Marty Roesch

Esta incapacidad para hacer frente al ransomware se debe principalmente al amplio margen de actuación de los adversarios resultado de una frágil infraestructura, redes infectadas y un lento ratio de detección. En este sentido, la escasa visibilidad a lo largo de la red y de los terminales es un grave problema: de media, las organizaciones tardan hasta 200 días en identificar nuevas amenazas.

Una detección más rápida de las amenazas es algo esencial para limitar el espacio operativo de los atacantes y minimizar el daño derivado de las intrusiones. En los seis primeros meses de 2016, Cisco ha logrado reducir el tiempo medio de detección de amenazas desconocidas hasta cerca de 13 horas (desde las 17,5 horas de media en octubre de 2015), superando así ampliamente la media de la industria de 200 días.

A medida que los atacantes innovan, las organizaciones siguen teniendo problemas para mantener la seguridad de sus dispositivos y sistemas. Los sistemas descatalogados y no actualizados crean oportunidades adicionales para los atacantes, incluyendo un acceso sencillo, una mejor capacidad de ocultación y la posibilidad de maximizar los daños y los beneficios, una situación que se repite a escala global.

Para Marty Roesch, vicepresidente y arquitecto jefe de Seguridad en Cisco, “a medida que las organizaciones adoptan nuevos modelos de negocio como resultado de la transformación digital y que las ciberamenazas se vuelven más sofisticadas y rentables, la seguridad es el componente más crítico”.

“Los atacantes permanecen sin detectar y están ampliando su tiempo para operar. Para cerrar esta ventana de oportunidad, las organizaciones deben reforzar su visibilidad de red y mejorar procesos como el parcheo o la retirada de la infraestructura obsoleta”.

El malware más rentable

Hasta la fecha, el ransomware se ha convertido en el tipo de malware más rentable de la historia. Cisco espera que esta tendencia continúe incluso con malware de este tipo aún más destructivo, capaz de extenderse por sí mismo y secuestrar redes enteras y, por tanto, organizaciones.

Asimismo, nuevas cepas de ransomware modular podrán cambiar sus tácticas rápidamente para maximizar su eficacia. Por ejemplo, los futuros ataques ocultarán su detección limitando el uso de CPU y evitando acciones ‘command-and-control’. Estas nuevas cepas de ransomware se extenderán con mayor rapidez y se auto-replicarán en las organizaciones antes de poder limitarlas.

Mientras las organizaciones de sectores críticos como atención sanitaria han experimentado un significativo incremento de los ataques en los últimos meses, el Informe señala que todos los segmentos verticales y países son objetivo del malware. Organizaciones benéficas, ONGs y plataformas de comercio electrónico se han enfrentado a un mayor número de ataques en la primera mitad de 2016.

Igualmente, los problemas geopolíticos incluyendo la complejidad regulatoria y las contradictorias políticas de ciber-seguridad de los países complican aún más esta situación. La necesidad de controlar los datos podría limitar y poner en riesgo el comercio internacional ante un escenario de amenazas cada vez más sofisticado.

Atacantes que operan sin restricciones

Para los atacantes, un mayor tiempo para operar sin ser detectados supone mayores beneficios, que durante la primera mitad de 2016 han crecido exponencialmente debido a:

• Foco ampliado - Los atacantes están ampliando su foco pasando de explotar vulnerabilidades en dispositivos cliente a ataques dirigidos a los servidores, evitando su detección y maximizando el daño y los beneficios potenciales.
• Las vulnerabilidades de Adobe Flash siguen siendo uno de los principales objetivos del malvertising y de los kits de explotación. En el conocido kit de explotación Nuclear, Flash sumó el 80% de los intentos de explotación con éxito.
• Cisco también ha detectado una nueva tendencia en ataques de ransomware que explotan vulnerabilidades servidor, especialmente en los servidores JBoss: el 10% de los servidores JBoss conectados a Internet a escala global estaban infectados. Muchas de las vulnerabilidades de JBoss utilizadas para comprometer estos sistemas fueron identificadas hace 5 años, de forma que el parcheo básico y las actualizaciones de los proveedores podrían haber prevenido dichos ataques con facilidad.
• Evolución de los métodos de ataque - Durante la primera mitad de 2016, los adversarios han seguido evolucionando sus métodos de ataque para aprovechar la falta de visibilidad de las organizaciones.
• La explotación de vulnerabilidades Windows Binary se ha convertido en el principal método de ataque web en los últimos seis meses. Este método permite al malware afianzarse en las infraestructuras de red y conseguir que los ataques sean más difíciles de identificar y eliminar.
• Los métodos de engaño mediante ingeniería social vía Facebook han caído a la segunda posición, desde el primer puesto que ocupaban en 2015.
• Mayor capacidad para ocultar el rastro - Para complicar aún más los problemas de visibilidad de las organizaciones, los atacantes están incrementando el uso del cifrado como método para ocultar varios componentes de sus operaciones.
  • Cisco ha detectado un incremento en el uso de Bitcoins, del protocolo TLS y de la red Tor, que permiten la comunicación anónima a través de la web.
• El malware cifrado HTTPS utilizado en campañas de malvertising creció un 300 por ciento entre diciembre de 2015 y marzo de 2016. El malware cifrado facilita aún más la capacidad de los adversarios para ocultar su actividad web y ampliar su tiempo de operación.

