Empresas argentinas, entre las más buscadas por el cibercrimen

Los expertos señalan que el principal error que cometen las empresas en materia de ciberseguridad es no integrarla como parte de su estrategia de negocios, verla sólo como un servicio adicional. Firmas especialistas de seguridad informática cuentan cuáles son las principales amenazas para 2023 y los principales recaudos que deben tomar las compañías.


La aparición de las nuevas tecnologías son una herramienta sumamente útil para las empresas, pero al mismo tiempo, amplían el frente de batalla entre la delincuencia y la ciberseguridad.

Frente a este escenario tanto grandes como medianas empresas deben tener sus soluciones de seguridad al día para poder mantener sus datos e información a salvo. Pero el desafío es cada vez mayor porque las amenazas son también cada vez más inteligentes y sofisticadas.

Basta con mirar los números para darse cuenta de la envergadura de este problema. La Argentina recibió 10.000 millones de intentos de ciberataques en 2022, un crecimiento del 200% frente a 2021, según datos de FortiGuard Labs, el laboratorio de análisis e inteligencia de amenazas de Fortinet. Mientras, la región de América Latina y el Caribe sufrió más de 360.000 millones de intentos de ciberataques en 2022. México recibió la mayor cantidad (187.000 millones), seguido de Brasil (103.000 millones), Colombia (20.000 millones) y Perú (15.000 millones).

“Para los ciberadversarios, mantener el acceso y evadir la detección no es poca cosa, ya que las ciberdefensas continúan avanzando para proteger a las organizaciones. Para contrarrestar, los delincuentes están sumando más técnicas de reconocimiento y desplegando alternativas de ataque más sofisticadas para realizar sus intentos destructivos con métodos de amenazas avanzadas y persistentes, como el wiper malware u otros ataques evolucionados”, dice Derek Manky, estratega jefe de seguridad y vicepresidente global de Threat Intelligence de FortiGuard Labs, de Fortinet.

Según datos de ThreatCloud, de Check Pointlas organizaciones en la Argentina están siendo atacadas en promedio 2.069 veces por semana en los últimos seis meses, en comparación con 1.197 ataques por organización a nivel mundial. Esto se debe a múltiples factores, entre los que se encuentra la falta de perfiles especializados en ciberseguridad.

Un informe del Foro Económico Mundial reveló, también, que el 95% de problemas de ciberseguridad tienen como origen el error humano. Asimismo, el 72% de los archivos maliciosos en la Argentina fueron entregados vía email y el tipo de explotación de vulnerabilidad más común en nuestro país es la Ejecución Remota de Código, impactando al 68% de las organizaciones.

“Para protegerse contra estas tácticas avanzadas de ciberdelincuencia, las organizaciones deben centrarse en habilitar la inteligencia de amenazas coordinada y procesable. Ésta deber ser impulsada por el aprendizaje automático en tiempo real en todos los dispositivos de seguridad para detectar acciones sospechosas e iniciar una mitigación coordinada en toda la superficie de ataque extendida”, agrega Manky.

Sólo en los primeros 20 días de marzo, y según los sistemas de ESET, se registraron más de 10.000 ataques de phishing en Argentina. Esto incluye tanto aquellos correos que contienen un enlace a un sitio falso, como los que adjuntan algún archivo malicioso. “La vulnerabilidad más detectada en los tres primeros meses del año en el país es la CVE-2012-0143 en donde, por un mal manejo de la memoria al abrir un archivo Excel, permite a los atacantes ejecutar código de manera remota y controlar los dispositivos. Esta vulnerabilidad fue descubierta en 2012 y ya existe una actualización que lo enmienda. Dentro de Latinoamérica, Argentina es uno de los países más buscados por el cibercrimen durante 2023, sólo superado en cantidad de ataques recibidos por Perú, México, Ecuador y Colombia”, resume Martina López, investigadora de Seguridad Informática de ESET Latinoamérica.

MÁXIMO HISTÓRICO. Tras un 2022 en el que los ataques alcanzaron un máximo histórico por el conflicto bélico entre Rusia y Ucrania, el Security Report 2023 de Check Point Research menciona cómo se han transformado los ataques en los últimos tiempos además de acercar una mirada de lo que se espera en el 2023.

“Los límites entre las operaciones cibernéticas patrocinadas por el Estado y el hacktivismo se volvieron cada vez más borrosos, ya que las naciones-estado actúan con anonimato e impunidad. Los grupos de hacktivistas no estatales se volvieron más organizados y eficaces que nunca, mostrando un cambio de paradigma en su metodología”, explica Alejandro Botter, Security Engineering Manager para Sur y Latinoamérica de Check Point.

Otro de los ataques que se hizo popular en el último año es la extorsión por ransomware. “Son cada vez más constantes, pero más difíciles de atribuir y rastrear, y los mecanismos de protección existentes que se basan en la detección de la actividad de cifrado pueden perder eficacia. En su lugar, la atención se centra ahora en borrar los datos y la detección de los datos filtrados”, cuenta Botter.

