WatchGuard Technologies ha publicado su ya habitual Internet Security Report, correspondiente al cuarto trimestre de 2024, revelando un contraste muy marcado en el comportamiento del malware: mientras las amenazas detectadas a nivel de red casi se duplicaron, las registradas en los endpoints cayeron a mínimos históricos.
Una de las tendencias más llamativas del trimestre ha sido el crecimiento del malware cifrado y evasivo. El informe indica que el 60 % del malware se distribuyó a través de conexiones TLS, lo que representa un incremento de ocho puntos con respecto al trimestre anterior. Además, el 78 % del malware detectado en estas conexiones era de tipo zero-day, es decir, desconocido y capaz de evadir los mecanismos de detección tradicionales basados en firmas.
WatchGuard destaca que las técnicas de evasión se están consolidando como el estándar entre los atacantes. “Si tu organización no está inspeccionando el tráfico TLS, ya va tarde”, advierte el informe, que recalca la necesidad de adoptar herramientas capaces de descifrar y analizar el contenido cifrado.
Asimismo, el cuarto trimestre confirmó el regreso de los coinminers. El malware Application.Linux.Generic.24096, un minero de criptomonedas, ocupó el segundo puesto en la lista de detecciones, y el informe también detecta actividad relacionada con técnicas como Etherhiding, que esconde código malicioso en blockchains públicas como Binance Smart Chain, haciéndolo casi imposible de eliminar.
Malware más genérico en endpoint, pero aún activo
Mientras tanto, en los endpoints protegidos por WatchGuard EPDR, se observó una disminución del 91% en detecciones de malware único respecto al trimestre anterior, con apenas 8 nuevas amenazas por cada 100.000 máquinas activas. Esta caída sugiere que el malware que logra llegar al usuario final es menos sofisticado o se trata de variantes ya conocidas.
El informe también detecta un descenso en los ataques dirigidos, con la mayoría del malware detectado afectando a un único equipo (87,8%). Según WatchGuard, esto refleja una mayor eficacia de los filtros de red y una menor actividad de campañas específicas, aunque también podría indicar una pausa táctica por parte de los atacantes para preparar nuevas estrategias.
Ataques de red: los viejos fallos siguen funcionando
Otro aspecto preocupante es la persistencia de ataques que explotan vulnerabilidades antiguas, como ProxyLogon en Exchange (CVE-2021-26855) o CVE-2017-0199 en Microsoft Office, aún entre las amenazas más extendidas. También destaca la vuelta del malware de la botnet Mirai, ahora con nuevos objetivos en entornos Linux y dispositivos IoT.
WatchGuard resalta que muchas de las amenazas que siguen teniendo éxito son exploits conocidos desde hace más de cinco años, lo que pone en evidencia las carencias en las estrategias de actualización y gestión de vulnerabilidades de muchas organizaciones.
En el análisis de DNS, el informe apunta a la continuidad de campañas de phishing que imitan portales de Microsoft SharePoint, así como dominios relacionados con streaming o actualizaciones falsas de navegador. También aparecen dominios comprometidos utilizados para malvertising y distribución de malware, muchos de ellos pertenecientes a sitios legítimos hackeados.
Uno de los casos destacados es el dominio p2.feefreepool.net, utilizado por el malware modular Prometei para coordinar una red de criptominería Monero.
Recomendaciones clave: defensa en profundidad, inspección TLS y parcheo riguroso
El informe de WatchGuard finaliza con una llamada clara a la acción: sin una estrategia de defensa en profundidad que combine red, endpoint e inspección de tráfico cifrado, las organizaciones están en clara desventaja. Entre las recomendaciones destacan:
- Inspección activa del tráfico TLS, especialmente en entornos corporativos con alto volumen de conexiones cifradas.
- Parcheo constante de vulnerabilidades antiguas, que siguen siendo explotadas masivamente.
- Monitorización de herramientas sospechosas en red, como Impacket, que se sigue utilizando para movimientos laterales y ataques internos.
- Refuerzo de la seguridad en entornos IoT y Linux, cada vez más objetivos de campañas automatizadas.
“El panorama de amenazas de Q4 2024 demuestra que los atacantes combinan técnicas avanzadas de evasión con la explotación de errores antiguos. Solo una vigilancia constante y una arquitectura de seguridad flexible y escalable puede hacer frente a esta doble amenaza”, concluye el informe.
