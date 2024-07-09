El panorama de los ciberataques ha experimentado cambios monumentales y un enorme crecimiento en la última década aproximadamente.
Hablé con Michelle Alvarez, directora de análisis de amenazas estratégicas de X-Force en IBM, quien me dijo que el cambio más visible en ciberseguridad se puede resumir en una palabra: escala. Hace una década, las “megafiltraciones” eran relativamente raras, pero ahora parecen un suceso cotidiano.
El panorama de la ciberseguridad se ha visto afectado por grandes acontecimientos mundiales, especialmente en los últimos años. Entre ellos se encuentran la pandemia de COVID-19, así como los recientes conflictos militares entre Rusia y Ucrania y entre Israel y Hamás.
Estos eventos activaron tanto a los actores de amenazas motivados financieramente que buscaban beneficiarse de estas crisis, como a la actividad patrocinada por el estado, según Álvarez. Los ataques de ingeniería social explotaron la ansiedad pública sobre los eventos geopolíticos globales, como en las campañas de correo electrónico destinadas a propagar malware. Las cadenas de suministro se volvieron más vulnerables durante la pandemia.
Si bien los principales objetivos nacionales de los mayores ataques seguían siendo Norteamérica, Europa y Asia, Álvarez también afirmó que en la década se produjeron nuevos y grandes aumentos en América Latina.
Contexto global: el año 2013 estuvo marcado por el auge de cloud computing, lo que amplió la superficie de ataque de los cibercriminales. Las revelaciones de Snowden comenzaron en junio de 2013.
En 2013, el ransomware comenzó a ganar fuerza como amenaza importante y las vulneraciones de datos se hicieron más frecuentes.
La vulneración de datos de Target comprometió 40 millones de cuentas de tarjetas de crédito y débito y 70 millones de registros de clientes. Adobe Systems también sufrió una vulneración que expuso 38 millones de cuentas de usuario. Además, el New York Times fue atacado por el Ejército Electrónico Sirio, que dejó su sitio web fuera de servicio durante casi dos horas. Y la vulneración de datos de Yahoo comprometió 500 millones de cuentas de usuario, aunque no se reportaría hasta tres años después.
En 2013, se robaron más de 500 millones de registros de información de identificación personal, incluidos nombres, correos electrónicos, números de tarjetas de crédito y contraseñas.
Contexto global: en 2014, la complejidad de los ciberataques iba en aumento, al igual que la sofisticación general de las operaciones coordinadas internacionalmente de las fuerzas del orden y los proveedores de seguridad.
Al igual que el año anterior, las vulneraciones de datos fueron un problema importante, con vulneraciones notables en finanzas y seguros, información y comunicación y también en el sector manufacturero. Las amenazas persistentes avanzadas (APT) se volvieron más sofisticadas, y el Internet de las cosas (IoT) surgió como un nuevo vector de ataque.
El hackeo de Sony Pictures expuso datos corporativos confidenciales y películas inéditas. La brecha de Home Depot comprometió 56 millones de números de tarjetas de crédito y 53 millones de correos electrónicos. El error Heartbleed, una vulnerabilidad crítica en la biblioteca de software criptográfico OpenSSL, también fue noticia.
Contexto global: el año se centró en la protección de las infraestructuras críticas y en el auge de los sistemas ciberfísicos. La creciente sofisticación de los incidentes cibernéticos puso de relieve la necesidad de mejorar la inteligencia de amenazas.
Los incidentes de acceso no autorizado se dispararon. Alrededor del 60 % de los ataques fueron llevados a cabo por usuarios internos , ya sea de forma maliciosa o accidental. Los atacantes aceleraron la explotación de los defectos de día cero. El ransomware continuó creciendo, afectando tanto a particulares como a organizaciones. Las vulnerabilidades del IoT aumentaron y el phishing siguió siendo un vector de ataque prevalente.
La vulneración de Anthem expuso la información personal de 78,8 millones de personas. El hackeo a Ashley Madison filtró datos confidenciales de los usuarios del sitio web de citas. Y la vulneración de datos de TalkTalk implicó ataques de phishing sofisticados. Los principales sectores afectados incluyeron la sanidad, el comercio minorista, los servicios financieros y la industria farmacéutica.
Contexto global: marcado por importantes tensiones geopolíticas, incluidas las elecciones presidenciales de EE. UU., en las que se produjo una amplia interferencia cibernética.
Los grupos patrocinados por el Estado atacaron a entidades políticas y el ransomware se volvió más selectivo y sofisticado. Los ataques de denegación de servicio distribuido (DDoS) aumentaron en frecuencia y escala.
El Comité Nacional Demócrata (DNC) hackeó correos electrónicos y documentos expuestos. Y la botnet Mirai lanzó ataques DDoS masivos, interrumpiendo los principales sitios web.
En 2016 se filtraron más de 4000 millones de registros, más que en los dos años anteriores juntos. En un caso, una sola fuente filtró más de 1500 millones de registros.
Contexto global: el año fue testigo de tensiones geopolíticas continuas y del auge de las criptomonedas, lo que impulsó las actividades delictivas cibernéticas.
Los ataques de ransomware como WannaCry y NotPetya provocaron una perturbación generalizada. El cryptojacking surgió como una amenaza real, aprovechando sistemas comprometidos para minar criptomonedas. Aumentaron los ataques a la cadena de suministro.
