Atrapados en la red: deshaciendo el enredo de nuevas y antiguas amenazas

Tras analizar retrospectivamente las amenazas más importantes de 2018, observamos estrategias cibercriminales cambiantes y amenazas de seguridad ciberseguridad persistentes.
  • Amenazas de mensajes
  • Ransomware
  • Debilidades críticas
  • Ataques de IoT
  • Investigaciones de Trend Micro
  • Entorno de las ciberamenazas
  • Descargar PDF

Las empresas se vieron desbordadas por una combinación de problemas nuevos y antiguos de ciberseguridad en 2018. Los investigadores descubrieron que casi todos los ordenadores en uso tenían fallos importantes de hardware, el problema del ransomware persistió, la minería de criptomonedas no autorizada se propagó y se diversificó y los dispositivos conectados vulnerables en hogares fueron objeto de nuevos ataques eficaces. Asimismo, como reacción a la ampliación del panorama de sistemas operativos y dispositivos, los cibercriminales pasaron de emplear ataques basados en kits para explotar vulnerabilidades a una táctica antigua pero todavía eficaz: la ingeniería social. Los kits para explotar vulnerabilidades y los métodos automatizados fueron eficaces cuando existía un gran número de usuarios de software vulnerable. En 2018, en cambio, muchos actores de amenazas trataron de explotar vulnerabilidades humanas. 

Nuestro informe anual sobre seguridad examina estas y otras cuestiones de seguridad importantes y ofrece información valiosa para empresas y usuarios con el fin de ayudarles a conocer amenazas críticas y estar preparados para hacerles frente.

. . .

Amenazas de mensajes

Como medio para enviar o recibir comunicaciones importantes en una red empresarial, los correos electrónicos corporativos son una plataforma atractiva para cibercriminales. Por consiguiente, el phishing y otros esquemas de ingeniería social figuran entre las principales preocupaciones para profesionales de la ciberseguridad, ya que los correos electrónicos no deseados diseñados y formulados de manera profesional pueden engañar con facilidad a destinatarios que sean receptores habituales de correos similares.  

En 2018 observamos un aumento del uso de distintas formas de amenazas de mensajes. En particular, observamos que el bloqueo del acceso a URL de phishing por dirección de IP de cliente única aumentó un 82 % en comparación con el año anterior. Por lo general, el phishing llega a través del correo electrónico, puesto que las amenazas basadas en correos electrónicos dependen mucho menos de la plataforma que otros tipos de ataques basados en, por ejemplo, vulnerabilidades específicas.

2017
11,340,408
2018
20,617,181

Comparación interanual del acceso bloqueado a URL de phishing por dirección IP de cliente única (p. ej., una máquina que accedió a un enlace tres veces se contabilizó como una)

Últimamente, también ha habido ataques de phishing que, además del correo electrónico, utilizan chats, SMS y otros modos de comunicación. El aumento de la cantidad y de las distintas versiones de ataques de phishing demuestra que los cibercriminales se adaptan a un panorama en constante evolución. El aumento del número de dispositivos conectados y del abanico de sistemas operativos significa que a los cibercriminales no les resultará tan rentable como antes explotar un sistema operativo en particular. Por lo tanto, están volviendo a emplear un ataque antiguo pero que, por lo general, todavía resulta eficaz.

28 %
2017-2018

Los ataques que amenazan el correo electrónico de las empresas (BEC) fueron otro tipo de ataque de mensajes que cogió ritmo en 2018. En un ataque BEC típico, un atacante inicia o intercepta comunicaciones para engañar a un empleado de una empresa con permiso para liberar o transferir fondos.


  • Director ejecutivo

  • Consejero delegado

  • Presidente

  • Director general

  • Presidente del consejo de administración

  • Otros

Principales posiciones falseadas

Aunque el número total de estos ataques BEC fue bajo, el éxito de un solo intento podría generar enormes pérdidas financieras a la empresa a la que iba dirigido. En cambio, los ataques de phishing fueron lanzados ampliamente contra un número de posibles víctimas, puesto que engañar incluso a un porcentaje bajo de usuarios podría reportar beneficios a los atacantes.

. . .

Ransomware

El número total de amenazas relacionadas con el ransomware disminuyó un 91 % entre 2017 y 2018. Asimismo, el número de familias de ransomware descubiertas también se desplomó durante el mismo período. Este descenso pronunciado y mantenido siguió la trayectoria que señalamos en nuestro informe de mediados de año. Esto podría atribuirse a la existencia de mejores soluciones de ransomware, al aumento del conocimiento de la amenaza y, en cierta medida, a haber comprendido que negociar con los atacantes puede no servir de nada.

2017
631,128,278
2018
55,470,005

Amenazas relacionadas con el ransomware

2017
327
2018
222

Nuevas familias de ransomware

Sin embargo, puesto que los beneficios que los atacantes podían obtener compensaban los esfuerzos asociados al lanzamiento de los ataques, seguimos observando el uso de ransomware. Los casos que detectamos de WannaCry, la familia que provocó la terrible epidemia de ransomware de mayo de 2017, se mantuvieron estables (616.399) y eclipsaron los de otras familias de ransomware por un amplio margen.

La minería de criptomonedas, por otra parte, alcanzó un nuevo máximo en 2018 de más de 1,3 millones de casos detectados, es decir, un crecimiento del 237 % respecto al último año. 

1,350,951
2018
400,873
2017

Detecciones de minería de criptomonedas

Además del aumento de casos detectados, también observamos una "fiebre del oro" en los métodos de ataque de la minería de criptomonedas durante el año: plataformas de anuncios penetrantes, ventanas emergentes, una extensión del navegador maliciosa, teléfonos móviles, redes de robots, la integración con software legítimo, kits de explotación de vulnerabilidades y ransomware reutilizado

819 %
en amenazas fileless
agosto de 2017 - diciembre de 2018

También se produjo un repunte de uno de los métodos de ataque empleados para evadir técnicas de listas negras tradicionales: las amenazas fileless. Estas amenazas en particular tratan de evitar las soluciones convencionales y, por lo general, solo pueden detectarse a través de otros medios, como la supervisión del tráfico, indicadores conductuales o sandboxing.

. . .

Debilidades críticas

En materia de seguridad, el año comenzó con el descubrimiento de Meltdown y Spectre, dos vulnerabilidades en el nivel de procesador que aprovechaban fallos en la ejecución especulativa de las instrucciones de la CPU. Estas nuevas clases de fallos afectaron a distintos microprocesadores y originaron nuevos ataques de CPU y una miríada de problemas de mitigación. Ni tan siquiera a finales de año hubo una solución sencilla para estos puntos débiles de microarquitectura.

En 2018 también se descubrió, lamentablemente, una vulnerabilidad crítica en el software de código abierto de orquestación en la nube Kubernetes. Por suerte, se lanzó rápidamente un parche para solucionar este fallo.

La mayoría de vulnerabilidades se detectan en primer lugar y se comunican después de manera responsable a través de investigadores y proveedores, de modo que no puedan ser utilizadas en ataques masivos. No obstante, la comunicación de una vulnerabilidad al público también conlleva alertar a los actores de amenazas. Por lo tanto, crear una solución antes de publicar la información resulta fundamental. Los actores de amenazas abusan activamente de vulnerabilidades para crear ataques operativos.

Últimamente no se ha identificado ningún ataque de vulnerabilidades de día cero generalizado, a diferencia de años anteriores, cuando dos o tres grandes ataques de año cero definían un año. En cambio, los ataques descubiertos en 2018 fueron de alcance limitado. Los cibercriminales también abusaron de vulnerabilidades para las que ya se había lanzado un parche, partiendo del supuesto de que muchos usuarios no instalan prontamente las soluciones disponibles, si es que llegan a hacerlo. 

*Pase el cursor por encima de la imagen para ver la fecha del ataque

* Toque la imagen para ver la fecha del ataque

Vulnerabilidad de Drupal utilizada para instalar mineros de criptomonedas

CVE-2018-7602
FECHA DEL PARCHE:
25 de abril de 2018

FECHA DEL ATAQUE:
5 horas después del lanzamiento del parche

Vulnerabilidades de Apache CouchDB usadas para instalar mineros de criptomonedas

CVE-2017-12635,
CVE-2017-12636
FECHA DEL PARCHE:
14 de noviembre de 2017

FECHA DEL ATAQUE:
15 de febrero de 2018
3 meses después

Vulnerabilidad de Oracle WebLogic WLS-WSAT usada para minar criptomonedas

CVE-2017-10271
FECHA DEL PARCHE:
16 de octubre de 2017

FECHA DEL ATAQUE:
26 de febrero de 2018
4 meses después

Vulnerabilidad que permite el rooting permanente de teléfonos Android usada en AndroRat

CVE-2015-1805
FECHA DEL PARCHE:
16 de marzo de 2016

FECHA DEL ATAQUE:
13 de febrero de 2018
23 meses después

Ataques notables en 2018 relacionados con ataques dirigidos a vulnerabilidades conocidas y con un parche disponible

De las vulnerabilidades descubiertas en 2018, un porcentaje importante correspondió a software usado en sistemas de control industrial (ICS). Además, muchas de estas vulnerabilidades se encontraron en programas de software de interfaz humano-máquina (HMI) para ICS y en entornos de control de supervisión y adquisición de datos (SCADA). La HMI es el principal centro de control, gestión e implementación de los estados de los distintos procesos en instalaciones. Al explotar una vulnerabilidad crítica de la HMI, un atacante puede alterar el funcionamiento de los componentes físicos de las instalaciones de una empresa. 

