2023

GLOBAL
THREAT
REPORT
DE ADVERSARIOS
IMPLACABLES
A EMPRESAS
RESILIENTES

RESUMEN EJECUTIVO
2023 RESUMEN E JECUTIVO
CrowdStrike 2
GLOBAL THRE AT REPORT

E
RESUMEN EJECUTIVO l informe anual Global Threat Report de CrowdStrike es una de las investigaciones
más fiables y completas del sector de la ciberseguridad sobre el panorama actual
de las amenazas y las distintas tácticas empleadas por los adversarios. En sus
páginas, analizamos los eventos y tendencias de seguridad más importantes del año
pasado y examinamos a los ciberdelincuentes responsables de esta actividad.

El informe Global Threat Report 2023 de CrowdStrike indaga en el pasado reciente de los
atacantes para ayudarte a prepararte mejor para futuros ataques. Conocer los detalles
de estos incidentes te permite conocer la dinámica de las tácticas empleadas por los
adversarios y su evolución, y saber qué buscan, quiénes son sus objetivos y cómo actúan.

Este año, el informe se ha elaborado sobre la base de las observaciones de primera

mano de nuestros equipos de élite de CrowdStrike® Intelligence y CrowdStrike®Falcon
OverWatch™, junto con las conclusiones obtenidas de la inmensa cantidad de datos de
telemetría de CrowdStrike Security Cloud. La investigación proporciona información
fundamental sobre lo que deben saber —y hacer— los equipos de seguridad en un
panorama de amenazas cada vez más inquietante.
2023 RESUMEN E JECUTIVO
CrowdStrike 3
GLOBAL THRE AT REPORT

INFORMACIÓN GENERAL
SOBRE EL PANORAMA
DE AMENAZAS
Descenso del tiempo de propagación: el equipo de Falcon OverWatch calcula que
TÁCTICAS EMPLEADAS
el tiempo medio de propagación, o período que tarda un atacante en desplazarse
POR LOS ATACANTES
lateralmente desde un host comprometido a otro dentro del entorno de la víctima,

71 % 2022
fue de 84 minutos en las ciberintrusiones en 2022.

Aumento de la popularidad de los servicios de intermediarios de acceso: en

62 % 2021
2022 se identificaron más de 2500 anuncios de servicios de intermediarios de
51 % 2020 acceso, o personas que proporcionan o venden a las organizaciones acceso
40 % adquirido de manera ilícita. Esto representa un incremento del 112 % respecto a 2021.
2019
Una táctica muy empleada consiste en el uso ilícito de credenciales comprometidas
39 % 2018 que se adquieren a través de ladrones de información o se compran en
mercados clandestinos.
Sin malware
Incremento de los ataques sin malware: la actividad sin malware representó el
71 % de todas las detecciones en 2022, en comparación con el 62 % en 2021. Esto
subraya la tendencia a dejar de utilizar el malware, así como el aumento del abuso de
credenciales y el aprovechamiento de vulnerabilidades entre los ciberdelincuentes.

Aumento de la actividad hands-on-keyboard: el número de intrusiones interactivas

aumentó un 50 % en 2022, con una aceleración en el cuarto trimestre.

CONCLUSIONES CLAVE
Los ciberdelincuentes ganaron notoriedad
gracias a ataques importantes
Los ciberdelincuentes son implacables. Su objetivo es lanzar ataques más frecuentes
y sofisticados contra una gran variedad de objetivos.


A lo largo de 2022, CrowdStrike Intelligence observó dos nuevos atacantes —SLIPPY
SPIDER y SCATTERED SPIDER—, que van un paso más allá y atacan a víctimas de
perfil alto, lo que afecta a sus empleados, clientes y partners asociados.


En 2022, SLIPPY SPIDER atrajo bastante atención tras algunos incidentes
importantes de robo y extorsión contra empresas tecnológicas. SCATTERED
SPIDER utilizó tácticas de ingeniería social para superar la autenticación multifactor
(MFA). Estos dos adversarios han sacado partido de distintas técnicas, como la
fatiga de autenticación multifactor (MFA), el vishing y el cambio de SIM.


