Los ciberdelincuentes están adaptando sus métodos para eludir las medidas de seguridad cada vez más estrictas de los defensores, según los hallazgos de un reciente informe sobre amenazas. En los ataques de ransomware, los atacantes recurren cada vez más al robo de datos, al perfeccionamiento de estafas BEC (Business Email Compromise) y a la explotación de vulnerabilidades conocidas para infiltrarse en empresas de todo el mundo.
Arctic Wolf opera uno de los SOC comerciales más grandes del mundo. El informe se creó con base en datos de casos de amenazas, malware, análisis forense digital y respuesta a incidentes recopilados por Arctic Wolf en todo su marco de operaciones de seguridad. Proporciona información profunda sobre el ecosistema global del ciberdelito, destaca las tendencias de amenazas globales y ofrece recomendaciones estratégicas de ciberseguridad para 2025.
Nuevo modelo de negocio del ransomware: robar datos en lugar de cifrarlos
A pesar del aumento de la aplicación de la ley, los ataques de ransomware representan la mayor parte de los casos de IR registrados, con un 44%. A medida que las empresas desarrollan estrategias de respaldo cada vez mejores, que permiten una recuperación más rápida, los ciberdelincuentes han adaptado su estrategia y casi siempre utilizan la exfiltración de datos en sus ataques. En el 96% de los casos de ransomware analizados, los atacantes robaron datos. Los perpetradores pueden luego revender los datos robados o amenazar a la empresa con la publicación de datos de clientes u otros datos comerciales confidenciales.
La industria manufacturera y el sector de la salud son particularmente vulnerables a este tipo de ataques, ya que la tolerancia al tiempo de inactividad es particularmente baja, los ataques pueden causar daños significativos y los datos personales confidenciales se utilizan como medio de presión para pagar, especialmente en el sector de la salud.
Rescate promedio de $600.000
Las demandas de rescate promedio son similares a las del año anterior, 600.000 dólares, un negocio lucrativo para los ciberdelincuentes. Al mismo tiempo, las evaluaciones han demostrado que las empresas víctimas pueden reducir significativamente las cantidades exigidas con la ayuda de negociadores de rescates profesionales. En promedio, las empresas que cooperaron con Arctic Wolf solo tuvieron que pagar el 36% del monto solicitado originalmente.
“Los grupos de ransomware han evolucionado su modelo de negocio: incluso con una buena estrategia de copias de seguridad, la amenaza de publicar o revender datos robados de clientes somete a las empresas a una enorme presión, a menudo con consecuencias financieras y reputacionales devastadoras”, explica el Dr. Sebastian Schmerl, vicepresidente regional de servicios de seguridad para EMEA en Arctic Wolf. Esta táctica hace que las copias de seguridad tradicionales sean ineficaces como único medio de protección. Por lo tanto, las empresas deben recurrir cada vez más a la detección integral de amenazas, estrategias de confianza cero y enfoques de operaciones de seguridad proactivas para identificar ataques de forma temprana y prevenir fugas de datos.
Compromiso del correo electrónico empresarial: los atacantes siguen el rastro del dinero
Business Email Compromise (BEC) es un tipo de estafa de phishing por correo electrónico en la que un actor de amenazas intenta engañar a los miembros de una organización para que envíen fondos o datos confidenciales (por ejemplo, compromiso de cuenta o fraude del director ejecutivo). Los incidentes BEC representan el 27% de los casos de IR observados y siguen siendo la segunda táctica de fraude más común.
Este tipo de fraude cibernético se centra en organizaciones que intercambian dinero y datos de pago por correo electrónico a gran escala: el sector de finanzas y seguros representó el 26,5% de los casos BEC-IR, aproximadamente el doble que el segundo sector, los servicios legales y administrativos. Los ataques BEC representaron más de la mitad (53 %) de los casos de IR en finanzas y seguros, la única industria donde BEC superó la cantidad de incidentes de ransomware.
El phishing y las credenciales comprometidas siguen siendo las principales causas de los ataques BEC. La IA permite a los actores de amenazas lanzar ataques cada vez más sofisticados y personalizados, lo que significa que la formación en concienciación por sí sola no basta para prevenir todos los incidentes, pero sí ayuda a identificar rápidamente la multitud de ataques mal ejecutados. Por lo tanto, además de la formación, las empresas también deben implementar controles de acceso sólidos. Una combinación de gestión de contraseñas y autenticación multifactor moderna, como métodos biométricos o llaves de seguridad físicas, es crucial para prevenir eficazmente el acceso no autorizado», explica el Dr. Schmerl.
Pocas vulnerabilidades se explotan con una frecuencia desproporcionada
Las intrusiones fueron la tercera causa más común de casos de IR registrados con un 24%, un aumento significativo en comparación con el año anterior (14,8%). En 2024, se registraron más de 40.000 vulnerabilidades de seguridad. También hubo un aumento del 134,46% en las vulnerabilidades críticas y graves. Los sectores financieros y de seguros (15,3%) y las instituciones educativas y sin fines de lucro (15,3%) se vieron nuevamente especialmente afectados.
En el 76% de los casos de intrusión, los atacantes explotaron solo diez vulnerabilidades específicas, todas ellas agujeros de seguridad ya conocidos para los cuales ya existían medidas de parcheo adecuadas. La mayoría de estos incidentes estaban relacionados con herramientas de acceso remoto y sistemas y servicios accesibles externamente. En algunos casos, los atacantes aprovecharon configuraciones incorrectas, como puertos abiertos, sitios web internos con acceso externo o cuentas administrativas vulnerables a tácticas de fuerza bruta para obtener acceso. Esto muestra claramente lo importante que es la gestión proactiva de parches.
La gestión de parches es esencial
Muchas empresas dudan en implementar parches, a pesar de que las vulnerabilidades se conocen desde hace tiempo y existen actualizaciones. A menudo, faltan procesos claros, existe preocupación por posibles interrupciones del negocio o escasez de personal. Pero todo sistema sin parchear es una puerta abierta para los atacantes, y eso es precisamente con lo que cuentan los ciberdelincuentes», afirma el Dr. Schmerl. Por lo tanto, una gestión eficaz de vulnerabilidades con procesos automatizados de parcheo y la monitorización continua de la superficie de ataque y la evolución del panorama de amenazas es esencial para minimizar el riesgo de ataques exitosos. Si las empresas carecen de los recursos internos necesarios para ello, pueden colaborar con socios de seguridad como Arctic Wolf, quienes pueden ayudarles a mejorar su seguridad a largo plazo.
Más en ArcticWolf.com
Acerca del lobo ártico Arctic Wolf es líder mundial en operaciones de seguridad y proporciona la primera plataforma de operaciones de seguridad nativa de la nube para mitigar el riesgo cibernético. Sobre la base de la telemetría de amenazas que abarca el punto final, la red y las fuentes de la nube, Arctic Wolf® Security Operations Cloud analiza más de 1,6 billones de eventos de seguridad por semana en todo el mundo. Proporciona información crítica para la empresa sobre casi todos los casos de uso de seguridad y optimiza las soluciones de seguridad heterogéneas de los clientes. La plataforma Arctic Wolf es utilizada por más de 2.000 clientes en todo el mundo. Proporciona detección y respuesta automatizadas a amenazas, lo que permite a las organizaciones de todos los tamaños configurar operaciones de seguridad de clase mundial con solo tocar un botón.
Artículos relacionados con el tema