y las vulnerabilidades en los algoritmos débiles (MD5/DES), que los atacantes imágenes analizadas contenían al menos 10 certificados
enrutadores Mikrotik16 para eludir los sistemas de defensa corporativos.pueden romper fácilmente. que habían caducado hacía más de tres años.
El desafío fundamental del firmware de dispositivos IoT
es la falta de visibilidad de la situación de seguridad y las
vulnerabilidades de los dispositivos.
Cómo Microsoft está mejorando la seguridad de la

Ataques de firmware en la naturaleza Microsoft se está asociando con el cadena de suministro
gobierno y la industria en tecnología de análisis de 1 Obtenga una mayor visibilidad de IoT/OT

Viasat: uso de una vulnerabilidad de firmware para Microsoft se está asociando con el gobierno y la industria para
apuntar a las comunicaciones por satélite firmware para brindar una visibilidad más profunda abordar estos desafíos de seguridad de dispositivos IoT y OT dispositivos en su red y priorícelos según el riesgo
de la seguridad de los dispositivos y brindar (consulte la discusión en la página 66). Nuestra contribución para la empresa si se ven comprometidos.
En febrero de 2022, un incidente en una red de satélites
incluirá el aprovechamiento de la tecnología de análisis de
desconectó una red de comunicación estratégica con impactos que seguridad del ciclo de vida completo para
firmware para brindar a los operadores de dispositivos visibilidad
se sintieron en toda Europa. El sistema KASAT de Viasat recibió los fabricantes y operadores de dispositivos. 2 Utilice herramientas de escaneo de firmware para comprender
de la situación de seguridad de los dispositivos en su red. Esto
una gran cantidad de tráfico que desconectó muchos módems y las posibles debilidades de seguridad y trabajar con los
permitirá a los clientes identificar y priorizar los dispositivos que
se inició un ataque de denegación de servicio contra la red. proveedores para identificar cómo mitigar los riesgos de
Desde junio de 2019, un grupo de amenazas persistentes necesitan protecciones, actualizaciones o reemplazos
los dispositivos de alto riesgo.
avanzadas (APT) afiliado a un estado nacional utilizó el malware adicionales, e impulsará la demanda de que los fabricantes de
A medida que se interrumpió la banda ancha fija, miles de
modular Cyclops Blink para atacar dispositivos de firewall dispositivos inviertan en seguridad de dispositivos. Al mismo 3 Influir positivamente en la seguridad de IoT/
turbinas eólicas quedaron remotamente inaccesibles para los
WatchGuard vulnerables y enrutadores ASUS mediante la tiempo, apoyamos a los constructores con soluciones Dispositivos OT al requerir la adopción de mejores
operadores y se implementó malware de limpieza malicioso en
ejecución de actualizaciones de firmware maliciosas y su integrales para diseñar dispositivos seguros y adoptar ciclos prácticas de ciclo de vida de desarrollo seguro por
los módems afectados. La interrupción afectó a más de 30.000
reclutamiento para una gran botnet. de vida de desarrollo seguros. parte de sus proveedores.
terminales satelitales utilizados por empresas y organizaciones
El malware infecta con éxito los dispositivos explotando una Enlaces a más información
para la comunicación.
vulnerabilidad conocida que permite una escalada de privilegios,
Otro componente clave es proporcionar a los constructores y
lo que permite a los actores de la amenaza administrar el dispositivo. Evaluación de las cadenas de suministro críticas
operadores una infraestructura sólida que permita actualizar
Cyclops Blink: uso de un ataque a la cadena de suministro Una vez infectado, el malware permite que se instalen más módulos Apoyando a la información de EE. UU. y
el firmware del dispositivo a medida que se descubren y
de firmware para apuntar a las puertas de enlace del firewall y evade las actualizaciones de firmware. Se ha observado que los Industria de la tecnología de las comunicaciones
resuelven problemas de seguridad. Microsoft está combinando el
dispositivos comprometidos se conectan a servidores C2 alojados
Para los actores de amenazas, el desarrollo y la análisis de firmware y Defender para IoT con Device Update para IoT
en otros dispositivos WatchGuard. Al emitir muchos certificados
expansión de la infraestructura de comando y control (C2) y de Hub para proporcionar una solución que aborde el ciclo de vida
SSL para su C2 en varios puertos TCP, los operadores de Cyclops
ataque es un componente crucial del éxito. A medida que ha completo de la seguridad de los dispositivos IoT y OT. Estos son
aumentado la necesidad de una infraestructura C2 estable, los Blink obtuvieron acceso remoto privilegiado a las redes
pasos importantes para hacer realidad nuestra visión de que los
ejecutando actualizaciones de firmware maliciosas y evadiendo
enrutadores se han convertido en un vector de ataque clientes aseguren la infraestructura mediante la adopción de
métodos de seguridad tradicionales como el escaneo.
deseable debido a sus parches poco frecuentes y a la falta de dispositivos que admitan un enfoque de Confianza Cero para
soluciones de seguridad integrales. sus soluciones de IoT y OT.18
Los atacantes apuntan cada vez más a las

vulnerabilidades del firmware de los dispositivos
IoT para infiltrarse en las redes corporativas.

La configuración única de cada PLC se describe en

Basado en reconocimiento el archivo del proyecto, que contiene la definición del entorno
y sus activos, la lógica de escalera y más.
ataques OT
Las cadenas de suministro complejas utilizan información
En la mayoría de los entornos que muestran evidencia de un Hemos observado
ataque, el análisis muestra que la línea de tiempo que precede
de diseño específica para planificar el sistema real.
De los innumerables activos que componen esta
al ataque excede con creces la duración del ataque en sí. una creciente amenaza
información de diseño, el más sensible es el archivo del
Los actores de amenazas a menudo invierten meses en
simular el entorno y sus activos de forma remota, haciendo
de ataques OT basados
proyecto, que define el entorno y sus activos. Este archivo
muchos intentos para construir un modelo y preparar
es un objetivo estratégico crucial para los actores de su ataque dirigido. A medida que los entornos cambian e
en reconocimiento que están
amenazas que buscan obtener acceso y desplegar
un ataque exitoso totalmente adaptado al entorno.
integran continuamente nuevos dispositivos, se crean
altamente adaptados a
vulnerabilidades específicamente en torno a los datos del
proyecto y los archivos de configuración. sus entornos objetivo.
El robo de un archivo de proyecto puede hacer avanzar un
Apuntar a los sistemas industriales para alterar los ataque semanas o meses y permitir a los atacantes
procesos operativos implica dos pasos. modelar el entorno objetivo de forma rápida y precisa,
lo que aumenta la dificultad para detectar actividad maliciosa.
1. Primero, el atacante debe acceder a la red OT.
Esto se puede hacer ingresando a través de dispositivos IoT
en el lado empresarial de la red (Modelo Purdue Nivel 4) y Industrial e Incontrolador
cruzando el límite ITOT, tradicionalmente separado por Hemos observado un aumento de los ataques a
firewalls y equipos de red, hacia los niveles de operación y
organizaciones, infraestructuras críticas y objetivos
control.
gubernamentales por parte de actores patrocinados por el
2. En segundo lugar, los dispositivos de red deben estar estado que utilizan malware modular y marcos de ataque.
identificado. Los sistemas industriales utilizan Los nuevos intentos de interferir con operaciones críticas en
dispositivos y componentes estándar en arquitecturas Ucrania subrayan la creciente amenaza de ataques OT
personalizadas diseñadas específicamente para sus basados en reconocimiento que están altamente
entornos. Uno de estos dispositivos estándar es el adaptados a sus entornos objetivo.
controlador lógico programable (PLC). Las fases extendidas de reconocimiento e investigación
Cada fabricante desarrolla interfaces y funciones únicas para llevadas a cabo por los actores cibernéticos de los estados
sus PLC, que son un componente crucial de los nacionales apuntan a una estrategia de utilizar la guerra
sistemas industriales, y estos dispositivos se configuran cibernética para paralizar la infraestructura de forma remota
además con esquemas personalizados diseñados para cumplir objetivos estratégicos u operativos específicos
específicamente para los entornos del cliente. en operaciones cibercinéticas combinadas y estrategia política.
Incontroller, un marco de ataque modular identificado El marco Incontroller admite protocolos para PLC de Schneider
Basado en reconocimiento durante el mismo período, es un conjunto de herramientas Electric y Omron y recopila información, como la versión de Información procesable
modular que reduce significativamente el tiempo de espera firmware, el tipo de modelo y los dispositivos conectados. El kit
ataques OT para penetrar y atacar dispositivos OT, evitando las soluciones de herramientas puede emitir comandos para cambiar
1 Evite transferir archivos que contengan definiciones
del sistema a través de canales no seguros o a
de seguridad heredadas. El kit de herramientas de uso general configuraciones y activar y desactivar salidas. Una vez que se personal no esencial.
Continuado
tiene capacidades de recopilación de datos, reconocimiento y accede a un entorno, el marco admite la implantación
A principios de 2022, se identificaron dos ataques OT críticos ataque que son altamente personalizables para diferentes de puertas traseras en los dispositivos para la entrega de más cargas 2 Cuando la transferencia de dichos archivos sea inevitable,
adaptables. Se llevó a cabo un ataque ciberfísico a entornos y pueden tener un gran impacto en la fase de investigación útiles, la emisión de vulnerabilidades para aumentar los puntos de asegúrese de monitorear la actividad en la red y asegurarse
de que los activos estén seguros.
subestaciones eléctricas y relés de protección en Ucrania de un ataque OT, reduciendo el tiempo necesario para realizar acceso, la carga de lógica de escalera y la capacidad de
con malware personalizado, incluida una variante de el reconocimiento y respaldando la simulación de entornos iniciar ataques DoS. La naturaleza genérica del conjunto de 3 Proteja las estaciones de ingeniería mediante el monitoreo con
Industroyer, un malware que se sabe que causó cortes de mediante la extracción de información. sobre dispositivos y herramientas permite a un actor de amenazas atacar un entorno soluciones EDR.
energía en Ucrania después de su implementación en 2016. sus configuraciones. rápidamente sin necesidad de escribir nuevos ataques para
cada PLC o ubicación. 4 Llevar a cabo de forma proactiva una respuesta a

incidentes para las redes OT.
Industroyer2 es la primera redistribución conocida de malware
de ataque OT malicioso en un nuevo objetivo. Utilizó el Esto permite al actor interactuar fácilmente con diferentes
5 Implemente monitoreo continuo, como
tipos de máquinas potencialmente en muchas industrias. Defender para IoT.
complemento del protocolo IEC104 (protocolo estándar para
monitoreo y control de sistemas de energía) desarrollado
para Industroyer y apuntaba principalmente a unidades
terminales remotas tipo PLC con número de modelo ABB
RTU540/560. El autor de este malware utilizó el conocimiento del
entorno de la víctima para emitir comandos repetidamente a
salidas predeterminadas, asegurándose de que no pudieran
activarse manualmente. Esto garantizó cortes de energía
más duraderos y un impacto más dañino.
Notas finales
1 Véase, por ejemplo, Directiva revisada sobre seguridad de redes y sistemas de información (NIS2) | 16 Descubriendo el uso de dispositivos IoT por parte de Trickbot en la infraestructura C2 (marzo de
Dar forma al futuro digital de Europa (europa.eu); https://eurlex.europa.eu/legalcontent/ES/TXT/ 2022): https://www.microsoft.com/security/blog/2022/03/16/uncoveringtrickbotsuseofiotdevicesincommand ycontrol
PDF/?uri=COM:2020:595:FIN&rid=1; Ley de enmienda de la legislación de seguridad (protección de infraestructuras críticas) infraestructura/
de 2022 (homeaffairs.gov.au); Chile: Proyecto de ley de ciberseguridad e infraestructura de información crítica presentado en 17 Programa de IoT en el episodio del canal 9 sobre escaneo de firmware de IoT (mayo de 2022): https://docs.microsoft.
el Senado | Publicación de noticias | Guía de datos; Japón aprueba un proyecto de ley de seguridad económica para proteger la com/enus/shows/internetofthingsshow/iotdevicefirmwaresecurityscanningwithazuredefenderforiot
tecnología sensible | Los tiempos de Japón; Revisión de la Ley de Ciberseguridad y Actualización del Código de Prácticas de
Ciberseguridad para ICI (csa.gov.sg); Propuesta de legislación para mejorar la resiliencia cibernética del Reino Unido: GOV.UK 18 Cómo aplicar un enfoque Zero Trust a sus soluciones de IoT (mayo de 2021): https://
(www.gov.uk); Ley de Telecomunicaciones (Seguridad) de 2021 (legislation.gov.uk); Actualización del marco de www.microsoft.com/security/blog/2021/05/05/howtoapplyazerotrustapproach asussolucionesiot/
ciberseguridad del NIST: viaje hacia CSF 2.0 | NIST
2 Certificado de entrada: página de inicio
3 Inicio de una consulta sobre la introducción de la obligación de informar sobre ciberataques (admin.ch)
4 Véase, por ejemplo, sin título (house.gov)
5 Ley de Resiliencia Cibernética | Dar forma al futuro digital de Europa (europa.eu)
6 Véase, por ejemplo, Ciclo de vida de desarrollo de seguridad de Microsoft.
7 Véase, por ejemplo, Generación de listas de materiales de software (SBOM) con SPDX en Microsoft—Engineering@
Microsoft; consulte también, por ejemplo, Los elementos mínimos para una lista de materiales de software (SBOM) |
Administración Nacional de Telecomunicaciones e Información (ntia.gov)
8 Véase, por ejemplo, https://www.microsoft.com/enus/msrc/cvd
9 Proyecto de ley sobre seguridad de productos e infraestructura de telecomunicaciones (PSTI): seguridad de productos
Ficha informativa: GOV.UK (www.gov.uk)
10 La Comisión refuerza la ciberseguridad de los dispositivos y productos inalámbricos (europa.eu)
11 Esquema de certificación de la nube: creación de servicios de nube confiables en toda Europa — ENISA (europa.eu)
12 Certificación — ENISA (europa.eu)
13 https://github.com/microsoft/sbomtool” GitHub microsoft/sbomtool: La herramienta SBOM es una
Herramienta altamente escalable y lista para empresas para crear SBOM compatibles con SPDX 2.2 para cualquier variedad de
artefactos.
14 https://www.zdnet.com/article/ripple20vulnerabilitieswillhaunttheiotlandscapeforyears
venir
15 Innovación de IoT/OT crítica pero conlleva riesgos importantes (diciembre de 2021):

https://www.microsoft.com/security/blog/2021/12/08/newresearchshowsiotandotinnovationiscriticaltobusiness
butcomeswithsignificant riesgos/
Influencia cibernética
Una descripción general de las operaciones de influencia cibernética 72
Introducción 73
Tendencias en las operaciones de ciberinfluencia 74
Operaciones
Foco en las operaciones de influencia durante
la pandemia de COVID19 y
La invasión rusa de Ucrania 76
Seguimiento del índice de propaganda rusa 78

Las operaciones de influencia extranjera actuales utilizan
Medios sintéticos 80
nuevos métodos y tecnologías, lo que hace que sus campañas
diseñadas para erosionar la confianza sean más eficientes y efectivas. Un enfoque holístico para protegerse contra las
operaciones de influencia cibernética 83

Las operaciones de influencia cibernética se están volviendo cada vez más Rusia, Irán y China
Influencia cibernética sofisticadas a medida que más gobiernos y estados nacionales utilizan emplearon campañas de
estas operaciones para moldear la opinión, desacreditar a los adversarios y propaganda e influencia
Operaciones
promover la discordia. durante la pandemia de
COVID19, a menudo como un
Las operaciones de influencia dispositivo estratégico para
extranjera actuales utilizan nuevos lograr objetivos políticos más amplios.
métodos y tecnologías, lo que

Progresión de Más información en p76
hace que sus campañas las
Preposición Lanzamiento Amplificación
diseñadas para erosionar la operaciones de
influencia cibernética extranjera
Los medios sintéticos son cada vez más
confianza sean más eficientes y efectivas. frecuentes debido a la proliferación de productores
bueno y bueno
herramientas que crean y difunden fácilmente
Los estados nacionales están utilizando cada vez más Más información en p74 imágenes, vídeos y audio artificiales
sofisticadas operaciones de influencia para distribuir de gran realismo. La tecnología de procedencia Distribución
propaganda e impactar la opinión pública tanto a nivel nacional
La invasión rusa de Ucrania demuestra operaciones de digital que certifica el origen de los activos Espectáculo sin precedentes
como internacional. Estas campañas erosionan la de los medios es prometedora para combatir el uso indebido.
confianza, aumentan la polarización y amenazan los influencia cibernética integradas con ataques cibernéticos
Efectos
procesos democráticos. Los actores expertos en más tradicionales y operaciones militares cinéticas para
Erosión de la confianza
manipulación persistente avanzada están utilizando los maximizar el impacto. Más información en p80
medios tradicionales junto con Internet y las redes sociales
para aumentar enormemente el alcance, la escala y la
eficiencia de sus campañas, y el enorme impacto que
están teniendo en el ecosistema de información global.
Un enfoque holístico para protegerse
El año pasado, hemos visto estas operaciones utilizadas
como parte de la guerra híbrida de Rusia en Ucrania, pero
contra las operaciones de influencia cibernética
también hemos visto a Rusia y otras naciones, incluidas
Microsoft está aprovechando su ya madura infraestructura de
China e Irán, recurrir cada vez más a operaciones de
inteligencia sobre amenazas cibernéticas para combatir las
propaganda impulsadas por las redes sociales para extender
operaciones de influencia cibernética. Nuestra estrategia es detectar,
su influencia global.
perturbar, defender y disuadir las campañas de propaganda de los agresores extranjeros.
Más información en p76 Más información en p83

