Para gran parte de Estados Unidos y cada vez más en el extranjero, el fin de semana de Acción de Gracias marca el comienzo de un período crítico de festividades navideñas y abre una ventana decisiva para el sector minorista.
Para los equipos de seguridad, el fin de semana del Black Friday marca un período de mayor vigilancia, cuando los operadores de ransomware y otros grupos de amenazas apuntan a consumidores frenéticos y a las redes de TI corporativas.
Los trabajadores corporativos a menudo comienzan los viajes familiares o las vacaciones trabajando en horarios limitados o registrándose en la oficina desde ubicaciones remotas. Las empresas operan con una visibilidad limitada de sus redes de TI y, a menudo, pueden distraerse al intentar rastrear las identidades de los trabajadores remotos, con una dotación de personal fuera de horario limitada, en el mejor de los casos.
«Muchos equipos de seguridad operan a capacidad reducida durante las vacaciones», dijo a Cybersecurity Dive Scott Algeier, director ejecutivo del Centro de análisis e intercambio de información de tecnología de la información. «Sin embargo, esto no significa que las redes queden indefensas».
Gestionando el perímetro
La gestión de la seguridad en la era del trabajo remoto ha creado desafíos adicionales para las empresas durante muchos años. Los empleados suelen trabajar desde casa, utilizando ordenadores personales o software no aprobado. Es posible que estén compartiendo una red informática con varios miembros de la familia.
Durante la temporada navideña, esos desafíos se agravan, ya que los trabajadores acceden a sus redes corporativas desde ubicaciones remotas y varias zonas horarias. Esto hace que sea más difícil para un equipo de seguridad confirmar la identidad de un empleado, un trabajador contratado legítimo o un alto ejecutivo con altos privilegios.
Los grupos de ransomware y otros actores de amenazas realizan la mayor parte de su actividad inicial de entrada y reconocimiento durante las noches, los fines de semana o períodos de vacaciones prolongados, cuando los equipos de seguridad están distraídos, operan con personal limitado o no están disponibles por otros motivos.
Un informe publicado el lunes por la empresa de ciberseguridad Semperis muestra más de la mitad de todos los ataques de ransomware durante los últimos 12 meses tuvo lugar durante un día festivo o un fin de semana. El informe Semperis, realizado por Censuswide, una firma de investigación de mercado con sede en Londres, se basa en una encuesta realizada a 1.500 profesionales de TI y seguridad en todo el mundo.
Entre los encuestados se encontraban líderes de seguridad de TI en América del Norte, el Reino Unido, Europa continental y la región de Asia y el Pacífico.
Según el informe, aproximadamente tres de cada cuatro empresas cuentan con un centro de operaciones de seguridad interno. El informe muestra que ocho de cada 10 empresas reducen su plantilla en un 50% o más durante los fines de semana y periodos vacacionales, lo que las sitúa en mayor riesgo de ataque.
«Durante la temporada navideña, sabemos que la mayoría de los equipos de seguridad operan con personal reducido», dijo Matt Brady, investigador principal senior de la Unidad 42 de Palo Alto Networks. «Desafortunadamente, los ciberdelincuentes son plenamente conscientes de esto y buscan activamente explotar esos períodos de cobertura reducidos».
Lecciones de un fin de semana largo
A Ataque de ingeniería social contra Marks & Spencer proporcionó un ejemplo de las vulnerabilidades presentes en torno a un día festivo. Según un testimonio ante un subcomité de la Cámara de los Comunes del Reino Unido, el dañino ataque comenzó el 17 de abril, pocos días antes de Pascua.
El ataque provocó más de 400 millones de dólares en pérdidas de ventas y costes para la cadena de grandes almacenes británica. El ataque fue uno de los primeros eventos de una ola de ataques vinculados al grupo de cibercrimen Scattered Spider. Todo el sector minorista sufrió ataques que duraron meses y que provocaron millones de dólares en pérdidas de ingresos y datos de clientes comprometidos en varios países.
Los funcionarios del Centro de análisis e intercambio de información sobre comercio minorista y hotelería dijeron que los minoristas toman precauciones adicionales para prepararse para la temporada navideña.
«Muchos comienzan a reforzar sus defensas con meses de anticipación con programas integrales de concientización sobre seguridad en toda la empresa, simulaciones de phishing ampliadas y capacitación de actualización obligatoria para los empleados de primera línea», dijo a Cybersecurity Dive Pam Lindemoen, directora de seguridad y vicepresidenta de RH-ISAC. «Actualizan y ensayan planes de respuesta a incidentes, realizan ejercicios prácticos más frecuentes y realistas y refuerzan los controles de acceso en los sistemas críticos».
La Agencia de Seguridad de Infraestructura y Ciberseguridad no ha identificado ninguna amenaza específica relacionada con la temporada navideña, pero dijo que está preparada para hacer frente a cualquier crisis potencial.
«De hecho, la temporada navideña trae consigo un mayor riesgo de que actores maliciosos exploten sistemas vulnerables», dijo la portavoz de CISA, Marci McCarthy. «Esto subraya la necesidad de mantener prácticas sólidas de ciberseguridad durante todo el año, no sólo durante las temporadas de mayor alerta».
Cifrado nocturno
Los investigadores de Google Threat Intelligence Group advirtieron que la actividad de ransomware no necesariamente aumenta durante los períodos de vacaciones, pero dijeron que los ataques fuera del horario laboral sí brindan a los atacantes la capacidad de obtener un mejor acceso a los datos.
Zach Riddle, analista principal de GTIG, dijo que la actividad de ransomware en diciembre había experimentado anteriormente ligeras disminuciones. Incluso cita información de chat filtrada de piratas informáticos que utilizan el ransomware Black Basta, que muestra a los piratas informáticos tomando un descanso entre la víspera de Navidad y el 15 de enero, que es el final de la festividad navideña ortodoxa rusa.
Riddle advirtió, sin embargo, que los grupos de ransomware utilizan fuera de horario para cifrar los datos específicos. Durante 2024, los piratas informáticos cifraron datos entre las 6 p. m. y las 8 a. m. en más del 70% de los casos a los que respondió la empresa. En el 30% de los casos, el cifrado comenzó los fines de semana.
«Esto probablemente se debe a que los actores apuntan a la implementación de ransomware fuera del horario laboral para minimizar la detección y maximizar el impacto», dijo Riddle a Cybersecurity Dive. «Realizar el cifrado durante horas no laborales puede permitir que los actores de amenazas tengan más tiempo para completar su operación antes de que la víctima pueda identificar y reaccionar ante el incidente, particularmente cuando se cifra una gran cantidad de sistemas, lo que puede llevar muchas horas».
Fuente