Los criminales se aprovechan del teletrabajo: los ciberataques a protocolos de escritorio en remoto se dispararon un 242%, según Telefónica Tech

Un hacker en la Def Con de Las Vegas, en 2017.
Un hacker en la Def Con de Las Vegas, en 2017.
REUTERS/Steve Marcus
  • Los ataques a los servicios de escritorio remoto para teletrabajar crecieron un 242% en pandemia, según el último informe de Ciberamenazas de Telefónica Tech.
  • Se trata de un documento que los especialistas en ciberseguridad de la teleco española realizan cada año, y que vaticina que los ataques con ransomware seguirán en boga.
  • Descubre más historias en Business Insider España.

En los últimos meses parece que ciberseguridad es sinónimo de incidente con ransomware. Nada más lejos de la realidad. El último informe de Ciberamenazas que ha elaborado Telefónica Tech —correspondiente al año pasado—, pone de manifiesto que la seguridad informática de los usuarios también corrió mucho peligro durante la pandemia de coronavirus.

Tanto es así que solo en España y durante el mes de marzo del año pasado, cuando comenzó la crisis provocada por el COVID-19, se produjeron 19 millones de ataques contra protocolos de escritorio remoto (RDP, por sus siglas en inglés). El RDP es una herramienta que permite a los usuarios utilizar sus equipos de oficina desde casa. Algo que fue esencial durante los primeros compases del teletrabajo, debido a la situación de emergencia que se vivió.

La irrupción del teletrabajo, sin control ni seguridad

Imprevistos teletrabajo
Getty

Ese número de incidentes que trataron de asaltar los sistemas RDP de los españoles pone de manifiesto cómo los ciberdelincuentes trataron de irrumpir en el contexto de grave crisis que vivía el país. El informe de Telefónica Tech destaca que el número de ataques a sistemas de RDP creció un 242% con respecto a los datos del año inmediatamente anterior, 2019.

Además de los ataques a los protocolos de escritorio remoto, el uso de redes privadas virtuales (VPN) ha estado a la orden del día con el problema que suponía su uso "con bajos niveles de seguridad", advierten los especialistas de Telefónica Tech.

Entre los principales factores de riesgo que la compañía española detectó durante el año pasado frente el auge del teletrabajo, se destaca que muchas empresas no contaban con preparación para adaptarse a esta nueva realidad, y muchas habilitaron servicios en remoto de manera "rápida y sin control". Hubo una carestía de "actualizaciones y elementos de monitorización" e incluso se asumió como normal "el uso de equipos personales para desempeñar tareas corporativas o viceversa".

Cómo la idea de un hacker para hacer de internet un lugar más seguro se ha convertido en un elemento indispensable de los sistemas operativos Windows, Linux y Mac

Todo se resume en que hubo "falta de información" acerca de los "riesgos" del teletrabajo así como "falta de puesto y material de trabajos adecuados" y "falta de formación en buenas prácticas sobre ciberseguridad".

La tecnológica también pone en valor todas las polémicas que rodearon las plataformas de videoconferencias que se pusieron de moda durante el confinamiento de mediados del año pasado, como fue el caso de Zoom. La compañía estadounidense registró un crecimiento exponencial de su base de usuarios, pero también fue protagonista de numerosas polémicas a cuenta de sus problemas de ciberseguridad. Todo desembocó en lo que supuso la primera compra corporativa de la firma, que se hizo con Keybase para aplicar su criptografía a su servicio.

El 'ransomware' se consolida

En su informe de Ciberamenazas de 2020, Telefónica Tech recuerda que el 27% de los ataques que comienzan con malware acaban inoculando ransomware en las redes corporativas de sus víctimas, motivo que también se explica con el "alarmante incremento de registros de dominios sospechosos para el fraude" o de la suplantación de departamentos enteros de empresas, como Recursos Humanos.

En ese sentido, a lo largo del año pasado actores maliciosos han suplantado desde al Servicio de Empleo Público (que en marzo de este año sufrió un importante ciberataque con una cepa de ransomware conocida como Ryuk) hasta entidades públicas como Correos, y privadas, como entidades bancarias.

En enero del año pasado se detectaron unos 1.000 dominios que utilizaban el coronavirus como gancho con fines fraudulentos. El pico llegó en marzo de 2020, cuando en el día 13 se detectaron 16.000 nuevos dominios. A finales de aquel mes, los nuevos dominios detectados eran 12.000. Hasta finales de mayo no se recobró la normalidad.

