
[28/01/2025] Forescout Technologies anunció los hallazgos clave de su informe "2024 Threat Roundup", que proporciona un análisis del panorama de amenazas en evolución. Según lo señalado en el comunicado de prensa, la investigación de Forescout Vedere Labs destaca las tendencias clave a partir del 2024, incluidos los actores de amenazas, las vulnerabilidades, los exploits, los principales objetivos y las ubicaciones de los atacantes, al tiempo que establece comparaciones con el 2023 y ofrece información y recomendaciones estratégicas para mejorar las defensas.
"Los principales hallazgos basados en un análisis de 900 millones de ataques identificaron que más de la mitad de todos los ataques se originaron en IP administradas por ISP, las aplicaciones web fueron el tipo de servicio más atacado, un aumento preocupante en las vulnerabilidades explotadas activamente no incluidas en el catálogo KEV de CISA, y un aumento de los incidentes de seguridad contra la infraestructura crítica”, comentó Barry Mainz, CEO de Forescout.
El ejecutivo sostuvo que, el cibercrimen, los hacktivistas y los actores patrocinados por el estado están explotando los dispositivos de TI, IoT, OT e IoMT en infraestructuras críticas, lo que tiene consecuencias en el mundo real: aviones en tierra, líneas de producción que se detienen y servicios esenciales como la atención al paciente en los hospitales. "Las organizaciones que no pueden ver su red completa quedan vulnerables a estas amenazas. Para defenderse mejor de ellos, las organizaciones deben centrarse en la gestión de riesgos y exposiciones para comprender su superficie de ataque, la seguridad de la red para hacer cumplir Zero Trust, y la detección y respuesta a amenazas para identificar y contener las amenazas antes de que puedan causar daños e interrumpir nuestras vidas".
Los hallazgos clave de la investigación de Forescout incluyen:
Las aplicaciones web son el tipo de servicio más atacado
- Las aplicaciones web volvieron a ser el tipo de servicio más atacado, seguido de los protocolos de gestión remota.
- Los ataques a aplicaciones web aumentaron del 26% en el 2022 y 2023 al 41% en el 2024, y la mayoría de los ataques consistieron en intentos de escaneo o exploits. El aumento representa un cambio de los ataques basados principalmente en credenciales a las vulnerabilidades en dispositivos y aplicaciones perimetrales.
- Las cuentas asociadas a las bases de datos son las más atacadas. Las credenciales de los dispositivos IoT consisten en el 6% de los ataques (por ejemplo, routers, cámaras, DVR, equipos industriales y de red).
Crecen los exploits contra la infraestructura de red
- Los exploits contra dispositivos de infraestructura de red se convirtieron en la segunda categoría más popular.
- Los exploits contra aplicaciones web aumentaron del 36% en el 2023 al 56% en el 2024.
- Los dispositivos de infraestructura de red (routers, firewalls, VPN, etc.) son la segunda categoría más grande y aumentaron del 3% (2022) al 11% (2023) y ahora al 14% (2024).
- El porcentaje de vulnerabilidades explotadas que no están en la base de vulnerabilidades conocidas de la CISA aumentó del 65% al 73%.
- Cuando los datos de AEE de Forescout se fusionaron con las observaciones de la fundación Shadowserver, se descubrió una lista de al menos 25 vulnerabilidades que afectan a los dispositivos de OT e IoT industrial que son explotadas por botnets o ataques automatizados, que no están incluidos en el KEV (Known Exploited Vulnerabilities) de CISA.
Los ataques de OT aumentaron, con el aumento de la automatización de edificios
- Los atacantes escanean constantemente los protocolos de OT más populares, con un 79% dirigido a la automatización industrial, un 12% al sector energético y el resto a la automatización de edificios. La automatización de edificios aumentó del 2% en el 2023 al 9% en el 2024.
- La mayoría de los ataques son oportunistas, con un gran interés en Modbus (33% en el 2023 a 40% en el 2024) y un interés más fragmentado en muchos otros protocolos.
Estados Unidos es el mayor objetivo de infraestructuras críticas, con un aumento de los incidentes en todos los sectores
- Según datos del Repositorio Europeo de Incidentes Cibernéticos, desde el 2022, los incidentes de seguridad notificados en infraestructuras críticas en todo el mundo han crecido un 668%.
- Hubo un 10% más de incidentes en los sectores de infraestructuras críticas que en el 2023 y más de la mitad de todos los incidentes (57%) afectaron a sectores de infraestructuras críticas.
- La sanidad fue el sector más atacado en el 2023 (24%) y 2024 (17%), seguido de los servicios financieros (17%) y la administración pública (10%).
- Estados Unidos es el mayor objetivo. Los principales objetivos después de Estados Unidos son Europa (Alemania, Francia, España, Italia y Reino Unido) y Asia (Japón, India, Corea, Taiwán, Singapur).
China, Rusia e Irán representan el 43% de los grupos de actores de amenazas
- Los tres principales países a los que se dirigen la mayoría de los actores de amenazas son Estados Unidos, Alemania e India.
"Los entornos de OT se están convirtiendo rápidamente en objetivos más grandes para los ciberdelincuentes porque estas áreas no cuentan con las sólidas medidas de seguridad y monitoreo que se encuentran en los sistemas de TI tradicionales", señaló, por su parte, Daniel dos Santos, jefe de investigación de Forescout. "Con la infraestructura crítica y los sistemas industriales expuestos con frecuencia a vulnerabilidades, los atacantes ven estos entornos como oportunidades principales para robar datos confidenciales o causar interrupciones. Las organizaciones deben trabajar para fortalecer su gestión de riesgos y exposiciones, segmentar las redes sensibles para evitar el movimiento lateral no autorizado e implementar la detección de amenazas consciente de IoT/OT para permitir una visibilidad completa en toda la empresa".
Franca Cavassa, CTOPerú