#CyberSecurityReport21H1: Más de 246 millones de eventos de ciberseguridad OT detectados en seis meses

Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en Telefónica Tech queremos marcar una diferencia. Desde el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe sobre ciberseguridad que sintetiza lo más destacado de la primera mitad de 2021. Su filosofía es ofrecer una visión global, concreta y útil sobre los datos y hechos más relevantes sobre ciberseguridad, y está pensado para ser consumido tanto por profesionales como aficionados de una manera sencilla y visualmente atractiva.

El objetivo de este informe es resumir la información sobre ciberseguridad de los últimos meses tomando un punto de vista que abarque la mayoría de los aspectos de esta disciplina, para así ayudar al lector a comprender los riesgos del panorama actual.

La información recogida se basa, en buena parte, en la recopilación y síntesis de datos internos, contrastados con información pública de fuentes que consideramos de calidad. Extraemos a continuación algunos puntos que nos resultan importantes.

Seguridad Móvil

El primer semestre de 2021 se ha cerrado con más de 200 vulnerabilidades parcheadas en iOS, de las cuales, casi 50 son consideradas de alto riesgo, con posibilidad de ejecutar código arbitrario. Algunas de ellas afectan al propio núcleo del sistema.

Típicamente, Google libera un grupo de parches se seguridad cada mes. Por lo que han sido publicados seis boletines que suman un total de 246 CVEs o vulnerabilidades corregidas en Android. 26 de ellas, críticas.

Seguridad Windows

En este período hemos analizado 384 vulnerabilidades acreditadas de un total de más de 440. De todas ellas hemos extraído su gravedad a través del CVSS oficial del NIST. Entendemos que la mayoría de los fallos no acreditados pueden provenir de vulnerabilidades encontradas en 0-days u otras circunstancias en las que no se conoce al autor y no ha sido reportada de forma anónima. En estos casos, Microsoft no acredita a nadie en particular. Esta diferencia entre vulnerabilidades acreditadas y “no acreditadas”, que no es lo mismo que anónimas, se ve reflejada en el siguiente gráfico:

Seguridad OT

La siguiente información procede del sistema para la captura y análisis de amenazas en el ámbito OT, Aristeo. Aristeo incorpora una red de señuelos, fabricados con hardware industrial real, que aparentan ser sistemas industriales en producción real, y se comportan como tales, pero que están extrayendo toda la información sobre las amenazas que acceden al sistema. Con la información de todos los dispositivos desplegados en los distintos nodos-señuelos, Aristeo aplica relaciones e inteligencia para ir más allá del dato, pudiendo detectar proactivamente campañas, ataques dirigidos o sectorizados, vulnerabilidades 0-day, etc.

Cada nodo-señuelo dispone de sus propias características y reproduce un proceso distinto. Por lo tanto, los protocolos, dispositivos, sectores productivos… cambian en cada uno de ellos. Además, los nodos están vivos, lo que implica que pueden experimentar alteraciones en su configuración a gusto del equipo de investigadores que trabajan con ellos, o del cliente que dispone de su uso temporal o permanente. Esta variabilidad puede generar ligeras discrepancias en los datos mostrados en este apartado si se comparan entre semestres.

Más información en: https://aristeo.elevenlabs.tech

Siempre se ha comentado que los delincuentes son los que mejor conocen la sociedad y sus realidades, su legislación… Cuando desplegamos el primer nodo de Aristeo, comenzamos a percibir una variación en los datos a medida que la pandemia iba aumentando o disminuyendo su incidencia. Decidimos analizar la información para comprobar si nuestra percepción era correcta. La respuesta es el siguiente gráfico, en el que se enfrentan los datos Covid con los datos de eventos de RDP en el mes de enero de 2021 separado por semanas. La S0 es la última de diciembre de 2020 (para observar el cambio desde el inicio de aquella ola).

Los datos de las amenazas cibernéticas provienen en su totalidad de nuestro sistema, mientras que los datos sobre la amenaza que supone el SARS-COV-2 provienen de varios gobiernos y entidades investigadoras de reconocido prestigio. Los atacantes incrementaban el número de ataques contra los dispositivos que exponían un RDP (en nuestro caso, una bahía de ingeniería que controla el proceso industrial y sirve para administrar los dispositivos industriales en un nodo).

Además, en el primer semestre de 2021 se detectaron más de 246 millones de eventos de ciberseguridad. Mayoritariamente, los eventos han estado relacionados con ataques de RDP más o menos sofisticados. La distribución por países sería la siguiente: