Marc Sureda
La compañía Sophos, dedicada al sector de la ciberseguridad, ha publicado el informe «The Bite from Inside: The Sophos Active Adversary Report», analizando las técnicas de ataque utilizadas en la primera mitad de 2024. Según los datos recopilados por esta firma, de casi 200 casos de respuesta a incidentes (IR), se ha registrado un aumento del 51% en el abuso de binarios «living off the land» (LOLBins), herramientas legítimas de Windows utilizadas maliciosamente por los atacantes.
Desde 2021, el abuso de estas herramientas ha crecido un 83%, con el Protocolo de Escritorio Remoto (RDP) como la aplicación más explotada, presente en el 89% de los casos analizados. Este enfoque discreto permite a los atacantes realizar actividades maliciosas sin levantar sospechas inmediatas. Según John Shier, CTO Field de Sophos, los equipos de TI deben entender el uso legítimo de estas herramientas en sus entornos para identificar abusos y prevenir amenazas críticas, como el ransomware.
LockBit lidera los ataques de ransomware
A pesar de las interrupciones en su infraestructura por parte del gobierno, el grupo LockBit encabezó las detecciones de ransomware en el informe de Sophos, representando el 21% de los ataques en la primera mitad de 2024. Este dato resalta la persistencia de grupos organizados incluso bajo medidas de presión y su impacto en el panorama de amenazas global.
Credenciales comprometidas: la puerta de entrada principal
El informe confirma que las credenciales comprometidas siguen siendo la causa principal de los ataques, aunque su prevalencia ha disminuido del 56% en 2023 al 39% en 2024. Estas brechas son clave para los atacantes, que logran acceso a redes y sistemas críticos utilizando credenciales robadas o vulneradas.
Reducción en los tiempos de detección
Sophos también informa de una mejora en los tiempos de respuesta gracias a servicios como Managed Detection and Response (MDR). Mientras que el tiempo promedio de permanencia de un atacante en incidentes generales es de ocho días, los casos gestionados por el equipo MDR reducen este tiempo a un día, y a tres días en ataques de ransomware.
Activos vulnerables y sistemas obsoletos
El informe revela que los servidores de Active Directory comprometidos suelen ser versiones cercanas al final de su vida útil, como las de 2019, 2016 y 2012. Un preocupante 21% de los servidores afectados ya no contaba con soporte oficial de Microsoft, lo que agrava su exposición a ciberataques.
Reflexión sobre el panorama de la ciberseguridad
Los hallazgos de Sophos subrayan la creciente sofisticación de los ciberataques y la importancia de estrategias proactivas en ciberseguridad. Desde la monitorización de herramientas legítimas hasta la actualización de sistemas críticos, las organizaciones deben adoptar medidas preventivas para protegerse frente a un panorama de amenazas cada vez más complejo.