El entorno en la nube también estuvo y está en la mira de los delincuentes informáticos. “El número de ataques a redes basadas en la nube por organización se disparó, con un aumento del 48 por ciento en 2022 en comparación con 2021. El cambio en la preferencia de los ciberatacantes por escanear el rango de IPs de los proveedores de la nube, pone en evidencia su interés en la obtención de un acceso fácil a la información sensible y los servicios críticos de estos entornos”, revela el ejecutivo de Check Point.

Por último, Botter destaca el protagonismo de la Inteligencia Artificial (IA) como método de ataque. “Esta tecnología podría explotarse para lanzar ataques más efectivos. Los avances en las técnicas criptográficas y de IA, en particular el aprendizaje automático y el aprendizaje profundo se muestran prometedores al permitir que no sólo los expertos en seguridad cibernética contrarresten la amenaza sino también aquellos que representan un riesgo evolucionen constantemente”, señala.

ATAQUES EN TODO EL MUNDO. Este último año empresas de todos los tamaños y hasta organismos gubernamentales han sufrido ataques. Entre ellos se pueden mencionar algunos casos de ransomware como el ataque dirigido hacia el Consejo Superior de Investigaciones Científicas (CSIC) de España, sin embargo, no se detectó ninguna pérdida de datos sensibles o confidenciales. El minorista británico WH Smith sufrió una violación de datos en la que se filtró información de antiguos y actuales empleados, incluyendo nombres, direcciones, números de seguro nacional y fechas de nacimiento. De todas maneras, la empresa se apresuró a comunicar que no ha habido ningún impacto sobre las actividades comerciales del grupo.

Otra compañía que fue víctima de los ciberdelincuentes fue la plataforma de banca digital Hatch Bank, convirtiéndose en la segunda víctima conocida (después de Community Health Systems) de la vulnerabilidad de ejecución remota de código en Fortras GoAnywhere, software de transferencia de archivos (seguido como CVE-2023-0669). The Cl0p, la conocida pandilla de ransomware, se ha atribuido la responsabilidad del ataque, alegando haber robado también datos de 130 organizaciones.

Pierce Transit, un operador de transporte público del estado de Washington también ha sido víctima de un ataque de ransomware realizado por el grupo de delincuentes informáticos LockBit.

En el caso de Argentina podemos mencionar el del Instituto Nacional de Estadísticas y Censos (INDEC) que sufrió una infección con malware que afectó sus servidores y el sistema de validación de usuario. En septiembre de 2022, la Legislatura porteña informó que fue atacada por un ransomware. El organismo dijo que sus sistemas operativos internos estaban comprometidos y la conectividad WiFi no funcionaba. En este caso, ningún grupo de ransomware se atribuyó este ataque.

Al cierre de esta edición, los sistemas de la Superintendencia de Seguros de la Nación seguían fuera de servicio de forma momentánea debido a eventos vinculados con la seguridad informática. Las aplicaciones “MI ARGENTINA” y “MI SEGURO” se encontraban afectadas.

LOS RIESGOS DE LAS EMPRESAS ARGENTINAS. ¿Están preparadas para este gran desafío las compañías locales?

Martin Sieburger, socio gerente de NetGuard (reseller gold de WatchGuard en Argentina) asegura que deben separarse en dos grandes grupos: las empresas que tienen conciencia de los riesgos por estar conectados y las que subestiman ese peligro. “Las primeras poseen políticas de seguridad aplicadas e implementadas que permiten afrontar tanto la prevención como la remediación de los problemas que surgen de seguridad. Mientras que las compañías que forman parte del segundo grupo no implementan políticas de seguridad y subestiman los riesgos a los que se exponen”, resume.

Al mismo tiempo, Sieburger, observa que los incrementos de ataques en la región se deben a un aumento en la necesidad de estar conectados fuera de la oficina, y al aumento del uso de infraestructura en la nube. “Si le sumamos la falta de políticas de seguridad, la empresa se transforma en un objetivo fácil para poder ejecutar un ataque”, advierte.

Entre los puntos más destacables de los últimos ciberataques, el ejecutivo de NetGuard reconoce que éstos poseen una ingeniería cada vez mayor y que se ejecutan durante un período de tiempo. “La mayoría de las veces los ataques comienzan con una infección en alguno de los equipos conectados a la red mediante un correo malicioso, o una instalación de un programa de descarga gratuita. Al infectar esa terminal, el malware se dedica a recopilar datos de uso, tanto de la máquina como de la red a la que se encuentra conectada, e intenta propagarse hasta poder llegar a los servidores o computadoras de usuarios con privilegios. Una vez que lo consigue podrá tener acceso a datos sensibles y llega el momento de instalar otro tipo de malware”, describe.

Según Sieburger el funcionamiento de este tipo de ataques es bastante simple. “Lo primero que hacen los ciberdelincuentes es infectar la red; de esta manera obtienen una copia de los datos importantes de la compañía. Luego encriptan esa información en los mismos servidores de la empresa para que no puedan acceder a ellos. Este tipo de malware es el que se denomina ransomware. Por último, los atacantes solicitan un pago en bitcoins a cambio de la clave para desencriptar sus datos. Si la organización que es víctima del ataque no paga, ofrecen esos datos en la dark web al mejor postor o los publican para generar daño y utilizarlo como presión para el pago del rescate”, relata.

