Durante el año pasado, el 58% de todos los ciberataques observados por Microsoft procedentes de estados-nación han venido de Rusia. Y los ataques de los actores estatales rusos son cada vez más efectivos, pasando de un 21% de éxito en el año pasado a un 32% este año. Los actores estatales rusos se dirigen cada vez más a las agencias gubernamentales para la recopilación de información, que han pasado del 3% de sus objetivos hace un año al 53%, en su mayoría agencias relacionadas con la política exterior, la seguridad nacional o la defensa.
Comentarios
El mayor riesgo supone usar el sistema operativo de Microsoft
Lo de los rusos es consecuencia de
Traducción con Deepl
Durante el año pasado, el 58% de todos los ciberataques observados por Microsoft procedentes de estados-nación han venido de Rusia. Y los ataques de los actores estatales rusos son cada vez más efectivos, pasando de un 21% de éxito en el año pasado a un 32% este año. Los actores estatales rusos se dirigen cada vez más a los organismos gubernamentales para la recopilación de información, que han pasado del 3% de sus objetivos hace un año al 53%, en su mayoría organismos relacionados con la política exterior, la seguridad nacional o la defensa. Los tres principales países objetivo de los actores estatales rusos fueron Estados Unidos, Ucrania y el Reino Unido.
Estos son sólo algunos de los datos del segundo informe anual de Microsoft sobre defensa digital, que hemos publicado hoy y que puede consultarse gratuitamente aquí. El Informe de Defensa Digital de Microsoft abarca el período comprendido entre julio de 2020 y junio de 2021, y sus conclusiones cubren las tendencias de la actividad de los estados-nación, la ciberdelincuencia, la seguridad de la cadena de suministro, el trabajo híbrido y la desinformación.
Actividad de los Estados-nación
Gráfico de muestra de los actores del Estado-nación
Rusia no es el único actor del Estado-nación que está evolucionando sus enfoques, y el espionaje no es el único propósito de los ataques del Estado-nación este año.
Después de Rusia, el mayor volumen de ataques que observamos provino de Corea del Norte, Irán y China; Corea del Sur, Turquía (un nuevo participante en nuestros informes) y Vietnam también estuvieron activos, pero representan un volumen mucho menor.
Aunque el espionaje es el objetivo más común de los ataques de los estados-nación, algunas actividades de los atacantes revelan otros objetivos, entre ellos:
Irán, que cuadruplicó sus ataques contra Israel en el último año y lanzó ataques destructivos en medio de las crecientes tensiones entre ambos países
Corea del Norte, que atacó a empresas de criptomonedas para obtener beneficios mientras su economía estaba diezmada por las sanciones y Covid-19
El 21% de los ataques que observamos entre los actores del Estado-nación se dirigieron a los consumidores y el 79% a las empresas, siendo los sectores más atacados el gobierno (48%), las ONG y los grupos de reflexión (31%), la educación (3%), las organizaciones intergubernamentales (3%), las TI (2%), la energía (1%) y los medios de comunicación (1%).
Aunque China no es el único país que tiene como objetivo la recopilación de información, cabe destacar que varios actores chinos han utilizado una serie de vulnerabilidades no identificadas anteriormente. Los ataques HAFNIUM dirigidos a servidores Exchange locales han sido bien conocidos, pero, además de la vulnerabilidad de día cero utilizada en esos ataques, Microsoft detectó y notificó un día cero de Pulse Secure VPN y un día cero de SolarWinds a principios de este año, ambos explotados por actores chinos.
China también está utilizando su inteligencia para una variedad de propósitos. Uno de los actores chinos, CHROMIUM, ha atacado a entidades de la India, Malasia, Mongolia, Pakistán y Tailandia para obtener información social, económica y política sobre sus países vecinos. Otro actor chino, NICKEL, se ha dirigido a ministerios de asuntos exteriores de gobiernos de América Central y del Sur y de Europa. A medida que la influencia de China se desplaza con la Iniciativa de la Franja y la Ruta, esperamos que estos actores continúen utilizando la recopilación de inteligencia cibernética para obtener información sobre inversiones, negociaciones e influencia. Por último, los actores chinos son notablemente persistentes; incluso después de que reveláramos los intentos de China de llevar a cabo la recopilación de inteligencia contra personas involucradas en las elecciones de 2020, su actor ZIRCONIUM continuó su actividad durante la jornada electoral.
En total, hemos notificado a los clientes 20.500 veces sobre los intentos de todos los actores de estados-nación de violar sus sistemas en los últimos tres años. Para ser claros, Microsoft no observa todos los ciberataques globales. Por ejemplo, tenemos una visibilidad limitada de los ataques dirigidos a los sistemas locales que las organizaciones gestionan por sí mismas, como los ataques a Exchange Server a principios de este año, y los ataques dirigidos a los clientes de otros proveedores de tecnología. Creemos que compartir los datos que tenemos sobre estas amenazas es útil para los clientes, los responsables políticos y la comunidad de seguridad en general, e invitamos a otros a compartir lo que ven con su visibilidad. La buena noticia es que nuestra visibilidad de las amenazas y nuestra capacidad para ayudar a detenerlas seguirá creciendo a medida que más organizaciones se trasladen a la nube.
