Actualmente, más del 80% del tráfico que se dirige a Internet está cifrado. Esto significa que las empresas se enfrentan al desafío único de aplicar una seguridad consistente para todos sus usuarios remotos mientras que, paralelamente, los ciberdelincuentes adoptan tácticas cada vez más sofisticadas y utilizan canales cifrados en las distintas fases de los ataques de malware y ransomware. Así lo ha advertido Zscaler, compañía especializada en seguridad en la nube, al anunciar la llegada de su nuevo informe anual sobre el estado de los ataques encriptados.
Este estudio, titulado "Zscaler’s 2021 Encrypted Attacks Report", muestra un aumento muy significativo en las amenazas de HTTPS, el protocolo originalmente diseñado para una comunicación segura a través de las redes. Concretamente, en los nueve primeros meses de este año Zscaler bloqueó más de 20.000 millones de amenazas a través de HTTPS, lo que supone un aumento de más del 314 % respecto al año anterior.
Según señala la compañía, este aumento se ha registrado a lo largo de varias regiones geográficas como APAC, Europa y América del Norte, lo que demuestra "la necesidad de adoptar un modelo de seguridad de confianza cero y de realizar una mayor inspección del tráfico respecto a lo que la mayoría de las empresas consiguen con sus modelos de seguridad tradicionales basados en cortafuegos".
Asimismo, destaca que los ciberdelincuentes son cada vez más hábiles en sus ataques y pueden introducirse en el tráfico cifrado a través de varias ofensivas. No obstante, subraya que la más común ha sido el código malicioso representando el 91 % de los ataques, lo que significa un incremento del 212 % con respecto al año pasado. Por el contrario, señala que el malware de criptominería ha descendido un 20 %, lo que indica un cambio de tendencia más general en los ataques, en los que el ransomware se ha convertido en una opción más lucrativa.
El sector tecnológico, el más amenazado
La nueva edición de este informe también constata que los ataques a empresas tecnológicas, de comercio minorista y de venta al por mayor han experimentado un relevante aumento del número de amenazas. Los ataques a empresas tecnológicas aumentaron hasta un espectacular 2.300 %, y los ataques a empresas de comercio minorista y mayorista crecieron más de un 800 %.
"A medida que más empresas ofrezcan opciones de comercio electrónico durante la temporada de Navidad de 2021, se espera que los ciberdelincuentes apunten más al comercio electrónico y a las plataformas de pago digital con ataques de malware y ransomware. Esto se ha visto agravado por la inesperada necesidad de apoyar a los trabajadores remotos con conectividad remota a teleconferencias, aplicaciones basadas en SaaS y cargas de trabajo en la nube pública", argumenta Zscaler.
"Las empresas de tecnología también son un objetivo atractivo debido a su papel en la cadena de suministro. Un ataque con éxito a la cadena de suministro como el de Kaseya y SolarWinds puede dar a los atacantes acceso a un tesoro de información sobre los usuarios. Además, a medida que el planeta comienza a volver a la normalidad, y mientras se van reabriendo negocios y eventos públicos por todo el mundo, muchos trabajadores siguen trabajando en entornos relativamente inseguros. Lograr acceder a los sistemas críticos de los terminales de venta resulta muy atractivo para los ciberdelincuentes, ya que les abre la puerta a conseguir grandes beneficios", agrega la compañía.
Los ataques a servicios críticos han registrado un descenso
Por otra parte, el informe muestra que los ataques a organizaciones sanitarias han disminuido en un 27% en 2021 después de que el año pasado fueran uno de los principales objetivos. Del mismo modo, los ataques a organismos públicos descendieron un 10 %.
En este sentido, Zscaler recuerda que los ataques de ransomware que se dirigieron a servicios críticos, incluyendo el ataque a Colonial Pipeline y el ataque de ransomware al Health Services Executive de Irlanda, han llamado la atención a las altas instancias políticas y policiales, incluyendo la Casa Blanca, que recientemente firmó una Orden Ejecutiva para mejorar la ciberseguridad de los EE.UU.
