En 2024, los ciberataques dirigidos a identidades digitales se convirtieron en la principal amenaza de seguridad, representando el 60% de los incidentes gestionados por el equipo de Respuesta a Incidentes (IR) de Cisco Talos, la división de ciberinteligencia de Cisco. El robo de credenciales, identificadores de sesión, claves API y certificados digitales fue la vía más utilizada por los atacantes para comprometer cuentas legítimas.
El informe anual de Cisco Talos también revela que, en casi el 70% de los casos relacionados con ransomware, los cibercriminales lograron el acceso inicial utilizando credenciales válidas.
“Estos datos evidencian la urgencia de reforzar las medidas de protección de identidades digitales”, afirma Ángel Ortiz, director de Ciberseguridad en Cisco España, añadiendo que también es preocupante la explotación continuada de vulnerabilidades antiguas, “algunas con décadas de antigüedad, que afectan a software y hardware ampliamente utilizados y para los que ya no existen parches”.
LockBit y RansomHub, los grupos de ransomware más activos en 2024
El informe señala a LockBit como el grupo de ransomware como servicio (RaaS) más activo del año, manteniendo este liderazgo por tercer año consecutivo, a pesar de los intentos de desarticulación. Le sigue RansomHub, una nueva amenaza centrada en grandes organizaciones con demandas económicas elevadas.
Entre los sectores más afectados por ataques de ransomware se encuentran:
- Educación superior, por su limitada inversión en ciberseguridad y gran superficie de ataque.
- Administración pública
- Industria manufacturera
- Sanidad
Los atacantes siguen aprovechando configuraciones incorrectas y fallos de seguridad básicos, como terminales sin contraseña o conectores mal configurados.
En 2024, los cibercriminales utilizaron la inteligencia artificial (IA) principalmente para perfeccionar métodos existentes, como la ingeniería social o la automatización de tareas, en lugar de desarrollar nuevas técnicas de ataque. La IA se está consolidando como una herramienta para aumentar la eficiencia del cibercrimen, más que como una vía para la innovación maliciosa.
Principales conclusiones del informe de Cisco Talos
Las vulnerabilidades más explotadas fueron antiguas y ampliamente conocidas, como Apache Log4j o el lenguaje Bash, presentes en sistemas de múltiples sectores.
- El 44% de los ataques de identidad afectaron a Active Directory.
- El 20% de los ataques basados en identidad se dirigieron a aplicaciones en la nube, destacando las API como objetivos prioritarios por su acceso a datos sensibles.
- En la mayoría de los incidentes, los atacantes consiguieron desactivar las soluciones de seguridad de las víctimas.
Para mitigar el impacto de estos ataques, Cisco Talos recomienda actualizar y parchear sistemas y aplicaciones con la mayor rapidez posible; Implementar autenticación multifactor (MFA) y contraseñas complejas; Aplicar controles de acceso estrictos, segmentar la red y formar al personal; Cifrar todo el tráfico para mejorar la supervisión y configuración segura; o reforzar la seguridad de la infraestructura de red.