Ciberdelincuencia
Gráfico de los objetivos de la ciberdelincuencia de ransomware
La ciberdelincuencia -especialmente el ransomware- sigue siendo una plaga grave y creciente, como se pone de manifiesto en el Informe de Defensa Digital de Microsoft de este año. Sin embargo, mientras que los actores de los estados nacionales se dirigen principalmente a las víctimas con información útil, los ciberdelincuentes se dirigen a las víctimas con dinero. En consecuencia, los objetivos suelen tener un perfil diferente. Los ataques de la ciberdelincuencia a infraestructuras críticas -como el ataque de ransomware a Colonial Pipeline- suelen acaparar los titulares. Sin embargo, los cinco principales sectores atacados el año pasado por nuestro equipo de detección y respuesta (DART) son el comercio minorista (13%), los servicios financieros (12%), la industria (12%), la administración pública (11%) y la sanidad (9%).
#1 Estados Unidos es, con diferencia, el país más atacado, recibiendo más del triple de ataques de ransomware que el siguiente país más atacado. Le siguen China, Japón, Alemania y los Emiratos Árabes Unidos.
En el último año, la economía del "cibercrimen como servicio" pasó de ser una industria incipiente pero de rápido crecimiento a una empresa criminal madura. En la actualidad, cualquier persona, independientemente de sus conocimientos técnicos, puede acceder a un sólido mercado en línea para adquirir la gama de servicios necesarios para ejecutar ataques con cualquier fin. El mercado tiene tres componentes. En primer lugar, como la demanda ha aumentado, los delincuentes se centran cada vez más en especializarse en kits de infección diferenciados y en aumentar su uso de la automatización, lo que reduce sus costes y aumenta su escala. Hemos visto kits que se venden por tan sólo 66 dólares. En segundo lugar, proveedores independientes proporcionan las credenciales comprometidas necesarias para acceder a los sistemas de las personas y desplegar los kits. Hemos observado credenciales que se venden entre 1 y 50 dólares cada una, dependiendo del valor percibido del objetivo. En tercer lugar, los servicios de custodia de criptomonedas actúan como intermediarios entre los compradores y los vendedores para garantizar que los kits y las credenciales funcionen como se ofrecen. También hemos empezado a identificar sofisticados kits que no sólo proporcionan datos de las víctimas al delincuente que compró y desplegó el kit, sino que también proporcionan los datos en secreto a la entidad que creó el kit.
El ransomware sigue siendo una de las mayores amenazas de la ciberdelincuencia y, en el último año, ha seguido evolucionando para ser más perturbador. En lugar de centrarse en ataques automatizados que se basan en el volumen y en demandas bajas fáciles de pagar para generar beneficios, el ransomware operado por humanos utiliza la inteligencia obtenida de fuentes online, robando y estudiando los documentos financieros y de seguros de la víctima e investigando las redes comprometidas para seleccionar objetivos y establecer demandas de rescate mucho más altas.
Contraatacar en un entorno de trabajo híbrido
A medida que las amenazas en línea aumentan en volumen, sofisticación e impacto, todos debemos tomar medidas para reforzar la primera línea de defensa. Poner en práctica la higiene fundamental de la ciberseguridad -como cepillarse los dientes para protegerse de las caries o abrocharse el cinturón de seguridad para proteger la vida- son medidas básicas que todos debemos tomar.
#4 Microsoft nunca ha sido de fiar al dar datos. Dirá lo que le interese que diga a sus protectores de la NSA.
#4 falso, estados unidos es el país que más ataques realiza, eso sí llora mucho después cuando le atacan a el también. Pero el primero es EEUU de lejos.
Parece un informe un pelín sesgado: siempre son malos los “remalos” del eje del mal, los enemigos de Occidente. Pero cuando salen las informaciones sobre los “buenos” como con Wikileaks o Snowden, los detenemos y se les descalifica. Como mínimo. Y no se hace nada.
#2 esta escrito por el vicepresidente de seguridad de clientes de Microsoft. No es un observador neutral, es un jugador del juego.
#2 Preguntale a Asange si se hace o no se hace.
Un poco cojo ¿no?
Este informe intenta minimizar desglosando "naciones-estado" para incluir a Rusia o Corea del Norte por ejemplo.
Curiosamente el país desde donde se realizan más ciberataques es desde EE.UU aparte de otros países europeos, como UK. Rusia está en el puesto 7 y China en el 4. Obviamente Microsoft es parte sesgada. Lo de intentar demonizar a los que no doblan las rodillas, pero minimizando y obviando los intentos de los países de "bien".Y son en más cantidad.