En los últimos años, nos hemos acostumbrado a escuchar sobre incidentes de ciberseguridad que afectan a empresas de todos los tamaños. En 2021, una brecha de datos tuvo un costo promedio de $4.24 millones, un aumento del 10% frente a los $3.86 millones de 2020, el mayor incremento porcentual interanual en los últimos 17 años. A pesar de contar con un perímetro de ciberseguridad robusto para responder a amenazas crecientes, los ciberdelincuentes siempre parecen encontrar la manera de sortearlo. ¿Cómo lo hacen? Utilizan vectores de ataque cada vez más complejos.
En este artículo, analizaremos cómo los ciberdelincuentes utilizan los vectores de ataque como herramientas para aprovechar las vulnerabilidades de seguridad informática y llevar a cabo sus planes maliciosos. También enumeraremos algunas medidas de seguridad sencillas que su empresa puede adoptar para contrarrestar las amenazas que plantean estos vectores de ataque.
¿Qué se entiende por vector de ataque?
Un vector de ataque se refiere a cualquier método o vía que un pirata informático pueda utilizar para penetrar, infiltrarse o comprometer la infraestructura informática de la entidad objetivo.
Además de aprovechar las vulnerabilidades del sistema, los hackers también utilizan vectores de ataque para engañar a los usuarios y que estos comprometan la configuración de seguridad. Una pista: los correos electrónicos de phishing. El phishing ocupa el segundo lugar entre los vectores de ataque más utilizados en 2021. El primer puesto lo ocupan las credenciales comprometidas, mientras que el tercero corresponde a la configuración incorrecta de la nube.
Un ciberdelincuente puede desplegar multitud de vectores de ataque para introducir cargas útiles maliciosas, como virus, gusanos y código ransomware, en el sistema de una víctima y sabotear sus operaciones. Las credenciales comprometidas, los correos electrónicos de phishing y el cifrado inadecuado o inexistente son otros ejemplos de vectores de ataque.
Vector de ataque frente a superficie de ataque
A veces, estos dos términos se utilizan indistintamente, pero no es correcto.
Un vector de ataque es una herramienta que utilizan los ciberdelincuentes para lanzar un ciberataque, mientras que una superficie de ataque es cualquier punto o conjunto de puntos del entorno de red de una empresa que se vulnera para lanzar el ataque. La superficie de ataque aumenta a medida que se conectan a la red más terminales, servidores, conmutadores, aplicaciones de software o cualquier otro activo informático.
El informe «Cost of Data Breach» de IBM de 2021 reveló que los costes de las filtraciones de datos eran considerablemente menores en algunas empresas con una estrategia de seguridad más consolidada, y más elevados en aquellas que se quedaban rezagadas en ámbitos como la inteligencia artificial y la automatización aplicadas a la seguridad, el modelo «zero-trust» y la seguridad en la nube.
Vector de ataque frente a vector de amenaza
Los términos «vector de ataque» y «vector de amenaza» son sinónimos. Al igual que un vector de ataque, un vector de amenaza es una forma de acceder a una superficie de ataque desprotegida, como un puerto abierto o una vulnerabilidad de software sin parchear.
¿Cuáles son los distintos tipos de vectores de ataque?
Los ciberdelincuentes se apresuran a inventar nuevos métodos de ataque, que burlan fácilmente los viejos mecanismos de defensa. En esta sección, hablaremos de nueve vectores de ataque que pueden minar su negocio.
1. Credenciales comprometidas
Las credenciales comprometidas son el vector de ataque más utilizado, responsable del 20 % de las filtraciones en 2021. Los nombres de usuario y las contraseñas sustraídos a las víctimas son las credenciales más comunes que utilizan los autores de las amenazas. Los ciberdelincuentes pueden adquirirlas en la dark web o engañar a personas desprevenidas para que se las faciliten. Los hackers también pueden recopilar información confidencial de usuarios inconscientes enviándoles un enlace a un sitio web falso y solicitándoles sus datos de acceso.
2. Contraseñas y credenciales débiles
Según un consultor de seguridad, una sola contraseña comprometida provocó la caída de Colonial Pipeline, una importante empresa de oleoductos de Estados Unidos, lo que provocó una escasez de combustible en toda la costa este del país.
La mejor manera de hacer que las contraseñas sean difíciles de adivinar es cambiar las contraseñas predeterminadas lo antes posible y crear nuevas contraseñas teniendo en cuenta las mejores prácticas. Una contraseña segura y compleja debe incluir mayúsculas, minúsculas y caracteres especiales, así como números y símbolos. Según un estudio realizado por NordPass, las empresas de la lista Fortune 500 utilizan contraseñas que pueden ser pirateadas en menos de un segundo. También es recomendable cambiar las contraseñas con frecuencia, ya que los piratas informáticos pueden instalar software de registro de teclas en el sistema de un usuario para obtener información de identificación personal (PII).
