Las conclusiones del segundo Informe de Defensa Digital de Microsoft no dejan lugar a dudas: la ciberseguridad es un desafío complejo, en constante evolución y sin fecha de finalización. Basado en más de 24 billones de señales diarias, así como en las observaciones realizadas en 77 países, entre los que se encuentra España, el estudio cubre el período comprendido entre julio de 2020 y junio de 2021.
Sus hallazgos en las tendencias de como los ataques procedentes de estados-nación, la evolución de cibercrimen o el trabajo híbrido, entre otras, pueden ayudar a las empresas, organizaciones y Gobiernos de todo el mundo a comprender y protegerse mejor en el cambiante panorama de la ciberseguridad.
“Desde Microsoft proporcionamos servicio a miles de millones de clientes en todo el mundo, lo que nos permite obtener una visión muy valiosa mediante el análisis de señales de seguridad de un amplio y diverso abanico de empresas, organizaciones y consumidores. Nuestra posición única, sumada al empleo de Inteligencia Artificial, nos permite obtener una imagen precisa del estado de la ciberseguridad, incluyendo indicadores que nos brindan la oportunidad de predecir los siguientes pasos de los ciberdelincuentes. Todo esto se plasma en nuestro Informe de Defensa Digital, que este año reúne los datos y perspectivas de más equipos y áreas de Microsoft que nunca, y que esperamos que sea de gran utilidad para que las organizaciones conozcan cómo los ciberdelincuentes están cambiando sus modos de ataque y puedan actuar de la forma más adecuada para combatirlos”, ha señalado Alberto Pinedo, NTO de Microsoft en España.
Ataques procedentes de estados-nación
Los ataques dirigidos o financiados por otros estados han proliferado en los últimos tiempos. Sus autores cuentan con suficientes recursos y talento para estudiar en profundidad sus objetivos y utilizar las técnicas más certeras.
Durante el año pasado, el 58% de todas las ofensivas de este tipo observadas por Microsoft han provenido de Rusia y se han dirigido principalmente a Estados Unidos, Ucrania y Reino Unido. Destaca el incremento de la efectividad de los ataques procedentes de Rusia, pasando de una tasa de éxito del 21% al 32% en solo un año. Igualmente, apuntan de forma más intensiva a agencias involucradas en política exterior, seguridad nacional o defensa para la recopilación de inteligencia, un objetivo que ha pasado en un año de representar para los atacantes el 3% del total a tener un peso del 53%.
Pero, aunque los ataques rusos son los más comunes, no son los únicos, ni el espionaje es la motivación exclusiva. También proceden de países como Corea del Norte, Irán y China, así como de Corea del Sur, Turquía (nueva incorporación en el informe) y Vietnam en menor medida. Al margen de los distintos objetivos estratégicos que haya detrás de cada uno, los fines operativos comunes más allá de la captación de información se centran en la interrupción de procesos y servicios o destrucción de datos y activos físicos, junto a la obtención de ingresos.
En general, las víctimas preferidas de los atacantes de los estados-nación que ha detectado Microsoft son las empresas (79%), teniendo como sectores más específicos a los Gobiernos (48%), las ONG y los think tanks (31%), la educación (3%), las organizaciones intergubernamentales (3%), las compañías de tecnología? (2%), la energía (1%) y los medios de comunicación (1%). Por su parte, hacia los consumidores se dirigen el 23% de estos ciberataques. En total, Microsoft ha notificado a sus clientes 20.500 intentos de vulneración de sus sistemas en los últimos tres años.
El cibercrimen como servicio
El cibercrimen –en especial el ransomware– continúa siendo una plaga en constante crecimiento. Mientras que en los ataques procedentes de los estados-nación los actores buscan la obtención de información, el objetivo de los cibercriminales es económico. Por ello, las víctimas tienen un perfil distinto y los cibercriminales buscan atacar las infraestructuras críticas.
Los ciberdelincuentes cada vez son más creativos, innovadores y oportunistas. Se mueven rápidamente para descubrir nuevos vectores de amenazas, utilizar nuevas fallas de seguridad y responder a nuevas defensas, mejorando sus técnicas para que los ataques sean más difíciles de detectar.
Recordemos que el ransomware es un tipo de malware, o software malicioso, diseñado para impedir el acceso a datos, archivos o sistemas hasta que no se satisfaga el pago de un rescate. En este contexto, el ransomware operado por humanos ha supuesto un cambio de paradigma. Ha evolucionado y se ha hecho más disruptivo, convirtiendo los ciberataques en un peligro muy real y omnipresente para todos. Según se infiere de las intervenciones de ransomware realizadas por el Equipo de Detección y Respuesta Rápida (DART) de Microsoft, los cinco principales sectores atacados el año pasado son el comercio minorista (13%), los servicios financieros (12%), la industria manufacturera (12%), la Administración pública (11%) y la sanidad (9%). Estados Unidos es, con diferencia, el país más atacado, recibiendo más del triple de ataques de ransomware que el siguiente de la lista, China. A este le siguen Japón, Alemania y los Emiratos Árabes Unidos.