El ransomware WannaCry afectó a más de 200 000 ordenadores en 150 países. La vulneración de Equifax expuso la información personal de 147 millones de personas. El ataque de NotPetya causó importantes perturbaciones en las empresas de todo el mundo.
Contexto global: el aumento del escrutinio normativo, como la implementación del RGPD, hizo que 2018 fuera difícil para algunas grandes organizaciones.
El ransomware continuó evolucionando con tácticas cada vez más sofisticadas. El phishing siguió siendo una amenaza importante, con ataques de spear-phishing más específicos. La seguridad en la nube se convirtió en un foco de atención.
La brecha de Marriott expuso los datos de 500 millones de visitantes. El escándalo Facebook-Cambridge Analytica puso de relieve los problemas de protección de datos y uso indebido. La vulneración de SingHealth en Singapur comprometió los datos personales de 1,5 millones de pacientes.
Los ataques de cryptojacking aumentaron un 450 % del primer al cuarto trimestre de 2018.
Contexto global: el año se centró en la seguridad de las infraestructuras críticas y en hacer frente a la creciente amenaza del ransomware y el phishing.
El ransomware dominó el campo de la ciberseguridad, con ataques a municipios y sanidad. El phishing evolucionó con técnicas más sofisticadas. La seguridad de IoT experimentó un aumento de los ataques a los dispositivos conectados.
La vulneración de Capital One expuso los datos de 100 millones de clientes. El ataque de ransomware de Baltimore interrumpió los servicios de la ciudad durante semanas. La vulneración de Quest Diagnostics (que comenzó en 2018 pero no terminó hasta marzo de 2019) afectó a 11,9 millones de pacientes.
Contexto mundial: la pandemia de COVID-19 cambió drásticamente el panorama de la ciberseguridad. Un aumento en el teletrabajo pilló desprevenidos a los profesionales de la ciberseguridad y aumentó la superficie de ataque. Además, el año vio un aumento de los ataques a los sistemas sanitarios.
El ransomware se dirigió principalmente a la sanidad y a infraestructuras críticas. El phishing explotó los miedos relacionados con la pandemia. Las vulnerabilidades del teletrabajo vieron aumentar los ataques a la infraestructura del teletrabajo.
El hackeo de SolarWinds, que tuvo lugar tanto en 2019 como en 2020, comprometió a varias agencias de gobierno y empresas privadas de EE. UU. En un pirateo de Twitter se secuestraron cuentas de alto perfil para promocionar una estafa con criptomonedas. El ataque del ransomware Magellan estado afectó a 365 000 pacientes. Y la vulneración de Accellion empezó a afectar a varias organizaciones.
Contexto mundial: la pandemia continuó influyendo en las ciberamenazas.
El ransomware siguió siendo la principal amenaza, con ataques aún más sofisticados. Aumentaron los ataques a la cadena de suministro. El phishing continuó siendo una amenaza importante.
El ataque de ransomware Colonial Pipeline interrumpió el suministro de combustible en Estados Unidos. El ataque de ransomware Kaseya VSA afectó a cientos de empresas en todo el mundo. Y la vulnerabilidad Log4j fue ampliamente explotada, afectando a numerosas organizaciones.
Contexto mundial: durante el año continuaron las tensiones geopolíticas, en particular el conflicto entre Rusia y Ucrania.
El ransomware siguió dominando, con ataques más dirigidos. Los ataques a la cadena de suministro siguieron siendo una amenaza importante. La IA y el machine learning fueron cada vez más utilizados tanto por los atacantes como por los defensores.
El ataque de ransomware Costa Rica interrumpió los servicios del gobierno. La vulneración de datos de Nvidia expuso información confidencial de los empleados.
Contexto global: las actuales tensiones geopolíticas y el auge de la IA y la computación cuántica plantearon nuevos retos.
El ransomware ha experimentado un resurgimiento en ataques con tácticas más sofisticadas. Los ataques con IA aumentaron, automatizando y acelerando los ataques. Los ataques a la cadena de suministro continuaron siendo una amenaza importante.
La vulnerabilidad MOVEit Transfer fue explotada para robar datos de múltiples organizaciones. La vulnerabilidad de Microsoft Exchange Server fue ampliamente explotada y afectó a numerosas organizaciones. La vulneración de datos de T-Mobile expuso los datos de 37 millones de clientes.
Lo que queda claro en este resumen es que las principales tendencias son el aumento de la sofisticación y la gravedad de los ataques de ransomware (que han crecido radicalmente desde 2013) y también la explotación general de la pandemia y el fenómeno del teletrabajo. Álvarez dijo que hace una década, el ransomware era conocido principalmente por profesionales de la seguridad. Ahora, la amenaza es lo suficientemente amplia como para ser conocida por el público.
Otras dos tendencias fueron el aumento de los ataques de explotación de vulnerabilidades en la nube y los ataques de compromiso del correo electrónico empresarial (BEC), según Alvarez. Estas tendencias se deben en parte a la explotación de configuraciones erróneas de seguridad o brechas de seguridad en la nube, al uso indebido de contraseñas y nombres de usuario y a una formación inadecuada.
¿Quién sabe lo que sucederá en la próxima década? Pero si la historia sirve de guía, el panorama de amenazas seguirá aumentando, los actores maliciosos se volverán cada vez más sofisticados (con la ayuda de la IA) y los actores maliciosos, motivados por intereses económicos y patrocinados por Estados, buscarán recompensas y premios cada vez mayores.
