Según Verizon Business, su Informe Anual de Investigaciones de Violaciones de Datos (DBIR, por sus siglas en inglés) analizó un récord de 30,458 incidentes de seguridad y 10,626 violaciones confirmadas en 2023, lo que representa un aumento del doble en comparación con 2022.
El comunicado de Verizon destaca que la explotación de vulnerabilidades como punto inicial de entrada casi se triplicó con respecto al año anterior, representando el 14 por ciento de todas las violaciones. Este aumento fue impulsado principalmente por la frecuencia creciente de ataques dirigidos a vulnerabilidades en sistemas y dispositivos sin parchear —vulnerabilidades de día cero— por actores de ransomware. El incidente de violación del software MOVEit fue uno de los mayores impulsores de estos ciberataques, comenzando en el sector educativo y luego extendiéndose a las industrias de finanzas y seguros.
De acuerdo a Chris Novak, director senior de consultoría de ciberseguridad en Verizon Business, “la explotación de vulnerabilidades de día cero por parte de actores de ransomware sigue siendo una amenaza persistente para la seguridad de las empresas”.
El aumento de la inteligencia artificial (IA) fue menos culpable en comparación con los desafíos en la gestión de vulnerabilidades a gran escala. “Si bien la adopción de IA para acceder a activos corporativos valiosos es una preocupación en el horizonte, la falta de parcheo de vulnerabilidades básicas ha hecho que los actores de amenazas no necesiten avanzar en su enfoque”, añade Novak.
El análisis del catálogo de Vulnerabilidades Explotadas Conocidas (KEV, por sus siglas en inglés) de la Agencia de Ciberseguridad e Infraestructura de Seguridad (CISA) reveló que, en promedio, las organizaciones tardan 55 días en remediar el 50 por ciento de las vulnerabilidades críticas después de la disponibilidad de parches. Mientras tanto, el tiempo medio para detectar las explotaciones masivas de las KEV de CISA en internet es de cinco días.
“Los hallazgos del DBIR de este año reflejan el panorama cambiante al que deben navegar los CISOs de hoy, equilibrando la necesidad de abordar vulnerabilidades más rápido que nunca mientras invierten en la educación continua de los empleados en relación con ransomware e higiene cibernética. La amplitud y profundidad de los incidentes examinados en este informe proporcionan una ventana a cómo están ocurriendo las violaciones y, a pesar del bajo nivel de complejidad, siguen siendo increíblemente costosas para las empresas”, dice Craig Robinson, vicepresidente de investigación de servicios de seguridad en IDC.
El año pasado, el 15 por ciento de las violaciones involucró a un tercero, incluidos custodios de datos, vulnerabilidades de software de terceros y otros problemas de la cadena de suministro directos o indirectos. Esta métrica—nueva para el DBIR de 2024— muestra un aumento del 68 por ciento desde el período anterior descrito en el DBIR de 2023.
Dice el comunicado de Verizon que el elemento humano sigue siendo la puerta principal para los cibercriminales. La mayoría de las violaciones —68 por ciento—, ya incluyan a un tercero o no, involucran un elemento humano no malicioso, que se refiere a una persona que comete un error o cae presa de un ataque de ingeniería social. Este porcentaje es aproximadamente el mismo que el año pasado. Un posible contrapeso es la mejora de las prácticas de informes: el 20 por ciento de los usuarios identificó y reportó phishing en simulacros de compromiso, y el 11 por ciento de los usuarios que hicieron clic en el correo también lo reportaron.
“La persistencia del elemento humano en las violaciones muestra que todavía hay mucho espacio para mejorar en cuanto a la capacitación en ciberseguridad, pero el aumento en la auto-denuncia indica un cambio cultural que desestigmatiza el error humano y puede servir para destacar la importancia de la conciencia sobre la ciberseguridad entre la fuerza laboral general”, añade Novak.
Otros hallazgos clave del informe de este año revelan que el 32 por ciento de todas las violaciones incluyeron algún tipo de técnica de extorsión, como el ransomware. Además, en los últimos dos años, aproximadamente un cuarto —entre el 24 y el 25 por ciento— de los incidentes motivados financieramente involucraron pretextos. En la última década, el uso de credenciales robadas ha estado presente en casi un tercio —31 por ciento— de todas las violaciones. Significativamente, la mitad de las violaciones en la región EMEA son internas, mientras que los ataques de espionaje siguen siendo predominantes en la región APAC.
