Los ciberdelincuentes desarrollan continuamente técnicas nuevas y cada vez más sofisticadas de malware para comprometer los sistemas empresariales y evitar su detección.

Como consecuencia, 5 de cada 1.000 empresas intentaron descargar malware durante el primer trimestre de este año, según los datos extraídos del último informe semestral de Netskope Treat Lab “Cloud and Treat Report: Global Cloud and web malware Trends”.

En al menos el 73% de los intentos de infiltración, los atacantes utilizaron la ingeniería social, una de sus principales técnicas, en las que emplearon SEO para llenar los vacíos de datos de los motores de búsqueda. El objetivo: engañar a las víctimas para que se descarguen troyanos -programas que parecen legítimos e inofensivos, pero que al ejecutarlos permiten acceso remoto al equipo infectado-, y entregar por este medio otros tipos como ransomware o puertas traseras. De hecho, el 60% de las descargas de malware que tuvieron lugar en el primer trimestre de este año según este estudio se correspondieron con troyanos, lo que pone de relieve además su alta tasa de éxito y efectividad para conseguir sus fines delictivos. Le siguieron el phishing (13%) en el que un documento Office o Pdf sirve como anzuelo para dirigir a las víctimas hacia un sitio web, un correo electrónico, una aplicación de chat o un teléfono.

Cabe destacar que la explotación de los vacíos de datos de los motores de búsqueda está en auge. Se centra en combinar términos que tienen muy pocos resultados de búsqueda y que hacen posible que cualquier resultado que coincida con ellos aparezcan en los primeros puestos. En este sentido, cerca del 10% de todas las descargas de software malicioso procedieron de este tipo, así como de anuncios maliciosos que aparecieron junto a los resultados de los motores de búsqueda.

Las aplicaciones de correo web, de colaboración o los chats son otros de los lugares donde los ciberdelincuentes utilizan tácticas de ingeniería social para entregar malware.

¿Cómo consiguen los ciberdelincuentes evitar ser detectados?

Para evadir la detección, los ciberdelicuentes han incluido nuevas funciones maliciosas y han centrado sus ataques en los principales canales que emplean las empresas para intentar encubrirlos dentro del tráfico normal y saltarse así los controles de seguridad. Las aplicaciones en la nube se están convirtiendo en uno de los canales más populares para entregar malware, usando HTTP y HTTPS para comunicarse con los servicios infectados.

Se trata en su mayoría de aplicaciones de almacenamiento en la nube como OneDrive, Amazon S3, DropBox, Google Drive, Box y Azure Blob Storage, pero también de colaboración como SharePoint, alojamiento de software gratuito (GitHub), servicios de alojamiento web gratuitos (Weebly) o de correo web (Gmail).

Para evadir los controles de seguridad basados en DNS, algunos tipos de malware eluden las búsquedas de DNS y se comunican directamente con los hosts remotos utilizando sus direcciones IP. Los ciberdelincuentes también intentan pasar desapercibidos enrutando sus comunicaciones de malware a través de redes de entrega de contenido (CDN) y proveedores de servicios en la nube.

España es el sexto país del mundo que más ciberataques recibe a cuenta del ransomware -un tipo de malware que impide el acceso a ficheros, encriptando todos los archivos del equipo y del sistema bloqueado -, aunque por debajo de la media europea y por detrás de Reino Unido, Alemania y Francia, los países de la UE más azotados por estos delitos cibernéticos. Así lo revelan los datos del “Threat landscape Report” de S21sec, que señala el industrial, el retail y la sanidad como los sectores más atacados.

¿Qué pueden hacer las organizaciones para reducir el riesgo de ataques de malware?

  1. Inspeccionar todas las descargas HTTP y HTTPS para evitar que se infiltre en la red, incluyendo todo el tráfico web y en la nube.
  2. Hacer controles de seguridad del contenido de archivos comprimidos, tipo .ZIP
  3. Configurar políticas para bloquear descargas de aplicaciones que no se utilizan en la organización.
  4. Bloquear las descargas de archivos de riesgo de dominios recién registrados.
  5. Utilizar un firewall de salida para restringir el tráfico de red saliente para los puertos, protocolos y aplicaciones requeridos en las operaciones habituales.
  6. Usar seguridad de DNS para bloquear búsquedas de dominios potencialmente maliciosas.
  7. Instruir a los profesionales de la empresa en técnicas de ingeniería social
  8. Usar aislamiento de navegador remoto (RBI) para disponer de una protección adicional cuando sea necesario visitar sites con riesgo.