Anatomía de una superficie expuesta a ataques en la actualidad

Para la mayoría de organizaciones, el correo electrónico es una parte esencial de sus operaciones empresariales diarias. Por desgracia, el correo electrónico sigue siendo el principal vector de amenaza. El 35 % de los incidentes de ransomware en 2022 implicaron el uso de correo electrónico.⁴ Los atacantes utilizan el correo electrónico más que nunca: en 2022, la tasa de ataques de phishing aumentó en un 61 % con respecto al 2021^.5

Actualmente, los atacantes también aprovechan con frecuencia los recursos legítimos para llevar a cabo ataques de phishing. Esto hace que sea aún más difícil para los usuarios diferenciar entre los correos electrónicos reales y los malintencionados, lo que aumenta la probabilidad de que una amenaza consiga colarse. Los ataques de phishing de consentimiento son un ejemplo de esta tendencia, en la que los actores de amenaza abusan de proveedores de nube legítimos para engañar a sus usuarios para que concedan permisos para acceder a datos confidenciales.

Sin la capacidad de correlacionar las señales de correo electrónico con incidentes más amplios y visualizar los ataques, puede llevar mucho tiempo detectar un actor de amenaza que ha conseguido entrar mediante correo electrónico. Y, para ese momento, puede ser demasiado tarde para prevenir el daño. El tiempo medio necesario para que un atacante acceda a los datos privados de una organización es solo 72 minutos.⁶ Esto puede llevar a pérdidas considerables a nivel empresarial. La puesta en peligro de correo empresarial tuvo un coste estimado de 2 400 millones de USD en pérdidas ajustadas en 2021.⁷

En el mundo conectado a la nube actual, proteger el acceso se ha vuelto más crítico que nunca. Como resultado, es esencial comprender mejor la identidad en tu organización, incluidos los permisos de cuentas de usuario, las identidades de carga de trabajo y sus posibles vulnerabilidades , sobre todo a medida que los ataques aumentan en frecuencia y creatividad.

La estimación de ataques de contraseña aumentó a 921 por segundo en 2022, un aumento del 74 % con respecto a 2021.⁸ En Microsoft, también hemos observado que los actores de amenaza se vuelven más creativos para eludir la autenticación multifactor (MFA), utilizando técnicas como los ataques de phishing de tipo "adversary-in-the-middle" y el abuso de tokens para obtener acceso a los datos de las organizaciones. Los kits de phishing han facilitado aún más el robo de credenciales a los actores de amenaza. La Unidad de Delitos Digitales de Microsoft ha observado un aumento en la sofisticación de los kits de phishing durante el último año, junto con barreras de entrada muy bajas, por ejemplo, un vendedor ofrece kits de phishing por tan solo 6 USD al día.⁹

La gestión de la superficie expuesta a ataques de identidad va más allá de la protección de las cuentas de usuario: abarca el acceso a la nube, así como las identidades de las cargas de trabajo. Las credenciales en peligro pueden ser una herramienta poderosa para los actores de amenaza, que las utilizan para causar estragos en la infraestructura en la nube de la organización.

Dada la gran cantidad de dispositivos en el entorno híbrido actual, la protección de los puntos de conexión se ha vuelto más desafiante. Lo que no ha cambiado es que la protección de los puntos de conexión, en particular los dispositivos no administrados, es crítica para una posición de seguridad sólida, ya que incluso un elemento en peligro puede permitir que los actores de amenaza entren a tu organización.

A medida que las organizaciones han adoptado políticas de BYOD ("Bring Your Own Device", usar tu propio dispositivo), han proliferado los dispositivos no administrados. En consecuencia, la superficie expuesta a ataques de puntos de conexión ahora es más grande y está más expuesta. De media, hay 3 500 dispositivos conectados en una empresa que no están protegidos por un agente de EDR.¹¹

Los dispositivos no administrados (que forman parte del panorama de "shadow IT") son particularmente atractivos para los actores de amenaza, ya que los equipos de seguridad carecen de la visibilidad necesaria para protegerlos. Desde Microsoft hemos determinado que los usuarios tienen un 71 % más de posibilidades de infectarse en un dispositivo no administrado.¹² Dado que se conectan a las redes de la empresa, los dispositivos no administrados también ofrecen oportunidades para que los atacantes inicien ataques más amplios contra servidores y otras infraestructuras.

Los servidores no administrados también son vectores potenciales para los ataques de puntos de conexión. En 2021, Seguridad de Microsoft observó un ataque en el que un actor de amenaza se aprovechó de un servidor sin revisiones, navegó por los directorios y descubrió una carpeta de contraseñas que le proporcionó acceso a las credenciales de la cuenta.

Uno de los vectores de ataque de puntos de conexión que más se pasan por alto es el IoT (Internet de las cosas), que incluye miles de millones de dispositivos, tanto grandes como pequeños. La seguridad del IoT abarca los dispositivos físicos que se conectan a la red e intercambian datos con ella, como enrutadores, impresoras, cámaras y otros dispositivos similares. También puede incluir dispositivos operativos y sensores ("OT" o tecnología de operaciones), como equipos inteligentes en las líneas de producción de fabricación.

