Los Initial Access Brokers (IAB), o intermediarios de acceso inicial en español, son ciberdelincuentes que se dedican a comprar y vender acceso no autorizado a redes corporativas. Representan una amenaza significativa por varias razones. La primera es que, al vender acceso a redes, permiten que cualquier cibercriminal, sin importar su nivel de habilidad técnica, pueda llevar a cabo ataques sofisticados; su actividad aumenta la velocidad y alcance de los ataques; y además hace que los ataques sean más difíciles de rastrear y atribuir a un actor específico.
Cyberint, la empresa adquirida recientemente por Check Point, ha realizado un profundo estudio de estos cibercriminales, analizando no sólo qué les motiva, sino los tipos de acceso que trabajan, las herramientas que utilizan e incluso sus precios.
El informe destaca que Estados Unidos fue el principal objetivo del mercado de los Initial Access Broker en 2023, con más del 48 % de los ataques dirigidos al país, y el sector de servicios empresariales el más atacado, similar a las tendencias del ransomware.
Para evitar que las víctimas sepan que han sido atacadas, los anuncios en foros de cibercriminales utilizan descripciones generales de las organizaciones atacadas. En lugar de nombrarlas directamente, proporcionan pistas como la ubicación geográfica, el sector industrial y los ingresos estimados. Además, incluyen detalles técnicos sobre el acceso obtenido, como el nivel de privilegios y los datos disponibles, para atraer a compradores específicos
Las empresas con mayores ingresos son las más atacadas. De hecho, aquellas que generan ingresos demás de mil millones reciben el 27 % de los ataques de los Initial Access Broker, lo que incrementó los ingresos promedio de los ataques de IAB a los casi dos mil millones de dólares, lo que representa un aumento del 1.000 %.
Identifican desde Cyberint tres tipos de IAB que impulsan la mayoría de los ataques de ransomware. Durante el año pasados, los que ofrecían servidores comprometidos a través del Protocolo de escritorio remoto (RDP) expuesto fueron los más comunes (60 %). Sin embargo, en 2024, el acceso a VPN aumentó, desafiando al acceso a RDP por el primer puesto (45 % VPN frente a 41 % RDP).
La mayoría de las publicaciones de Initial Access Broker se encuentran dentro de un rango de precios de 500 a 2.000 dólares para el acceso corporativo, aunque ocasionalmente aparecen listados que superan los 10.000 dólares.
