Trace Id is missing

Las ciberamenazas se dirigen cada vez más a los escenarios de los eventos más importantes del mundo

Una ilustración de un estadio de fútbol con muchos iconos diferentes.

Cyber Signals edición 5: informe de situación

Los agentes malintencionados se dirigen allí donde están los objetivos, aprovechando las oportunidades para lanzar ataques oportunistas específicos o generalizados. Esto se hace extensivo a los eventos deportivos de alto nivel, especialmente a los que se celebran en entornos cada vez más conectados, lo que introduce un riesgo cibernético para los organizadores, las instalaciones anfitrionas regionales y los asistentes. El Centro Nacional de Ciberseguridad (NCSC) de Reino Unido ha observado que los ciberataques contra las organizaciones deportivas son cada vez más comunes. El 70 por ciento de las encuestadas han experimentado al menos un ataque al año, una cifra muy superior a la media de otras empresas en el Reino Unido.

La presión para ofrecer una experiencia segura y sin problemas a nivel mundial introduce nuevos retos para los anfitriones y las instalaciones locales. Un solo dispositivo configurado incorrectamente, una contraseña expuesta o una conexión de terceros ignorada puede dar lugar a una vulneración de datos o una intrusión de éxito.

Microsoft ha ofrecido soporte técnico de ciberseguridad en las instalaciones de infraestructuras clave durante la organización de la Copa Mundial de la FIFA en el Estado de Catar en 2022TM. En esta edición, ofrecemos información de primera mano sobre cómo los agentes malintencionados evalúan estos entornos y se infiltran a través de sedes, equipos e infraestructuras críticas en torno al evento.

Todos somos defensores de la ciberseguridad.

Microsoft ha realizado más de 634,6 millones de autenticaciones, y ha proporcionado defensas de ciberseguridad a las organizaciones y las instalaciones catarís entre el 10 de noviembre y el 20 de diciembre de 2022.

Los agentes malintencionados oportunistas explotan los entornos con múltiples objetivos

Las amenazas de ciberseguridad en sedes y eventos deportivos son muy diversas y complejas. Requieren una vigilancia constante y una colaboración entre las partes interesadas para impedir y mitigar la escalación. En un mercado deportivo global valorado en más de 600 000 millones de USD, los objetivos son abundantes. Los equipos deportivos, las asociaciones deportivas globales y de grandes ligas, y las sedes de los eventos albergan un tesoro de información valiosa muy atractiva para los ciberdelincuentes.

Los datos sobre el rendimiento atlético, las ventajas sobre la competencia y la información personal son un objetivo muy lucrativo. Desgraciadamente, esta información puede ser vulnerable a gran escala, debido al número de dispositivos conectados y redes interconectadas en estos entornos. A menudo, esta vulnerabilidad abarca varios propietarios, por ejemplo, equipos, patrocinadores corporativos, autoridades municipales y contratistas externos. Los entrenadores, los atletas y los aficionados también pueden ser vulnerables a la pérdida de datos y a la extorsión.

Asimismo, las sedes y los estadios contienen muchas vulnerabilidades conocidas y desconocidas, que dan lugar a amenazas en servicios empresariales críticos como, por ejemplo, los dispositivos de punto de venta, las infraestructuras de TI y los dispositivos de los visitantes. No hay dos eventos deportivos de alto nivel que tengan el mismo perfil de riesgo cibernético, ya que varía dependiendo de factores como la ubicación, los participantes, el tamaño y la composición.

Para centrar nuestro trabajo durante la Copa Mundial celebrada en Catar, realizamos búsquedas proactivas de amenazas para evaluar los riesgos utilizando los Expertos de detección de Defender, un servicio administrado de detección de amenazas que busca de manera proactiva amenazas en todos los puntos de conexión, sistemas de correo electrónico, identidades digitales y aplicaciones en la nube. En este caso, los factores incluían la motivación del agente malintencionado, el desarrollo de perfiles y una estrategia de respuesta. También tuvimos en cuenta la inteligencia global sobre amenazas en ciberdelincuentes y agentes malintencionados motivados geopolíticamente.

Las principales preocupaciones incluían el riesgo de disrupciones cibernéticas de servicios locales o del evento. Las disrupciones como los ataques de ransomware y los intentos de robar datos pueden afectar negativamente a la experiencia del evento y las operaciones rutinarias.