Dificultad para reducir vulnerabilidades

En este escenario de ataques sofisticados, recursos limitados e infraestructura obsoleta, las organizaciones tienen problemas para combatir a los adversarios, siendo uno de los principales problemas la ‘higiene de red’ -como el parcheo-, especialmente grave en los sistemas críticos para los negocios. Por ejemplo, en el segmento de navegadores, entre el 75 y el 80% de los usuarios de Google Chrome (que emplea un sistema de auto-actualizaciones) utilizan la última versión del navegador o la versión anterior.

Sin embargo, en el apartado de software, un tercio de todos los sistemas Java examinados corren la versión Java SE 6, que ha sido descatalogada por Oracle (la actual versión es la SE 10).

Por otra parte, en Microsoft Office 2013, versión 15x, un 10% o menos de los usuarios están utilizando el último service pack.

Este problema es sistémico en todos los proveedores y terminales. Cisco también ha detectado que una gran parte de su infraestructura ya está descatalogada o tiene vulnerabilidades conocidas. De los 103.121 dispositivos de Cisco conectados a Internet que han sido analizados, se ha descubierto que:

• Cada dispositivo tiene de media 28 vulnerabilidades conocidas
• Los dispositivos han estado funcionando activamente con vulnerabilidades conocidas una media de 5,64 años
• Más del 9% de las vulnerabilidades conocidas tienen más de 10 años

Cisco también ha examinado la infraestructura de software de otros proveedores en más de 3 millones de instalaciones. La mayoría eran Apache y OpenSSH, con una media de 16 vulnerabilidades conocidas corriendo durante una media de 5,05 años.

Las actualizaciones de los navegadores son las más sencillas de realizar para los terminales, mientras las actualizaciones de aplicaciones empresariales y de la infraestructura servidor resultan más complicadas y por tanto pueden causar problemas de continuidad del negocio.

En esencia, cuanto más crítica es la aplicación para las operaciones de negocio, menor la probabilidad de estar actualizada con frecuencia, creando mayores oportunidades para los atacantes.

Recomendaciones para proteger los negocios

Los investigadores de Cisco Talos han observado que las organizaciones que siguen unos sencillos pero importantes pasos pueden mejorar enormemente la seguridad de sus operaciones, incluyendo:

• Mayor ‘higiene de red’, mediante: la monitorización de la red; la implementación de parches y actualizaciones a tiempo; la segmentación de la red; el despliegue de defensas en el extremo de la red, incluyendo seguridad web y del e-email, así como firewalls y sistemas IPS de próxima generación.
• Defensas integradas, mediante una aproximación de ‘arquitectura’ de seguridad frente al despliegue de soluciones de nicho e inconexas.
• Medir el tiempo de detección, apostando por reducirlo para detectar las amenazas y mitigarlas con mayor rapidez y convirtiendo estas métricas en parte de las futuras políticas de seguridad de la organización.
• Proteger a los usuarios allí donde estén y en cualquier lugar desde donde trabajen, y no proteger simplemente los sistemas con los que interactúan y mientras estén conectados a la red corporativa.
• Realizar copias de seguridad de los datos críticos, comprobando con frecuencia su efectividad y confirmando que los back-ups no son susceptibles de ser atacados.

El informe semestral de Ciberseguridad 2016 de Cisco examina los últimos análisis de inteligencia frente a amenazas recopilados por la división Collective Security Intelligence de Cisco.

El documento proporciona conclusiones clave basadas en datos de la industria sobre las tendencias y amenazas de ciberseguridad para la primera mitad del año, así como recomendaciones para mejorar las políticas de seguridad.

Para ello, se apoya en datos procedentes de los análisis diarios de más de 40.000 millones de puntos de telemetría, que los investigadores de Cisco transforman esta inteligencia en protecciones en tiempo real para productos y servicios, proporcionando dicha protección de forma inmediata a todos los clientes de la compañía. Más información en www.cisco.com