Los hackers no solo se centran en las credenciales de sistema que utilizan los empleados. También intentan interceptar las contraseñas de los servidores, los dispositivos de red y las herramientas de seguridad, con lo que obtienen acceso sin restricciones a las credenciales de Active Directory de la empresa y a otras bases de datos valiosas.
3. Cifrado deficiente y ausente
El cifrado de datos permite a los usuarios transformar los datos en texto cifrado antes de transferirlos a través de una red conocida o desconocida o de almacenarlos en un sistema, de modo que solo quienes dispongan de la contraseña puedan descifrarlos y leerlos. Un cifrado débil es fácil de descifrar mediante ataques de fuerza bruta, mientras que, en ausencia de cifrado, la transferencia de datos se realiza en texto sin cifrar, lo que permite a los atacantes interceptarlos o robarlos fácilmente.
4. Desconfiguración de la nube y los dispositivos
Según el informe «The State of Cloud Security 2021», muchas de las filtraciones de datos que aparecen en los titulares se deben a errores de configuración en la nube. Alrededor del 36 % de los profesionales del sector de la nube encuestados para el informe afirmaron que su organización había sufrido una filtración grave de datos en la nube durante el último año.
Las configuraciones erróneas en la nube se deben a ajustes realizados por los usuarios que no garantizan una seguridad adecuada para los datos almacenados en la nube. Esto puede desactivar los ajustes de acceso con privilegios, lo que permite a todos los usuarios de la red acceder sin restricciones a datos valiosos.
La mala configuración de los dispositivos es otro punto problemático para las empresas. Dado que las empresas dependen cada vez más de la robótica y los dispositivos de Internet de las cosas (IoT) para llevar a cabo sus tareas, un hackeo del hardware puede allanar el camino a los ciberdelincuentes.
5. Phishing
Alrededor del 80% de los profesionales de TI dicen que se enfrentan a un aumento significativo de los ataques de phishing en 2021.
Los correos electrónicos de phishing siguen siendo uno de los vectores de ataque más eficaces. El phishing es una forma de ataque de ingeniería social que implica el uso de correos electrónicos de apariencia legítima para engañar a las personas para que proporcionen su información personal o credenciales de cuenta. Alrededor del 90% de los incidentes que dan lugar a filtraciones de datos comienzan con correos electrónicos de phishing.
Mientras que un ataque de phishing se dirige a los empleados de forma masiva, un ataque de spear-phishing se dirige a los altos directivos de una empresa con el objetivo de robar información altamente confidencial y crucial para el negocio, a la que solo tienen acceso los ejecutivos de más alto rango.
6. Proveedores externos
Los proveedores y vendedores también se consideran vectores de ataque, ya que los piratas informáticos pueden encontrar puntos débiles en su software para acceder a la red del cliente y lanzar un ataque a la cadena de suministro. En caso de ciberataque a un tercero que tenga acceso a datos sensibles del cliente, las consecuencias son inimaginables.
7. Vulnerabilidades del software
El software perfecto no existe. Por eso, incluso después de lanzar un programa, las empresas siguen comprobando si hay errores y enviando parches para corregir vulnerabilidades.
Una vulnerabilidad de día cero es un fallo en una red o en un software que no ha sido parcheado o para el que no se dispone de parche. Los piratas informáticos pueden aprovechar una vulnerabilidad de día cero para instalar software malicioso, como ransomware, que les permita manipular la infraestructura informática a distancia para espiar las actividades de una organización o interrumpir sus operaciones.
Según bases de datos como el proyecto de seguimiento de ataques de día cero, en 2021 se detectaron 66 ataques de día cero, una cifra sin precedentes. Esto supone casi el doble del total registrado en 2020 y más que en cualquier otro año del que se tenga constancia.
8. Insiders maliciosos
Se tarda unos 231 días en identificar las filtraciones causadas por personas malintencionadas, sólo por detrás de las credenciales comprometidas, con 250 días, y el correo electrónico comercial comprometido, con 238 días.
En la actualidad, los empleados descontentos ya tienen acceso a los datos del sistema de su empresa, que pueden utilizar para lanzar ciberataques o para vender credenciales en la dark web. En algunos casos, los ataques internos no son de naturaleza maliciosa y pueden deberse a un descuido por parte de los empleados.
9. Relaciones de confianza
Para que un canal de comunicación entre dos o más dominios sea seguro, debe existir una relación de confianza establecida. Esto permite a los usuarios acceder a información de varios dominios con un solo inicio de sesión. Un dominio de confianza es aquel que autentica al usuario, mientras que los demás se denominan dominios que confían. Unas prácticas de seguridad poco rigurosas pueden dar lugar a que los usuarios almacenen en caché sus credenciales en los dominios de confianza, las cuales pueden ser robadas y utilizadas para lanzar un ciberataque.
