El 2023 fue un año que transcurrió con sobresaltos en los ámbitos sociales, políticos, económicos y climáticos, que lo dejarán marcado en la memoria colectiva por mucho tiempo. El conflicto entre Rusia y Ucrania, por ejemplo, ha mostrado que una guerra ya no se pelea solamente en un territorio limitado y que los riesgos de ser víctima de un ciberataque son reales.
Es también una oportunidad para ver en perspectiva los riesgos y amenazas que han puesto en la mira a distintos sectores del país, así como su impacto a lo largo de los últimos doce meses. Una visión local permite hacer una evaluación objetiva de dónde se encuentran los eslabones más débiles para enfocar la estrategia de protección hoy y en el futuro para proteger las “joyas de la corona” de las organizaciones.
Los sectores más vulnerables
De acuerdo con datos del Cybersecurity Defense Center de Minsait, son dos los principales sectores que han sido más impactados por las amenazas: gobierno y financiero.
En el caso del primero, el 50% de los ataques se dirigieron a organismos centralizados y descentralizados del gobierno mexicano. Uno de los incidentes con mayor resonancia fue de Guacamaya Leaks que logró exfiltrar información altamente confidencial de los sistemas del Ejército Nacional.
El financiero tuvo un porcentaje igual de ataques (50%) en el periodo, afectando no solamente a las organizaciones del sector sino también a sus usuarios. De 2019 a la fecha, las entidades del sistema financiero mexicano han reportado 106 incidentes de ciberseguridad a la Comisión Nacional Bancaria y de Valores (CNBV), lo que, para las autoridades y especialistas, puede ser menor a la real, pues no todos los ataques de reportan.
El Índice de Riesgo de Ciberataques en México, en el Reporte de Estabilidad Financiera, revela que las amenazas cibernéticas más frecuentes de los últimos años incluyen la venta de información de tarjetas bancarias, código malicioso y el secuestro de datos.
A los anteriores les siguen los sectores minorista, industrial y de cadena de suministro lo que, en conjunto, fueron blanco de un 25% de las amenazas. Cabe señalar que la cadena de suministro figura por primera vez en la lista, lo que habla de que las pequeñas y medianas empresas que participan en este nicho son menos maduras desde una perspectiva de ciberseguridad y tecnológica, a diferencia de las grandes organizaciones.
Amenazas constantes
El equipo del Cybersecurity Defense Center también ha hecho un análisis exhaustivo para identificar cuáles son las principales amenazas que se dirigen constantemente a las organizaciones del país.
- Ransomware.
Esta amenaza no solamente sigue creciendo, sino que también evoluciona continuamente. El ransomware contemporáneo no solamente busca cifrar la información sino también extraerla en grandes cantidades. Para las organizaciones mexicanas esto representa un enorme desafío, pues no solamente los ciberdelincuentes pueden hacerse de su información, sino también la de sus clientes, proveedores, empleados, así como sus estados financieros, poniendo en grave riesgo su reputación y continuidad. El Cibersecurity Defense Center da cuenta de que el 64.3% de la actividad sospechosa fue ransomware.
-
Amenazas persistentes avanzadas (APT).
Las amenazas de esta naturaleza representaron en 2023 el 17.21% de las actividades maliciosas registradas. Desafortunadamente, muchas empresas mexicanas no cuentan aún con el nivel de madurez suficiente para detectarlas, e incluso no dimensionan el nivel de riesgo que representan. Los creadores de APTs se caracterizan por estudiar a detalle el negocio de la organización, su cadena de suministro, su estructura tecnológica, y coludirse con insiders para estructurar un ataque APT efectivo.
-
Botnets.
Los botnets, que toman el control de los equipos críticos de la organización, de manera remota, conformaron el 10.5% de las amenazas, colocándolos en el tercer lugar del grupo.
Impacto y cifras
El impacto de estas amenazas no es mínimo, y exige acciones concretas y más efectivas para combatirlas. Si bien hay industrias más reguladas, como la financiera, donde el marco normativo exige implementar mecanismos de protección y ciberseguridad bastante estrictos, y que tardarán en permear a otros, esta no debería ser una condición para implementar controles de protección robustos, y adaptados a la realidad de cada sector.
En este sentido, conocer por dónde pueden penetrar los ataques es de enorme utilidad y conveniencia en la creación de una estrategia integral de ciberseguridad, así como en las acciones de detección y respuesta.
El Cybersecurity Defense Center ha recopilado información sobre los vectores de ataque más utilizados por los ciberdelincuentes para penetrar una organización, y los resultados han sido los siguientes:
- Con el 44%, el phishing fue uno de los vectores de ataque mediante los cuales se comprometieron los activos de las organizaciones mexicanas, con una tasa de éxito cercana al 100%.
- La explotación de vulnerabilidades no conocidas ocupó la segunda posición con 24.13% como el vector utilizado con mayor frecuencia en México. Los grandes fabricantes de software se esfuerzan por minimizar las vulnerabilidades; sin embargo, las empresas no actualizan ni aplican los parches que se les proporciona, lo que deja abierta la puerta a los atacantes para materializar sus amenazas.
- En 10.34% de los intentos por lanzar un ataque se utilizó software malicioso en sus distintas formas. Uno de las más populares fueron los troyanos. A diferencia de hace dos décadas, este malware no penetra a un equipo a través de un medio extraíble; hoy lo hace usando aplicaciones descargables, muchas de ellas gratuitas, que aprovechan los agentes de amenazas para colarse y de ahí dar saltos laterales hacia los activos de la organización.
Lockbit, MarioLocker, Black Hat SEO y Lazarus son grupos dedicados al desarrollo de amenazas y de campañas de software que aprovechan las amenazas y vectores mencionados anteriormente. Sus integrantes ya no buscan el prestigio ni el renombre; se trata de grandes agrupaciones con alcance global y fondeo internacional, cuyo poder de captación de nuevos recursos tecnológicos, humanos y aliados al interior de las empresas, crece exponencialmente.
Antes de concluir, vale la pena echar un vistazo a algunas de las cifras que el Cibersecurity Defense Center de Minsait ha recopilado, y las cuales nos dan una dimensión más objetiva y amplia del entorno actual de amenazas en el que operan las empresas mexicanas. A lo largo de 2023 se detectaron:
- Más de 153,000 campañas de ransomware
- Más de 25 campañas de botnets
- Más de 41 campañas de APT
- 13 campañas de phishing
- Más de 2,621 vulnerabilidades detectadas, de las cuales 50% son de alto riesgo y 15% son críticas.
- Microsoft reportó 877 vulnerabilidades.
- Navegadores web, como Chrome, Firefox y Edge, 423 vulnerabilidades
- Linux, Oracle y Red Hat tuvieron 292, 219 y 212 vulnerabilidades, respectivamente.
En un contexto de transformación digital acelerada, las amenazas cibernéticas no dan tregua. La colaboración entre empresas, proveedores de servicios y desarrolladores es esencial para crear un entorno de protección efectivo. La realidad en México refleja la situación global, donde la ciberseguridad se vuelve imperativa. No bajar la guardia y adaptarse a las lecciones aprendidas es crucial para salvaguardar la integridad de las organizaciones en el paisaje digital actual.