La seguridad de información se ha convertido en uno de los mayores retos de las compañías a nivel global, la amenaza interna es uno de los grandes problemas en materia de ciberseguridad, ya que se trata de defender los datos de la compañía, de los propios empleados. Esto puede ser particularmente difícil, ya que el usuario a menudo podría tener un alto nivel de permisos y derechos de acceso.
Este desafío se observa particularmente durante el proceso de salida de sus empleados, en el robo o movimiento de datos de una organización. Esto debido a que muchos colaboradores suelen utilizar dispositivos USB para llevar a cabo sus tareas diarias, lo que facilita la transmisión de datos de un dispositivo a otro.
El robo de datos se da a través de infecciones de malware como un tipo de amenaza, impulsado por la proliferación de robo de información como URSA, Vidar y Raccoon, entre otros. En muchos casos los actores utilizan credenciales legítimas para acceder y autenticarse en los sistemas.
Los expertos de Kroll señalan que los actores web que afectan a los comercios electrónicos de tamaño pequeño a mediano han estado en aumento desde el inicio de la pandemia, cuando muchas tiendas físicas tuvieron que mover parcial o completamente sus esfuerzos de ventas a plataformas online. En muchos de estos casos, la seguridad cibernética puede haber pasado a un segundo plano ya que los comerciantes trabajaron para mantener las ventas en medio de los bloqueos.
Aunque no existe una vulnerabilidad singular relacionada con esta actividad, Kroll ha observado con frecuencia a actores que aprovechan los sitios de comercio electrónico que tienen poca o ninguna capacidad para identificar actividades maliciosas y que en general, carecen de copias de seguridad sólidas o sistemas de gestión de parches.
El malware (excluido el ransomware) experimentó un salto del 1 % en el segundo trimestre al 5 % de los casos en el tercer trimestre. Es probable que el aumento esté relacionado con la proliferación de programas malignos que roban información, como Redline, Mapache, Vidar y URSA. Estos tipos de malware, también conocidos como “ladrones de información”, normalmente se propagan a través de campañas de phishing. Una vez que el equipo de la víctima está infectado, el malware puede apuntar y robar una variedad de datos, incluidos los historiales del navegador, las huellas dactilares, credenciales de inicio de sesión y datos financieros.
La información de este malware a menudo se vende en los mercados de credenciales donde un usuario puede comprar una lista que le da acceso desde una computadora comprometida desde la cual pueden registrar un ataque, además, se cree que la información obtenida a través de este tipo de malware ayuda a impulsar las actividades de los corredores de acceso inicial que operan en la ecoesfera del ransomware para proporcionar credenciales legítimas que dan acceso a las redes corporativas.
En la misma línea, en el tercer trimestre de 2022, Kroll observó un repunte en el phishing y el uso de cuentas válidas como vector para acceso inicial. Esto se realiza a través del envío de señuelos de phishing a través de mensajes de texto, conocidos como “smishing”: donde los ciberdelincuentes envían la carga maliciosa a través de un archivo contenedor en lugar de un documento de Office. Los delincuentes que utilizan este método pueden hacerse cargo de una cuenta de varias maneras diferentes, como la compra de credenciales de malware de robo de información o ataques de relleno de identificación.
La combinación de ventanas falsas, portales y el programa maligno que roba credenciales hace que sea difícil identificar la estafa. Una vez que se ha sido víctima del ataque de phishing inicial, el proceso parece increíblemente similar al sitio web legítimo, y, en consecuencia, muchos ingresarán sus credenciales normalmente.
Por último, para los expertos de Kroll, es positivo ver una reducción en los ataques a una serie de sectores como la tecnología, telecomunicaciones, hotelería y servicios financieros en comparación con el trimestre anterior. Sin embargo, la velocidad y el volumen de los cambios en los niveles de ataque observados trimestre a trimestre a lo largo 2022 destacan que las organizaciones en todos los sectores deben asegurarse de que están tomando las medidas adecuadas para mantener una sólida postura de seguridad.
La cantidad de tendencias positivas en el tercer trimestre, como una meseta en el robo de datos del correo electrónico y una disminución en los ataques de ransomware se han visto eclipsados por el aumento significativo de las amenazas internas. Los impactos de la pandemia todavía se sienten en un mercado laboral más fluido y altos los niveles de trabajo remoto o híbrido, que influyen en el panorama de amenazas. Las organizaciones están bajo mayor presión que nunca para evaluar sus posibles amenazas a la seguridad desde múltiples perspectivas, incluyendo tanto las amenazas externas como las ocultas dentro de la organización.