El gran problema que está enfrentando la Argentina, según el ejecutivo de NetGard, es que los hackers encuentran varias redes con baja seguridad y efectúan el ataque sólo para ver si consiguen alguna paga por los datos que robaron. “Si no paga, la empresa no podrá acceder a esos datos, generando un lucro cesante y un alto gasto para recuperar su operación”, dice.

TENDENCIAS Y DESAFÍOS. Cuando llega el momento de hablar sobre las cuentas pendientes, Hernando Castiglioni, gerente Senior de Ingeniería para Fortinet Latam, reconoce que la inversión en soluciones sofisticadas de detección es un área que está faltando dentro de la planeación de ciberseguridad para 2023. “El año pasado muchas organizaciones se enfrentaron a un incremento en ciber riesgos que llegaron como resultado de la convergencia de las redes de IT y OT. Dicho esto, invertir en soluciones como detección y respuesta de redes (NDR) puede permitir a las organizaciones identificar de un modo rápido anomalías, analizar amenazas emergentes en tiempo real y automatizar las respuestas para mitigar ciberataques. Los negocios y las organizaciones que mejoran su ciberagilidad pueden defender los ambientes de TI y de la compañía tanto ante amenazas existentes como emergentes”, sugiere.

Otra de las soluciones de ciberseguridad que Castiglioni recomienda a sus clientes es el Security Access and Service Edge (SASE) para modernizar su tecnología de acceso remoto. “Actualmente, la mayoría de las empresas confían en las VPNs para proveer acceso remoto y algunas más avanzadas incorporan proxies como Secure Service Edge (SSE). Sin embargo, el uso de soluciones de base mixta añade complejidad y problemas de rendimiento en las redes, lo cual se traduce en poca efectividad al momento de responder y remediar algún ataque que pueda ocurrir. Esto puede ser alcanzado utilizando una plataforma consolidada que conjunte SSE, Zero Trust Network Access (ZTNA) y Cloud Access Security Broker (CASB) para asegurar el nivel de control de puntos de acceso. Este acercamiento asegurará visibilidad de punta a punta para proveer una respuesta rápida en caso de algún incidente de seguridad”, aconseja.

Sobre las tendencias para este año, el gerente de Fortinet adelanta que la mayor preocupación será el Ransomware as a Service. “Este modelo de negocio permite que cualquiera que pueda pagarlo tenga acceso a un código malicioso, así que es hoy más importante que nunca contar una estructura sólida de ciberseguridad, que abarque cada capa de la superficie de red, desde hardware y software hasta puntos de acceso”, subraya.

MEDIDAS A TOMAR. “El principal error que cometen las empresas en materia de ciberseguridad es no integrarla como parte de su estrategia de negocios, y verla como un servicio adicional. La digitalización trae grandes desafíos que requieren de una arquitectura de ciberseguridad sólida y resiliente que deberá crecer conforme a la evolución de la superficie de ataque. Para esto, las organizaciones tienen que hacer un inventario minucioso de todos los activos digitales con los que cuentan y saber cuál sería el costo, en caso de que alguno se vea vulnerado”, destaca Castiglioni.

Según él, una vez realizado este paso, la empresa podrá definir cuáles son los elementos que deben ser parte de su arquitectura. “Lo ideal es que todas ellas converjan dentro de una sola plataforma y sean impulsadas por IA y machine learning para ayudar a los equipos de TI, que son usualmente reducidos a poder monitorear, detectar y mitigar cualquier intrusión antes de que ocurra o incluso si ya se ha metido en la red”, describe el ejecutivo de Fortinet.

Sobre las principales medidas de ciberseguridad que tienen que adoptar las empresas, la investigadora de ESET recomienda: mantener el software actualizado; implementar autenticación de múltiples factores; realizar auditorías de seguridad regulares para identificar vulnerabilidad en los sistemas y en las redes corporativas; implementar políticas de seguridad fuertes; realizar ejercicios de seguridad como pruebas de penetración o simulación de adversarios; establecer un plan de respuesta a incidentes que detalle cómo responder a un ciberataque; y educar a los colaboradores en materia de ciberseguridad.

Por su parte Sieburger, de NetGuard, destaca que es muy importante la implementación de sistemas y políticas de seguridad, pero advierte que no funciona si no se implementan y controlan. “Es muy común que en las empresas los directivos o dueños no quieran aplicar controles a sus máquinas. Las políticas de seguridad se deben implementar y reforzar por todos”, indica.

Botter, de Check Point, reflexiona: “Es importante promover una cultura de ciberseguridad comenzando por concientizar a las personas sobre los riesgos que existen hoy. Los ciberataques son cada vez más frecuentes y el eslabón más débil son los usuarios. A esto se le suma una falta enorme de profesionales en ciberseguridad por lo que dentro de las organizaciones es clave que los empleados tengan conocimientos sobre ciberseguridad y estén muy atentos a los posibles intentos de ataques”.

Fuente: ESTRATEGAS