HP ha publicado un informe de seguridad de HP Wolf, La evolución de la ciberdelincuencia: por qué la Dark Web está sobrealimentando el panorama de las amenazas y cómo contraatacar. Los resultados muestran que la ciberdelincuencia se está potenciando a través de kits de malware listos para usar o «plug-and-play» que facilitan más que nunca el lanzamiento de ataques. Los grupos organizados de delincuentes informáticos están colaborando con hackers amateurs para atacar a las empresas, poniendo en riesgo el mundo online.
El equipo de amenazas de HP Wolf Security trabajó con Forensic Pathways en una investigación de tres meses sobre la Dark Web, rastreando y analizando más de 35 millones de mercados y mensajes de foros de ciberdelincuentes para entender cómo operan los ciberdelincuentes, cómo se ganan la confianza y cómo construyen su reputación.
Las principales conclusiones son:
- El malware es barato y fácil de conseguir: más de tres cuartas partes (76%) de los anuncios de malware que aparecen, y el 91% de los exploits (es decir, el código que da a los atacantes el control de los sistemas aprovechando los fallos del software), se venden al por menor por menos de 10 euros. El coste medio de las credenciales del Protocolo de Escritorio Remoto comprometidas es de algo menos de 5 euros. Los proveedores están vendiendo productos en paquetes, con kits de malware «plug-and-play», malware como servicio, tutoriales y servicios de tutoría que reducen la necesidad de conocimientos técnicos y experiencia para llevar a cabo ataques complejos y dirigidos; de hecho, sólo el 2-3% de los autores de amenazas son programadores expertos.
- La ironía del «honor entre los ciberladrones”: Al igual que en el mundo del comercio legal online, la confianza y la reputación son, irónicamente, partes esenciales del comercio de los ciberdelincuentes: el 77% de los mercados de ciberdelincuentes analizados requieren una fianza de vendedor -una licencia para vender- que puede costar hasta 3.000 euros. El 85% de ellos utilizan pagos en custodia, y el 92% tienen un servicio de resolución de conflictos de terceros. Todos los mercados ofrecen puntuaciones de los vendedores. Los ciberdelincuentes también intentan ir un paso por delante de las fuerzas de seguridad transfiriendo su reputación entre sitios web, ya que la vida media de un usuario o perfil (antes que sea transferido a otro lugar) que usa el navegador de internet “Tor” es de sólo 55 días (el navegador de internet Tor está basado en Firefox, pero es el mayoritariamente utilizado por los ciberdelincuentes para “navegar” por la Dark Web, dado que garantiza plenamente el anonimato del usuario, dirección IP, etc.
- El software común está dando a los ciberdelincuentes una puerta de entrada: Los ciberdelincuentes se están centrando en la búsqueda de brechas en el software que les permita conseguir un punto de apoyo y tomar el control de los sistemas, centrándose en los errores y vulnerabilidades conocidos en el software común. Algunos ejemplos son el sistema operativo Windows, Microsoft Office, los sistemas de gestión de contenidos web, y los servidores web y de correo. Los kits que aprovechan las vulnerabilidades de los sistemas de nicho son los que alcanzan los precios más elevados (suelen oscilar entre 1.000 y 4.000 euros). Los Zero Days (vulnerabilidades que aún no se conocen públicamente, y por ello las más peligrosas) se venden a decenas de miles de euros en los mercados de la dark web.
El equipo de amenazas de HP Wolf Security trabajó con Forensic Pathways en una investigación de tres meses sobre la Dark Web
“Por desgracia, nunca ha sido tan fácil ser un ciberdelincuente. Antes, los ataques complejos requerían grandes habilidades, conocimientos y recursos. Ahora la tecnología y la formación están disponibles por el precio de un litro de gasolina. Y ya sea porque los datos de su empresa o de sus clientes están expuestos, porque las entregas se retrasan o incluso porque se cancela una cita en el hospital, la explosión de la ciberdelincuencia nos afecta a todos», comenta el autor del informe, Alex Holland, analista principal de malware de HP.
“En el centro de todo esto está el ransomware, que ha creado un nuevo ecosistema cibercriminal que recompensa a los agentes más pequeños con una parte de los beneficios. Esto está creando una línea de producción de cibercrimen, produciendo ataques contra los que puede ser muy difícil defenderse y poniendo en el punto de mira a las empresas de las que todos dependemos», añade Holland.
HP consultó a un grupo de expertos en ciberseguridad y del mundo de la investigación, entre los que se encontraban el ex hacker Michael ‘Mafia Boy’ Calcey el Dr. Mike McGuire, criminólogo de profesión, para entender cómo ha evolucionado la ciberdelincuencia y qué pueden hacer las empresas para protegerse mejor contra las amenazas actuales y futuras. Advirtieron que las empresas deben prepararse para ataques destructivos de denegación de datos, campañas cibernéticas cada vez más selectivas y ciberdelincuentes que utilizan tecnologías emergentes como la inteligencia artificial para desafiar la integridad de los datos de las organizaciones.
Para protegerse de las amenazas actuales y futuras, el informe ofrece los siguientes consejos a las empresas:
Dominar los aspectos básicos para reducir las posibilidades de los ciberdelincuentes: seguir las mejores prácticas, como la autenticación multifactor y la gestión de parches; reducir la superficie de ataque de los principales vectores de ataque, como el correo electrónico, la navegación web y las descargas de archivos; y dar prioridad al hardware autorreparable para aumentar la resistencia.
Centrarse en ganar el juego: planificar para lo peor; limitar el riesgo que suponen su plantilla y sus partners estableciendo procesos para investigar la seguridad de los proveedores y formar a los trabajadores en materia de ingeniería social; y estar orientado a los procesos, además de ensayar las respuestas a los ataques para poder identificar los problemas, realizar mejoras y estar mejor preparado.
La ciberdelincuencia es un deporte de equipo. La ciberseguridad también debe serlo: hablar con los compañeros para compartir información e inteligencia sobre amenazas en tiempo real; utilizar la inteligencia sobre amenazas y ser proactivo en la exploración del entorno supervisando los debates abiertos en los foros clandestinos; y trabajar con servicios de seguridad de terceros para descubrir los puntos débiles y los riesgos críticos que hay que abordar.
«Todos tenemos que hacer más para luchar contra la creciente maquinaria de la ciberdelincuencia», afirma el Dr. Ian Pratt, director Global de Seguridad para Sistemas Personales de HP Inc. «Para los individuos, esto significa tomar conciencia cibernética. La mayoría de los ataques comienzan con un clic del ratón, por lo que pensar antes de hacer clic es siempre importante. Pero disponer de una red de seguridad comprando tecnología que pueda mitigar y recuperarse del impacto de los clics peligrosos es aún más importante».
“Para las empresas, es importante crear resiliencia y cerrar tantas rutas de ataque frecuentes como sea posible», continúa Pratt. “Por ejemplo, los ciberdelincuentes estudian los parches en el momento de su lanzamiento y rápidamente dan vuelta a un exploit antes de que las organizaciones hayan parcheado. Por lo tanto, acelerar la instalación de los parches es clave. Agrupar y neutralizar las categorías más comunes de amenazas mediante técnicas como la contención y el aislamiento de amenazas también puede eliminar tipos enteros de amenazas».