El
Informe anual sobre ciberamenazas de ReliaQuest 2025
ofrece una mirada detallada a las principales ciberamenazas que enfrentaron
sus clientes a lo largo de 2024. Basado en un análisis profundo de incidentes
reales, proporciona una visión clara y precisa de lo que realmente sucede
cuando los atacantes atacan.
El año pasado se vió una cantidad récord de ataques de ransomware, un aumento
en la explotación de vulnerabilidades para el acceso inicial y ataques
asistidos por IA que se convirtieron en realidad.
A continuación una descripción general sobre los hallazgos clave del informe y
las principales acciones que debe tomar para defenderse de estas amenazas.
-
Las amenazas cibernéticas ahora son más rápidas que nunca. Los atacantes
están adoptando la IA y la automatización para potenciar sus ataques. La
investigación identificó que, en promedio,
los atacantes pasaron del acceso inicial al movimiento lateral en solo
48 minutos. También les toma a los atacantes poco más de 4 horas exfiltrar datos y 6
horas cifrarlos. Algunos ataques se realizaron en solo 27 minutos. -
Aunque los ataques se están acelerando,
los atacantes se aferran a métodos probados y comprobados como el
phishing para lograr el acceso inicial. Los ataques de phishing y de compromiso de correo electrónico empresarial
se ven cada vez más reforzados por tácticas avanzadas como eludir la MFA y
abusar de Microsoft Teams para la ingeniería social. -
Los atacantes de ransomware están
cambiando de estrategia: el 80% de las infracciones solo incluían exfiltración.
El cifrado ahora es menos efectivo, lo que significa que los grupos de
ransomware utilizan los datos robados como arma para la extorsión, la
reventa o el acceso a objetivos adicionales, aprovechando los temores de
daño a la reputación, multas regulatorias y exposición de información
confidencial. -
Las cuentas de servicio (con permisos elevados y olvidadas) son la puerta de
entrada en el 85% de los casos. -
Falta de monitoreo = ceguera total. La principal causa de brechas es la
falta de registros de actividad en la red. -
El 66% de los ataques usan herramientas legítimas, VPNs sin MFA, software de
acceso remoto y cuentas comprometidas para moverse lateralmente sin ser
detectados.
Los atacantes aceleran sus métodos y es fundamental que las organizaciones
adapten sus defensas en consecuencia. A continuación, se presentan tres pasos
que puede seguir hoy.
-
Incorporar IA y automatización alas operaciones de seguridad. Son
necesarias para seguir el ritmo de las amenazas de la actualidad. Se pueden
manejar alertas de manera autónoma de extremo a extremo para contener
amenazas rápidamente, reducir los tiempos de respuesta y permitir que los
equipos de seguridad se concentren en abordar desafíos más complejos. -
Bloquear los puntos de entrada comunes. Los principales métodos de acceso
inicial incluyen phishing y ataques drive-by, mientras que los
activos públicos y los servicios remotos externos con conexión a Internet
impulsaron las intrusiones activas. -
Proteger los servicios remotos con certificados basados en el cliente y
monitoree los activos públicos en busca de vulnerabilidades. -
Mitigar los riesgos aplicando parches a los sistemas de inmediato, ya que
los atacantes explotan las vulnerabilidades no parcheadas a velocidades
récord. -
Abordar de manera proactiva los ataques de phishing implementando controles
de acceso estrictos y capacitación de los usuarios. -
Eliminar los puntos ciegos. La mayoría de las infracciones de «manos en el
teclado» se debieron a un registro insuficiente y dispositivos no
administrados. -
Implementar soluciones de seguridad de puntos finales en todos los activos
para administrar su superficie de ataque de manera efectiva. -
Habilitar el registro detallado en dispositivos, servidores y tráfico de red
para capturar datos críticos para las investigaciones. -
Establecer políticas claras de retención de registros para almacenamiento en
caliente y frío, lo que garantiza una recuperación rápida durante los
incidentes. -
Debido a esta situación, la empresa ya no puede recuperar los datos
pagando: si ya fueron robados, el daño sobre la reputación es
inminente.
Fuente:
ReliquiaQuest