El panorama de la seguridad cibernética siempre está cambiando con tácticas siempre cambiantes por parte de los actores de amenazas. En 2023, muchos ciberdelincuentes pudieron causar estragos en las redes corporativas iniciando sesión a través de cuentas válidas y, a medida que los malos actores comiencen a invertir en inteligencia artificial para ayudarlos a identificar objetivos prioritarios, se espera que este problema empeore en el futuro. Nuestros hallazgos en la edición 2024 del informe IBM X-Force señalaron tres tendencias clave que los profesionales de seguridad y los CISO deben observar y sobre las cuales tomar medidas:
- Un aumento en el abuso de cuentas válidas
- Un giro en el enfoque de los principales grupos de ransomware
- El impacto actual y futuro de la IA generativa en la ciberseguridad
En el Reino Unido, el panorama de las ciberamenazas refleja patrones globales pero con matices localizados. El malware emerge como el arma principal en el arsenal de los actores de amenazas, con el ransomware y los criptomineros a la cabeza, constituyendo el 30% y el 20% de los incidentes, respectivamente.
Surge una tendencia alarmante a medida que las cuentas válidas se convierten en el punto de entrada preferido de los ciberdelincuentes, constituyendo el 50% de los vectores de acceso inicial, seguido de la explotación de aplicaciones públicas con un 25%. Industrias como las de servicios profesionales, empresariales y de consumo son las más afectadas, ya que representan el 39% de todos los compromisos del Reino Unido.
El camino hacia la menor resistencia
A medida que los defensores fortalecen sus defensas, los atacantes recurren a tácticas más sencillas, aprovechando credenciales válidas. Este cambio subraya la necesidad de que las organizaciones distingan entre la actividad de los usuarios legítima y la maliciosa, un desafío amplificado por la accesibilidad de las credenciales en la web oscura.
Mientras que los incidentes de phishing disminuyó un 44% desde 2022, la explotación de credenciales válidas aumentó, lo que indica un cambio estratégico entre los actores de amenazas. En particular, identificamos un aumento del 100 % en el llamado Kerberoasting, lo que significa un enfoque matizado para adquirir identidades con fines maliciosos.
Aumento del malware de robo de información
Al mismo tiempo, la prevalencia del malware de robo de información se dispara en un 266 %, y los incidentes de ransomware experimentan una disminución del 11,5 %. Sin embargo, esta disminución se atribuye a capacidades de detección mejoradas y a la renuencia de las organizaciones más grandes a pagar rescates.
A pesar de la caída de los ataques de ransomware, persisten los ataques basados en extorsión, lo que subraya la importancia de medidas sólidas de ciberseguridad. En particular, los incidentes asociados con el grupo de ransomware Cl0p resaltan la explotación de vulnerabilidades en herramientas ampliamente utilizadas como MOVEit.
Los ataques generativos de IA aún no son una amenaza directa
El auge de ChatGPT ha puesto la IA generativa en el mapa y la prisa por adoptarla actualmente está superando la capacidad de la industria para comprender los riesgos de seguridad que introducirán estas nuevas capacidades. Sin embargo, una superficie de ataque universal de la IA se materializará una vez que la adopción de la IA alcance una masa crítica, lo que obligará a las organizaciones a priorizar las defensas de seguridad que puedan adaptarse a las amenazas de la IA a escala.
Además, si bien los ciberdelincuentes muestran interés en aprovechar la IA generativa para sus ataques, sigue siendo difícil encontrar pruebas concretas de ciberataques diseñados con IA generativa. El phishing se destaca como una probable aplicación maliciosa inicial de la IA, que agiliza la creación de mensajes convincentes de días a apenas minutos. Sin embargo, si bien es posible que pronto surjan informes de ataques habilitados por IA, es poco probable que se produzca una actividad generalizada hasta que madure la adopción empresarial de la IA.
Continuando con los fundamentos
La combinación de un aumento de ladrones de información y el abuso de credenciales de cuentas válidas para obtener acceso inicial ha exacerbado los desafíos de gestión de acceso e identidad de los defensores. El renovado enfoque de los ciberdelincuentes en las identidades resalta los riesgos de las organizaciones en dispositivos fuera de su visibilidad, y deben seguir enfatizando los buenos hábitos de seguridad en sus fuerzas laborales. Los datos de credenciales empresariales se pueden robar de dispositivos comprometidos mediante la reutilización de credenciales, almacenes de credenciales del navegador o accediendo a cuentas empresariales directamente desde dispositivos personales.
Si bien los “fundamentos de seguridad” no reciben tanta atención como los “ataques diseñados por IA”, el mayor problema de seguridad de las empresas todavía se reduce a lo básico y conocido, no a lo novedoso y desconocido. La identidad se utiliza contra las empresas una y otra vez, un problema que empeorará a medida que los adversarios inviertan en IA para optimizar la táctica.
Martin Borrett es director técnico de IBM Security en el Reino Unido e Irlanda.