CrowdStrike Intelligence observó en 2022 un incremento del 20 % del número de
ciberdelincuentes que llevan a cabo campañas de extorsión y robo de datos, sin
desplegar ransomware.
 2023 RESUMEN E JECUTIVO
CrowdStrike 4
GLOBAL THRE AT REPORT

Aumentan los ataques a la nube

Los adversarios tienen cada vez más interés en la nube y emplean operaciones más
sofisticadas para conseguir el acceso inicial, el desplazamiento lateral tras la brecha, la
escalada de privilegios, la evasión de medidas de protección y la recopilación de datos.
CrowdStrike Intelligence
ha observado que ya 
Los ciberdelincuentes intensificaron la actividad centrada en la nube en 2022. Los
no es tan frecuente que casos observados de vulneración de la nube aumentaron un 95 % y los casos que
los ciberdelincuentes involucraron a ciberdelincuentes que tenían información de la nube casi se triplicaron
desactiven los antivirus desde 2021. Este patrón indica una mayor proporción de adversarios que adquieren el
y las tecnologías de conocimiento y las habilidades tácticas que necesitan para atacar los entornos cloud.
firewall, o que empleen la

CrowdStrike Intelligence ha observado que ya no es tan frecuente que los ciber­
falsificación. En cambio,
delincuentes desactiven los antivirus y las tecnologías de firewall, o que empleen
ahora intentan modificar los
la falsificación de registros. En cambio, ahora intentan modificar los procesos de
procesos de autenticación autenticación y atacar las identidades.
y atacar las identidades.

Aunque los objetivos de los adversarios en la nube no varían respecto a otros tipos de
intrusiones, es posible que, debido al carácter efímero de estos entornos, requieran
una mayor dosis de persistencia para conseguir sus objetivos. Se prevé que la
tendencia a atacar objetivos aprovechando la nube continúe en 2023.

Descubrimiento, redescubrimiento
y capacidad para eludir los parches:
continuo aprovechamiento de
las vulnerabilidades
Los atacantes reaprovechan cada vez más las vulnerabilidades y se centran en vectores
de ataque y componentes establecidos previamente. Esto puede ocurrir de dos formas;
pueden modificar o volver a aplicar el mismo exploit contra otros productos con una
vulnerabilidad parecida o bien pueden identificar un objetivo potencial y centrarse en
estos componentes vulnerables conocidos, así como evadir los parches explorando
otros vectores de ataque.


Los fallos en la arquitectura de tecnologías creadas por Microsoft generan un riesgo
sistémico para los clientes. La distribución de parches y medidas de mitigación
no siempre implica que las organizaciones estén protegidas frente a exploits que
aprovechan las vulnerabilidades. El ejemplo más destacado de una vulnerabilidad
descubierta en varios productos en 2022 fue el de Log4Shell, con gran repercusión
y efectos a largo plazo.


Las vulnerabilidades desconocidas (de día cero) y conocidas (de día N) observadas
en 2022 han demostrado la capacidad del adversario para utilizar conocimientos
especializados que le permiten sortear las medidas de mitigación de parches
anteriores y atacar los mismos componentes vulnerables.


A pesar de la aplicación inicial y repetida de los parches, CrowdStrike Falcon®
Intelligence Recon ha observado que las conversaciones sobre Log4Shell no cesaron
en foros clandestinos de ciberdelincuencia en 2022, lo que refleja un continuo interés
por los exploits con Log4Shell.
 2023 RESUMEN E JECUTIVO
CrowdStrike 5
GLOBAL THRE AT REPORT

Los ciberdelincuentes ligados a China

aumentan la escala operativa y dominan
el panorama en cuanto a espionaje
Aunque los ciberdelincuentes con vínculos con China se suelen asociar a actividad
Se han observado
dirigida contra intereses de la región Asia-Pacífico y/o sectores industriales occidentales
ataques de adversarios avanzados, el ámbito de su actividad se ha ampliado considerablemente en 2022. Se han
ligados a China contra los observado ataques de adversarios ligados a China contra los 39 sectores industriales
39 sectores industriales a nivel mundial y las 20 regiones que sigue CrowdStrike Intelligence.
a nivel mundial y las
20 regiones que sigue 
CrowdStrike Intelligence observó ataques masivos de ciberdelincuentes ligados
CrowdStrike Intelligence. a China contra empresas tecnológicas radicadas en Taiwán en 2022. Esto concuerda
con una posible misión de espionaje de tipo económico asociada a ciberdelincuentes
ligados a China para apoyar los objetivos del Partido Comunista Chino (PCC) en
cuanto a independencia tecnológica y dominio en ese mercado.


