Se dispara el uso de deepfakes malignos y estrategias de ciberextorsión

En el contexto de la Black Hat USA 2022, VMware ha lanzado su octavo informe anual Global Incident Response Threat Report, que se sumerge en los retos afrontados por los equipos de seguridad en un entorno dictado por la pandemia, el síndrome de burnout y ciberataques motivados por la situación geopolítica. El estudio también destaca las amenazas emergentes como los deepfakes, ataques a las API y cibercriminales que apuntan hacia el propio personal de respuesta a los incidentes.

Entre los hallazgos clave del informe encontramos que el 47% del personal de respuesta a incidentes afirman que han experimentado burnout o estés extremo en los últimos 12 meses. De este grupo, el 69% ha considerado dejar su trabajo como consecuencia. Sin embargo, las organizaciones trabajan para combatirlo; más de dos tercios de los participantes declararon que se habían implementado programas de bienestar en sus lugares de trabajo para afrontar el síndrome de burnout.

Los cibercriminales están incorporando deepfakes a sus métodos de ataque para evadir los controles de seguridad. Dos de cada tres participantes en el estudio han detectado deepfakes malignos como parte de un ataque, un aumento del 13% respecto al año pasado, con emails como el principal método de difusión. Los cibercriminales han evolucionado más allá del uso de vídeo y audio sintéticos simplemente para operaciones de influencia o campañas de desinformación. Su nueva meta es usar la tecnología deepfake para intervenir en organizaciones y obtener acceso a su entorno.

El predominio de los ataques de ransomware, con frecuencia reforzados por grupos de colaboración entre cibercriminales a través de la dark web, está lejos de terminar. El 57% de los participantes se han enfrentado a este tipo de ataque en el último año, y el 66% han descubierto colaboraciones entre grupos, mientras que los ciberdelincuentes siguen extorsionando a las organizaciones a través del soborno, la doble extorsión y subastas de datos.

En un contexto en el que proliferan las cargas de trabajo y las aplicaciones, el 23% de los ataques ponían en riesgo la seguridad de las API. Los tipos de ataque más frecuente a las API incluyen la revelación de datos (hallada por el 42% de los participantes es el último año), los ataques de inyección SQL y API (37% y 34% respectivamente), y ataques de denegación de servicio (33%).

El movimiento lateral se halló en el 25% de todos los ataques, y los cibercriminales llegaron a comprometer desde script hosts (49%) y almacenamiento de documentos (46%) hasta PowerShell (45%), plataformas de comunicación (41%) y .NET para rebuscar por el interior de las redes.

A pesar del turbulento paisaje de amenazas que se detalla en el informe, los responsables de respuesta a los incidentes luchan con fuerza y el 87% declara que a veces (50%) o muy a menudo (37%) son capaces de interrumpir la actividad de un cibercriminal. Además, para hacerlo están usando nuevas técnicas. Tres cuartas partes de los participantes declararon que están desplegando parches virtuales como mecanismo de emergencia. En todos los casos, cuanta más visibilidad tienen los defensores a lo largo de la superficie de ataque, mejor equipados estarán para capear la tormenta.