La democracia Las operaciones de influencia extranjera siempre han sido También estamos estudiando cómo tecnologías avanzadas
Introducción una amenaza para el ecosistema de la información. Sin como los deepfakes pueden convertirse en armas y
necesita información confiable embargo, lo que difiere en la era de Internet y las socavar la credibilidad de los periodistas.
redes sociales es el alcance, la escala y la eficiencia Y estamos trabajando con la industria, el gobierno y el
para prosperar. Un área clave enormemente aumentados de las campañas, y el enorme mundo académico para desarrollar mejores formas de
de atención para Microsoft son impacto que pueden tener en la salud del ecosistema de detectar medios sintéticos y restablecer la confianza,
información global. como sistemas de inteligencia artificial (IA) que
las operaciones de influencia puedan detectar falsificaciones.
El viejo dicho de que “una mentira llega al otro lado
que están desarrollando y perpetuando del mundo antes de que la verdad tenga la oportunidad de La naturaleza rápidamente cambiante del ecosistema de
ponerse los zapatos” ahora se está confirmando con datos. información y la propaganda en línea de los estados
los estados nacionales. Estas
Un estudio del Instituto Tecnológico de Massachusetts nacionales, incluida la combinación de ciberataques
campañas erosionan la (MIT)1 encontró que las falsedades tienen un 70 por ciento más tradicionales con operaciones de influencia y la interferencia
de probabilidades de ser retuiteadas que la verdad y en elecciones democráticas, requiere un enfoque de toda la
confianza, aumentan la llegan a las primeras 1.500 personas seis veces más sociedad para mitigar las amenazas a la democracia,
polarización y amenazan los procesos democráticos.
rápido. El ecosistema de la información se ha vuelto cada tanto en línea como fuera de línea.
vez más turbio a medida que florecen las campañas de
Microsoft se dedica a respaldar un ecosistema de
propaganda en Internet y las redes sociales y socavan la
información saludable en el que prosperan las noticias y
confianza en las noticias tradicionales. En un estudio de
la información confiables. Estamos desarrollando herramientas
2021,2 solo el siete por ciento de los adultos estadounidenses
y capacidades de detección de amenazas para combatir
dijeron que tenían “mucha” confianza en los informes de
el riesgo en evolución y expansión de las operaciones de
noticias de los periódicos, la televisión y la radio, mientras que
influencia impulsadas por los estados nacionales. Para
el 34 por ciento informó “ninguna en absoluto”.
permitir este trabajo, recientemente adquirimos Miburo
Microsoft ha estado trabajando para identificar los principales Solutions, nos asociamos con validadores externos como
actores, amenazas y tácticas en el espacio de influencia Global Disinformation Index y NewsGuard, y participamos y, en
cibernética extranjera y compartir las lecciones aprendidas. ocasiones, lideramos asociaciones de múltiples partes
En junio de este año, publicamos un informe completo sobre interesadas, incluida la Coalición para la Procedencia y
las lecciones aprendidas de Ucrania, que contenía una Autenticidad del Contenido (C2PA). Sólo trabajando
mirada detallada a las operaciones de influencia juntos podremos lograr enfrentarnos a quienes buscan
cibernética de Rusia.3 socavar los procesos e instituciones democráticos.
Teresa Hutson
Vicepresidente de Tecnología y
Responsabilidad Corporativa
Informe
Informe
El
El estado
estado de
de Estado
Estado nacional
nacional Dispositivos
Dispositivos yy Influencia cibernética cibernético
Contribuyendo
Amenazas Infraestructura
Infraestructura Operaciones Resiliencia
Resiliencia equipos
equipos
cibercrimen
Estas operaciones de influencia cibernética extranjera suelen Este enfoque de tres pasos se aplicó a finales de 2021 para Estamos viendo regímenes autoritarios en todo el mundo
Tendencias en las tener tres etapas: respaldar la falsa narrativa rusa sobre supuestas armas trabajando juntos para contaminar el ecosistema de la
biológicas y laboratorios biológicos en Ucrania. Esta narrativa se información en beneficio mutuo.
operaciones de ciberinfluencia subió por primera vez a YouTube el 29 de noviembre de 2021 Por ejemplo, durante la pandemia de COVID19, Rusia, Irán y China
Preposición
como parte de un programa regular en inglés por un expatriado emplearon operaciones de propaganda e influencia utilizando una
Las operaciones de influencia cibernética se están estadounidense radicado en Moscú que afirmó que los combinación de métodos de difusión abiertos, semiencubiertos y
Al igual que el preposicionamiento de malware dentro de la
volviendo cada vez más sofisticadas a medida que biolaboratorios financiados por Estados Unidos en Ucrania encubiertos para atacar a las democracias y otros objetivos
red informática de una organización, las operaciones de influencia
la tecnología evoluciona rápidamente. Estamos cibernética extranjera preposicionan narrativas falsas en el
estaban conectados con armas biológicas. La historia pasó desapercibida geopolíticos (que se analizan más adelante en la página 76 ) . Los
viendo una superposición y expansión de dominio público de Internet. durante meses. El 24 de febrero de 2022, justo cuando los tanques tres regímenes jugaron con los ecosistemas de mensajería e
las herramientas utilizadas en los ciberataques La táctica de posicionamiento previo ha ayudado durante rusos cruzaban la frontera, la narrativa se lanzó a la batalla. Un equipo información de cada uno para promover narrativas preferidas. Gran
tradicionales que se aplican a las operaciones de mucho tiempo a las actividades cibernéticas más tradicionales, de análisis de datos de Microsoft identificó 10 sitios de noticias parte de esta cobertura consistió en críticas o teorías de
influencia cibernética. Además, estamos viendo especialmente si los administradores de TI escanean su controlados o influenciados por Rusia que publicaron conspiración sobre Estados Unidos y sus aliados difundidas
simultáneamente informes el 24 de febrero apuntando al "informe por figuras gubernamentales en declaraciones oficiales mientras
una mayor coordinación y amplificación entre los estados nacionales.
actividad de red más reciente. El malware que permanece inactivo
durante un tiempo prolongado en una red puede hacer que su del año pasado" y buscando darle crédito. promocionaban sus propias vacunas y respuestas al COVID19 como
uso posterior sea más eficaz. Las narrativas falsas que pasan superiores a las de Estados Unidos y otras democracias.
Microsoft invirtió este año en la lucha contra las operaciones de influencia
desapercibidas en Internet pueden hacer que las referencias
extranjera mediante la adquisición de Miburo Solutions, una empresa
posteriores parezcan más creíbles. Además, funcionarios del Ministerio de Asuntos Exteriores ruso
especializada en el análisis de operaciones de influencia extranjera.
celebraron conferencias de prensa que sembraron aún más Al amplificarse mutuamente, los medios de comunicación estatales
Combinando a estos analistas con los analistas de contexto de afirmaciones falsas sobre los biolaboratorios estadounidenses crearon un ecosistema en el que la cobertura negativa de las
amenazas de Microsoft, Microsoft formó el Centro de análisis de Lanzamiento
en el entorno informativo. Luego, los equipos patrocinados por democracias (o la cobertura positiva de Rusia, Irán y China) producida
amenazas digitales (DTAC).
A menudo, en el momento más beneficioso para lograr los Rusia trabajaron para amplificar la narrativa en las redes sociales y por un medio de comunicación estatal fue reforzada por otros.
DTAC analiza e informa sobre las amenazas de los estados nacionales,
sitios de Internet de manera más amplia.
incluidos los ciberataques y las operaciones de influencia, combinando objetivos del actor, se lanza una campaña coordinada para propagar
información e inteligencia de amenazas con análisis geopolítico narrativas a través de medios de comunicación y canales de
para proporcionar conocimientos e informar respuestas y protecciones redes sociales influenciados y respaldados por el gobierno.
Progresión de las operaciones de influencia cibernética extranjera5
efectivas.
Preposición Lanzamiento Amplificación
Más de tres cuartas partes de las personas en todo el mundo dijeron
que les preocupa que la información se convierta en un arma,4 y nuestros Amplificación
datos respaldan estas preocupaciones.

Finalmente, los medios y representantes controlados por el Estado
Microsoft y sus socios han estado rastreando cómo los actores de los
nacional amplifican las narrativas dentro de audiencias específicas.
estados nacionales están utilizando operaciones de influencia para lograr
A menudo, los facilitadores tecnológicos involuntarios amplían
sus objetivos estratégicos y políticos. Además de los ciberataques
el alcance de las narrativas. Por ejemplo, la publicidad en línea puede conferencia de prensa Cobertura del
destructivos y los esfuerzos de ciberespionaje, los regímenes autoritarios Los medios
ayudar a financiar actividades y los sistemas coordinados de
utilizan cada vez más operaciones de influencia cibernética para ecosistema de medios ruso extranjeros amplifican
distribución de contenidos pueden
moldear la opinión, desacreditar a los adversarios, incitar al miedo,
inundar los motores de búsqueda.
promover la discordia y distorsionar la realidad.
Ilustración de cómo las narrativas sobre los biolaboratorios y las armas biológicas estadounidenses se difunden a través de las tres grandes fases de
muchas operaciones de influencia extranjera: preposicionamiento, lanzamiento y amplificación.
Tendencias en las Se necesita una mayor A nivel mundial, más de tres cuartas partes
operaciones de ciberinfluencia coordinación e intercambio de la gente se preocupa por cómo
de información entre el
Continuado se está utilizando la información como arma.
gobierno, el sector
Para aumentar el desafío, las entidades
privado y la sociedad
tecnológicas del sector privado podrían
habilitar estas campañas sin saberlo. Los facilitadores
civil para aumentar la
pueden incluir empresas que registran dominios de transparencia
Internet, alojan sitios web, promocionan material y exponer e
en redes sociales y sitios de búsqueda, canalizan
interrumpir estas campañas de influencia.
tráfico y ayudan a pagar estos ejercicios a través de
publicidad digital. Las organizaciones deben ser conscientes
de las herramientas y métodos empleados por los
regímenes autoritarios para las operaciones de influencia
cibernética, de modo que puedan detectar y luego
prevenir la propagación de campañas. También existe una
creciente necesidad de ayudar a los consumidores a
desarrollar una capacidad más sofisticada para identificar
operaciones de influencia extranjera y limitar la interacción con sus narrativas o contenidos.
Las operaciones de influencia cibernética,

incluida la propaganda autoritaria, son una
amenaza para las democracias en todo el
mundo, ya que erosionan la confianza,
aumentan la polarización y amenazan los procesos democráticos.
Estados Unidos estuvo detrás del brote de COVID19 y

Enfoque en las Temas cubiertos por las 10 historias sobre coronavirus más vistas en RT.com escribió: “en todas las guerras estadounidenses se utilizan
(octubre de 2021 – abril de 2022) armas radiológicas, químicas, biológicas y otras armas
operaciones de influencia prohibidas, lo que inflige un precio devastador a las personas
durante el COVID19 y la invasión rusa La
de propaganda
Ucrania antivacunas se dirige a lectores no rusos en las zonas objetivo”. 8 Medios de comunicación estatales
rusos y gobierno chino Los relatos se hicieron eco del
Los estadosnación que buscan controlar el ruso Inglés sentimiento. Russia Today (RT), un medio de comunicación
entorno de la información durante la pandemia y estatal conocido por su papel en la difusión de propaganda del
(Traducido a continuación al inglés)
durante la invasión rusa de Ucrania brindan claros Kremlin9, publicó al menos un artículo que promovía
ejemplos de cómo los regímenes autoritarios “Los confinamientos y los “Las vacunas no consiguen frenar la transmisión y son
declaraciones de funcionarios iraníes que afirmaban que el
combinan las operaciones cibernéticas y de refuerzos previenen la transmisión” ineficaces contra nuevas cepas” COVID19 podría ser un “producto del 'ataque biológico' de
información. Estados Unidos dirigido a Irán y China”10 y publicó
“Las figuras públicas rusas están dando positivo” “La vacuna Pfizer tiene efectos secundarios peligrosos”
publicaciones en las redes sociales que lo sugerían. Por
ejemplo, un tweet de RT del 27 de febrero de 2020 decía: “A
“Los casos y las muertes están aumentando en Rusia” “La vacunación masiva tiene motivaciones políticas”
propaganda del COVID19
mano alzada, ¿quién no se sorprenderá si alguna vez se
Rusia, Irán y China emplearon campañas de propaganda e “Pfizer y Moderna realizan ensayos revela que el #coronavirus es un arma biológica?”11
“La vacuna Sputnik V es altamente efectiva”
influencia durante la pandemia de COVID19. La no regulados”
COVID19 ocupó un lugar destacado en estas “Se necesita prueba de vacuna en el transporte público”
La guerra en Ucrania: la propaganda como arma de guerra
campañas de dos maneras centrales:
Los mensajes rusos sobre el COVID19 difieren según el idioma.

La invasión rusa de Ucrania proporciona un claro ejemplo
1. Representaciones de la propia pandemia.
de cómo las operaciones de influencia cibernética pueden
2. Campañas que utilizaron la COVID19 como dispositivo Otro ejemplo son las campañas que intentaron ocultar el Un ejemplo de ello es la sugerencia inicial de los combinarse con ataques cibernéticos más tradicionales y
estratégico para lograr objetivos políticos más amplios. origen del virus COVID19. medios estatales rusos e iraníes de que el operaciones militares sobre el terreno para maximizar
Desde el inicio de la pandemia, la propaganda rusa, iraní y COVID19 podría ser un arma biológica creada por su impacto.
El objetivo amplio de este tipo de campañas es doble: primero,
socavar las democracias, las instituciones democráticas china sobre la COVID19 aumentó la cobertura de los Estados Unidos. Esta afirmación circuló en sitios web marginales
En el período previo a la invasión de Ucrania, los
demás para amplificar estos temas centrales. Gran sobre conspiraciones a principios de la pandemia después de
y la imagen de Estados Unidos y sus aliados en el analistas de inteligencia de amenazas de Microsoft vieron
parte de esta cobertura consistió en promover críticas o teorías una entrevista con un profesor de derecho que afirmó creer
escenario global; y segundo, reforzar su propia posición a al menos seis actores alineados con Rusia lanzar más de
conspirativas sobre Estados Unidos. Amplificándose que el COVID19 fue creado como un arma.6
nivel nacional e internacional. 237 ataques cibernéticos contra Ucrania.
mutuamente periódicamente, los medios de comunicación Después de que la entrevista se publicara en algunos
Estas campañas buscaban degradar los servicios y las
estatales desarrollaron un ecosistema en el que la sitios web de alcance limitado, los medios de comunicación
Un ejemplo de esto se puede ver en los mensajes instituciones, perturbar el acceso de los ucranianos a
cobertura negativa de las democracias o la cobertura estatales retomaron la historia. PressTV, un medio iraní
de conocidas cuentas y organizaciones de medios rusos información confiable y sembrar dudas sobre el liderazgo
positiva de Rusia, Irán y China por parte de un medio de en inglés y francés patrocinado por el gobierno iraní,7
dirigidos a lectores de habla inglesa versus cómo el gobierno del país.
comunicación estatal fue reforzada una y otra vez por los publicó una historia en inglés en febrero de 2020 titulada “¿Es el
ruso se comunicó con su propio pueblo con respecto a la demás. coronavirus un arma de guerra biológica estadounidense
vacuna y la gravedad del COVID19. como cree Francis Boyle?” El artículo sugirió
degradar la confianza en las instituciones y sembrar Dominios con tráfico El encubrimiento de las atrocidades por parte de Rusia ha
Enfoque en las dudas sobre las narrativas dominantes. Esta información
(9 de marzo de 2022 – 30 de abril de 2022)
continuado a medida que avanzaba la guerra. Por ejemplo,
puede manipularse para crear propaganda dirigida a a finales de junio de 2022, medios de comunicación y personas
operaciones de influencia Ucrania y Occidente, disminuir la confianza en la 500 influyentes rusas describieron el bombardeo de un centro
durante el COVID19 y la invasión rusaseguridad
de Ucrania
digital y erosionar el apoyo a la ayuda comercial como justificado y necesario, afirmando falsamente
occidental a Ucrania. 400
que no estaba en uso como centro comercial, sino más
Continuado
bien como arsenal de las fuerzas de defensa territorial
Rusia utilizó otros ataques informativos para moldear la 300
En un informe de Microsoft publicado en abril de ucranianas. 13 Varios blogueros proKremlin en Telegram
opinión pública después de los acontecimientos sobre
2022, mostramos cómo, en un aparente intento de 200 publicaron y amplificaron contenido que reforzaba la
el terreno para oscurecer o socavar los hechos. Por
controlar el entorno de la información en Kiev, Rusia narrativa de la “bandera falsa”, y los blogueros
ejemplo, el 7 de marzo, Rusia presentó una
lanzó un ataque con misiles contra una torre de 100 señalaron presuntos indicadores de fabricación, incluida la
narrativa a través de una presentación ante las
televisión en Kiev el mismo día que lanzó un presencia de personas con uniforme militar en las
Naciones Unidas (ONU) de que un hospital de 0
malware destructivo contra una importante empresa de imágenes de la escena14 y la ausencia de mujeres en
maternidad en Mariupol, Ucrania, había sido vaciado
medios ucraniana. .12 las imágenes . 15 Rusia lanzó campañas apoyándose en un
2a0
d
0a1
d
8a1
d
6a
2
d
ra9m
0
7m
1
d
5m
2
d
lirb
e
lirb
e
lirb
e
lirb
e
y estaba siendo utilizado como sitio militar. El 9 de
ozrae
ozrae
sistema desarrollado de mensajeros y médiums de propaganda.
En otro ejemplo de cómo convergen los ciberataques marzo Rusia bombardeó el hospital. Después de que
La amplificación de estas historias en línea brinda a Rusia la
y las operaciones de influencia, un actor de amenazas se conoció la noticia del bombardeo, el representante Los sitios web de propaganda publicaron historias sobre el
capacidad de desviar la culpa en el escenario internacional y
ruso envió correos electrónicos a ciudadanos ucranianos ruso ante la ONU, Dmitry Polyanskiy, tuiteó que la hospital de maternidad durante aproximadamente dos semanas
cobertura del bombardeo era “noticia falsa” y citó las con un breve resurgimiento a partir del 1 de abril de 2022. Fuente: evitar la rendición de cuentas.
que supuestamente provenían de residentes de
Microsoft AI for Good Lab.
Mariupol, culpando al gobierno ucraniano por la afirmaciones anteriores de Rusia sobre su presunto uso
escalada de la guerra y pidiendo a sus compatriotas como sitio militar. Luego, Rusia impulsó ampliamente Los estados nacionales como Rusia comprenden el valor de
que respondieran al gobierno. Estos correos esta narrativa en los sitios web controlados por Rusia Imágenes de satélite de un hospital utilizar información derivada de fuentes cerradas para
electrónicos estaban dirigidos específicamente durante las dos semanas posteriores al ataque al hospital. perinatal en Mariupol en febrero y marzo de 2022 influir en las percepciones públicas, utilizando campañas de
(por nombre) a quienes los recibieron, lo que “pirateo y filtración” para difundir narrativas contrarias y
indica que es posible que les hayan robado su sembrar desconfianza.
información en un ciberataque anterior relacionado con el Dmitry Polyanskiy
@Dpol_un
espionaje. No se incluyeron enlaces maliciosos, lo que
sugiere que la intención fueron puras operaciones de influencia.
Así nacen las #fakenews. Advertimos en
Presentar material supuestamente pirateado, nuestra declaración del pasado Defender Ucrania: primeras lecciones de la
filtrado o sensible es una táctica común utilizada por los 7 de marzo (russia.ru/en/news/070322n) guerra cibernética | Microsoft sobre los problemas
actores rusos en operaciones de influencia. que los radicales han convertido Una visión general de la actividad de
A lo largo de la guerra en Ucrania, los canales de redes este hospital en un objeto militar.
ciberataques de Rusia en Ucrania | microsoft
sociales proRusia han promocionado lo que afirman son muy preocupante que la ONU
difunda esta información sin Reporte especial
materiales filtrados o sensibles de fuentes ucranianas. El El propio análisis de imágenes satelitales de Microsoft mostró
verificación #Mariupol #Mariupolhospital que el hospital perinatal fue bombardeado. La primera foto es del Perturbadores ciberataques dirigidos a Ucrania |
material filtrado o sensible es utilizado por canales y
24 de febrero de 2022 y la segunda es del 24 de marzo de 2022. Microsoft sobre los problemas
medios de redes sociales prorrusos como parte de una Fuente de la foto: Planet Labs.
estrategia de influencia más amplia. 1 4 8
Informe
Informe El estado
El estadodede Estadonacional
Estado nacional Dispositivos y Influencia cibernética cibernético
Contribuyendo
cibercrimen Amenazas Infraestructura
Resiliencia equipos
Seguimiento del ruso Índice de propaganda rusa en Estados Unidos

(octubre de 2021 – abril de 2022)
Índice de propaganda
En enero de 2022, casi mil sitios web
estadounidenses remitían tráfico a sitios web de
propaganda rusos. Los temas más comunes de
los sitios web de propaganda rusos dirigidos a
una audiencia estadounidense fueron la guerra
en Ucrania, la política interna estadounidense
(ya sea proTrump o proBiden) y la COVID19
y las narrativas relacionadas con las vacunas.
El Índice de Propaganda Rusa (IPR) monitorea el

flujo de noticias de los medios y amplificadores de
noticias patrocinados y controlados por el estado ruso
como proporción del tráfico general de noticias en Internet.
El RPI se puede utilizar para trazar el consumo de
propaganda rusa en Internet y en diferentes
geografías en una línea de tiempo precisa.
Microsoft señala, sin embargo, que sólo podemos
observar la propaganda rusa publicada en sitios
web previamente identificados. No tenemos
información sobre la propaganda en otros tipos
de sitios web, incluidos sitios web de noticias El 24 de febrero de 2022,
autorizados, sitios web no identificados y grupos de redes sociales. Rusia invadió Ucrania
n2
e0
e e
d
ee2
df
ec2
o
d
o2r2
erb1u2t0
2r2b0
b2a
d
ei2
erbm1e2ic0 d
ir0
e
emd
2
ore
o2
n
d
zr2a0
2l2
v2
erbme1i0 e
o2
Informe
Informe
El estado
El estado de
de Estado nacional
Estado nacional Dispositivos yy
Dispositivos Influencia cibernética cibernético
Contribuyendo
Resiliencia equipos
equipos
cibercrimen
Índice de propaganda rusa: Nueva Zelanda Índice de propaganda rusa en Estados

Seguimiento del ruso versus Australia y Estados Unidos Unidos: inglés y español La propaganda rusa
Una evaluación del RPI en Nueva Zelanda mostró un
Índice de propaganda aumento a finales de 2021 relacionado con la
El RPI también rastrea la propaganda en todos los idiomas.
Varios medios, incluidos RT y Sputnik News, están es alta en América Latina
Continuado propaganda de la COVID19. Este aumento en el disponibles en más de 20 idiomas. Estos incluyen inglés,
consumo de propaganda rusa en Nueva español, alemán, francés, griego, italiano, checo, polaco,
Índice de propaganda rusa: Ucrania serbio, letón, lituano, moldavo, bielorruso,
Zelanda precedió a un aumento de las protestas
Cuando comenzó la guerra de Ucrania, vimos un públicas a principios de 2022 en Wellington. Un armenio, osetio, georgiano, azerbaiyano, árabe,
aumento del 216 por ciento en la propaganda rusa, alcanzando segundo pico estuvo claramente relacionado con la turco, persa y dari.
su punto máximo el 2 de marzo. El siguiente gráfico invasión rusa de Ucrania y superó los RPI de Australia y Estados Unidos.
muestra cómo este aumento repentino coincidió con la invasión.
El siguiente gráfico muestra que el RPI de las
Los dos gráficos muestran cómo surgió la propaganda rusa RPI, Nueva Zelanda versus Australia y noticias en español en Estados Unidos es mucho más
poco después de que comenzara la invasión. Estados Unidos alto que el de las noticias en inglés.
RPI, Ucrania
El consumo de propaganda rusa es 2 veces mayor
(7 de octubre de 2021 – 30 de abril de 2022)
entre los hispanohablantes
Consumo de
propaganda
de los hispanohablantes.
El 24 de febrero de 2022, angloparlantes

Rusia invadió Ucrania
El 24 de febrero de 2022,
RT en Español es el medio de
e0
o2r2 n2
e 6
e
d
c28
o
d
ee2
5f
d
erb1u2t0
e
2r2b0
ei2
7
d
ore
erbm1e2ic0
v0o2
e 7
n
d
62
1
e
d
erbme1i2
62e
d
e0
o2r2 n
e
e0n
e
c21
o
d
o2r2
c2o
d
erb1u2t0
8
e
erb1u2t0
8
e
Rusia invadió Ucrania

