En seis de cada diez (63%) ciberataques investigados por el equipo de Respuesta Global a Emergencias de Kaspersky, los ciberdelincuentes utilizaron la fuerza bruta para robar contraseñas, así como la explotación de vulnerabilidades como vectores iniciales para comprometer el entorno de la organización. Los resultados del nuevo Informe analítico de respuesta a incidentes de Kaspersky demuestran que el simple hecho de implementar una política de administración de parches adecuada reduce el riesgo de incidentes en un 30% y una política sólida de contraseñas reduce en un 60% la probabilidad de ser atacado.
Aunque la importancia de implementar parches y actualizaciones regulares, así como el uso de contraseñas seguras, es bien conocido por aquellos que entienden solo un poco de la ciberseguridad, estos aspectos siguen siendo puntos débiles en una gran cantidad de organizaciones y proporcionan a los criminales una forma de penetrar en el sistema de una empresa. Como resultado, los problemas de seguridad con las contraseñas y el software desprovisto de parches se combinan en la inmensa mayoría de los vectores de acceso inicial durante los ataques.
El análisis de datos anónimos en casos[1] de respuesta a incidentes (IR, por sus siglas en inglés) muestra que la fuerza bruta, la prueba masiva de contraseñas hasta que el delincuente la acierte, es el vector inicial más utilizado para penetrar en la red de una empresa. En comparación con el año anterior, la proporción de ataques de fuerza bruta se ha disparado del 13% al 31.6%, quizás debido a la pandemia y al auge del trabajo a distancia. El segundo ataque más común es la explotación de vulnerabilidades, cuya proporción es del 31.5%. La investigación mostró que sólo en unos pocos incidentes se utilizaron vulnerabilidades del año 2020. En otros casos, los adversarios utilizaron vulnerabilidades anteriores por ausencia de parches, como CVE-2019-11510, CVE-2018-8453 y CVE-2017-0144.
Más de la mitad de los ataques que comenzaron con correos electrónicos maliciosos, fuerza bruta y explotación de aplicaciones externas se detectaron en cuestión de horas (18%) o días (55%). Algunos de estos ataques, sin embargo, tardaron mucho más, con una duración promedio de hasta 90,4 días. El informe muestra que los ataques que involucran un vector inicial de fuerza bruta son fáciles de detectar en teoría, pero en la práctica solo se identificó una fracción antes de causar algún impacto.
Aunque la prevención de ataques de fuerza bruta y el control de actualizaciones oportunas no parecen ser un problema para un equipo profesional de ciberseguridad, eliminar el 100% de estos problemas es prácticamente imposible:
“Incluso, si el departamento de seguridad de TI hiciera todo lo posible para garantizar la seguridad de la infraestructura de la empresa, factores como el uso de sistemas operativos heredados, equipos de gama baja, problemas de compatibilidad y factores humanos a menudo resultan en fallos de seguridad que pueden poner en peligro la seguridad de una organización. Las medidas de protección por sí solas no pueden proporcionar una ciberdefensa integral. Por lo tanto, siempre deben combinarse con herramientas de detección y respuesta que sean capaces de reconocer y eliminar un ataque en una etapa temprana, así como abordar la causa del incidente”, comenta Konstantin Sapronov, jefe del Equipo de Respuesta Global a Emergencias.
Para minimizar las posibilidades de penetración en su infraestructura, Kaspersky recomienda tomar las siguientes medidas:
- Implementar una política sólida de contraseñas, que incluya autenticación multifactor (MFA) y herramientas de administración de identidad y acceso;
- Asegurarse de que la gestión de parches o las medidas de compensación para aplicaciones de cara al público tengan tolerancia cero. Para la seguridad de la infraestructura de una empresa es crucial aplicar las actualizaciones de las vulnerabilidades que emiten los proveedores de software, así como analizar la red en busca de vulnerabilidades e instalar parches;
- Mantener un alto nivel de conciencia de seguridad entre los empleados. Brindar a los empleados programas exhaustivos y eficaces de formación proporcionados por terceros, es una buena forma de ahorrar tiempo al departamento de TI y obtener buenos resultados;
- Implementar una solución de Detección y respuesta para endpoints con un servicio MDR, para detectar los ataques de manera oportuna y reaccionar a ellos, entre otras medidas. El uso de servicios de seguridad avanzados permite a las empresas reducir el costo que ocasionan los ataques y prevenir consecuencias indeseables.
El informe analítico completo de respuesta a incidentes está disponible en Securelist.
[1] Kaspersky Incident Response es una solución que ayuda a reducir el impacto de un fallo de seguridad o un ataque al entorno de TI de una empresa. Este servicio abarca el ciclo completo de investigación del incidente, desde la adquisición de evidencia en el lugar hasta la identificación de indicios adicionales de contaminación, preparación de un plan correctivo y eliminación de la amenaza. El informe Incident Response Analytics proporciona conocimientos de los servicios de investigación del incidente realizados por Kaspersky desde enero a diciembre de 2020 en América del Sur y del Norte, Europa, África, Medio Oriente y Asia, así como Rusia y la CEI.