Miguel Ángel Valero
Desde hace dos años son cada vez más frecuentes los anuncios en la Dark Web, sobre todo de entes vinculados a Rusia y a la Comunidad de Estados Independientes, por los que los ciberdelincuentes buscan aliados que les ayuden a atacar a las empresas desde dentro. "Los infiltrados pueden ser empleados, proveedores o trabajadores de empresas asociadas que tienen acceso a información crítica y pueden debilitar las medidas de seguridad desde dentro", señala el Security Report Iberia 2024 de Check Point.
"Sus motivos pueden variar desde el beneficio económico a la venganza, pasando por razones políticas o ideológicas", insiste el informe. "A cambio de dinero, en la mayoría de los casos, los infiltrados se convierten en colaboradores necesarios de los delincuentes, que les llegan a enseñar cómo instalar malware o sabotear los sistemas de seguridad de distintas formas", añade
Los sectores financieros, de telecomunicaciones y tecnológicos son los más deseados por los ciberdelincuentes en este tipo de ataques desde dentro.
"Siempre ha habido ciberataques internos, lo que demuestra el exceso de confianza de las empresas", señala Eugenio Nieva, Technical Manager de Check Point. En ese sentido, "una estrategia de ciberseguridad debe partir de que siempre hay una brecha". Al mismo tiempo, este experto reconoce que "es el ciberataque más difícil de identificar", porque "no se trata solo de empleados descontentos, son sobornos que mueven mucho dinero".
Pero también los empleados, sin ánimo delictivo, pueden ser una involuntaria puerta al cibercrimen: el 54% de los archivos maliciosos detectados por Check Point en España y Portugal fueron entregados por correo electrónico.
Frente a estas situaciones, Check Point recomienda educar a la plantilla en la identificación y mitigación de los riesgos, y desplegar herramientas de autentificación multisectorial para prevenir el acceso no autorizado a sistemas y datos sensibles.
1.133 ciberataques semanales por empresa
El Security Report Iberia 2024 registra un promedio de 1.133 ciberataques semanales por empresa, una cifra cercana a la media mundial(1.158). En la región de Iberia se ha observado un dramático aumento en las amenazas de ransomware que aprovechan vulnerabilidades desconocidas e indefensas de programas, equipos y sistemas operativos (zero-day).
Esta actividad, motivada por el ilícito lucro perseguido, ha ampliado sus víctimas objetivo, alcanzando las 5.000 registradas el pasado año, lo que supone un incremento del 90% en relación con el año anterior.
La transformación digital generalizada ha ampliado también el campo de ataque, especialmente en endpoints y entornos multicloud, donde se precisa una mejor configuración de acceso para hacer frente a las amenazas. El 54% de los archivos maliciosos que se infiltraron en las redes ibéricas fueron entregados por correo electrónico, una vulnerabilidad que evidencia la necesidad crítica de medidas de seguridad robustas en esta común herramienta.
Los sectores más atacados en la región de Iberia han sido salud, educación y comunicaciones. A principios de año, España registró un aumento de ciberataques en el sector retail (comercio minorista), mientras que educación e investigación ha sido menos afectados en este país en comparación con Portugal.
La vulnerabilidad más común en Iberia es la Ejecución Remota de Código, que ha impactado en un 61% de las organizaciones. Los ataques mediante troyanos de acceso remoto, RAT, mediante un software que permite tomar el control total de un dispositivo a distancia, duplican la media global.
También se evidencia un incremento del hacktivismo, por motivos políticos o ideológicos. El informe de Check Point vaticina más ataques de Denegación de Servicio (DDoS) para inhabilitar funciones críticas para las empresas; el uso de 'wipers', que borran o corrompe los sistemas de forma irreversible y causan un daño irreparable; la proliferación de contenidos falsos con apariencia real y los ataques basados en el uso de la inteligencia artificial (IA) para suplantación y creación de textos, correos, voces e imágenes falsas; y los ciberataques en la 'nube', ya que los ciberdelincuentes explotan tokens de acceso robados de sesiones autenticadas para evitar las medidas de seguridad mejoradas. Los incidentes de seguridad cloud se han disparado un 154% desde 2023.
IA facilita los ataques, pero también las defensas
Un elemento fundamental que se ha sumado al ámbito de la ciberseguridad es la IA, que ha irrumpido tanto para facilitar ataques, con un aumento del 38% desde 2022, como para desarrollar defensas más avanzadas. Herramientas de IA generativa se han utilizado para crear malware y tácticas de ingeniería social que, en periodos de alta intensidad electoral como el actual, representan un gran desafío porque pueden socavar procesos democráticos.
Los deepfakes, creados mediante sincronización de labios, reemplazo de rostro y doblaje de voz, se usan para engañar con mensajes falsos que imitan a líderes empresariales y políticos, amenazando la reputación corporativa y la estabilidad financiera, además de desestabilizar democracias y socavar la confianza pública. Check Point Research ha detectado deepfakes en un tercio de las campañas electorales analizadas.
Los ciberdelincuentes clonan de forma convincente una voz con solo tres segundos de audio a un coste inferior a 2€; la sincronización de labios cuesta menos de 100€ por 30 segundos de contenido; y la sincronización de labios y reemplazo de rostro, 150€ por 30 segundos.
NIS2: definición clara de ciberseguridad
Eugenio Nieva aplaude la Directiva NIS2, que entra en vigor a finales de 2024, porque aporta una definición clara de ciberseguridad: "la empresa tiene que asumir que hay una brecha y debe explicar cómo va a responder a ella, lo que exige un cambio cultural". En ese sentido, la normativa siempre es buena, pero hay que "evitar el cumplo y miento". "Las empresas necesitan un cambio de mentalidad en ciberseguridad, con más responsabilidad de la plantilla y más implicación del consejo de administración y del comité de dirección, porque hay que invertir mucho", subraya.
Destaca la separación entre el CISO (jefe de seguridad) y del responsable de Protección de Datos (DPO). Pero sobre todo que NIS2 exige a las empresas examinar toda su cadena de suministro, tener políticas de ciberseguridad robustas, incluyendo medidas técnicas y de formación, y la obligación de informar de cualquier incidente en menos de 24 horas.
"La NIS2 representa un cambio significativo en la cultura de ciberseguridad de las empresas y tendrá un impacto profundo en sus presupuestos y operaciones, por lo que se recomienda realizar un análisis de riesgos y evaluar la situación actual antes de la implementación", concluye el informe de Check Point.