Darktrace informó que los sectores de la tecnología de la información y comunicaciones (sectores TIC) fueron los más atacados a nivel mundial en 2021, según descubrieron sus analistas de seguridad.
Estos datos son construidos por Darktrace mediante un «análisis de indicadores tempranos» que examina los rastros de posibles ciberataques en varias etapas antes de que se atribuyan a un actor concreto y antes de que se conviertan en una crisis generalizada. Los resultados muestran que, en 2021, la inteligencia artificial interrumpió de forma autónoma un promedio de 150,000 amenazas por semana contra los sectores mencionados.
El sector TIC incluye, entre otros, a proveedores de telecomunicaciones, desarrolladores de software y proveedores de servicios de seguridad gestionados.
Darktrace también ha observado una tendencia creciente de hackers que atacan a sus servidores, con el objetivo de inutilizar o corromper deliberadamente las copias de seguridad eliminando un único archivo de índice que las haría inaccesibles. Los atacantes podrían entonces lanzar ataques de ransomware contra los clientes del proveedor de copias de seguridad, impidiendo la recuperación y forzando el pago.
En 2020, el sector más atacado en toda la base de clientes de Darktrace fue el sector financiero y de seguros, lo que demuestra que los ciberatacantes han cambiado su enfoque en los últimos 12 meses.
«A lo largo de este año, nos ha quedado claro que los atacantes han intentado sin cesar acceder a las redes de proveedores de confianza en los sectores de TI y comunicaciones. Sencillamente, les resulta más conveniente que, por ejemplo, ir tras una empresa del sector de servicios financieros. SolarWinds y Kaseya son dos ejemplos recientes y bien conocidos al respecto. Lamentablemente, es probable que haya más intentos de ataques a corto plazo», comentó Justin Fier, Director de Ciberinteligencia y Análisis de Darktrace.
Los resultados de esta investigación se publican un año después de que el ataque contra la empresa de software estadounidense SolarWinds sacudiera la industria de la seguridad. Este histórico ataque a la cadena de suministro provocó que miles de organizaciones estuvieran vulnerables a la infiltración mediante la inserción de un código malicioso en el sistema Orion. En los últimos 12 meses, se ha producido una serie continua de ataques contra el sector informático y de las comunicaciones, entre los que destacan los ataques a Kaseya y Gitlab.
Los atacantes suelen utilizar las plataformas de software y de desarrolladores como puntos de entrada a otros objetivos de alto valor, como gobiernos y autoridades, grandes empresas y edificios de infraestructura crítica. Darktrace descubrió que el método de intento de intrusión más común es el correo electrónico, con compañías del sector que recibieron un promedio de 600 campañas de phishing mensualmente en 2021. Contrariamente a lo que normalmente se cree, los correos electrónicos enviados a estas organizaciones no contenían una amenaza oculta en un enlace o archivo adjunto. En su lugar, los ciberatacantes utilizaron técnicas sutiles y sofisticadas enviando «correos electrónicos limpios» que sólo contenían texto, intentando convencer a los destinatarios para que respondieran y revelaran información sensible. Este método es eficaz porque, al comprometer estas cuentas de correo electrónico, los hackers pueden explotar la relación de confianza entre el proveedor de software y los objetivos previstos.
Estos métodos eluden fácilmente las herramientas de seguridad que se basan en la comprobación de enlaces y archivos adjuntos con respecto a las listas de bloqueo y las firmas. La IA puede impedir que estos correos electrónicos lleguen a las bandejas de entrada de los empleados al identificar toda la gama de anomalías, incluso los indicadores más sutiles.
«La realidad es que los atacantes son pacientes y creativos. Suelen entrar por la puerta principal comprometiendo a proveedores de confianza de los sectores de TI y comunicaciones. Para los clientes posteriores, parece que todo sigue igual y que se trata de otra aplicación o pieza de hardware de un proveedor de confianza», continuó Fier. «No hay una solución mágica para encontrar ataques infiltrados en los proveedores de software, por lo que el verdadero reto para las organizaciones será operar aceptando este riesgo. Es primordial tener una idea de lo que es normal en el software en el que se confía. La IA se adecúa perfectamente para este trabajo; detectar los cambios sutiles que presenta el software que ha sido comprometido será clave para combatir estos problemas en el futuro.»