Mandiant Consulting, una división de Google Cloud, acaba de publicar su informe M-Trends 2024, que ofrece una visión actualizada de las últimas tendencias en ciberseguridad y amenazas en las Américas, es decir, el norte, centro y sur del continente en su conjunto.
En 2023, el 51% de las organizaciones de esta región se enteraron de brechas en su seguridad a través de una fuente externa, mientras que el 49% lo hizo internamente. Esta distribución pareja refleja una tendencia global que va hacia un equilibrio entre la detección interna y externa, es decir, entre personal propio de la empresa o tercerizado. Esto cambia, sin embargo, con los incidentes vinculados al ransomware: aproximadamente dos tercios de estos incidentes fueron notificados externamente, debido en general a que son los propios atacantes quienes lo hacen a través de notas de rescate. En contraste, más de la mitad de los incidentes no relacionados con ransomware fueron descubiertos puertas adentro de las empresas.
El tiempo de permanencia o dwell time, que es el tiempo que un atacante permanece dentro del sistema una vez que lo quiebra, es un indicador crucial en ciberseguridad. En 2023, el tiempo medio de permanencia en las Américas fue de 10 días, el mismo que en 2022. Las organizaciones notificadas externamente detectaron sus intrusiones en 13 días, mientras que aquellas que identificaron brechas internamente lo hicieron en 8 días. Este patrón está demostrando una mejora continua en las capacidades de detección.
Las organizaciones en las Américas también están mejorando la detección de intrusiones. En 2023, el 45% de éstas fueron detectadas en una semana o menos, un porcentaje similar al de 2022. Además, el 68,5% de las investigaciones concluyeron que las intrusiones se detectaron en 30 días o menos, un aumento de cuatro puntos porcentuales respecto al año anterior.
Las intrusiones relacionadas con ransomware fueron detectadas en un promedio de 6 días, un aumento modesto en relación a los 5 días que se llevaba el año anterior. Esta variación puede atribuirse a un aumento en las investigaciones o a cambios en las tácticas de los atacantes. En casos de ransomware, las organizaciones detectaron actividades maliciosas con equipos propios en 7 días, comparado con los 6 días que le llevó hacerlo a proveedores externos a la empresa.
Las organizaciones en las Américas enfrentaron amenazas similares a las que se observan a nivel global. El 41% de las intrusiones identificadas inicialmente se debieron a exploits, mientras que el phishing representó el 18% y el acceso comprometido previamente constituyó el 14% de las intrusiones.
El grupo FIN11 de delitos financieros fue el atacante más frecuente en las Américas en 2023. La mayoría de las intrusiones investigadas por Mandiant relacionadas con este grupo se centraron en la explotación de vulnerabilidades en software de transferencia de archivos gestionada (MFT por sus siglas en inglés) como MOVEit Transfer y GoAnywhere MFT. Aunque FIN11 ha utilizado ransomware CLOP en el pasado, en estas campañas se enfocaron en la extorsión mediante el robo de datos sin encriptación, algo que las empresas deben tener en consideración.
Después de todo este panorama, el informe M-Trends 2024 destaca la importancia que tiene una vigilancia permanente y una adaptación flexible al panorama de la ciberseguridad. Las organizaciones en las Américas necesitan fortalecer sus capacidades de detección y respuesta para mantenerse un paso adelante de los atacantes. ¿La clave? La colaboración y el intercambio de información, indispensables para construir una defensa eficaz contra las amenazas cibernéticas emergentes.