En el mundo tecnológico no basta con tomar dos metros de distancia para estar seguro. Las particulares circunstancias del 2020 dejaron a las organizaciones más vulnerables, con muchas más fracturas en sus barreras de seguridad. Además, los cibercriminales multiplicaron esfuerzos para atacar esos puntos y llenarse los bolsillos. Pero el volumen de agresiones no fue lo único que se disparó: las amenazas son ahora más complejas y fáciles de detonar que nunca antes en la historia.
En su 2020 Data Breach Investigations Report, Verizon indica que casi 60% de la variedad de los 23,619 incidentes registrados fueron ataques de denegación de servicio (DDoS). Por otra parte, 27% de los incidentes de seguridad que involucraron malware durante el último año estaban relacionados con ransomware. Estas fueron las principales dos armas que los cibercriminales explotaron durante el año pasado, y serán también las que evolucionen con más fuerza en 2021.
Los ataques DDoS aumentaron su volumen y sofisticación. Hoy los delincuentes tienen en la mira más organizaciones y de mayor variedad de industrias que antes. En agosto, el FBI alertó acerca de una ola de ataques de extorsión dirigidos a organizaciones de industrias como retail, finanzas, viajes y comercio electrónico. A fines de año, Netscout reportó que los cinco sectores más atacados durante 2020 fueron telecomunicaciones; procesamiento de datos, alojamiento y actividades relacionadas; servicios educativos, finanzas y seguros, así como servicios profesionales, científicos y técnicos.
Escenario complicado
Globalmente se redujo 50% la duración de los ataques, pero estos se volvieron más complejos: los que tienen más de 15 vectores de ataque escalaron a 126% de popularidad año contra año. Lo anterior representa menos tiempo para que los encargados de ciberseguridad respondan a las amenazas, y que escenarios de mitigación sean cada vez más difíciles.
Hoy, por sí solo, el ransomware representa una amenaza constante, que se incrementó durante la pandemia y que se está profesionalizando, porque frecuentemente se ven ataques organizados con mayor enfoque técnico. Este cambio ha llegado incluso a los medios de pago, ahora piden Bitcoin. Según datos del FBI, entre 2013 y 2019, las operaciones de extorsión relacionadas con ransomware alcanzaron un valor de $144.35 millones de dólares en esta criptomoneda. Y la Encuesta de Actitud de Seguridad Global de Crowdstrike 2020 indica que a nivel global, 27% de las víctimas de ransomware pagó $1.1 millones de dólares en promedio por recuperar su información.
Durante 2020, de manera oportunista, la temática del Covid-19 fue un gancho para hacer ransomware. En la parte técnica, además de usar el método de correos infectados, se ha recurrido al robo de contraseñas de VPN y distribución de botnets. Una vez dentro de la red, los atacantes tratan de ampliar lateralmente la vulneración para detonar una extorsión en la mayor cantidad de dispositivos que sea posible.
Por partes
El incremento de los ataques DDoS llegó cuando muchas organizaciones tuvieron que cambiar rápidamente sus esquemas laborales hacia el trabajo remoto; el uso de redes domésticas, menos protegidas que las empresariales, y el incremento masivo de VPN, representó una oportunidad para los ciberdelincuentes.
Para prevenir este tipo de ataques, actualmente se siguen usando redes de distribución de contenido o firewalls de aplicaciones web para filtrar tráfico malicioso. Una mejor defensa exige sumar a la infraestructura web de distribución de contenido servidores proxy-reversos, para multiplicar la presencia y distribuir accesos geográficamente mientras se mitigan y filtran los ataques de tráfico.
Los ataques DDoS consumen grandes recursos de la red y ancho de banda del servicio de internet. De acuerdo con Cloudflare, la fuerza de un ataque DDoS es equivalente a su tamaño, es decir, al número real de paquetes o bits que inundan el enlace para abrumar el objetivo con una tasa de tráfico de internet. Esta organización identificó que casi 90% de los ataques DDoS ocurridos en el segundo trimestre del año alcanzaron un pico inferior a 10 Gbps. 83% de todos los ataques duraron entre 30 y 60 minutos durante la primera mitad del año. Aunque esto parezca breve, genera mayor interrupción y degradación del servicio y requiere de un tiempo de recuperación más largo para reiniciar los equipos y volver a lanzar los servicios, lo cual incrementa la pérdida de ingresos y reputación de las compañías.
Atacar sitios web genera serios problemas para las organizaciones: Los vuelve inoperantes al impedir que los usuarios tengan acceso en línea a los servicios que requieren. Antes se realizaba un DDoS como intento para obtener información de redes y sitios web, o para distribuir malware mientras se distraía a los equipos responsables con procesos de mitigación. Hoy, el problema se agrava cuando se realizan ataques leves pero surge la amenaza de hacerlos más grandes si no se paga el rescate. En 2020 se observó crecer el número de ataques DDoS impulsados por rescate (RDDoS). Grupos como Fancy Bear, Cozy Bear y Lazarus aumentaron las campañas de extorsión a empresas de todo el mundo.
Pagar o no pagar
Quien es víctima de ransomware enfrenta el dilema de pagar o no hacerlo, pues no hay garantía de que recuperará el acceso a la información robada. Adicionalmente, el Departamento del Tesoro de Estados Unidos advirtió en octubre que las víctimas de ataques de ransomware que paguen para liberar su información del secuestro podrían enfrentar sanciones económicas.
Dicha multa podría llegar a $20 millones de dólares por violar las regulaciones de la Oficina de Control de Activos Extranjeros (OFAC). Se considera que dicho pago perpetúa este tipo de crimen, porque se establecería relación directa con un grupo de ciberdelincuentes. Algunos ya enfrentan sanciones, como Evgeniy Mikhailovich Bogachev, creador en 2013 de Cryptolocker, por quien el FBI ofrece una recompensa de $3 millones de dólares.
Reinventarse para prevenir ataques
Ante el panorama turbulento de seguridad IT, proveedores del sector recomiendan optimizar las estrategias de protección. 96% de los participantes en la 2021 Global Digital Trust Insights, de PWC, afirmaron que cambiaron su estrategia de ciberseguridad debido al Covid-19; 55% dijo que planea aumentar su presupuesto de ciberseguridad en 2021.
Por otro lado, una encuesta reciente de Check Point y Dimensional Research indica que 58% de las empresas de su muestra sufrieron un aumento de ciberataques por la pandemia. En dicho estudio, 95% de los encuestados hicieron patente que su estrategia de seguridad cambió en la segunda mitad del 2020. 67% se ha centrado en dar respuesta a las necesidades asociadas al trabajo en remoto; 39% ha continuado sus planes de formación en ciberseguridad para los empleados; 37% optimizó recursos en la prevención de amenazas y seguridad de las redes corporativas. Queda mucho camino por recorrer.