El Equipo de Respuesta a Emergencias Globales de Kaspersky (GERT, por sus siglas en inglés) ha analizado los incidentes que nuestros expertos investigaron durante 2021 y ha preparado un informe detallado que puedes obtener rellenando este formulario en el blog de Securelist. Sin embargo, aquí nos gustaría compartir las principales conclusiones y recomendaciones de los expertos en respuesta.
Principales vías de ataque
En 2021, lo más común (53,6 % de los casos) era que los atacantes trataran de entrar en la infraestructura de las empresas aprovechando las vulnerabilidades de aplicaciones conocidas. En el 17,9 % de los casos utilizaron credenciales ya comprometidas y en el 14,3 % restante, correos electrónicos maliciosos. Ante esto, nuestros expertos recomiendan:
– Aplicar una política de contraseñas seguras y utilizar la autenticación multifactor.
– Eliminar la posibilidad de acceso directo por Internet a los sistemas de gestión de la información.
– Instalar lo antes posible las actualizaciones de los servicios y sistemas disponibles al público, o desarrollar medidas adecuadas para protegerlos.
– Incrementar la concienciación de los empleados en términos de ciberseguridad.
Herramientas usadas en los ataques
En casi un 40 % de los incidentes, los atacantes utilizaron herramientas comunes: o bien eran componentes legítimos del sistema operativo o bien software de prueba de penetración. Nuestros expertos aconsejan anticiparse a este tipo de ataques:
– Si es posible, dejar de utilizar software que suela ser explotado por los atacantes.
– Utilizar soluciones de tipo EDR.
– Establecer una serie de reglas para tratar de detectar las herramientas más utilizadas por los atacantes.
– Realizar pruebas de penetración y simulacros informáticos periódicos utilizando las técnicas y tácticas habituales de los atacantes.
Consecuencias de los incidentes
Los atacantes trataron de cifrar los datos corporativos en el 51 % de los incidentes. Y lo que es peor, el 16 % de esos ataques dieron lugar a fugas de datos. En el 11,1 %, el Directorio Activo se vio comprometido. Para minimizar los daños a tu empresa, recomendamos:
– Realizar copias de seguridad de los datos de forma periódica.
– Prestar especial atención a la protección de los sistemas que contienen datos personales.
– Trabajar con un proveedor de servicios de respuesta a incidentes de confianza con rápidos acuerdos de nivel de servicio.
– Mejorar y mantener las destrezas del equipo de respuesta a incidentes mediante formación especializada y ejercicios cibernéticos.
Para desarrollar las habilidades de los equipos internos de respuesta a incidentes y prepararlos para combatir ciberataques complejos, recomendamos el curso Kaspersky Expert Training Windows Incident Response. Dicho curso está basado en la experiencia y los conocimientos de los especialistas del mismo Equipo de Respuesta a Emergencias Globales de Kaspersky y, entre otras cosas, enseñará a tus especialistas a identificar correctamente los incidentes, obtener pruebas, a analizar registros y redes y a crear indicadores de peligro. Puedes leer más sobre el curso en la página de formación de expertos online.