Línea de tiempo de incidentes de dominio público de 2018-2023

  • En enero de 2023, la Asociación Nacional de Baloncesto advierte a los aficionados de una vulneración de datos que filtró su información personal desde un servicio de noticias de terceros.1
  • En noviembre de 2022, el Manchester United confirmó que el club había experimentado un ciberataque en sus sistemas.2
  • En febrero de 2022, los San Francisco 49ers sufrieron un importante ataque de ransomware el domingo de la Super Bowl.3
  • En abril de 2021, un grupo de ransomware afirma haber robado 500 gigabytes de datos de los Rockets, incluidos contratos, acuerdos de confidencialidad y datos financieros. Las herramientas de seguridad interna impidieron la instalación de ransomware, excepto en algunos sistemas.4
  • En octubre de 2021, un hombre de Minnesota fue acusado de piratear los sistemas informáticos de las Grandes Ligas de Béisbol e intentar extorsionarles por 150 000 USD.5
  • En 2018, los Juegos Olímpicos de Invierno de Pyeongchang experimentaron un alto nivel de ataques. Los hackers rusos llevaron a cabo ataques en las redes de las Olimpiadas antes de la ceremonia de apertura.6

El equipo de búsqueda de amenazas operó con una filosofía de defensa exhaustiva para inspeccionar y proteger las redes y los dispositivos de los clientes. Otro de los objetivos era supervisar el comportamiento de las identidades, los inicios de sesión y el acceso a los archivos. La cobertura abarcaba distintos sectores, incluidos los clientes implicados en el transporte, las telecomunicaciones, la asistencia médica y otras funciones esenciales.

En conjunto, el número total de entidades y sistemas supervisados en todo momento con búsqueda de amenazas realizada por personas y soporte técnico de respuesta abarcaba más de 100 000 puntos de conexión, 144 000 identidades, más de 14,6 millones de flujos de correo electrónico, más de 634,6 millones de autenticaciones y miles de millones de conexiones de red.

A modo de ejemplo, algunos centros médicos se designaron como centros de urgencias para el evento, incluidos hospitales que prestaban servicios médicos y de asistencia críticos para aficionados y jugadores. Como los centros médicos son propietarios de datos médicos, se convirtieron en objetivos de gran valor. La actividad de detección de amenazas de Microsoft realizada por máquinas y personas aprovechó la inteligencia sobre amenazas para examinar señales, aislar activos infectados e interrumpir los ataques en estas redes. Con una combinación de tecnología de Seguridad de Microsoft, el equipo detectó y puso en cuarentena las actividades previas al ransomware que tenían como objetivo la red de los centros médicos. Se registraron varios intentos fallidos de inicio de sesión y se bloquearon otras actividades.

La naturaleza urgente de los servicios de atención médica requiere dispositivos y sistemas para mantener un nivel máximo de rendimiento. Los hospitales y los centros médicos tienen el difícil reto de equilibrar la disponibilidad de los servicios con el mantenimiento de una posición de ciberseguridad eficaz. A corto plazo, un ataque con éxito podría haber inmovilizado los centros médicos desde el punto de vista de los datos y la TI, obligando a los profesionales a utilizar lápiz y papel para actualizar los datos de los pacientes, y reduciendo su capacidad para ofrecer una atención médica vital en situaciones de emergencia o de triaje masivo. A largo plazo, el código malintencionado implantado para ofrecer visibilidad de la red podría haberse utilizado en un evento de ransomware más amplio con el objetivo de lograr una disrupción mayor. Este tipo de caso podría haber abierto la puerta al robo de datos y la extorsión.

Como los grandes eventos globales continúan siendo un objetivo atractivo para los agentes malintencionados, hay una amplia variedad de motivaciones para los estados nación que están dispuestos a asumir los daños colaterales de los ataques si con ello apoyan intereses geopolíticos más amplios. Asimismo, los grupos de ciberdelincuentes que desean aprovechar las amplias oportunidades financieras de los entornos de TI relacionados con sedes y eventos deportivos continuarán considerándolos objetivos atractivos.

