Por: Tom Burt, vicepresidente corporativo, seguridad y confianza del cliente.
Los clientes de Microsoft se enfrentan a más de 600 millones de ataques de ciberdelincuentes y estados-nación cada día, que van desde ransomware hasta phishing y ataques de identidad. Una vez más, los actores de amenazas afiliados a los Estados-nación demostraron que las operaciones cibernéticas, ya sea para espionaje, destrucción o influencia, desempeñan un papel de apoyo persistente en conflictos geopolíticos más amplios. También al alimentar la escalada de los ciberataques, vemos cada vez más pruebas de la colusión de las bandas de ciberdelincuencia con los grupos de estados-nación que comparten herramientas y técnicas.
Debemos encontrar una manera de detener la marea de esta actividad cibernética maliciosa. Eso incluye continuar con el fortalecimiento nuestros dominios digitales para proteger nuestras redes, datos y personas en todos los niveles. Sin embargo, este desafío no se logrará sólo mediante la ejecución de una lista de verificación de medidas de higiene cibernética, sino solo a través de un enfoque y compromiso con los fundamentos de la defensa cibernética desde el usuario individual hasta el ejecutivo corporativo y los líderes gubernamentales.
Estas son algunas de las conclusiones del quinto informe anual de Microsoft Digital Defense, que cubre las tendencias entre julio de 2023 y junio de 2024.
Los actores afiliados al Estado utilizan cada vez más a los ciberdelincuentes y sus herramientas.
Durante el último año, Microsoft observó que los actores de los estados-nación realizaban operaciones para obtener ganancias financieras, reclutaban a los ciberdelincuentes para recopilar inteligencia, en particular sobre el ejército ucraniano, y hacían uso de los mismos ladrones de información, marcos de comando y control y otras herramientas preferidas por la comunidad de ciberdelincuentes. En específico:
- Los actores de amenazas rusos parecen haber subcontratado algunas de sus operaciones de ciberespionaje a grupos criminales, en especial operaciones dirigidas a Ucrania. En junio de 2024, un presunto grupo de ciberdelincuencia utilizó malware básico para comprometer al menos 50 dispositivos militares ucranianos.
- Los actores del estado nación iraní utilizaron ransomware en una operación de influencia cibernética, al comercializar datos robados del sitio web de citas israelí. Ofrecieron eliminar perfiles individuales específicos de su repositorio de datos a cambio de una tarifa.
- Corea del Norte ha entrado en el juego del ransomware. Un actor norcoreano identificado de manera reciente, desarrolló una variante personalizada de ransomware llamada FakePenny, que desplegó en organizaciones de la industria aeroespacial y de defensa después de exfiltrar datos de las redes afectadas, lo que demuestra motivaciones tanto de recopilación de inteligencia como de monetización.
La actividad de los Estados-nación se concentró en gran medida en torno a lugares de conflicto militar activo o tensión regional
Aparte de los Estados Unidos y el Reino Unido, la mayor parte de la actividad de amenazas cibernéticas afiliadas a los estados-nación que observamos se concentró en Israel, Ucrania, los Emiratos Árabes Unidos y Taiwán. Además, Irán y Rusia han utilizado tanto la guerra entre Rusia y Ucrania como el conflicto entre Israel y Hamás para difundir mensajes divisivos y engañosos a través de campañas de propaganda que extienden su influencia más allá de los límites geográficos de las zonas de conflicto, lo que demuestra la naturaleza globalizada de la guerra híbrida.
- Cerca del 75% de los objetivos rusos estaban en Ucrania o en un estado miembro de la OTAN, ya que Moscú busca recopilar inteligencia sobre las políticas de Occidente en la guerra.
- Los esfuerzos de los actores de amenazas chinos se mantienen similares a los de los últimos años en términos de geografías objetivo (Taiwán es un foco, así como países del sudeste asiático) e intensidad de la focalización por ubicación.
- Irán se centró de manera significativa en Israel, en especial después del estallido de la guerra entre Israel y Hamas. Los actores iraníes continuaron los ataques a Estados Unidos y a los países del Golfo, incluidos los Emiratos Árabes Unidos y Bahréin, en parte debido a su normalización de los lazos con Israel y a la percepción de Teherán de que ambos permiten los esfuerzos bélicos de Israel.
Rusia, Irán y China se centran en las elecciones de EE.UU.
Rusia, Irán y China han utilizado los asuntos geopolíticos en curso para impulsar la discordia en temas internos delicados antes de las elecciones estadounidenses, buscando influir en las audiencias de Estados Unidos hacia un partido o candidato sobre otro, o para degradar la confianza en las elecciones como base de la democracia. Como hemos informado, Irán y Rusia han sido los más activos, y esperamos que esta actividad continúe acelerándose durante las próximas dos semanas antes de las elecciones estadounidenses.
