Durante el pasado año, las identidades de usuario fueron atacadas principalmente mediante el robo de credenciales, ID de sesión, claves API, certificados digitales y otras técnicas.
Estos ataques basados en la identidad fueron responsables del 60% de los casos que el equipo de Respuesta a Incidentes (IR) de Cisco Talos (la división de ciber-inteligencia de Cisco) atendió en 2024. Los atacantes de ransomware también utilizaron cuentas válidas para el acceso inicial en casi el 70% de estas respuestas frente a incidentes.
“Los datos actuales subrayan la necesidad de contar con medidas robustas de protección de la identidad”, afirma Ángel Ortiz, Director de Ciberseguridad en Cisco España. “Otro problema relevante es la explotación de vulnerabilidades antiguas, algunas de las cuales tienen décadas de antigüedad, que suelen encontrarse en software y hardware de uso generalizado. Algunas de las vulnerabilidades de red más atacadas afectan a dispositivos antiguos para los que ya no se desarrollan parches”.
Ransomware y sectores
El grupo de ransomware como servicio (RaaS) más activo en 2024 fue LockBit, con el mayor volumen de contribuciones a sitios de filtración de datos. A pesar de su intento de desarticulación en marzo de 2024, LockBit fue el grupo más activo por tercera vez consecutiva. El segundo puesto lo ocupa el nuevo grupo RansomHub, que ataca a grandes empresas con elevadas solicitudes de pago.
El sector más atacado por ransomware en 2024 fue la educación superior, que suele estar mal protegida debido a limitaciones presupuestarias y una amplia superficie de ataque. Le siguen administración pública, fabricación y sanidad. Las medidas de seguridad básicas constituyen un factor clave, ya que los atacantes suelen buscar vulnerabilidades conocidas y fáciles de usar. Además, muchos de los casos de ransomware observados por Talos IR explotaron vulnerabilidades relacionadas con terminales que no requieren contraseña para un agente o conector o que no estaban configuradas correctamente.
Inteligencia Artificial
El informe anual de Cisco Talos también muestra el papel actual de la Inteligencia Artificial (IA). En 2024, los atacantes han sido más propensos a utilizar la IA para mejorar tácticas existentes, como la ingeniería social y la automatización de tareas, que para diseñar técnicas innovadoras. En lugar de invertir en nuevos métodos de ataque basados en IA, la aprovecharon para mejorar y rentabilizar los métodos existentes.
Otras conclusiones clave
- Las vulnerabilidades más atacadas en 2024 fueron principalmente vulnerabilidades y exposiciones comunes antiguas, conocidas desde hace varios años.
- La mayoría de estas vulnerabilidades se encuentran en software y hardware de uso generalizado, como Apache Log4j y el lenguaje de scripting Bash, que afectan a numerosos sectores y países.
- El 44% de los ataques de identidad se dirigieron a Active Directory.
- El 20% de los ataques basados en la identidad se centraron en aplicaciones en la nube, siendo las API un objetivo atractivo debido a su acceso a datos confidenciales.
- En la mayoría de los casos observados por Talos IR, los atacantes intentaron desactivar las soluciones de seguridad de las víctimas y casi siempre lo consiguieron.
Recomendaciones
Las 5 recomendaciones de medidas de seguridad más importantes de Cisco Talos son:
- Instalar actualizaciones y parches lo antes posible.
- Implementar métodos de autenticación robustos como MFA y contraseñas complejas.
- Adoptar mejores prácticas como controles de acceso estrictos, segmentación de la red y formación de empleados.
- Cifrar todo el tráfico para la monitorización y configuración.
- Reforzar las medidas de seguridad para la infraestructura de red.
