En el tercer trimestre de 2022, Kroll observó el pico más alto de amenazas internas, lo que representa casi el 35% de todos los incidentes de acceso no autorizado. Asimismo, se registró una serie de infecciones con programas maliciosos a través de dispositivos USB, lo que podría apuntar a factores externos más amplios que pueden alentar la amenaza interna, como un mercado laboral cada vez más fluido y con turbulencias económica.

Durante 2021 y principios de 2022, a nivel global, las compañías vieron un aumento en los empleados que buscan nuevas oportunidades, en algunos casos, impulsado por el Covid-19, se debió al cambio en la modalidad de trabajo, priorizando aquellos que son remotos. Si bien, la seguridad de las empresas siempre es un desafío, esto puede verse particularmente vulnerado, durante el proceso de salida o despido de empleados. Esto se observa en el robo de datos de una organización, o bien, el movimiento de ellos que se pueden utilizar en nuevos empleos. Muchos colaboradores suelen utilizar dispositivos USB para llevar a cabo sus tareas diarias, lo que permite fácilmente transferir datos de un dispositivo a otro. El aumento de dichas infecciones se vio en el malware como un tipo de amenaza, impulsado por la proliferación de robo de información como URSA, Vidar y Raccoon, entre otros. En muchos casos los actores utilizan credenciales legítimas para acceder y autenticarse en los sistemas.

Es por ello, en parte, que la amenaza interna es uno de los grandes problemas en materia de ciberseguridad, ya que se trata de defender los datos de la compañía, de los propios empleados. Esto puede ser particularmente difícil, ya que el usuario a menudo podría tener un alto nivel de permisos y derechos de acceso. Los expertos de Kroll señalan que los compromisos web que afectan a los comercios electrónicos de tamaño pequeño a mediano han estado en aumento desde el inicio de la pandemia, cuando muchas tiendas físicas tuvieron que mover parcial o completamente sus esfuerzos de ventas a plataformas online. En muchos de estos casos, la seguridad cibernética puede haber pasado a un segundo plano ya que los comerciantes trabajaron para mantener las ventas en medio de los bloqueos. Aunque no existe una vulnerabilidad singular relacionada con esta actividad, Kroll ha observado con frecuencia a actores que aprovechan los sitios de comercio electrónico que tienen poca o ninguna capacidad para identificar actividades maliciosas y que en general, carecen de copias de seguridad sólidas o sistemas de gestión de parches.

El malware (excluido el ransomware) experimentó un salto del 1 % en el segundo trimestre al 5 % de los casos en el tercer trimestre. Es probable que el aumento esté relacionado con la proliferación de programas malignos que roba información, como Redline, Mapache, Vidar y URSA. Estos tipos de malware, también conocidos como “ladrones de información”, normalmente se propongan a través de campañas de phishing. Una vez que la máquina de la víctima está infectada, el malware puede apuntar y robar una variedad de datos, incluidos los historiales del navegador, las huellas dactilares, credenciales de inicio de sesión y datos financieros. La información de este malware a menudo se vende en los mercados de credenciales donde un usuario puede comprar una lista que le da acceso desde una computadora comprometida desde la cual pueden registrar un ataques, además, se cree que la información obtenida a través de este tipo de malware ayuda a impulsar las actividades de los corredores de acceso inicial que operan en la ecoesfera del ransomware para proporcionar credenciales legítimas que dan acceso a las redes corporativas.

En la misma línea, en el tercer trimestre de 2022, Kroll observó un repunte en el phishing y el uso de cuentas válidas como vector para acceso inicial. Esto se realiza a través del envío de señuelos de phishing a través de mensajes de texto, conocidos como “smishing”: donde los ciberdelincuentes envían la carga maliciosa a través de un archivo contenedor en lugar de un documento de Office. Los delincuentes que utilizan este método pueden hacerse cargo de una cuenta de varias maneras diferentes, como la compra de credenciales de malware de robo de información o ataques de relleno de identificación.

La combinación de ventanas falsas, portales y el programa maligno que roba credenciales hace que sea difícil identificar la estafa. Una vez que se ha sido víctima del ataque de phishing inicial, el proceso parece increíblemente similar al sitio web legítimo, y, en consecuencia, muchos ingresarán sus credenciales normalmente.

Por último, para los expertos de Kroll, es positivo ver una reducción en los ataques a una serie de sectores como la tecnología, telecomunicaciones, hotelería y servicios financieros en comparación con el trimestre anterior. Sin embargo, la velocidad y el volumen de los cambios en los niveles de ataque observados trimestre a trimestre a lo largo 2022 destacan que las organizaciones en todos los sectores deben asegurarse de que están tomando las medidas adecuadas para mantener una sólida postura de seguridad.

La cantidad de tendencias positivas en el tercer trimestre, como una meseta en el robo de datos del correo electrónico y una disminución en los ataques de ransomware se han visto eclipsados por el aumento significativo de las amenazas internas. Los impactos de la pandemia todavía se sienten en un mercado laboral más fluido y altos los niveles de trabajo remoto o híbrido, que influyen en el panorama de amenazas. Las organizaciones están bajo mayor presión que nunca para evaluar sus posibles amenazas a la seguridad desde múltiples perspectivas, incluyendo tanto las amenazas externas como las ocultas dentro de la organización.