Los recientes ataques presuntamente llevados a cabo por el grupo chino Salt Typhoon a empresas de telecomunicaciones y entre ellos países como Brasil 'SA dejaron al mundo entero en alerta. Las noticias hablan del nivel de sofisticación de las invasiones y, lo que es más alarmante', los delincuentes, en teoría, seguirían dentro de las redes de estas empresas.
La primera información sobre este grupo llegó en 2021, cuando el equipo de Threat Intelligence de Microsoft publicó información sobre cómo China se había infiltrado con éxito en varios proveedores de servicios de Internet para vigilar empresas y capturar datos. Uno de los primeros ataques llevados a cabo por el grupo fue por una brecha en los enrutadores Cisco, que sirvieron como puerta de entrada para monitorear las actividades de Internet que ocurren a través de estos dispositivos. Una vez obtenido el acceso, los piratas informáticos pudieron ampliar su alcance a redes adicionales. En octubre de 2021, Kaspersky confirmó que los ciberdelincuentes ya habían ampliado los ataques a otros países como Vietnam, Indonesia e Indonesia.
Si las primeras vulnerabilidades ya se conocían desde 2021, ¿POR QUÉ seguimos siendo atacados? La respuesta radica precisamente en cómo abordamos estas vulnerabilidades a diario.
Método de violación
Ahora, en los últimos días, la información gubernamental ha confirmado una serie de ataques a empresas y países“, que se produjeron por vulnerabilidades conocidas en una aplicación VPN, el fabricante Ivanti, Fortinet Forticlient EMS, utilizado para monitorear servidores, firewalls Sophos y también servidores Microsoft Exchange.
La vulnerabilidad de Microsoft se reveló en 2021 cuando, poco después, la empresa publicó las correcciones. La falla en los firewalls Sophos se publicó en 2022 y se corrigió en septiembre de 2023. Los problemas encontrados en Forticlient se hicieron públicos en 2023 y se corrigieron en marzo de 2024, así como los de Ivanti, que también registró sus CVE (Vulnerabilidades y Exposiciones Comunes) en 2023. La empresa, sin embargo, solo corrigió la vulnerabilidad en octubre pasado.
Todas estas vulnerabilidades permitieron a los delincuentes infiltrarse fácilmente en las redes atacadas, utilizando credenciales y software legítimos, lo que hace que detectar estas intrusiones sea casi imposible. A partir de ahí, los delincuentes se movieron lateralmente dentro de estas redes, implementando malware, lo que ayudó en el trabajo de espionaje a largo plazo.
Lo alarmante de los ataques recientes es que los métodos utilizados por los piratas informáticos del grupo Salt Typhoon son consistentes con las tácticas a largo plazo observadas en campañas anteriores atribuidas a agentes estatales chinos. Estos métodos incluyen el uso de credenciales legítimas para enmascarar actividades maliciosas como operaciones de rutina, lo que hace que Es difícil identificarlo mediante sistemas de seguridad convencionales. El enfoque en software ampliamente utilizado, como VPN y firewalls, demuestra un conocimiento profundo de las vulnerabilidades en entornos corporativos y gubernamentales.
El problema de la vulnerabilidad
Las vulnerabilidades explotadas también revelan un patrón preocupante: retrasos en la aplicación de parches y actualizaciones. A pesar de las correcciones puestas a disposición por los fabricantes, la realidad operativa de muchas empresas dificulta la implementación inmediata de estas soluciones. Las pruebas de compatibilidad, la necesidad de evitar interrupciones en los sistemas de misión crítica y, en algunos casos, la falta de conciencia sobre la gravedad de las fallas contribuyen al aumento de la ventana de exposición.
Esta cuestión no es sólo técnica, sino también organizativa y estratégica, e involucra procesos, prioridades y, a menudo, cultura corporativa.
Un aspecto crítico es que muchas empresas tratan la aplicación de parches como una tarea “secundaria” en comparación con la continuidad operativa. Esto crea el llamado dilema del tiempo de inactividad, donde los líderes deben decidir entre una interrupción momentánea del servicio para actualizar los sistemas y el riesgo potencial de explotación futura. Sin embargo, ataques recientes muestran que retrasar estas actualizaciones puede ser mucho más costoso, tanto desde el punto de vista financiero como de reputación.
Además, las pruebas de compatibilidad son un cuello de botella común. Muchos entornos empresariales, especialmente en industrias como las telecomunicaciones, operan con una combinación compleja de tecnologías heredadas y modernas. Esto hace que cada actualización requiera un esfuerzo considerable para garantizar que el parche no cause problemas en los dependientes. sistemas. Este tipo de atención es comprensible, pero puede mitigarse adoptando prácticas como entornos de prueba más sólidos y procesos de validación automatizados.
Otro punto que contribuye al retraso en la aplicación de parches es la falta de conciencia sobre la gravedad de las fallas. A menudo, los equipos de TI subestiman la importancia de un CVE específico, especialmente cuando no ha sido ampliamente explorado hasta la fecha. El problema es que la ventana de oportunidad para los atacantes puede abrirse antes de que las organizaciones se den cuenta de la gravedad del problema. Este es un campo donde la inteligencia sobre amenazas y la comunicación clara entre proveedores de tecnología y empresas pueden marcar la diferencia.
Finalmente, las empresas deben adoptar un enfoque más proactivo y priorizado para la gestión de vulnerabilidades, que incluya la automatización de los procesos de parcheo, la segmentación de redes, la limitación del impacto de posibles intrusiones y la rutina de simular periódicamente posibles ataques, lo que ayuda a encontrar posibles “puntos débiles”.
La cuestión de los retrasos en los parches y actualizaciones no es sólo un desafío técnico, sino también una oportunidad para que las organizaciones transformen su enfoque de seguridad, haciéndolo más ágil, adaptable y resiliente. Sobre todo, este modo de funcionamiento no es nuevo y con él se llevan a cabo cientos de otros ataques modus operandi, de vulnerabilidades que se utilizan como puerta de enlace. Aprovechar esta lección puede ser el diferencial entre ser víctima o estar preparado para el próximo ataque.
Português do Brasil 
English 
Español 
Deutsch 
香港中文 
Русский 
हिन्दी 
Français 
Italiano 
日本語 
العربية 
繁體中文 
বাংলা 
Български 
Čeština 
Dansk 
Ελληνικά 
Suomi 
Hrvatski 
Magyar 
Bahasa Indonesia 
한국어 
Lietuvių kalba 
Nederlands 
Norsk bokmål 
Polski 
Português de Angola 
Português 
Română 
Slovenčina 
Slovenščina 
Svenska 
ไทย 
Türkçe 
Українська 
Tiếng Việt 
简体中文 
Afrikaans 
Íslenska 
Luxembourgish 
Bosanski 
Հայերեն 
Shqip 
Kiswahili 
فارسی 
Српски језик 
اردو 
Latviešu valoda 
Català 
Eesti 
Bahasa Melayu