7i2
1
d
7i2
d
12c0
12c0
721
n
d
72n
d
v0o
e
v0o
e
erbme1i2
erbme1i2
noticias internacional con

n2e
d
mayor número de páginas

e0e
ec2
o
d
ee2
df
o2r2
erb1u2t0
2r2b0
b2a
d
ei2
erbm1e2ic0 d
emd
2
ir2
e
ore
o2n
d
zr2a0
2l0
v0
erbme1i2 e
o2
Australia Nueva Zelanda Estados Unidos
n2
e0
ee
d
ee2
df
ec2
o
d
o2r2
erb1u2t0
2r2b0
b2a
d
ei2
erbm1e2ic0 d
emd
2
ir0
e
ore
o2n
d
zr2a0
2l2
erbme1i2v0
e
o2
vistas y seguidores en Facebook.
El consumo de propaganda rusa en Nueva Zelanda es
similar al de Australia hasta la primera semana de diciembre Inglés Español
Fuente: Microsoft AI for Good Research Lab
2021. Después de diciembre, el consumo de
El consumo de propaganda rusa en Estados Unidos es
propaganda rusa en Nueva Zelanda aumentó más
dos veces mayor entre los hispanohablantes.
del 30 por ciento en relación con el consumo en Australia
y Estados Unidos.
Creación de medios sintéticos El Para crear el efecto, la “falsificación barata” se extendió por Estas técnicas avanzadas basadas en IA aún no se utilizan
Medios sintéticos campo del texto y los medios sintéticos está avanzando.
todas partes antes de que aparecieran el vídeo y el contexto ampliamente en las campañas de influencia cibernética actuales.
originales. pero esperamos que el problema crezca a medida que las
increíblemente rápido, ya que técnicas que antes solo eran
Estamos entrando en una era dorada para la herramientas sean más fáciles de usar y estén más disponibles.
posibles con los vastos recursos informáticos de los grandes Los enfoques más sofisticados para alterar el contenido de los medios
creación y manipulación de medios mediante IA.
estudios cinematográficos ahora se integran en aplicaciones incluyen la aplicación de técnicas avanzadas de inteligencia
Los analistas de Microsoft señalan que esto se debe a El impacto de la manipulación de los medios sintéticos El uso de
telefónicas. Al mismo tiempo, las herramientas son artificial para (a) crear contenido puramente sintético.
dos tendencias clave: la proliferación de herramientas Cada vez es más fácil de usar y puede generar contenido con un nivel
operaciones de información para causar daño o ampliar la influencia
medios, y (b) realizar ediciones más sofisticadas
y servicios fáciles de usar para crear artificialmente de realismo que puede engañar incluso a los especialistas en medios de los medios existentes. El término deepfake es a menudo
no es nuevo. sin embargo, el
imágenes sintéticas, vídeos, audio y texto altamente velocidad con la que se puede difundir la información y nuestra
forenses. Estamos muy cerca de alcanzar Se utiliza para medios sintéticos que se han creado utilizando
realistas, y la capacidad de reproducir rápidamente incapacidad para separar rápidamente los hechos de la ficción,
el punto en el que cualquiera puede crear un vídeo sintético de técnicas de inteligencia artificial de última generación (el
Esto significa que el impacto y el daño causado por falsificaciones
difundir contenidos optimizados para cualquiera diciendo o haciendo cualquier cosa. Es nombre proviene de las redes neuronales profundas que a
y otros medios maliciosos generados sintéticamente pueden ser
audiencias específicas. No es descabellado creer que estamos entrando en una era en la veces se utilizan). Estas tecnologías son
mucho mayores, como lo demuestra el ejemplo de Pelosi.
que una cantidad significativa del contenido se están desarrollando como aplicaciones, herramientas y
que vemos en línea es total o parcialmente sintético utilizando técnicas servicios independientes y se integran en herramientas de
Ninguno de estos acontecimientos es intrínsecamente
de inteligencia artificial. edición comerciales y de código abierto establecidas. Hay varias categorías de daños que consideramos:
problemático por sí solo. Tecnología basada en IA
manipulación del mercado, fraude de pagos, vishing,
se puede utilizar para crear contenido digital divertido y Estas tecnologías son utilizadas como armas por actores
suplantaciones, daños a la marca, daños a la reputación y
emocionante, ya sea creando puramente sintético o mejorando Con la disponibilidad de malintencionados que esperan dañar a personas e instituciones.
botnets. muchos de
material existente. Estas herramientas son Ejemplos de técnicas de deepfake incluyen: • Intercambio
herramientas más sofisticadas, fáciles de Estas categorías han reportado ampliamente ejemplos del mundo
siendo ampliamente utilizado por empresas para publicidad y
comunicaciones y por individuos para crear contenido atractivo para usar y ampliamente disponibles, la de caras (video, imágenes): reemplazar una cara en un video por real, lo que podría socavar nuestra capacidad de separar los
creación de contenidos sintéticos va en otra. Esta técnica puede ser hechos de la ficción.
sus seguidores. Sin embargo,
Se utiliza para intentar chantajear a un individuo, empresa
Los medios sintéticos, cuando se crean y distribuyen con la aumento y pronto será indistinguible de la realidad. o institución, o para colocar a personas en lugares o situaciones Una amenaza más insidiosa y a más largo plazo es para nuestra
intención de dañar, tienen el potencial de causar graves comprensión de lo que es verdad si ya no podemos confiar en lo que
embarazosas.
daños a individuos, empresas, instituciones y sociedad. Microsoft vemos y oímos. Debido a esto, cualquier
Existen muchas herramientas de edición de imágenes, vídeos y audio • Titiriteros (vídeos, imágenes): utilizando un
ha sido un Una imagen, un audio o un vídeo comprometedores de una figura
comerciales y gratuitas de alta calidad. Estas herramientas vídeo para animar una imagen fija o un segundo vídeo.
fuerza impulsora en el desarrollo de tecnologías y prácticas, pública o privada pueden descartarse como falsos: una
se puede utilizar para realizar cambios simples pero Esto puede hacer que parezca que una persona dijo algo resultado conocido como El dividendo del mentiroso.17
tanto internamente como en todo el ecosistema de medios más
potencialmente dañinos en el contenido digital, como agregar texto vergonzoso o engañoso.
amplio, para limitar este daño. Investigaciones recientes18 muestran que este abuso de
engañoso, intercambiar caras y eliminar o alterar el contexto. Estas • Redes generativas de confrontación la tecnología ya se está utilizando para atacar las finanzas
Esta sección explora ideas del análisis de Microsoft sobre el “falsificaciones baratas” son ampliamente
(vídeo, imágenes): una familia de técnicas para generar sistemas, aunque son posibles muchos otros escenarios de abuso.
estado actual de la tecnología para crear contenido sintético dañino, se utiliza para difundir contenido nefasto, promover ideologías
imágenes fotorrealistas.
los daños que pueden surgir si este contenido se difunde políticas y dañar reputaciones.
ampliamente y las mitigaciones técnicas que pueden defender • Modelos de transformadores (vídeo, imágenes, texto): creación de
Un ejemplo bien conocido es el vídeo de 201916 en el que la presidenta de la
contra las amenazas cibernéticas basadas en medios sintéticos. imágenes ricas a partir de descripciones de texto.
Cámara de Representantes de Estados Unidos, Nancy Pelosi, arrastra las palabras.
hablar y parecer ebrio. Aunque fue

Rápidamente determinó que el video estaba ralentizado.
Informe
Un enfoque es construir sistemas basados en inteligencia artificial competencia abierta para construir detectores de imágenes En segundo lugar, los algoritmos avanzados de creación falsa utilizan una
Medios sintéticos que puedan detectar falsificaciones, esencialmente “defensivos”. deepfake.19 Es tentador aumentar la inversión en el desarrollo de técnica llamada Generative Adversarial Networks (GAN) como parte del
Sistemas de IA para contrarrestar los sistemas de IA ofensivos. detectores más avanzados, pero Microsoft es muy escéptico de proceso de creación. UNA GAN
Continuado Esta es un área de investigación activa donde los sistemas que esto resulte en mejoras significativas por dos razones: primero, enfrenta dos sistemas de inteligencia artificial entre sí utilizando un
Detección de medios sintéticos actuales para crear audio y video sintéticos dejan artefactos tenemos excelentes modelos físicos que reflejan el mundo real. generador para crear la falsificación y un discriminador para detectar
reveladores que pueden ser detectados por analistas forenses de imágenes falsas y entrenar el generador.
Se están realizando esfuerzos en la industria, el Eliminación de creadores falsos actuales
medios capacitados y herramientas automatizadas. Cualquier inversión en el desarrollo de un mejor detector sólo permitirá
gobierno y el mundo académico para desarrollar mejores formas de
al generador mejorar la calidad de las falsificaciones.
detectar y mitigar los medios sintéticos y restaurar la confianza. esquinas, lo que resulta en artefactos detectables, pero los modelos
Hay varios prometedores Desafortunadamente, si bien las falsificaciones actuales tienen defectos más nuevos serán cada vez más realistas.
caminos a seguir, así como barreras que merecen reveladores, los artefactos precisos tienden a ser específicos de No hay nada inherentemente especial en una escena del mundo
consideración.
una herramienta o algoritmo particular. Esto significa entrenar real capturada por una cámara que no pueda ser modelada por
sobre falsificaciones conocidas no suele generalizarse a otros una computadora.
algoritmos, como se demostró en un estudio de 2020
Panorama de los medios sintéticos
Factores
Herramientas fáciles de usar Herramientas más sofisticadas Fácil de distribuir
Barrera de entrada baja
productores Organizaciones e Individuos y Actores maliciosos

Usos buenos y perjudiciales instituciones consumidores para causar daño
Distribución Amplificación de Correos electrónicos y Archivos de audio Directo de la

Velocidad sin precedentes las redes sociales anuncios dirigidos a través del correo de voz. fuente
Efectos Daño a la reputación Fraude y otros Daño a la organización o

Erosión de la confianza individual daños financieros marca. Manipulación de mercado
Mitigación Sistemas Esfuerzos

Soluciones prometedoras avanzados de IA para la detección Procedencia digital intersectoriales
La tecnología de procedencia digital es una versión

Medios sintéticos moderna de la firma de documentos criptográficos,
La procedencia digital es una tecnología Información procesable
diseñada para capturar la fuente, editar el historial y los emergente prometedora que tiene el 1 Tome medidas proactivas para proteger su
Continuado
metadatos de los objetos a medida que fluyen a través del mundo actual.
potencial de ayudar a restaurar la confianza de organización contra amenazas de desinformación
Procedencia de los activos digitales Si la web. La visión y los métodos técnicos para
las personas en el contenido de los medios en mediante la consideración proactiva de sus respuestas
Un equipo de investigadores y científicos de Microsoft desarrolló de comunicación y relaciones públicas.
detección de falsificaciones no es confiable, ¿qué se puede hacer
este tipo de certificación de medios a prueba de manipulaciones línea al certificar el origen de un activo mediático.
para proteger contra los usos dañinos de los medios sintéticos?
de extremo a extremo. 2 Utilizar tecnología de procedencia para proteger las
Una tecnología emergente importante es la procedencia digital, comunicaciones oficiales.
Codirigimos una asociación intersectorial destinada a dar vida Las soluciones disponibles públicamente basadas en la
un mecanismo que permite a los creadores de medios digitales
a la tecnología de procedencia de los medios en Project Origin especificación C2PA están apareciendo como una nueva característica Enlaces a más información
certificar un activo y ayuda a los consumidores a identificar si
(fundado por Microsoft, BBC, CBC/RadioCanada y el New en productos existentes o nuevas aplicaciones y servicios
el activo digital ha sido manipulado o no.
York Times). Un prometedor paso adelante en
independientes. Esperamos que la mayoría de los comúnmente
y participar en la Iniciativa de Autenticidad de Contenido (fundada materia de desinformación | Microsoft sobre los problemas
La procedencia digital es particularmente importante en el Usó herramientas de captura, edición y creación para habilitar
por Adobe). Microsoft también trabajó con C2PA en unos pocos años. Esto presenta un
contexto de las redes sociales actuales, dada la velocidad Un hito alcanzado, 31 de enero de 2022
socios en tecnología y servicios de medios para establecer oportunidad para que las empresas determinen sus
con la que el contenido puede viajar por Internet y la
la Coalición para la Procedencia y Autenticidad del Contenido Origen del proyecto | Innovación ALT de Microsoft
oportunidad para que los malos actores manipulen el contenido necesidades y usos de la procedencia digital hoy en día, y
(C2PA). C2PA es un estándar requieran esta capa adicional de protección en las
fácilmente. Coalición para la procedencia del contenido y
organización que recientemente publicó la especificación de herramientas que utilizan en los flujos de trabajo existentes.
Autenticidad (C2PA)
procedencia digital más avanzada para
utilizar con recursos multimedia que incluyen imágenes, Explore los detalles técnicos sobre el sistema
videos, audio y texto. que utiliza Project Origin para la autenticación de
Un objeto habilitado para C2PA lleva un manifiesto que medios | Innovación ALT de Microsoft
protege el objeto y los metadatos contra la manipulación,

y el certificado que lo acompaña.
identifica al editor.
Los medios sintéticos no fueron diseñados

originalmente para causar daño, pero los
malos actores los están utilizando como
arma para socavar la confianza en las
900%
Aumento año tras año en la
personas y las instituciones.
proliferación de
deepfakes desde 2019.20
Detectar También necesitamos nuevas innovaciones en las políticas públicas,

Un enfoque holístico para Al igual que con la ciberdefensa, el primer paso para contrarrestar
El marco estratégico de Microsoft tiene que deben ser una prioridad pública. Esto puede
como objetivo ayudar a las partes incluyen leyes que permiten a los editores negociar ingresos publicitarios
protegerse contra las operaciones Se están desarrollando operaciones de influencia cibernética extranjera.
interesadas intersectoriales a detectar, colectivamente con empresas de tecnología, y legislación que
la capacidad de detectarlos. Ninguna empresa
proporciona créditos fiscales para aliviar a las redacciones locales
de influencia cibernética u organización puede esperar lograr individualmente el progreso perturbar, defender y disuadir contra la
de una parte de los impuestos sobre la nómina de los periodistas
necesario. Nuevo, más amplio
propaganda, en particular las que emplean.
La colaboración en todo el sector tecnológico será crucial, y el
Microsoft está aprovechando su ya madura campañas de agresores extranjeros. Los periodistas necesitan muchas otras herramientas para su oficio,
progreso en el análisis y la notificación de las operaciones de influencia
infraestructura de inteligencia sobre amenazas incluida la capacidad de separar el contenido de las fuentes
cibernética dependerá en gran medida de
cibernéticas para desarrollar una visión más amplia e legítimas y fraudulentas.
el papel de la sociedad civil, incluidas las instituciones académicas Es apropiado comenzar con uno de los grandes desafíos
inclusiva de las operaciones de influencia cibernética.
y las organizaciones sin fines de lucro. tecnológicos de nuestra época: el impacto de Internet y la También existe una necesidad en rápida evolución de ayudar a
publicidad digital en el periodismo tradicional. Desde 1700, un libre los consumidores a desarrollar una capacidad más sofisticada para
Reconociendo este papel, los investigadores Jake Shapiro y Alicia
Utilizamos un marco para sugerir estrategias de respuesta y mitigación identificar operaciones de información impulsadas por los
Wanless de la Universidad de Princeton y el Carnegie Endowment
para combatir la amenaza planteada por las operaciones, que se puede y la prensa independiente ha desempeñado un papel especial en el estados nacionales. Si bien esto puede parecer desalentador,
for International Peace, respectivamente, han trazado planes
dividir en cuatro pilares clave: detectar, interrumpir, defender y apoyo a todas las democracias del planeta: descubriendo la corrupción, se parece al trabajo que el sector tecnológico ha realizado
para lanzar el nuevo “Instituto de Investigación sobre el Entorno de
disuadir. documentando guerras e iluminando los mayores desafíos sociales durante mucho tiempo para combatir otras amenazas cibernéticas.
la Información” (IRIE). Con apoyo
de este y de todos los demás tiempos. Sin embargo, internet Considere la posibilidad de educar a los consumidores para que
Además, Microsoft ha adoptado cuatro principios para anclar nuestro
trabajo en este espacio. Primero es un miren más detenidamente una dirección de correo electrónico para
de Microsoft, la Fundación Knight y Craig Newmark Philanthropies, el
compromiso de respetar la libertad de expresión y defender la ha destruido las noticias locales devorando los ingresos por publicidad ayudar a detectar spam u otras comunicaciones fraudulentas.
IRIE creará una institución de investigación inclusiva de múltiples
y atrayendo suscriptores pagos. Iniciativas en Estados Unidos, como el News Literacy Project y el Trusted
capacidad de nuestros clientes de crear, publicar y buscar partes interesadas siguiendo el modelo de la Organización Europea
información a través de nuestras plataformas, productos y Muchos periódicos locales han colapsado. Uno de Journalism.
para la Investigación Nuclear (CERN). Se combinará
servicios. En segundo lugar, nosotros Las muchas ideas de nuestro trabajo reciente son que las ciudades que
Trabajar de manera proactiva para evitar que nuestras plataformas carecen de un periódico están, sin saberlo e inevitablemente,
experiencia en procesamiento y análisis de datos para acelerar
y productos se utilicen para amplificar contenidos y sitios de expuestas a un volumen de propaganda extranjera mayor que el
y escalar nuevos descubrimientos en este espacio.
influencia cibernética extranjeros. En tercer lugar, haremos promedio. Para éstos
Los hallazgos se compartirán para informar a los responsables
no beneficiarse intencionalmente de la influencia cibernética extranjera Por estas razones, uno de los pilares defensivos críticos de la
políticos, las empresas de tecnología y los consumidores
contenido o actores. Finalmente, priorizamos la superficie democracia debe fortalecer el periodismo tradicional y la prensa
en general.
Contenido para contrarrestar la influencia cibernética extranjera. libre, especialmente a nivel local. Esto requiere una
Defender inversión continua
operaciones utilizando datos internos y de terceros confiables
e innovación que debe reflejar la
sobre nuestros productos. El segundo pilar estratégico es apuntalar las defensas
necesidades locales de diferentes países y continentes. Una amenaza más
democráticas, una prioridad de larga data que necesita inversión e
innovación. debería tomar Estas cuestiones no son fáciles, insidiosa y a más largo plazo
y requieren enfoques de múltiples partes
en cuenta los desafíos que la tecnología ha creado para la democracia y
interesadas, que Microsoft y otras es para nuestra comprensión de lo
las oportunidades que la tecnología ha creado para defender las
sociedades democráticas de manera más efectiva. empresas tecnológicas apoyan cada
que es verdad si ya no podemos
vez más.
confiar en lo que vemos y oímos.
Mientras pensamos en contrarrestar la influencia cibernética incluyendo declaraciones de atribución cuando A través de una rápida transparencia radical, los gobiernos y las
Un enfoque holístico para operaciones, la disrupción podría desempeñar un papel corresponda. Publicaremos un informe anual que sociedades democráticas pueden mitigar eficazmente las campañas
aún más importante y el mejor enfoque para abordar la disrupción utiliza un enfoque basado en datos para observar en toda la de influencia atribuyendo la fuente
protegerse contra las operaciones es cada vez más claro. El mas efectivo empresa la prevalencia de operaciones de información extranjera y de ataques de estados nacionales, informar al público y
El antídoto contra el engaño generalizado es la transparencia. los próximos pasos para garantizar una mejora incremental. generar confianza en las instituciones.
de influencia cibernética Por eso Microsoft aumentó su capacidad para detectar y También consideraremos adicionales
Continuado perturbar la influencia de los Estados nacionales. medidas que se basen en este tipo de transparencia.
Hemos aumentado la capacidad técnica para
operaciones mediante la adquisición de Miburo Solutions,
El papel de la publicidad digital es especialmente
Programa: están ayudando a desarrollar consumidores una empresa líder en análisis e investigación de amenazas detectar y desbaratar la influencia extranjera.
importante, por ejemplo, ya que la publicidad puede ayudar a financiar
de noticias e información mejor informados. cibernéticas especializada en la detección y respuesta a
operaciones en el extranjero y al mismo tiempo crear una
operaciones y estamos comprometidos a
A nivel mundial, las nuevas tecnologías, como el complemento de operaciones de influencia cibernética extranjera.
apariencia de legitimidad para los sitios de propaganda patrocinados informar de forma transparente sobre estas
navegador de NewsGuard, pueden ayudar a que este
Nuestra experiencia ha demostrado que los gobiernos, las en el extranjero. Se harán nuevos esfuerzos operaciones, como nuestros informes
esfuerzo avance mucho más rápido.
empresas de tecnología y las ONG deben atribuir los necesarios para perturbar estos flujos financieros.
sobre ataques cibernéticos.
Esto también debería recordarnos que parte de la base de ciberataques con cuidado y con amplia evidencia. Comprender el
Desalentar
la democracia es la educación cívica. Como siempre, este impacto de tales
esfuerzo debe comenzar en La disrupción es vital y puede ser aún más útil para alterar la Por último, no podemos esperar que las naciones cambien
escuelas. Pero vivimos en un mundo que requiere que influencia cibernética. Sea testigo del su comportamiento si no hay responsabilidad por violar las normas
recibir educación cívica continua durante toda nuestra vida. El El intercambio de información por parte del gobierno de internacionales. Hacer cumplir esa responsabilidad
nuevo compromiso de Civismo en el Trabajo, liderado Estados Unidos en el período previo a la invasión rusa de es exclusivamente una responsabilidad gubernamental. Información procesable
por el Centro de Estudios Estratégicos e Internacionales, y Ucrania que convirtió la transparencia en acciones efectivas, Sin embargo, cada vez más, la acción de múltiples partes interesadas es
1 Implemente sólidas prácticas de higiene digital en
del cual Microsoft fue signatario y socio inaugural, busca revitalizar como exponer los planes rusos, incluidos los específicos. desempeñando un papel importante en el fortalecimiento y
toda su organización.
la alfabetización cívica dentro de las comunidades corporativas. Es campañas como un complot para utilizar un video gráfico falso. ampliación de las normas internacionales. Mas de 30
un Las plataformas en línea, los anunciantes y los editores, incluido 2 Considerar formas de reducir cualquier habilitación
Como se muestra en la publicación del verano pasado del
buen ejemplo de la amplitud de oportunidades para fortalecer Microsoft, firmaron el Código de prácticas sobre desinformación involuntaria de campañas de influencia cibernética
Instituto CyberPeace de Ginebra sobre los ciberataques en curso
nuestras defensas democráticas. de la Comisión Europea recientemente actualizado, acordando sus empleados o sus prácticas comerciales.
dentro y fuera de Ucrania, existe una oportunidad para que una
compromisos reforzados para abordar este creciente desafío. Esto incluye reducir el suministro a sitios conocidos de
Interrumpir amplia gama de organizaciones de la sociedad civil y del
propaganda extranjera.
sector privado avancen en la transparencia en relación con
En los últimos años, la Unidad de Delitos Digitales (DCU) de Al igual que el reciente Llamado de París, el Llamado de
la influencia cibernética. 3 Apoyar las campañas de alfabetización informacional y
Microsoft ha perfeccionado tácticas y desarrollado herramientas para Christchurch y la Declaración sobre el futuro de Internet, la
operaciones. Informes confiables sobre nuevos participación cívica como componente clave
Interrumpir las amenazas cibernéticas que van desde ransomware acción multilateral y de múltiples partes interesadas puede
Las operaciones descubiertas y bien documentadas pueden para ayudar a las sociedades a defenderse contra
hasta botnets y ataques de estados nacionales. Tenemos reunir a los gobiernos y al público de las naciones
ayudar al público a evaluar mejor lo que lee, ve y oye, la propaganda y la influencia extranjera.
Aprendí muchas lecciones críticas, comenzando con el papel de democráticas. Los gobiernos pueden
especialmente en Internet.
la disrupción activa para contrarrestar una amplia gama de luego aprovechar estas normas y leyes para promover la rendición 4 Interactúe directamente con grupos relevantes para su
Con este fin, Microsoft aprovechará y ampliará sus informes
ciberataques. de cuentas que las democracias del mundo necesitan y merecen. industria que trabajan para abordar las operaciones
cibernéticos existentes y publicará nuevos informes, datos y
de influencia.
actualizaciones relacionados con lo que descubramos sobre las
operaciones de influencia cibernética.
Notas finales
1 https://mitsloan.mit.edu/ideasmadetomatter/mitsloanresearchaboutsocialmediamisinformationand
elections?msclkid=8dc75d6abcfe11ecad9946a058d581c9 2 https://news.gallup.com /encuesta/
355526/americanstrustmediadipssegundorecordmás bajo.aspx
3 Defensa de Ucrania: primeras lecciones de la guerra cibernética (microsoft.com)
4 https://www.edelman.com/sites/g/files/aatuss191/files/202201/2022 Barómetro de confianza de Edelman_
Informe Completo.pdf
5 Portavoz del Ministerio de Asuntos Exteriores ruso, María Zakharova: https://tass.com/politics/1401777;

