Más del 87% de las ciberamenazas se ocultan en el tráfico cifrado, según Zscaler

• El último informe Zscaler ThreatLabz revela cómo los ciberdelincuentes utilizan canales cifrados para lanzar ataques de criptografía, phishing y otros ataques sofisticados
• El malware representa cerca del 90% de todas las amenazas cifradas a nivel mundial. A nivel regional, Europa ha experimentado aumentos significativos en XSS y criptominería
• El sector manufacturero ha sido objetivo del 42% de los ataques cifrados, posicionándose como la industria más atacada

Zscaler, Inc. (NASDAQ: ZS), empresa líder en seguridad en la nube, ha publicado su informe de ataques cifrados de 20241 elaborado por ThreatLabz, el equipo de investigación de la compañía, que analiza las amenazas más recientes bloqueadas por la nube de seguridad de Zscaler y ofrece información crítica sobre cómo la encriptación se ha convertido en un canal para amenazas más sofisticadas, intensificadas por el auge de la inteligencia artificial (IA). ThreatLabz ha detectado que más del 87% de todas las amenazas se entregaron a través de canales cifrados entre octubre de 2023 y septiembre de 2024, un aumento del 10% respecto al año anterior. 

“El aumento de los ataques cifrados es una preocupación real, ya que una parte significativa de las amenazas ahora se entrega mediante HTTPS. Los actores maliciosos explotan canales cifrados para distribuir amenazas avanzadas y exfiltrar datos, por lo que las empresas deben implementar una arquitectura de zero trust con inspección TLS/SSL a escala. Este enfoque asegura que las amenazas sean detectadas y bloqueadas de manera efectiva, protegiendo los datos sin comprometer el rendimiento”, señala Deepen Desai, director de seguridad de Zscaler.

Dominio del malware 

Según el informe, el malware representa el 86,5% de los ataques cifrados, sumando 27,8 mil millones de incidentes, un incremento del 19% respecto al año anterior. El malware cifrado incluye contenido web malicioso, cargas útiles de malware y malware basado en macros, entre otros. Esta prevalencia creciente refleja un cambio estratégico por parte de los atacantes, quienes adaptan sus tácticas para prosperar dentro del tráfico cifrado, utilizando encriptación para ocultar cargas útiles y contenido malicioso. Según los analistas de ThreatLabz, las familias de malware más activas son AsyncRAT; Choziosi Loader/ChromeLoader; AMOS/Atomic Stealer; Ducktail; Agent Tesla; y Koi Loader.

Asimismo, los expertos de Zscaler detallan aumentos notables en ataques basados en web, como la criptominería/criptosecuestro (123%), scripting entre sitios (110%) y phishing (34%), entre otras amenazas cifradas. Estos incrementos podrían estar impulsados por el creciente uso de tecnologías de IA generativa por parte de los actores maliciosos.

Sectores más atacados

El sector manufacturero fue el más atacado, representando el 42% de los ataques cifrados, casi tres veces más que el segundo sector más afectado: tecnología y comunicaciones. Los ataques en el sector manufacturero aumentaron un 44% interanual, impulsados probablemente por los rápidos avances de la Industria 4.0 y el uso extensivo de sistemas interconectados, lo que amplía la superficie de ataque y aumenta la vulnerabilidad a las amenazas cibernéticas. Servicios, educación y venta minorista y mayorista forman parte del top 5 de los sectores más atacados.

La investigación revela amplias tendencias de amenazas en todo el mundo, pero las diferencias regionales ponen de relieve cómo las actividades locales de los ciberdelincuentes configuran la dinámica de las amenazas de forma única en cada región. A escala mundial, el malware, las páginas web de spyware y el phishing siguen siendo las principales amenazas. Sin embargo, su impacto varía: por ejemplo, Europa ha experimentado aumentos significativos en XSS (272,4%) y criptominería (123,5%), pero también ha tenido un ligero descenso en los ataques de phishing cifrado.