En 2022 se observaron numerosos ataques de día cero en intrusiones contra
organizaciones en América del Norte. Los ciberdelincuentes vinculados a China
utilizaron estos ataques para poner en riesgo a entidades de los sectores
aeroespacial, jurídico y académico.

Ciberoperaciones rusas en Ucrania:

el impacto es limitado, pero la
amenaza continúa
Hasta ahora la lucha sobre el terreno ha eclipsado los esperados ciberataques en el
conflicto entre Rusia y Ucrania. A pesar de los alarmantes titulares y relatos políticos,
los ataques directos contra las infraestructuras y sistemas aliados por parte de
ciberdelincuentes rusos aún no han comenzado. Sin embargo, cuando la guerra entra
en su segundo año, las organizaciones deben extremar las precauciones y seguir las
recomendaciones que recoge la guía Shields Up de la agencia estadounidense de
ciberseguridad y seguridad de infraestructuras (CISA, por sus siglas en inglés).


En octubre y noviembre de 2022 se desplegaron los wipers Prestige y RansomBoggs,
disfrazados como ransomware. El giro de Rusia hacia el ransomware falso puede
ser indicio de que intenta ampliar sus objetivos a sectores y regiones en los que las
operaciones de destrucción se consideren un riesgo político.


Los ciberataques contra sectores clave, como el de la energía, las telecomunicaciones,
el transporte y los medios de comunicación, no han sido tan generalizados como se
predijo. Esto posiblemente indique que Rusia esperaba una victoria rápida y decisiva
sobre Ucrania y había previsto utilizar estos recursos para mantener el país en marcha
bajo un nuevo régimen.
2023 RESUMEN E JECUTIVO
CrowdStrike 6
GLOBAL THRE AT REPORT

RECOMENDACIONES
CrowdStrike ofrece las siguientes recomendaciones para ayudar a las organizaciones
a proteger sus recursos y defenderse de un ecosistema de ciberdelincuencia en
constante evolución y expansión:

01
Consigue visibilidad de tus lagunas de seguridad
Una organización solo estará segura si todos sus recursos están protegidos. Mientras
los ciberdelincuentes continúen aprovechando las vulnerabilidades, los equipos de
seguridad deben priorizar la visibilidad y aplicar medidas de higiene de TI en todo el
inventario de recursos de la empresa.

02
Prioriza la protección de identidades
El incremento de los ataques sin malware, la ingeniería social y otras iniciativas similares
destinadas a obtener acceso o credenciales no dejan lugar a dudas: no basta con una
solución tradicional solo para endpoints. Se deben encontrar soluciones que no solo
extiendan la MFA a sistemas tradicionales y no gestionados, sino que también proporcionen
detección inmediata y prevención en tiempo real de desplazamientos laterales,
comportamientos sospechosos, uso indebido de cuentas de servicio y otras acciones.

03
Prioriza la protección de la nube
Los adversarios intensifican sus ataques contra la infraestructura cloud y emplean una
amplia variedad de tácticas, técnicas y procedimientos, como errores de configuración,
robos de credenciales, etc., para comprometer los datos esenciales de la empresa y las
aplicaciones cloud. Para detener las brechas en la nube se necesitan funcionalidades sin
agente que puedan proteger contra errores de configuración y ataques basados en el
plano de control y la identidad, así como seguridad en tiempo de ejecución para proteger
las cargas de trabajo en la nube.

04
Conoce a tu enemigo
Invierte en inteligencia de amenazas que no se limite a proporcionar indicadores de
compromiso (IoC). Asegúrate de que también identifique a las personas responsables del
ataque, así como sus motivaciones, capacidades y herramientas. Los equipos de seguridad
pueden utilizar estos datos para mejorar las defensas y pasar a la acción.

05
La práctica hace al maestro
Si bien la tecnología es esencial para detectar y frenar las intrusiones, los equipos de
seguridad son un eslabón crítico de la cadena para detener las brechas de seguridad.
Es recomendable fomentar un entorno en el que se realicen rutinariamente ejercicios de
simulación teórica y de equipo rojo/equipo azul con el fin de identificar las lagunas en la
seguridad y eliminar cualquier fallo en tus procedimientos de ciberseguridad y de respuesta.

DESCARGAR EL INFORME COMPLETO

El informe Global Threat Report 2023 de CrowdStrike incluye un profundo análisis que
destaca los incidentes y las tendencias más relevantes en materia de ciberamenazas
durante el año pasado. Descarga una copia gratuita en https://www.crowdstrike.com/
global-threat-report/.