Trace Id is missing

Anatomía de una superficie expuesta a ataques en la actualidad

Seis áreas que deben administrar las organizaciones

A medida que el mundo se vuelve más conectado y digital, la ciberseguridad se vuelve más compleja. Las organizaciones están moviendo más infraestructura, datos y aplicaciones a la nube, dando soporte al trabajo remoto e interactuando con ecosistemas de terceros. En consecuencia, ahora los equipos de seguridad deben defender un entorno más grande y dinámico y un conjunto de superficies expuestas a ataques ampliado.

Los actores de amenaza sacan partido a esta complejidad y aprovechan las brechas en la protección y los permisos de las organizaciones para ejecutar ataques de alto volumen incesantes. Los ataques suelen ser polifacéticos, abarcando varios elementos de la infraestructura y operaciones de la organización. Los atacantes también se están volviendo más coordinados en un entorno de ciberdelitos como servicio. En 2022, La Unidad de Delitos Digitales de Microsoft bloqueó 2 750 000 registros de sitios para adelantarse a los actores criminales que planeaban usarlos para participar en un ciberdelito global.1

Mantenerse al día con las amenazas actuales implica proteger todas las superficies expuestas a ataques, incluido el correo electrónico, la identidad, los puntos de conexión, el Internet de las cosas (IoT), la nube y los elementos externos. Desde una perspectiva de seguridad, tu fortaleza es la de tus eslabones más débiles y los atacantes se están volviendo mejores a la hora de encontrarlos. La buena noticia es que las amenazas pueden detenerse mediante la implementación de medidas de seguridad básicas. De hecho, hemos descubierto que la higiene de seguridad básica todavía protege contra el 98 % de los ciberataques.2

Cuatro personas alrededor de una pantalla hablando sobre ciberseguridad. Estadísticas en una imagen: "1 hora y 42 minutos: El tiempo medio que necesita un ataque para empezar a moverse lateralmente en su red corporativa una vez que un dispositivo se ve puesto en peligro" y el "98 % de ciberataques pueden prevenirse con higiene de seguridad básica" de un artículo sobre la superficie expuesta a ataques actual
Obtén más información sobre esta imagen en la infografía de la anatomía de la superficie expuesta a ataques actual

La visibilidad completa de las amenazas es esencial para una buena higiene de seguridad. La inteligencia sobre amenazas adecuada ofrece a los equipos de seguridad una visión completa del entorno de amenazas, permitiéndoles adelantarse a las amenazas emergentes y refinar de forma continua sus defensas. Y cuando un actor de amenaza consigue entrar, la inteligencia sobre amenazas holística resulta esencial para aprender qué ha pasado y prevenir que vuelva a ocurrir.

A continuación hablaremos sobre las tendencias y los retos relacionados con las amenazas en las seis superficies expuestas a ataques principales de una organización: el correo electrónico, la identidad, los puntos de conexión, el IoT, la nube y los elementos externos. Hacia el final, volveremos a ver cómo la inteligencia sobre amenazas adecuada puede inclinar la balanza a favor de los equipos de seguridad y darles una ventaja significativa.

Para la mayoría de organizaciones, el correo electrónico es una parte esencial de sus operaciones empresariales diarias. Por desgracia, el correo electrónico sigue siendo el principal vector de amenaza. El 35 % de los incidentes de ransomware en 2022 implicaron el uso de correo electrónico.4 Los atacantes utilizan el correo electrónico más que nunca: en 2022, la tasa de ataques de phishing aumentó en un 61 % con respecto al 2021.5

Actualmente, los atacantes también aprovechan con frecuencia los recursos legítimos para llevar a cabo ataques de phishing. Esto hace que sea aún más difícil para los usuarios diferenciar entre los correos electrónicos reales y los malintencionados, lo que aumenta la probabilidad de que una amenaza consiga colarse. Los ataques de phishing de consentimiento son un ejemplo de esta tendencia, en la que los actores de amenaza abusan de proveedores de nube legítimos para engañar a sus usuarios para que concedan permisos para acceder a datos confidenciales.

