Quince empresas de Gipuzkoa participan en un proyecto de ZIUR para detectar ciberataques / ZIUR

Quince empresas de Gipuzkoa participan en un proyecto de ZIUR para detectar ciberataques / ZIUR

Empresas

Quince empresas de Gipuzkoa participan en un proyecto de ZIUR para detectar ciberataques

El tipo de actividad detectada indica que las empresas están expuestas, principalmente, a ataques automáticos cuyo objetivo no ha sido ninguna organización en concreto

23 febrero, 2023 13:28

Un total de 15 empresas de Gipuzkoa pertenecientes a diversos sectores como la industria o la máquina herramienta han participado en un proyecto del centro de ciberseguridad industrial guipuzcoano ZIUR para detectar y analizar ciberataques. En un comunicado, desde ZIUR han dado cuenta de la campaña de contrainteligencia, basada en tecnologías de 'Deception' o engaño, que ha desarrollado con la intención de "estudiar los movimientos de los atacantes". El objetivo del proyecto es "reforzar las capacidades actuales de ciberseguridad en las empresas para reforzar la detección temprana de ataques y activar los mecanismos de respuesta", según las mismas fuentes. Y es que muchas de las grandes empresas vascas invierten en ciberseguridad muy por debajo de la media europea. 

Para el desarrollo de esta incitativa se utilizó la tecnología de la firma guipuzcoana Counter Craft para detectar ataques y recopilar información sobre amenazas. De esta forma, se creó en Internet una infraestructura tecnológica que simulaba de manera realista ser parte de la plataforma tecnológica de cada cliente y se diseñaron e implementaron distintos "señuelos" con la intención de conducir a los atacantes interesados en dicha compañía a la infraestructura de 'Deception'. Esta plataforma de engaño, pese a estar vinculada a cada cliente virtualmente, se encontraba en realidad un entorno "completamente aislado y seguro", han añadido desde ZIUR.

En el proyecto han participado de forma anónima 15 empresas del territorio de sectores como la industria, distribución, máquina herramienta, automoción, investigación o la educación. Los resultados del estudio indican que la infraestructura de 'Deception' fue atacada "de manera intensa, llegando incluso a identificarse ataques de impacto crítico" que, de haberse materializado en tecnología vulnerable, "habrían comprometido su confidencialidad, integridad y disponibilidad". A pesar de ello, la infraestructura no fue vulnerada en ningún momento.

Los entornos donde se han focalizado más los ataques han sido tanto en IT como OT, y los servicios más atacados han sido el Blog WordPress y el FTP. El tipo de actividad detectada indica que las empresas están expuestas, principalmente, a ataques automáticos cuyo objetivo no ha sido ninguna organización en concreto. "Los atacantes tratan de hallar configuraciones débiles y vulnerabilidades para perpetrar un ataque contra tecnología vulnerable", según el director general de ZIUR, Koldo Peciña.

"Otra práctica común entre actores maliciosos que han obtenido acceso a un sistema o red empresarial es la venta de accesos, práctica que consiste en vender acceso a este sistema o red comprometido a otros actores maliciosos en la 'darknet' o 'red oscura' con intención de obtener beneficios económicos", ha explicado. A su juicio, "el empleo de herramientas avanzadas junto a la información recopilada de tácticas, técnicas y procedimientos indica que los ciberdelincuentes actúan de forma profesional e invierten mucho tiempo y recursos en diseñar y lanzar los ataques".

Por ello, ha considerado "imprescindible definir y operar los procesos de ciberseguridad para prevenir, detectar y responder a los ataques cibernéticos, lo que reduce el riesgo de pérdida de datos, interrupción del negocio y daño a la reputación de una empresa".

Algunas recomendaciones

Como recomendaciones, Peciña ha apuntado el "reducir la superficie de ataque exponiendo a Internet solo los servicios necesarios"; así como "deshabilitar funciones innecesarias que puedan suponer un riesgo desde el punto de vista de la ciberseguridad como xmlrpc.php en WordPress" y "parchear y actualizar los servicios expuestos para corregir las vulnerabilidades conocidas y garantizar que se están utilizando las últimas medidas de seguridad disponibles".

También ha propuesto "investigar y conocer los 'leaks' (fuga de datos) y contraseñas filtradas que pueden ser utilizadas por atacantes para acceder a sistemas y cuentas de la empresa. Aplicar una política de contraseñas que establezca pautas para la creación y usar contraseñas seguras, difíciles de adivinar o descubrir mediante ataques de fuerza bruta".

Finalmente, ha añadido que hay que "prestar especial atención a errores de configuración en WordPress" y "aplicar procesos de bastionado para reducir vulnerabilidades e instalar, en la medida de lo posible, sistemas de detección adicionales como, por ejemplo, WAF (Web Application Firewall) filtrando el tráfico malicioso antes de que pueda llegar a la aplicación".