Los informes más recientes de ciberseguridad revelan nuevas tendencias en amenazas a la seguridad de endpoints. Un malware evasivo está poniendo en riesgo a los puntos finales, en especial a dispositivos de red no gestionados.
Si bien se aprecia un descenso de los ataques dirigidos a endpoints en los últimos meses, estos se relacionan con la detección a tiempo. No obstante, los investigadores de WatchGuard Threat Lab revelaron que del top 10 de amenazas por malware, siete han surgido en el tercer trimestre de 2024.
Entre las nuevas amenazas se encuentran Lumma Stealer, dirigido a robar datos confidenciales de los sistemas; Botnet Mirai, en una nueva variante que busca infectar dispositivos inteligentes y convierte a los agresores en bots controlados de forma remota, y LokiBot, una amenaza que afecta cada vez más a los dispositivos Windows y Android para robar credenciales, según publicó la revista It Digital Security, acerca del informe mencionado.
Por su parte, el Informe Mundial sobre Amenazas 2024, reveló un aumento de múltiples variantes de malware detectado en sistemas operativos macOS en mercados clandestinos desde el año pasado. Cookie Spider es el principal grupo de ciberdelincuentes, aunque todas las familias de malware han sido capaces de recolectar contraseñas almacenadas, cookies y billeteras de criptomonedas.
Un malware más evasivo
De acuerdo con el citado Informe Mundial sobre Amenazas, “los actores de amenazas se han adaptado a la visibilidad mejorada de los sensores tradicionales de detección y respuesta endpoints (EDR), modificando sus tácticas de explotación para el acceso inicial y el movimiento lateral”. De esta forma, el malware es dirigido a la periferia de la red, donde la visibilidad de los defensores se ve reducida si los endpoints carecen de sensores.
“Los dispositivos de puerta de enlace perimetral siguieron siendo el vector de acceso inicial a la explotación más observada durante 2023”, Informe Mundial sobre Amenazas 2024.
Con esta tendencia, los dispositivos de red no gestionados suelen ser el vector de acceso inicial de explotación, así como aquellos basados en una arquitectura obsoleta, dando lugar a vulnerabilidades ampliamente explotadas en las plataformas de firewall y VPN.
El exploit de día cero
Otra de las amenazas a la seguridad de endpoints detectada con más frecuencia en 2023 es el exploit de día cero. Los ciberdelincuentes están desarrollando activamente software malicioso dirigido a productos que dejarán de tener soporte, no se pueden parchear o no permiten la implementación moderna de sensores.
Los servidores de sistemas operativos no compatibles y los dispositivos de puerta de enlace antigua facilitan el acceso de familias de malware, provocando infecciones persistentes que ocupan el tiempo y los recursos de los equipos de ciberseguridad.
Akira es uno de los operadores de ransomware que ha aprovechado estas tendencias, así como los actores del crimen electrónico (fraude en línea, malware y phishing) han desarrollado software malicioso de día cero para productos de telefonía, en un proyecto de código abierto abandonado, según se explica en el mismo Informe Mundial sobre Amenazas 2024.
Riesgos conocidos de los endpoints
Con la modalidad del trabajo remoto, desde 2021 los estudios mostraron un incremento del 105% de ataques de ransomware dirigido a endpoints con el fin de acceder a sus archivos, datos e información sensible para exigir un rescate.
Otra forma de operar de los ciberdelincuentes ha sido la ingeniería social, enviando mensajes que engañan o manipulan a las personas para obtener información como contraseñas. De acuerdo con Keeper Security, el uso de contraseñas no seguras es uno de los principales riesgos asociados al trabajo remoto, seguido de: conexiones no seguras, uso compartido no cifrado de archivos, ampliación de la superficie de ataque y el uso de dispositivos personales.
Los endpoints desprotegidos permiten a los ciberdelincuentes filtrar datos y causar daños económicos y de reputación a sus víctimas. De igual manera, un mal cifrado o la falta de esta segunda capa de seguridad es aprovechada por quienes buscan sacar beneficio al tener acceso a datos confidenciales de negocios y organizaciones.
Buenas prácticas para la protección de endpoints
Ya sea para evitar un ataque evasivo, de día cero o cualquiera de las formas más conocidas de operar por ciberdelincuentes, lo recomendable es seguir estos principios:
- Proteger todos los endpoints con una solución automatizada que te permita tener un inventario y visibilidad de los puntos finales activos, detectar en tiempo real alteraciones en los patrones y reaccionar ante una amenaza.
- Aplicar la confianza cero, es decir no confiarse en nada y proteger todo. Estrictamente, no se debe permitir la ejecución de ninguna aplicación, excepto que haya sido aprobada por el equipo de TI.
- Los parches son indispensables en la actualidad para evitar las nuevas formas de ataque evasivo. Contar con una solución personalizada para automatizar la aplicación de parches, siguiendo protocolos adecuados, es la mejor forma de garantizar la protección de endpoints.
- Administrar los dispositivos móviles para desplegar perfiles y políticas, configurar dispositivos wifi, cuentas de email, aplicar restricciones a las cámaras, los exploradores y habilitando contraseñas lock/wipe remoto, mediante soluciones de automatización como Endpoint Central.
- La capacitación de los equipos de trabajo en temas de ciberseguridad es clave para reducir los riesgos asociados con error humano o falta de seguridad.
Si estás buscando opciones para fortalecer la seguridad de endpoints, comunícate con uno de nuestros asesores y solicita más información sobre las soluciones más eficientes.