. . .

Ataques de IoT

Los ataques a través de routers no disminuyeron a pesar de las consecuencias a las que se enfrentaron los creadores de Mirai y Satori. En 2018, descubrimos que todavía se utilizaba código reciclado de Mirai contra routers. Y VPNFilter, otra forma de malware de router, se actualizó con nuevas capacidades, como componentes de reconocimiento y persistencia. Esto dio lugar al abuso de routers más allá de los ataques de denegación de servicio distribuido (DDoS). También descubrimos la utilización de routers en la minería de criptomonedas y ataques de pharming, que continuaron la tendencia del aumento de características que señalamos en nuestro informe de mediados de año.

Hubo dos ejemplos de incidentes de ataques en 2018:


  1. Cryptojacking (minería no consentida de criptomonedas)

    Los atacantes explotaron un fallo de seguridad para el que ya existía un parche en routers MikroTik en Brasil e inyectaron una secuencia de comandos maliciosa Coinhive para minar Monero.


  2. Redirección maliciosa

    El kit de explotación de vulnerabilidades Novidade podía cambiar los ajustes del sistema de nombres de dominio (DNS) para que un usuario desprevenido pudiera ser redirigido a páginas falsas controladas por el atacante.

A medida que el número de dispositivos inteligentes conectados al Internet de las cosas (IoT) aumenta, más propietarios de viviendas se están convirtiendo eficazmente en "administradores de redes domésticas inteligentes". Como tales, deben asumir la responsabilidad de garantizar que su router no pase a ser un punto de entrada para atacantes. Puesto que los routers son el principal centro de gestión de conexiones enviadas y recibidas de los dispositivos que necesitan Internet, es fundamental que estén protegidos.

. . .

Investigaciones de Trend Micro


Soluciones de machine learning

  • A la vanguardia: una comprensión mayor de las amenazas de redes a través del machine learning
  • Generación de muestras adversariales: aumentar la robustez de los sistemas de machine learning para ganar seguridad
  • Descubrir amenazas desconocidas con machine learning legible por personas

Hospitales conectados, proveedores energéticos, compañías de agua

  • Infraestructura crítica expuesta y vulnerable: sectores del agua y de la energía
  • La fragilidad de la red troncal de datos del IoT industrial
  • Proteger hospitales conectados: una investigación sobre sistemas médicos expuestos y riesgos en la cadena de suministro

Investigaciones e intervenciones cibercriminales

  • El auge y declive de Scan4You
  • La evolución del cibercrimen y la ciberdefensa

. . .

Entorno de las ciberamenazas

48387151118

Número total de amenazas bloqueadas en 2018

Componentes de amenazas bloqueadosS1 de 2018S2 de 2018Total de 2018
Amenazas de correos electrónicos16,997,711,54724,521,948,29741,519,659,844
Archivos maliciosos bloqueados2,956,153,1122,867,738,6535,823,891,765
URL maliciosas534,534,550509,064,9591,043,599,509
Número total de amenazas20,488,399,20927,898,751,90948,387,151,118

Comparación semestral del bloqueo de amenazas de correo electrónico, archivos y URL


AñoFamilia WannaCryOtras familias de ransomware
2017321,814244,716
2018616,399126,518

Comparación interanual de detecciones de WannaCry frente a otras detecciones de ransomware combinadas



Comparación mensual de detecciones de amenazas fileless


  •  
  • 147 %
  • 33 %
  • 35 %
  • 38 %
  • 94 %
  • 27 %

Comparación interanual de vulnerabilidades de proveedores de software seleccionados

Para obtener más información sobre las cuestiones de ciberseguridad más importantes de 2018, descargue nuestro informe anual sobre seguridad.

. . .

DESCARGAR INFORME COMPLETO

. . .
HIDE

Like it? Add this infographic to your site:
1. Click on the box below.   2. Press Ctrl+A to select all.   3. Press Ctrl+C to copy.   4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.