Recomendaciones

  • Aumentar el equipo de SOC: Disponga de un grupo adicional de personas que supervisen el evento las 24 horas del día para detectar amenazas de forma proactiva y enviar notificaciones. Esto ayudará a correlacionar más datos de búsqueda y descubrir los primeros signos de intrusión. Debe incluir amenazas más allá del punto de conexión, como el riesgo de las identidades o el cambio del dispositivo a la nube.
  • Realice una evaluación específica de riesgos cibernéticos: Identifique amenazas potenciales específicas del evento, la sede o la nación donde se produce el evento. Esta evaluación debe incluir a proveedores, profesionales de TI de la sede y el equipo, patrocinadores y partes interesadas clave del evento.
  • Se recomienda utilizar el acceso con privilegios mínimos como procedimiento recomendado: Otorgue acceso a los sistemas y servicios solo a aquellos que lo necesiten, y forme al personal para que conozca las capas de acceso.

Una amplia superficie de ataque requiere vigilancias y planificaciones adicionales

Con eventos como la World Cup™, las Olimpiadas y acontecimientos deportivos en general, los riesgos cibernéticos conocidos se manifiestan de diferente manera, a menudo menos perceptible que en otros entornos empresariales. Estos eventos pueden converger rápidamente, cuando nuevos partners y proveedores adquieren acceso a redes empresariales y compartidas durante un determinado periodo de tiempo. La naturaleza emergente de la conectividad con algunos eventos puede hacer que sea difícil desarrollar la visibilidad y el control de los dispositivos y los flujos de datos. También fomenta un falso sentido de seguridad el hecho de que las conexiones “temporales” tienen un riesgo menor.

Los sistemas del evento pueden incluir la web del equipo o la sede y la presencia en redes sociales; las plataformas de registro o venta de entradas; los sistemas de resultados y tiempo de juego; la logística; el seguimiento de pacientes y atención médica; el seguimiento de incidentes; los sistemas de notificación masiva; y la señalización electrónica.

Las organizaciones deportivas, los patrocinadores, los anfitriones y las sedes deben colaborar en estos sistemas y desarrollar experiencias ciberinteligentes para los aficionados. Asimismo, la ingente cantidad de asistentes y empleados que llevan con ellos datos e información en sus propios dispositivos aumenta la superficie expuesta a ataques.

Cuatro riesgos cibernéticos en un gran evento

  • Deshabilite los puertos que no sean necesarios y asegúrese de que se examina correctamente la red para buscar puntos de acceso inalámbrico fraudulentos o ad hoc. Aplique actualizaciones, revise el software y elija aplicaciones con una capa de cifrado en todo los datos.
  • Anime a los asistentes a (1) proteger sus aplicaciones y dispositivos con las últimas actualizaciones y revisiones, (2) evitar el acceso a información confidencial desde redes Wi-Fi públicas, (3) evitar enlaces, archivos adjuntos y códigos QR de fuentes no oficiales.
  • Asegúrese de que los dispositivos de POS estén revisados, actualizados y conectados a una red independiente. Asimismo, los asistentes deben tener cuidado con los cajeros automáticos y quioscos de venta inusuales, y limitar las transacciones a zonas aprobadas oficialmente por el anfitrión del evento.
  • Desarrolle segmentaciones de red lógica para crear divisiones entre los sistemas de TI y OT, y limite el acceso cruzado a dispositivos y datos para mitigar las consecuencias de un ciberataque.

Proporcionar previamente a los equipos de seguridad la información que necesita, incluidos los servicios críticos que deben permanecer operativos durante el evento, mejorará los planes de respuesta. Esto es fundamental en los entornos de TI y OT que apoyan la infraestructura de la sede, así como para mantener la seguridad física de los asistentes. Idealmente, las organizaciones y los equipos de seguridad pueden configurar sus sistemas antes del evento para realizar pruebas y crear instantáneas del sistema y los dispositivos, de forma que estén disponibles para que los equipos de TI puedan volver a implementarlos rápidamente cuando sea necesario. Estos esfuerzos permiten disuadir a los adversarios de aprovecharse de las redes ad hoc mal configuradas en los entornos de los grandes eventos deportivos, que son muy atractivos y tienen múltiples objetivos.

Asimismo, alguien en la sala deberá tener en cuenta el riesgo para la privacidad y si las configuraciones añaden nuevos riesgos o vulnerabilidades para la información personal de los asistentes o los datos de propiedad de los equipos. Esta persona puede implementar sencillas prácticas ciberinteligentes para los aficionados, que les informen, por ejemplo, de que solo deben examinar códigos QR con un logotipo oficial, que deben ser tener cuidado con los mensajes de texto o SMS para los que no se hayan registrado, y que deben evitar utilizar Wi-Fi públicas gratuitas.