También, el Informe de Defensa Digital de Microsoft pone de manifiesto que, en el último año, la economía del "cibercrimen como servicio" se ha convertido en una industria criminal madura. Hoy en día, cualquier persona, independientemente de sus conocimientos técnicos, puede acceder a un mercado online robusto para comprar la gama de servicios necesarios con los que ejecutar ataques para cualquier propósito: desde kits de infección listos para usar, que cuestan poco más de 56 euros, a credenciales que se venden por importes de entre 1 y 43 euros, dependiendo del valor percibido del objetivo.
Las cifras son abrumadoras. Entre julio de 2020 y junio de 2021, Microsoft bloqueó 9.000 millones de amenazas a dispositivos, 32.000 millones de ataques al email, y 31.000 millones de amenazas. Para ello, cuenta con un equipo integrado por más de 8.500 expertos en el ámbito de la seguridad, apoyados por herramientas de Inteligencia Artificial para el análisis de señales. La compañía prevé continuar realizando importantes inversiones en esta área, que incluyen 20.000 millones de dólares a lo largo de los próximos 5 años.
Los retos de un entorno de trabajo híbrido
Casi de la noche a la mañana, la fuerza laboral de miles de organizaciones de todo el planeta pasó a ser totalmente remota y millones de estudiantes tuvieron que aprender desde casa. Aunque en los últimos años ha habido cada vez más oportunidades de trabajar a distancia, la COVID-19 aceleró estos esfuerzos. Como Satya Nadella, consejero delegado de Microsoft, declaró: "Hemos visto la transformación digital de dos años en dos meses".
Ahora, en plena transición hacia modelos híbridos y a medida que las amenazas en la nube crecen, es preciso tomar medidas para fortalecer la primera línea de defensa. Aunque Microsoft ofrece gratuitamente la autenticación multifactor (MFA) a sus clientes y estos pueden activarla de forma remota para sus usuarios, menos del 20% se blinda con funciones de autenticación sólidas. De hecho, si las organizaciones solo aplicaran MFA (que requiere que el usuario se identifique a través de una segunda fuente, como un SMS o un dato biométrico, para evitar las conexiones fraudulentas), usaran antimalware y actualizaran sus sistemas, estarían protegidas de más del 99% de los ataques que se dan hoy en día.
La buena noticia es que, en los últimos 18 meses, Microsoft ha registrado un aumento del 220% en el uso de autenticación robusta, pero queda un largo camino por recorrer. Los nuevos retos de seguridad se focalizan en la infraestructura, datos y personas. La arquitectura VPN, la virtualización y los principios de Zero Trust permiten a las empresas dar soporte a los trabajadores remotos con garantías, al igual que la gestión de los derechos de acceso a la información para aplicar políticas destinadas a salvaguardar la información confidencial y la propiedad intelectual.
“Parte de la solución debe ser formar más profesionales de ciberseguridad y, por supuesto, las empresas de tecnología como Microsoft tienen un papel importante que desempeñar en el desarrollo de software seguro, productos y servicios avanzados de ciberseguridad, así como en la detección y detención de amenazas”, comenta Helena Pons, de la Unidad de Crímenes Digitales de Microsoft.
En todo caso, hay tres tendencias muy positivas que ya están en marcha y en las que se ha de avanzar:
La colaboración público-privada en la lucha contra un enemigo cada vez más fuerte y preparado.
El desarrollo y aprobación de leyes específicas que contemplen, entre otras cosas, la notificación obligatoria por parte de las organizaciones de los ciberataques recibidos, de modo que los organismos gubernamentales correspondientes tengan una idea del alcance del problema y puedan investigar los incidentes utilizando sus recursos. Tal como recoge el punto 85 del GDPR (Reglamento General de Protección de Datos) de la Unión Europea “tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas”.
La transparencia tanto de Gobiernos como empresas cuando son víctimas de ataques para ayudar a todos a comprender mejor el problema y elevar el compromiso con una respuesta rápida y global.
En definitiva, cada vez más estados-nación, y de forma más persistente y dañina, utilizaran los ciberataques para cualquier objetivo político, bien a través de técnicas de espionaje, interrupción o destrucción. Por su parte, el cibercrimen seguirá volviéndose más sofisticado y especializado y la única manera de pararlo es trabajar en la adopción de medidas adecuadas de seguridad. Por tanto, la ciberseguridad ha de ser una prioridad en las agendas nacionales e internacionales de los próximos años.