El siguiente informe analiza las principales tendencias observadas en el panorama de amenazas cibernéticas de 2023. Se destaca un creciente uso de técnicas sigilosas por parte de los adversarios para evadir la detección durante los ataques, con un enfoque particular en la extorsión mediante robo de datos por parte de grupos de piratería criminal, quienes han optimizado sus métodos para obtener velocidad e impacto. Si bien los ataques de ransomware siguieron siendo frecuentes, se observó un aumento significativo en las filtraciones de datos a partir de brechas de seguridad. Los actores estatales también mantuvieron su actividad, con China dedicada a una vigilancia generalizada y robo de propiedad intelectual, Rusia apoyando operaciones cibernéticas relacionadas con el conflicto en Ucrania y grupos del Medio Oriente ajustando sus operaciones de acuerdo con conflictos regionales. Los actores norcoreanos priorizaron la obtención de ganancias financieras y de inteligencia. CrowdStrike respondió a estas amenazas mejorando sus capacidades de caza de amenazas, integrando equipos de inteligencia y caza, e introduciendo nuevos productos para dificultar que los adversarios oculten sus actividades. El informe también analiza tendencias en explotaciones en la nube, robo de identidades, ataques a la cadena de suministro y amenazas a elecciones, ofreciendo recomendaciones para ayudar a las organizaciones a fortalecer sus defensas. Además, el Informe de Amenazas de CrowdStrike para 2023 destaca la prevalencia de campañas de intrusión interactivas, donde los adversarios humanos ejecutan acciones en sistemas comprometidos, junto con una disminución en el tiempo que les lleva a los adversarios moverse lateralmente dentro de redes objetivo. Los ataques basados en identidad y el robo de credenciales fueron ampliamente utilizados por los adversarios, con phishing, intermediarios de acceso y robo de diversas credenciales siendo métodos populares. El informe proporciona ejemplos de tácticas empleadas por adversarios cibernéticos, como las campañas de phishing de credenciales de COZY BEAR y las sofisticadas técnicas de ingeniería social de SCATTERED SPIDER, que incluyen phishing por SMS y cambio de tarjetas SIM.

Durante 2023, varios grupos de amenazas vinculados a China llevaron a cabo operaciones de ciberespionaje y cibercrimen mediante técnicas como compromisos de la cadena de suministro y explotación de vulnerabilidades no parcheadas. Utilizando malware como XShade, WinDealer, BackShell y ShadowPad, grupos como JACKPOT PANDA, CASCADE PANDA y otros actores sin atribución comprometieron servidores de actualización de software e interceptaron actualizaciones legítimas. Por otro lado, el grupo norcoreano LABYRINTH CHOLLIMA también realizó múltiples compromisos de cadena de suministro, aprovechando las relaciones entre empresas tecnológicas y sus clientes para distribuir roba información. Además, se espera que la explotación de relaciones de terceros de confianza continúe siendo una técnica atractiva, debido a que proporciona acceso a posibles objetivos secundarios con relativamente poco esfuerzo. En otro contexto, se discuten los eventos relacionados con el conflicto cibernético y cinético entre Israel y grupos vinculados a Hamas a finales de 2023, donde se observaron ataques a sistemas de infraestructura crítica israelí y sistemas de alerta de proyectiles aéreos, principalmente por grupos hacktivistas y actores presuntamente respaldados por estados. Aunque grupos como Extreme Jackal y Renegade Jackal, normalmente vinculados a Hamas, no participaron directamente, la actividad hacktivista generalizada se centró en la interrupción de infraestructuras críticas y sistemas de alerta aérea. Por último, se discute cómo los actores cibernéticos patrocinados por el estado iraní han intensificado sus operaciones dirigidas a entidades israelíes durante el conflicto entre Israel y Hamas, con ejemplos de ataques destructivos y filtraciones de datos. Adicionalmente, se analiza cómo la inteligencia artificial generativa podría ser utilizada por los actores amenazantes para desarrollar operaciones informáticas maliciosas con mayor eficiencia, con ejemplos de posibles usos por parte de actores iraníes en 2023.

