El Centro SOC iRis de IPS TECHNOLOGY detectó el año pasado más de 21.000 ataques informáticos de seguridad, de las cuales gestionó 6.480 incidencias, que afectaron a equipos o redes informáticas de empresas, con problemas de seguridad por estar afectados por alguna actividad maliciosa.  Ataques informáticos que van desde el robo de la contraseña de una cuenta de correo  (email spoofing); phishing (que buscan el robo de datos bancarios, en la mayor parte de los casos datos de tarjetas de pago o credenciales de acceso a banca online); ramsomware (cifrado de datos) o accesos no autorizados.

Estos datos se recogen en el primer informe sobre ciberseguridad que realiza nuestro Centro SOC iRis, las principales amenazas encontradas corresponden a troyanos que representan el 80% del total, por delante de los virus y fraudes.

iRiS lleva en funcionamiento desde el 2014, año a partir del cual comienza la vigilancia y supervisión de la seguridad de la información de los sistemas de nuestros clientes. Una vigilancia enfocada de forma proactiva y teniendo presente el gran valor de los datos a proteger, los cuales representan el activo más importante de un negocio.

Una de sus funciones es notificar avisos de seguridad. En 2021 se han comunicado a nuestros clientes 6.163 notificaciones de seguridad, con el objetivo de concienciación, mitigación y resolución de estas.

iRiS pone de relieve que la adopción de medidas de ciberseguridad por parte de las empresas en los últimos años ha llevado a una reducción de los avisos que afectan a la seguridad de las empresas. Pero, aun así contar con planes y protocolos de ciberseguridad en las organizaciones es la clave de la prevención.

¿Cuáles son las principales tareas del SOC iRiS?

El núcleo central de la función de nuestro SOC lo componen las siguientes funciones:

• Gestión de los sistemas antivirus y atención de las detecciones de amenazas.
• Supervisión y mantenimiento de los sistemas de copias de seguridad.
• Monitorización de componentes hardware de servidores.
• Administración de dispositivos de gestión unificada de amenazas (UTM).
• Aplicación de planes de contingencia en caso de incidentes de seguridad.
• Notificación a los clientes de las incidencias detectadas y de la solución aplicada.
• Mantener actualizados los Sistemas Operativos y aplicaciones de todos los equipos.

Los cinco ataques informáticos más frecuentes, gestionados por el SOC de IPS durante este 2021:

Suplantación de email (email spoofing) / Robo de cuentas de email

Aunque se han dado pocos casos, este incidente de seguridad, que puede ser de dos tipos, es bastante grave.

El robo de la contraseña de una cuenta de correo puede tomar el control de esta y permitir a un ciberdelincuente enviar correos como si de la persona real se tratara.

Otro método, no tan «dañino» como el anterior, consiste en que los crackers utilicen servicios que suplantan la identidad de los correos, copiando en ocasiones la misma dirección de correo y en otros casos utilizando únicamente un alias (nombre del remitente) igual al del nombre de la cuenta de correo. El peligroso malware Emotet utiliza este método para propagarse: roba la lista de contactos de correo de los equipos infectados y utiliza el alias de la cuenta de correo del equipo para enviar un correo con malware a todos esos contactos robados.

Nuestro Cetro Soc vigila en tiempo real los clientes de correo (Outlook, Thunderbird, etc.) para detectar la recepción de este tipo de correos.

Correos de phishing

Este tipo de «ciberataque», que también es tal, es uno de los más extendidos. La cantidad de envíos de correos electrónicos de este tipo al día en el mundo se cuentan por millones. La finalidad de esta técnica de ciberdelincuencia es el robo de datos bancarios, en la mayor parte de los casos datos de tarjetas de pago o credenciales de acceso a banca online. Consiste en el envío de emails que tratan de suplantar a una entidad o empresa, solicitando un pago o un acceso al banco. Contienen un enlace o link en el cuerpo del mensaje que al hacer clic en él conduce a una web falsa y relacionada con el contenido y falso remitente del email. Si se llegan a introducir los datos bancarios solicitados, estos serán robados y utilizados para sustraer dinero de la víctima.

También nos encontramos a menudo con correos de phishing que suplantan a otro tipo de servicios como proveedores de correo electrónico, advirtiendo al destinatario de que debe realizar ciertas acciones en su cuenta de correo desde el portal del proveedor de servicio de correo, con el fin de robar las contraseñas de acceso a dicha cuenta de correo.

Es muy importante es estos casos prestar atención a cada email recibido, revisarle por completo ante la mínima sospecha o al detectar cualquier dato extraño y, en caso de duda, reportarlo al SOC de IPS para su revisión.

