Autor: Tom Burt – Corporate Vice President, Customer Security & Trust
Los clientes de Microsoft se enfrentan cada día a más de 600 millones de ataques de ciberdelincuentes y de estados-nación, que van desde el ransomware al phishing, pasando por los ataques de identidad. Una vez más, los actores de amenazas afiliadas a estados-nación demostraron que las operaciones cibernéticas -ya sean de espionaje, destrucción o influencia- desempeñan un papel de apoyo persistente en conflictos geopolíticos de amplio alcance. Además de alimentar el crecimiento de los ciberataques, cada vez hay más pruebas de la confabulación entre bandas de ciberdelincuentes y grupos de estados-nación que comparten herramientas y técnicas.
Debemos encontrar la forma de frenar esta ciberactividad maliciosa. Para ello, es necesario seguir reforzando nuestro espacio digital para proteger nuestras redes, datos y personas a todos los niveles. Sin embargo, este reto no se logrará únicamente mediante la ejecución de una lista de control de medidas de ciberhigiene, sino teniendo un enfoque y compromiso con los fundamentos de la ciberdefensa a todos los niveles, desde el usuario individual hasta el ejecutivo corporativo y los líderes gubernamentales.
Estas son algunas de las conclusiones del quinto informe anual Microsoft Digital Defense Report, que cubre las tendencias entre julio de 2023 y junio de 2024.
Los ciberdelincuentes y sus herramientas son cada vez más utilizados por agentes estatales
A lo largo del año pasado, Microsoft observó cómo los actores estado-nación llevaban a cabo operaciones con fines lucrativos, reclutaban ciberdelincuentes para recopilar información de inteligencia, en particular sobre el ejército ucraniano, haciendo uso de malware para el robo de información sensible, herramientas de mando y control, así como otras herramientas utilizadas por la comunidad de ciberdelincuentes. En concreto:
- Los actores de amenazas rusos parecen haber subcontratado algunas de sus operaciones de ciberespionaje a grupos delictivos, especialmente las dirigidas a Ucrania. En junio de 2024, un presunto grupo de ciberdelincuentes utilizó malware para comprometer al menos 50 dispositivos militares ucranianos.
- Los actores del estado nación iraní utilizaron ransomware en una operación de influencia cibernética, comercializando datos robados de sitios web de citas israelíes. Ofrecieron eliminar perfiles individuales específicos de su repositorio de datos a cambio de una cantidad de dinero.
- Corea del Norte entra en el juego del ransomware. Un actor norcoreano recientemente identificado desarrolló una variante de ransomware personalizada llamada FakePenny, que desplegó en organizaciones de los sectores aeroespacial y de defensa tras extraer datos de las redes afectadas, lo que demuestra motivaciones tanto de recopilación de información como de monetización.
La actividad de los estados-nación se concentró en gran medida en torno a zonas de conflicto militar activo o tensión regional
Aparte de EE.UU. y Reino Unido, la mayor parte de la actividad de ciberamenazas afiliadas a estados-nación que observamos se concentraba en torno a Israel, Ucrania, Emiratos Árabes Unidos y Taiwán. Además, Irán y Rusia han utilizado, tanto la guerra entre Rusia y Ucrania como el conflicto entre Israel y Hamás, para difundir mensajes divisivos y engañosos a través de campañas de propaganda que extienden su influencia más allá de los límites geográficos de las zonas de conflicto, lo que demuestra la naturaleza globalizada de la guerra híbrida.
- Aproximadamente el 75% de los objetivos rusos se encontraban en Ucrania o en un Estado miembro de la OTAN, ya que Moscú trata de recabar información sobre las políticas occidentales en relación con la guerra.
- Los esfuerzos de los actores de la amenaza china siguen siendo similares a los de los últimos años en cuanto a la geografía de los objetivos -Taiwán es uno de ellos, así como los países del sudeste asiático- y la intensidad de los objetivos en cada lugar.
- Irán centró su atención en Israel, especialmente tras el estallido de la guerra entre Israel y Hamás. Los actores iraníes siguieron apuntando a EE.UU. y a los países del Golfo, incluidos los Emiratos Árabes Unidos y Bahréin, en parte debido a la normalización de sus lazos con Israel y a la percepción de Teherán de que ambos están posibilitando los esfuerzos bélicos de Israel.
Rusia, Irán y China ponen el foco en las elecciones estadounidenses
Rusia, Irán y China han aprovechado los acontecimientos geopolíticos actuales para sembrar la discordia sobre temas internos delicados en vísperas de las elecciones estadounidenses, tratando de influir en el público de EE.UU. a favor de un partido o candidato en detrimento de otro, o de degradar la confianza en las elecciones como pilar de la democracia. Como hemos informado, Irán y Rusia han sido los más activos, y esperamos que esta actividad siga acelerándose hasta la celebración de las elecciones en EE.UU.
