De acuerdo con un reporte de seguridad de Cisco, el ransomware fue el incidente digital más importante al cierre del año, esto incluye su actividad previa. De hecho, representó 28 % de todas las actividades de respuesta a incidentes de Cisco Talos, al cuarto trimestre del 2023.
Esto representa un incremento de 17 %, con respecto al trimestre anterior, estos incidentes involucran a operadores como Play, Cactus, BlackSuit y NoEscape. Así, Cisco respondió a un incidente de ransomware relacionado con el primer operador, lo que marca un precedente.
Entre los principales medios observados para obtener acceso inicial, estaban relacionados con el uso de credenciales comprometidas en cuentas válidas. Además de la explotación de aplicaciones públicas, donde cada una representa el 28 % de dichas actividades maliciosas.
Por su parte, la falta de implementación de autenticación multifactor (MFA) en servicios críticos fue la principal debilidad de seguridad en las empresas. Ya que representó el 36 % de las interacciones, esta es una tendencia constante que la firma observó a lo largo del año.
Cinco de los principales datos del reporte de seguridad de Cisco
1-En el último trimestre de 2023 destacó un ataque de amenazas internas y campañas de phishing, donde la firma respondió a múltiples actividades posteriores al compromiso
2-Cabe destacar que estos ataques fueron limitados en escala y contenidos por los esfuerzos de seguridad al principio de la cadena de ataque, es decir la prevención es recomendable
3-Tanto educación como manufactura por igual fueron las verticales más atacadas, representando casi el 50 % del total, otras áreas de alto riesgo son salud y gobierno
4-Aumento en phishing de códigos QR mediante correos enviados a dispositivos móviles, que llevaban a una página de acceso falsa de Microsoft 365 para obtener datos sensibles
5-Se detectó que los ataques de phishing por QR activan autenticación multifactor (MFA), esto con la aprobación de los propios usuarios, esto se dio por primera vez al cierre de 2023
Reporte de Cisco identifica que incidentes por ransomware aumentan
Aunque la vulnerabilidad de día cero denominada “Log4Shell” fue parchada en diciembre de 2021, aún se sigue explotando a dos años de distancia. En casi el 60 % de todos los ataques del trimestre, se obtuvo un acceso inicial mediante el uso de credenciales comprometidas.
Esto en cuentas válidas y la explotación de aplicaciones de cara al público. Al respecto la falta de MFA sigue siendo uno de los mayores impedimentos para la seguridad empresarial. De este modo, la firma recomienda ampliar la autenticación multifactor a todos los usuarios.
En relación con los incidentes de ransomware, Cisco Talos recomienda a las empresas que informen a sus colaboradores. Sobre los canales y puntos de contacto específicos para reportar estos incidentes, ya que la información rápida y precisa es clave en la remediación.
Por su parte, las soluciones de detección y respuesta de endpoints permiten detectar actividades maliciosas. Tanto en redes como dispositivos de endpoint de las propias organizaciones, por ello se recomienda emplear soluciones gratuitas como Snort o ClamAV.