Sin la capacidad de correlacionar las señales de correo electrónico con incidentes más amplios y visualizar los ataques, puede llevar mucho tiempo detectar un actor de amenaza que ha conseguido entrar mediante correo electrónico. Y, para ese momento, puede ser demasiado tarde para prevenir el daño. El tiempo medio necesario para que un atacante acceda a los datos privados de una organización es solo 72 minutos.6 Esto puede llevar a pérdidas considerables a nivel empresarial. La puesta en peligro de correo empresarial tuvo un coste estimado de 2 400 millones de USD en pérdidas ajustadas en 2021.7

Una persona escribiendo en un portátil. Estadísticas en una imagen: "De media, un ataque necesita 72 minutos para acceder a tus datos privados si eres víctima de un correo electrónico de phishing" y "Aumento del 61 % de los ataques de phishing entre 2021 y 2022" del artículo sobre la superficie expuesta a ataques moderna
Obtén más información sobre esta imagen en la infografía de la anatomía de la superficie expuesta a ataques actual

Además de protecciones como la comprobación de URL y desactivar macros, la educación de los empleados es esencial para evitar que las amenazas tengan efecto. Los correos electrónicos de phishing simulados y los materiales didácticos sobre cómo identificar contenido malintencionado (incluso cuando parece ser legítimo) son medidas de seguridad de prevención críticas. Anticipamos que los actores de amenaza continuarán aumentando la calidad de la ingeniería social en sus ataques de correo electrónico, aprovechando la IA y otras herramientas para mejorar la capacidad de convicción y la personalización de los correos electrónicos malintencionados. Y esto es solo un ejemplo, a medida que las organizaciones se vuelven mejores a la hora de responder a las amenazas de correo electrónico actuales, las amenazas evolucionarán en respuesta.

En el mundo conectado a la nube actual, proteger el acceso se ha vuelto más crítico que nunca. Como resultado, es esencial comprender mejor la identidad en tu organización, incluidos los permisos de cuentas de usuario, las identidades de carga de trabajo y sus posibles vulnerabilidades , sobre todo a medida que los ataques aumentan en frecuencia y creatividad.

La estimación de ataques de contraseña aumentó a 921 por segundo en 2022, un aumento del 74 % con respecto a 2021.8 En Microsoft, también hemos observado que los actores de amenaza se vuelven más creativos para eludir la autenticación multifactor (MFA), utilizando técnicas como los ataques de phishing de tipo "adversary-in-the-middle" y el abuso de tokens para obtener acceso a los datos de las organizaciones. Los kits de phishing han facilitado aún más el robo de credenciales a los actores de amenaza. La Unidad de Delitos Digitales de Microsoft ha observado un aumento en la sofisticación de los kits de phishing durante el último año, junto con barreras de entrada muy bajas, por ejemplo, un vendedor ofrece kits de phishing por tan solo 6 USD al día.9

La gestión de la superficie expuesta a ataques de identidad va más allá de la protección de las cuentas de usuario: abarca el acceso a la nube, así como las identidades de las cargas de trabajo. Las credenciales en peligro pueden ser una herramienta poderosa para los actores de amenaza, que las utilizan para causar estragos en la infraestructura en la nube de la organización.

Imagen de una persona en una reunión de ciberseguridad digital hablando sobre las vulnerabilidades de los dispositivos conectados. Estadísticas en una imagen: "De media, 3 500 dispositivos conectados en una empresa no están protegidos por un agente de EDR" y "El valor medio del riesgo anual de una filtración de datos por ataques de phishing móvil es de 1,7 millones de USD", del artículo sobre la superficie expuesta a ataques moderna
Obtén más información sobre esta imagen en la infografía de la anatomía de la superficie expuesta a ataques actual

Con frecuencia, los atacantes obtienen acceso a cuentas de terceros u otras cuentas con privilegios altos conectadas a una organización y, a continuación, utilizan esas credenciales para infiltrarse en la nube y robar datos. Aunque las identidades de carga de trabajo (identidades asignadas a las cargas de trabajo de software, como las aplicaciones para acceder a otros servicios y recursos) a menudo se pasan por alto en la auditoría de permisos, la información de identidad oculta en las cargas de trabajo puede dar a un actor de amenaza acceso a los datos de toda una organización.

