El último informe de WatchGuard, Internet Security Report, correspondiente al tercer trimestre de 2024, muestra que, mientras que las amenazas basadas en red han disminuido, el malware dirigido a endpoints experimentó un crecimiento sin precedentes del 300 %, lo que refleja un cambio en las tácticas de los ciberdelincuentes.
Uno de los hallazgos más relevantes del informe es la reducción del 15 % en la detección total de malware en redes. Esto contrasta con el aumento del 40 % en las detecciones basadas en firmas, lo que sugiere que las amenazas detectadas se apoyan más en técnicas tradicionales en lugar de ataques de día cero.
En términos de ataques en la red, WatchGuard detectó que sólo el 20 % del malware evadió métodos de detección basados en firmas, una cifra significativamente menor que en trimestres anteriores, donde este porcentaje solía superar el 50%. Sin embargo, el 52% del malware viajó a través de conexiones TLS cifradas, lo que refuerza la importancia de aplicar inspección HTTPS para evitar que las amenazas pasen desapercibidas.
Explosión del malware en endpoints: 300 % de aumento
El dato más alarmante del informe es el incremento del 300% en la detección de malware en endpoints, rompiendo la tendencia histórica que hacía coincidir la evolución de amenazas en red con la de dispositivos. Este aumento se ha debido principalmente a la proliferación de nuevas tácticas de infección.
Entre las amenazas más extendidas en endpoints se encuentra la distribución masiva de archivos maliciosos de OneNote para propagar el troyano bancario QBot. Este método ha ganado popularidad después de que Microsoft reforzara sus políticas contra macros en documentos de Office, obligando a los ciberdelincuentes a buscar nuevas vías de ataque.
Además, el informe destaca la propagación del troyano de acceso remoto (RAT) Remcos, utilizado en campañas de espionaje y control remoto de dispositivos comprometidos. Tres de los cinco tipos de malware más detectados en endpoints estaban directamente relacionados con la distribución de este RAT.
Aparición de ataques a vulnerabilidades antiguas
Uno de los descubrimientos más llamativos es la reaparición de una vulnerabilidad de Apache OpenMeeting de 2016 como una de las más explotadas en ataques de red. Este fallo de seguridad ha sido detectado en intentos de explotación dirigidos especialmente a Brasil, EE.UU. y Canadá. La presencia de vulnerabilidades antiguas entre las amenazas más activas demuestra que muchas organizaciones siguen sin aplicar actualizaciones críticas de seguridad.
Entre los ataques de red más comunes, WatchGuard identificó un ligero descenso del 3% en los intentos de explotación, con pocas variaciones en los vectores de ataque más utilizados. Sin embargo, los ataques dirigidos a Microsoft Exchange Server (vulnerabilidad ProxyLogon) continúan siendo una amenaza persistente, consolidándose entre las más detectadas desde principios de 2022.
El dominio malicioso más peligroso: Polyfill.io
Un dato preocupante del informe es la conversión de Polyfill.io en el dominio malicioso más bloqueado del trimestre. Esta popular librería de JavaScript, utilizada para mantener la compatibilidad con navegadores antiguos, fue adquirida en febrero por una empresa china llamada Funnull, que posteriormente inyectó código malicioso en sus archivos. Como resultado, cualquier sitio web que siguiera utilizando la versión comprometida de Polyfill ejecutaba automáticamente malware en los dispositivos de sus visitantes.
Polyfill.io acumuló 30 veces más detecciones que el resto de los 10 dominios maliciosos más bloqueados juntos, lo que lo convierte en uno de los ataques de la cadena de suministro más significativos de los últimos años.
Ransomware y amenazas avanzadas
El informe también revela que las campañas de ransomware con doble extorsión han seguido aumentando, con grupos criminales filtrando datos robados para presionar a las víctimas a pagar los rescates. Según WatchGuard, el mercado negro de datos comprometidos sigue en crecimiento, con múltiples grupos de ransomware monetizando la información sustraída en foros clandestinos.
Por otra parte, se ha detectado una evolución en los ataques basados en DNS. Los ciberdelincuentes están explotando sitios web legítimos mediante inyecciones de código malicioso, lo que permite que las víctimas accedan a dominios comprometidos sin sospecharlo. WatchGuard advierte que este tipo de ataque se ha vuelto más sofisticado y recomienda la implementación de protección DNS basada en inteligencia de amenazas.