Lavrov: https://www.cnn.com/2022/05/05/opinions/sergeylavrovhitlercommentsukrainekauders/index.html,Kirill
Kudryavtsev/Pool/AFP/Getty Images
6 https://apnews.com/article/conspiracytheoriesiranonlyonapmediamisinformation
bfca6d5b236a29d61c4dd38702495ffe
7 https://www.justice.gov/opa/pr/unitedstatesseizeswebsitesusediranianislamicradioand
unióndetelevisiónykataib
8 https://www.presstv.ir/Detail/2020/02/04/617877/IsthecoronavirusaUSbioweapon
9 https://www.state.gov/wpcontent/uploads/2022/01/KremlinFundedMedia_January_update19.pdf
10 https://www.rt.com/news/482405irancoronavirususbiologicalweapon/
11 https://web.archive.org/web/20220319124125/https://twitter.com/RT_com/
estado/1233187558793924608?s=20
12 https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE4Vwwd
13 afirmaciones de Kremenchuk de Rusia frente a la evidencia—bellingcat
14 https://t.me/oddr_info/39658
15 https://t.me/voenacher/23339
16 Verificación de hechos: Video de Nancy Pelosi “borracha” es manipulado |
Reuters 17 https://lawcat.berkeley.edu/record/1136469
18 https://carnegieendowment.org/2020/07/08/deepfakesandsyntheticmediainfinancial
evaluacióndelsistemaescenariosdeamenazaspub82237
19 Resultados del desafío de detección de deepfake: una iniciativa abierta para avanzar en la IA (facebook.com)
20 Deepfakes 2020: El punto de inflexión, Johannes Tammekänd, John Thomas y Kristjan Peterson,
octubre 2020
Informe
Informe
El estadode
El estado de Estado nacional
Estado nacional Dispositivos y Influencia cibernética Contribuyendo
Contribuyendo
Influencia cibernética cibernético
cibercrimen
Amenazas
Infraestructura Operaciones Resiliencia equipos
Operaciones
Una visión general de la ciberresiliencia 87
Introducción 88
Resiliencia cibernética: una base crucial para una

sociedad conectada 89
cibernético La importancia de modernizar los sistemas

y la arquitectura 90
Resiliencia La postura de seguridad básica es un factor

determinante en la eficacia de las soluciones avanzadas 92
Mantener la salud de la identidad es fundamental para el

bienestar organizacional 93
Comprender los riesgos y las recompensas Configuración de seguridad predeterminada del sistema operativo 96
de la modernización se vuelve crucial para 97
Centralidad de la cadena de suministro de software
un enfoque holístico de la resiliencia.
Desarrollar resiliencia ante ataques DDoS,
aplicaciones web y redes emergentes 98
Desarrollar un enfoque equilibrado para la seguridad

de los datos y la resiliencia cibernética 101
Resiliencia a las operaciones de influencia cibernética:

La dimensión humana 102
Fortalecer el factor humano con habilidades 103
Información sobre nuestro programa de

eliminación de ransomware 104
Actuar ahora sobre las implicaciones de la seguridad cuántica 105
Integrar negocios, seguridad y TI para

una mayor resiliencia 106
La curva de campana de la ciberresiliencia 108


Una ciberresiliencia eficaz requiere un enfoque Si bien los ataques basados en La gran mayoría de los ciberataques
Resiliencia cibernética holístico y adaptable para resistir las contraseñas siguen siendo la principal fuente exitosos podrían prevenirse utilizando una
amenazas cambiantes a los servicios e de compromiso de la identidad, están higiene de seguridad básica.
infraestructuras centrales. surgiendo otros tipos de ataques.
La ciberseguridad es un factor clave
para el éxito tecnológico.
La innovación y una mayor
Los sistemas y la arquitectura modernizados son
productividad solo se pueden importantes para gestionar las amenazas en un
mundo hiperconectado.
lograr mediante la introducción
de medidas de seguridad que
hagan que las organizaciones
sean lo más resistentes posible
contra los ataques modernos.
La pandemia nos ha desafiado a cambiar nuestras

prácticas y tecnologías de seguridad para proteger a
los empleados de Microsoft dondequiera que trabajen.
El año pasado, los actores de amenazas continuaron
aprovechando las vulnerabilidades expuestas
durante la pandemia y el cambio a un entorno de Durante el año
trabajo híbrido. Desde entonces, nuestro principal desafío pasado, el mundo
ha sido gestionar la prevalencia y la experimentó una
complejidad de diversos métodos de ataque Más información en p93
actividad DDoS sin
y el aumento de la actividad de los estados nacionales. Más información en p90 precedentes en
La dimensión humana de la resiliencia a las
volumen, complejidad y frecuencia.
La postura de seguridad básica operaciones de influencia cibernética es nuestra
es un factor determinante en la eficacia capacidad de colaborar y cooperar.
de la solución avanzada.
Más información en p92 Más información en p102 Más información en p98

Introducción La pandemia nos desafió a Como resultado, debemos recordar lo básico: noventa Los recientes ataques a la cadena de suministro y a
El ocho por ciento de los ataques se pueden detener con proveedores externos indican un importante punto de inflexión en la
cambiar nuestras prácticas y medidas básicas de higiene. En Microsoft, industria. La perturbación que causan estos ataques
Gestionamos identidades y dispositivos como parte de para nuestros clientes, socios, gobiernos y Microsoft continúa
tecnologías de seguridad para nuestro enfoque Zero Trust, que incluye acceso con menos aumentando, lo que ilustra la importancia de centrar la
proteger a los empleados privilegios y credenciales resistentes al phishing para detener atención en la resiliencia cibernética y la colaboración entre
eficazmente a los actores de amenazas y mantener nuestros las partes interesadas en la seguridad. Los adversarios
de Microsoft dondequiera que datos protegidos. también apuntan
trabajen. El año pasado, Hoy en día, incluso los actores de amenazas que carecen de
sistemas locales, lo que refuerza la necesidad de que las
organizaciones gestionen las vulnerabilidades que plantean los
los actores de amenazas habilidades técnicas sofisticadas pueden lanzar ataques
increíblemente destructivos, a medida que el acceso
sistemas heredados mediante la modernización y el traslado de la
continuaron aprovechando las a tácticas, técnicas y procedimientos avanzados se vuelve

infraestructura a la nube, donde la seguridad es más sólida.
ampliamente disponible en la economía del cibercrimen. La guerra

vulnerabilidades expuestas en Ucrania demostró cómo los actores estatales han Vivimos en una era en la que la seguridad es un factor clave para
durante la pandemia y el intensificado sus operaciones cibernéticas ofensivas el éxito tecnológico. Innovación y
mediante el mayor uso de ransomware. El ransomware Una mayor productividad sólo se puede lograr mediante la
cambio a un entorno de trabajo es ahora una sofisticada introducción de medidas de seguridad que hagan que las
híbrido. Desde entonces, nuestro industria con actores de amenazas que utilizan tácticas de organizaciones sean lo más resistentes posible contra los
extorsión doble o triple para obtener un pago y desarrolladores ataques modernos. A medida que las amenazas digitales aumentan y
principal desafío ha sido gestionar que ofrecen ransomware como servicio (RaaS). Con RaaS, evolucionar, es crucial incorporar la resiliencia cibernética en el
los actores de amenazas utilizan un afiliado tejido de cada organización.
la prevalencia y la complejidad red para llevar a cabo ataques, reduciendo la barrera de entrada
de diversos métodos de ataque y el para ciberdelincuentes menos capacitados y, en última
Bret Arsenault
Director de seguridad de la información

instancia, ampliando el grupo de atacantes.
aumento de la actividad de los estados nacionales.
Como resultado, Microsoft diseñó un programa de eliminación
de ransomware. El objetivo del programa.
La actividad de amenazas digitales y el nivel de sofisticación de los es remediar las brechas en los controles y la cobertura,
ciberataques aumentan cada día. muchos de contribuir a mejorar las funciones de los servicios y desarrollar
Los complejos ataques actuales se centran en comprometer las guías de recuperación para nuestro centro de operaciones de
arquitecturas de identidad, las cadenas de suministro y a seguridad y equipos de ingeniería en caso de un ataque de
terceros con distintos grados de controles de seguridad. ransomware.
En particular, hemos observado que los ataques de phishing de
identidad son una amenaza clara y presente. Sin embargo,
Estos tipos de ataques generalmente no tienen éxito con buenas
prácticas de gestión de identidades, control de phishing y
gestión de terminales.
Desarrollar un enfoque holístico Para ofrecer un enfoque holístico, nos asociamos con organizaciones
Resiliencia cibernética: a la resiliencia cibernética para identificar sus servicios, procesos comerciales, dependencias,
Una base crucial para una La resiliencia cibernética requiere un enfoque holístico, adaptable
personal, proveedores y proveedores locales y en línea 1 Construir y gestionar sistemas tecnológicos que limiten
más críticos. También buscamos identificar activos. el impacto de una infracción y les permitan seguir
y global que pueda resistir las amenazas cambiantes a los servicios
sociedad conectada e infraestructuras centrales, incluyendo: • Higiene cibernética

y recursos asociados con las expectativas del cliente y del
funcionando de forma segura y eficaz, incluso si
la infracción tiene éxito. Centrarse en las críticas
básica como se describe en nuestra curva de campana de mercado, obligaciones regulatorias y contractuales y operaciones comunes
La revolución de la tecnología digital ha hecho que resiliencia cibernética. internas. Como estos activos, soporte para la agilidad y arquitectura para la
las organizaciones se transformen para estar cada • Comprender y gestionar la relación riesgo/recompensa de la Se identifican recursos críticos y se realizan esfuerzos paralelos. adaptabilidad (por ejemplo, nube híbrida y multinube,
vez más conectadas tanto en la forma en que transformación digital. debe detectar y monitorear amenazas, interrupciones, posibles
multiplataforma), reducir los ataques
operan como en los servicios que ofrecen. vectores de ataque y vulnerabilidades de sistemas y
• Capacidades de respuesta en tiempo real que permiten superficies (por ejemplo, eliminar aplicaciones no
A medida que aumentan las amenazas en el panorama procesos. La capacidad de hacer esto
Detección proactiva de amenazas y vulnerabilidades. utilizadas y derechos de acceso sobreaprovisionados),
cibernético, incorporar la resiliencia cibernética en el Bajo la actual escasez de habilidades se requiere rigor en la asumir recursos comprometidos,
• Protección contra ataques conocidos y actividad
tejido de la organización es tan crucial como las finanzas. priorización basada en el riesgo general que representa para la y esperar que los adversarios evolucionen.
preventiva contra vectores de ataque nuevos y
y resiliencia operativa. organización.
anticipados, incluida la capacidad de remediar 2 Al planificar proyectos digitales, considere las amenazas
automáticamente. Este tipo de enfoque holístico debe ser adaptable en el
potenciales junto con las oportunidades y las
La transformación digital ha alterado para siempre la forma en contexto de un panorama de amenazas en continua evolución,
• Reducción del impacto de ataques y desastres mediante responsabilidades compartidas para la resiliencia en
que las organizaciones interactúan con clientes, socios, con el objetivo de impulsar una mejora mensurable del rendimiento,
el aislamiento y la segmentación de fallas. toda la cadena de suministro de tecnología digital, incluidas
empleados y otras partes interesadas. un tiempo reducido para detectar, responder y recuperarse, y un
• Recuperación automatizada y redundancia en caso de las soluciones de seguridad basadas en la nube.
Las nuevas tecnologías brindan enormes oportunidades para radio de impacto reducido en caso de interrupción.
interrupción. 3 Construir sistemas para incorporar la seguridad desde el
interactuar con las personas, transformar productos y optimizar
operaciones. La pandemia se aceleró • Priorizar las pruebas operativas para encontrar brechas El enfoque también debe reconocer la creciente interconexión de las diseño y tomar medidas para anticipar, detectar,
la transformación digital impulsando tecnologías innovadoras que y comprender las responsabilidades compartidas y las amenazas. Por ejemplo, una seguridad resistir, adaptar y responder a futuras amenazas en
permitan a las personas colaborar de nuevas formas y desde dependencias de recursos externos, como las soluciones de El incidente podría resultar en una violación de datos con evolución.
cualquier lugar. seguridad basadas en la nube. implicaciones para la privacidad, lo que requeriría que muchos
4 Asegúrese de que los líderes empresariales consulten
equipos internos y externos trabajen juntos para responder
A medida que las amenazas cibernéticas se vuelven endémicas, Un programa eficaz de ciberresiliencia comienza con los fundamentos con los equipos de seguridad según sea
rápidamente y minimizar el impacto. necesario para comprender los riesgos asociados con los
evitar que comprometan a una organización se vuelve más de los recursos, como comprender los servicios disponibles y
difícil en nuestra sociedad “siempre conectada”. tener un catálogo confiable de recursos a los que se puede nuevos desarrollos. Asimismo, los equipos de seguridad
recurrir en caso de una interrupción. Construyendo sobre esa base, deberían considerar los objetivos empresariales y asesorar
mundo. La resiliencia cibernética representa la capacidad de una organización. La resiliencia cibernética es la capacidad de
capacidad para continuar las operaciones y sostener la aceleración a los líderes sobre cómo perseguirlos de forma segura.
una empresa para continuar sus operaciones y
del crecimiento a pesar del aluvión de ataques. el programa debe poder evaluar su propia eficacia, medir el
sostener la aceleración del crecimiento a pesar 5 Garantizar prácticas operativas claras y
La prevención debe equilibrarse con las capacidades de rendimiento de los servicios críticos y sus dependencias, probar y
Existen procedimientos para la resiliencia organizacional
supervivencia y recuperación, y los gobiernos y las empresas están validar capacidades en los servicios locales y en la nube, y alimentar de las interrupciones, incluidos los ataques cibernéticos.
en caso de incidentes cibernéticos.
desarrollando modelos integrales que van más allá de la la mejora continua en todo el ciclo de vida digital de la
seguridad y la privacidad para proteger activos, datos y otros organización.
recursos como parte de la resiliencia cibernética.

La importancia de Cuestiones clave que afectan la resiliencia cibernética

“Los líderes deberían pensar en la resiliencia
cibernética como una faceta crítica de la resiliencia
modernizar los Configuración insegura de Active Directory
Configuración insegura de Azure Active Directory

90%
72%
empresarial. Deberían planificar la cibernética.
sistemas y la arquitectura Protocolos de autenticación heredados 98%

interrupciones de la misma manera que lo hacen con
desastres naturales u otros eventos imprevistos y
Algoritmos hash heredados 84%
reúnen a las partes interesadas internas, como
A medida que desarrollamos nuevas capacidades Sin aislamiento de privilegios en Active Directory mediante modelo de niveles 98%
operaciones, comunicaciones, asuntos legales y más,
para un mundo hiperconectado, debemos gestionar No uso de estaciones de trabajo Privilege Access 100% para diseñar estrategias. Hacerlo ayudará a garantizar
las amenazas que plantean los sistemas y el Falta de controles de administración de contraseñas de administrador local 82% Las organizaciones vuelven a poner en línea sus
software heredados.
Falta de controles de gestión de acceso a privilegios 84% sistemas comerciales críticos lo más rápido posible
Se encontraron credenciales de administrador excesivas 98% para reanudar las operaciones comerciales normales.
Los sistemas heredados (aquellos desarrollados antes de 70% Pero la cosa no termina ahí. Como muchos
No MFA o MFA no es obligatorio para cuentas privilegiadas
que las herramientas de conectividad modernas, como teléfonos
No MFA o MFA no es obligatorio para las cuentas de usuario 90% Las organizaciones dependen de terceros proveedores y
inteligentes, tabletas y servicios en la nube se convirtieran en
Sin MFA para acceso VPN 62% proveedores de servicios, los líderes deben extender la
la norma), representan un riesgo para una organización que
planificación de la resiliencia cibernética de extremo a extremo.

