- Un volumen constante de ataques incluso durante el confinamiento por COVID-19 con una explosión de ataques de ransomware vinculados a nuevos modelos comerciales
- Una aceleración de la transformación de IT como resultado de la pandemia COVID-19, que introduce nuevos riesgos y desafíos de seguridad: la ciberseguridad es ahora el enfoque de la mayoría de las empresas y requiere un nuevo abordaje.
- Un ecosistema cibercriminal que se ha vuelto más estructurado y profesional como resultado de enormes recompensas potenciales
Orange Cyberdefense publica su informe anual, el Security Navigator, que analiza la evolución y los cambios en las ciberamenazas. Los datos, recopilados entre enero y octubre de 2020, provienen de los 50 mil millones de eventos de seguridad analizados por los 17 SOCs y 11 CyberSOCs de Orange Cyberdefense a nivel mundial, el laboratorio de epidemiología y el centro de investigación, así como de informes de expertos y estudios de referencia.
Esta edición de 2021 ofrece una visión única y completa del ecosistema de ciberseguridad durante la crisis sanitaria, que ha afectado a todos los países y empresas.
"Con Security Navigator 2021, nuestros clientes y socios tienen acceso a nuestro análisis de amenazas cibernéticas. Se basa en una experiencia reconocida en Inteligencia de amenazas y en datos recopilados en todo el mundo a través de la red internacional del Grupo Orange", dijo Hugues Foulon, Director Ejecutivo de Estrategia y Actividades de Ciberseguridad en Orange Group. Agrega "En un contexto técnico y con organizaciones sacudidas por la crisis de Covid, Security Navigator proporciona un estado de la amenaza queorientará de manera práctica a los decisores corporativos".
Nunca antes había sido más importante pasar de un modo de crisis y reactividad para recuperar el control del camino de la propia ciberseguridad y construir una sociedad digital más segura.
2020: el año de la pandemia COVID-19
Una observación clara: 2020, a pesar de la crisis, no ha sido el año de una gran explosión de ciberataques salvo para los actores de ransomware que han cambiado sus modelos de negocio
La desaceleración generalizada de la economía global no ha tenido un impacto significativo en el comportamiento de los atacantes. Los ciberdelincuentes utilizaron el tema de COVID-19 de manera oportunista pero con relativa rapidez; este subterfugio fue abandonado en favor de temas más clásicos. Por ejemplo, los ataques que utilizan COVID-19 como objeto probablemente representaron menos del 2% de los ataques registrados durante abril. El comportamiento de los atacantes solo se modificó superficial y temporalmente durante la crisis (páginas 43 a 54).
Tampoco ha habido una explosión notable en términos del volumen de alertas, sino una tendencia hacia los ataques dirigidos más a los usuarios, particularmente a través de la ingeniería social (1% de los ataques en 2019 frente a 5% en 2020). Los incidentes más frecuentes han sido anomalías en la red y aplicaciones (35%), anomalías en las cuentas de usuario (23%) y malware (20%) (páginas 9 a 26).
Ransomware, un negocio en crecimiento "centrado en los datos"
El ransomware era originalmente un malware relativamente poco sofisticado que, después de penetrar en el sistema de TI de la víctima, encriptaba todos los datos. La víctima solo puede recuperar la clave de descifrado a cambio de un pago. Este tipo de ataque estaba dirigido principalmente a pequeñas organizaciones o individuos que eran fáciles de atacar, carecían de copias de seguridad y estaban dispuestos a pagar pequeños rescates por la recuperación de sus datos. El desarrollo de las criptomonedas, que facilita las transacciones que no se pueden rastrear fácilmente hasta los atacantes, ha permitido el rápido desarrollo de estos ataques. Este fue claramente un modelo de negocio de mercado masivo, dirigido a cualquier tipo de víctima (página 46).
En 2020, los grupos de ransomware han evolucionado su "modelo de negocio" monetizando no solo la disponibilidad de datos sino también su confidencialidad: además de ver sus datos cifrados, las empresas están bajo la amenaza de que algunos de ellos se divulguen públicamente. Un enfoque que permite la "caza mayor", donde se apunta a las grandes empresas, con rescates que ascienden a millones de euros (páginas 18 y 19; página 46).
Vulnerabilidades en cascada
El análisis de los expertos de Orange Cyberdefense muestra el descubrimiento de un número inusualmente alto de vulnerabilidades dentro de los productos de seguridad, particularmente aquellas esenciales para el trabajo remoto. Este crecimiento puede explicarse en parte por un "efecto dominó" o "cascada" en la investigación: el descubrimiento de una vulnerabilidad conduce al descubrimiento de otra dentro de la misma herramienta o la misma vulnerabilidad en otras herramientas. Esta es una observación más positiva de lo que podría parecer porque, en última instancia, permite fortalecer la seguridad de estas soluciones. Un punto de atención: los retrasos en la aplicación de parches siguen siendo largos. Nuestros investigadores analizaron 168 vulnerabilidades dentro de los productos de seguridad donde había parches disponibles durante los últimos 12 meses. Menos del 19% de ellos se parchearon en 7 días y el 56,8% de estos parches disponibles tardaron entre 31 y 180 días en aplicarse. Lo que es más preocupante, el 14% todavía no se implementó seis meses después de haber sido notificado (página 36). Estos retrasos pueden ser explotados por atacantes que intentarán abusar de cada nueva vulnerabilidad que se descubra.
