La identidad es el nuevo campo de batalla

Los ciberataques por parte de actores de estado nación están aumentando. A pesar de sus vastos recursos, estos adversarios suelen recurrir a tácticas sencillas para robar contraseñas fáciles de adivinar. De este modo, pueden acceder rápida y fácilmente a las cuentas de los clientes. En el caso de los ataques a empresas, penetrar en la red de una organización permite a los agentes de un estado nación hacerse con un punto de apoyo que pueden utilizar para moverse verticalmente, a través de usuarios y recursos similares, u horizontalmente, obteniendo acceso a credenciales y recursos más valiosos.

El phishing de objetivo definido, los ataques de ingeniería social y las difusiones de contraseñas a gran escala son tácticas básicas que utilizan los actores de estado nación para robar o adivinar contraseñas. Microsoft obtiene información sobre la táctica y el éxitos de los atacantes observando las tácticas y técnicas en las que invierten y tienen éxito. Si las credenciales de los usuarios se administran mal o se dejan vulnerables sin medidas de protección cruciales como la autenticación multifactor (MFA) y las características sin contraseña, los estados nación seguirán utilizando las mismas tácticas simples.

La necesidad de imponer la adopción de la AMF o el paso a la autenticación sin contraseña es incuestionable, ya que la sencillez y el bajo coste de los ataques centrados en la identidad los hacen cómodos y eficaces para los actores. Aunque la MFA no es la única herramienta de administración de identidad y acceso que deben utilizar las organizaciones, puede constituir un poderoso elemento disuasorio frente a los ataques.

Abusar de las credenciales es una costumbre de NOBELIUM, un estado nación adversario vinculado a Rusia. Sin embargo, otros adversarios, como DEV 0343, vinculado a Irán, también confían en las difusiones de contraseña. La actividad del DEV-0343 se ha observado en empresas de defensa que fabrican radares de uso militar, tecnología de drones, sistemas de satélites y sistemas de comunicación de respuesta a emergencias. Otras actividades se han centrado en los puertos de entrada regionales del golfo Pérsico y en varias empresas de transporte marítimo y de mercancías con actividad en Oriente Próximo.

Habilitar la autenticación multifactor: De este modo, mitigan el riesgo de que las contraseñas caigan en manos equivocadas. Mejor aún, eliminar por completo las contraseñas utilizando MFA sin contraseña.

Auditar los privilegios de las cuentas: Las cuentas con acceso privilegiado, si se secuestran, se convierten en una poderosa arma que los atacantes pueden utilizar para obtener un mayor acceso a redes y recursos. Los equipos de seguridad deben auditar con frecuencia los privilegios de acceso, aplicando el principio de conceder el privilegio mínimo para que los empleados puedan realizar su trabajo.

Revisar, reforzar y supervisar todas las cuentas de administrador del inquilino: Los equipos de seguridad deben revisar minuciosamente todos los usuarios administradores de inquilinos o las cuentas vinculadas a privilegios administrativos delegados para verificar la autenticidad de los usuarios y las actividades. A continuación, deberán deshabilitar o eliminar los privilegios administrativos delegados que no se utilicen.

Establecer y aplicar una línea base de seguridad para reducir el riesgo: Los estados nación juegan a largo plazo y disponen de la financiación, la voluntad y la escala necesarias para desarrollar nuevas estrategias y técnicas de ataque. Todas las iniciativas de refuerzo de la red que se retrasan debido al ancho de banda o a la burocracia juegan a su favor. Los equipos de seguridad deben dar prioridad a la implementación de prácticas de Confianza cero, como la MFA y las actualizaciones sin contraseña . Pueden empezar con cuentas privilegiadas para obtener protección rápidamente y luego ampliarla en fases incrementales y continuas.

La narrativa dominante parece ser que hay un gran número de nuevas amenazas de ransomware que superan las capacidades de los defensores. Sin embargo, el análisis de Microsoft demuestra que esto es incorrecto. También existe la percepción de que ciertos grupos de ransomware son una única entidad monolítica, lo que también es incorrecto. Lo que existe es una economía cibercriminal en la que los distintos actores de las cadenas de ataque mercantilizadas toman decisiones deliberadas. Se rigen por un modelo económico para maximizar el beneficio en función de cómo aprovecha cada uno la información a la que tiene acceso. El siguiente gráfico muestra cómo distintos grupos se benefician de diversas estrategias de ciberataque y de la información procedente de las vulneraciones de datos.

Comprender que el ransomware se nutre de credenciales predeterminadas o comprometidas: Como resultado, los equipos de seguridad deben acelerar las medidas de protección como la implementación de MFA sin contraseña en todas las cuentas de usuario y dar prioridad a los ejecutivos, administradores y otros roles privilegiados.

Identificar las anomalías reveladoras a tiempo para actuar: Los inicios de sesión tempranos, el movimiento de archivos y otros comportamientos que introducen el ransomware pueden parecer anodinos. No obstante, los equipos deben supervisar las anomalías y actuar con rapidez.

Tener un plan de respuesta al ransomware y realizar ejercicios de recuperación: Vivimos en la era de sincronizar y compartir en la nube, pero las copias de datos no son lo mismo que sistemas de TI y bases de datos completos. Los equipos deben visualizar y practicar cómo son las restauraciones completas.

Administrar las alertas y actuar con rapidez en la mitigación: Aunque todo el mundo teme los ataques de ransomware, los equipos de seguridad deben centrarse principalmente en reforzar las configuraciones de seguridad débiles que permiten que el ataque tenga éxito. Deben administrar las configuraciones de seguridad para que se responda adecuadamente a las alertas y detecciones.

Amenazas de puntos de conexión:
Microsoft Defender para punto de conexión bloqueó más de 9600 millones de amenazas de malware dirigidas a dispositivos de clientes empresariales y particulares, entre enero y diciembre de 2021.

Amenazas por correo electrónico:
Microsoft Defender para Office 365 bloqueó más de 35 700 millones de correos electrónicos de phishing y otros correos maliciosos dirigidos a clientes empresariales y particulares, entre enero y diciembre de 2021.

Amenazas de identidad:
Microsoft (Azure Active Directory) detectó y bloqueó más de 25 600 millones de intentos de secuestro de cuentas de clientes empresariales mediante fuerza bruta de contraseñas robadas, entre enero y diciembre de 2021.