La cantidad de dispositivos infectados con malware de robo de datos en 2023 fue de 9,8 millones, siete veces más que la misma cifra de 2020, según una nueva investigación de Kaspersky Digital Footprint Intelligence. Sin embargo, los investigadores creen que la cifra real podría llegar a 16 millones, ya que es posible que las credenciales de los dispositivos infectados en 2023 no se filtren a la web oscura hasta finales de este año (Figura A). Figura A: Número de infecciones de malware de robo de datos de 2020 a 2023. Imagen: Kaspersky Digital Footprint Intelligence Los ciberdelincuentes robaron un promedio de 50,9 credenciales por dispositivo comprometido y se filtró información de usuarios en 443.000 sitios web en los últimos cinco años. Los datos se obtuvieron de archivos de registro que registran las actividades de los «ladrones de información». Los infostealers son un tipo de malware que extrae datos de forma encubierta de dispositivos infectados sin cifrarlos. Estos archivos de registro se “negocian activamente en mercados clandestinos” y Kaspersky los supervisa como parte de su servicio de protección de riesgos digitales. Sergey Shcherbel, experto de Kaspersky Digital Footprint Intelligence, dijo en un comunicado de prensa: «Las credenciales filtradas conllevan una gran amenaza, ya que permiten a los ciberdelincuentes ejecutar diversos ataques, como acceso no autorizado para robo, ingeniería social o suplantación de identidad». ¿Por qué está aumentando el número de casos de malware que roba datos? Los ladrones de información son más accesibles Según un informe de IBM, hubo un aumento del 266% en el malware de robo de información en 2023 con respecto al año anterior. También parece ser eficaz, ya que la incidencia de delincuentes que obtuvieron acceso utilizando credenciales de inicio de sesión válidas aumentó en un 71%. Se considera ampliamente que la popularidad de los ladrones de información está relacionada con el valor cada vez mayor de los datos corporativos y la creciente accesibilidad del malware. En una investigación independiente, Kaspersky Digital Footprint Intelligence descubrió que el 24% del malware vendido como servicio entre 2015 y 2022 eran ladrones de información, que permiten a los ciberdelincuentes aficionados utilizar ladrones de información desarrollados por otro grupo y distribuidos a través de la web oscura. Luke Stevenson, gerente de productos de seguridad cibernética del proveedor de servicios administrados Redcentric, dijo a TechRepublic en un correo electrónico: “El malware ladrón reduce significativamente la barrera de entrada para los posibles ciberdelincuentes, lo que facilita las violaciones de datos. Los datos extraídos tienen un valor inmediato independientemente de los recursos financieros de la víctima directa y pueden venderse rápidamente en una variedad de foros criminales ilícitos. “El malware es relativamente fácil de compilar e implementar con códigos fuente accesibles para quienes comienzan. A diferencia del ransomware, que tiene su propio ecosistema empresarial, los que operan ladrones de información generalmente tienen costos generales mucho más bajos”. Aamil Karimi, líder de inteligencia de amenazas de la firma de ciberseguridad Optiv, dijo a TechRepublic en un correo electrónico: “Hubo un aumento notable en el nuevo malware ladrón introducido en el ecosistema cibercriminal a partir de 2019, incluidas cepas muy populares como RedLine, Lumma y Raccoon. Algunas de estas variantes de malware ladrón se han utilizado en operaciones de ransomware que han mostrado una mayor actividad en los últimos años. Estas variantes son muy económicas y han demostrado funcionar, por lo que existe un incentivo para que más delincuentes potenciales se unan a estas operaciones de malware como servicio y programas de afiliados”. Además, la proliferación de “sitios dedicados a la filtración”, donde se publican credenciales robadas, proporciona más objetivos para los ladrones de información. Cuantos más sitios de esta naturaleza estén activos (y el número creció un 83%, según el informe Hi-Tech Crime Trends 2022/2023 de Group-IB), mayor será el riesgo de que las empresas vean comprometidos sus dispositivos. Una investigación del Group-IB reveló que la cantidad de empresas a las que se cargaron sus datos en sitios de filtración en 2023 aumentó un 74% con respecto al año anterior. Las cadenas de suministro se están volviendo más complejas y vulnerables. Otra razón por la que están aumentando los casos de malware de robo de datos se debe a la cadena de suministro. Los proveedores externos a menudo tienen acceso a datos internos o utilizan sistemas vinculados y pueden proporcionar un punto de entrada más fácil que conduzca a datos