Proteger la superficie expuesta a ataques externos

Cinco elementos que las organizaciones deberían supervisar

El mundo de la ciberseguridad cada vez se hace más complejo, ya que las organizaciones se desplazan a la nube y al trabajo descentralizado. Hoy en día la superficie expuesta a ataques externa ocupa varias nubes, cadenas de suministro digitales complejas y ecosistemas masivos de terceros. En consecuencia, la enorme escala de las incidencias en la seguridad mundial, ahora comunes, ha cambiado radicalmente nuestra percepción de la seguridad integral.

Internet ya forma parte de la red. A pesar de su tamaño casi inconmensurable, los equipos de seguridad deben defender la presencia de su organización en Internet en la misma medida que todo lo que hay detrás de sus firewalls. A medida que más organizaciones adoptan los principios de Confianza cero, la protección de las superficies internas y externas se convierte en un reto a escala de Internet. Por ello, cada vez es más importante que las organizaciones conozcan el alcance total de su superficie expuesta a ataques.

Microsoft adquirió Risk IQ en 2021 para ayudar a las organizaciones a evaluar la seguridad de toda su empresa digital. Gracias al Gráfico de inteligencia de Internet de RiskIQ, las organizaciones pueden descubrir e investigar las amenazas en todos los componentes, conexiones, servicios, dispositivos conectados por IP e infraestructuras que conforman su superficie expuesta a ataques para crear una defensa resistente y escalable.

Para los equipos de seguridad, la profundidad y amplitud de lo que tienen que defender puede parecer desalentador. Sin embargo, una forma de poner en perspectiva el alcance de la superficie expuesta a ataques de su organización es pensar en Internet desde el punto de vista de un atacante. Este artículo destaca cinco áreas que ayudan a enmarcar mejor los retos de una administración eficaz de la superficie expuesta a ataques externos.

La superficie expuesta a ataques globales crece con Internet

Y crece cada día. En 2020, la cantidad de datos en Internet alcanzará los 40 zettabytes, o 40 billones de gigabytes.¹ RiskIQ descubrió que cada minuto, 117 298 hosts y 613 dominios² se añaden a los numerosos subprocesos entrelazados que componen el intrincado tejido de la superficie expuesta a ataques. Cada uno de ellos contiene un conjunto de elementos, como sus sistemas operativos subyacentes, marcos, aplicaciones de terceros, complementos y código de seguimiento. Con cada uno de estos sitios de rápida proliferación que contienen este tipo de elementos, el alcance de la superficie expuesta a ataques globales aumenta exponencialmente.

hosts creados cada minuto.
dominios creados cada minuto.
375 nuevas amenazas cada minuto.²

Tanto las organizaciones legítimas como los actores de amenazas contribuyen a este crecimiento, lo que significa que las ciberamenazas aumentan a escala con el resto de Internet. Tanto las sofisticadas amenazas avanzadas persistentes (APT) como los ciberdelincuentes de poca monta amenazan la seguridad de las empresas, teniendo como objetivo sus datos, su marca, su propiedad intelectual, sus sistemas y sus personas.

En el primer trimestre de 2021, CISCO detectó 611 877 sitios únicos de phishing,³ con 32 eventos de infracción de dominio y 375 nuevas amenazas totales emergentes por minuto.² Estas amenazas tienen como objetivo a los empleados y clientes de las organizaciones con recursos fraudulentos, buscando engañarlos para que hagan clic en vínculos maliciosos y suplantando su identidad para obtener datos confidenciales, todo lo cual puede erosionar la confianza de la marca y del consumidor.

El aumento de las vulnerabilidades de los trabajadores a distancia

El rápido crecimiento de los recursos expuestos a Internet ha ampliado drásticamente el espectro de amenazas y vulnerabilidades que afectan a la organización media. Con la llegada de COVID-19, el crecimiento digital se aceleró una vez más, y casi todas las organizaciones expandieron su huella digital para dar cabida a unos recursos humanos y un modelo empresarial remotos y altamente flexibles. El resultado: los atacantes tienen ahora muchos más puntos de acceso para sondear o aprovechar.