Uso nulo o muy limitado de detección y respuesta de puntos finales 52%
todavía los utiliza. Esta exposición al riesgo se ve reforzada por la poner fin a la cadena de valor para garantizar aún más la
Brechas de habilidades en las operaciones de seguridad 70%
conclusiones de los servicios de seguridad de Microsoft para continuidad y la resiliencia del negocio”.
Equipo de respuesta a incidentes, un grupo de profesionales Brechas en la cobertura e integración del monitoreo de seguridad 60%
de seguridad que ayuda a los clientes a responder y Sin solución SIEM/SOAR 56% Ana Johnson,
recuperarse de los ataques. 54% Vicepresidente Corporativo de Seguridad,
Procesos SOC y modelo operativo ineficaces
44% Cumplimiento, identidad y gestión

Durante el año pasado, los problemas encontrados Sin copias de seguridad inmutables o utilizables
Desarrollo de negocios
entre los clientes que se recuperaban de los ataques estaban Controles ineficaces de prevención de pérdida de datos 88%
relacionados con seis categorías, como se muestra en el gráfico Falta de gestión de parches y vulnerabilidades. 76%
de esta página. La siguiente página describe acciones OT no gestionada y sistemas heredados 50%
pasos a seguir para mejorar la resiliencia. 88%
No Zero Trust en la adopción del marco de seguridad
Diseño y configuración inseguros en plataformas en la nube 86%
Más del 80 por ciento de los incidentes de Falta de prácticas SDL en DevOps 82%
seguridad se deben a unos pocos 0 10 20 30 40 50 60 70 80 90 100

elementos faltantes que podrían
Configuración insegura del proveedor de identidad Operaciones de seguridad de baja madurez
abordarse mediante enfoques de seguridad modernos.Acceso con privilegios insuficientes y controles de movimiento lateral Falta de control de protección de la información
Sin autenticación multifactor Adopción limitada de marcos de seguridad modernos.
Este gráfico muestra el porcentaje de clientes afectados que carecen de controles de seguridad básicos que son fundamentales para
aumentar la resiliencia cibernética de la organización. Los hallazgos se basan en los compromisos de Microsoft durante el año pasado.
Hay áreas claras que las organizaciones pueden abordar para modernizar su enfoque y protegerse de las amenazas:
La importancia de
Problema
modernizar los Pasos procesables
sistemas y la arquitectura Configuración insegura del proveedor de identidad Siga las líneas base de configuración de seguridad y las mejores prácticas al implementar
y mantener sistemas de identidad como AD y la infraestructura de Azure AD.
Mala configuración y exposición de plataformas de identidad y sus componentes.
Continuado son un vector común para obtener acceso no autorizado con altos privilegios. Implementar restricciones de acceso imponiendo la segregación de privilegios, el acceso
con privilegios mínimos y el uso de estaciones de trabajo con acceso privilegiado (PAW)
para la gestión de sistemas de identidad.
Acceso con privilegios insuficientes y controles de movimiento lateral Proteja y limite el acceso administrativo para hacer que el entorno sea más resistente
Los administradores tienen permisos excesivos en el entorno digital y, a menudo, exponen y limitar el alcance de un ataque. Privilegio de empleo
credenciales administrativas en estaciones de trabajo sujetas a riesgos de productividad y de Controles de gestión de acceso, como acceso justo a tiempo y administración suficiente.
Internet.
Sin autenticación multifactor (MFA) MFA es un control de acceso de usuarios fundamental y crítico que todas las organizaciones
Los atacantes de hoy no irrumpen, sino que inician sesión. deberían habilitar. Junto con el acceso condicional, la MFA puede ser invaluable en
luchar contra las ciberamenazas.
Operaciones de seguridad de baja madurez La Una estrategia integral de detección de amenazas requiere inversiones en detección y
mayoría de las organizaciones afectadas utilizaban herramientas tradicionales de detección de respuesta extendidas (XDR) y nube moderna nativa.
amenazas y no tenían información relevante para una respuesta y remediación oportunas. Herramientas que emplean aprendizaje automático para separar el ruido de las señales.
Modernice las herramientas de operaciones de seguridad incorporando XDR que puede
proporcionar información detallada sobre seguridad en todo el panorama digital.
Falta de control de protección de la información Las Identifique los datos comerciales críticos y dónde se encuentran.
organizaciones continúan luchando por implementar controles integrales de protección de la Revise los procesos del ciclo de vida de la información y aplique la protección de datos
información que tengan una cobertura total en todas las ubicaciones de los datos y sigan mientras garantiza la continuidad del negocio.
siendo efectivos durante todo el ciclo de vida de la información y estén alineados con la
criticidad de los datos para el negocio.
Adopción limitada de marcos de seguridad modernos La identidad es Los marcos Zero Trust imponen conceptos de privilegio mínimo, verificación
el nuevo perímetro de seguridad, que permite el acceso a servicios digitales y entornos informáticos explícita de todos los accesos y siempre asumen compromisos.
dispares. Integrando los principios de confianza cero, Las organizaciones también deben implementar controles y prácticas de seguridad en
La seguridad de las aplicaciones y otros marcos cibernéticos modernos permiten a las DevOps y procesos del ciclo de vida de las aplicaciones para lograr mayores niveles de garantía
organizaciones gestionar de forma proactiva riesgos que, de otro modo, les resultaría difícil en sus sistemas comerciales.
imaginar.
Contribuyendo
Las configuraciones de seguridad básicas deben estar activadas. Riesgo que representan los dispositivos
La postura de seguridad Los dispositivos de una organización que no están desconocidos A diferencia de las redes en la nube, donde los clientes
básica es un factor integrados o están desactualizados (tanto en relación con las

vulnerabilidades como con el estado del agente de seguridad)
saben qué activos se ejecutan en qué sistemas operativos,
las redes locales pueden contener una amplia variedad de
1 Incluso las soluciones avanzadas pueden ser
socavado por la ausencia de configuraciones básicas
determinante en la sirven como posibles puntos de entrada y rutas de dispositivos como IoT, computadoras de escritorio, servidores y de seguridad.
establecimiento de acceso para los atacantes. Encontramos dispositivos de red que no están monitoreados ni gestionado por la
eficacia de la solución avanzada eso, al mismo tiempo que se garantiza que los dispositivos de la organización.
2 Invierta en mejores prácticas en configuraciones de posturas de
seguridad para protegerse contra futuras
organización estén incorporados con una detección y respuesta de
La red empresarial promedio tiene más de 3500 dispositivos ataques. Estos ajustes básicos producen una
A través de nuestro análisis, descubrimos una endpoints1 (EDR) y protección de endpoints actualizadas. retorno masivo de la inversión en términos de la
conectados que no están protegidos por un agente EDR y
prevalencia de puntos ciegos comunes en La solución Platform2 (EPP) es un paso importante,
pueden tener acceso a recursos empresariales o incluso a capacidad de una organización para defenderse
no se garantiza que detenga el ransomware.
las defensas organizacionales que permiten activos de alto valor. contra ataques.
a los atacantes obtener acceso inicial, establecer Las soluciones avanzadas como EDR y EPP son Usos de Microsoft Defender para endpoint (MDE)
3 Incorpore todos los dispositivos aplicables a una solución
un punto de apoyo e implementar un ataque, fundamentales para detectar un atacante en las primeras Inspección de red para descubrir dispositivos y proporcionar
EDR.
incluso en presencia de soluciones de etapas del flujo de ataque y permitir la detección automática. información sobre clasificaciones de dispositivos.
remediación y protección. Sin embargo, para aquellos conectados a la red, como el nombre del 4 Asegúrese de actualizar los agentes de seguridad y
seguridad avanzadas.
Dado que estas soluciones avanzadas se basan en una dispositivo, la distribución del sistema operativo y el tipo de garantizar la protección contra manipulaciones
capacidad fundamental para detectar un ataque, requieren dispositivo. para permitir una mayor visibilidad y beneficios de
En muchos casos, el resultado de un ciberataque se determina
configuraciones de seguridad básicas. protección más completos de los productos.
mucho antes de que comience.
encendido. De hecho, observamos una prevalencia
Los atacantes aprovechan los entornos vulnerables para obtener
de escenarios con soluciones avanzadas implementadas que se
acceso inicial, realizar vigilancia y causar estragos mediante
vieron socavados por la ausencia de configuraciones de seguridad
movimientos laterales y cifrado o exfiltración. Detener a un atacante
básicas.
3.500
temprano
etapa aumenta en gran medida la oportunidad de reducir el impacto Las mejores prácticas en configuraciones de seguridad son una
general. mayor indicador de resiliencia que el tiempo de respuesta de los Número promedio de
analistas del centro de operaciones de seguridad (SOC) dispositivos conectados
Microsoft estudió configuraciones específicas en
en una empresa que no
posturas de seguridad para identificar las deficiencias más comunes Observamos una reducción del 70 por ciento en el tiempo que
están protegidos por
en la práctica real en estos entornos. Esto nos permitió le toma a un analista de SOC ver y actuar ante una alerta un agente de respuesta
ver la mayoría relevante durante un período de seis meses en toda nuestra y detección de terminales.
Vulnerabilidades comunes explotadas durante ataques de ransomware población de clientes y socios.
operados por humanos que permitieron a los actores de amenazas Esta mayor conciencia es una buena señal.
obtener acceso y viajar a través de una red sin ser detectados. Sin embargo, aunque la visibilidad de la configuración de seguridad
La mejora del rendimiento de los analistas de SOC, lo que permitió Para los dispositivos que no son compatibles con un agente
la visibilidad del producto mediante la incorporación y actualización EDR, al menos sea consciente de su existencia y actúe para
de los dispositivos de la organización, fue un mayor predictor de una protegerlos evaluando las vulnerabilidades, así como
prevención exitosa. restringiendo el acceso a la red.
Mantener la salud de la Usuarios comprometidos por categoría de ataque
identidad es fundamental 1.8
para el bienestar organizacional 1.6
Salvaguardar la identidad es más importante que

nunca. Si bien los ataques basados en contraseñas
siguen siendo la principal fuente de
compromiso de la identidad, están surgiendo
1.4
4.500
1.2 En el tiempo que
otros tipos de ataques. El volumen de ataques
sofisticados continúa aumentando en relación lleva leer esta declaración,
con la norma anterior de difusión de contraseñas 1.0 nos hemos defendido de
y repetición de violaciones.
4500 ataques a contraseñas.
senolliM 0,8
Los ataques basados en contraseñas siguen siendo
comunes y más del 90 por ciento de las cuentas
comprometidas mediante estos métodos no están
0,6
protegidas con una autenticación sólida. La autenticación fuerte utiliza más
de un factor de autenticación, por ejemplo contraseña +
SMS y claves de seguridad FIDO2. 0,4
Hemos visto un aumento en los ataques dirigidos

a la difusión de contraseñas, con picos muy grandes en
0,2
el volumen de tráfico de atacantes repartidos en miles de
Direcciones IP.
0
oiluj
oiluj
n2e
d
e0n2
e e
d
e0
e
oinuj
oinuj
oinuj
ee2
df
ee2
df
ec2
o
d
c2
o
d
o2r2
o1r2
erb1u2t0
e
2r2b0
1r2b0
b2a
d
b2a
d
erb0u2t0
e2
d
s
e2ds
ei2
d
ei2
d
p0
erbme1it2p0
emd
2
emd
2
ir0
e
ir0
e
erbm0e2ic0
erbm1e2ic0
ore
ore
erbme0it2
o2n
d
o2n
d
zr2a0
zr2a0
2l2
1l2
g2a
d
g2a
d
erbme0i2v0
e
erbme1i2v0
e
o1y2a0m
2
o2y2a0m
2
o2
o1
o0e
o0e
ot0s2
ot1s2
Repetición de infracción spray de contraseña Otro*
Usuarios comprometidos por mes por categoría de ataque. Los volúmenes de ataques de pulverización de contraseñas fueron muy volátiles, como se ve en el
picos en noviembre de 2021 y marzo de 2022. Estos picos representan miles de usuarios y miles de direcciones IP
tocado. *“Otros” indica ataques diferentes a la difusión de contraseñas y la repetición de violaciones, incluidos phishing, malware,
intermediario, compromiso del emisor de tokens local, y otros. Fuente: Protección de identidad de Azure AD.
94 Introducción Infraestructura Resiliencia equipos
Informe de defensa digital de Microsoft 2022 cibercrimen Amenazas Operaciones
Aumento constante de los ataques de repetición de tokens

Mantener la salud de la Uso de autenticación fuerte
La proporción de otras formas de ataques aumentó en 2022.
Volumen de ataques de reproducción de tokens detectados
(septiembre de 2019 a mayo de 2022)
identidad es fundamental 100
Vimos un aumento en los ataques dirigidos que
70.000
Evite específicamente la autenticación basada en contraseña. 60.000

90
para el bienestar organizacional 80

para reducir las posibilidades de detección. Estos ataques
50.000
70 aprovechar las cookies de inicio de sesión único (SSO) del navegador o
Continuado 60 tokens de actualización obtenidos mediante malware, phishing y 40.000
%
50 otros métodos. En algunos casos, los atacantes
Fuerte adopción de autenticación 40 Elija infraestructura en ubicaciones cercanas a la ubicación 30.000
30
Como nota positiva, estamos viendo un crecimiento geográfica del usuario objetivo para reducir aún más las
20.000
20 posibilidades de detección. Tenemos
constante en la adopción de autenticación sólida entre la
10
base de clientes empresariales de Azure Active Directory Hemos observado un aumento constante en los ataques de 10.000
0
(Azure AD). Para Azure AD, reproducción de tokens, alcanzando más de 40 000 detecciones
0
oiluj
oiluj
Los usuarios activos mensuales (MAU) de autenticación por mes en Azure AD Identity Protection. La repetición de tokens es la
n2e
d
n2e
d
n2e
d
e0e
e0e
e0e
o0r2
o2r2
o1r2
e2
ds
e2
ds
e2
ds
p0
p0
p0
emd
2
emd
2
emd
2
erbme9it1
erbme0it2
erbme1it2
o2
n
d
o2
n
d
o2
n
d
zr2a0
zr2a0
zr2a0
v0
e
o0y2a0m
2
v0
e
o1y2a0m
2
v0
e
o2y2a0m
2
o0
o2
o1
erbme9i1
erbme0i2
erbme1i2
oiluj
e0n2
e e
d
oinuj
oinuj
ee2
df
c2o
d
o2r2
erb1u2t0
e
2r2b0
b2a
d
fuerte crecieron del 19 por ciento al 26 por ciento en
ei2
d
uso de tokens que fueron emitidos a un usuario legítimo por un
emd
2
ir0
e
erbm1e2ic0
ore
o2
n
d
zr2a0
2l2
g2
a
d
v0
e
o1y2a0m
2
o2y2a0m
2
o2
erbme1i2
o0
e
e2
ds
s2
p0
erbme1it2
ot1
el año pasado, mientras que el MAU de autenticación fuerte atacante que tiene posesión de dichos tokens. Los tokens se
para cuentas administrativas creció del 30 a Si bien el uso de la autenticación sólida se ha duplicado obtienen comúnmente a través de
aproximadamente el 33 por ciento. desde 2019, solo el 26 por ciento de los usuarios y el 33 por malware, por ejemplo extrayendo las cookies Ataques de repetición de tokens detectados por mes. Fuente: azur
ciento de los administradores utilizan una autenticación sólida. Fuente: desde el navegador del usuario o mediante métodos avanzados AD Identity Protection, sesiones únicas marcadas por el
Esta tendencia es positiva, pero se espera un crecimiento significativo. Detección de tokens anómalos.
Directorio activo de Azure. de phishing.
todavía es necesario alcanzar una cobertura mayoritaria de
autenticación fuerte; Los clientes que aún no utilizan una
autenticación sólida en sus entornos deben comenzar a
planificar e implementar una autenticación sólida para
proteger a sus usuarios.3 Al diseñar una
implementación de autenticación sólida, se debe considerar
la autenticación sin contraseña, ya que ofrece la
experiencia de uso más segura y elimina el riesgo de
ataques de contraseña. .
Microsoft Defender para aplicaciones en la nube ha detectado

Mantener la salud de la un promedio de 895 ataques de este tipo por mes desde
Instancias estimadas de ataques de fatiga MFA Información procesable
identidad es fundamental principios de 2022. Esta forma de ataque se puede

prevenir mediante el uso de factores de MFA resistentes al
40.000
1 Asegúrese de que todas las cuentas de su
organización están protegidas por fuertes
phishing, como la autenticación basada en certificados, medidas de autenticación.
para el bienestar organizacionalWindows Hello para empresas o FIDO2 30.000
llaves de seguridad.
2 La autenticación sin contraseña ofrece la
Continuado
20.000 experiencia más segura y fácil de usar, eliminando
Extracción de tokens el riesgo de ataques de contraseña.
Los ataques basados en contraseñas
Más que malware, los atacantes necesitan credenciales 3 Desactive la autenticación heredada en toda su
10.000
son el método principal por el cual las
para lograr sus objetivos. De hecho, el 100 por ciento de organización.
todos los ataques de ransomware operados por humanos cuentas se ven comprometidas.
0 4 Proteja las cuentas administrativas y de alto
incluyen credenciales robadas. Muchas intrusiones
valor con formas de autenticación sólida
sofisticadas incluyen credenciales compradas en la web
oiluj
Fatiga de MFA resistentes al phishing.
e0n2
e e
d
oinuj
oinuj
ee2
df
ec2
o
d
o2r2
erb1u2t0
2r2b0
b2a
d
ei2
d
emd
2
ir0
e
erbm1e2ic0
ore
o2
n
d
zr2a0
2l2
g2a
d
erbme1i2v0
e
o2y2a0m
2
o2
o0e
e2ds
oscura, inicialmente robadas mediante malware de robo de
ot1s2
erbme1it2p0
credenciales poco sofisticado y ampliamente distribuido. Esta Utilizando el concepto de “fatiga de MFA”, los atacantes
5 Modernice desde un proveedor de identidad local a
clase de malware ha evolucionado para robar tokens, generan múltiples solicitudes de MFA en el Fuente: Protección de identidad de Azure AD. un proveedor de identidad en la nube y conecte
incluida información de sesión y reclamaciones de MFA. dispositivo de la víctima, con la esperanza de que la víctima
todas sus aplicaciones al proveedor de identidad
Esto significa que las infecciones en sistemas domésticos, acepte la solicitud sin darse cuenta o como resultado de la Casos detectados de phishing seguidos de basado en la nube para una experiencia de
donde los usuarios inician sesión en activos corporativos, fatiga. Este ataque se puede prevenir mediante el uso de ataques de intermediario usuario y seguridad consistentes.
pueden provocar incidentes graves en las redes corporativas. aplicaciones de autenticación modernas, como Microsoft
Authenticator, combinadas con funciones como la 1.200 Enlaces a más información
Los atacantes también pueden extraer tokens de los
coincidencia de números4 y la habilitación de contexto En este Día Mundial de la Contraseña, considere deshacerse
dispositivos de las víctimas mediante ataques de 1.000
intermediario, en los que la víctima hace clic en un adicional.5 Azure AD Identity Protection estima que hay de las contraseñas por completo | Seguridad de Microsoft
30 000 ataques de fatiga de MFA por mes. 800
enlace malicioso en un correo electrónico de phishing o
mensaje instantáneo y se le dirige a un sitio web que se 600
parece a la página de inicio de sesión legítima de el proveedor
La proporción de ataques sofisticados
de identidad. En realidad, es un servicio web creado por 400
continúa
el atacante que retransmite e intercepta todo el tráfico entre el usuario y el aumentando, lo que subraya la
200
proveedor de identidad. El atacante puede interceptar el necesidad de contar con factores de
nombre de usuario y la contraseña y también transmitir autenticación multifactor resistentes al phishing. 0
desafíos de MFA; Los tokens resultantes emitidos por el
proveedor de identidad e interceptados por el atacante
e0n2
e e
d
ee2
df
o2r2
2r2b0
b2a
d
emd
2
ir0
e
ore
zr2a0
2l2
o2y2a0m
2
o2
pueden contener afirmaciones de MFA que el atacante
puede utilizar para satisfacer los requisitos de MFA.
Fuente: Microsoft Defender para aplicaciones en la nube.
Los clientes que adoptan la defensa en profundidad, incluida una

Configuración de seguridad postura de seguridad en capas, nuevas características de
Para dispositivos donde la seguridad Información procesable
seguridad, parches y actualizaciones periódicas y consistentes, así como no está habilitada de forma predeterminada, 1 Utilice una solución sin contraseña que
predeterminada del sistema operativo capacitación y concientización en seguridad para denunciar
Microsoft recomienda configurar manualmente vincula las credenciales de inicio de sesión en el Módulo
phishing y otras estafas, pueden esperar menos malware. de plataforma segura, específicamente busque
Con el panorama de amenazas a la seguridad en en entornos donde sea posible.
una solución sin contraseña que cumple con la Alianza
continua evolución, vemos una necesidad cada vez mayor 8
Para simplificar la defensa en profundidad, Windows 11 tiene Faster Identity Online (FIDO)
de seguridad informática configurada de forma predeterminada.
protecciones de hardware y software estrechamente integradas estándar en la industria.
para mejorar la ciberresiliencia. Si bien la seguridad del
activadas de forma predeterminada, incluida la integridad de la
2 Realice una limpieza oportuna de todos los ejecutables obsoletos
sistema operativo es más urgente, compleja y crítica
memoria, el arranque seguro y un módulo de plataforma segura 2.0.
para el negocio que nunca, puede ser un desafío lograrlo y no utilizados que se encuentran en los dispositivos de las
Usuarios de Windows 10 en
organizaciones.
y administrarlo correctamente. El hardware compatible también puede activar estas funciones en la
aplicación de configuración de Windows o en el menú del 3 Proteja los ataques de firmware avanzados mediante
BIOS. habilitando la integridad de la memoria, el arranque seguro
En el pasado, la seguridad de computadoras y dispositivos
y el Módulo de plataforma segura 2.0, si no
incluía características de seguridad integradas que se esperaba
Los dispositivos más antiguos en general a menudo no tienen
que el cliente o el profesional de TI configurara al nivel deseado. habilitado de forma predeterminada, lo que refuerza el
una alineación tan sólida entre las técnicas de seguridad del
arranque utilizando capacidades integradas en las CPU modernas.
hardware y del software.
Este enfoque ya no es adecuado, ya que los atacantes
Para dispositivos donde la seguridad no está habilitada de forma 4 Active el cifrado de datos y la protección de
están utilizando herramientas más avanzadas en automatización,
predeterminada, configúrelos manualmente en la configuración credenciales.
infraestructura de nube y tecnologías de acceso remoto para lograr
donde sea posible.7
sus objetivos. Tiene 5 Habilitar aplicación y navegador
Se vuelve fundamental que todas las capas de seguridad, desde el controles para una protección mejorada contra aplicaciones
chip hasta la nube, estén configuradas de forma predeterminada. que no son de confianza y otras protecciones integradas
Microsoft ha evolucionado para configurar Windows contra exploits.
seguridad del sistema operativo de forma predeterminada.6

6 Habilite la protección de acceso a la memoria para ayudar a
protegerse contra ataques físicos casuales, como cuando
alguien conecta un dispositivo malicioso a puertos
accesibles externamente.
Sea proactivo a la hora de aplicar Enlaces a más información
actualizaciones continuas del sistema Libro de seguridad de Windows | Comercial
operativo y parches de seguridad que ayuden a Nuevas funciones de seguridad para Windows 11
ayudarán a proteger el trabajo híbrido | microsoft
brindar protección durante todo el ciclo de vida del Blog de seguridad
hardware y el software.
Informe
Para las versiones de aplicaciones con soporte, vemos