Estas directivas y otras pueden ayudar al público a entender mejor el riesgo cibernético en grandes eventos y, específicamente, su exposición a la recopilación y el robo de datos. Conocer las prácticas seguras puede ayudar a los aficionados y asistentes a evitar convertirse en víctimas de ataques de ingeniería social, que los ciberdelincuentes pueden realizar después de introducirse en redes de sedes y eventos vulnerables.

Además de las siguientes recomendaciones, el Centro Nacional de Seguridad para los Espectadores deportivos ofrece estas consideraciones para dispositivos conectados y seguridad integrada en grandes sedes.

Recomendaciones

  • Priorice la implementación de un marco de seguridad exhaustiva y en varias capas: Esto incluye la implementación de firewalls, sistemas de prevención y detección de intrusiones, y protocolos de cifrado seguro para fortalecer la red contra el acceso no autorizado y las vulneraciones de datos.
  • Programas de concienciación y formación de usuarios: Forme a los empleados y las partes interesadas sobre los procedimientos recomendados de seguridad como, por ejemplo, reconocer los correos electrónicos de phishing, utilizar la autenticación multifactor o la protección sin contraseña, y evitar las descargas o enlaces sospechosos.
  • Asociación con firmas de ciberseguridad reconocidas: Supervise de manera continua el tráfico de red, detecte amenazas potenciales en tiempo real, y responda rápidamente a los incidentes de seguridad. Realice periódicamente auditorías de seguridad y evaluaciones de vulnerabilidades para identificar y solventar las deficiencias en la infraestructura de red.

Obtenga más información sobre los retos de seguridad más comunes de Justin Turner, director principal del grupo de Investigación de Seguridad de Microsoft.

Los datos de instantánea representan el número total de entidades y eventos supervisados ininterrumpidamente entre el 10 de noviembre y el 20 de diciembre de 2022. Incluye todas las organizaciones implicadas directamente o afiliadas con la infraestructura del torneo. Las actividades incluyen la búsqueda proactiva de amenazas realizadas por personas para identificar las amenazas emergentes y realizar un seguimiento de las campañas más destacadas.

Conclusiones clave:
 

45 organizaciones protegidas                                 100 000 puntos de conexión protegidos

 

144 000 identidades protegidas                               14,6 millones de flujos de correo electrónico

 

634,6 millones de intentos de autenticación                4350 millones de conexiones de red

Metodología: Para los datos de instantánea, los servicios y las plataformas de Microsoft, que incluyen Detecciones y respuestas extendidas de Microsoft, Microsoft Defender, Expertos de detección de Defender y Azure Active Directory, proporcionaron datos anonimizados sobre la actividad de las amenazas, por ejemplo, las cuentas de correo malintencionadas, los correos electrónicos de phishing y el movimiento de los atacantes en las redes. La información adicional proviene de los 65 billones de señales de seguridad diarias obtenidas en Microsoft, incluida la nube, los puntos de conexión, la inteligencia perimetral y nuestros Equipos de detección y respuesta y Expertos en recuperación de seguridad vulnerada. La portada no representa ningún partido de fútbol, torneo o deporte individual real. Todas las organizaciones deportivas referenciadas son marcas registradas de propiedad individual.

Artículos relacionados

Consejo experto sobre los tres retos más persistentes en ciberseguridad

Justin Turner, director principal del grupo de Investigación de Seguridad de Microsoft, describe los tres retos constantes a los que se ha enfrentado en su carrera en ciberseguridad: administración de la configuración, revisión y visibilidad de los dispositivos.

61 % de aumento de ataques de phishing. Conocer la superficie actual expuesta a ataques

Para administrar una superficie expuesta a ataques cadas vez más compleja, las organizaciones deben desarrollar una posición de seguridad exhaustiva. Con seis áreas clave de superficie expuesta a ataques, este informe le mostrará cómo una inteligencia sobre amenazas adecuada puede ayudar a cambiar el resultado del partido a favor de los defensores.

La convergencia de TI y OT

La circulación cada vez mayor de IoT está poniendo en riesgo la OT, con un conjunto de vulnerabilidades potenciales y exposiciones a agentes malintencionados. Descubra cómo mantener protegida su organización.

Seguir a Seguridad de Microsoft