«Los atacantes siguen dando la batalla», afirmó Eutimio Fernández, director de seguridad de Cisco España durante la presentación del «Informe semestral de Ciberseguridad 2016«, elaborado por la compañía. El directivo repasó los principales problemas de seguridad detectados en el último semestre, tomando como referencia la telemetría de Cisco Talos en la que se basa el estudio.
El ransomware sigue siendo el principal problema y aunque no es una amenaza nueva ha evolucionado para convertirse en un malware muy rentable. La manera de atacar está cambiando y se asemeja a los ataques de las APT, según explicó Fernández.
El informe revela que los ataques se están produciendo también aprovechando las vulnerabilidades como las de Adobe Flash, que es uno de los principales objetivos de malvertising y de los kits de explotación.
Las explotación de vulnerabilidades de Windows Binary es otro de los métodos de ataque web detectado en los últimos meses. Este método permite que el malware se afiance en las infraestructuras de red.
Otro problema detectado es la vulnerabilidad de la infraestructura, especialmente en los servidores JBoss. El 10 % de los servidores JBoss conectados a Internet a escala global estaba infectado. Y muchas de las vulnerabilidades JBoss utilizadas para comprometer estos sistemas fueron identificadas hace 5 años.
Fernández resaltó que la infraestructura no se actualiza. Esta falta de actualización, de varios años en muchos casos, supone un gran problema y además implica que se alargue el tiempo para detectar las vulnerabilidades.
Mejorar el tiempo de detección de las amenazas es fundamental para parchear y combatirlas. El tiempo medio del sector se sitúa entre los 100 y los 200 días, aunque Cisco ha logrado reducirlo hasta las 13 horas.
Fernández resaltó que para combatir todas estas amenazas se impone una mejora de la visibilidad de los equipos y de la red, implantar las actualizaciones y recortar el tiempo de detección.
Ante estos problemas, Cisco recomienda aplicar con mayor rapidez los parches de vulnerabilidades publicadas y reemplazar la infraestructura obsoleta. Además aconseja realizar copias de seguridad de los datos críticos y dotar de mayor «higiene a la red» , es decir, monitorizar y segmentar la red para desplegar las medidas necesarias para su defensa. Desplegar defensas integradas mediante una aproximación de «arquitectura» de seguridad frente al despliegue de soluciones de nicho e inconexas y medir el tiempo de detección para reducirlo son otras de las recomendaciones.