El uso de tecnologías de acceso remoto como el RDP (Protocolo de Escritorio Remoto) y la VPN (Red privada virtual) se disparó un 41 % y un 33 %⁴ respectivamente, y la mayor parte del mundo adoptó una directiva de trabajo desde casa. El tamaño del mercado mundial de software de escritorio remoto, 1 530 millones de USD en 2019, alcanzará los 4 690 millones de USD en 2027.⁵

Decenas de nuevas vulnerabilidades en software y dispositivos de acceso remoto han dado a los atacantes puntos de apoyo que nunca antes habían tenido. RiskIQ sacó a la luz muchos casos vulnerables de los dispositivos de acceso remoto y perimetrales más populares, y el ritmo torrencial de vulnerabilidades no ha disminuido. En total, se notificaron 18 378 vulnerabilidades en 2021.⁶

crecimiento en el uso de RDP.
crecimiento en el uso de VPN.
vulnerabilidades notificadas en 2021.

Con el aumento de los ataques a escala global orquestados por múltiples grupos de amenazas y adaptados a las empresas digitales, los equipos de seguridad necesitan mitigar las vulnerabilidades propias, de terceros, de partners, de aplicaciones controladas y no controladas, y de servicios dentro y entre las relaciones de la cadena de suministro digital.

Las cadenas de suministro digitales, M&A y shadow IT crean una superficie expuesta a ataques ocultos

La mayoría de los ciberataques se originan a kilómetros de distancia de la red; las aplicaciones web constituían la categoría de vectores más comúnmente aprovechada en las infracciones relacionadas con la piratería informática. Por desgracia, la mayoría de las organizaciones carecen de una visión completa de sus recursos de Internet y de cómo esos recursos se conectan a la superficie expuesta a ataques globales. Tres importantes colaboradores de esta falta de visibilidad son las fusiones y adquisiciones (M&A), shadow IT y las cadenas de suministro digitales.

servicios expirados por minuto.²
de los acuerdos contienen la diligencia debida en materia de ciberseguridad.⁷
de las organizaciones sufrieron al menos una infracción de datos causada por un tercero.⁸

Shadow IT

Cuando el departamento de TI no puede seguir el ritmo de los requisitos de la empresa, esta busca ayuda en otra parte para desarrollar e implementar nuevos recursos web. El equipo de seguridad no suele estar al corriente de estas actividades de shadow IT y, por tanto, no puede incluir los recursos creados en el ámbito de su programa de seguridad. Los recursos no administrados y huérfanos pueden convertirse con el tiempo en un lastre en la superficie expuesta a ataques de una organización.

Esta rápida proliferación de recursos digitales fuera del firewall es ya la norma. Los nuevos clientes de RiskIQ suelen encontrar aproximadamente un 30 por ciento más de recursos de los que creían tener, y RiskIQ detecta 15 servicios caducados (susceptibles de apropiación de subdominios) y 143 puertos abiertos cada minuto.²

Fusiones y adquisiciones

Las operaciones cotidianas y las iniciativas empresariales críticas, como M&A, las asociaciones estratégicas y la subcontratación, crean y expanden las superficies expuestas a ataques externos. En la actualidad, menos del 10 % de los acuerdos a nivel mundial contienen la diligencia debida en materia de ciberseguridad.

Hay varias razones comunes por las que las organizaciones no obtienen una visión completa de los potenciales riesgos cibernéticos durante el proceso de diligencia debida. La primera es la enorme escala de la presencia digital de la empresa que están adquiriendo. No es raro que una gran organización tenga miles (o incluso decenas de miles) de sitios web activos y otros recursos expuestos públicamente. Aunque los equipos de TI y de seguridad de la empresa a adquirir tendrán un registro de recursos de sitios web, casi siempre es solo una visión parcial de lo que existe. Cuanto más descentralizadas estén las actividades informáticas de una organización, más importante será la brecha.

Cadenas de suministro

La empresa depende cada vez más de las alianzas digitales que forman la cadena de suministro moderna. Aunque estas dependencias son esenciales para operar en el siglo XXI, también crean una red desordenada, estratificada y muy complicada de relaciones con terceros, muchas de las cuales están fuera del alcance de los equipos de seguridad y riesgo para proteger y defender de forma proactiva. Como resultado, identificar rápidamente los recursos digitales vulnerables que indican riesgo es un reto enorme.

La falta de comprensión y visibilidad de estas dependencias ha hecho que los ataques a terceros sean uno de los vectores más frecuentes y eficaces para los actores de amenazas. En la actualidad, una cantidad significativa de ataques se produce a través de la cadena de suministro digital. En la actualidad, el 70 % de los profesionales de TI indicaron un nivel de dependencia de moderado a alto de entidades externas que podrían incluir terceras, cuartas o quintas partes.⁹ Al mismo tiempo, el 53 % de las organizaciones han sufrido al menos una infracción de datos causada por terceros.¹⁰

Aunque los ataques a gran escala a la cadena de suministro son cada vez más frecuentes, las organizaciones se enfrentan a diario a otros de menor envergadura. El malware de robo de tarjetas de crédito digitales como Magecart afecta a complementos de comercio electrónico de terceros. En febrero de 2022, RiskIQ detectó más de 300 dominios afectados por el malware de robo de tarjetas de crédito digitales Magecart.¹¹

Cada año, las empresas invierten más en tecnología móvil a medida que el estilo de vida del consumidor medio se centra más en ella. Los estadounidenses pasan ahora más tiempo en el móvil que mirando la televisión en directo, y el distanciamiento social hizo que migraran más de sus necesidades físicas al móvil, como las compras y la educación. App Annie muestra que el gasto en móviles creció hasta la asombrosa cifra de 170 000 millones de USD en 2021, un crecimiento interanual del 19 por ciento.¹²

Esta demanda de móviles crea una proliferación masiva de aplicaciones móviles. Los usuarios descargaron 218 000 millones de aplicaciones en 2020. Mientras tanto, RiskIQ observó un crecimiento global del 33 % en las aplicaciones móviles disponibles en 2020, con la aparición de 23 cada minuto.²

crecimiento de las aplicaciones móviles.
aplicaciones móviles aparecen cada minuto.
aplicación bloqueada cada cinco minutos.²

Para las organizaciones, estas aplicaciones impulsan los resultados empresariales. Sin embargo, pueden ser un arma de doble filo. El panorama de las aplicaciones es una parte significativa de la superficie expuesta a ataques de una empresa que existe más allá del firewall, donde los equipos de seguridad a menudo sufren una falta crítica de visibilidad. Los actores de amenazas se han ganado la vida aprovechándose de esta miopía para desarrollar "aplicaciones fraudulentas" que imitan a marcas conocidas o pretenden ser algo que no son, diseñadas para engañar a los clientes y hacer que las descarguen. Una vez que un usuario desprevenido descarga estas aplicaciones maliciosas, los actores de amenazas pueden salirse con la suya, suplantando información confidencial o cargando malware en los dispositivos. RiskIQ bloquea una aplicación móvil maliciosa cada cinco minutos.

Estas aplicaciones fraudulentas aparecen en las tiendas oficiales en raras ocasiones, incluso infringiendo las sólidas defensas de las principales tiendas de aplicaciones. Sin embargo, cientos de tiendas de aplicaciones de menor reputación representan un turbio submundo móvil fuera de la relativa seguridad de las tiendas reputadas. Las aplicaciones de estas tiendas están mucho menos reguladas que las tiendas de aplicaciones oficiales, y algunas están tan plagadas de aplicaciones maliciosas que superan en número a sus ofertas seguras.

La superficie expuesta a ataques globales también forma parte de la superficie de ataque de una organización

En la actualidad, la superficie expuesta a ataques en Internet se ha transformado drásticamente en un ecosistema dinámico, global y completamente entrelazado del que todos formamos parte. Si tienes presencia en Internet, te interconectas con todo el mundo, incluidos los que quieren hacerte daño. Por esta razón, el seguimiento de la infraestructura de amenazas es tan importante como el seguimiento de tu propia infraestructura.

nuevos programas de malware se detectan cada día.²
de aumento de las variantes de malware.¹³
servidor de Cobalt Strike cada 49 minutos.²

Diferentes grupos de amenazas reciclarán y compartirán infraestructuras (IP, dominios y certificados) y usarán herramientas básicas de origen abierto, como malware, kits de suplantación de identidad y componentes C2 para evitar su fácil atribución, ajustándolos y mejorándolos para adaptarlos a sus necesidades únicas.

