Las aplicaciones expuestas y accesos comprometen el 80% de ataques
Más del 80% de los incidentes de seguridad analizados a nivel global durante el pasado año se originaron a través de solo tres vías: aplicaciones expuestas, el uso de cuentas válidas y la explotación de relaciones de confianza.
Según detalla el último informe “Anatomy of a Cyber World” de Kaspersky Security Services, estas brechas estructurales permiten a los actores de amenazas eludir perímetros defensivos mediante métodos que, aunque conocidos, han ganado en sofisticación y capacidad de movimiento lateral.
El auge de las relaciones de confianza como vector crítico
La investigación destaca un cambio relevante en la jerarquía de las amenazas. Mientras que las aplicaciones expuestas a internet concentran el 43,7% de las intrusiones iniciales, las relaciones de confianza han ascendido hasta el 15,5%, consolidando una tendencia al alza que comenzó en 2021. Este vector ha desplazado definitivamente a métodos tradicionales como el correo electrónico malicioso en el podio de los incidentes más frecuentes.
Este problema resulta especialmente crítico para el ecosistema B2B, ya que los ciberdelincuentes se dirigen de forma prioritaria a proveedores de servicios o integradores de IT para alcanzar a su base de clientes finales. La falta de recursos en ciberseguridad de los pequeños proveedores facilita que el compromiso de un software contable o una página web derive en el acceso remoto no autorizado a sistemas críticos de terceros.
Velocidad de cifrado frente a persistencia avanzada
El análisis identifica dos patrones de comportamiento diferenciados según el objetivo de la intrusión. El 50,9% de los ataques son de ejecución rápida, duran menos de 24 horas y tienen como fin principal el cifrado de archivos para la extorsión. Por el contrario, un 33% de los incidentes corresponden a ataques prolongados con una duración media de 108 horas. En estos escenarios, los atacantes no solo cifran datos, sino que comprometen el Active Directory, instalan mecanismos de persistencia y ejecutan filtraciones masivas de información.
Existe además un perfil híbrido, que afecta al 16,1% de los casos, donde se detectan latencias de hasta 19 días entre la entrada inicial y la fase activa del ataque. Esta pausa deliberada busca evadir las soluciones de detección automatizada mediante actividades que inicialmente no parecen maliciosas.
Hacia una postura de seguridad proactiva
Ante la orquestación de ataques multietapa, la firma de ciberseguridad subraya la ineficacia de los modelos puramente reactivos. Konstantin Sapronov, responsable del Global Emergency Response Team, sostiene que las organizaciones deben integrar la monitorización en tiempo real como un estándar operativo. Según el directivo, el control estricto de los accesos de terceros y la aplicación inmediata de parches son medidas urgentes para frenar la escalada de las amenazas antes de que comprometan la continuidad del negocio.
Para mitigar estos riesgos, el dosier técnico recomienda reforzar los controles mediante servicios gestionados de detección y respuesta (MDR) que cubran el ciclo completo del incidente durante las 24 horas del día. Asimismo, se sugiere la adopción de arquitecturas de detección y respuesta extendidas (XDR) para correlacionar datos de múltiples fuentes y automatizar la neutralización de vectores interconectados.
(silicon.es)
Seguiremos brindándote más información sobre este tema en las siguientes presentaciones físicas y digitales de Channel News Perú
Mantente conectado a nuestra plataforma de negocios y revista, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario
