El año 2016 estuvo marcado por ciberataques de gran alcance que han afectado el servicio de sitios de servicios y han impactado a países enteros.
En este tipo de amenazas se incluyen asaltos virtuales a bancos por varios millones de dólares así como intentos explícitos de interrumpir el proceso electoral de Estados Unidos.
También se presentaron algunos de los mayores ataques distribuidos de denegación de servicio (DDoS), conducidos por una botnet de dispositivos del Internet de las Cosas (IoT).
Si bien los ciberataques alcanzaron una notoriedad sin precedentes en medios noticiosos y provocaron la interrupción de servicios de manera masiva, los mecanismos de ataque utilizados son herramientas y tácticas simples y conocidas, tales como: vulnerabilidades de día cero y malware sofisticado a través de aplicaciones y programas de uso frecuente como documentos y archivos de Office.
De acuerdo con el Informe sobre Amenazas a la Seguridad en el Internet (ISTR), realizado por Symantec, el 95% del malware ocurre a través de PowerShell, un lenguaje común de script instalado en PCs y archivos de Microsoft Office como armas, así como el uso abordajes simples, como correo electrónico de spear phishing y ‘herramientas del día a día’, es decir, que emplean cualquier herramienta a la que consigan acceder, como software legitimo de administración de red y recursos del sistema operativo.
El informe arroja que, durante 2016, México se ubicó como el segundo país de América Latina y el Caribe que presenta mayor actividad maliciosa, únicamente detrás de Brasil.
Otros descubrimientos que presenta el ISTR:
- 1 en cada 131 correos electrónicos incluye un enlace o adjunto malicioso (el índice más alto en cinco años).
- El volumen de víctimas de ransomware aumentó 266%; Estados Unidos es el país que más sufre ataques, pues el 64% de los norteamericanos paga rescate.
- Los CIOs perdieron registro de cuántas apps utilizan sus empresas en la nube. Al ser interrogados, la mayoría dirá que hasta 40, cuando en la realidad el número llega casi a 1,000.
El informe ISTR de Symantec brinda una amplia visión del escenario de amenazas, que incluye conocimiento detallado sobre actividades de amenazas globales, tendencias de cibercrímenes y motivaciones de los grupos de ataque. Los más destacados incluyen:
Las naciones, blanco de grandes ataques
Un nuevo tipo de grupos de atacantes han revelado grandes ambiciones financieras, que pueden ser un ejercicio para ayudar a financiar otras actividades secretas y subversivas.
Grupos de ataque transforman software común en armas
El uso del correo electrónico se ha tornado en el arma principal para los cibercriminales y una peligrosa amenaza para los usuarios.
Ceder a la extorsión digital: los estadounidenses están más dispuestos a pagar pedidos de rescate
El ransomware continúa creciendo como un problema global y un negocio lucrativo para los criminales. Symantec ha identificado más de 100 nuevas familias de malware lanzadas en el mercado, más del triple del volumen visto anteriormente, y un incremento del 36% en los ataques globales de ransomware.
Ataques dirigidos: Subversión y sabotaje tomaron protagonismo a través de las noticias en todo el mundo.
El mundo del ciberespionaje pasó por un cambio importante hacia actividades más explícitas, destinadas a desestabilizar y desorganizar las organizaciones y los países blanco de ataque. Los ciberataques contra el Partido Demócrata de Estados Unidos y la subsiguiente filtración de información robada fueron uno de los principales puntos de discusión de las elecciones presidenciales en ese país.
Con la Comunidad de Inteligencia de Estados Unidos atribuyendo los ataques a Rusia y concluyendo que la campaña habría sido juzgada un éxito, es posible que esas tácticas se utilicen nuevamente en esfuerzos para influir la política y sembrar el caos en otros países.
Los ciberataques que involucran sabotaje han sido tradicionalmente raros, sin embargo 2016 vio dos olas separadas de ataques que contenían malware destructivo.
En enero y nuevamente en diciembre se usó en Ucrania el malware contra objetivos determinados, una variante que borra el contenido de discos. Tales ataques ocasionaron también cortes de energía.
Mientras tanto, el troyano Shamoon, que también borra el contenido de discos, resurgió tras cuatro años de ausencia y fue usado contra varias organizaciones en Arabia Saudita.