¿Cuáles son los diferentes ataques lanzados con vectores de ataque?
Los ciberdelincuentes tienen acceso a una amplia gama de vectores de ataque para llevar a cabo ciberataques que rompen los negocios. Estos son algunos de los ataques más comunes y debilitantes lanzados mediante vectores de ataque.
1. Malware y ransomware
El malware es un software intrusivo que permite a los ciberdelincuentes acceder a sistemas informáticos y redes y dañarlos gravemente. La infección puede adoptar la forma de virus, troyano, gusano, spyware, adware, rootkit o el infame ransomware.
El número de casos de ransomware ha ido aumentando de forma constante desde 2016 y actualmente representa el 10 % de todas las violaciones de seguridad. El ransomware es un tipo de malware que puede instalarse de forma encubierta en un sistema informático, impidiendo a la víctima acceder a él. Tan pronto como los usuarios autorizados pierden el acceso, los ciberdelincuentes amenazan con hacer públicos los datos o bloquean el uso a menos que se pague un rescate. Colonial Pipeline sufrió un ciberataque de ransomware a principios de este año y tuvo que pagar la friolera de 4,4 millones de dólares para recuperar el acceso a su red.
2. Ataque distribuido de denegación de servicio (DDoS)
El objetivo de un ataque DDoS es sobrecargar el sistema o la red de una víctima enviando correos electrónicos falsos a montones. Como resultado de los volúmenes inusualmente altos de tráfico de datos, la red se paraliza, haciéndola incapaz de hacer frente a nuevas solicitudes de datos. Los ataques DDoS suelen explotar una vulnerabilidad en un sistema informático, convirtiéndolo en el sistema maestro DDoS. A continuación, el sistema maestro infecta otros sistemas vulnerables con malware.
En los sectores críticos, una sobrecarga de los servidores puede hacer que la empresa quede fuera de servicio durante horas, lo que puede provocar una caída de los ingresos y la marcha de los clientes. Yandex, un gigante tecnológico ruso, declaró recientemente que sus servidores fueron víctimas del mayor ataque DDoS jamás registrado.
3. Fuerza bruta
Un ataque de fuerza bruta es un método de piratería criptográfica en el que los ciberdelincuentes utilizan la potencia de cálculo de sus sistemas para descifrar nombres de usuario, contraseñas, claves de cifrado o cualquier otra credencial de autenticación con el fin de hacer un uso no autorizado de ellas. Por lo general, cuanto más larga sea la contraseña, más combinaciones habrá que probar.
4. Ataques Man-in-the-Middle
Un ataque man-in-the-middle se produce cuando un atacante se introduce en el "medio" de una conversación o transferencia de datos en curso y se hace pasar por un participante legítimo. Al espiar la comunicación, los hackers pueden acceder a datos cruciales, como la información de inicio de sesión, que pueden modificar en beneficio propio.
Los piratas informáticos pueden incluso utilizar su posición para enviar enlaces maliciosos a partes legítimas con el fin de dañar sus sistemas y bases de datos y lanzar amenazas persistentes avanzadas (APT).
5. Inyecciones SQL (SQLi)
La inyección SQL es un vector de ataque que aprovecha una vulnerabilidad de seguridad en el código de un programa. Permite a los piratas informáticos inyectar código malicioso en consultas web, aplicaciones basadas en datos y, en algunos casos, servidores y otras infraestructuras de backend. Una vez que el atacante obtiene derechos administrativos sobre la base de datos, puede suplantar identidades, revelar o destruir datos, bloquear el acceso a la misma o provocar problemas de repudio.
6. Secuencias de comandos en sitios cruzados (XSS)
Los ataques de tipo «cross-site scripting» (XSS) aprovechan las vulnerabilidades de seguridad web inyectando scripts maliciosos en sitios web que, en principio, son fiables, con el fin de infectarlos con malware. Un ataque XSS se produce cuando una aplicación web envía código malicioso a un usuario desconocido en forma de script del navegador. Al no darse cuenta de que no deben confiar en el script, los usuarios lo ejecutan, lo que permite a los hackers acceder a las cookies y a otra información confidencial almacenada en el navegador.
¿Cómo reducir el riesgo de los vectores de ataque?
Los ciberataques pueden detenerse de raíz si las empresas siguen protocolos de seguridad estrictos. Esto es especialmente importante teniendo en cuenta los entornos de trabajo a distancia e híbridos en los que operamos hoy en día. A continuación, te presentamos algunas prácticas de seguridad fundamentales que te ayudarán a ir un paso por delante de los ciberdelincuentes, al tiempo que facilitan el trabajo de tus técnicos informáticos.
