2023: Ciberamenazas, un año en retrospectiva

2023: Ciberamenazas, un año en retrospectiva
  • Publicación
  • 15 minutos de lectura
  • Abril 25, 2023

El informe global de PwC examina los agentes de amenazas, tendencias, herramientas y motivaciones que prevalecieron el año pasado en el entorno de las ciberamenazas.

  • Las tensiones van en aumento en todo el mundo y se evidencia un cambio de dinámica entre defensores y ciberamenazas
  • La geopolítica, entre otras cuestiones, sigue convergiendo e influyendo en el entorno de las amenazas
  • El ransomware, la extorsión y el fraude continúan impulsando un ecosistema ciberdelictivo en expansión
  • Los agentes de amenazas se mantienen ágiles en el uso de herramientas y marcos que les permiten mejorar sus capacidades y ocultar sus actividades

En 2022, las empresas se enfrentaron a una serie de agentes de amenazas: sofisticadas amenazas persistentes avanzadas (APT), ciberdelincuentes despiadados, empleados o exempleados descontentos que venden datos sensibles, un resurgimiento del hacktivismo y ataques de denegación de servicio distribuido (DDoS), entre muchos otros. La geopolítica dominó los titulares y la ciberesfera, incluso mientras los agentes de amenazas cambiaban continuamente de tácticas y técnicas y compartían sus herramientas, motivados por el sabotaje, el espionaje y el dinero.

Nuestro informe "Ciberamenazas 2022: un año en retrospectiva" examina los agentes, las tendencias, las herramientas y las motivaciones que prevalecieron el año pasado en el entorno de las ciberamenazas. Incluye estudios de casos de respuesta a incidentes con una visión detallada de las tácticas, técnicas y procedimientos (TTP) utilizados en las intrusiones. El informe también proporciona la lógica de detección para ayudar a sus defensores a encontrar agentes de amenazas maliciosos cuando escanean sus propios sistemas y redes.

En cuanto a qué se espera en 2023 según el informe, seguimos trabajando no solo para mantenernos al día con la actividad cibernética hostil, sino también para adelantarnos a ella y permanecer a la vanguardia.

Agentes de amenazas y cómo los clasificamos

La motivación pasa por obtener beneficios para su país

Los agentes de amenazas de espionaje (generalmente denominadas "amenazas persistentes avanzadas" o APT) normalmente son contra grandes organizaciones u organismos gubernamentales y buscan robar información que proporcione una ventaja económica o política para su país.

Motivada por el dinero

Los ciberdelincuentes actúan de forma indiscriminada, ya que buscan monetizar sus ataques. Su grado de sofisticación es muy variable: desde delincuentes de bajo nivel hasta agentes sofisticados que atacan a organizaciones para monetizar los datos robados. 

Motivado por la causa

Los hacktivistas llevan a cabo ataques para aumentar su visibilidad y dar a conocer su causa. Esto se consigue normalmente mediante interrupciones de servicios y ataques que cambian la apariencia de un sitio web (defacements).

Motivado por el impacto

Los saboteadores tratan de dañar, destruir o socavar de cualquier otro modo la integridad de los datos y los sistemas. Los ataques de sabotaje no siempre son deliberados y se utilizan para enmascarar otras actividades maliciosas. Las operaciones de sabotaje diseñadas para distraer la atención pueden ocasionar importantes daños colaterales.

 

Vulnerabilidad y agilidad de los agentes de amenazas

  • Se cree que la vulnerabilidad Log4Shell1 en el marco de registro Java Log4j de Apache ha afectado al 93% de los entornos en la nube de las empresas y a cientos de millones de máquinas. Mientras las organizaciones trabajaban para identificar las instancias afectadas en sus entornos, una serie de ciberatacantes aprovecharon la oportunidad para explotar esta vulnerabilidad.
  • Los agentes de amenazas, con diferentes motivaciones y niveles de sofisticación, utilizaron herramientas y marcos estandarizados y compartidos para acelerar y optimizar sus operaciones. Los atacantes realizaron intentos rápidos de fuerza bruta para agotar a los usuarios y burlar las medidas de seguridad mediante ingeniería social o eludiendo la autenticación multifactor (MFA).
  • Algunos agentes de amenazas desarrollaron mejores formas de ocultar sus operaciones de espionaje y robo de propiedad intelectual, lo que hace cada vez más difícil identificar quiénes eran y qué estaban robando. El uso de proxies de ofuscación como servicio se convirtió en el método elegido por estos agentes de amenazas para ocultar sus huellas mientras comprometían a las víctimas y extraían información confidencial y sensible.

Los atacantes seguirán apuntando a los sistemas sin parches en busca de Log4Shell y otras vulnerabilidades y las explotarán siempre que puedan. También es probable que, en el próximo año, los agentes de amenazas exploten las vulnerabilidades de las bibliotecas de software.

Los sistemas de parcheado deficientes o incoherentes siguen siendo un factor clave del éxito de las intrusiones en las redes. La mayoría de los ataques que tienen éxito aprovechan vulnerabilidades que ya han sido corregidas por los fabricantes o desarrolladores y cuyos parches están a disposición de los clientes para su aplicación. Los ataques exitosos que son el resultado de exploits de día cero son relativamente poco comunes. Los atacantes harán lo mínimo necesario para obtener acceso a una red y no agotarán capacidades superiores innecesariamente.

Por lo tanto, recomendamos que, en sus estrategias de seguridad, las organizaciones den prioridad a la defensa y a la aplicación rigurosa de parches para que a los atacantes les resulte cada vez más difícil ingresar a sus sistemas.

1 Una falla de seguridad crítica en el marco Log4j permite que los ciberdelincuentes comprometan sistemas vulnerables con una sola inyección de código malicioso.

