Según el informe X-Force Threat Intelligence Index 2024 de IBM, Colombia se ubica como el segundo país de Latinoamérica con mayor cantidad de ciberataques, seguido de Chile y en primer lugar esta Brasil.
El IBM X-Force Threat Intelligence Index 2024 proporciona información sobre las tácticas de los atacantes y cómo protegerse. Basado en el monitoreo de más de 150 mil millones de eventos de seguridad al día en más de 130 países. Algunos puntos que se destacan son:
- Aumento de ataques con credenciales robadas o comprometidas: Hubo un aumento del 71% en los ciberataques que utilizaron credenciales robadas o comprometidas.
- Enfoque en robo y filtración de datos: El 32% de los ciberincidentes involucraron robo y filtración de datos. Los atacantes prefieren robar y vender datos en lugar de cifrarlos para extorsión.
- Mercado de IA como objetivo: Se espera que el 50% de la cuota de mercado de la IA incentive a los ciberdelincuentes a desarrollar herramientas rentables para atacar tecnologías de IA.
- Aumento del uso de infostealers: Los grupos de amenazas que antes se especializaban en ransomware muestran más interés por los infostealers con un aumento de 266%. Se destacan los infostealers: Rhadamanthys, LummaC2 y StrelaStealer
- Errores de configuración de seguridad representan el 30% entre las vulnerabilidades de aplicaciones web. Entre los errores se detectaron múltiples sesiones de usuario simultáneas en la aplicación.
Estos ataques se centran en la suplantación de identidades de usuarios, la explotación de vulnerabilidades tecnológicas en computadoras, servidores, aplicaciones y programas públicos, así como el aumento del phishing.
Los sectores empresariales más afectados por los ciberataques suelen ser aquellos que manejan datos sensibles, como información financiera, datos personales o propiedad intelectual. Algunos de los sectores más vulnerables incluyen:
- Servicios financieros: Los bancos, instituciones de crédito y empresas de inversión son objetivos frecuentes debido a la gran cantidad de datos financieros que manejan.
- Salud y atención médica: Los ataques dirigidos a hospitales, clínicas y proveedores de servicios de salud pueden comprometer la privacidad de los pacientes y afectar la prestación de atención médica.
- Tecnología y telecomunicaciones: Las empresas de tecnología y telecomunicaciones son vulnerables debido a su infraestructura crítica y la gran cantidad de datos que manejan.
- Energía y servicios públicos: Los ciberataques pueden afectar la infraestructura energética y causar interrupciones en los servicios públicos.
- Comercio electrónico y minoristas: Las tiendas en línea y las empresas minoristas son objetivos para el robo de datos de tarjetas de crédito y la interrupción de operaciones.
- Industria manufacturera: Las empresas manufactureras pueden ser atacadas para robar secretos comerciales o interrumpir la producción.
- Gobierno y administración pública: Los ataques a agencias gubernamentales pueden afectar la seguridad nacional y la prestación de servicios públicos.
Empresas afectadas por ciberataques en Colombia
Muchas empresas privadas y del estado han sido victimas de ciberataques en los últimos meses. Hace poco se conoció que las Empresas Municipales de Cali (Emcali) había sido víctima nuevamente de un ataque informático, el cual afectó principalmente los servicios de pagos en línea y especialmente los procesos en el portal web. Según informe del gerente de servicios de información la forma de contener el ataque fue aislando el software afectado, los sistemas comerciales, la conectividad a sistemas administrativos y de usuarios temporalmente. Actualmente la empresa sigue trabajando para resolver la situación y proteger la integridad de los datos.
Haciendo un test básico al dominio de Emcali.com.co para validar datos expuestos e información registrada en la Dark Web, donde los ciberdelincuentes usan para comercializar, anunciar o compartir datos robados, se encuentran lo siguiente:
Al realizar otras validaciones de seguridad, encontramos la existencia de muchas vulnerabilidades en algunos sitios y subdominios relacionados con Emcali.com.co, lo que significa un alto riesgo para la ciberseguridad de la entidad. Estos son algunos:
Por otro lado, en abril de 2024, el COLCERT (Centro de Respuesta a Emergencias Cibernéticas de Colombia), detecto una actividad maliciosa que comprometía varios dominios de entidades del estado, donde la configuración de los sitios y dominios de las entidades habían sido alterados para redirigir a los usuarios hacia sitios asociados con «Robux», la moneda virtual del juego Roblox, lo cual implica la existencia de vulnerabilidades críticas que los ciberatacantes han explotado por medio de la manipulación de los sistemas de búsqueda y la inyección de código dañino en los sitios web comprometidos.
Al realizar una búsqueda de sitios gubernamentales en Colombia relacionados con esta amenaza, encontramos una lista de dominios comprometidos:
Frente esta situación, si el usuario que visita estas paginas cuenta con las medidas de seguridad adecuadas, al dar clic en el sitio comprometido será informado con una alerta de seguridad como la siguiente:
Además, si usa un software de protección antimalware efectivo, será bloqueada la amenaza y eliminara el archivo malicioso que se descarga del sitio infectado:
La lista de dominios afectados incluye entre otros los siguientes:
- Gestióndelriesgo.gov.co
- Esemorenoyclavijo.gov.co
- Cancillería.gov.co
- Infipereira.gov.co
- Medellíndigital.gov.co
- Concejomunicipaldechinu.gov.co
- Icamosrroquillo.gov.co
- lcamorrosquillo.gov.co
- Aerocivil.gov.co
- villeta-cundinamarca.gov.co
- esehospitalzonabananera.gov.co
- saludcapital.gov.co
Sitios alojados en proveedores de servicios en la nube como Google, AWS o Azure con muchos puertos y servicios abiertos, no están libres de vulnerabilidades, los cuales permanecen por mucho tiempo sin ser corregidos, dando la oportunidad a los ciberdelincuentes de explotarlas, comprometiendo la seguridad de los datos y de los usuarios que los visitan.
