¿De dónde parten las amenazas a la seguridad empresarial?

Así se desprende del informe Cisco 2014 MidyearSecurity Report, que analiza cómo estas ‘debilidades’ son aprovechadas por los hackers para explotar vulnerabilidades mediante diversos métodos, como peticiones DNS, exploit kits, ataques de amplificación, sistemas TPV comprometidos, publicidad maliciosa, chantajes, infiltraciones de protocolos de encriptación, ingeniería social o spam relacionado con eventos o situaciones ‘cruciales’.

Otro error que cometen las grandes organizaciones es centrarse en amenazas más peligrosas o de alto nivel en vez de en otras más comunes. Una actitud que, de acuerdo con el estudio, supone un riesgo añadido para su seguridad. Por ejemplo, al apoyarse en ataques contra infraestructuras y aplicaciones heredadas de bajo nivel con debilidades conocidas, los delincuentes pueden burlar los sistemas de defensa que los equipos de seguridad destinan principalmente a hacer frente a las amenazas más populares como el gusano Heartbleed.

Tras analizar 16 grandes multinacionales, el estudio resume en tres las conclusiones que relacionan a dichas empresas con el tráfico malicioso.

En primer lugar, los ataques “Man-in-the-Browser” (MiTB) constituyen un riesgo para las empresas. Casi el 94% de las redes corporativas analizadas en 2014 contiene tráfico que dirige hacia sitios web que albergan malware. Por ejemplo, se han detectado actividades relacionadas con peticiones DNS que redirigían a la distribución de familias de malware como Palevo, SpyEye y Zeus que incorporan funcionalidad Man-in-the-Browser (interceptación de comunicaciones en el navegador web).

En segundo lugar, se subraya el peligro de los botnets ocultos. Casi el 70% de las redes generaban peticiones DNS para Dominios DNS Dinámicos (DDNS). Esto significa que hay redes utilizadas incorrectamente o comprometidas con botnets que se apoyan en los DDNS para alterar su dirección IP y evitar la posible detección.

Finalmente, el estudio revela la encriptación de datos robados. Casi el 44% de las redes corporativas analizadas en 2014 generaban peticiones DNS para sitios y dominios web con dispositivos que proporcionan servicios de canal encriptado, algo empleado por los cibercriminales para ocultar su rastro y evitar la detección al extraer datos utilizando canales encriptados, como VPN, SSH, SFTP, FTP y FTPS.