Como revelan los detalles del Informe de protección digital de Microsoft 2023, las ciberamenazas siguen creciendo en sofisticación, velocidad y escala, comprometiendo un conjunto cada vez mayor de servicios, dispositivos y usuarios. A medida que nos enfrentamos a estos desafíos y nos preparamos para un futuro en el que la IA puede ayudar a unificar las reglas del juego, es imprescindible actuar con decisión en cada una de estas diez informaciones.
Obtenga información directa de los expertos del podcast de Inteligencia contra amenazas Microsoft. Escuchar ahora.
10 datos esenciales del Informe de protección digital de Microsoft 2023
Como empresa comprometida con hacer del mundo un lugar más seguro, Microsoft ha invertido mucho en investigación sobre seguridad, innovación y en la comunidad mundial de seguridad. Tenemos acceso a un amplio rango de datos de seguridad que nos sitúan en una posición única para comprender el estado de la ciberseguridad e identificar indicadores que puedan ayudar a predecir los próximos movimientos de los atacantes.
Como parte de nuestro compromiso a largo plazo de crear un mundo más seguro, las inversiones de Microsoft en investigación sobre seguridad, innovación y la comunidad mundial de seguridad incluyen:
Más información sobre esta imagen en la página 6 del informe completo
La gran mayoría de los ciberataques con éxito se podrían frustrar mediante la implementación de algunas prácticas fundamentales de higiene de la seguridad. El uso de la nube a hiperescala facilita su implementación, ya sea habilitándolas de forma predeterminada o abstrayendo la necesidad de que los clientes las implementen.
Curva de campana de la ciberhigiene extraída del Informe de protección digital de Microsoft 2023 (MDDR). Más información sobre esta imagen en la página 7 del informe completo
Aspectos básicos de la higiene cibernética
Habilitar MFA: Esto protege de las contraseñas de usuario en peligro y ayuda a proporcionar una resistencia adicional a las identidades.
Aplicar los principios de la Confianza cero: La piedra angular de cualquier plan de resistencia es limitar el impacto de un ataque. Estos principios son: (1) Verifica explícitamente. Garantiza que los usuarios y dispositivos estén en buen estado antes de permitir el acceso a recursos. (2) Usar el acceso con privilegios mínimos. Permitir solo el privilegio necesario para acceder a un recurso y no más. (3) Asumir la vulneración. Supón que los sistemas de defensa se han vulnerado y que los sistemas pueden estar en peligro. Esto implica una supervisión constante del entorno ante posibles ataques.
Utilizar detección y respuesta extendidas (XDR) y antimalware: Implementa software que detecte ataques, los bloquee de forma automática y proporcione información al software de operaciones de seguridad. Supervisar la información obtenida de los sistemas de detección de amenazas es esencial para poder responder rápidamente a las ciberamenazas.
Mantente actualizado: Los atacantes se aprovechan de los sistemas sin parches y desactualizados. Asegúrate de que todos los sistemas están actualizados, incluido su firmware, sistema operativo y aplicaciones.
Proteger datos: Para aplicar la protección adecuada, es fundamental conocer los datos importantes, dónde se encuentran y si se ha implementado la protección adecuada.
La telemetría de Microsoft indica un aumento de la tasa de ataques de ransomware en comparación con el año pasado, con ataques de ransomware operados por humanos que se han triplicado desde septiembre de 2022. En el futuro, esperamos que los operadores de ransomware traten de aprovechar la automatización, la IA y los sistemas de nube de hiperescala para escalar y maximizar la eficacia de sus ataques.
El panorama del ransomware
Más información sobre esta imagen en la página 2 del informe completo
Eliminación del ransomware y los cinco fundamentos
Hemos identificado cinco principios fundamentales que creemos que todas las empresas deben implementar para defenderse contra el ransomware a través de la identidad, los datos y los puntos de conexión.
