Una mentalidad cada vez más común en el campo de la ciberseguridad es que en lugar de concentrar los esfuerzos en mantener a los ciberdelincuentes fuera de la red de una empresa, se están empezando a concentrar en suponer que es posible que eventualmente estos ciberdelincuentes rompan las defensas de la red de la empresa o incluso que ya estén dentro, y por lo tanto hay que detectarlos lo antes posible.
Mejora en la velocidad de las intrusiones
Esta es una mentalidad que parece que ha calado bastante bien en las empresas, ya que según un estudio de la firma Trustwave, este año se ha mejorado la velocidad con la que se detectan las intrusiones, así como los tiempos de contención.
En el estudio de Trustwave se registraron las fechas de la duración de la intrusión, de la detección y de la contención inicial siempre que fuera posible. Según el estudio en algunos casos, la contención puede ocurrir antes que la detección, por ejemplo, como cuando una actualización de software detiene un ataque antes de descubrirlo.
Sin embargo, las duraciones variaban mucho en los incidentes investigados en el estudio, pero se pudo ver una mejora. Ahora se tarda una media de 49 días en detectar una intrusión, muy por debajo de los 80,5 días que se tardaba en 2015.
Por otro lado, el tiempo que ahora pasa desde que se detecta la intrusión hasta que se soluciona es de 62 días, una cifra que, según el estudio, apenas ha variado en comparación con los 63 días que se tardaba hace dos años.
A la hora de detectar una intrusión de manera interna los tiempos son más cortos, entre una media de 16 días en comparación con los 15 días que se tardaba en 2015. Por el contrario en los casos en los que las víctimas no se enteraron de la intrusión hasta que los organismos reguladores y otros terceros lo notificaron la duración era generalmente mucho más larga.
Incidentes por sectores
Según el estudio de Trustwave la industria que más ataques sufre es la del retail con un 22%, le sigue la industria de alimentos y bebidas, con casi un 20%. Las finanzas y los seguros, con el 14%, y la hostelería con el 13%, fueron los más afectados, mientras que otros sectores representaron menos del 5% de los incidentes.
Por otro lado el estudio también señaló que los incidentes en los sistemas TPV han crecido, y que además, los datos sacados de los pagos con tarjetas de crédito son los que tienen mayor riesgo de ser interceptados.
Además las diferentes industrias pueden enfrentar diferentes tipos de ataques, por ejemplo, la mayoría de los incidentes que afectan a la industria de alimentos y bebidas apuntan a las infraestructuras de POS (Point-of-Sale). Asimismo, la industria del retail, que incluye tanto sitios de comercio electrónico y como tiendas físicas, experimentó el mayor porcentaje de incidentes que afectan a los activos de e-commerce.
Incidentes por regiones
Otra de las conclusiones importantes del estudio de Trustwave es que casi la mitad de los incidentes que se detectaron ocurrieron en América del Norte, concretamente un 49%, cuatro puntos más que el porcentaje del 2015 que fue un 45%. A esta le sigue con el 21% la región de Asia-Pacífico (APAC), con el 20% la región de Europa, Oriente Medio y África (EMEA), y con el 10% América Latina y el Caribe (ALC).
En cuanto al tipo de ataque que se recibió en cada región, según el estudio, los entornos de POS fueron más comunes en Norteamérica, que ha tardado más que la mayoría de regiones del mundo en adoptar la versión estándar de la tarjeta de pago EMV (llamada también chip y PIN).
Aumento de las ciberamenazas
Pero a pesar de que se tarda menos tiempo en detectar las intrusiones, lo cierto es que estas no han dejado de crecer y de expandirse, y esto preocupa mucho a las empresas y organismos públicos de todo el mundo, y no solamente por el volumen, sino también porque cada vez estas intrusiones son más sofisticadas y cada vez provocan más daños. Un ejemplo de ello sería el ataque global de la mano del ransomware WannaCry.
InnoTec, una empresa de ciberseguridad, afirmó recientemente que en 2016 gestionó más de 24.000 incidentes de ciberseguridad.
“El volumen de amenazas no deja de crecer año tras año. Concretamente, nuestra compañía ha pasado de gestionar alrededor de 3.500 incidentes de ciberseguridad en el año 2012 a cerca de 24.000 en 2016, cifras que ponen de manifiesto la importancia de estas amenazas”, ha afirmado Félix Muñoz, director general de ciberseguridad de Innotec.
Por otro lado, McAfee, en su último informe, revela que las nuevas muestras de malware crecieron un 22% en los últimos cuatro trimestres hasta llegar hoy en día a las 670 millones de muestras conocidas.
Además en el primer trimestre de 2017 en McAffe registraron 244 nuevas amenazas cada minuto, lo que equivale a 4 amenazas por segundo. Y lo que también ha crecido ha sido el malware móvil, que ha aumentado en un 79% en los últimos cuatro trimestres y actualmente se conocen 16,7 millones de muestras.
Ramsomware sigue creciendo
Por otro lado, según el estudio de McAfee, el ransomware ha seguido siendo uno de los puntos grandes de conflicto después del ataque de WannaCry, además de que ha crecido un 59% en los últimos cuatro trimestres a 9,6 millones de muestras conocidas.
El último ciberataque con este tipo de malware que se conoce tuvo lugar el pasado martes 27, cuando el Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), confirmó que se había identificado un ciberataque de un virus ransomware de la familia Petya, que tiene un comportamiento similar al WannaCry, contra varias multinacionales con sede en España, también a empresas ubicadas en Rusia, Ucrania, Dinamarca y Estados Unidos, en total se conoce que atacó los equipos informáticos de más de 80 multinacionales en todo el mundo.
Los expertos en ciberseguridad están conociendo más sobre este virus al cual la Europol ha calificado como “más sofisticado” que WannaCry. “Existen similitudes claras entre este ataque y WannaCry pero éste parece más sofisticado a la hora explotar las debilidades de los equipos», ha afirmado en un comunicado el director de Europol, Rob Wainwright.
Desde el Centro Criptológico Nacional CCN-CERT aseguraron que el ransomware de esta nueva ciberamenaza afectó a sistemas Windows, cifrando el sistema operativo o disco duro.