"Después de ser en 2020 los dos principales objetivos, las organizaciones sanitarias y organismos gubernamentales se vieron en la necesidad de modernizar sus estrategias de seguridad con arquitecturas modernas, que se basan en gran medida en la confianza cero. También hubo un mayor seguimiento por parte de los gobiernos y campañas policiales contra los grupos cibercriminales, en respuesta a los ataques de alto perfil contra servicios críticos como Colonial Pipeline", ha declarado Deepen Desai, CISO y vicepresidente de Investigación y Operaciones de Seguridad de Zscaler. "Como resultado de estos dos elementos, hemos visto en este año como ha descendido el número de ataques a organizaciones sanitarias y gubernamentales".
Más países en el punto de mira
ThreatlabZ, el equipo de investigación de Zscaler, ha registrado ataques en más de 200 países y territorios de todo el mundo, incluidos países pequeños que no suelen ser objetivos habituales, como las islas del Caribe. Además, el incremento del modelo de trabajo remoto ha llevado a los empleados a desplazarse fuera de los grandes centros tecnológicos habituales, como el área de la bahía de San Francisco, Nueva York, Londres, París y Sydney.
Los cinco países más afectados por los ataques cifrados fueron el Reino Unido (5.446.549.767), Estados Unidos (2.674.879.625), India (2.169.135.553), Australia (1.806.003.182) y Francia (519.251.819). En conjunto, Europa lideró el ranking con 7.234.747.361 ataques, mientras que APAC (4.924.732.36) y Norteamérica (2.778.360.051) cerraron los tres primeros puestos.
Cómo reducir la amenaza de los ataques cifrados
Según ha afirmado Desai, la mayoría de los equipos de seguridad y TI de las empresas son conscientes de este riesgo, pero a menudo sufren para aplicar medidas de inspección SSL/TLS debido a la falta de recursos informáticos y/o a la preocupación por la privacidad.
"Como resultado, los canales cifrados crean un importante punto ciego en sus planteamientos de seguridad. El nuevo informe de Zscaler sobre el estado de ataques encriptados demuestra que la forma más efectiva de prevenir los ataques cifrados es con una arquitectura proxy escalable y basada en la nube para inspeccionar todo el tráfico cifrado, que es esencial para una estrategia integral de seguridad de confianza cero", ha resaltado Desai.
Zscaler también recalca que a medida que las organizaciones se transforman para apoyar nuevos modelos de trabajo facilitados por la tecnología, cada vez es más importante garantizar que sus activos y el tráfico a esos activos sean más seguros. Para reducir la amenaza de los ataques cifrados, el equipo de investigación de la compañía ha recomendado implementar una estrategia de seguridad de confianza cero que permita a las organizaciones:
- Prevención del compromiso: Proporcionar una seguridad consistente para todos los usuarios y todas las ubicaciones para garantizar que todos tengan el mismo nivel de seguridad todo el tiempo, ya sea que se encuentren en sus casas, en las oficinas centrales o en el extranjero. Utilizar una arquitectura nativa en la nube y basada en proxy para inspeccionar todo el tráfico de cada usuario y descifrar, detectar y prevenir las amenazas que puedan esconderse en el tráfico HTTPS.
- Evitar el movimiento lateral: Utilizar una arquitectura de confianza cero con un sistema de ocultación para reducir la superficie de ataque y evitar el movimiento lateral de los ciberdelincuentes. Este tipo de arquitectura hace que las aplicaciones sean invisibles para los atacantes y permite a los usuarios autorizados acceder directamente a los recursos necesarios y no a toda la red.
- Impedir la pérdida de datos: Poner en cuarentena los ataques desconocidos o las aplicaciones comprometidas en un sandbox accionado con IA para detener el malware y el ransomware del paciente cero. A diferencia de los enfoques de tránsito basados en cortafuegos, este diseño retiene todo el contenido sospechoso para su análisis, garantizando que los intentos de violación se detengan antes de que puedan acceder a los sistemas sensibles y robar información crítica para el negocio.