Enemigo a las puertas: análisis de los ataques a las empresas de servicios financieros
Los servicios financieros se encuentran entre los sectores más afectados por la ciberdelincuencia, desde el auge de Zeus y otros troyanos bancarios a los ataques distribuidos de denegación de servicio (DDoS), los ataques de phishing modernos y el ransomware. Los servicios financieros son un sector esencial que desempeña un papel importante no solo en la vida de las personas, sino también en la economía global.
Cualquier interrupción o tiempo de inactividad en estos servicios acarrea graves consecuencias, y los datos confidenciales que poseen las organizaciones de este sector pueden convertirse en una mercancía muy valiosa. Por eso, para los atacantes FinServ es un objetivo lucrativo y lanzan un amplio abanico de ataques contra este, desde la explotación de nuevas vulnerabilidades de día cero hasta ataques de phishing de eficacia probada.
Un enorme aumento de los ciberataques
No es ningún secreto que el interés y la motivación de los ciberatacantes para atacar el sector de los servicios financieros son considerables. Habitualmente, se elegía un tema como el phishing o el fraude para el informe sobre el estado de Internet (SOTI) sobre los servicios financieros, pero esta vez hemos adoptado un enfoque mucho más amplio y hemos tratado una serie de problemas que afectan a este sector tan atacado.
Esta perspectiva más amplia nos ha permitido constatar el inmenso aumento del número de ciberataques al sector de los servicios financieros y la alarmante velocidad a la que ciberataques aprovechan las nuevas vulnerabilidades de día cero.
Los clientes de los servicios financieros tampoco se libran, ya que una gran parte de los atacantes no ataca a uno de los sectores más seguros del mundo, sino que ataca en masa a los consumidores.
Puntos clave del informe SOTI
Con este enemigo a la puerta, es crucial que los profesionales de seguridad de los servicios financieros comprendan cómo está cambiando el panorama de amenazas. En nuestro informe se incluyen estos puntos clave:
Los servicios financieros se encuentran sistemáticamente entre los tres sectores que más ataques a aplicaciones web y API, y ataques DDoS y de día cero reciben.
Los ataques a aplicaciones web y API en el sector de los servicios financieros casi se cuadruplicaron con respecto al año anterior, el mayor crecimiento en cualquiera de los principales sectores.
En 24 horas, la explotación de las vulnerabilidades de día cero recién descubiertas contra los servicios financieros alcanza varios miles de ataques por hora y llega a su punto álgido rápidamente, lo que deja poco tiempo para aplicar parches y reaccionar.
Un aumento significativo de los ataques de inclusión de archivos locales (LFI) y de filtro de scripts de sitios (XSS) demuestra cómo los intentos de los atacantes están cambiando hacia la ejecución remota de código, lo que supone un crecimiento de la presión sobre la seguridad de la red interna.
El acoso a los clientes de servicios financieros es cada vez mayor, ya que más del 80 % de los atacantes se centran en las cuentas de clientes en lugar de en las propias organizaciones, ya sea de forma directa o mediante actividades relacionadas con el phishing.
Las campañas de phishing (como Kr3pto) están introduciendo técnicas que eluden las soluciones de autenticación de dos factores con tokens de contraseña de un solo uso o notificaciones push.
Comprender la expansión de la superficie de amenazas
Los ataques a aplicaciones web y API han experimentado un aumento del 257 % en los últimos 12 meses. El aumento de estos ataques puede atribuirse a varios vectores de ataque, incluidos LFI y XSS. Se trata de un dato relevante porque los atacantes podrían estar utilizando estos vectores de ataque para introducirse en su red o como medio de reconocimiento efectivo.
También aumenta la importancia de la protección de las aplicaciones web, ya que sus vulnerabilidades podrían utilizarse como punto de entrada para atacar a las organizaciones objetivo. Esto también puede ser un hallazgo importante para los equipos que quieran hacer pruebas de penetración más eficaces en sus redes.
Abordar las vulnerabilidades de día cero
Según nuestra investigación, el sector de los servicios financieros es uno de los más atacados y a los que primero se ataca cuando se descubren vulnerabilidades nuevas o emergentes (de día cero). La explotación de las vulnerabilidades nuevas y emergentes puede comenzar en las 24 horas siguientes a su divulgación y alcanzar su punto álgido rápidamente, como en el caso de la vulnerabilidad de Confluence (CVE-2022-26134). De esta forma, se convierte en una carrera contrarreloj para solucionar estos fallos de seguridad antes de que los atacantes empiecen a aprovecharlos para lanzar ataques.
Nuestra investigación también revela que los ataques DDoS siguen siendo una fuente de preocupación para los servicios financieros (el segundo sector más afectado a nivel mundial por este tipo de ataques). Un ataque DDoS eficaz hace que una empresa se quede aislada desconectada del resto de Internet. Los clientes no pueden acceder a sus cuentas, y el tiempo de inactividad, la interrupción del negocio y la recuperación de estos ataques podrían suponer pérdidas económicas para la organización.
Aunque los ataques DDoS a los servicios financieros se han mostrado estables este año, hemos observado un "cambio regional", ya que el volumen de ataques DDoS contra Estados Unidos ha disminuido. Mientras tanto, el volumen de ataques en EMEA ha aumentado, a pesar de que cuenta con un número total de objetivos menor.
Clientes de servicios financieros en el punto de mira
Un análisis de los atacantes revela que más del 80 % dirige sus ataques hacia los clientes de servicios financieros en lugar de hacia las instituciones, directa o indirectamente. Esto podría atribuirse tanto al robo de cuentas (ATO) como a los ataques de scraping web.
Los ataques de apropiación de cuentas están dirigidos directamente a los clientes, mientras que los ataques de scraping web se utilizan principalmente para crear estafas de phishing y kits que imitan los sitios web con precisión. Para corroborar esta afirmación, también observamos un número creciente de la actividad de las botnets (un aumento del 81 %) debido a los ataques relacionados con la apropiación de cuentas y el scraping web.
Para corroborar esta afirmación, también observamos un número creciente de la actividad de las botnets (un aumento del 81 %) debido a los ataques relacionados con la apropiación de cuentas y el scraping web. Le recomendamos que utilice esta información para revisar las áreas en las que debe replantearse el riesgo de sus programas o para que informe a sus equipos de inteligencia sobre amenazas.
Más información
Para más información sobre la exposición a riesgos del sector de los servicios financieros, lea el informe SOTI sobre servicios financieros completo "Enemigo a las puertas: análisis de los ataques a las empresas de servicios financieros".