En 2023, casi el 22% de los ciberataques tardaron más de un mes en ser detectados, según el informe "Incident Response Analyst Report 2023" de Kaspersky. Este porcentaje, equivalente al 21,85%, representa un incremento significativo de casi un 6% en comparación con el año anterior. Un dato alarmante del informe es que la mitad de estos incidentes solo se descubrieron tras la detección de una filtración de datos, lo que subraya la gravedad de los ataques prolongados y su capacidad para operar de forma encubierta por períodos extendidos.
Uno de los principales vectores de infección utilizados en estos ataques prolongados fue la explotación de las relaciones de confianza entre empresas, incluyendo proveedores y socios, a través de ataques a la cadena de suministro. Este tipo de ciberataques representaron más del 6% de los ataques de larga duración, y abarcaron no solo las infiltraciones tradicionales de la cadena de suministro, sino también otras vulnerabilidades como conexiones VPN, proveedores de nube, servicios de autenticación, claves públicas y el uso de software de terceros. Estos métodos permiten a los criminales extender sus intrusiones de manera más eficaz y en mayor escala que si ejecutaran ataques directos a una sola empresa.
Cristian Souza, especialista en respuesta a incidentes del Global Emergency Response Team (GERT) de Kaspersky, subrayó la creciente relevancia de los ataques a la cadena de suministro en el panorama de ciberseguridad en 2023. "Por primera vez en varios años, los ciberataques mediante relaciones de confianza y cadenas de suministro se ubicaron entre los tres vectores más utilizados", señaló. "La mitad de estos incidentes se detectó solo después de que ocurriera una fuga de datos".
Uno de los factores que complican la detección temprana de estos ataques es que, a menudo, la empresa utilizada como vector inicial no percibe daños directos y puede no reconocerse como víctima. Además, esta situación puede hacer que la empresa afectada se muestre reticente a colaborar en la investigación, lo que retrasa la comprensión de la brecha de seguridad. Esta falta de cooperación entre las organizaciones afectadas y las empresas comprometidas en el inicio del ataque dificulta la identificación precisa de cómo ocurrió la intrusión y la implementación de medidas correctivas efectivas.
Souza también advirtió sobre los riesgos inherentes a los ataques prolongados que explotan relaciones de confianza. "Los criminales utilizan estas tácticas para infiltrarse en redes y operar sin ser detectados durante largos períodos, lo que representa un peligro significativo para las empresas", añadió. "Es crucial que las organizaciones mantengan una vigilancia constante y adopten medidas proactivas para mitigar estos riesgos".
Para enfrentar estos desafíos, Kaspersky recomienda las siguientes medidas clave:Fomentar una cultura de concienciación sobre ciberseguridad entre los empleados, además de implementar políticas estrictas para la gestión de contraseñas.
Restringir el acceso público a los puertos de gestión y adoptar una política de "tolerancia cero" respecto a la actualización de parches.
Realizar copias de seguridad de los datos críticos con regularidad, lo que permite minimizar las pérdidas en caso de un ataque exitoso.
Adoptar servicios de seguridad gestionados para detectar ataques en sus fases tempranas y reforzar la protección contra amenazas avanzadas.
En caso de detección de actividades sospechosas o violaciones de seguridad, recurrir a expertos en ciberseguridad para una respuesta rápida y eficaz.
Estos pasos buscan no solo prevenir ataques prolongados, sino también mejorar la capacidad de respuesta ante incidentes complejos y minimizar los daños asociados a este tipo de cibercrimen.
En esta nota