Ransomware: "La imagen de la empresa no puede recuperarse pagando"

El Informe anual sobre ciberamenazas de ReliaQuest 2025 ofrece una mirada detallada a las principales ciberamenazas que enfrentaron sus clientes a lo largo de 2024. Basado en un análisis profundo de incidentes reales, proporciona una visión clara y precisa de lo que realmente sucede cuando los atacantes atacan.

El año pasado se vió una cantidad récord de ataques de ransomware, un aumento en la explotación de vulnerabilidades para el acceso inicial y ataques asistidos por IA que se convirtieron en realidad.

A continuación una descripción general sobre los hallazgos clave del informe y las principales acciones que debe tomar para defenderse de estas amenazas.

Las amenazas cibernéticas ahora son más rápidas que nunca. Los atacantes están adoptando la IA y la automatización para potenciar sus ataques. La investigación identificó que, en promedio, los atacantes pasaron del acceso inicial al movimiento lateral en solo 48 minutos. También les toma a los atacantes poco más de 4 horas exfiltrar datos y 6 horas cifrarlos. Algunos ataques se realizaron en solo 27 minutos.
Aunque los ataques se están acelerando, los atacantes se aferran a métodos probados y comprobados como el phishing para lograr el acceso inicial. Los ataques de phishing y de compromiso de correo electrónico empresarial se ven cada vez más reforzados por tácticas avanzadas como eludir la MFA y abusar de Microsoft Teams para la ingeniería social.
Los atacantes de ransomware están cambiando de estrategia: el 80% de las infracciones solo incluían exfiltración. El cifrado ahora es menos efectivo, lo que significa que los grupos de ransomware utilizan los datos robados como arma para la extorsión, la reventa o el acceso a objetivos adicionales, aprovechando los temores de daño a la reputación, multas regulatorias y exposición de información confidencial.
Las cuentas de servicio (con permisos elevados y olvidadas) son la puerta de entrada en el 85% de los casos.
Falta de monitoreo = ceguera total. La principal causa de brechas es la falta de registros de actividad en la red.
El 66% de los ataques usan herramientas legítimas, VPNs sin MFA, software de acceso remoto y cuentas comprometidas para moverse lateralmente sin ser detectados.

Los atacantes aceleran sus métodos y es fundamental que las organizaciones adapten sus defensas en consecuencia. A continuación, se presentan tres pasos que puede seguir hoy.

Incorporar IA y automatización alas operaciones de seguridad. Son necesarias para seguir el ritmo de las amenazas de la actualidad. Se pueden manejar alertas de manera autónoma de extremo a extremo para contener amenazas rápidamente, reducir los tiempos de respuesta y permitir que los equipos de seguridad se concentren en abordar desafíos más complejos.
Bloquear los puntos de entrada comunes. Los principales métodos de acceso inicial incluyen phishing y ataques drive-by, mientras que los activos públicos y los servicios remotos externos con conexión a Internet impulsaron las intrusiones activas.
Proteger los servicios remotos con certificados basados en el cliente y monitoree los activos públicos en busca de vulnerabilidades.
Mitigar los riesgos aplicando parches a los sistemas de inmediato, ya que los atacantes explotan las vulnerabilidades no parcheadas a velocidades récord.
Abordar de manera proactiva los ataques de phishing implementando controles de acceso estrictos y capacitación de los usuarios.
Eliminar los puntos ciegos. La mayoría de las infracciones de «manos en el teclado» se debieron a un registro insuficiente y dispositivos no administrados.
Implementar soluciones de seguridad de puntos finales en todos los activos para administrar su superficie de ataque de manera efectiva.
Habilitar el registro detallado en dispositivos, servidores y tráfico de red para capturar datos críticos para las investigaciones.
Establecer políticas claras de retención de registros para almacenamiento en caliente y frío, lo que garantiza una recuperación rápida durante los incidentes.
Debido a esta situación, la empresa ya no puede recuperar los datos pagando: si ya fueron robados, el daño sobre la reputación es inminente.

Fuente y redacción: segu-info.com.ar

Piratas informáticos están implantando múltiples backdoors en objetivos industriales en Japón

Qué es una supercookie, en qué se diferencia de una cookie normal y cómo afecta a la Privacidad

7 Maneras en que los Hackers ROBAN tus contraseñas.