Además, Microsoft ha observado un aumento de los dominios homóglifos -o enlaces manipulados- relacionados con las elecciones que difunden phishing y malware. Creemos que estos dominios son ejemplos tanto de actividad ciberdelictiva con fines lucrativos, como de tareas de reconocimiento por parte de agentes de amenazas de estados-nación con objetivos políticos. En la actualidad, supervisamos más de 10.000 homóglifos para detectar posibles suplantaciones. Nuestro objetivo es garantizar que Microsoft no aloja infraestructuras maliciosas e informar a los clientes que puedan ser víctimas de estas amenazas basadas en la suplantación.
Los ciberdelitos y fraudes con motivación económica: una amenaza persistente
Aunque los ataques de estados-nación siguen siendo motivo de preocupación, también lo son los ciberataques con fines lucrativos. El año pasado, Microsoft observó:
- Los ataques de ransomware se multiplicaron por 2,75 con respecto al año anterior. Sin embargo, es importante destacar que hubo una disminución triple en los ataques de ransomware que alcanzaron la etapa de cifrado. Las técnicas de ataque inicial más frecuentes siguen siendo la ingeniería social (phishing por correo electrónico, SMS y voz), pero también la usurpación de identidad y la explotación de vulnerabilidades en aplicaciones públicas o sistemas operativos desactualizados.
- Las estafas tecnológicas se han disparado un 400% desde 2022. El año pasado, Microsoft observó un aumento significativo en el número de estafas, con una frecuencia diaria que pasó de 7.000 en 2023 a 100.000 en 2024. Más del 70% de las infraestructuras maliciosas que dan soporte a estos ataques estuvieron activas durante menos de dos horas, lo que significa que pueden desaparecer incluso antes de ser detectadas. Esta rápida tasa de rotación subraya la necesidad de medidas de ciberseguridad más ágiles y efectivas.
Los atacantes experimentan con la IA generativa
El año pasado, empezamos a ver cómo los actores de amenazas -tanto ciberdelincuentes como estados-nación- experimentaban con la IA. Así como la inteligencia artificial se utiliza cada vez más para ayudar a las personas a ser más eficientes, los ciberdelincuentes están aprendiendo cómo pueden usar las eficiencias de la IA para atacar a sus víctimas. En las operaciones de influencia, los grupos vinculados a China emplean preferentemente imágenes generadas por IA, mientras que los vinculados a Rusia se decantan más por el audio falso como medio de difusión. Hasta ahora, no hemos observado que estos contenidos sean eficaces para influir en el público.
Pero la historia de la IA y la ciberseguridad también es muy optimista. Aunque todavía está en sus inicios, la IA ha demostrado sus ventajas para los profesionales de la ciberseguridad al actuar como una herramienta que ayuda a responder en una fracción del tiempo que le llevaría a una persona procesar manualmente un gran número de alertas, archivos de código malicioso y realizar el correspondiente análisis de impacto. Seguimos innovando en el desarrollo de nuestra tecnología para encontrar nuevas formas en las que la IA pueda beneficiar y reforzar la ciberseguridad.
La colaboración sigue siendo crucial para reforzar la ciberseguridad
Con más de 600 millones de ataques diarios dirigidos sólo a clientes de Microsoft, debe existir una contrapartida para reducir el número total de ataques online. La forma de disuadir estos ataques de forma eficaz puede lograrse de dos maneras: negando las intrusiones o imponiendo consecuencias al comportamiento malicioso. Microsoft sigue poniendo de su parte para reducir las intrusiones y se ha comprometido a tomar medidas para protegernos a nosotros mismos y a nuestros clientes y partners a través de nuestra iniciativa Futuro Seguro.
Aunque la industria debe hacer más para impedir los esfuerzos de los atacantes con una mejor estrategia de ciberseguridad, esto debe ir acompañado también de medidas gubernamentales para imponer consecuencias que logren frustrar aún más los ciberataques más dañinos. Solo se tendrá éxito al combinar la defensa con la disuasión. En los últimos años se ha prestado mucha atención al desarrollo de normas internacionales de conducta en el ciberespacio. Sin embargo, hasta ahora esas directrices carecen de consecuencias significativas para su violación, y los ataques de los estados-nación no se han visto disuadidos, aumentando en volumen y agresividad. Para cambiar las reglas del juego, será necesaria la concienciación y el compromiso de los sectores público y privado para que los atacantes dejen de tener ventaja.
Microsoft sigue compartiendo importante información sobre amenazas con la comunidad, como por ejemplo, la última edición de nuestro informe Cyber Signals, que analiza los riesgos cibernéticos en el sector educativo.