Lo que nos dice el último informe de vulneración de datos de Verizon sobre el panorama de amenazas ISMS.online

Lo que nos dice el último informe de violación de datos de Verizon sobre el panorama de amenazas

Por Phil Muncaster • 4 de junio de 2024

$informe de infracción de verizon 2024$

Las tendencias de la industria van y vienen. pero un elemento básico del panorama de la ciberseguridad durante los últimos 17 años ha sido el Informe de investigaciones de vulneración de datos de Verizon (DBIR). Es un análisis riguroso de incidentes y violaciones de datos del mundo real por parte de Verizon y sus socios, que proporciona una de las mejores y más detalladas instantáneas del panorama de amenazas actual. Sólo Verizon afirma procesar 34 billones de registros cada año.

Entonces, ¿cuál es la historia para 2023? Es al mismo tiempo tranquilizador y algo deprimente ver que, a pesar de las preocupaciones sobre el papel de la IA en el cibercrimen, son los sospechosos habituales de explotación de vulnerabilidades, riesgos de la cadena de suministro y errores humanos los que siguen plagando a las empresas. Deprimente, porque las organizaciones aún no han logrado abordar estos desafíos, pero tranquilizador porque los marcos y estándares de mejores prácticas ofrecen un camino preparado para mitigar tales riesgos.

Nuevo informe, las mismas infracciones de siempre

Este año, el informe se basa en el análisis de 30,458 incidentes de seguridad y 10,626 infracciones confirmadas, el doble que hace un año. Eso no es una indicación de que hubo más violaciones per se; simplemente que el informe contiene más datos y, por lo tanto, es probable que sea una representación más precisa de lo que realmente está sucediendo ahí fuera. Entonces, ¿qué revela? Destacan tres temas interconectados:

1) Las vulnerabilidades están aumentando

El DBIR señala un aumento del 180 % en la explotación de vulnerabilidades como causa fundamental de las filtraciones de datos. Ahora representan el 14% de todas las infracciones, según Verizon. El aumento se debió principalmente a la creciente explotación de errores de día cero por parte de actores de ransomware: piense en MOVEit. Esa campaña del año pasado condujo a la compromiso de casi 3,000 organizaciones y 95 millones de clientes intermedios, muchos de los cuales estaban en los sectores de educación, finanzas y seguros.

Es cierto, por un lado, que los administradores de sistemas tienen una tarea ingrata. Se ha publicado un número récord de CVE en la Base de datos nacional de vulnerabilidad (NVD) para el últimos siete años. En 2023, contaba con más de 29,000 vulnerabilidades. Y los actores de amenazas están atacando estas vulnerabilidades cada vez con mayor velocidad. Una cuarta parte son explotados el día de su publicación. Sin embargo, los defensores de las redes deben hacerlo mejor. Verizon descubre que se necesitan alrededor de 55 días para remediar el 50% de las vulnerabilidades críticas enumeradas en el catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad e Infraestructura de Ciberseguridad (CISA), una vez que los parches están disponibles. El tiempo medio para detectar una explotación masiva de estos errores es de cinco días.

Es evidente que las organizaciones todavía no están ejecutando programas automatizados de gestión de parches basados en riesgos, lo que les ayudaría a priorizar las actualizaciones y mejorar la resiliencia de los sistemas críticos. Los errores de día cero, por otro lado, son más difíciles de bloquear por completo. Pero se pueden implementar medidas de mitigación para reducir su impacto, incluida la segmentación de la red y la detección y respuesta continuas.

2) Los terceros son un importante vector de ataque

Parte de la razón por la que la explotación de vulnerabilidades está aumentando como vector de acceso inicial se debe a los productos defectuosos. Esto nos lleva al segundo tema: el riesgo que involucra a terceros. Aquí Verizon cuenta a los socios comerciales (como bufetes de abogados o empresas de limpieza), procesadores o custodios de datos externos, como proveedores de servicios administrados, y proveedores de software (incluido el código abierto). Encuentra un aumento del 68% en infracciones que involucran a terceros como este, por lo que ahora representan el 15% del total, impulsadas principalmente por extorsionadores que utilizan exploits de día cero en sus ataques.

"Recomendamos que las organizaciones comiencen a buscar formas de tomar mejores decisiones para no recompensar a los eslabones más débiles de la cadena", sostiene el informe. "En una época en la que la divulgación de infracciones se está volviendo obligatoria, es posible que finalmente tengamos las herramientas y la información para ayudar a medir la eficacia de la seguridad de nuestros posibles socios".
Un nuevo estudio de ISMS.online, The State of Information Security Report 2024, se hace eco de estos hallazgos. Revela que la gran mayoría (79%) de los profesionales de la seguridad de la información admiten que el riesgo de suministro se ha traducido en al menos un incidente de seguridad material durante el último año. últimos 12 meses.

3) Los seres humanos siguen siendo un factor de riesgo importante

Quizás el hallazgo más sorprendente de este año es que los empleados son posiblemente la principal causa de filtraciones de datos, ya sea directa o indirectamente. La mayoría de las infracciones analizadas (68%) involucran un "elemento humano no malicioso", lo que significa que alguien cometió un error o fue víctima de un ataque de ingeniería social. Esa cifra prácticamente no ha cambiado con respecto al año anterior. La ingeniería social significa phishing o, más probablemente, pretexto, que está vinculado al compromiso del correo electrónico empresarial (BEC). Esto último representa ahora alrededor de una cuarta parte de los incidentes por motivos financieros, sin cambios respecto al año anterior.

La ingeniería social también contribuye a un hallazgo destacado de EMEA: que la mitad (49%) de todas las infracciones ahora provienen del interior de las organizaciones, en lugar de actores externos. La ingeniería social también está detrás del puesto número uno de las “credenciales” como tipo de acción inicial en las infracciones (24%). Las credenciales se ven comprometidas en la mitad (50%) de los ataques de ingeniería social. Y aunque a veces son robadas a través de terceros sin que sea culpa del individuo, en otras ocasiones, los atacantes de fuerza bruta explotan las credenciales débiles en infracciones. Esto concuerda una vez más con el informe ISMS.online, que encuentra que un tercio (32%) de los encuestados experimentó ataques de ingeniería social en los últimos 12 meses. Alrededor del 28% cita amenazas internas.

Hay pocos motivos para ser optimistas en cuanto a que la concienciación de los usuarios está mejorando, ya que los usuarios parecen estar mejorando a la hora de denunciar el phishing. Verizon descubre que el 20% de los usuarios identifican y denuncian phishing en interacciones de simulación, y el 11% de los que hacen clic también lo denuncian. Sin embargo, el hecho de que la cifra del 68% de errores humanos no maliciosos no haya cambiado en un año muestra que todavía queda mucho trabajo por hacer.

Tiempo de accion

Cassius Edison, jefe de servicios profesionales de Closed Door Security, advierte que el tiempo medio de detección de cinco días para vulnerabilidades ampliamente explotadas sigue siendo demasiado largo.

"Un tiempo medio de detección de cinco días plantea riesgos importantes, lo que potencialmente proporciona a los actores maliciosos tiempo suficiente para explotar las vulnerabilidades", le dice a ISMS.online. "Si bien las soluciones para mejorar la velocidad de detección, como la inteligencia mejorada sobre amenazas y el monitoreo en tiempo real, generarían costos, realizar una evaluación de riesgos exhaustiva puede ayudar a priorizar estas inversiones de manera efectiva".

Jordan Schroeder, director de ISO de Barrier Networks, añade que 55 días para remediar también es demasiado lento para las organizaciones que se toman en serio la contención del riesgo cibernético.

"Los sistemas que forman parte del conjunto que son explotados masivamente deben actualizarse lo antes posible", afirma a ISMS.online. “Un sistema OT/ICS que no tiene acceso a Internet tiene un menor riesgo de explotación. Por lo tanto, es necesario realizar una evaluación basada en riesgos de lo que debe actualizarse y con qué rapidez debe llevarse a cabo”.
Schroeder también respalda el uso de estándares y marcos de mejores prácticas, siempre y cuando los CISO acepten que no son una panacea.

"Proporcionan una base muy importante para que cualquier organización cree un programa de seguridad que funcione para ellos y garantice que se tengan en cuenta factores importantes", argumenta. “Siempre empiezo a diseñar o mejorar una estrategia o plan de seguridad con los marcos existentes. No siempre termino con una estrategia o plan que coincida perfectamente con esos marcos. Pero al final del proceso, la organización habrá considerado cuidadosamente cada punto y habrá creado algo que lo tenga en cuenta todo”.

Una combinación de estándares puede ayudar a llenar cualquier vacío que exista en las ofertas individuales, afirma.

“Una organización puede mejorar drásticamente su capacidad para mitigar los problemas comunes que se destacan en este informe apoyándose consciente e inteligentemente en una combinación de marcos y estándares que se adapten bien a la organización y que se refinen aún más para crear un estándar poderoso que se adapta mejor a la organización”, concluye Schroeder.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster

Seguridad de la información 9 December 2025

Un año en cumplimiento: cinco cosas que aprendimos en 2025

Un año de cumplimiento normativo: cinco cosas que aprendimos en 2025

Los últimos 12 meses han demostrado una vez más que el panorama de la ciberseguridad suele estar plagado de incidentes. Las brechas de seguridad importantes cuestan a las organizaciones...

Phil Muncaster