A medida que crece el número de dispositivos de IoT, también lo hace el número de vulnerabilidades. IDC predice que, para 2025, 41 000 millones de dispositivos de IoT estarán presentes en entornos empresariales y de consumo.¹⁵ Dado que muchas organizaciones están reforzando los enrutadores y las redes para que sean más difíciles que los actores de amenaza las vulneren, los dispositivos IoT se están convirtiendo en un objetivo más fácil y atractivo. A menudo hemos visto a los actores de amenaza aprovechar vulnerabilidades para convertir los dispositivos IoT en proxies, utilizando un dispositivo expuesto como punto de entrada a la red. Una vez que un actor de amenaza ha obtenido acceso a un dispositivo de IoT, puede supervisar el tráfico de red en busca de otros recursos desprotegidos, moverse lateralmente para infiltrarse en otras partes de la infraestructura de su objetivo o realizar un reconocimiento para planificar ataques a gran escala en equipos y dispositivos confidenciales. En un estudio, el 35 % de los profesionales de la seguridad indicaron que en los últimos 2 años se utilizó un dispositivo de IoT para llevar a cabo un ataque más amplio a su organización.¹⁶

Desafortunadamente, el IoT es a menudo una caja negra para las organizaciones en términos de visibilidad, y muchas carecen de medidas de seguridad adecuadas para el IoT. El 60 % de los expertos de seguridad citaron la seguridad del IoT y la OT como uno de los aspectos menos protegidos de su infraestructura de TI y OT.¹⁷

Hoy en día la superficie expuesta a ataques externa de una organización ocupa varias nubes, cadenas de suministro digitales complejas y ecosistemas masivos de terceros. Internet es ahora parte de la red y, a pesar de su tamaño casi inconmensurable, los equipos de seguridad deben defender la presencia de su organización en Internet en la misma medida que todo lo que hay detrás de sus firewalls. Y, a medida que más organizaciones adoptan los principios de Confianza cero, la protección de las superficies expuestas a ataques internas y externas se ha convertido en un reto a escala de Internet.

La superficie expuesta a ataques globales crece con Internet y se amplía cada día. En Microsoft, hemos visto pruebas de este aumento en muchos tipos de amenazas, como los ataques de phishing. En 2021, la Unidad de Delitos Digitales de Microsoft ordenó la eliminación de más de 96 000 URL de phishing únicas y 7 700 kits de phishing, lo que llevó a la identificación y cierre de más de 2 200 cuentas de correo electrónico malintencionadas utilizadas para recopilar credenciales de clientes robadas.²⁴

La superficie expuesta a ataques externa se extiende mucho más allá de los propios activos de una organización. A menudo incluye proveedores, socios, dispositivos personales no administrados de empleados conectados a redes o recursos de la empresa, y organizaciones recién adquiridas. En consecuencia, es fundamental estar al tanto de las conexiones externas y la exposición para mitigar las posibles amenazas. Un informe de Ponemon de 2020 reveló que el 53 % de las organizaciones habían experimentado al menos una filtración de datos causada por un tercero en los últimos 2 años, con un coste de corrección de 7,5 millones de USD.²⁵

A medida que aumenta la infraestructura detrás de los ciberataques, obtener visibilidad de la infraestructura de amenazas y hacer un inventario de los recursos expuestos a Internet se ha vuelto más urgente que nunca. Hemos descubierto que las organizaciones a menudo tienen dificultades para comprender el alcance de su exposición externa, lo que resulta en puntos ciegos significativos. Estos puntos ciegos pueden tener consecuencias devastadoras. En 2021, el 61 % de las empresas experimentaron un ataque de ransomware que llevó a al menos una interrupción parcial de las operaciones comerciales.²⁶

En Microsoft, a menudo les decimos a los clientes que vean su organización desde afuera hacia adentro al evaluar la posición de seguridad. Más allá de la VAPT (Evaluación de vulnerabilidades y pruebas de penetración), es importante obtener visibilidad considerable de la superficie expuesta a ataques externa para poder identificar vulnerabilidades en todo el entorno y ecosistema extendido. Si fueras una atacante que intenta entrar, ¿qué podrías aprovechar? Comprender el alcance total de la superficie expuesta a ataques externa de la organización es fundamental para protegerla.

Cómo puede ayudar Microsoft

El panorama actual de amenazas cambia constantemente y las organizaciones necesitan una estrategia de seguridad que pueda mantenerse al día. El aumento de la complejidad y la exposición de las organizaciones, junto con un alto volumen de amenazas y una baja barrera de entrada en la economía de los ciberdelitos, hacen que sea más urgente que nunca proteger cada aspecto interno y externo de las superficies expuestas a ataques.

Los equipos de seguridad necesitan una inteligencia sobre amenazas eficaz para defenderse de las innumerables y cambiantes amenazas actuales. La inteligencia sobre amenazas adecuada pone en correlación las señales de diferentes lugares, lo que proporciona un contexto oportuno y relevante sobre el comportamiento y las tendencias actuales de los ataques para que los equipos de seguridad puedan identificar con éxito las vulnerabilidades, dar prioridad a las alertas e interrumpir los ataques. Y si se produce una infracción, la inteligencia sobre amenazas es fundamental para evitar más daños y mejorar las defensas para que no vuelva a ocurrir un ataque similar. En pocas palabras, las organizaciones que aprovechen más la inteligencia sobre amenazas estarán más seguras y tendrán más éxito.

Microsoft tiene una visión sin igual del panorama de amenazas en evolución, con 65 billones de señales analizadas diariamente. Al poner en correlación estas señales en tiempo real en todas las superficies de ataque, la inteligencia sobre amenazas integrada en las soluciones de seguridad de Microsoft proporciona información sobre el creciente entorno de ransomware y amenazas, lo que te permitirá ver y detener más ataques. Y con las capacidades avanzadas de IA, como Seguridad de Microsoft Copilot, puedes adelantarte a las amenazas en evolución y defender tu organización a la velocidad de una máquina, lo que permite a tu equipo de seguridad simplificar lo complejo, detectar lo que otros pasan por alto y proteger todo.