A medida que el panorama de la identidad continúa ampliándose, esperamos que los ataques dirigidos a la identidad continúen creciendo tanto en volumen como en variedad. Esto significa que mantener un reconocimiento integral de la identidad y el acceso seguirá siendo una misión crítica.

Dada la gran cantidad de dispositivos en el entorno híbrido actual, la protección de los puntos de conexión se ha vuelto más desafiante. Lo que no ha cambiado es que la protección de los puntos de conexión, en particular los dispositivos no administrados, es crítica para una posición de seguridad sólida, ya que incluso un elemento en peligro puede permitir que los actores de amenaza entren a tu organización.

A medida que las organizaciones han adoptado políticas de BYOD ("Bring Your Own Device", usar tu propio dispositivo), han proliferado los dispositivos no administrados. En consecuencia, la superficie expuesta a ataques de puntos de conexión ahora es más grande y está más expuesta. De media, hay 3 500 dispositivos conectados en una empresa que no están protegidos por un agente de EDR.11

Los dispositivos no administrados (que forman parte del panorama de "shadow IT") son particularmente atractivos para los actores de amenaza, ya que los equipos de seguridad carecen de la visibilidad necesaria para protegerlos. Desde Microsoft hemos determinado que los usuarios tienen un 71 % más de posibilidades de infectarse en un dispositivo no administrado.12 Dado que se conectan a las redes de la empresa, los dispositivos no administrados también ofrecen oportunidades para que los atacantes inicien ataques más amplios contra servidores y otras infraestructuras.

Los servidores no administrados también son vectores potenciales para los ataques de puntos de conexión. En 2021, Seguridad de Microsoft observó un ataque en el que un actor de amenaza se aprovechó de un servidor sin revisiones, navegó por los directorios y descubrió una carpeta de contraseñas que le proporcionó acceso a las credenciales de la cuenta.

Cuatro personas hablando sobre ciberseguridad. Estadísticas en una imagen: "921: ataques de contraseña por segundo en 2022, un aumento del 74 % con respecto a 2021" y "El 93 % de las investigaciones de Microsoft durante tareas de recuperación de ransomware revelaron acceso con privilegios insuficientes y controles de movimiento laterales" de un artículo sobre superficies expuestas a ataques actuales
Obtén más información sobre esta imagen en la infografía de la anatomía de la superficie expuesta a ataques actual

Después, el atacante inició sesión en numerosos dispositivos de toda la organización para recopilar y filtrar grandes cantidades de datos, incluida la propiedad intelectual. Es probable que esto permitiese al atacante amenazar con la publicación de la información si no se pagaba el rescate consiguiente. Esta es una práctica conocida como "doble extorsión", y es un escenario preocupante que hemos visto con más frecuencia en el último año.13 E incluso si se paga el rescate, no hay garantía de que los datos se descifren o incluso de que se devuelvan.

A medida que sigue creciendo el número de puntos de conexión, no cabe duda de que los actores de amenaza seguirán considerándolos como objetivos atractivos, sobre todo los no administrados. Por tanto, mejorar la visibilidad y la higiene de seguridad de los puntos de conexión puede ofrecer un valor significativo a las organizaciones.

Uno de los vectores de ataque de puntos de conexión que más se pasan por alto es el IoT (Internet de las cosas), que incluye miles de millones de dispositivos, tanto grandes como pequeños. La seguridad del IoT abarca los dispositivos físicos que se conectan a la red e intercambian datos con ella, como enrutadores, impresoras, cámaras y otros dispositivos similares. También puede incluir dispositivos operativos y sensores ("OT" o tecnología de operaciones), como equipos inteligentes en las líneas de producción de fabricación.

