Documentos de Académico
Documentos de Profesional
Documentos de Cultura
GLOBAL
THREAT
REPORT
DE ADVERSARIOS
IMPLACABLES
A EMPRESAS
RESILIENTES
RESUMEN EJECUTIVO
2023 RESUMEN E JECUTIVO
CrowdStrike 2
GLOBAL THRE AT REPORT
E
RESUMEN EJECUTIVO l informe anual Global Threat Report de CrowdStrike es una de las investigaciones
más fiables y completas del sector de la ciberseguridad sobre el panorama actual
de las amenazas y las distintas tácticas empleadas por los adversarios. En sus
páginas, analizamos los eventos y tendencias de seguridad más importantes del año
pasado y examinamos a los ciberdelincuentes responsables de esta actividad.
El informe Global Threat Report 2023 de CrowdStrike indaga en el pasado reciente de los
atacantes para ayudarte a prepararte mejor para futuros ataques. Conocer los detalles
de estos incidentes te permite conocer la dinámica de las tácticas empleadas por los
adversarios y su evolución, y saber qué buscan, quiénes son sus objetivos y cómo actúan.
INFORMACIÓN GENERAL
SOBRE EL PANORAMA
DE AMENAZAS
Descenso del tiempo de propagación: el equipo de Falcon OverWatch calcula que
TÁCTICAS EMPLEADAS
el tiempo medio de propagación, o período que tarda un atacante en desplazarse
POR LOS ATACANTES
lateralmente desde un host comprometido a otro dentro del entorno de la víctima,
71 % 2022
fue de 84 minutos en las ciberintrusiones en 2022.
CONCLUSIONES CLAVE
Los ciberdelincuentes ganaron notoriedad
gracias a ataques importantes
Los ciberdelincuentes son implacables. Su objetivo es lanzar ataques más frecuentes
y sofisticados contra una gran variedad de objetivos.
A lo largo de 2022, CrowdStrike Intelligence observó dos nuevos atacantes —SLIPPY
SPIDER y SCATTERED SPIDER—, que van un paso más allá y atacan a víctimas de
perfil alto, lo que afecta a sus empleados, clientes y partners asociados.
En 2022, SLIPPY SPIDER atrajo bastante atención tras algunos incidentes
importantes de robo y extorsión contra empresas tecnológicas. SCATTERED
SPIDER utilizó tácticas de ingeniería social para superar la autenticación multifactor
(MFA). Estos dos adversarios han sacado partido de distintas técnicas, como la
fatiga de autenticación multifactor (MFA), el vishing y el cambio de SIM.
CrowdStrike Intelligence observó en 2022 un incremento del 20 % del número de
ciberdelincuentes que llevan a cabo campañas de extorsión y robo de datos, sin
desplegar ransomware.
2023 RESUMEN E JECUTIVO
CrowdStrike 4
GLOBAL THRE AT REPORT
Descubrimiento, redescubrimiento
y capacidad para eludir los parches:
continuo aprovechamiento de
las vulnerabilidades
Los atacantes reaprovechan cada vez más las vulnerabilidades y se centran en vectores
de ataque y componentes establecidos previamente. Esto puede ocurrir de dos formas;
pueden modificar o volver a aplicar el mismo exploit contra otros productos con una
vulnerabilidad parecida o bien pueden identificar un objetivo potencial y centrarse en
estos componentes vulnerables conocidos, así como evadir los parches explorando
otros vectores de ataque.
Los fallos en la arquitectura de tecnologías creadas por Microsoft generan un riesgo
sistémico para los clientes. La distribución de parches y medidas de mitigación
no siempre implica que las organizaciones estén protegidas frente a exploits que
aprovechan las vulnerabilidades. El ejemplo más destacado de una vulnerabilidad
descubierta en varios productos en 2022 fue el de Log4Shell, con gran repercusión
y efectos a largo plazo.
Las vulnerabilidades desconocidas (de día cero) y conocidas (de día N) observadas
en 2022 han demostrado la capacidad del adversario para utilizar conocimientos
especializados que le permiten sortear las medidas de mitigación de parches
anteriores y atacar los mismos componentes vulnerables.