- Autenticación moderna con credenciales resistentes a la suplantación de identidad
- Acceso con privilegios mínimos aplicado a toda la pila de tecnología
- Entornos sin amenazas y sin riesgos
- Administración de la posición para el cumplimiento y el estado de los dispositivos, servicios y recursos
- Copia de seguridad automática en la nube y sincronización de archivos para datos críticos para el usuario y la empresa
Los datos de Microsoft Entra revelan un aumento de más de diez veces en los intentos de ataques de contraseña en comparación con el mismo período de hace un año. Una forma de disuadir a los posibles atacantes es utilizar credenciales que no se pueden obtener a través de suplantación de identidad, como Windows Hello para empresas o las claves FIDO.
Gráfico que muestra el número de ataques de contraseña en comparación con el año pasado por estas mismas fechas. Más información sobre esta imagen en la página 16 del informe completo
¿Lo sabías?
Una de las principales razones por las que los ataques de contraseña son tan frecuentes se debe a una posición de seguridad inadecuada. Muchas organizaciones no han habilitado la AMF para sus usuarios, dejándolos vulnerables a la suplantación de identidad, al relleno de credenciales y a los ataques por fuerza bruta.
Los actores de amenazas están adaptando sus técnicas de ingeniería social y el uso de la tecnología para llevar a cabo ataques BEC más sofisticados y costosos. La Unidad de crímenes digitales de Microsoft cree que un mayor intercambio de inteligencia entre los sectores público y privado permitirá una respuesta más rápida e impactante a los BEC.
Número de intentos diarios de BED observados de abril de 2022 a abril de 2023. Más información sobre esta imagen en la página 33 del informe completo
¿Lo sabías?
La Unidad de crímenes digitales de Microsoft ha adoptado una postura proactiva al hacer un seguimiento y control activos de 14 sitios de DDoS de alquiler, incluido uno situado en la web oscura, como parte de su compromiso de identificar posibles ciberamenazas y adelantarse a los ciberdelincuentes.
Los actores del Estado-nación han aumentado el alcance global de sus operaciones cibernéticas en el marco de la recopilación de información. Las organizaciones dedicadas a las infraestructuras críticas, la educación y la formulación de políticas fueron algunas de las más atacadas, en línea con los objetivos geopolíticos y las misiones de espionaje de muchos grupos. Entre los pasos para detectar posibles infracciones relacionadas con el espionaje se incluye la supervisión de los cambios en los buzones de correo y los permisos.
Los países más afectados por región* fueron:
Instantánea de los actores de la amenaza del Estado-nación a escala mundial. En el informe se ofrece un desglose más completo de los datos. Más información sobre esta imagen en la página 12 del informe completo
¿Lo sabías?
Este año, Microsoft ha lanzado una nueva taxonomía de nombres de actores de amenazas. La nueva taxonomía aportará mayor claridad a los clientes e investigadores de seguridad con un sistema de referencia más organizado y fácil de usar para los actores de amenazas.
Los actores del Estado-nación emplean con mayor frecuencia operaciones de influencia junto con operaciones cibernéticas para difundir narrativas propagandísticas favorables, avivar las tensiones sociales y aumentar la duda y la confusión. Estas operaciones suelen llevarse a cabo en el contexto de conflictos armados y elecciones nacionales.
Categoría de actor Blizzard
Los actores estatales rusos ampliaron su radio de acción más allá de Ucrania para atacar a los aliados de Kiev, principalmente los miembros de la OTAN.
Categoría de actor Typhoon
Las crecientes y sofisticadas actividades de China reflejan su doble objetivo de influencia mundial y recopilación de inteligencia. Sus objetivos incluyen la defensa y las infraestructuras críticas de Estados Unidos, los países del Mar de la China Meridional y los socios de la Iniciativa Cinturón y Ruta.
Categoría de actor Sandstorm
Irán ha ampliado sus actividades cibernéticas a África, América Latina y Asia. Apoyándose en gran medida en operaciones de influencia, ha impulsado narrativas que pretenden fomentar el descontento chií en los países árabes del Golfo y contrarrestar la normalización de los lazos árabe-israelíes.
Categoría de actor Sleet
Corea del Norte ha aumentado la sofisticación de sus operaciones cibernéticas en el último año, especialmente en el robo de criptomoneda y los ataques a la cadena de suministro.
¿Lo sabías?
Aunque las fotos de perfil generadas por IA son desde hace tiempo una característica de las operaciones de influencia patrocinadas por el Estado, el uso de herramientas de IA más sofisticadas para crear contenido multimedia más llamativo es una tendencia que esperamos que persista con la mayor disponibilidad de este tipo de tecnologías.