Telefónica Tech también se hace eco de la "infodemia", la pandemia de información falsa que asoló las redes y todavía asola a cuenta de la pandemia. Los ciberdelincuentes se han aprovechado de la tesitura para suplantar desde a organismos oficiales y a aseguradoras hasta a falsos expertos y agencias gubernamentales que ofrecían presuntas ayudas públicas. También se han detectado casos de aplicaciones de rastreo de contactos o de autodiagnóstico que en realidad usurpaban datos de sus usuarios (víctimas).

El sector sanitario, en primera línea

Médico en hospital tratando paciente de COVID-19

Reuters/ CARLOS OSORIO

Los principales ciberataques se produjeron sobre todo a organismos internacionales como la OMS y farmacéuticas, "con fines de información". Semanas antes de que arrancara la campaña de vacunación en Europa, farmacéuticas y la propia Agencia Europea del Medicamento sufrieron ataques informáticos que acabaron robando datos e información confidencial sobre los procesos de fabricación de estos fármacos.

También los hospitales fueron objetivo de los ciberdelincuentes, algo que motivó a la Unión Europea a tomar cartas en el asunto, actualizando sus recomendaciones para centros sanitarios en todo el continente en materia de ciberseguridad.

Desfibriladores, camas o impresoras: millones de dispositivos conectados están en riesgo y pueden comprometer los servidores de hospitales y gobiernos

El informe también hace un extenso recorrido por los principales colectivos de ciberdelincuentes que operan ransomware, como Maze, que anunció su cese de actividad en noviembre del año pasado. Telefónica Tech atribuye a este ser el precursor de la doble extorsión, un fenómeno que ha "triunfado" y que "se vio por primera vez a finales de 2019", pero que ha tomado "fuerza" viendo que "múltiples familias han adoptado esta forma de operar".

Más estafas y extorsión

La doble extorsión, en la 'industria' del ransomware, cifra los archivos de sus víctimas y además roba datos sensibles de la misma. El objetivo es que los afectados paguen un rescate no solo para recobrar la normalidad y evitar que sus sistemas continúen bloqueados, sino que también eviten que datos sensibles de sus clientes o acuerdos comerciales y contrataciones acaben filtrados en la dark web.

También evidencia el auge del Ransomware-as-a-Service (RaaS), un fenómeno en el que un colectivo de ciberdelincuentes se convierte en un auténtico proveedor de ciberataques y que se ha visto recientemente con DarkSide, el colectivo cuya ubicación se sospecha que se encuentra en Europa del Este y que recientemente han confirmado también el cese de su actividad tras bloquear durante días un enorme oleoducto de Colonial Pipeline en EEUU, que obligó a la Administración Biden a decretar el estado de emergencia.

El mayor oleoducto de EEUU paralizado o la red de aguas de una ciudad envenenada: por qué son tan críticos los ataques a industrias que usan dispositivos IoT, según un experto español

Con todos estos mimbres, Telefónica Tech vaticina que los ciberdelincuentes seguirán explotando vulnerabilidades cada vez más sensibles en los próximos meses, y esperan que los fraudes y estafas con técnicas de ingeniería social sigan siendo relevantes. Estas técnicas son aquellas en las que los ciberdelincuentes consiguen engañar a un usuario o a un trabajador para a partir de ahí ejecutar desde inoculaciones de código malicioso como ransomware a estafas más burdas pero igual de peligrosas como el fraude al CEO.

LEER TAMBIÉN: Los atacantes del oleoducto de Colonial en EEUU habrían ganado hasta 74 millones de euros en rescates antes de cesar su actividad

LEER TAMBIÉN: "En un atentado, la policía acordona la zona y toma el control, aquí no ha sido así": el lamento del responsable TIC de una universidad española tras un ciberataque

LEER TAMBIÉN: El pánico a un desabastecimiento de gasolina se dispara en EEUU tras varios días con uno de los mayores oleoductos del país hackeado: esto es todo lo que se sabe

VER AHORA: Domingo Mirón, presidente de Accenture en España, Portugal e Israel: “La colaboración público-privada y la multisectorial serán clave en la gestión de los fondos europeos”