A pesar de la aplicación inicial y repetida de los parches, CrowdStrike Falcon®
Intelligence Recon ha observado que las conversaciones sobre Log4Shell no cesaron
en foros clandestinos de ciberdelincuencia en 2022, lo que refleja un continuo interés
por los exploits con Log4Shell.
2023 RESUMEN E JECUTIVO
CrowdStrike 5
GLOBAL THRE AT REPORT
En 2022 se observaron numerosos ataques de día cero en intrusiones contra
organizaciones en América del Norte. Los ciberdelincuentes vinculados a China
utilizaron estos ataques para poner en riesgo a entidades de los sectores
aeroespacial, jurídico y académico.
En octubre y noviembre de 2022 se desplegaron los wipers Prestige y RansomBoggs,
disfrazados como ransomware. El giro de Rusia hacia el ransomware falso puede
ser indicio de que intenta ampliar sus objetivos a sectores y regiones en los que las
operaciones de destrucción se consideren un riesgo político.
Los ciberataques contra sectores clave, como el de la energía, las telecomunicaciones,
el transporte y los medios de comunicación, no han sido tan generalizados como se
predijo. Esto posiblemente indique que Rusia esperaba una victoria rápida y decisiva
sobre Ucrania y había previsto utilizar estos recursos para mantener el país en marcha
bajo un nuevo régimen.
2023 RESUMEN E JECUTIVO
CrowdStrike 6
GLOBAL THRE AT REPORT
RECOMENDACIONES
CrowdStrike ofrece las siguientes recomendaciones para ayudar a las organizaciones
a proteger sus recursos y defenderse de un ecosistema de ciberdelincuencia en
constante evolución y expansión:
01
Consigue visibilidad de tus lagunas de seguridad
Una organización solo estará segura si todos sus recursos están protegidos. Mientras
los ciberdelincuentes continúen aprovechando las vulnerabilidades, los equipos de
seguridad deben priorizar la visibilidad y aplicar medidas de higiene de TI en todo el
inventario de recursos de la empresa.
02
Prioriza la protección de identidades
El incremento de los ataques sin malware, la ingeniería social y otras iniciativas similares
destinadas a obtener acceso o credenciales no dejan lugar a dudas: no basta con una
solución tradicional solo para endpoints. Se deben encontrar soluciones que no solo
extiendan la MFA a sistemas tradicionales y no gestionados, sino que también proporcionen
detección inmediata y prevención en tiempo real de desplazamientos laterales,
comportamientos sospechosos, uso indebido de cuentas de servicio y otras acciones.
03
Prioriza la protección de la nube
Los adversarios intensifican sus ataques contra la infraestructura cloud y emplean una
amplia variedad de tácticas, técnicas y procedimientos, como errores de configuración,
robos de credenciales, etc., para comprometer los datos esenciales de la empresa y las
aplicaciones cloud. Para detener las brechas en la nube se necesitan funcionalidades sin
agente que puedan proteger contra errores de configuración y ataques basados en el
plano de control y la identidad, así como seguridad en tiempo de ejecución para proteger
las cargas de trabajo en la nube.
04
Conoce a tu enemigo
Invierte en inteligencia de amenazas que no se limite a proporcionar indicadores de
compromiso (IoC). Asegúrate de que también identifique a las personas responsables del
ataque, así como sus motivaciones, capacidades y herramientas. Los equipos de seguridad
pueden utilizar estos datos para mejorar las defensas y pasar a la acción.
05
La práctica hace al maestro
Si bien la tecnología es esencial para detectar y frenar las intrusiones, los equipos de
seguridad son un eslabón crítico de la cadena para detener las brechas de seguridad.
Es recomendable fomentar un entorno en el que se realicen rutinariamente ejercicios de
simulación teórica y de equipo rojo/equipo azul con el fin de identificar las lagunas en la
seguridad y eliminar cualquier fallo en tus procedimientos de ciberseguridad y de respuesta.