Las organizaciones actuales están sometidas a un panorama de amenazas en constante cambio y evolución. En esta «nueva normalidad», ya no basta con aplicar estrategias convencionales a retos como el ransomware. Es vital que los equipos de TI, los equipos de seguridad y los miembros del consejo de administración sepan dónde centrar sus esfuerzos de seguridad y resiliencia empresarial para poder anticiparse, resistir y recuperarse de los ciberataques modernos.
Commvault ha recopilado las tres principales tendencias de amenazas a la ciberseguridad que los profesionales de la seguridad deben prepararse para repeler y que todavía no se suelen tener en cuenta.
- Técnicas Living Off the Land (LOL). Los ataques silenciosos que permanecen ocultos durante largos periodos de tiempo suponen un riesgo único para las empresas. Los hackers actuales utilizan mucho menos malware. En su lugar, utilizan técnicas Living Off the Land (LOL), utilizando el sistema operativo contra sí mismo mediante la explotación de herramientas legítimas nativas como binarios firmados (LOLBins), scripts (LOLScripts) y bibliotecas para camuflar la actividad maliciosa, pasar desapercibidos y eludir incluso las defensas de seguridad más avanzadas.
A diferencia de los ataques tradicionales que aprovechan el malware, los ataques LOL utilizan utilidades nativas del sistema operativo que son necesarias para ejecutarlo y ayudar a las operaciones de TI. Intrínsecamente, no son maliciosos. Por tanto, aunque las herramientas convencionales registran las actividades de LOL en cada punto final, no alertan sobre ellas. Los LOLBins se están convirtiendo en la técnica preferida porque pasan desapercibidos.
Para defender los datos contra este tipo de ataques, las organizaciones tendrán que dar un paso adelante en sus defensas, introduciendo señuelos realistas que engañen a los malos actores para que se involucren con estos falsos recursos y expongan sus técnicas; un movimiento que a su vez alerte a los equipos de seguridad de la organización de una posible amenaza al acecho.
- Inteligencia Artificial (AI). Los hackers actuales utilizan herramientas avanzadas como la IA y el aprendizaje automático para automatizar y coordinar los ataques y aumentar su eficacia. También utilizan la IA para comprender las defensas que las organizaciones han establecido para evitar que los atacantes penetren en sus entornos. Los ciberdelincuentes ya no están limitados por la necesidad de producir manualmente sus campañas de amenazas, sino que utilizan herramientas de IA generativa fácilmente disponibles, como ChatGPT, y las ajustan para satisfacer sus necesidades, ya sea creando contenido de phishing altamente personalizado a gran escala o generando malware para registrar la pulsación de teclas y para «descifrar» específicamente las credenciales y los algoritmos de un sistema objetivo.
Para combatir el creciente volumen de ataques, las organizaciones tendrán que hacer uso de la IA defensiva y el aprendizaje automático. Esto hará posible automatizar la detección y corrección de los sistemas que no cumplen la normativa; aplicar parches automáticos, configuración y actualizaciones de software para los activos; y manejar actividades tradicionalmente intensivas en mano de obra como la gestión de identidad y acceso (IAM) y la presentación de informes. En otras palabras, utilizar la IA para impulsar el cumplimiento con una arquitectura reforzada de confianza cero y hacer frente a las amenazas con visibilidad en tiempo real y alertas tempranas que respalden una postura de defensa proactiva.
- Ransomware-as-a-Service. El ransomware representa una de las mayores amenazas para las empresas de todos los tamaños y sectores. Grupos altamente organizados han desarrollado sofisticados modelos de suscripción y distribución de ransomware como servicio (RaaS) que facilitan a los ciberdelincuentes, con poca o ninguna experiencia, la composición de un ataque de última generación formado por las técnicas más modernas a lo largo del ciclo de vida del ataque.
Especializados en elementos específicos del proceso de ataque, los actuales operadores de RaaS ofrecen kits que incluyen desde portales de pago y «servicios de asistencia» para las víctimas hasta una selección de variantes de ransomware (como LockBit, Revil y Dharma). Otros actúan como intermediarios de acceso especializados en el descubrimiento.
La aparición del modelo de negocio RaaS significa que la frecuencia y sofisticación de los ataques de ransomware está aumentando. Teniendo esto en cuenta, las organizaciones tendrán que redoblar sus actividades de ciberseguridad. Ya sea reforzando las estrategias de gestión de vulnerabilidades e implantando herramientas de ciberdetección de alerta temprana o desplegando soluciones automatizadas y backup y recuperación de datos en entornos de producción, para asegurarse de que pueden recuperarse rápidamente tras un ataque. “Entendiendo que la probabilidad de un ciberataque es un cien por cien, las empresas tendrán que poner en marcha capacidades de detección temprana y asegurarse de que están atentos a las amenazas de forma proactiva, para poder responder rápidamente a los ataques e incidentes de seguridad. La vuelta a la normalidad de las operaciones tras un incidente de seguridad debe ser ahora una de las principales ambiciones en materia de seguridad, por lo que es imprescindible contar con procedimientos de recuperación de datos sólidos como una roca”, apuntan desde Commvault.