Además, Microsoft ha observado un aumento en los dominios homoglifos relacionados con las elecciones, o enlaces falsificados, que entregan cargas útiles de phishing y malware. Creemos que estos dominios son ejemplos tanto de actividad cibercriminal impulsada por las ganancias como de reconocimiento por parte de los actores de amenazas de estados-nación en la búsqueda de objetivos políticos. En la actualidad, monitorizamos más de 10 mi homoglifos para detectar posibles suplantaciones. Nuestro objetivo es asegurarnos de que Microsoft no hospeda infraestructura malintencionada e informar a los clientes que podrían ser víctimas de este tipo de amenazas de suplantación de identidad.
La ciberdelincuencia y el fraude por motivos financieros se mantienen como una amenaza persistente
Si bien los ataques a los estados-nación todavía son una preocupación, también lo son los ciberataques por motivos financieros. El año pasado, Microsoft observó:
- Un aumento de 2,75 veces año tras año en los ataques de ransomware. Sin embargo, es importante destacar que se triplicaron los ataques de rescate que llegaron a la etapa de cifrado. Las técnicas de acceso inicial más frecuentes todavía son la ingeniería social, en específico el phishing por correo electrónico, el phishing por SMS y el phishing por voz, pero también el compromiso de la identidad y la explotación de vulnerabilidades en aplicaciones públicas o sistemas operativos sin parches.
- Las estafas tecnológicas se dispararon un 400% desde 2022. El año pasado, Microsoft observó un aumento significativo en el tráfico de estafas tecnológicas, con una frecuencia diaria que aumentó de 7 mil en 2023 a 100 mil en 2024. Más del 70% de la infraestructura maliciosa estuvo activa durante menos de dos horas, lo que significa que pueden desaparecer antes de que se detecten. Esta rápida tasa de rotación subraya la necesidad de medidas de ciberseguridad más ágiles y eficaces.
Los actores de amenazas experimentan con la IA generativa
El año pasado, comenzamos a ver que los actores de amenazas, tanto ciberdelincuentes como estados, experimentaron con IA. Al igual que la IA se utiliza cada vez más para ayudar a las personas a ser más eficientes, los actores de amenazas aprenden cómo pueden utilizar la eficiencia de la IA para dirigirse a las víctimas. En el caso de las operaciones de influencia, los actores afiliados a China favorecen las imágenes generadas por IA, mientras que los actores afiliados a Rusia utilizan la IA centrada en el audio en todos los medios. Hasta ahora, no hemos observado que este contenido sea efectivo para influir en las audiencias.
Pero la historia de la IA y la ciberseguridad también es optimista. Aunque todavía está en sus inicios, la IA ha demostrado sus beneficios a los profesionales de la ciberseguridad al actuar como una herramienta para ayudar a responder en una fracción del tiempo que le tomaría a una persona procesar de manera manual una multitud de alertas, archivos de código malicioso y el análisis de impacto correspondiente. Seguimos con la innovación de nuestra tecnología para encontrar nuevas formas en que la IA pueda beneficiar y fortalecer la ciberseguridad.
La colaboración todavía es crucial para fortalecer la ciberseguridad.
Con más de 600 millones de ataques al día dirigidos solo a los clientes de Microsoft, debe haber una presión compensatoria para reducir el número total de ataques en línea. La disuasión efectiva se puede lograr de dos maneras: mediante la negación de intrusiones o mediante la imposición de consecuencias por comportamiento malicioso. Microsoft sigue con su parte para reducir las intrusiones y se ha comprometido a tomar medidas para protegernos a nosotros mismos y a nuestros clientes a través de nuestra Iniciativa de Futuro Seguro.
Si bien la industria debe hacer más para negar los esfuerzos de los atacantes a través de una mejor ciberseguridad, esto debe combinarse con la acción del gobierno para imponer consecuencias que desalienten aún más los ataques cibernéticos más dañinos. El éxito solo se puede lograr al combinar la defensa con la disuasión. En los últimos años, se ha prestado mucha atención a la elaboración de normas internacionales de conducta en el ciberespacio. Sin embargo, hasta ahora esas normas carecen de consecuencias significativas por su violación, y los ataques de los Estados-nación no han sido intimidados, lo que aumenta en volumen y agresión. Para cambiar el campo de juego, se necesitará conciencia y compromiso tanto del sector público como del privado para que los atacantes ya no tengan la ventaja.
Microsoft comparte información importante sobre amenazas con la comunidad, incluida nuestra reciente investigación Cyber Signals que analiza los riesgos cibernéticos en el sector educativo.