Una encuesta realizada el año pasado reveló que casi la mitad (49 %) de las organizaciones de todo el mundo son incapaces de detectar un ataque o una brecha en los dispositivos que utilizan sus empleados. En un momento en el que están cada vez más descentralizados, existe un riesgo real de que el ámbito móvil se convierta pronto en el nuevo campo de batalla de la ciberseguridad corporativa.
En datos publicados en febrero de 2022, Statista informó de que el 30 % de la población activa mundial trabaja ahora exclusivamente desde casa. La misma encuesta indicaba que alrededor del 60 % de las empresas facilitan ahora activamente el trabajo híbrido, dando a sus empleados la libertad de elegir dónde conectarse.
Como se indica en nuestro Informe de Seguridad 2022, el número de ciberataques semanales a las redes corporativas alcanzó un máximo de 900 ataques de media por organización en el cuarto trimestre de 2021. A lo largo de todo el año, registramos un asombroso aumento del 50 % en las amenazas semanales con respecto a 2020. Lejos de ser una coincidencia, es más probable que los ciberdelincuentes simplemente estén aprovechando el creciente ecosistema móvil que domina ahora las compañías de todo el mundo.
La nueva amenaza móvil
A lo largo del año pasado se produjeron algunos avances preocupantes en el panorama de las amenazas móviles. Nuestro informe hacía referencia a Pegasus de NSO, famoso por su capacidad para obtener el control total de los dispositivos iOS y Android a través de un elaborado exploit de cero clics. NSO, el grupo responsable del programa espía, es actualmente uno de los vendedores más conocidos de malware de «access as a service», que vende soluciones de hacking empaquetadas para permitir a los grupos de ciberdelincuentes afiliados atacar los móviles sin necesidad de recursos propios. En 2019 Pegasus se utilizó para aprovechar WhatsApp e infectar más de 1.400 equipos de usuarios, desde altos funcionarios del Gobierno hasta periodistas e incluso activistas de Derechos Humanos. Como mencionamos en nuestro informe, un grupo con sede en Macedonia ya ha creado el programa espía Predator siguiendo la estela de Pegasus, diseñado para infectar los equipos objetivo a través de enlaces de un solo clic enviados por WhatsApp.
Tanto Pegasus como Predator son representativos de un cambio general hacia las redes sociales y las aplicaciones de mensajería como forma de robar credenciales e infiltrarse en las redes corporativas. En agosto de 2021, se descubrió que un troyano para Android conocido como FlyTrap había comprometido más de 10.000 cuentas de Facebook en más de cien países. No mucho después, una versión fraudulenta de WhatsApp diseñada para entregar el troyano bancario Triada se abrió paso en la tienda de Android, poniendo en riesgo miles de dispositivos.
Suplantación de identidad por SMS
Otra tendencia preocupante que hemos observado es el aumento de los intentos de phishing por SMS o «Smishing». El uso de los mensajes SMS como vector de ataque puede parecer rudimentario, pero al igual que el phishing por correo electrónico sigue siendo desconcertantemente eficaz. En nuestro informe, señalamos que la red de bots FluBot había regresado en 2021 a pesar de haber sido desmantelada por las autoridades a principios de año. Difundía avisos de actualizaciones de seguridad, alertas de entrega de paquetes y notificaciones de correo de voz convincentes para los usuarios que, si hacían clic en el enlace, infectaban su dispositivo.
Malware bancario y móvil
El panorama del malware bancario ha sido un hervidero de actividad desde hace años, dominado por familias de malware adaptables y difíciles de detectar que extorsionan a las empresas y cosechan información financiera. Trickbot pasó del segundo lugar a convertirse en el troyano bancario más prevalente en 2021, responsable de casi un tercio (30 %) de todos los incidentes globales, según nuestra propia investigación. Trickbot es increíblemente versátil y utiliza técnicas sofisticadas como el anti análisis, para burlar las defensas de las empresas financieras y tecnológicas, incluidas las que comercian con criptomonedas.
Qbot y Dridex son otros dos prominentes troyanos bancarios que presentan características similares a las de las redes de bots, utilizadas por las campañas de ransomware para colocar el malware en los dispositivos infectados. Dridex fue incluso uno de los primeros programas maliciosos que se distribuyeron a través de la vulnerabilidad Log4j que puso en peligro a innumerables empresas a finales de 2021.
Cómo pueden las organizaciones mantener un nivel de protección alto
La dificultad de los dispositivos móviles es que son vulnerables a varios vectores de ataque, incluyendo las capas de aplicación, red y sistema operativo. Si una organización quiere protegerse de forma proactiva contra el malware móvil en lugar de limitarse a reaccionar a las infecciones cuando se producen, necesita algo más que el nivel básico de supervisión que ofrecen la mayoría de las soluciones MDM.
Hay que utilizar la inteligencia de amenazas en tiempo real para protegerse activamente contra las campañas de phishing de Zero-Day y usar el filtrado de URL para bloquear el acceso a sitios web maliciosos conocidos desde cualquier navegador. También es importante reforzar el acceso condicional, asegurando que si algún dispositivo se infecta no podrá acceder a las aplicaciones y datos corporativos y siempre sin interrumpir a los empleados ni obstaculizar su productividad.
A medida que nuestro ecosistema móvil continúa expandiéndose, la superficie de ataque disponible para los actores de amenazas se ampliará junto con él. Nunca ha estado más claro que la seguridad móvil ya no es una opción para las empresas. En su lugar, deben tratar de ampliar sus capacidades al tiempo que adoptan un enfoque más holístico para proteger sus puntos finales cada vez más distribuidos.
Mario García
Director general de Check Point Software para España y Portugal