Los atacantes se han centrado cada vez más en la gran vulnerabilidad de la tecnología de la información y la tecnología operativa (IT-OT), que puede ser difícil de defender. Por ejemplo, del 78 % de los dispositivos del Internet de las cosas (IoT) con vulnerabilidades conocidas en las redes de los clientes, el 46 % no puede parchearse. Por lo tanto, un sistema sólido de administración de parches de OT es un componente esencial de la estrategia de ciberseguridad, mientras que la supervisión de la red en entornos de OT puede ayudar a detectar actividades maliciosas.
Más información sobre esta imagen en la página 61 del informe completo
¿Lo sabías?
El 25 % de los dispositivos OT en las redes de los clientes utilizan sistemas operativos no compatibles, lo que los hace más susceptibles a los ciberataques debido a la falta de actualizaciones esenciales y de protección contra las ciberamenazas en evolución.
La IA puede mejorar la ciberseguridad automatizando y aumentando las tareas de ciberseguridad, permitiendo a los defensores detectar patrones y comportamientos ocultos. Los LLM pueden contribuir a la inteligencia sobre amenazas; la respuesta y recuperación ante incidentes; la supervisión y detección; las pruebas y la validación; la educación; y la seguridad, la gobernanza, el riesgo y el cumplimiento.
Los investigadores y científicos aplicados de Microsoft están explorando muchos escenarios para la aplicación de LLM en ciberdefensa, tales como:
Más información sobre esta imagen en la página 98 del informe completo
¿Lo sabías?
El equipo rojo de IA de Microsoft, formado por expertos interdisciplinarios, está ayudando a construir un futuro de IA más segura. Nuestro equipo rojo de IA emula las tácticas, técnicas y procedimientos (TTP) de los adversarios del mundo real para identificar riesgos, detectar puntos ciegos, validar suposiciones y mejorar la posición general de seguridad de los sistemas de IA. Más información sobre el equipo rojo de Microsoft para la IA en Equipo rojo de inteligencia artificial de Microsoft construye el futuro de una inteligencia artificial más segura | Blog de Seguridad de Microsoft.
A medida que evolucionen las ciberamenazas, la colaboración público-privada será clave para mejorar el conocimiento colectivo, impulsar la resiliencia e informar sobre las orientaciones de mitigación en todo el ecosistema de seguridad. Por ejemplo, este año, Microsoft, Fortra LLC y Health-ISAC colaboraron para reducir la infraestructura ciberdelictiva para el uso ilícito de Cobalt Strike. Esto ha provocado una reducción de esta infraestructura en un 50 % en Estados Unidos.
Gráfico que muestra una reducción del 50 % en Estados Unidos de los servidores de Cobalt Strike craqueados. Más información sobre esta imagen en la página 115 del informe completo
¿Lo sabías?
El atlas mundial de la ciberdelincuencia reúne a una comunidad diversa de más de 40 miembros de los sectores público y privado para centralizar el intercambio de conocimientos, la colaboración y la investigación sobre la ciberdelincuencia. El objetivo es desarticular a los ciberdelincuentes proporcionándoles información que facilite la actuación de las fuerzas del orden y del sector privado, lo que conducirá a detenciones y al desmantelamiento de las infraestructuras delictivas.
La escasez mundial de profesionales de la ciberseguridad y la IA solo puede abordarse mediante asociaciones estratégicas entre instituciones educativas, organizaciones sin ánimo de lucro, gobiernos y empresas. Dado que la IA puede ayudar a aliviar parte de esta carga, el desarrollo de aptitudes en IA es una de las principales prioridades de las estrategias de formación de las empresas.
Aumento del 35 % de la demanda de expertos en ciberseguridad en el último año. Más información sobre esta imagen en la página 120 del informe completo
¿Lo sabías?
La Microsoft AI Skills Initiative nuevos cursos gratuitos desarrollados en colaboración con LinkedIn. Esto permite a los trabajadores aprender conceptos introductorios de IA, incluidos los marcos de IA responsables, y recibir un certificado Career Essentials al finalizar.
Seguir a Microsoft