Semperis

Cada año aumenta en todo el mundo el número total de ciberataques y el coste de los daños relacionados con el ransomware. Microsoft informó recientemente de que los intentos de ataques con contraseña se han disparado "de unos 3.000 millones al mes a más de 30.000 millones". Está claro que un enfoque proactivo para mitigar los ataques basados en la identidad es un buen propósito de Año Nuevo.

Para ayudarle a sacar el máximo partido de su planificación de detección y respuesta a amenazas de identidad (ITDR) este año, nuestros expertos en seguridad de identidad han señalado tres tendencias que esperamos que ganen velocidad en 2024:

  • Los actores de las amenazas intensificarán los ciberataques contra infraestructuras críticas, como la energía, la sanidad y la educación.
  • La evolución de las tácticas, técnicas y procedimientos (TTP) de las amenazas hará que la seguridad de la identidad por capas sea más importante que nunca.
  • La seguridad basada en la identidad seguirá siendo un factor primordial en la seguridad operativa y la resistencia.

Esto es lo que hay que saber sobre estas tendencias.

Tendencia 1: Ataques basados en la identidad contra infraestructuras críticas

¿Recuerda cuando los ciberatacantes decían que se mantenían alejados de los hospitales y otros organismos y organizaciones críticos? Esos días ya pasaron.

Pensemos en las represalias del grupo de ransomware BlackCat/ALPHV por la interrupción de sus operaciones por parte del FBI a finales del año pasado. El grupo notificó a sus afiliados su programa de ransomware como servicio (RaaS): "[Ahora] puedes bloquear hospitales, centrales nucleares, cualquier cosa, en cualquier lugar".

¿Qué impulsa esta tendencia?

El aumento de las tensiones geopolíticas y la simple codicia han puesto a las infraestructuras en el punto de mira de los ataques basados en la identidad.

Cuando se trata del sector público -unacategoría que incluye a la policía, los servicios médicos de emergencia (EMS) y los centros de traumatología de nivel 1, el agua, la electricidad, los aeropuertos, los puertos y otras infraestructuras críticas "siempre activas"- "lo que está en juego no se mide sólo en términos de dólares y Bitcoins. Hay vidas humanas en juego", afirma Jeff Pitts, Director del Sector Público de Semperis.

Organizaciones federales y estatales, locales y educativas (SLED) de Estados Unidos y de todo el mundo están dando la voz de alarma.

El Informe Anual 2023 del Centro Nacional de Ciberseguridad (NCSC) del Reino Unido destacó a "los actores alineados con el Estado como una nueva y emergente ciberamenaza para las infraestructuras nacionales críticas", señalando que el "desafío es global y sistémico". Preocupa especialmente:

  • Hackers chinos patrocinados por el Estado atacan infraestructuras estadounidenses
  • Ataques DDoS y wiper alineados con Rusia contra Ucrania
  • Campañas de spear-phishing contra objetivos gubernamentales y educativos de "interés" para Irán.
  • "Prolíficos" ciberataques norcoreanos, incluso contra organizaciones gubernamentales

La red de intercambio de inteligencia Five Eyes -integrada por funcionarios de inteligencia de Estados Unidos, Gran Bretaña, Canadá, Australia y Nueva Zelanda- también advirtió de que un grupo chino patrocinado por el Estado y conocido como "Volt Typhoon" tenía como objetivo infraestructuras críticas, como las telecomunicaciones, el transporte y la educación.

"Con los operadores de infraestructuras críticas en el punto de mira de grupos patrocinados por Estados-nación, se avecinan ataques que podrían afectar a toda una nación o incluso al mundo desarrollado", afirma Gil Kirkpatrick, Arquitecto Jefe de Semperis.

"Las organizaciones deben prepararse para posibles ciberataques contra los gobiernos y los operadores de infraestructuras críticas de centrales nucleares, redes eléctricas, redes de telecomunicaciones, plantas de tratamiento de aguas residuales, etc.".

Los Estados nación podrían utilizar los ciberataques para complementar la guerra sobre el terreno, perturbando las infraestructuras críticas o los sistemas financieros...

Simon Hodgkinson, Asesor Estratégico de Semperis

Simon Hodgkinson, antiguo CISO de bp y asesor estratégico de Semperis, está de acuerdo. "Los Estados nación podrían utilizar los ciberataques para complementar la guerra sobre el terreno, interrumpiendo infraestructuras críticas o sistemas financieros, por ejemplo".

