La pandemia marcó un antes y un después en referencia a la seguridad de las TIs, según un último informe realizado por Sophos. Durante ese periodo, aumentaron el número de ciberataques, requiriendo mayores habilidades y conocimiento en seguridad para hacer frente a esa situación. A pesar de los retos provocados por la pandemia, el 52% de los equipos de TI encuestados afirman que la moral del equipo aumentó durante 2020. La encuesta se ha realizado con 5.400 responsables de la toma de decisiones de TI en empresas medianas en 30 países de Europa, las Américas, Asia-Pacífico y Asia-Central, Oriente Medio y África.
Entre los principales resultados de la encuesta internacional “El Equipo de Seguridad TI: 2021 y más allá” destacan:
- La carga de trabajo de los equipos de TI aumentó en un 63%, mientras que los equipos de ciberseguridad experimentaron un aumento del 69% a medida que la tecnología se posicionó como el principal facilitador para las empresas dispersas y digitales.
- Los atacantes fueron rápidos aprovechando las oportunidades que presentó la pandemia: el 61% de los equipos de TI informaron de un aumento en el número de ciberataques registrados por sus empresas en el transcurso del 2020.
- El aumento de la carga de trabajo de seguridad y en el número de ciberataques permitió a los equipos de TI desarrollar sus habilidades y conocimiento en ciberseguridad. Gran parte de este desarrollo profesional ha sido adquirido de manera informal, aprendiendo en el trabajo a medida que los equipos se enfrentaban a las nuevas demandas de seguridad y tecnología, a menudo bajo una intensa presión y lejos de su lugar de trabajo habitual.
- Enfrentarse a los retos juntos, aumentó la moral del equipo. Más de la mitad (52%) de los equipos de TI encuestados afirmó que la moral del equipo creció durante el 2020. En muchos casos, la moral pareció aumentar en consonancia con una mayor carga de trabajo y ataques más intensos. Por ejemplo, las víctimas de ransomware son considerablemente más propensas a haber experimentado un aumento en la moral del equipo que aquellos que no fueron atacados (60% versus 47%). Los resultados sugieren que un propósito compartido, un sentido de valor y enfrentar la adversidad juntos ayudaron a unir y levantar sus ánimos.
- Las experiencias del 2020 han alimentado la ambición por equipos de TI más grandes y por utilizar herramientas avanzadas como Inteligencia Artificial (IA) en las futuras estrategias tecnológicas. Muchas empresas han entrado en 2021 con planes para aumentar el tamaño tanto en los equipos de TI internos como externalizados, y para aprovechar el potencial de las tecnologías y herramientas avanzadas. La encuesta revela que el 68% de los equipos de TI anticipan un incremento del staff de seguridad de TI interno para el 2023, y el 56% esperan que el número de personal de seguridad externo aumente en el mismo periodo. Una abrumadora mayoría (92%) espera que la IA ayude a hacer frente al creciente número y/o la complejidad de las amenazas. Esto podría deberse en parte al hecho de que el 54% de los equipos de TI cree que los ciberataques son ahora demasiado avanzados para que el equipo interno los enfrente en solitario.
Los ciberatacantes pasan 11 días de media en la red de la víctima antes de ser detectados
Así lo muestra el “Playbook de Adversarios Activos 2021” elaborado por Sophos y que detalla el comportamiento de los ciberdelincuentes y las herramientas, técnicas y procedimientos (TTPs) que los cazadores de amenazas y equipos de respuesta ante incidentes de primera línea de Sophos han detectado durante el 2020. Los resultados muestran que el tiempo medio de permanencia de los atacantes en la red de la víctima antes de ser detectados fue de 11 días (o 264 horas), un margen de tiempo elevado teniendo en cuenta que, actividades maliciosas como los movimientos laterales, la descarga de credenciales o la exfiltración de datos se realizan en cuestión de minutos o, como mucho, algunas horas. La irrupción más larga no detectada duró 15 meses.
En el 69% de los ataques se utilizó el Protocolo de Escritorio Remoto (RDP) para realizar movimientos laterales dentro de la red. Las medidas de seguridad de RDP, como las VPNs y la autenticación multifactor tienden a enfocarse en la protección de los accesos externos. Sin embargo, no funcionan si el atacante ya está dentro de la red. Sophos ha observado cómo el uso de RDP para movimientos laterales internos es cada vez más común en los ataques activos con teclado, como ocurre en el caso del ransomware. Los ataques de ransomware estuvieron implicados en el 81% de los ciberataques investigados por los equipos de Sophos.
El Playbook revela también interesantes correlaciones entre las principales herramientas que se han detectado más a menudo en las redes de las víctimas. La detección de estas herramientas utilizadas por los ciberatacantes puede servir como una alerta temprana de un ataque inminente o confirmar la presencia de un ataque activo. Por ejemplo, cuando se usa PowerShell en un ataque, también se observa el uso de Cobalt Strike en el 58% de los casos, de PsExec en el 49%, Mimikatz en el 33% y GMER en el 19%. Por su parte Cobalt Strike y PsExec son usados conjuntamente en el 27% de los ataques investigados.