Países más afectados por ataques cifrados

ThreatLabz identificó que Estados Unidos, India y Francia son los países más frecuentemente atacados mediante tráfico cifrado. Estados Unidos, con 11 mil millones de ataques, e India con 5,4 mil millones, se mantienen como los dos principales objetivos, destacándose como blancos de alto valor para los ciberdelincuentes. En tercer lugar, se encuentra Francia (854 millones), seguido de Reino Unido (741 millones) y Australia (672 millones).

Asimismo, el equipo de investigación de la compañía ha descubierto un sofisticado ciberataque dirigido a diplomáticos europeos con una falsa invitación a una cata de vinos que lleva a la instalación de una puerta trasera llamada WINELOADER. El ataque utilizaba una página web comprometida para para alojar cargas maliciosas y se ejecutó con tácticas de evasión avanzadas. APT29 utilizó un marco de malware modular, lo que indica que podría tratarse de un actor de un Estado-nación centrado en las relaciones geopolíticas entre la Europa y la India.

Detener ataques cifrados con zero trust

Comprender cómo zero trust interrumpe las amenazas cifradas requiere analizar una secuencia típica de ataque avanzado:

1. Los atacantes realizan reconocimiento para encontrar una vía hacia la red objetivo.
2. Luego, quebrantan la red mediante exploits, ataques de fuerza bruta o credenciales robadas.
3. Una vez dentro, se mueven lateralmente, escalan privilegios y establecen persistencia.
4. Finalmente, llevan a cabo sus objetivos, usualmente extrayendo datos valiosos que pueden utilizarse para extorsión o ataques adicionales.

La plataforma Zscaler Zero Trust Exchange™ proporciona controles de seguridad en cada etapa para mitigar riesgos y detener amenazas cifradas. Un componente clave del enfoque de la plataforma es su capacidad de inspección completa TLS/SSL, basada en una arquitectura avanzada de proxy. En este sentido, Zscaler recomienda inspeccionar el 100% del tráfico para proteger a los usuarios y empresas contra amenazas ocultas en canales cifrados.

Además, el informe incluye estrategias y mejores prácticas para ayudar a las compañías a combatir estas amenazas encubiertas, así como fortalecer la defensa contra ataques cifrados:

• Comprende que cualquier servicio expuesto a internet puede ser atacado o abusado.
• Inspecciona el tráfico cifrado entrante para detectar y bloquear amenazas.
• Implementa una arquitectura de zero trust para asegurar la conectividad de manera integral entre usuarios y aplicaciones, dispositivos como IoT y OT, ubicaciones y oficinas, cargas de trabajo en la nube, etc.
• Aplica microsegmentación para reducir el acceso incluso a usuarios autenticados.
• Utiliza un entorno aislado en la nube impulsado por IA para contener y eliminar ataques desconocidos, evitando el “paciente cero” del malware.
• Reduce la cantidad de puntos de entrada a un entorno.
• Inspecciona tanto el tráfico saliente (norte) como el entrante (sur) para interrumpir las comunicaciones C2 y proteger datos sensibles.

El informe de ataques cifrados 2024 de ThreatLabz ofrece información y prácticas para ayudar a las empresas a prevenir eficazmente ataques cifrados.

Sobre ThreatLabz

ThreatLabz es el equipo de investigación en seguridad de Zscaler a nivel mundial. Se encarga de descubrir nuevas amenazas y garantizar que las miles de empresas que utilizan la plataforma global de Zscaler estén siempre protegidas. Además de la investigación de malware y el análisis de comportamientos, los miembros del equipo participan en el desarrollo de nuevos módulos prototipo para la protección avanzada contra amenazas en la plataforma de Zscaler y realizan auditorías internas de seguridad para garantizar el cumplimiento de estándares. ThreatLabz publica regularmente análisis detallados sobre amenazas emergentes en su portal: research.zscaler.com.