A medida que crece el número de dispositivos de IoT, también lo hace el número de vulnerabilidades. IDC predice que, para 2025, 41 000 millones de dispositivos de IoT estarán presentes en entornos empresariales y de consumo.15 Dado que muchas organizaciones están reforzando los enrutadores y las redes para que sean más difíciles que los actores de amenaza las vulneren, los dispositivos IoT se están convirtiendo en un objetivo más fácil y atractivo. A menudo hemos visto a los actores de amenaza aprovechar vulnerabilidades para convertir los dispositivos IoT en proxies, utilizando un dispositivo expuesto como punto de entrada a la red. Una vez que un actor de amenaza ha obtenido acceso a un dispositivo de IoT, puede supervisar el tráfico de red en busca de otros recursos desprotegidos, moverse lateralmente para infiltrarse en otras partes de la infraestructura de su objetivo o realizar un reconocimiento para planificar ataques a gran escala en equipos y dispositivos confidenciales. En un estudio, el 35 % de los profesionales de la seguridad indicaron que en los últimos 2 años se utilizó un dispositivo de IoT para llevar a cabo un ataque más amplio a su organización.16

Desafortunadamente, el IoT es a menudo una caja negra para las organizaciones en términos de visibilidad, y muchas carecen de medidas de seguridad adecuadas para el IoT. El 60 % de los expertos de seguridad citaron la seguridad del IoT y la OT como uno de los aspectos menos protegidos de su infraestructura de TI y OT.17

Imagen de puertos de una red informática. Estadísticas en una imagen: "Se esperan 41 000 millones de dispositivos de IoT en entornos empresariales y de consumo para 2025" y "El 60 % de los expertos de seguridad afirman que la seguridad del IoT y la TO es uno de los aspectos menos protegidos de su infraestructura de TI y OT" de un artículo sobre la superficie expuesta a ataques moderna
Obtén más información sobre esta imagen en la infografía de la anatomía de la superficie expuesta a ataques actual

Los propios dispositivos de IoT contienen vulnerabilidades peligrosas. Los datos de inteligencia de Microsoft descubrieron que 1 000 000 de dispositivos conectados visibles públicamente en Internet están ejecutando el servidor web Boa, un software obsoleto y no compatible que todavía se usa ampliamente en dispositivos de IoT y kits de desarrollo de software (SDK).18

Un número cada vez mayor de países está tomando nota de estos puntos ciegos y exigiendo mejoras en la ciberseguridad de los dispositivos de IoT.19,20 Estas regulaciones son un indicador del mayor enfoque en la seguridad del IoT, ya que tanto las empresas como los consumidores se preocupan más por las vulnerabilidades de los dispositivos de IoT. Si bien el IoT actualmente se lleva toda la atención, las regulaciones de ciberseguridad también se están ampliando a otras áreas, lo que hace que sea aún más urgente para las organizaciones obtener visibilidad de todas las superficies de ataque.

Las organizaciones están trasladando cada vez más infraestructura, desarrollo de aplicaciones, cargas de trabajo y cantidades masivas de datos a la nube. Proteger el entorno de la nube significa defender una serie de servicios, como SaaS, IaaS y PaaS, distribuidos en varias nubes. Dada la amplitud y distribución de los servicios involucrados, puede ser difícil obtener el nivel adecuado de visibilidad y protección en cada capa.

Muchas organizaciones luchan por obtener visibilidad de total en todo su ecosistema de nube, especialmente a medida que aumenta la residencia de datos en múltiples entornos híbridos y de nube. Con demasiada frecuencia, esta falta de visibilidad significa que existe una brecha de seguridad. En Microsoft, hemos descubierto que el 84 % de las organizaciones que sufrieron ataques de ransomware no integraron sus recursos multinube con sus herramientas de seguridad, un descuido crítico.21

El movimiento generalizado a la nube también ha aumentado el número de nuevos vectores de ataque que pueden aprovechar los ciberdelincuentes y muchos obtienen acceso a través de brechas en la seguridad de los permisos. Las vulnerabilidades basadas en código desconocidas en las aplicaciones desarrolladas en la nube han aumentado drásticamente el riesgo de que algún elemento esté en peligro. Como resultado, ahora el principal vector de ataque a la nube que estamos viendo en todas las organizaciones es el desarrollo de aplicaciones en la nube.

Imagen de una persona sentada en un lugar público usando un portátil. Estadísticas en una imagen: "De media, al mes Microsoft Defender for Cloud Apps detecta 895 ataques de intermediario" y "El 84 % de las organizaciones que han sufrido ataques de ransomware no integraron sus entornos de multinube en las herramientas de operaciones de seguridad" del artículo sobre la suplantación de identidad moderna
Obtén más información sobre esta imagen en la infografía de la anatomía de la superficie expuesta a ataques actual

Adoptar un enfoque de seguridad de "desplazamiento a la izquierda", es decir, incorporar el pensamiento sobre la seguridad en las primeras etapas del desarrollo de aplicaciones, puede ayudar a las organizaciones a fortalecer su posición de seguridad y evitar la introducción de estas vulnerabilidades en primer lugar.

