Acaba de publicar Qualys su informe Panorama de Amenazas 2023 con información sobre el número de vulnerabilidades detectadas, los tipos o amenazas o las tácticas preferidas de los ciberdelincuentes. Entre otras cosas recoge que en 2023 se contabilizaron a nivel global cerca de 26.500 vulnerabilidades, lo que significó un aumento del seis por ciento respecto a los datos de 2022. Solo el uno por ciento de las vulnerabilidades descubiertas representaba un nivel de riesgo crítico para la seguridad de las organizaciones.
Sobre este pequeño porcentaje de vulnerabilidades de alto riesgo la Unidad de Investigación de Amenazas de Qualys ha descubierto que cerca de la mitad no se hallaban en el catálogo de Vulnerabilidades Conocidas (KEV) de la CISA; un 25 % de las mismas fueron explotadas inmediatamente el mismo día de su publicación; y un tercio afectaron a dispositivos de red y aplicaciones web.
“El uso de las vulnerabilidades como arma de ataque crece a un ritmo muy rápido, al mismo tiempo que aumenta la diversidad de actores que ejecutan estas amenazas” ha destacado
Destaca Sergio Pedroche, country manager de Qualys para España y Portugal que el uso de las vulnerabilidades como arma de ataque crece a un ritmo muy rápido, por lo que las organizaciones “deben adoptar una postura proactiva hacia la gestión de parches y la inteligencia sobre amenaza”.
44 días de media en explotarse
El tiempo medio para explotar las vulnerabilidades en 2023 fue, según el informe de Qualys, de 44 días (aproximadamente un mes y medio). Sin embargo, esta media oculta la urgencia de la situación. En numerosos casos, las vulnerabilidades tenían un exploit disponible el mismo día de su publicación y esta acción inmediata representa, a ojos de los expertos, un cambio en el modus operandi de los atacantes, destacando su creciente eficiencia y la ventana cada vez menor para la respuesta de las organizaciones.
Además, los datos muestran que el 75 por ciento de las vulnerabilidades fueron explotadas dentro de los 19 días (aproximadamente tres semanas) posteriores a su publicación. Atender estos detalles del cronograma y asimilar su importancia, ofrece una oportunidad crucial para que las organizaciones prioricen y aborden las vulnerabilidades más críticas.
En 2023, el panorama se vio sacudido por TA505, también conocido como CL0P Ransomware Gang. Este grupo planeó un ciberataque de alto perfil mediante la explotación de vulnerabilidades de día cero, y en particular explotaron vulnerabilidades en plataformas clave como GoAnywhere MFT, PaperCut, MOVEit y SysAid. El uso sofisticado de diversos tipos de malware para recopilar información y facilitar ataques los marcó como una amenaza importante. La gravedad de sus acciones provocó avisos de la CISA o del FBI, destacando la necesidad de mejorar las medidas de ciberseguridad.
Además, en 2023, LockBit y Clop se han destacado en el ámbito del ransomware. LockBit, utilizando su modelo avanzado de ransomware como servicio, se ha dirigido a una gran variedad de organizaciones, incluyendo los sectores de TI y finanzas. En particular, LockBit aprovechó vulnerabilidades como CVE-2023-27350 en PaperCut NG y CVE-2023-0699 en Google Chrome, lo que permitió realizar ataques remotos.
Clop, por su parte, llevó a cabo extensos ataques contra grandes empresas, especialmente en el sector bancario, tecnológico y sanitario. Las actividades de Clop incluyeron la explotación de CVE-2023-27350, CVE-2023-34362, CVE-2023-0669 y CVE-2023-35036.