1. Utiliza contraseñas seguras y medidas de seguridad para tus credenciales
Es tedioso tener que recordar tantas contraseñas. Una simple combinación de tu nombre y tu fecha de nacimiento puede parecer práctica, pero desde luego no es la mejor opción. Crear una contraseña segura es mucho más fácil que averiguar cómo recuperarse de un ciberataque.
Aquí tienes algunos consejos para crear contraseñas seguras:
• Los nombres de usuario y las contraseñas deben ser complejos y cambiarse con frecuencia
• No utilices las mismas credenciales en varias aplicaciones y sistemas
• La autenticación de dos factores (2FA) es imprescindible
2. Mantener un cifrado de datos sólido
Los empleados utilizan múltiples dispositivos móviles y redes para intercambiar información empresarial. Esto es inevitable. Una herramienta de cifrado potente que utilice claves de 192 y 256 bits para cifrar los datos es una excelente forma de combatir las amenazas de los ciberdelincuentes.
3. Actualice los sistemas e instale parches con regularidad
A los ciberdelincuentes les encanta aprovechar las vulnerabilidades de los programas sin parches para lanzar ataques de día cero. Además, siguen aprovechando la vulnerabilidad durante meses, lo que provoca daños irreversibles. Al utilizar Kaseya VSA, puedes automatizar la gestión de parches y proporcionar a tu empresa una capa adicional de seguridad. Las organizaciones pueden reducir la probabilidad de sufrir brechas de seguridad en un 41 % si implementan los parches con prontitud.
¿Sabías que los problemas de coordinación entre equipos hacen que muchas organizaciones pierdan unos 12 días al implementar un parche? VSA permite crear perfiles de políticas para la aprobación, revisión o rechazo de las actualizaciones de parches.
4. Formación sobre phishing y cibersensibilización
Los ciberdelincuentes pueden aprovechar las vulnerabilidades humanas para lanzar ciberataques a gran escala y paralizar las operaciones de las empresas. Forma regularmente a tus empleados para que estén atentos a vectores de ataque como correos electrónicos de phishing o sitios web falsos, de modo que sean más agudos a la hora de detectarlos.
5. Revisar las configuraciones de seguridad
Crear una infraestructura de ciberseguridad sólida es el primer paso en la lucha contra la creciente delincuencia cibernética. No obstante, mantener la disponibilidad de la infraestructura y corregir periódicamente todas las vulnerabilidades es una tarea sin fin. Las auditorías de seguridad deben realizarse al menos una vez al trimestre, y contar con un auditor externo para llevarlas a cabo garantizará que no se pase nada por alto.
6. Políticas BYOD herméticas
Estamos entrando en una era de trabajo a distancia e híbrido. Como resultado, las empresas están adoptando la cultura «trae tu propio dispositivo» (BYOD), ya que se ha demostrado que aumenta la productividad y la satisfacción de los empleados. Sin embargo, si las políticas de BYOD no son seguras, podrían abrir la puerta a que los ciberdelincuentes penetren en la infraestructura de una empresa. Es posible proteger tu información frente a los ciberdelincuentes almacenándola en un entorno de nube seguro o en un servidor y permitiendo el acceso solo a los dispositivos conectados a una VPN.
Minimice los riesgos derivados de los vectores de ataque con Kaseya
Para proteger a tus empleados y a tu empresa frente a ciberataques complejos, necesitas contar con las herramientas de seguridad más avanzadas.
Aunque las soluciones antivirus (AV), antimalware (AM) y de cortafuegos son esenciales, solo constituyen la primera línea de defensa contra la ciberdelincuencia. Aquí es donde entra en juego Kaseya VSA, una solución unificada de supervisión y gestión remota (uRMM) de primera línea que le permite gestionar las funciones básicas de seguridad informática desde un único panel de control.
VSA te ayuda a garantizar que los parches de seguridad se implementen a tiempo, reduciendo así la superficie de ataque. Además, ofrece una visión completa de los activos de TI, permite gestionar las copias de seguridad y mantiene la seguridad de los dispositivos finales mediante el uso de las soluciones antivirus y de gestión de amenazas más actuales. También te beneficiarás de las funciones de seguridad integradas en Kaseya VSA, como la autenticación de dos factores, que te permite mejorar la eficiencia de TI.
Contar con la herramienta adecuada a su lado le permite supervisar los activos informáticos 24 horas al día, 7 días a la semana, así como identificar y abordar cualquier actividad sospechosa en tiempo real. Para obtener más información, solicite una demostración gratuita hoy mismo.