confidenciales que pertenecen a la organización objetivo. El Dr. Stuart Madnick, profesor de TI e investigador de ciberseguridad en el Instituto de Tecnología de Massachusetts, escribió en Harvard Business Review: “La mayoría de las empresas han aumentado la protección cibernética de sus ‘puertas de entrada’ a través de medidas como firewalls, contraseñas más seguras, múltiples identificación de factores, etc. Por eso, los atacantes buscan otras formas (y a veces más peligrosas) de conseguirlo. A menudo, eso significa ingresar a través de los sistemas de los proveedores. “La mayoría de las empresas dependen de proveedores para que les ayuden, desde el mantenimiento del aire acondicionado hasta el suministro de software, incluidas las actualizaciones automáticas de ese software. Para brindar esos servicios, estos proveedores necesitan un fácil acceso a los sistemas de su empresa; me refiero a ellos como las «puertas laterales». Sin embargo, estos proveedores suelen ser pequeñas empresas con recursos limitados de ciberseguridad. “Los atacantes aprovechan las vulnerabilidades de los sistemas de estos proveedores. Una vez que tengan cierto control sobre los sistemas de estos proveedores, pueden utilizar la puerta lateral para acceder a los sistemas de sus clientes”. Una investigación del Banco de Pagos Internacionales sugiere que las cadenas de suministro globales se están volviendo más largas y complejas, lo que aumenta el número de posibles puntos de entrada para los atacantes. Un informe del Identity Theft Resource Center encontró que la cantidad de organizaciones afectadas por ataques a la cadena de suministro aumentó en más de 2600 puntos porcentuales entre 2018 y 2023. Los tipos de malware están aumentando en número. La cantidad de malware disponible para los ciberdelincuentes está aumentando exponencialmente, según McKade Ivancic, analista senior de malware de Optiv, facilitando más ataques de robo de datos. Le dijo a TechRepublic en un correo electrónico: «Cuanto más se cree el malware de la familia de ladrones, más bases de códigos de esas familias serán robadas y reescritas en ladrones de datos similares, aunque ligeramente diferentes». Añadió: “Los equipos de seguridad, los productos, las firmas y similares no pueden crecer exponencialmente como lo hace el malware. Hasta que se encuentre una solución más permanente, los ‘buenos’ serán naturalmente superados debido a los números, el crecimiento compuesto, la facilidad de acceso, la falta de aplicación de la ley y la expansión de la superficie de ataque a través de crecientes inversiones en tecnología y software”. Los modelos WFH y BYOD son más comunes. Karimi dijo a TechRepublic: «El aumento de los modelos de trabajo desde casa y de traer su propio dispositivo desde 2020 probablemente también contribuyó a un mayor riesgo para las empresas cuyos dispositivos de los empleados no estaban administrados de manera centralizada o responsable». .” Los dispositivos personales tienden a carecer de las mismas medidas de seguridad que los dispositivos proporcionados por la empresa, lo que crea una mayor superficie de ataque para los delincuentes que buscan implementar malware para robar datos. El Informe de defensa digital 2023 de Microsoft indicó que hasta el 90% de los ataques de ransomware en 2023 se originaron en dispositivos no administrados o propios. Cobertura de seguridad de lectura obligada ¿A qué tipo de credenciales se dirigen los ciberdelincuentes? Las credenciales que suelen atacar los atacantes que utilizan malware de robo de datos son aquellas que podrían conducir a datos valiosos, dinero o acceso privilegiado. Según la investigación de Kaspersky, dichos detalles pueden incluir inicios de sesión corporativos para correos electrónicos o sistemas internos, así como redes sociales, banca en línea o billeteras de criptomonedas. VER: Predicciones de amenazas persistentes avanzadas de Kaspersky para 2024 Otro estudio de la empresa encontró que más de la mitad (53%) de los dispositivos infectados con malware de robo de datos en 2023 eran corporativos. Esta conclusión se extrajo del hecho de que la mayoría de los dispositivos infectados con software Windows 10 ejecutan específicamente Windows 10 Enterprise (Figura B). Figura B: Porcentajes de dispositivos infectados con malware de robo de datos que ejecutan diferentes versiones de Windows 10 de 2020 a 2023. Imagen: Kaspersky Digital Footprint Intelligence ¿Cuántos datos se pueden extraer con malware de robo de datos? Cada archivo de registro analizado por Kaspersky Digital Footprint Intelligence en este estudio contenía credenciales de cuenta para un promedio de 1,85 aplicaciones web corporativas, incluidos correos electrónicos, portales internos