En 2024, más del 42% de la población mundial participará en elecciones presidenciales, parlamentarias o generales en 55 países, incluidos India, Estados Unidos, Indonesia, Pakistán, Bangladesh, Rusia y México, entre otros. Estas elecciones incluyen tanto a países con alta población como a aquellos involucrados en conflictos geopolíticos, como Taiwán, Azerbaiyán, Irán, Bielorrusia, Finlandia y la Unión Europea. La importancia de estas elecciones para transformar la geopolítica global probablemente motive a los adversarios a dirigirse a los procesos electorales, ya sea mediante la interrupción directa de los sistemas electorales o influenciando indirectamente la opinión de los votantes. Las tácticas de objetivo electoral van desde intrusiones directas en los sistemas de votación hasta la difusión de desinformación para influir en la opinión pública. Por ejemplo, en 2020, actores iraníes llevaron a cabo operaciones de información contra las elecciones de EE. UU. mediante el envío de correos electrónicos amenazantes y la difusión de videos falsos. Se espera que en 2024 continúen las operaciones de información patrocinadas por estados, especialmente por parte de Rusia, Irán y China, con el uso de herramientas de inteligencia artificial para generar narrativas engañosas en las redes sociales. Por otro lado, el Índice de Crimen Electrónico de CrowdStrike revela tendencias preocupantes en el cibercrimen durante 2023. Durante este periodo, se observaron importantes aumentos en ataques de denegación de servicio (DDoS), incidentes de caza de grandes juegos que involucran filtraciones de datos y un aumento en los precios de cargadores de malware, robadores y encriptadores. Grupos como Graceful Spider contribuyeron mediante la explotación de vulnerabilidades de día cero, mientras que otros como Bitwise Spider, Alpha Spider y Graceful Spider fueron los principales actores en la publicación de víctimas en sitios de filtración. Además, grupos como Scattered Spider adoptaron el ransomware como método de extorsión, afectando a empresas Fortune 500. Las acciones de aplicación de la ley lograron desarticular varios grupos de caza de grandes juegos a través de la incautación de infraestructura y arrestos. También se observó un aumento en la personalización de ataques, con Graceful Spider robando datos de más de 380 víctimas a través de vulnerabilidades de día cero y publicándolos ampliamente. En general, el cibercrimen continuó evolucionando y adaptándose a nuevas técnicas y métodos de ataque durante 2023.

A su vez, en el año 2023, se observaron diversas amenazas y tendencias en ciberseguridad. Destaca la persistencia de las operaciones de ransomware de caza de grandes juegos (BGH), siendo los grupos SCATTERED SPIDER y GRACEFUL SPIDER los principales actores en esta actividad. Además, se evidenció el uso de herramientas legítimas de monitoreo y gestión remota (RMM) por parte de grupos delictivos para camuflarse en las operaciones comerciales normales. También se registró la actividad de varios adversarios enfocados en América Latina, como BLIND SPIDER, ODYSSEY SPIDER, ROBOT SPIDER y SQUAB SPIDER, que dirigieron sus ataques hacia sectores en esta región y otras áreas. Los conflictos geopolíticos impulsaron la actividad de grupos hacktivistas vinculados a Irán y Rusia. Se espera que las tendencias de dirigir los ataques hacia dispositivos periféricos, productos en fin de vida útil y usuarios móviles continúen en aumento. Para contrarrestar estos ataques, se recomienda implementar medidas de protección de identidad, como la autenticación multifactor, y priorizar las plataformas de protección de aplicaciones nativas de la nube. CrowdStrike ofrece una variedad de soluciones y servicios en ciberseguridad, entre los que destaca su plataforma nativa en la nube, CrowdStrike Falcon. Esta plataforma proporciona protección de endpoints, detección y respuesta contra malware, ransomware y ataques sofisticados. Además, ofrece detección y respuesta extendidas en endpoints y otras superficies de ataque, así como servicios de detección y respuesta gestionados. Otros productos de CrowdStrike incluyen Falcon Complete para detección y respuesta unificadas, Falcon Cloud Security para protección de cargas de trabajo en la nube y Falcon Identity Threat Protection para la prevención de amenazas basadas en identidad. Además, CrowdStrike lleva a cabo operaciones contra adversarios, que incluyen caza de amenazas, inteligencia sobre adversarios y servicios de respuesta a incidentes. Se destaca la capacidad de la plataforma para consolidar herramientas y datos de seguridad para mejorar la visibilidad, la eficiencia y la detección y respuesta ante amenazas.

En general, dentro del panorama cibernético del pasado año, se destacaron diversas amenazas y tendencias que marcaron el rumbo de la ciberseguridad. Entre estas, sobresale la persistente actividad de operaciones de ransomware de caza de grandes juegos (BGH), lideradas por grupos como SCATTERED SPIDER y GRACEFUL SPIDER. Asimismo, se observó un aumento en la actividad de diversos adversarios enfocados en América Latina, como BLIND SPIDER, ODYSSEY SPIDER, ROBOT SPIDER y SQUAB SPIDER. Los conflictos geopolíticos también jugaron un papel relevante al impulsar la actividad de grupos hacktivistas vinculados a Irán y Rusia. Estas tendencias, junto con la creciente dirección de los ataques hacia dispositivos periféricos, productos en fin de vida útil y usuarios móviles, subrayan la necesidad de implementar medidas de protección de identidad, como la autenticación multifactor, y de priorizar plataformas de protección de aplicaciones nativas de la nube, como CrowdStrike Falcon. Esta plataforma ofrece una variedad de soluciones en ciberseguridad, incluyendo protección de endpoints, detección y respuesta contra amenazas, así como servicios de detección y respuesta gestionados.