2020: un ecosistema cibernético más maduro
Las amenazas de hoy no reemplazan a las de ayer, sino que se suman a ellas.
Se ha observado un aumento en el nivel general de madurez: los empleados están más atentos a los problemas cibernéticos. Se han dado cuenta de lo crítico que es el mundo digital para su trabajo y su vida personal, y están más atentos.
Esta madurez afecta a todos los actores del ciberespacio, y por lo tanto también al ciberdelito, que se estructura considerablemente en 2020. Ser ciberdelincuente se ha convertido en una profesión, al menos en su organización (págs. 57 a 65). Los ciberdelincuentes están uniendo fuerzas para formar grupos especializados, colaborando y formando una red interconectada. Se organizan como las empresas a las que se dirigen y utilizan prácticas conocidas: atención al cliente, Malware-as-a-Service, etc.
La democratización de las nuevas tecnologías y su seguridad
La pandemia ha puesto a las tecnologías de acceso remoto en el centro de atención. La demanda general de estas soluciones aumentó un 41% en la segunda quincena de marzo y se mantiene un 22% por encima de los niveles prepandémicos (página 49). El trabajo desde casa exige una mayor seguridad para las terminales (PC, tabletas, móviles, etc.). Desde el comienzo de la pandemia, las terminales se han convertido en un elemento crítico y hemos registrado un aumento del 500% en nuestros clientes de detección y respuesta de terminales administrados (EDR).
La otra tendencia notable, que va de la mano, es el impulso en la adopción de la nube, que ofrece a las empresas mayor capacidad de respuesta, menor inversión y flexibilidad. Esta migración a la nube requerirá una atención especial a la seguridad de los datos y la identidad del usuario (IAM, autenticación multi-factor ...)
Inversión empresarial en productos de seguridad
En 2020, las organizaciones parecen haber adoptado tres comportamientos:
- Una actitud de esperar y ver, que limita sus proyectos de seguridad de TI debido a la necesidad de centrarse en la supervivencia empresarial
- Revisar su arquitectura de TI y los cimientos de su seguridad, especialmente aquellos cuyas actividades estaban paralizadas (por ejemplo, sector aeroportuario)
- Centrarse en acciones específicas, en particular en la protección de puntos críticos (principalmente endpoints y accesos remotos)
En términos de inversión, los pronósticos de análisis de la industria para 2021 parecen mostrar un interés continuo de las organizaciones por los servicios gestionados (subcontratación de la seguridad, total o parcialmente, a un proveedor de servicios).
El volumen por empresa se relaciona con el tamaño
Hemos registrado alrededor de 101 incidentes confirmados por empresa
para pequeñas organizaciones (en comparación con 63 en 2019). Para las organizaciones medianas, la media de incidentes es 77 (frente a 266 en 2019) y 278 para las grandes empresas (frente a 463 en 2019).
Un punto para aclarar: más incidentes no significa necesariamente menos seguridad. A medida que las pequeñas empresas se han "puesto al día" y han invertido más en tecnologías de detección, están viendo aumentar sus volúmenes de alertas (página 21).
¿Y en 2021?
El 5G, lanzado este año en muchos países, aportará su parte de nuevos usos y acelerará el desarrollo de tecnologías y productos. Algunos de estos estarán en el corazón de la Industria 4.0. y ciudades inteligentes en particular. También anticipamos un desarrollo aún más marcado de soluciones de seguridad para IoT y para entornos industriales, con la necesaria alineación de los equipos de TI y OT (Tecnología Operativa). Orange Cyberdefense, en particular a través de su Centro de Demostración en Lyon (Francia) que se inaugurará en 2021, se compromete a ser un pionero en el creciente panorama de seguridad OT.
El apetito por el cloud, pero también la adopción de nuevas formas de conectividad como SD-WAN, seguirán siendo una prioridad para las empresas, aportando nuevos usos y nuevos riesgos a cubrir.
En un contexto en el que el ecosistema de las amenazas cibernéticas se está estructurando cada vez más, las empresas deben estar preparadas para que el número de ataques siga aumentando. La pandemia de COVID-19 ha generado trastornos sin precedentes en la sociedad y la economía. Ha transformado fundamentalmente la forma en que trabajamos y hacemos negocios. Como ya estamos viendo, muchos de estos cambios se están convirtiendo en mejoras duraderas y la mentalidad está evolucionando. Ha habido un fuerte aumento en la demanda de seguridad en la nube, la red y las videoconferencias: el trabajo remoto llegó para quedarse.
Finalmente, otra lección de la crisis del COVID-19: el valor de la proximidad. Aunque impulsada por la tecnología, la ciberseguridad sigue siendo, sobre todo, una cuestión de confianza.
Para obtener más información, descargue Security Navigator 2021.