Cuestiones geopolíticas y entorno de amenazas

  • Los agentes de amenazas motivados por el espionaje y el sabotaje utilizaron sus capacidades de ciberataque para complementar los enfoques de ataque tradicionales. Por ejemplo, las utilizaron contra países y entidades privadas que se consideraba que apoyaban a sus supuestos enemigos. Buscaron obtener una ventaja estratégica debilitando la infraestructura digital y física.
  • Los agentes de amenazas siguieron compitiendo por la supremacía económica mediante el robo de propiedad intelectual, y los ciberataques exacerbaron los problemas actuales de la cadena de suministro y los desafíos financieros. Los agentes de amenazas utilizaron infraestructura adquirida y activos comprometidos para infiltrarse en las cadenas de suministro e interrumpirlas y también para socavar la seguridad de las comunicaciones en todo el mundo. Entre sus objetivos se incluían empresas de tecnología de última generación y sectores de telecomunicaciones, fabricación y logística.

Los organismos de seguridad y aplicación de la ley, junto con la industria de la seguridad comercial, seguirán utilizando divulgaciones públicas para contrarrestar las actividades de las APT y frustrar sus operaciones. Los agentes más sofisticados apuntarán cada vez con mayor frecuencia a los proveedores de servicios en la nube, servicios gestionados y gestión de identidades y accesos (IAM) que cuentan con acceso privilegiado a las redes de los clientes con la finalidad de obtener el acceso a escala que necesitan para comprometer a los objetivos de sus operaciones de espionaje y robo de propiedad intelectual.

Evolución de la ciberdelincuencia

  • Los agentes de amenazas fueron capaces de eludir las medidas de seguridad e infectar de manera efectiva las redes de distintas industrias, como la fabricación y el comercio minorista, entre otras, para extorsionar a sus víctimas pidiendo rescates significativos. Por este motivo, el ransomware sigue siendo una amenaza importante para el sector industrial en todo el mundo. Los gobiernos y las empresas privadas respondieron a las ciberamenazas con sanciones y listas negras, que lograron terminar con las operaciones de al menos un importante grupo de agentes de ransomware. Debido a la naturaleza fracturada y fluida de los agentes de ransomware, muchos ciberdelincuentes simplemente pasaron a desplegar sus habilidades y capacidades en otras marcas y operaciones menos conocidas.
  • El malware de robo de credenciales proliferó en el ecosistema de la ciberdelincuencia e impulsó la demanda de operaciones de acceso como servicio (AaaS) y otras ofertas estandarizadas de ciberdelincuencia, que alentaron el fraude cibernético y los ataques oportunistas en múltiples industrias y países.

Los gobiernos también explorarán la aplicación continua de sanciones como una forma de detener a los agentes de ransomware y de otras amenazas y evitar el acceso a fondos robados u obtenidos mediante extorsión y su utilización. Las organizaciones deberán crear cada vez más medidas de defensa y estrategias de seguridad para hacer frente a los ataques más frecuentes impulsados por un ecosistema de ciberdelincuencia "como servicio" cada vez más estandarizado.

Ransomware y sitios de filtraciones: 2462 víctimas totales en 2022

Los 10 sectores más afectados

N.° de víctimas

% de víctimas

1. Fabricación

365

15%

2. Construcción

248

10%

3. Servicios profesionales

225

9%

4. Comercio minorista

203

8%

5. Tecnología

191

8%

6. Hospitalidad y ocio

127

5%

7. Educación

125

5%

8. Salud

122

5%

9. Gobierno

112

5%

10. Logística

85

3%

Qué se espera para 2023

En 2023, prevemos que el entorno de las amenazas estará dominado por el ataque a la identidad y las capacidades de acceso privilegiado, ya que una amplia gama de agentes de amenazas sigue evolucionando y empleando TTP para eludir los mecanismos de seguridad. Los agentes de amenazas más prolíficos y motivados por el espionaje se centrarán cada vez más en las cadenas de suministro digitales y aprovecharán los días cero para realizar operaciones de acceso.

Las organizaciones deben mantener un sistema de telemetría en toda la pila de seguridad, ya que a partir del estudio de los metadatos históricos de la red o la actividad del host, los encargados de responder a los incidentes podrán comprender los efectos de un ataque no detectado a tiempo.

Campos requeridos(*)

Al enviar su dirección de e-mail, usted reconoce haber leído la declaración de privacidad de este sitio y da el consentimiento para que procesemos los datos de conformidad con la declaración de privacidad en las que se incluyen las transferencias internacionales. Si cambia de opinión en cualquier momento, por favor envíe un e-mail a privacy@pwc.com

Sobre el informe

“Cyber Threats 2022: A year in retrospect”. Informe global de PwC que se propone examinar los actores de amenazas, tendencias, herramientas y las motivaciones que protagonizaron el panorama de amenazas cibernéticas en 2022. Además de hacer uso de nuestras capacidades patentadas y el acceso a herramientas comerciales y de código abierto, recibimos la estrecha colaboración de las firmas de la red de PwC durante los casos de respuesta a incidentes y otros trabajos. Las siguientes firmas de la red PwC brindaron sus conocimientos sobre estos trabajos para enriquecer nuestro análisis: Australia, Austria, Brasil, Canadá, República Checa, Alemania, Hong Kong, Indonesia, Italia, Malasia, Países Bajos, Nueva Zelanda, Corea del Sur, Reino Unido, Estados Unidos y Vietnam.

Contact us

Enzo Taibi

Territory Advisory Leader, PwC Argentina

Tel: (54 11) 4850-4635

Diego Taich

Socio, PwC Argentina

Tel: (54 11) 4850-6834

Seguinos y viví la experiencia PwC en las redes sociales