Un informe de Kaspersky señala que los ciberataques prolongados, que tardan más de un mes en ser detectados, representaron el 21,85% del total en 2023, un aumento de casi el 6% en comparación con 2022. Proveedores y socios (mediante ataques a la cadena de suministro) fueron uno de los principales vectores iniciales de infección explotados por los cibercriminales. Esta es la conclusión del informe "Incident Response Analyst Report 2023", que tiene como objetivo ayudar a las empresas en la respuesta y tratamiento de incidentes.
Los ataques que explotan las relaciones de confianza entre dos o más empresas representan más del 6% del número total de ataques de larga duración. Esta clasificación incluye los tradicionales ataques a la cadena de suministro, pero también abarca otras categorías como conexiones VPN, proveedores de nube, uso de servicios de autenticación y claves públicas (cifrado), y programas de terceros. Esta tendencia permite a los criminales realizar intrusiones a gran escala y con mayor eficiencia que si realizaran ataques directos individuales. Para muchas empresas, estos ataques pueden ser devastadores y, dado que su detección lleva más tiempo, es difícil identificar la falla que originó la invasión.
"Las amenazas de ciberseguridad evolucionan continuamente, y nuestro estudio más reciente enfatiza el papel crítico de la confianza en los ciberataques. En 2023, y por primera vez en los últimos años, los ataques realizados a través de la cadena de suministro/relaciones de confianza estuvieron entre los tres vectores más utilizados. La mitad de estos incidentes se descubrió solo después de identificar una fuga de datos", comenta Cristian Souza, Especialista en Respuesta a Incidentes del Global Emergency Response Team (GERT) de Kaspersky.
La razón detrás del retraso en el descubrimiento es que la empresa utilizada como vector inicial de infección, que normalmente no sufre un daño directo, no se reconoce como víctima y puede mostrarse reacia a colaborar. Además, las organizaciones afectadas necesitan la ayuda de la empresa que fue la víctima inicial de la invasión para comprender cómo ocurrió el ataque y definir cómo actuar a partir de ese incidente.
"Al explotar estas relaciones, los criminales pueden extender los ataques e infiltrarse en las redes por períodos prolongados, lo que representa un riesgo significativo para las organizaciones. Es fundamental que las empresas permanezcan en alerta y prioricen medidas de seguridad para protegerse de estas tácticas sofisticadas", concluye Souza.
Para mitigar los riesgos destacados en el informe, Kaspersky recomienda:
- Promover una cultura de concienciación sobre seguridad entre los empleados e implementar políticas robustas de protección de contraseñas.
- Restringir el acceso público a los puertos de gestión e imponer una política de tolerancia cero para la gestión de parches.
- Hacer copias de seguridad de los datos críticos para minimizar los daños.
- Para reforzar la protección de la empresa contra ataques avanzados y detectar los ataques en sus primeras etapas, adoptar servicios de seguridad gestionados.
- En caso de actividades sospechosas que puedan llevar a violaciones o incidentes que ya hayan ocurrido, buscar la ayuda de expertos en ciberseguridad.