Penetración comercial de las El mantenimiento de la resiliencia del
Centralidad de la cadena una estabilización en la velocidad de adopción de parches
aplicaciones más utilizadas
críticos, que es lo opuesto a la tendencia que impulsará la software debe incluir la desactivación o
de suministro de software 3,5 millones
resiliencia. En cambio, la curva debería mostrar una desinstalación periódica de aplicaciones no utilizadas.
3,0 millones Adopción exponencial al alza de parches mes tras mes, para
Los ataques a aplicaciones, complementos y
lograr la resiliencia necesaria.
extensiones de terceros pueden erosionar la confianza de 2,5 millones
2,0 millones La seguridad y el cumplimiento de una

los clientes en los proveedores que desempeñan un papel
Tasa de implementación de parches críticos
organización dependen de sus propios
uacigteesrR
einm
nza e
d
o
central en el ecosistema de suministro. El uso de la teoría
senoicooatd
1,5 millones
de redes para observar la centralidad del software 1,0 millones

100 esfuerzos y de los esfuerzos de sus
90
ayuda a iluminar la importancia de la aplicación de 0,5 millones
80
proveedores de software.
parches, especialmente para las aplicaciones centrales. 0.0M 70 El 78% de los dispositivos
0M 35M 70M 105M 140M
60
siguen en riesgo después de 9 meses
Recuento estimado de dispositivos activos %
50
La red de aplicaciones de Windows de 18 millones de
Editor Microsoft Corporation Tercero 40
ejecutables de aplicaciones se instala y utiliza en cinco
30
millones de organizaciones, lo que proporciona una Las principales aplicaciones son utilizadas por millones de organizaciones Información procesable
20
y decenas de millones de dispositivos. porque estan cerca
Vista de alto nivel de nuestro ecosistema de software. De 10 1 Realice actualizaciones oportunas para todas las
omnipresentes, los adversarios están constantemente atentos para
De las 100.000 aplicaciones más utilizadas, el 97 por ciento 0
explotar las vulnerabilidades en estas aplicaciones principales, que aplicaciones y puntos finales de su organización.
0 día 3 meses 6 meses 9 meses
son producidas por organizaciones de terceros cuyas
pueden afectar a millones de dispositivos en la base de usuarios.
actualizaciones y parches de seguridad son mantenidos por 2 Realice una limpieza oportuna de todos los ejecutables
Sin parchear Parcheado
ellos. Esto ilustra dos rasgos importantes de nuestra Observamos que millones de dispositivos comerciales obsoletos y no utilizados que se encuentran en
Ecosistema de aplicaciones comerciales. Después de examinar una vulnerabilidad crítica que afectó a 134 los dispositivos de las organizaciones.
siguen utilizando versiones de aplicaciones vulnerables
versiones de un conjunto de navegadores, encontramos que el 78 por
En primer lugar, existe una centralidad en el ecosistema de muchos meses después del lanzamiento del parche o incluso Enlaces a más información
ciento, o millones de dispositivos, todavía usaban una de las
años después del final del soporte del producto. Por ejemplo, allí
aplicaciones comerciales de Windows. Sólo los 100.000 primeros (de los versiones afectadas nueve meses después del lanzamiento del parche.
Hay más de un millón de dispositivos comerciales Documentación de Microsoft Intune |
18 millones) de aplicaciones se utilizan en 1.000 o más Documentos de Microsoft
dispositivos. En otras palabras, poco más de la mitad de 1 Windows activos que ejecutan una versión de un lector Utilizamos el kit de herramientas InterpretML9 para
El porcentaje de estas aplicaciones tiene este tipo de efecto de de PDF que no es compatible desde 2017. identificar características correlacionadas con organizaciones Administrar aplicaciones | Documentos de Microsoft
amplio alcance en el ecosistema de dispositivos. que tienen más probabilidades de tener dispositivos con
Microsoft Defender para punto final |
versiones de aplicaciones más antiguas. El más importante de estos predictores.
En segundo lugar, existe diversidad en la capacidad de Las versiones antiguas de aplicaciones que Seguridad de Microsoft
gestión de esas aplicaciones, donde los 10.000 principales incluidos: pocas horas de participación en los dispositivos;
no son compatibles siguen utilizándose
áreas geográficas como Asia Pacífico y América Latina Marco de cadena de suministro segura de OSS |
proveedores de aplicaciones gestionan las actualizaciones activamente en millones de dispositivos comerciales. America; e industrias como la automoción, la química, las Ingeniería de seguridad de Microsoft
y parches de seguridad de las aplicaciones comerciales
más utilizadas. Esto demuestra Como resultado, las organizaciones corren el telecomunicaciones, el transporte y la logística, los
Software de código abierto de Microsoft seguro
pagadores de salud (tramitadores de reclamaciones),
La interdependencia que tiene una empresa con riesgo de tener vulnerabilidades que no Marco de la cadena de suministro | GitHub
y seguro.
respecto a un conjunto diverso de controles de gestión, podrán solucionarse.
cumplimiento y seguridad de los proveedores de software.
Desarrollar Negación distribuida de Número de ataques DDoS y distribución de su duración
(marzo de 2021 a mayo de 2022)
resiliencia ante ataques de servicio (DDoS)

3.000
Durante el año pasado, el mundo experimentó una actividad DDoS
ataques DDoS, sin precedentes en volumen, complejidad y frecuencia. Esta
aplicaciones web y redes emergentes

explosión DDoS
fue impulsado por un aumento sustancial de los ataques a
2.500
estados nacionales y la continua proliferación de servicios de
La transformación digital acelerada ha alquiler de DDoS de bajo costo. Microsoft mitigado
puesto fin al modelo tradicional de red y un promedio de 1.955 ataques por día, un aumento del 40 por ciento
perímetro de seguridad. Pasar a la nube respecto al año anterior. Anteriormente, el pico
significa que las empresas deben adoptar La mayoría de los ataques ocurrieron normalmente durante la 2.000
una seguridad de red nativa de la nube para temporada navideña de fin de año. Este año, sin embargo,
proteger los activos digitales. la mayor cantidad registrada en un día fue el 10 de agosto de
2021. Esto podría indicar un cambio hacia ataques durante
todo el año y resalta la importancia de la protección continua 1.500
más allá de las temporadas tradicionales de tráfico pico.

La complejidad, la frecuencia y el volumen
de los ataques continúan creciendo y ya no En noviembre de 2021, Microsoft frustró un ataque DDoS
se limitan a las temporadas navideñas, lo que volumétrico con un rendimiento de 3,4 1.000
indica un cambio hacia ataques durante todo el terabits por segundo (Tbps) de aproximadamente
10.000 fuentes que abarcan varios países.
año. Esto resalta la importancia
En 2022 se mitigaron ataques similares de alto volumen por
de protección continua más allá de las
encima de 2+Tbps, destacando que no solo está aumentando la 500
temporadas tradicionales de mayor tráfico. complejidad y la frecuencia de los ataques, sino también el
volumen (ancho de banda).
de ataque.
Duración del ataque 0
oiluj
La mayoría de los ataques observados durante el año pasado
e0n2
e e
d
oinuj
ee2
df
ec2
o
d
o2r2
2r2b0
b2a
d
b2a
d
e2d
s
erb1u2t0
ei2
d
p0
emd
2
em
d
2
ir0
e
ir0
e
erbm1e2ic0
ore
erbme1it2
o2n
d
zr2a0
zr2a0
2l2
1l2
g2
a
d
erbme1i2v0
e
o1y2a0m
2
o2y2a0m
2
o2
o1
s2
ot1 o0
e
fueron de corta duración. Aproximadamente el 28 por ciento de los
Los ataques duraron menos de 10 minutos, el 26 por ciento duró
entre 10 y 30 minutos y el 14 por ciento duró
12 minutos 3 a 5 minutos 6 a 10 minutos 11 a 20 minutos 21 a 30 minutos 31 a 40 minutos 41 a 50 minutos
31 a 60 minutos. El treinta y dos por ciento de los ataques
51 a 60 minutos 1 a 2 horas 23 horas 3 a 4 horas 4 a 10 horas >10 horas
duraron más de una hora.
La mayoría de los ataques del año pasado fueron de corta duración. Aproximadamente el 28 por ciento de los ataques duraron menos de 10 minutos.
Informe El estado de Estado
Estadonacional
nacional Dispositivos y Influencia cibernética cibernético Contribuyendo
99 Informe de defensa digital de Microsoft 2022 Introducción cibercrimen Amenazas
Amenazas Infraestructura Operaciones Resiliencia equipos
Regiones geográficas objetivo De los

Desarrollar Vectores de ataque DDoS
ataques DDoS detectados durante el año pasado, el 54 por
La aplicación web aprovecha el
Ataques de inundación UDP Spoof 55% firewall de aplicaciones web (WAF), en combinación
resiliencia ante ciento se llevaron a cabo contra objetivos en los Estados
Unidos, una tendencia que podría explicarse en parte por el con protección DDoS, forma una parte integral de la
ataques DDoS, Otro 20%

hecho de que la mayoría de los clientes de Azure y Microsoft
se encuentran en los Estados Unidos.
estrategia de defensa en profundidad para proteger
la web y la interfaz de programación de aplicaciones (API)
aplicaciones web y redes emergentes También vimos un fuerte aumento en los ataques contra la activos. Microsoft observó más de 300 mil millones
India, de solo el 2 por ciento de todos los ataques en la Reglas WAF activadas por mes a través de Azure WAF.
Continuado segunda mitad de 2021 al 23 por ciento en la primera mitad de
Ataques de inundación TCP Ack 19% 2022. El este de Asia, y Hong Kong en particular, seguirá Distribución de los tipos de ataques más frecuentes
Vectores de ataque DDoS
un objetivo popular del 8 por ciento. Para Europa, vimos
El año pasado, los vectores de ataque comúnmente concentraciones de ataques contra las regiones de Ataques de inyección de encabezado 1%
empleados fueron el Protocolo de datagramas de usuario (UDP). Amsterdam, Viena, París y Frankfurt.
Ataque de amplificación de DNS 6% Ejecución remota de código
reflexión sobre el puerto 80 usando un servicio simple
(RCE) ataca 1%
protocolo de descubrimiento (SSDP), sin conexión Destino del ataque DDoS
El ataque de inundación UDP Spoof alcanzó el primer vector en
protocolo ligero de acceso a directorios (CLDAP),
la primera mitad de 2022, del 16 por ciento al 55 por ciento. secuencias de comandos entre sitios
sistema de nombres de dominio (DNS) y hora de la red Estados Unidos 54% (XSS) ataca 5%
El ataque de inundación TCP Ack disminuyó del 54 por ciento al
protocolo (NTP) que comprende un solo pico. 19 por ciento. Emiratos Árabes Unidos 1%
También vimos un aumento en los ataques DDoS a la Ataques de inyección de RFI 5%
capa de aplicación dirigidos a sitios web, con un Australia 1%

Ataques de inyección de LFI 21%
pico de 16,3 millones de RPS (solicitudes por segundo). Japón 1%
y tráfico pico de 9,89 Tbps.
Corea del Sur 1% Ataques de inyección SQL 67%
Reino Unido 1%
En 2022, Microsoft mitigó casi Azure WAF detecta miles de millones de ataques Top 1010 del Open
Brasil 1% Web Application Security Project (OWASP) diariamente.
2000 ataques DDoS diarios y frustró el Según nuestras señales, la mayoría de los atacantes intentaron
Sudeste Asiático 3%
mayor ataque DDoS jamás registrado ataques de inyección SQL seguidos de inyección de archivos locales.
y ataques de inyección remota de archivos. Esto está en línea con
en la historia. Europa 6%
La lista OWASP Top Ten muestra los ataques de inyección
Asia Oriental 8%
La industria del juego sigue siendo el principal objetivo de como el tercer tipo más común de ataques web.
los ataques DDoS, principalmente debido a mutaciones de la India 23%
botnet Mirai y ataques de protocolo UDP de bajo volumen. También ha habido un aumento en los ataques de
Atribuimos el alto volumen de ataques en Asia a la enorme huella bots contra aplicaciones web de Azure, con un promedio
Dado que UDP se usa comúnmente en juegos
de juego en la región, especialmente en China, Japón, Corea
y aplicaciones de streaming, una abrumadora mayoría de de 1,7 mil millones de solicitudes de bots por mes y 4,6
del Sur e India. Esta huella continuará
los vectores de ataque fueron inundaciones de suplantación por ciento de ese tráfico consiste en robots malos.
expandirse a medida que la creciente penetración de los teléfonos
de UDP, mientras que una pequeña porción fueron reflejos de UDP.
inteligentes impulse la popularidad de los juegos móviles, lo
y ataques de amplificación. que sugiere que este objetivo geográfico seguirá creciendo.
Introducción Amenazas
Amenazas Infraestructura Resiliencia equipos
Informe 100 de defensa digital de Microsoft 2022 cibercrimen Operaciones
Desarrollar Intrusiones en la red: detección y prevención Observamos un Información procesable
aumento significativo en las vulnerabilidades de la capa de red, particularmente

resiliencia ante malware, en 2022. Sistema de prevención y detección de intrusiones de Azure Firewall
1 Inspeccione todo el tráfico entre sistemas dentro
un centro de datos o servicio en la nube y el tráfico
ataques DDoS, (IDPS) bloqueó más de 150 millones de conexiones sólo en el mes de junio. buscando acceder a ellos.
aplicaciones web y redes emergentes

IDPS Denegar motivo de tráfico
2 Desarrollar una red sólida durante todo el año
estrategia de respuesta de seguridad.
Continuado Gestión remota de ataques JA3: tráfico cifrado

3 Utilice servicios de seguridad nativos de la nube para
laterales 2% malicioso HTTPS 38 %
implementar una red robusta de confianza cero
postura de seguridad.
Debido al creciente número de bots Tráfico DNS
realizar ataques de relleno de credenciales, malicioso DNS 5%
fraude con tarjetas de crédito, influencia cibernética Mejore sus defensas de seguridad para
ataques de ransomware con Azure Firewall |
campañas y ataques a la cadena de suministro,
Blog y actualizaciones de Azure | MicrosoftAzure
esperamos ver un aumento constante en
El intento de privilegio Anatomía de un ataque de amplificación DDoS |
Ataques de bots contra aplicaciones web. Agente de usuario HTTP 26% de usuario obtuvo RPC 29% Blog de seguridad de Microsoft
Protección inteligente de aplicaciones contra

desde el borde a la nube con la aplicación web de Azure
Motivos de alerta de tráfico del IDPS
Cortafuegos | Blog y actualizaciones de Azure |
MicrosoftAzure
Tráfico DNS Ejecución remota sobre
malicioso: tráfico no DNS en PyME PyME/PYME2 76%
el puerto DNS DNS 4%
JA3: tráfico cifrado malicioso

HTTPS 20 %
El análisis del tráfico de alerta y denegación de IDPS muestra los siguientes enfoques utilizados por
atacantes. En Denegar tráfico, vemos atacantes que utilizan SSL para ocultar sus actividades.
y los ataques de ejecución remota son cada vez más comunes. En el tráfico de alerta,
Estamos viendo protocolos SMB/SMB2 utilizados para realizar ataques de ejecución remota.
Gobernanza de datos, seguridad, cumplimiento, Trabajando a partir del mismo inventario de datos y
Desarrollar un enfoque y la privacidad son interdependientes. Hemos La información de la actividad facilita la interacción entre equipos.
procesos, produce un riesgo más completo

equilibrado para la seguridad de visto que los datos ganan importancia en los últimos tiempos.
imagen y permite a las organizaciones mejorar
1 Equilibrar la defensa con la recuperación y
años como motor crucial de creación de valor para minimizar el impacto de la violación de datos mediante la inversión
preparar y agilizar su respuesta a
los datos y la resiliencia cibernética organizaciones. Al mismo tiempo, el aumento
un incumplimiento.
en materia de cumplimiento, protección de datos y
de regulaciones de privacidad que requieren tanto datos capacidades de respuesta.
La transformación digital ha impulsado una gran La gobernanza y la seguridad han desdibujado las líneas
2 Desarrollar y adoptar procesos y herramientas
entre roles de riesgo. Mientras que los nuevos roles de nivel C
expansión de los activos de datos y un aumento Inventario de que trascienden los silos de riesgo de datos y cubren
como el director de datos (CDO) o el director
de los riesgos de seguridad, cumplimiento y privacidad. datos y actividad. el patrimonio de datos completo.
Los responsables de privacidad (CPO) tienen intereses creados en CIO
Las organizaciones ciberresilientes deben equilibrar CRO Enlaces a más información
seguridad y cumplimiento, la implementación
las inversiones en protección de datos, cumplimiento y
y la puesta en práctica de la protección de datos a menudo —
director de operaciones
Ámbito de Microsoft: protección de datos

capacidades de recuperación e integrarlas con depende de equipos liderados por el Jefe de Información
CISO
Soluciones | Seguridad de Microsoft
procesos de respuesta regulatorios especializados Oficiales (CIO) y/o Jefe de Seguridad de la Información
CDO
CPO
para abordar distintos tipos de infracciones. Oficial (CISO). No es una calle de sentido único, como El futuro del cumplimiento y los datos
DPO
Las iniciativas de gobernanza de datos lideradas por CDO también La gobernanza está aquí: Presentación de Microsoft
tener beneficios de seguridad. Como resultado de esto Competencia | Blog de seguridad de Microsoft
Las violaciones de datos no son una cuestión de si, sino de cuándo. interconexión, TI, gobernanza de datos, seguridad,
El “Costo de un dato” de IBM y Ponemon Institute los equipos de cumplimiento y privacidad deben trabajar El “panel único de vidrio” debería actuar como un prisma.
El estudio Breach, 2021” reporta un dato promedio global cada vez más estrechamente para lograr la eficiencia y Equipos que tienen interés en la seguridad de los datos, el cumplimiento,
gestionar el riesgo. y la privacidad necesitan visiones diferentes pero consistentes de
costo de incumplimiento de $ 4,24 millones de dólares (un aumento del 10 por ciento
el mismo inventario de datos y actividad para entrar en
del año anterior) y $9.05 millones de dólares en
Plataformas unificadas de gestión de riesgos de datos alineación y colaboración. La actividad de datos incluye datos.
los Estados Unidos. Se encontraron fallas de cumplimiento
para el conjunto de datos de toda la organización es el futuro eventos de acceso, modificación y movimiento, que son
ser el principal factor que amplifica los costos. En cambio,
una parte valiosa de la ecuación de seguridad de los datos.
Las reducciones de costos por incumplimiento se asociaron con mejores
prácticas como la planificación de respuesta a incidentes (IR), Alinear TI, gobernanza de datos, seguridad,
Madurez de implementación de Zero Trust, seguridad AI y proceso de gestión de cumplimiento y privacidad
automatización y uso de cifrado.