Equipos zombie

Se denomina así a los equipos que han sido infectados por un malware específico que les ha unido a una botnet o red zombie. Los UTM de Sophos con los que cuentan nuestros clientes permiten detectar si hay algún dispositivo en la red interna que esté infectado con un malware que lo convierta en un equipo al servicio de una botnet, pudiendo así ejecutar las acciones oportunas para eliminar esta amenaza.

Accesos no autorizados

Un acceso a los datos realizado por alguien no autorizado se puede producir principalmente por dos motivos: robo de contraseña o adivinación de esta. Un robo se puede producir por anotar las contraseñas donde queden a la vista, por facilitarla a terceras personas pensando que son de confianza, etc. Este es un fallo fácil de evitar, como también lo es el motivo de que puedan averiguar nuestras contraseñas: haber establecido contraseñas débiles. Es muy importante contar con contraseñas de al menos 8 caracteres, que combinen letras mayúsculas/minúsculas, números y caracteres especiales (@, !, #, etc.).

No son pocos los casos en los que nos hemos encontrado con contraseñas en vigor que siguen la siguiente estructura o sintaxis: «nombre_entidad»+»año». El tiempo que tardaría un ataque de «fuerza bruta» (con un diccionario ad hoc de combinaciones) o un ataque de «ingeniería social» en descubrir una contraseña así de débil, se cuenta en pocos minutos, incluso en segundos.

Infecciones por ransomware

Aunque este tipo de incidente de ciberseguridad puede llegar a ser uno de los más graves, lo cierto es que en el último año ha sido el que en menor medida (dentro de los más importantes) se ha producido en los sistemas de nuestros clientes.

Un ransomware es un tipo de malware que cifra los datos (archivos y carpetas) del equipo que infecta, siendo necesario pagar un rescate a los ciberdelincuentes para que estos faciliten la clave de descifrado. Las versiones modernas son capaces de propagarse por la red desde el equipo infectado para cifrar también los datos de otros equipos que tengan datos expuestos a dicha red. Esto no recuerda la enorme importancia de contar con un sistema de copias de seguridad, actualizado y mantenido correctamente, al que poder acudir en caso de necesitar recuperar los datos más recientes.

Actualmente existe una evolución de este malware denominada ransomware 2.0, con la nefasta característica de que roba los datos antes cifrarlos y los envía a los ciberdelincuentes. Si la víctima se niega a pagar, entonces surge el segundo chantaje, el plan B de los crackers, que consiste en amenazar con publicar o filtrar (en ciberseguridad conocido como data leak) esos datos si la víctima no se decide a efectuar el pago requerido.

Sistemas operativos obsoletos: una puerta abierta al malware

Un sistema operativo de Microsoft cuyo soporte haya sido abandonado por haber finalizado su «vida útil», no recibirá actualizaciones ni parches de seguridad. Todas sus nuevas vulnerabilidades descubiertas por investigadores de ciberseguridad y crackers acabarán siendo públicas y aprovechadas por los segundos para colarse en los equipos y en las redes corporativas para robar datos, ejecutar cualquier tipo de malware, provocar pérdida de información, etc.

Los dos sistemas operativos sin soporte más extendidos en la actualidad son Windows XP y Windows 7. Si se conecta a una red corporativa un solo equipo que tenga cualquiera de estos dos sistemas operativos, se estaría poniendo en riesgo a todos los dispositivos conectados a esa red. Y facilitando los posibles ataques informáticos a las organizaciónes.

Desde hace unos meses hemos comenzado a desplegar una potente herramienta en los servidores de nuestros clientes que, entre otras funciones avanzadas, permite detectar equipos con sistemas operativos obsoletos que hayan sido conectados a la red y en una fecha posterior a la implantación de nuestros servicios.

Notificación de ataques informáticos e incidentes de ciberseguridad detectados en el SOC

Las detecciones de incidentes de ciberseguridad y ataques informáticos son notificadas al cliente cada día. De esta forma queremos transmitir a nuestros clientes no solo transparencia en los riesgos a los que han llegado a estar expuestos sus sistemas, sino también la tranquilidad de que cuentan con un sistema de vigilancia de sus datos que está permanentemente activo y que funciona. Nada en el mundo de la ciberseguridad puede ofrecer un 100% de garantía de que una empresa o particular no va a sufrir un ciberataque, pero la brecha de riesgo se va a reducir considerablemente contando con un buen sistema de protección y con el plan de contingencia adecuado.

Formación de los trabajadores

Desde iRis, queremos resaltar que la concienciación y formación de los trabajadores es imprescindible para evitar los ataques, ya que está demostrado que una buena cantidad de los incidentes se producen por imprudencias de los trabajadores.

Desde su puesta en marcha, se ha llevado a cabo acciones de concienciación, sensibilización y formación a más de 300 trabajadores. Lo que les permite ser conscientes de los posibles ataques informáticos a los que se enfrentan .

En IPS Technology llevamos la Transformación Digital a tu Empresa.