Además, advierte, las "naciones y organizaciones sancionadas pueden recurrir a la ciberdelincuencia para financiar sus actividades, atacando a empresas que paguen rescates o robando criptomonedas".

Qué puede hacer

Afortunadamente, afirma Kirkpatrick, "los sectores público y privado son cada vez más resistentes" a los ataques basados en la identidad. La clave está en centrarse cada vez más en el ITDR.

Por ejemplo, Active Directory, que gestiona el acceso a prácticamente todos los usuarios y sistemas de los entornos que lo incluyen, está implicado en la mayoría de los ciberataques. Asegurar Active Directory, por tanto, es clave para identificar y detener a los atacantes antes de que puedan causar daños.

"Los servicios[de infraestructuras críticas] son vulnerables a los ciberataques vectorizados por identidades, normalmente Active Directory", explica Pitts.

Los sistemas de infraestructuras críticas unidos a dominios de Active Directory, especialmente los sistemas SCADA, deben incluir una plataforma especialmente diseñada para gestionar las amenazas a Active Directory.

Jeff Pitts, Director del Sector Público, Semperis

"Los sistemas de infraestructuras críticas unidos a dominios de Active Directory, especialmente los sistemas SCADA, deben incluir una plataforma especialmente diseñada para gestionar las amenazas a Active Directory", afirma Pitts. "Y los operadores de tales sistemas deben ser capaces de recuperar Active Directory en horas -nodías- en caso de un ciberataque paralizante".

Tendencia 2: Evolución de las TTP de ataques basados en la identidad

La mayoría de las organizaciones reconocen la necesidad de protección de puntos finales, autenticación multifactor (MFA) y formación de usuarios. Después de todo, los atacantes favorecen el phishing y la ingeniería social como formas de entrar en los entornos de las víctimas.

Pero las amenazas no dejan de ser ingeniosas. A medida que más organizaciones emplean la AMF o se niegan a pagar rescates, los atacantes desarrollan nuevas formas de eludir las defensas y causar estragos mediante ataques basados en la identidad.

Por ejemplo, el grupo BlackCat presentó recientemente una denuncia contra una de sus presuntas víctimas ante la Comisión de Bolsa y Valores (SEC), alegando que la empresa había sido violada y utilizando la denuncia para ejercer presión adicional para el pago o como advertencia para futuros objetivos.

¿Qué impulsa esta tendencia?

Este comportamiento "no es sorprendente en la economía del ransomware, en constante evolución", afirma Sean Deuby, tecnólogo principal de Semperis y presentador del podcast Hybrid Identity Protection (HIP). Los ataques de fatiga de MFA, por ejemplo, se han disparado a medida que más organizaciones despliegan MFA. Deuby espera ver un comportamiento más "creativo" por parte de los atacantes en 2024.

Incluso los usuarios con un alto nivel de seguridad pueden verse sorprendidos por intentos de phishing increíblemente bien diseñados.

Guido Grillenmeier, tecnólogo principal, Semperis

"Para predecir lo próximo que se les ocurrirá a los ciberdelincuentes, basta con seguir esta sencilla receta", aconseja Deuby. "Maximiza el beneficio minimizando el tiempo y el esfuerzo, elimina toda moralidad y añade una pizca de evasión del escrutinio gubernamental".

Las nuevas tecnologías también han influido en la evolución de los métodos de entrada iniciales de los atacantes, afirma Guido Grillenmeier, tecnólogo principal de Semperis.

"La inteligencia artificial está permitiendo a los ciberdelincuentes crear campañas de phishing cada vez más sofisticadas y convincentes que juegan con las emociones de los usuarios. Incluso los usuarios con un alto nivel de concienciación en materia de seguridad pueden verse ahora sorprendidos por intentos de phishing tan increíblemente bien diseñados."

Qué puede hacer

Para luchar contra la evolución de las TTP, nuestros expertos dan un sencillo consejo: Volver a lo básico.

"Los principales puntos débiles que utilizan los atacantes no han cambiado a lo largo de los años y siguen explotándose con éxito", señala Grillenmeier. "Por ejemplo, Active Directory, el principal servicio de identidad de Microsoft. Los atacantes utilizan Active Directory para obtener privilegios de usuario y penetrar más profundamente en la red de su víctima."