y sistemas de procesamiento de datos de clientes. Esto significa que los delincuentes suelen poder acceder a varias cuentas, tanto comerciales como personales, después de infectar un solo dispositivo. Los datos del archivo de registro también revelaron que una quinta parte de los empleados volvería a abrir el malware en su dispositivo más de una vez, dando a los ciberdelincuentes acceso a sus datos en múltiples ocasiones sin necesidad de reinfección. Shcherbel dijo en el comunicado de prensa: «Esto puede indicar varios problemas subyacentes, incluida una conciencia insuficiente de los empleados, medidas de respuesta y detección de incidentes ineficaces, la creencia de que cambiar la contraseña es suficiente si la cuenta ha sido comprometida y una renuencia a investigar el incidente». ¿Qué hacen los ciberdelincuentes con los datos robados? Según Kaspersky Digital Footprint Intelligence, los actores de amenazas utilizarán las credenciales robadas de dispositivos infectados con malware para diversos fines. Estos incluyen: perpetrar ciberataques a otras partes. Venderlos a otras personas en la web oscura o en los canales ocultos de Telegram. Filtrarlos de forma gratuita para sabotear una organización o mejorar su propia reputación. Shcherbel dijo en el comunicado de prensa: “El valor de los archivos de registro con credenciales de inicio de sesión en la web oscura varía según el atractivo de los datos y la forma en que se venden allí. “Las credenciales pueden venderse a través de un servicio de suscripción con cargas periódicas, un llamado ‘agregador’ para solicitudes específicas, o mediante una ‘tienda’ que vende credenciales de inicio de sesión adquiridas recientemente exclusivamente a compradores seleccionados. Los precios suelen comenzar en 10 dólares por archivo de registro en estas tiendas. «Esto pone de relieve lo crucial que es tanto para los individuos como para las empresas -especialmente aquellas que manejan grandes comunidades de usuarios en línea- mantenerse alerta». ¿Cómo pueden las empresas protegerse del malware que roba datos? Para protegerse contra el malware que roba datos, los investigadores de Kaspersky Digital Footprint Intelligence recomendaron lo siguiente: Monitorear los mercados de la web oscura en busca de cuentas comprometidas asociadas con la empresa. Cambie las contraseñas de las cuentas comprometidas y vigílelas para detectar actividades sospechosas. Aconseje a los empleados potencialmente infectados que ejecuten software antivirus en todos los dispositivos y eliminen cualquier malware. Instale soluciones de seguridad en los dispositivos de la empresa que alerten a los usuarios sobre peligros como sitios sospechosos o correos electrónicos de phishing. TechRepublic consultó a otros expertos para obtener consejos adicionales. Controles de cifrado y acceso Matthew Corwin, director general de la firma de ciberseguridad Guidepost Solutions, dijo a TechRepublic en un correo electrónico: «El cifrado de datos tanto en reposo como en tránsito es fundamental para prevenir el robo de datos y los ataques de exposición, pero para que esto sea efectivo se necesita una solución integral». También se requiere una arquitectura de seguridad de defensa en profundidad alrededor de los activos cifrados”. Stevenson agregó que “proteger las cuentas mediante administradores de contraseñas y autenticación multifactor” es un paso básico importante para proteger las credenciales de las cuentas contra el uso no autorizado. VER: Los 6 mejores administradores de contraseñas de código abierto para Windows en 2024 Evaluaciones de riesgos Corwin dijo a TechRepublic: «Las evaluaciones periódicas de riesgos y seguridad pueden ayudar a identificar debilidades específicas en la postura de seguridad de una organización que podrían ser explotadas por actores de amenazas que utilizan malware de robo de datos». Educación Karimi dijo a TechRepublic: “Desarrollar un enfoque más proactivo para la gestión de riesgos requiere educación y concientización, tanto para el equipo de TI como para los administradores de seguridad, así como para los usuarios en general. “La concienciación sobre la seguridad a menudo se promociona como una recomendación predeterminada, pero la concienciación sobre los riesgos no. Es más completo que un único módulo de capacitación en concientización sobre seguridad en línea… Es importante establecer procesos para identificar y rastrear las amenazas más relevantes que son exclusivas de su entorno”. Añadió que “redactar, actualizar y hacer cumplir casos de uso empresarial y políticas de usuario para la actividad web” puede proporcionar garantía de seguridad adicional al garantizar que todo el personal maneje sus credenciales de manera segura.