es difícil en un ambiente de personalización Gobernanza de datos eficaz,
aplicaciones para cada disciplina e inconsistentes seguridad, cumplimiento y privacidad
cobertura en toda la organización típica híbrida,
Las violaciones de datos son inevitables. son interdependientes y requieren
Expansión de datos en múltiples nubes. Creemos que
colaboración entre equipos.
Organizaciones que adoptan una actitud equilibrada Las organizaciones necesitan un único panel de vidrio para
localizar y conocer sus datos, proteger sus datos,
El enfoque de resiliencia reducirá
rigen el acceso, el uso y el ciclo de vida de los datos,
la frecuencia, el impacto y el costo
y evitar la pérdida de datos en todo el conjunto de datos.
de incumplimientos.
Surgen preguntas sobre qué podemos hacer para prepararnos. También reconocemos que restaurar la confianza en
Resiliencia a las por un futuro más resiliente frente a estos ciberataques El contenido digital es un objetivo ambicioso que
influir en las operaciones. La tecnología es sólo una. requieren diversas perspectivas y participación. Aplicaciones de la inteligencia artificial en
operaciones de influencia cibernética: parte del rompecabezas. Se necesitarán varias No existe una sola empresa, o institución, o Misiones cibernéticas del Departamento de Defensa |
esfuerzos, incluida la educación dirigida a los medios gobierno que pueda resolver estas amenazas Microsoft sobre los problemas
La dimensión humana alfabetización, sensibilización y vigilancia, inversiones en su propio. Nuestro superpoder como humanos es nuestro
Inteligencia Artificial y Ciberseguridad:
periodismo de calidad, con reporteros confiables sobre el capacidad de colaborar y cooperar. Esto es
En los últimos cinco años, los avances en Desafíos crecientes y prometedores
escena, a nivel local, nacional e internacional— especialmente importante ahora porque requerirá
Los gráficos y el aprendizaje automático han Direcciones. Audiencia sobre artificiales
Redes de intercambio y alerta sobre influencia. todos: gobiernos globales, industrias,
Aplicaciones de inteligencia a las operaciones
introducido herramientas fáciles de usar capaces operaciones y nuevos tipos de regulaciones que academia, y especialmente noticias, redes sociales y
en el Ciberespacio ante el Subcomité
de generar rápidamente imágenes de alta calidad. penalizar a los actores malévolos que generan o organizaciones de medios—trabajando juntas para
en Ciberseguridad, del Senado Armado
Contenido realista que puede difundirse manipular los medios digitales con el objetivo de engañar. el mejoramiento y la salud de nuestra sociedad.
Comité de Servicios, 117º Congreso
ampliamente en Internet en segundos.
(3 de mayo de 2022; Testimonio de Eric Horvitz)
Cuando se trata de eventos reportados a través de texto, audio,

y contenido visual, hemos llegado a un punto
donde ni los humanos ni los algoritmos pueden
distinguir la realidad de la ficción. La proliferación
de estas herramientas y sus resultados son casting
dudas sobre la confiabilidad de todos los medios digitales,
perturbando nuestra comprensión de lo local y
eventos mundiales. Nuevas formas de operaciones de influencia.
permitidos por los avances tecnológicos tienen graves
implicaciones para los procesos democráticos.11
Una habilidad de ciberseguridad centralizada y específica Específico del programa: programas de formación específicos
Fortalecer el factor El programa llega a todos los empleados de Microsoft. apoyar iniciativas específicas de ciberseguridad, incluidas
al menos una vez al año. Las ofertas de formación son TI en la sombra, amenazas internas y Microsoft Federal.
humano con habilidad optimizado para soportar la ciberseguridad actual Estas ofertas están estrechamente integradas en la
1 Proporcionar capacitación y recursos de seguridad a
empleados cuando y donde lo necesiten.
iniciativas y ofrecer un comportamiento medible estrategia general de participación para sus respectivos
Abordar el factor humano es un componente resultados. El riesgo de la información de Microsoft iniciativas de ciberseguridad a través del ejecutivo 2 Desarrollar una estrategia de capacitación centralizada
clave de cualquier estrategia de habilidades en El Consejo de Gestión (IRMC) desempeña un papel clave patrocinio y elaboración de informes de cuadro de mando para prevenir informados por partes interesadas de todo
ciberseguridad. Según un estudio de Kaspersky para identificar comportamientos importantes en materia de ciberseguridad un enfoque de capacitación de “marcar la casilla”. la empresa.
Human Factor in IT Security,12 el 46 por ciento resultados de cambio que se abordarán mediante la capacitación. MSProtect: el recurso web centralizado de Microsoft 3 Garantizar que se realice un seguimiento del impacto de la formación
de los incidentes de ciberseguridad involucran a y analizado para determinar la eficiencia (cantidad),
Con todos nuestros programas de habilidades en ciberseguridad, proporciona mejores prácticas, política de la empresa
personal descuidado o uniformado que sin medimos la eficiencia de la solución, información y notificación de incidentes para todo lo relacionado efectividad (calidad) y resultados
darse cuenta facilita el ataque. (impacto de negocios).
efectividad y resultados cuando sea posible. relacionados con la ciberseguridad. Este recurso bajo demanda
Por ejemplo, nuestra oferta de habilidades sobre amenazas internas es la opción ideal para los empleados fuera del ámbito formal Enlaces a más información
El equipo de Educación y Concientización de Microsoft en tiene un 95 por ciento de cumplimiento de la capacitación, excepcional ofertas de formación.
satisfacción del alumno, y ha resultado en una Microsoft lanza la siguiente etapa de habilidades
la organización de Seguridad y Resiliencia Digital
aumento significativo en los informes de los gerentes iniciativa tras ayudar a 30 millones de personas
se encarga de fortalecer el factor humano
Las habilidades en seguridad no deben verse como
de la ciberseguridad al empoderar a los empleados para posibles casos de amenazas internas a través de la empresa
Proteger nuestros sistemas y los de nuestros clientes. Herramienta Informarlo ahora. El programa incluye: una actividad de cumplimiento, de marcar la casilla.
y datos. Nuestros objetivos son: En lugar de ello, céntrese en el cambio de comportamiento
Fundamentos de seguridad: Concientización y cumplimiento de la
• Reducir el riesgo para Microsoft y nuestros clientes ciberseguridad centralizados y en toda la empresa
para permitir el seguimiento de los resultados
mediante la creación de un conjunto centralizado de formación que aborda la seguridad básica y a través de conductas objetivo identificadas,
habilidades de seguridad centralizadas para toda la empresa en todo el prácticas de privacidad. Esta formación tan esperada
y establecer sistemas de escucha para
población de empleados. La serie emplea un modelo de entretenimiento educativo para
hacer que el aprendizaje sobre ciberseguridad sea atractivo
determinar el impacto de las ofertas.
• Fortalecer el conocimiento de seguridad de los empleados
e interesante.
a través de una formación en varias fases
enfoque de refuerzo para soportar lo deseado HUELGA: La formación técnica requerida por Microsoft
resultados del comportamiento. para ingenieros que crean y mantienen soluciones de línea
• Fomentar el cambio cultural creando una estrategia de seguridad. de negocio. Este solo por invitación
La mentalidad es una parte intrínseca de la cultura de Microsoft. La capacitación aborda áreas críticas y oportunas de
a través de la capacitación en seguridad requerida anualmente mejores prácticas de higiene en ciberseguridad y utiliza un
y eventos. modelo de entrega híbrido en vivo hecho a medida
a las necesidades de la audiencia.
• Promocionar un recurso web centralizado de ventanilla única
para obtener mejores prácticas, información sobre políticas de la empresa,
y reporte de incidentes para todo
relacionados con la ciberseguridad.
El primer paso fue comprender el alcance de nuestra protección Incorporar los hallazgos en nuestra propia empresa Para remediar
Perspectivas de contra un ataque de ransomware dirigido a Microsoft. Los
los principales riesgos y proteger nuestros servicios críticos
esfuerzos ya estaban en marcha para implementar Defender for

nuestro ransomware Endpoint y garantizar que todos los dispositivos estén
contra un ataque de ransomware, planeamos centrar las 1 Documentar y validar las actividades de recuperación y
inversiones durante los próximos 6 a 12 meses en lograr los cinco remediación de un extremo a otro relacionadas con
administrados y cumplan con nuestras políticas de Confianza
programa de eliminación Cero, pero necesitábamos encontrar una manera de comprender
escenarios siguientes como parte de un programa de ransomware
dedicado.
ataques de ransomware contra servicios críticos.
todas las facetas de la pregunta más importante: si podríamos Una vez que tengamos éxito en cada uno de los escenarios, ampliaremos
Microsoft ha emprendido su propio viaje Zero Trust13
recuperarnos efectivamente de un ataque. . Para obtener más 2 Involucre a las partes interesadas en la actualización de su
gradualmente el alcance del programa para llegar a todas las
en los últimos cinco años para garantizar que las información, evaluamos el NIST 8374: Gestión de riesgos de Manuales de gestión de crisis empresariales que incluyan
partes de la empresa.
identidades y los dispositivos estén administrados de ransomware: un marco de ciberseguridad (CSF) actividades específicas de ransomware y un proceso de
manera sólida y en buen estado. A medida que Escenario 1: Los miembros del equipo de seguridad comprenden el decisión y orientación para determinar si pagar por
riesgo general asociado con un ataque de ransomware y tienen ransomware y cuándo.
crece el riesgo de ransomware, hemos desarrollado Perfil,14 que se alinea con nuestra política empresarial general frente
una visión profunda para respaldar nuestro enfoque a nuestra lista conocida de controles. un proceso establecido para concienciar a los ejecutivos sobre las
3 Mejorar la detección y la protección
de protección a nosotros mismos y a nuestros clientes. Este análisis identificó rápidamente brechas en la cobertura. brechas de control y el estado del riesgo.
cobertura habilitando las capacidades disponibles en sus
A continuación, priorizamos las brechas en las funciones de productos de seguridad implementados (p. ej.
Luego de una evaluación interna en profundidad, creamos Identificar, Detectar, Proteger, Responder y Recuperar del CSF. Escenario 2: los miembros del equipo de seguridad tienen acceso a Defender para las reglas de reducción de la superficie
un programa de eliminación de ransomware para subsanar las Encontramos una alineación estratégica con Zero Trust y guías diseñadas para ayudarlos a ellos y a otros equipos dentro de de ataque de endpoints).
brechas en los controles y la cobertura, contribuir a mejorar las otros programas y también descubrimos brechas que no Microsoft a responder y recuperar servicios críticos de un ataque de
ransomware. 4 Trabajar con el equipo de estándares de seguridad para definir
funciones de servicios como Defender para Endpoint, Azure y M365, tenían un flujo de trabajo existente.
una base de protección contra un ataque de ransomware
y desarrollar guías para nuestros equipos de SOC y de ingeniería Después de evaluar la cantidad de trabajo y esfuerzo necesarios Escenario 3: Los miembros del equipo de Enterprise Resilience tienen y brindar capacitación y documentación a los equipos de
sobre cómo para recuperarse en caso de un ataque de para remediar estas brechas, las separamos en dos pilares: • un estándar a seguir para el respaldo de sistemas críticos. ingeniería sobre cómo protegerse contra un ataque
ransomware. Proteger la empresa (PtE): Existen manuales y se realizan ejercicios periódicos de copia de ransomware.
Definir el trabajo de seguridad y recuperación para garantizar que los datos se
puedan recuperar en caso de un ataque de ransomware.
elementos que debemos hacer como empresa para protegernos
5 Implemente la automatización para que el
y poder recuperarnos de un ataque, en caso de que uno tenga
Facilita la implementación de políticas de seguridad y
éxito. Escenario 4: Los propietarios de servicios comprenden e
operaciones para los equipos de DevOps y garantiza
• Proteger al cliente (PtC): Desarrollar capacidades en nuestras ofertas implementan las políticas y controles operativos y de seguridad
que, si un sistema no cumple con el cumplimiento,
para proteger a nuestros clientes y nuestro negocio. necesarios para proteger sus servicios, datos de clientes, puntos
se marcará y remediará rápidamente.
finales y activos de red contra ataques de ransomware, con
especial atención en los servicios priorizados como servicios críticos de
Microsoft.
Escenario 5: todos los empleados pueden acceder a recursos educativos Compartiendo cómo Microsoft protege contra el
y de capacitación que describen cómo reconocer un ataque de ransomware | Pista interna de Microsoft
ransomware y cómo notificar al equipo de seguridad e iniciar la respuesta.
A medida que las computadoras cuánticas se conviertan en una realidad,

Actuar ahora sobre las La computación cuántica es una amenaza para la actualidad componentes de software de terceros que contienen Nueva criptografía poscuántica
criptografía y todo lo que protege. implementaciones de algoritmos criptográficos Los algoritmos están bajo revisión a través del NIST.
implicaciones de la seguridad cuántica y las capacidades requerirán un escrutinio adicional Estandarización de la criptografía poscuántica
también. Esto requiere que todas las organizaciones a lo largo del programa. Este trabajo influirá en el mundo
Hay presión para gestionar la amenaza que la La amenaza a la criptografía actual Con el algoritmo
cadena de valor para hacer su parte para asegurar la cadena esfuerzos dentro de los organismos de normalización.
computación cuántica representa para la sociedad actual. de Shor de 1994 y una computadora cuántica a escala permanece seguro. Organismos industriales y gobiernos.
criptografía y todo lo que protege. industrial de más de unos pocos están aumentando los esfuerzos para definir la oferta de software
El Memorando publicado recientemente sobre la millones de qubits físicos, todos nuestros actuales, ampliamente requisitos de seguridad de la cadena y, en algunos casos,
Ideas prácticas Junto con
mejora de la ciberseguridad de los sistemas algoritmos criptográficos de clave pública implementados introducir nuevos mandatos para garantizar la
comunitarios de inteligencia y defensa del podría romperse eficientemente. Es fundamental cadena. Memorando de Seguridad Nacional NSM819 SAFECode y los miembros asociados,
considerar, evaluar y estandarizar criptosistemas "seguros establece requisitos y plazos para actividades inmediatas a corto plazo deben ser
Departamento de Seguridad Nacional15 se
basa en la Orden ejecutiva de EE. UU. 1042816 cuánticamente" que sean eficientes, ágiles, Implementación de criptografía poscuántica. adoptadas por la industria para prepararse para el PQC
y seguro contra un adversario basado en cuántica en Sistemas de Seguridad Nacional (NSS). llama transición.21 Estos incluyen:
para mejorar la ciberseguridad de la nación y destaca
ataque. Migración de software a “postcuántica expectativas de tiempo dentro de los 180 días para
la seguridad de la cadena de suministro de software 1 Haz un inventario de tus productos/códigos
criptografía”, es decir, la criptografía clásica existente. “planificación de la modernización, uso de sistemas no compatibles
como fundamental para abordar futuros ataques que utilizan criptografía.
algoritmos y protocolos robustos a la cuántica cifrado, protocolos únicos de misión aprobados,
de estadosnación.
ataque, llevará años (si no una década o más) Protocolos y planificación de resistencia cuántica. 2 Implementar una estrategia de criptoagilidad
lograr.18 para el uso de criptografía cuántica resistente en toda su organización que incluye
¿Qué son las computadoras cuánticas? donde sea necesario." minimizar la rotación de código requerida cuando
Esto significa que existe presión para gestionar la
cambios de criptografía.
Las computadoras cuánticas son máquinas que utilizan amenaza para la criptografía actual y todo La estandarización es una actividad de largo plazo en
propiedades de la física cuántica para almacenar datos y protege. Los adversarios pueden grabar encriptados la transición a la criptografía cuántica segura. 3 Pilotar el uso de candidatos cuánticos seguros
realizar cálculos. Esto puede ser extremadamente datos ahora y explotarlos más tarde una vez que se Organismos de normalización que trabajan en normas utilizando algoritmos en sus productos o servicios
ventajoso para ciertas tareas donde podrían computadora está disponible. Esperando cuántica La criptografía de clave pública debe comenzar a experimentar. que utilizan criptografía.
superan ampliamente incluso a nuestras mejores supercomputadoras. informática llegue antes de abordar su con algoritmos postcuánticos y adaptarse a ellos ahora.
4 Esté preparado para utilizar diferentes claves públicas
La computación cuántica ya abre nuevas Las implicaciones criptográficas llegarán demasiado tarde.
Nueva criptografía poscuántica (PQC) algoritmos de cifrado, intercambio de claves,
horizontes para el cifrado y procesamiento de datos. Como la criptografía se utiliza en todo el mundo cibernético algoritmos: algoritmos clásicos que se cree que son y firmas.
Los estudios predicen que la computación cuántica se convertirá en ecosistema, esto significa que nuestros servicios de robustos al ataque cuántico: ahora están bajo revisión
una industria cuántica multimillonaria (USD) como seguridad basados en criptografía podrían verse comprometidos. 5 Pruebe sus aplicaciones para detectar el impacto de
a través de la estandarización poscuántica del NIST
en 2030.17 De hecho, la computación cuántica y Por ejemplo, esto incluye servicios para claves de gran tamaño, cifrados y firmas.
Proyecto.20 Este trabajo influirá en los esfuerzos globales
La comunicación cuántica está a punto de tener comunicaciones (TLS, IPSec), mensajería dentro de los organismos de normalización. Aunque habrá Enlaces a más información
un efecto transformador en una multitud de
(correo electrónico, conferencias web), identidad y acceso cierta superposición con el algoritmo del gobierno de EE. UU.
industrias, que van desde la atención sanitaria y la energía Microsoft ha demostrado el fundamento
gestión, navegación web, firma de código, selecciones, diferentes organismos nacionales/reguladores
a las finanzas y la seguridad. física necesaria para crear un nuevo tipo de
transacciones de pago y otros servicios que son opciones para algoritmos compatibles podrían presentar
cúbit | Investigación de Microsoft
depende de la criptografía para su protección. desafíos internacionales. Esta fragmentación en
a su vez complican la ingeniería de productos y servicios.
Los líderes organizacionales y los formuladores de políticas pueden Desafortunadamente, muchas organizaciones retrasan,
Integrar negocios, tener un impacto positivo significativo en la seguridad al diferir o aplicar estas prácticas comunes únicamente
Las decisiones sobre riesgos de
seguridad y TI para
apoyando activamente a los líderes de seguridad y ayudando parcialmente. Esto proporciona amplias oportunidades
construir un puente entre la seguridad integrada para que los atacantes la exploten. La necesidad de seguridad seguridad las toman mejor los
propietarios de empresas o
una mayor resiliencia y el resto de la organización. Cuando Microsoft
trabaja con clientes que tienen esta alineación,
la normalización se captura en el NIST 80040.22 de EE. UU.
los vemos construyendo una economía más resiliente

2. Comprometerse con la seguridad
misiones que tienen visibilidad total
Una sólida resiliencia cibernética depende de
organización y también mejorando su agilidad
que los líderes empresariales trabajen con los para adaptarse e innovar.
de todos los riesgos y oportunidades.
Los líderes organizacionales deben participar activamente
equipos de seguridad para implementar la seguridad.
participar y patrocinar procesos de seguridad clave para garantizar
Según la experiencia de Microsoft, el liderazgo El liderazgo organizacional puede apoyar a los líderes de seguridad
priorización de recursos y preparación para
centrándose en tres áreas clave:
en seguridad es una disciplina desafiante que requiere soporte Desastres de seguridad. Esto incluye participar en:
de los líderes organizacionales para proteger
Identificar activos comerciales críticos.
más eficazmente a la organización. 1. Construir seguridad desde el diseño
Los líderes y equipos de seguridad necesitan saber
¿Qué activos son críticos para el negocio en los que centrarse?
A veces la seguridad es vista como un obstáculo o
Los líderes de seguridad navegan por un espectro de dinámicas recursos de seguridad en lo que más importa. Esto es
una ocurrencia de último momento en los procesos de negocio, a menudo
desafíos que abarcan temas relacionados con el riesgo, A menudo es un ejercicio nuevo que incluye preguntar y
ser considerado en las decisiones sólo cuando es demasiado
tecnología, economía, proceso organizacional, respondiendo nuevas preguntas que no han sido
tarde para evitar un riesgo o solucionarlo de forma económica y sencilla.
modelos de negocio, transformación cultural,
abordado previamente.
intereses geopolíticos, espionaje y Los líderes organizacionales y los responsables de la formulación de políticas deberían
asegurarse de que: Ejercicios de continuidad del negocio de ciberseguridad y recuperación

Cumplimiento de sanciones internacionales. Cada uno de
estos conllevan matices para ser entendidos y ante desastres. Los ciberataques pueden convertirse
Incluir seguridad desde el principio en nuevas iniciativas.
Eventos importantes que interrumpen o detienen la mayoría o la totalidad.
gestionado de cerca. Las nuevas iniciativas digitales y la adopción de la nube deberían
operaciones de negocios. Garantizar equipos en todo
Los líderes de seguridad también tienen la tarea de frustrar priorizar la seguridad para garantizar el riesgo organizacional
la organización está preparada para manejar estos
ambos inteligentes, bien financiados y altamente no aumenta con cada nueva aplicación situaciones reducirán el tiempo para restablecer el negocio
atacantes humanos motivados y poco cualificados, o capacidad digital. Una vez que la seguridad sea confiable
operaciones, limitar los daños a la organización,
pero eficaces, ciberdelincuentes. Sus equipos deben incluido, puede utilizar esos procesos para
y ayudar a mantener la confianza de
defender complejos complejos técnicos a menudo construidos modernizar los sistemas heredados para obtener seguridad
clientes, ciudadanos y electores. Esto debería
aumenta progresivamente a lo largo de 30 años o más cuando y beneficios de productividad al mismo tiempo.
integrarse dentro de un negocio existente
la seguridad era una prioridad baja o inexistente. Normalizar el mantenimiento preventivo por seguridad. proceso de continuidad y recuperación ante desastres.
Las decisiones tomadas hace años pueden plantear riesgos hoy Garantizar el mantenimiento básico de la seguridad—
hasta que saldemos la deuda técnica y abordemos como aplicar actualizaciones y parches de seguridad y
las brechas en materia de seguridad.
configuraciones seguras: tiene organización completa
apoyo asignado (incluidos presupuestos, programas
tiempo de inactividad, requisitos de adquisición para el proveedor
soporte de producto).
Integrar negocios, Reduzca el riesgo eliminando silos “La resiliencia cibernética está en una escala móvil desde
continuidad empresarial clásica y recuperación ante desastres
seguridad y TI para comenzando con una buena copia de seguridad de los datos; progresando a
una mayor resiliencia Enfoque aislado capacidades de recuperación de procesos, tecnología,

y sus dependencias (incluidas las personas y
Negocio
Continuado Incertidumbre terceros); y avanzando hacia siempre, yo mismo
servicios de curación, resiliencia para roles críticos y
Brecha de confianza
Conmutaciones por error para terceros críticos. El más resistente
3. Coloque la seguridad correctamente Culpa Seguridad
Alto Las organizaciones promueven la integración entre TI,
Mayor riesgo de amenaza
gerentes de negocios y profesionales de la seguridad.
La forma en que las organizaciones estructuran el riesgo de seguridad ÉL
vulnerabilidad Una gran resiliencia incluye diseñar para la resiliencia
la rendición de cuentas a menudo los prepara para pobres
desde el inicio, tener una gestión segura del cambio,
toma de decisiones sobre riesgos de seguridad. Decisiones de riesgo
y aislamiento de fallas granulares. La resiliencia cibernética es
son mejor elaborados por propietarios de empresas o misiones
Sólo un escenario en una buena planificación para todos los riesgos.
que tienen visibilidad total de todos los riesgos y
programa. A medida que aumentan los riesgos cibernéticos y
oportunidades, pero las organizaciones a menudo (implícitamente)
intersección entre ciberseguridad y resiliencia
o explícitamente) asignar responsabilidad por riesgos de seguridad Transformación digital organizacional
se vuelve más importante, la conexión de la
a expertos en la materia del equipo de seguridad
Director de Seguridad de la Información (CISO) del
en cambio. Esto supone una carga insalubre para
El programa de resiliencia empresarial se fortalece.
equipos de seguridad y privar a los dueños de negocios Enfoque integrado
Cada año, más CISO se hacen cargo
de visibilidad y control sobre un riesgo clave para sus
para la resiliencia de toda la empresa”.
negocio. Las organizaciones pueden corregir esto mediante: Toma de decisiones
informada Lisa Reshaur
Preparar a los dueños de negocios: educar a las empresas
propietarios sobre el riesgo de seguridad en general y cómo Menos complejidad Gerente General, Gestión de Riesgos, Microsoft
estas amenazas pueden afectar y afectarán su negocio. Negocio Seguridad
Costo reducido
Involucrar a los equipos de seguridad directamente en este esfuerzo.
Seguridad y
también aumenta la relación de colaboración con Enlaces a más información
productividad mejoradas
seguridad y agilidad empresarial general.
De la resiliencia a la perseverancia digital:
Asignar riesgos de seguridad a los propietarios de empresas: a Cómo las organizaciones están utilizando lo digital
Menor
medida que los propietarios de empresas estén lo suficientemente informados tecnología para doblar la esquina
riesgo de amenaza
Para comprender y aceptar el riesgo de seguridad, el ÉL
tiempos sin precedentes | Blog oficial de Microsoft
La organización debería cambiar explícitamente la responsabilidad.
Cómo pueden trabajar los equipos de TI y seguridad
por riesgo de seguridad para ellos mientras aún mantienen
juntos para mejorar la seguridad de los endpoints |
equipos de seguridad responsables de gestionar ese riesgo
Seguridad de Microsoft
y proporcionar experiencia y orientación informadas
al dueño.
Informe El estado de Estado nacional Dispositivos y Ciberinfluencia cibernética
Influencia cibernética Contribuyendo
• Utilice detección y respuesta extendidas

