- El Protocolo de Escritorio Remoto ha sido explotado en el 90% de los ciberataques del 2023, según Sophos. Una tendencia sin precedentes revelada en su último informe de Adversarios Activos, indicando una alarmante escalada en la actividad cibercriminal.
Sophos, líder mundial en soluciones de seguridad innovadoras que derrotan ciberataques, publicó hoy el estudio: It’s Oh So Quiet (?): El Informe de Sophos sobre Adversarios Activos para el primer semestre de 2024, que analiza más de 150 casos de respuesta a incidentes (IR) gestionados por el equipo Sophos X-Ops IR en 2023. El principal hallazgo es que los ciberdelincuentes abusaron del protocolo de escritorio remoto (RDP) -un método común para establecer acceso remoto en sistemas Windows- en el 90% de los ataques. Esta fue la incidencia más alta de abuso de esta herramienta desde que Sophos comenzó a publicar sus informes de Adversarios Activos en 2021, cubriendo datos desde 2020.
Además, los servicios remotos externos como RDP fueron la razón más común por la cual los atacantes violaron inicialmente las redes y el método de acceso inicial en el 65% de los casos de incidentes en 2023. Los servicios remotos externos han sido consistentemente la fuente más frecuente de acceso inicial para los ciberdelincuentes desde que se lanzaron los informes de Adversarios Activos en 2020, y los responsables de ciberseguridad en las empresas deben considerar esto como una clara señal para priorizar la gestión de estos servicios al evaluar el riesgo empresarial.
«Los servicios remotos externos son un requisito necesario, pero arriesgado, para muchas empresas. Los atacantes comprenden los riesgos que estos servicios plantean y activamente buscan socavarlos debido a la gran recompensa que hay más allá. La utilización de servicios remotos externos sin una consideración cuidadosa y sin mitigación de sus riesgos inevitablemente conduce a vulnerabilidades. Un atacante no tarda mucho en encontrar y vulnerar un servidor RDP expuesto, y sin controles adicionales, tampoco lleva mucho tiempo encontrar el servidor de Active Directory que espera al otro lado», dijo John Shier, CTO de campo de Sophos.
En un caso de un cliente de Sophos X-Ops, los ciberdelincuentes lograron vulnerar a la víctima cuatro veces en seis meses, cada vez obteniendo acceso inicial a través de los puertos RDP expuestos del cliente. Una vez dentro, los atacantes continuaron moviéndose lateralmente por las redes del cliente, descargando binarios maliciosos, desactivando la protección de dispositivos y estableciendo acceso remoto.
Las contraseñas comprometidas y la explotación de vulnerabilidades siguen siendo las dos causas más comunes de los ataques. Sin embargo, el informe 2023 Active Adversary Report for Tech Leaders, publicado en agosto pasado, reveló que, en la primera mitad de ese año, por primera vez, las contraseñas comprometidas superaron a las vulnerabilidades como causa raíz más frecuente de los ataques. Esta tendencia continuó durante el resto de 2023, con las contraseñas vulneradas representando la causa raíz de más del 50% de los casos de incidentes durante todo el año.
Cuando se observan los datos de Active Adversary de forma acumulativa a lo largo de los años 2020 a 2023, las contraseñas comprometidas también fueron la causa raíz número uno «de todos los tiempos» de los ataques, involucradas en casi un tercio de todos los casos de incidentes de seguridad. Sin embargo, a pesar de la prevalencia histórica de contraseñas vulneradas en los ciberataques, en el 43% de los casos en 2023, las organizaciones no tenían configurada la autenticación multifactor.
La explotación de vulnerabilidades fue la segunda causa raíz más común de los ataques, tanto en 2023 como al analizar los datos acumulados de 2020 a 2023, representando la causa raíz en el 16% y el 30% de los casos, respectivamente.
«Gestionar el riesgo es un proceso activo. Las organizaciones que lo hacen bien experimentan mejores situaciones de seguridad que las que no lo hacen ante las continuas amenazas de determinados cibercriminales. Un aspecto importante de la gestión de los riesgos de seguridad, más allá de identificarlos y priorizarlos, es actuar en función de la información. Sin embargo, durante demasiado tiempo, ciertos riesgos como el protocolo de escritorio remoto abierto siguen afectando a las organizaciones, para deleite de los atacantes que pueden entrar por la puerta principal de una organización. Asegurar la red reduciendo los servicios expuestos y vulnerables y reforzando la autenticación hará que las organizaciones sean más seguras en general y más capaces de derrotar ciberataques», dijo Shier.
El informe de Adversarios Activos de Sophos para el primer semestre de 2024 se basa en más de 150 investigaciones de respuesta a incidentes que abarcan 26 sectores de todo el mundo. Las organizaciones objetivo se encuentran en 23 países diferentes, incluyendo Estados Unidos, Canadá, México, Colombia, Reino Unido, Suecia, Suiza, España, Alemania, Polonia, Italia, Austria, Bélgica, Filipinas, Singapur, Malasia, India, Australia, Kuwait, Emiratos Árabes Unidos, Arabia Saudí, Sudáfrica y Botsuana.