Grillenmeier espera con impaciencia la próxima versión de Windows Server 2025, que promete introducir nuevas funciones de seguridad en Active Directory. "Es bueno ver que se presta más atención a la protección de la identidad", afirma.

Los atacantes utilizan Active Directory para obtener privilegios de usuario y penetrar más profundamente en la red de su víctima.

Guido Grillenmeier, tecnólogo principal, Semperis

Mientras tanto, la seguridad basada en la identidad no tiene por qué ser onerosa. Las organizaciones pueden comenzar descargando una herramienta gratuita de auditoría de Active Directory como Purple Knightque rápidamente escanea el ambiente híbrido de Active Directory (incluyendo Entra ID y Okta) y provee una lista fácil de entender de vulnerabilidades potenciales e indicadores de compromiso (IOCs).

Tendencia 3: Resistencia operativa y seguridad basada en la identidad

Nuestra tercera tendencia se deriva de las dos primeras. Con el aumento de la sofisticación de los ciberataques y el creciente deseo de atacar las infraestructuras, los actores de las amenazas que antes se limitaban a las amenazas informáticas están dirigiendo su atención hacia la tecnología operativa (OT) y las cadenas de suministro. El objetivo: pasar desapercibidos el tiempo suficiente para interrumpir las operaciones.

¿Qué impulsa esta tendencia?

Tradicionalmente, los equipos de TI y OT han tenido objetivos y áreas de interés separados.

"Los profesionales de la ciberseguridad informática se centran primero en la seguridad de las TI", declaró recientemente Hodgkinson a Cyber Magazine. "Quieren proteger la información contra robos, impedir el acceso no autorizado a los sistemas informáticos y detener los ataques de phishing a sus usuarios. A los ingenieros de OT, sin embargo, les preocupan menos estas cosas. En cambio, se centran en los controladores y sensores que afectan a los procesos y sistemas físicos.

"Como tales, están preocupados por el tiempo de funcionamiento, la seguridad física y la seguridad. [Un] obstáculo para los profesionales de la seguridad es salvar el abismo cultural con los ingenieros de OT".

El infame ataque a Colonial Pipeline de 2021 es un ejemplo temprano del tipo de ataque cruzado que los expertos esperan que aumente en 2024. (También fue un indicador temprano del giro de los atacantes hacia las infraestructuras críticas).

Qué puede hacer

"Es vital que los operadores de infraestructuras nacionales críticas tomen medidas para impedir que los atacantes se escondan en sus sistemas", señaló el año pasado el director del NCSC, Paul Chichester.

El primer paso, dice Deuby, es "identificar sus sistemas críticos -incluida la infraestructura como Active Directory- antes de que se produzcan los ataques, y crear resistencia en esos sistemas".

Identifique sus sistemas críticos -incluida la infraestructura como Active Directory- antes de que se produzcan los ataques.

Sean Deuby, tecnólogo principal, Semperis

La segmentación de la red y la jerarquización administrativa también son pasos importantes. Deuby recomienda aislar los sistemas informáticos y de autenticación de los sistemas de control de procesos, así como garantizar que cada uno de estos dos grupos de sistemas utilice credenciales únicas.

Mickey Bresman, CEO de Semperis, señala que la resistencia de la infraestructura de identidad es la clave de la resistencia operativa general. Después de todo, los atacantes casi siempre intentan invadir la infraestructura de identidad en un esfuerzo por escalar privilegios y obtener acceso elevado.

"¿Cuál es la diferencia entre una empresa que se recupera en un periodo de tiempo relativamente corto tras un ataque relacionado con la identidad y otra cuya recuperación se prolonga durante días o semanas, lo que supone enormes costes para la organización? Por mi experiencia de primera mano, he llegado a la conclusión de que la mayor diferencia es la capacidad de la organización para orquestar, automatizar y probar el proceso de recuperación."

El conocimiento es poder

Conocer las tendencias en ciberseguridad y el comportamiento y la motivación de los atacantes puede ayudarle a desarrollar una sólida estrategia de defensa cibernética y operativa para defenderse de los ataques basados en la identidad. Prever lo peor no es paranoia; es una medida inteligente y necesaria.

¿Necesita ayuda para elaborar su estrategia? Nuestro equipo de Servicios de Preparación y Respuesta ante Brechas puede ayudarle.