Los ciberdelincuentes permanecen alrededor de 15 días en la red de sus víctimas antes de atacar

Los ciberdelincuentes se están convirtiendo en auténticos okupas digitales. Durante 2021, el tiempo de permanencia de los criminales en las redes de sus víctimas se incrementó en un 36 %, pasando de 11 a 15 días antes de lanzar el ataque.

Esta es la gran conclusión a la que llega el informe Active Adversary Playbook 2022 de Sophos, que detalla que “el tiempo medio de permanencia de un atacante antes de ser detectado fue mayor en las intrusiones ‘sigilosas’ que no se habían convertido en un ataque importante como el ransomware, y en el caso de empresas más pequeñas y sectores con menos recursos de seguridad informática”.

Los atacantes permanecen unos 51 días en las redes de compañías que tienen 250 empleados o menos. En comparación, en aquellas empresas con plantillas de 3000 a 5000 trabajadores pasan un mes menos, bajando hasta los 20 días.

El tiempo medio de permanencia en las organizaciones que han sido afectadas por el ransomware es de 11 días. El intervalo medio entre el robo de datos y el despliegue del malware que secuestra y cifra los sistemas es de 4,28 días. En el caso de las organizaciones que sufren una brecha sin llegar a verse afectadas por un ataque importante, la permanencia de los malhechores se eleva hasta los 34 días.

“Los atacantes consideran que las empresas más grandes son más valiosas, por lo que están más motivados para entrar, conseguir lo que quieren y salir. Por el contrario, las compañías más pequeñas tienen menos ‘valor’ percibido, por lo que los atacantes pueden permitirse merodear por la red en segundo plano durante más tiempo”, señala John Shier, asesor sénior de seguridad de Sophos

“También es posible que estos ciberatacantes tuvieran menos experiencia y necesitaran más tiempo para averiguar qué hacer una vez que estuvieran dentro de la red”, baraja Shier. Además, “las empresas más pequeñas suelen tener menos visibilidad de la cadena completa del ataque para detectar y expulsar a los atacantes, lo que prolonga su presencia”.

Los hackers también se esconden durante periodos más largos tiempo en las redes de las organizaciones del sector educativo.

La explotación de vulnerabilidades como ProxyLogon y ProxyShell explica en parte este efecto okupa que se ha extendido a lo largo del pasado año.

El hecho de que se esté alargando la permanencia y existan puntos de entrada abiertos vuelve más vulnerables a las empresas a la acción de múltiples atacantes. Diferentes bandos como grupos de ransomware, criptomineros o agentes de acceso inicial pueden tener el mismo objetivo al mismo tiempo.

“En este panorama de ciberamenazas, cada vez más dinámico y especializado, puede ser difícil para las empresas mantenerse al día con las herramientas y enfoques que utilizan los atacantes y que están en constante evolución”, observa John Shier.

Para él “es vital que los responsables de seguridad entiendan qué es lo que tienen que buscar en cada etapa de la cadena de un ataque, para que puedan detectar y neutralizar los ataques lo más rápido posible”.

“Las red flags a las que los responsables de seguridad deben prestar atención incluyen la detección de una herramienta legítima, una combinación de herramientas o una actividad en un lugar inesperado o en un momento poco común”, enumera este experto.

“Cabe destacar que también puede haber momentos de poca o nula actividad, pero eso no significa que una compañía no haya sido vulnerada”, añade. “Los responsables de seguridad deben estar atentos a cualquier señal sospechosa e investigarla inmediatamente. Tienen que parchear los errores críticos, especialmente los del software que más utilicen, y, como prioridad, deben reforzar la seguridad de los servicios de acceso remoto”.

“Hasta que se cierren los puntos de entrada expuestos y se erradique por completo todo lo que los atacantes han hecho para establecer y mantener el acceso, casi cualquiera puede entrar tras ellos, y probablemente lo hará”, declara Shier.