El siguiente listado corresponde a dominios de gobierno que han sido atacados, afectando la apariencia del sitio y en la mayoría de los casos le inyectan scripts maliciosos que buscan infectar a los usuarios que visiten el sitio:
En algunos de los sitios atacados, se detecto malware con diferentes propósitos:
php.spam-seo.doorway-gen: Este código malicioso spam-SEO es uno de los tipos de infecciones más comunes que afecta a muchos sitios web, el cual busca infectar el sitio y hacer el redireccionamiento a sitios web de spam/estafa a través de la explotación de complementos vulnerables de WordPress. Este malware es capaz de generar procesos maliciosos que reinfectan inmediatamente los archivos del sitio web. Esto suele afectar el archivo ./index.php, así como al archivo .htaccess principal en la raíz web.
php/agent.txt: Este troyano realiza actividades sin el conocimiento del usuario. Estas actividades suelen incluir el establecimiento de conexiones de acceso remoto, la captura de la entrada del teclado, la recopilación de información del sistema, la descarga/carga de archivos, la colocación de otro malware en el sistema infectado, la realización de ataques de denegación de servicio (DoS) y la ejecución/terminación de procesos, entre otros.
Las técnicas mas comunes utilizados por ciberatacantes para comprometer la seguridad de sitios web y redirigir a los usuarios a sitios maliciosos son variados y sofisticados, entre ellas encontramos:
- Compromiso de sitios legítimos: Atacantes explotan fallos de seguridad en sitios web fiables para redirigir a los usuarios a páginas dañinas sin que se den cuenta.
- Ataques Man-in-the-Middle (MITM): Posicionamiento del atacante en la comunicación entre el usuario y el sitio web para interceptar y alterar los datos transmitidos.
- Cross-Site Scripting (XSS): Explotación de vulnerabilidades en páginas web para ejecutar scripts dañinos en el navegador y redirigir usuarios a sitios perjudiciales.
- Phishing y sitios de cebo: Empleo de engaños mediante páginas que simulan ser de confianza para obtener información personal de los usuarios.
- Secuestro de sesión y robo de cookies: Captura de cookies para acceder a cuentas de usuario sin autorización y realizar actividades fraudulentas.
Recomendaciones de ciberseguridad
- Implemente software de protección con capas de detección y respuesta frente a amenazas avanzadas en todos las estaciones de trabajo y servidores que incluya la revisión de servicios de correo para detectar phishing, malware, infostealers y ransomware. Estas herramientas también pueden detectar comportamientos anómalos, como la exfiltración de datos.
- Examine todo el tráfico de terceros y considérelo no fiable hasta que se verifique lo contrario. Los atacantes que usan el método watering hole suelen aprovechar recursos legítimos para distribuir su malware.
- Consulte expertos para crear y poner en funcionamiento la búsqueda de amenazas en su entorno digital, utilizando la inteligencia de amenazas para identificar información clave que le permita mitigar nuevas amenazas de atacantes que buscan robar sus credenciales o información confidencial.
- Identifique su nivel de exposición a la dark web. Los datos disponibles sobre su organización en la dark web ponen de manifiesto el riesgo que reside fuera del control del perímetro de su red. Identifique la siguiente información:
- Encuentren credenciales y claves de sesión comprometidas.
- Comprueben las identidades digitales de sus directivos para encontrar sobreexposición de PII (Información de Identificación personal) críticas contra ejecutivos y creación fraudulenta de perfiles en redes sociales.
- Analicen las redes sociales, los canales relacionados con su sector, blogs y anuncios en busca de usos no autorizados de su marca.
- Identifiquen los datos prioritarios, confidenciales y sensibles filtrados.
- Evalúen foros, mercados de tarjetas de crédito, canales de Telegram, chats y foros de debate, repositorios de código, repositorios de documentos y archivos, rastreadores de web superficial y sitios de copiado y pegado para comprobar la exposición de credenciales y claves de sesión robadas.
- Implemente un enfoque DevSecOps en sus aplicaciones que limite la posibilidad de secuestro de sesión, utilice conexiones seguras y cifradas (HTTPS), implemente tiempos de espera de sesión y solicite reautenticación. Realice pruebas de penetración avanzadas para probar sus aplicaciones, redes, hardware y personal con el fin de detectar vulnerabilidades y puntos débiles en todos sus activos.
- Usar herramientas especializadas para detectar manipulaciones maliciosas en el código de los sitios web, identificando redirecciones no autorizadas y otros signos de compromiso.
- Diseñe planes de respuesta a incidentes ajustado a su entorno es clave para reducir el tiempo de respuesta, reparación y recuperación tras un ciberataque. Este tipo de planes deben ponerse en practica con regularidad e incluir una respuesta interorganizativa, incorporando las partes interesadas ajenas a TI y poniendo a prueba las líneas de comunicación entre los equipos técnicos y la alta dirección
- Realice capacitaciones y procesos de sensibilización a sus empleados de forma periódica sobre los métodos más modernos de phishing usados por los ciberatacantes.
>> Más detalles en nuestros canales privados de WhatsApp y Telegram.
Muchas empresas privadas y de gobierno afectadas por ciberataque de ransomware masivo
Recibe un Diagnóstico Sin Costo del estado de seguridad de tu aplicación o sitio web dando clic en el siguiente enlace: