¿Cuáles fueron las lecciones aprendidas en ciberseguridad en 2023?

Los sectores más vulnerables

De acuerdo con datos del Cybersecurity Defense Center de Minsait, son dos los principales sectores que han sido más impactados por las amenazas: el gubernamental y el financiero.

En el caso del primero, el 50 % de los ataques se dirigieron a organismos centralizados y descentralizados del gobierno mexicano. Uno de los incidentes con mayor resonancia fue el de Guacamaya Leaks, que logró exfiltrar información altamente confidencial de los sistemas del Ejército Nacional.

El financiero tuvo un porcentaje igual de ataques (50 %) en el periodo comprendido entre 2019 y 2023, afectando no solo a las organizaciones del sector, sino también a sus usuarios. En estos cuatro años, las entidades del sistema financiero mexicano han reportado 106 incidentes de ciberseguridad a la Comisión Nacional Bancaria y de Valores (CNBV), lo que, para autoridades y especialistas, puede ser menor a la sufrida en realidad, pues no todos los ataques se reportan.

El Índice de Riesgo de Ciberataques en México, dentro del Reporte de Estabilidad Financiera, revela que las amenazas cibernéticas más frecuentes de los últimos años incluyen la venta de información de tarjetas bancarias, código malicioso y el secuestro de datos. A los anteriores les siguen los sectores minoristas, industrial y de cadena de suministro que, en conjunto, fueron blanco de un 25 % de las amenazas.

Cabe señalar que la cadena de suministro figura por primera vez en la lista, lo que significa que las pequeñas y medianas empresas que participan en este nicho son menos maduras desde una perspectiva de ciberseguridad y tecnología a diferencia de las grandes organizaciones.

Amenazas constantes

El equipo del Cybersecurity Defense Center también ha hecho un análisis exhaustivo para identificar cuáles son las principales amenazas que se dirigen constantemente a las organizaciones del país:

• Ransomware. Esta amenaza no solamente sigue creciendo, sino que también evoluciona continuamente. El ransomware contemporáneo busca tanto cifrar la información, como extraerla en grandes cantidades. Para las organizaciones mexicanas, esto representa un enorme desafío, pues los ciberdelincuentes pueden hacerse con su información y con la de sus clientes, proveedores, empleados, así como sus estados financieros, poniendo en grave riesgo su reputación y continuidad. El Cybersecurity Defense Center da cuenta de que el 64 % de la actividad sospechosa fue ransomware.
• Amenazas persistentes avanzadas (APT). Las amenazas de esta naturaleza representaron, en 2023, el 17 % de las actividades maliciosas registradas. Desafortunadamente, muchas empresas mexicanas no cuentan aún con el nivel de madurez suficiente para detectarlas, e incluso no dimensionan el nivel de riesgo que representan. Los creadores de APT se caracterizan por estudiar a detalle el negocio de la organización, su cadena de suministro, su estructura tecnológica y coludirse con insiders para estructurar un ataque APT efectivo.
• Botnets. Las botnets que toman el control de los equipos críticos de la organización de manera remota conformaron el 10,5 % de las amenazas, colocándolas en el tercer lugar del grupo.

Impacto y cifras

El impacto de estas amenazas no es mínimo, y exige acciones concretas y más efectivas para combatirlas. Si bien hay industrias más reguladas, como la financiera, donde el marco normativo exige implementar mecanismos de protección y ciberseguridad bastante estrictos,y que tardarán en permear a otros, esta no debería ser una condición para implementar controles de protección robustos y adaptados a la realidad de cada sector.

En este sentido, conocer por dónde pueden penetrar los ataques es de enorme utilidad y es conveniente para la creación de una estrategia integral de ciberseguridad, así como en las acciones de detección y respuesta.

El Cybersecurity Defense Center ha recopilado información sobre los vectores de ataque más utilizados por los ciberdelincuentes para penetrar en una organización, y los resultados han sido los siguientes:

1. Con el 44 %, el phishing fue uno de los vectores de ataque mediante los cuales se comprometieron los activos de las organizaciones mexicanas, con una tasa de éxito cercana al 100 %.
2. La explotación de vulnerabilidades no conocidas ocupó la segunda posición, con 24 %, como el vector utilizado con mayor frecuencia en México. Los grandes fabricantes de software se esfuerzan por minimizar las vulnerabilidades, pero las empresas no actualizan ni aplican los parches que se les proporciona, lo que deja abierta la puerta a los atacantes para materializar sus amenazas.
3. El 10 % de los intentos de ciberataques utilizó software malicioso en sus distintas formas. De los más populares fueron los troyanos. A diferencia de hace dos décadas, este malware no penetra un equipo a través de un medio extraíble; hoy lo hace usando aplicaciones descargables, muchas de ellas gratuitas, que son aprovechadas por los delincuentes para acceder, mediante saltos laterales, a los activos de la organización.

Lockbit, MarioLocker, Black Hat SEO y Lazarus son grupos dedicados al desarrollo de ataques de campañas de software que aprovechan las amenazas y vectores mencionados anteriormente. Sus integrantes ya no buscan el prestigio ni el renombre; se trata de grandes agrupaciones con alcance global y fondeo internacional, cuyo poder de captación de nuevos recursos tecnológicos, humanos y aliados al interior de las empresas crece exponencialmente.

Antes de concluir, vale la pena echar un vistazo a algunas de las cifras que el Cybersecurity Defense Center ha recopilado, las cuales nos dan una dimensión más objetiva y amplia del entorno actual de amenazas en el que operan las empresas mexicanas. A lo largo de 2023, se detectaron:

• Más de 153 mil campañas de ransomware;
• Más de 25 campañas de botnets;
• Más de 41 campañas de APT;
• 13 campañas de phishing;
• Más de 2.621 vulnerabilidades detectadas, de las cuales el 50 % fueron de alto riesgo y el 15 % fueron críticas;
• Microsoft reportó 877 vulnerabilidades;
• Navegadores web como Chrome, Firefox y Edge identificaron 423 vulnerabilidades;
• Linux, Oracle y Red Hat tuvieron 292, 219 y 212 vulnerabilidades, respectivamente.

En un contexto de transformación digital acelerada, las amenazas cibernéticas no dan tregua. La colaboración entre empresas, proveedores de servicios y desarrolladores es esencial para crear un entorno de protección efectivo. La realidad en México refleja la situación global, donde la ciberseguridad se vuelve imperativa. No bajar la guardia y adaptarse a las lecciones aprendidas es crucial para salvaguardar la integridad de las organizaciones en el paisaje digital actual.

Sobre el autor: Erik Moreno es director de Ciberseguridad de Minsait, una empresa de Indra, en México. En los últimos años, se ha especializado en el diseño y la entrega de proyectos de ciberseguridad contemplando nuevas amenazas y tecnologías, definición de proyectos e iniciativas, estimando esfuerzos humanos, tecnológicos y económicos acorde al nivel de protección y visión de riesgos que requieren las organizaciones, así como modelos de gobierno y control. Cuenta con 15 años de experiencia asesorando a organizaciones en decisiones estratégicas de seguridad, implementado mejoras operativas y tecnológicas en compañías de industrias como telecomunicaciones, energía, banca, TI, comercio electrónico y del sector gubernamental. Es licenciado en informática por la Universidad La Salle de México.