La curva de campana de la
antimalware: implementar software para
Llave
ciberresiliencia detectar y bloquear automáticamente ataques y
proporcionar información sobre las operaciones de seguridad.
Monitoreo de información a partir de la detección de amenazas Habilitar la
Factores de éxito de la resiliencia que toda organización autenticación multifactor
Los sistemas son esenciales para poder responder.
debería adoptar
a las amenazas de manera oportuna.
Como hemos visto, muchos ciberataques son Aplicar los principios de
• Mantenerse actualizado: sin parches y desactualizado
exitoso simplemente porque la higiene básica de seguridad Confianza Cero
Los sistemas son una razón clave por la que muchas organizaciones
no ha sido seguido. Los estándares mínimos
ser víctima de un ataque. Garantizar todos los sistemas
toda organización debería adoptar son: Utilice
se mantienen actualizados, incluido el firmware, el
• Habilite la autenticación multifactor (MFA): sistema operativo y aplicaciones. antimalware
moderno
Para protegerse contra usuarios comprometidos
• Proteger datos: conocer sus datos importantes
contraseñas y ayuda a proporcionar información adicional datos, dónde se encuentran y si el
Resiliencia de las identidades. Mantenerse al día
que se implementen los sistemas correctos es crucial para
• Aplicar los principios de Confianza Cero: La piedra angular implementar la protección adecuada.
Proteger
de cualquier plan de resiliencia que limite el impacto en una
datos
organización. Estos principios son:
98%
–
– Verificar explícitamente: garantizar que los usuarios y dispositivos
están en buen estado antes de permitir el acceso
a los recursos.
–
– Utilice el acceso con privilegios mínimos: solo permita el acceso
privilegio necesario para acceder a un
recurso y nada más. La higiene de seguridad
–
– Supongamos una infracción: supongamos que las defensas del sistema
básica aún protege contra
han sido vulnerados y los sistemas podrían
verse comprometido. Esto significa constantemente
el 98% de los ataques
monitorear el ambiente para
posible ataque.
Notas finales
1 EndpointDetection and Response (EDR) es una plataforma de seguridad de endpoints empresarial diseñada 18 “El largo camino por recorrer hacia la transición a la criptografía poscuántica”, https://cacm.acm.org/
para ayudar a las redes empresariales a prevenir, detectar, investigar y responder a amenazas avanzadas. magazines/2022/1/257440ellargocaminoporhacialatransiciónalacriptografíapostcuántica/
Las capacidades de detección y respuesta de endpoints proporcionan detecciones de ataques avanzadas que están cerca texto completo
en tiempo real y procesable. Los analistas de seguridad pueden priorizar las alertas de manera efectiva, obtener visibilidad del 19 https://www.whitehouse.gov/briefingroom/presidentialactions/2022/01/19/memorandum
alcance completo de una infracción y tomar acciones de respuesta para remediar las amenazas. sobrelamejoradelaciberseguridaddelossistemascomunitariosdeldepartamentodedefensaeinteligencianacional/
2 Una plataforma de protección de terminales (EPP) es una solución implementada en dispositivos terminales para prevenir el
malware basado en archivos, detectar y bloquear actividades maliciosas de aplicaciones confiables y no confiables. 20 https://csrc.nist.gov/projects/postquantumcryptography/postquantumcryptography
y proporcionar las capacidades de investigación y remediación necesarias para responder dinámicamente a Estandarización
Incidentes y alertas de seguridad. 21 https://safecode.org/blog/preparingforpostquantumcryptographyroadmapinitialguidance/
3 https://docs.microsoft.com/enus/azure/activedirectory/authentication/howtomfagetstarted 22 https://csrc.nist.gov/publications/detail/sp/80040/rev4/final
4 https://docs.microsoft.com/enus/azure/activedirectory/authentication/howtomfanumber
fósforo
5 https://docs.microsoft.com/enus/azure/activedirectory/authentication/howtomfaadditional
contexto
6 Libro de seguridad de Windows: Comercial

7 nuevas funciones de seguridad para Windows 11 ayudarán a proteger el trabajo híbrido | Blog de seguridad de Microsoft
8 Alianza FIDO: Estándares de autenticación abiertos más seguros que las contraseñas
9 https://interpret.ml/
10 Top Ten de OWASP | Fundación OWASP
11 https://blogs.microsoft.com/ontheissues/2022/05/03/artificialintelligencedepartmentofdefensecybermissions/
12 https://www.kaspersky.com/blog/thehumanfactorinitsecurity/
13 https://aka.ms/ZTatMSFT
14 https://csrc.nist.gov/publications/detail/nistir/8374/final
15 https://www.whitehouse.gov/briefingroom/presidentialactions/2022/01/19/memorandum
sobrelamejoradelaciberseguridaddelossistemascomunitariosdeldepartamentodedefensaeinteligencianacional/
16 Orden Ejecutiva 14028 Mejorando la Ciberseguridad de la Nación

17 https://thequantumdaily.com/2020/02/18/thequantumcomputingmarketsize
superposicionado para el crecimiento
Introducción al informe cibercrimen Amenazas Infraestructura Operaciones Resiliencia equipos
Contribuyendo
equipos
Resiliencia equipos
Azure Networking, Core: un equipo de redes en la nube Centro de operaciones de defensa cibernética (CDOC): Seguridad y resiliencia digital (DSR): una
Equipos contribuyentes centrado en Microsoft WAN, redes de centros de las instalaciones de defensa y ciberseguridad de organización dedicada a permitir que Microsoft cree los
datos y la infraestructura de redes definida por Microsoft son un centro de fusión que reúne a dispositivos y servicios más confiables, manteniendo al
Los datos y las ideas de este informe fueron software de Azure, incluida la plataforma DDoS, la profesionales de seguridad de toda la empresa para proteger mismo tiempo nuestra empresa segura y los datos de
proporcionados por un grupo diverso de plataforma de borde de red y productos de seguridad de nuestra infraestructura corporativa y la infraestructura nuestra empresa y de nuestros clientes protegidos.
profesionales centrados en la seguridad, que red como Azure WAF, Azure Firewall y Estándar de nube a la que tienen acceso los clientes.
Unidad de Seguridad Digital (DSU): un equipo de
trabajan en muchos equipos diferentes de Microsoft. de protección DDoS de Azure. Los equipos de respuesta a incidentes se sientan junto a científicos de
abogados y analistas de ciberseguridad que brindan
En conjunto, su objetivo es proteger a Microsoft, datos e ingenieros de seguridad de todos los grupos de servicios,
experiencia legal, geopolítica y técnica para proteger a
a sus clientes y al mundo en general de la Equipo de investigación de seguridad en la nube: al
productos y dispositivos de Microsoft para ayudar a proteger, detectar
Microsoft y sus clientes. DSU genera confianza en las
amenaza de los ciberataques. Estamos orgullosos y responder a las amenazas las 24 horas del día, los 7 días de la semana.
proteger la nube de Microsoft, crear características defensas de seguridad empresarial de Microsoft contra
de compartir estos conocimientos con un espíritu y productos de seguridad innovadores y realizar Iniciativa Democracy Forward: un equipo de Microsoft adversarios cibernéticos avanzados en todo el mundo.
de transparencia y el objetivo común de hacer investigaciones, este equipo protege y capacita a los que trabaja para preservar, proteger y promover los
Centro de análisis de amenazas digitales (DTAC): un
del mundo un lugar más seguro para todos. clientes de Microsoft para transformar sus fundamentos de la democracia mediante la promoción de
equipo de expertos que analizan e informan sobre las
organizaciones de forma segura. un ecosistema de información saludable, la salvaguardia
amenazas de los estados nacionales, incluidos los
de procesos democráticos abiertos y seguros y la
Laboratorio de investigación AI for Good: aprovechar Seguridad y confianza del cliente (CST): un equipo que ciberataques y las operaciones de influencia. El equipo
defensa de la responsabilidad cívica corporativa.
el poder de los datos y la inteligencia artificial para impulsa la mejora continua de la seguridad del cliente combina información e inteligencia sobre amenazas
abordar muchos de los desafíos del mundo. El en los productos y servicios en línea de Microsoft. Unidad de Delitos Digitales (DCU): Un equipo de abogados, cibernéticas con análisis geopolítico para brindar
laboratorio colabora con organizaciones fuera de Microsoft, Al trabajar con equipos de ingeniería y seguridad de toda investigadores, científicos de datos, ingenieros, analistas y información a nuestros clientes y a Microsoft para informar
aplicando IA para mejorar los medios de vida y el entorno. la empresa, CST garantiza el cumplimiento, profesionales de negocios dedicados a combatir el delito respuestas y protecciones efectivas.
Las áreas de interés incluyen la seguridad en línea mejora la seguridad y proporciona más transparencia cibernético a escala global utilizando tecnología, análisis
Empresa y seguridad: un equipo centrado en proporcionar
(desinformación, ciberseguridad, seguridad infantil), para proteger a los clientes y promover la confianza forense, acciones civiles, referencias criminales y
una plataforma moderna, segura y manejable para la
respuesta a desastres, sostenibilidad e IA para la salud. global en Microsoft. asociaciones tanto públicas como privadas.
nube inteligente y el borde inteligente.
Azure Edge & Platform, Enterprise & OS Security: Éxito del cliente: los equipos de seguridad de Éxito del Diplomacia digital: un equipo internacional de
Responsable de la seguridad principal del sistema cliente trabajan directamente con los clientes para exdiplomáticos, formuladores de políticas y expertos
Movilidad empresarial: un equipo que ayuda a ofrecer un
operativo y de la plataforma en Windows, Azure y otros compartir mejores prácticas, lecciones aprendidas y legales que trabajan para promover un ciberespacio
lugar de trabajo moderno y una gestión moderna para
productos de Microsoft. El equipo crea soluciones orientación para acelerar la transformación y pacífico, estable y seguro frente al creciente conflicto
mantener los datos seguros, en la nube y en las
de hardware y seguridad líderes en la industria en plataformas modernización de la seguridad. Este equipo reúne entre estados nación.
instalaciones. Endpoint Manager incluye los
de Microsoft para reducir el compromiso de exploits, y organiza las mejores prácticas y las lecciones servicios y herramientas que Microsoft y sus clientes utilizan
identidades y malware desde el chip a la nube. aprendidas del recorrido de Microsoft (así como el
para administrar y monitorear dispositivos móviles,
Creadores de la plataforma Securedcore de de nuestros clientes) hacia estrategias de referencia,
computadoras de escritorio, máquinas virtuales, dispositivos
Microsoft en PC, Edge y Server, el procesador de arquitecturas de referencia, planes de referencia y más. integrados y servidores.
seguridad Microsoft Pluton y más.
Introducción Amenazas
Amenazas Infraestructura Resiliencia equipos
Microsoft AI, Ética y efectos en ingeniería e investigación Microsoft Defender Threat Intelligence (RiskIQ): un Microsoft Threat Intelligence Center (MSTIC): un equipo
Equipos contribuyentes (AETHER): un consejo asesor de Microsoft con la misión equipo que produce inteligencia táctica a través del centrado en identificar, rastrear y recopilar inteligencia
de garantizar que las nuevas tecnologías se desarrollen y análisis de la extensa colección de telemetría externa relacionada con los adversarios más sofisticados que
Continuado
utilicen de manera responsable. de Microsoft, trazando el panorama de amenazas a medida afectan a los clientes de Microsoft, incluidas amenazas de
Gestión de riesgos empresariales: un equipo que que evoluciona para descubrir una infraestructura de estados nacionales, malware y phishing.
trabaja en todas las unidades de negocio para priorizar las amenazas previamente desconocida y agregando contexto
Búsqueda y distribución de Microsoft Bing: un equipo
discusiones sobre riesgos con los altos directivos de Microsoft. a los actores y campañas de amenazas.
dedicado a proporcionar un motor de búsqueda en Internet One Engineering System (1ES): un equipo con la misión de
ERM conecta múltiples equipos de riesgo operativo, El equipo publica periódicamente investigaciones
de clase mundial, que permite a los usuarios de todo el ofrecer herramientas de clase mundial para ayudar a los
administra el marco de riesgo empresarial de Microsoft oportunas y distintivas para brindar inteligencia táctica
mundo encontrar información y resultados de búsqueda desarrolladores de Microsoft a ser lo más productivos y
y facilita la evaluación de seguridad interna de la crucial a los defensores.
confiables rápidamente, incluido el seguimiento de temas seguros posible. El equipo lidera la estrategia central para
empresa utilizando el marco de ciberseguridad del NIST.
e historias de actualidad que les interesan, al tiempo que les Equipo de desarrollo empresarial de seguridad de asegurar la cadena de suministro de software de extremo
brinda a los usuarios el control de sus privacidad. Microsoft: un equipo que lidera la estrategia de a extremo de Microsoft.
Política global de ciberseguridad: un equipo que trabaja con Soluciones para clientes y socios de Microsoft: la crecimiento, las asociaciones y las inversiones estratégicas
Centro de inteligencia sobre amenazas cibernéticas
gobiernos, ONG y socios de la industria para en ciberseguridad de Microsoft.
organización comercial unificada de lanzamiento al (OpTIC): el equipo responsable de administrar y difundir
promover políticas públicas de ciberseguridad que
mercado de Microsoft responsable de roles de campo Centro de respuesta de seguridad de Microsoft (MSRC): un inteligencia sobre amenazas cibernéticas que respalda la
permitan a los clientes fortalecer su seguridad y resiliencia a
como asesores y especialistas en ventas técnicas y equipo que colabora con investigadores de seguridad que misión del Centro de operaciones de defensa cibernética
medida que adoptan la tecnología de Microsoft. de seguridad. trabajan para proteger el ecosistema de socios y clientes (CDOC) de Microsoft de proteger a Microsoft y a nuestros
de Microsoft. Como parte integral del Centro de operaciones clientes.
Expertos en Microsoft Defender: la organización global
Seguridad de identidad y acceso a la red (IDNA): un equipo de defensa cibernética (CDOC) de Microsoft, MSRC reúne a
más grande de Microsoft de investigadores de seguridad,
que trabaja para proteger a todos los clientes de expertos en respuesta de seguridad para detectar y responder
científicos aplicados y analistas de inteligencia de amenazas
Microsoft del acceso no autorizado y el fraude. a amenazas en tiempo real.
centrados en productos. Defender Experts ofrece capacidades
IDNA Security es un equipo interdisciplinario de
innovadoras de detección y respuesta en productos de seguridad Servicios de seguridad de Microsoft para respuesta a
ingenieros, gerentes de productos, científicos de datos e
de Microsoft 365 y servicios administrados de Microsoft incidentes: un equipo de expertos en ciberseguridad que
investigadores de seguridad.
Defender Experts. ayudan a los clientes durante todo el ciberataque, desde la
M365 Security: organización que desarrolla soluciones investigación hasta la contención exitosa y las actividades
Microsoft Defender para IoT: un equipo compuesto por
de seguridad que incluyen Microsoft Defender for Endpoint relacionadas con la recuperación. Los servicios se ofrecen
investigadores expertos en el dominio que se especializan
(MDE), Microsoft Defender for Identity (MDI) y otras, a través de dos equipos altamente integrados, el Equipo de
en ingeniería inversa de malware, protocolos y firmware de IoT/
para proteger a los clientes empresariales. Detección y Respuesta (DART), que se centra en la
OT. El equipo busca amenazas de IoT/OT para descubrir
investigación y el trabajo preliminar para la recuperación, y el
tendencias y campañas maliciosas.
Compromise Recovery Security Practice (CRSP), que se
centra en los aspectos de contención y recuperación.
Iluminando el panorama de amenazas

y potenciar una defensa digital.
Más información: https://microsoft.com/mddr
Profundice más: https://blogs.microsoft.com/ontheissues/
Manténgase conectado: @msftissues y @msftsecurity
© 2022 Microsoft. Reservados todos los derechos.

Microsoft Digital Defense Report 2022 - Compressed

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Microsoft Digital Defense Report 2022 - Compressed

Cargado por

Copyright:

Formatos disponibles

Machine Translated by Google

línea El ciberdelito como servicio 18

Desarrollar un enfoque equilibrado para la

de productos y servicios revelan la

en la guerra marco global coherente que dé prioridad a los derechos

deben trabajar juntas para implementar normas y seguido el ritmo.

Más información en la página 56

Introducción de Tom Burt

tiempo para revisar el

El estado de Una visión general del estado del cibercrimen

Información sobre ransomware de

El cibercrimen como servicio 18

Abuso cibercriminal de la infraestructura 26

¿Ha llegado el hacktivismo para quedarse? 28

Una visión general de

Los ciberdelincuentes siguen actuando como sofisticadas

Los atacantes amenazan cada vez más seguridad frecuentes y

• También en mayo, un ataque provocó retrasos y cancelaciones de

que la infraestructura crítica, las empresas de

Las crecientes relaciones entre ciberdelincuentes

Al contrario de cómo a veces se presenta el ransomware

Todas las campañas de ransomware operadas por

Los afiliados son generalmente pequeños grupos de personas "afiliadas" a uno

Los corredores de acceso venden acceso a la red a otros ciberdelincuentes u

Las organizaciones y las personas con prácticas deficientes de higiene en

Ejemplo de un afiliado (DEV­0237) que cambia rápidamente entre programas RaaS

Ryuk 2020–junio de 2021

Conti julio­octubre de 2021

Colmena de octubre de 2021 al presente Más que malware, los atacantes

Agenda etc. Junio 2022 (experimentando) en sus operaciones. La infección

El típico ataque operado por humanos Una estrategia de seguridad duradera

mantener altos estándares

continuos de seguridad e Enlaces a más información

ransomware operados por humanos. Blog de seguridad de Microsoft

La línea de servicios de seguridad de Microsoft Gobierno 8% Educación 8%

apoya a los clientes durante todo un ciberataque,

1. Controles de identidad débiles

Información sobre ransomware Los tres principales factores contribuyentes

siendo uno de los principales factores que contribuyen

Seguridad de Active Directory (AD) y Azure AD Seguridad de la cuenta de privilegios

seguridad ineficaces no sólo presentan una ventana

estrategia de protección de datos eficaz que se

Información sobre ransomware

68% no invirtió en tecnología de gestión de eventos e información

de las organizaciones afectadas no tenían un proceso eficaz

84% Prevención de pérdida de datos:

60% 76% 92%

redujeron la frecuencia de los rescate obligarán a los destinatarios de los rescates a

como servicio Por ejemplo, un sitio web CaaS administrado por un

cuentas maliciosas en África. La naturaleza proceso de licitación pública.

es una máquina virtual que recopila detalles sobre el navegador

Seguimiento de pagos de ransomware

de criptomonedas criptomonedas obtenidas de forma ilícita. En un esfuerzo Curva

Microsoft detecta millones de correos electrónicos BEC cada

710 millones correo electrónico contra empresas con fines de lucro se

Las cuentas de Microsoft siguen siendo uno de los principales

Señuelo BEC 79,9%

Temas BEC por porcentaje de ocurrencia

Progresión de un ataque BEC

electrónico de phishing cosechadas electrónico monitoreada impostor y fraude electrónico

Los primeros días de colaboración de Microsoft Colaboración: Diseñado para frustrar el

2008 2009 2011 2013 2019 2022

Ejemplo de un afiliado (DEV0237) que cambia rápidamente entre programas RaaS

Conti juliooctubre de 2021

1 https://www.reuters.com/business/energy/shellreroutesoilsuppliesaftercyberattackgermanlogisticsfirm20220201/ 18 https://www.ic3.gov/Media/Y2022/PSA220504 19 Autenticación,

news/security/costa agenciadesaludpublicaricasgolpeadaporhiveransomware/; https://www.reuters.com/world/americas/ usar. 20 https://www.ic3.gov/Media/PDF/AnnualReport/2021_IC3Report.pdf 21 https://

Los actores estatalesnación están lanzando La cadena de suministro de TI como puerta

El panorama de amenazas en evolución Orientación geográfica de los actores del Estadonación

En Israel, DEV0198 apuntó a ferrocarriles remitente sea legítima.