Cada día se detectan más de 560 000 nuevos programas de malware, y el número de kits de suplantación de identidad anunciados en los marketplaces clandestinos del ciberdelito se duplicó entre 2018 y 2019. En 2020, el número de variantes de malware detectadas aumentó un 74 %.¹⁴ RiskIQ detecta ahora un servidor de Cobalt Strike C2 cada 49 minutos.

Tradicionalmente, la estrategia de seguridad de la mayoría de las organizaciones ha sido un planteamiento de defensa en profundidad, empezando por el perímetro y volviendo a los recursos que deberían estar protegidos. Sin embargo, hay desconexiones entre ese tipo de estrategia y la superficie expuesta a ataques, como se presenta en este informe. En el mundo actual de la participación digital, los usuarios se encuentran fuera del perímetro, al igual que un número cada vez mayor de recursos digitales corporativos expuestos y muchos de los actores maliciosos. Aplicar los principios de Confianza cero a todos los recursos de la empresa puede ayudar a proteger a los trabajadores de hoy en día, protegiendo a las personas, los dispositivos, las aplicaciones y los datos, independientemente de su ubicación o de la magnitud de las amenazas a las que se enfrenten. Seguridad de Microsoft ofrece una serie de herramientas de evaluación específicas para ayudarte a evaluar la fase de madurez de Confianza cero de tu organización.

[1]

https://go.microsoft.com/fwlink/?linkid=2262595
[2]

RiskIQ Evil Internet Minute, 2021
[3]

https://go.microsoft.com/fwlink/?linkid=2262596
[4]

https://go.microsoft.com/fwlink/?linkid=2262731
[5]

https://go.microsoft.com/fwlink/?linkid=2262712
[6]

https://go.microsoft.com/fwlink/?linkid=2262569
[7]

https://go.microsoft.com/fwlink/?linkid=2262823
[8]

https://go.microsoft.com/fwlink/?linkid=2262805
[9]

https://go.microsoft.com/fwlink/?linkid=2262476
[10]

https://go.microsoft.com/fwlink/?linkid=2262477
[11]

https://go.microsoft.com/fwlink/?linkid=2262597
[12]

https://go.microsoft.com/fwlink/?linkid=2262920
[13]

https://go.microsoft.com/fwlink/?linkid=2262355

Superficie expuesta a ataques Resiliencia cibernética Vulnerabilidades

Anatomía de la superficie expuesta a ataques externos

Cinco elementos que las organizaciones deberían supervisar

La superficie expuesta a ataques globales crece con Internet

La superficie expuesta a ataques globales crece cada minuto

El aumento de las vulnerabilidades de los trabajadores a distancia

Un nuevo panorama de vulnerabilidades

Las cadenas de suministro digitales, M&A y shadow IT crean una superficie expuesta a ataques ocultos

Dependencias en riesgo

Shadow IT

Fusiones y adquisiciones

Cadenas de suministro

Las tiendas de aplicaciones son una superficie expuesta a ataques cada vez mayor

La superficie expuesta a ataques globales también forma parte de la superficie de ataque de una organización

La superficie expuesta a ataques globales forma parte de la superficie de ataque de una organización

Artículos relacionados

Minuto de ciberamenaza

Durante un ciberataque, cada segundo cuenta. Para ilustrar la escala y el alcance del ciberdelito en todo el mundo, hemos condensado la investigación sobre ciberseguridad de todo un año en un periodo de 60 segundos.

Ransomware como servicio

El nuevo modelo de negocio del ciberdelito, los ataques operados por humanos, anima a delincuentes de distintas habilidades.

El crecimiento del IoT y el riesgo de la tecnología de operaciones

La circulación cada vez mayor del IoT está poniendo en riesgo la OT, con un conjunto de vulnerabilidades potenciales y exposiciones a agentes malintencionados. Descubre cómo mantener protegida tu organización.