ESET, compañía experta en ciberseguridad, ha presentado su informe semestral sobre la situación de las ciberamenazas en España y el mundo, correspondiente a los meses comprendidos entre junio y noviembre de 2023. En esta edición del informe ESET Threat Report, España destaca como el país europeo con más detecciones de amenazas , el tercero a nivel mundial solo por detrás de Japón y Estados Unidos, una posición que ha mantenido a lo largo de todo el año.
A nivel global, el phishing persiste como la ciberamenaza más popular, dominando la tabla con casi la tercera parte del total de las amenazas detectadas. No obstante, llama la atención el incremento del número de códigos JavaScript maliciosos detectados en webs legítimas comprometidas, principalmente variantes de JS/Agent, lo que ha hecho que pase de la quinta posición a la segunda este semestre. En tercera posición, las amenazas catalogadas como DOC/Fraud -conocidas por usar emails de sextorsión- han crecido este semestre un 32% con respecto al anterior.
Durante todo el año, ESET ha analizado numerosos casos de infostealers dirigidos principalmente a empresas españolas y que tenían como finalidad robar credenciales de correo electrónico y otros servicios de uso cotidiano comoclientes de correo, VPNs, clientes FTPs y todas aquellas credenciales que los empleados tuvieran almacenadas en sus navegadores. En ello, la familia predominante en nuestro país es Agent Tesla, líder absoluto con más de un 38% de detecciones. Otros clásicos como Formbook o el troyano bancario Grandoreiro mantienen su presencia.
Sin embargo, este semestre ha sido llamativo el notable incremento de aquellas amenazas relacionadas con la infección de webs legítimas -especialmente tiendas online- por parte del malware catalogado como SpyBanKer, y que engloba varias familias de amenazas especializadas en robar datos de tarjetas bancarias. En la segunda mitad del año, ESET ha observado un incremento del 111% en este tipo de detecciones y, además, se han detectado potentes campañas que suplantaban la pasarela de pago legítima de los comercios online, campañas estacionales con falsos sorteos y encuestas con atractivos regalos e, incluso, campañas que suplantaban a importantes portales de reservas vacacionales como Booking.
En lo que respecta a los ataques protagonizados por el ransomware durante la primera mitad de 2023, España se encuentra entre los 10 primeros países, aunque muy lejos de otros como Estados Unidos. Gran parte de las familias más habituales son versiones de antiguas variantes, aunque también se han encontrado otras más actuales. En los dos primeros puestos encontramos Stop ransomware, una familia que ha estado activa desde 2017 y que tiene muchas variantes, y BlackMatter, aunque esta también puede representar a variantes actuales de LockBit 3.0, ya que sus creadores han incorporado partes de su código.
Principales vectores de ataque y previsiones para 2024
El correo electrónico sigue siendo uno de los principales vectores de ataque –si no el principal- a la hora de propagar amenazas en nuestro país. “Si analizamos los tipos de ficheros que suelen venir acompañando estos correos maliciosos vemos como los scripts y archivos ejecutables representan casi el 75% de todas las detecciones. Estos archivos suelen ser fácilmente detectables por las soluciones de seguridad y, aun así, los delincuentes los emplean de forma masiva confiando en que muchos no disponen de estas soluciones, están incorrectamente configuradas o directamente deshabilitadas”, indica Albors.
En este sentido, en materia de exploits y ataques de fuerza bruta a servicios corporativos, uno de los principales problemas que se observa es que las empresas españolas no actualizan debidamente sus sistemas. Esto permite a los ciberatacantes seguir usando vulnerabilidades antiguas con éxito, facilitando su trabajo y poniendo en riesgo la información que las empresas almacenan.
El informe de ESET también advierte sobre el aumento de las campañas que utilizan la Inteligencia Artificial para generar contenidos falsos o engañosos, como fotomontajes, vídeos deepfake o desnudos artificiales. Estas técnicas se usan para suplantar la identidad de personas famosas, estafar a los usuarios o extorsionar a las víctimas. Una tendencia que se prevé que vaya en aumento debido a la facilidad de acceso a servicios de IA. En este sentido, a pesar del aumento del valor del bitcoin, solo se ha notado un pequeño incremento en las amenazas directamente relacionadas, destacando los criptomineros y las campañas que usan IA para suplantar la identidad de famosos y presentadores de cadenas de TV.
Otra tendencia que nos debe mantener en guardia es la de posibles campañas de ciberataques Pandora Box o similares, un malware que afecta a dispositivos Android, especialmente a los que ofrecen servicios de streaming a bajo precio. Este malware se camufla como una app legítima, pero en segundo plano usa los recursos del dispositivo para realizar actividades maliciosas como el robo de datos, la criptominería o la integración del dispositivo en una botnet para realizar ataques DDoS.