El almacenamiento en la nube es otro vector de ataque cada vez más común, ya que los permisos incorrectos pueden poner en riesgo los datos de los usuarios. Además, los propios proveedores de nube pueden verse en peligro. En 2021, Midnight Blizzard (un grupo de actores de amenaza vinculado a Rusia anteriormente conocido como NOBELIUM) realizó ataques de phishing contra un proveedor de nube en un intento de poner en peligro y aprovechar las cuentas con privilegios de clientes gubernamentales.22 Este es solo un ejemplo de una amenaza de nube moderna, y esperamos ver más ataques entre nubes en el futuro.

Hoy en día la superficie expuesta a ataques externa de una organización ocupa varias nubes, cadenas de suministro digitales complejas y ecosistemas masivos de terceros. Internet es ahora parte de la red y, a pesar de su tamaño casi inconmensurable, los equipos de seguridad deben defender la presencia de su organización en Internet en la misma medida que todo lo que hay detrás de sus firewalls. Y, a medida que más organizaciones adoptan los principios de Confianza cero, la protección de las superficies expuestas a ataques internas y externas se ha convertido en un reto a escala de Internet.

La superficie expuesta a ataques globales crece con Internet y se amplía cada día. En Microsoft, hemos visto pruebas de este aumento en muchos tipos de amenazas, como los ataques de phishing. En 2021, la Unidad de Delitos Digitales de Microsoft ordenó la eliminación de más de 96 000 URL de phishing únicas y 7 700 kits de phishing, lo que llevó a la identificación y cierre de más de 2 200 cuentas de correo electrónico malintencionadas utilizadas para recopilar credenciales de clientes robadas.24

La superficie expuesta a ataques externa se extiende mucho más allá de los propios activos de una organización. A menudo incluye proveedores, socios, dispositivos personales no administrados de empleados conectados a redes o recursos de la empresa, y organizaciones recién adquiridas. En consecuencia, es fundamental estar al tanto de las conexiones externas y la exposición para mitigar las posibles amenazas. Un informe de Ponemon de 2020 reveló que el 53 % de las organizaciones habían experimentado al menos una filtración de datos causada por un tercero en los últimos 2 años, con un coste de corrección de 7,5 millones de USD.25

 Imagen de dos personas en una reunión hablando de datos en peligro debido a ciberataques. "Estadísticas en una imagen: En 2021, ha habido 1613 instancias de datos en peligro debido a ciberataques, más que todas las instancias en 2020" y "El 53 % de las organizaciones han experimentado al menos una filtración de datos causada por un tercero entre 2018 y 2020" del artículo sobre superficies expuestas a ataques modernas
Obtén más información sobre esta imagen en la infografía de la anatomía de la superficie expuesta a ataques actual

A medida que aumenta la infraestructura detrás de los ciberataques, obtener visibilidad de la infraestructura de amenazas y hacer un inventario de los recursos expuestos a Internet se ha vuelto más urgente que nunca. Hemos descubierto que las organizaciones a menudo tienen dificultades para comprender el alcance de su exposición externa, lo que resulta en puntos ciegos significativos. Estos puntos ciegos pueden tener consecuencias devastadoras. En 2021, el 61 % de las empresas experimentaron un ataque de ransomware que llevó a al menos una interrupción parcial de las operaciones comerciales.26

En Microsoft, a menudo les decimos a los clientes que vean su organización desde afuera hacia adentro al evaluar la posición de seguridad. Más allá de la VAPT (Evaluación de vulnerabilidades y pruebas de penetración), es importante obtener visibilidad considerable de la superficie expuesta a ataques externa para poder identificar vulnerabilidades en todo el entorno y ecosistema extendido. Si fueras una atacante que intenta entrar, ¿qué podrías aprovechar? Comprender el alcance total de la superficie expuesta a ataques externa de la organización es fundamental para protegerla.

Cómo puede ayudar Microsoft


El panorama actual de amenazas cambia constantemente y las organizaciones necesitan una estrategia de seguridad que pueda mantenerse al día. El aumento de la complejidad y la exposición de las organizaciones, junto con un alto volumen de amenazas y una baja barrera de entrada en la economía de los ciberdelitos, hacen que sea más urgente que nunca proteger cada aspecto interno y externo de las superficies expuestas a ataques.

Los equipos de seguridad necesitan una inteligencia sobre amenazas eficaz para defenderse de las innumerables y cambiantes amenazas actuales. La inteligencia sobre amenazas adecuada pone en correlación las señales de diferentes lugares, lo que proporciona un contexto oportuno y relevante sobre el comportamiento y las tendencias actuales de los ataques para que los equipos de seguridad puedan identificar con éxito las vulnerabilidades, dar prioridad a las alertas e interrumpir los ataques. Y si se produce una infracción, la inteligencia sobre amenazas es fundamental para evitar más daños y mejorar las defensas para que no vuelva a ocurrir un ataque similar. En pocas palabras, las organizaciones que aprovechen más la inteligencia sobre amenazas estarán más seguras y tendrán más éxito.

Microsoft tiene una visión sin igual del panorama de amenazas en evolución, con 65 billones de señales analizadas diariamente. Al poner en correlación estas señales en tiempo real en todas las superficies de ataque, la inteligencia sobre amenazas integrada en las soluciones de seguridad de Microsoft proporciona información sobre el creciente entorno de ransomware y amenazas, lo que te permitirá ver y detener más ataques. Y con las capacidades avanzadas de IA, como Seguridad de Microsoft Copilot, puedes adelantarte a las amenazas en evolución y defender tu organización a la velocidad de una máquina, lo que permite a tu equipo de seguridad simplificar lo complejo, detectar lo que otros pasan por alto y proteger todo.

  1. [1]

    Informe de protección digital de Microsoft de 2022, p. 18

  2. [2]

    Informe de protección digital de Microsoft de 2022, p. 108

  3. [3]

    Informe de protección digital de Microsoft de 2022, p. 21

  4. [4]

    Informe de investigación de filtración de datos de Verizon 2022, p. 28

  5. [6]

    Informe de protección digital de Microsoft de 2022, p. 21

  6. [7]

    Informe de delitos en Internet del FBI de 2021, p. 3

  7. [8]

    Informe de protección digital de Microsoft de 2022, p. 2

  8. [9]

    Informe de protección digital de Microsoft de 2022, p. 19

  9. [10]

    Informe de protección digital de Microsoft de 2022, p. 14

  10. [11]

    Informe de protección digital de Microsoft de 2022, p. 92

  11. [16]

    Informe de investigación "El estado de la ciberseguridad de IoT/OT en la empresa", Ponemon Institute, 2021, p. 2

  12. [17]

    Informe de investigación "El estado de la ciberseguridad de IoT/OT en la empresa", Ponemon Institute, 2021, p. 2

  13. [18]

    Informe sobre señales cibernéticas de Microsoft, 2022, p. 3

  14. [21]

    Informe de protección digital de Microsoft de 2022, p. 16

  15. [22]

    Informe de protección digital de Microsoft de 2022, p. 37

  16. [23]

    Informe de protección digital de Microsoft de 2022, p. 95

  17. [27]

    Informe anual de filtraciones de datos del Identity Theft Resource Center de 2021, p. 5

Artículos relacionados

Tres formas para protegerse del ransomware

La defensa moderna frente a ransomware requiere mucho más que configurar medidas de detección. Descubra las tres formas principales con las que puede fortalecer la seguridad de la red contra ransomware hoy en día.

Los riesgos de seguridad únicos de los dispositivos IoT y OT

En nuestro último informe, exploramos cómo el aumento de la conectividad IoT/OT está generando vulnerabilidades mayores y más graves que los actores organizados de amenazas cibernéticas pueden explotar.

La convergencia de TI y OT

La circulación cada vez mayor de IoT está poniendo en riesgo la OT, con un conjunto de vulnerabilidades potenciales y exposiciones a agentes malintencionados. Descubra cómo mantener protegida su organización.

Seguir a Seguridad de Microsoft