Skip to main content

Informe anual 2023 sobre actividades técnicas de CERT.LV y ciberseguridad en Letonia

julio 30, 2024


Este informe contiene información de acceso general sobre las actividades y los resultados operativos de CERT.LV, excluyendo información de acceso restringido. Este informe es solo para fines informativos.

“El equipo de CERT.LV trabaja incansablemente para garantizar que Letonia sea un objetivo difícil y difícil para los ciberatacantes, desarrollando y fortaleciendo su cooperación estratégica a nivel nacional e internacional y contribuyendo a la defensa colectiva de la OTAN en Europa. El enfoque de Letonia se basa en la visibilidad específica de las ciberamenazas y en la obtención temprana de información, su procesamiento y la respuesta a nivel operativo y de política estratégica. Todos los indicadores de amenaza detectados se incorporan a una infraestructura de protección activa centralizada, el cortafuegos DNS, cuyo objetivo es proteger eficazmente a todas las personas que viven en Letonia y a todas las empresas y organizaciones que utilizan la protección proporcionada por CERT.LV”, afirma Varis Teivāns, director adjunto de CERT.LV.

Resumen

Desde el inicio de la guerra entre Rusia y Ucrania, el nivel de ciberamenazas en Letonia ha sido alto y algunos ciberataques se han multiplicado por siete. Al mismo tiempo, la situación del ciberespacio es estable y la resistencia de la infraestructura de tecnología de la información (TI) de Letonia a los ciberataques aumenta día a día. Hasta el día de hoy, los ciberataques no han tenido un impacto significativo o duradero en la población, su seguridad y sus servicios esenciales.

Sin embargo, los resultados de las operaciones de búsqueda de amenazas realizadas por CERT.LV son preocupantes: casi un tercio de las instituciones del sector público sufrieron, con distintos grados de impacto, ciberataques vinculados a otros países (incluida Rusia).

Esto reafirma la necesidad de poder supervisar el cumplimiento de los requisitos mínimos de ciberseguridad en el país, la necesidad de servicios de ciberseguridad disponibles y efectivos, así como la necesidad de poder procesar grandes volúmenes de telemetría de tecnología de la información, lo que permitiría un apoyo de alta calidad para los recursos técnicos y humanos del sector público contra las crecientes amenazas cibernéticas. Para obtener más información sobre los servicios gratuitos que ofrece CERT.LV, visite https://cert.lv/lv/pakalpojumi.

Operaciones de caza de amenazas

Operaciones de caza de amenazas (búsqueda proactiva de ciberatacantes): CERT.LV, por su cuenta y en colaboración con países aliados, ha estado llevando a cabo estas operaciones en la infraestructura de TI crítica de Letonia y otras entidades de alta prioridad desde 2022.

Con más de 100.000 dispositivos analizados en 25 organizaciones a finales de 2023, Letonia es líder de la Unión Europea en la organización y realización de operaciones de búsqueda de amenazas. En un tercio de las organizaciones, se identificó la presencia de un atacante de otro país (APT) con un alto grado de confianza, por lo que se eliminó la presencia del atacante identificado y se encontraron otras amenazas importantes que las organizaciones objetivo pudieron manejar mediante decisiones basadas en datos.

Los atacantes respaldados por otros países utilizaron diversas técnicas de intrusión para obtener acceso a activos críticos de la infraestructura de TI y del gobierno, incluyendo suplantación de identidad, explotación de vulnerabilidades conocidas públicamente, compromiso de sitios web, compromiso de VPN y puertas de enlace de correo electrónico, phishing y entrega dirigida de malware por correo electrónico. En más de cinco casos, el atacante obtuvo acceso inicial comprometiendo el soporte de TI, desarrollo de software o proveedores de servicios de seguridad, en el sector privado, aprovechando la oportunidad para obtener acceso a las redes corporativas y sistemas de información de los clientes de estas organizaciones. Los sitios web o sistemas de información configurados de forma insegura y expuestos a la red pública a menudo fueron comprometidos, con el uso de servicios de control remoto (RDP) y entregas de malware por correo electrónico.

Tras obtener el acceso inicial, los atacantes intentaban con mayor frecuencia ampliar su presencia en la red corporativa y comprometer la infraestructura de Windows Active Directory para obtener el máximo control posible. Es en la fase inicial de un ataque cuando las acciones del atacante son menos cautelosas, más visibles y más fáciles de prevenir, por lo que la recopilación y el procesamiento centralizados y eficientes de la telemetría de las redes corporativas, los servidores y todo el perímetro de seguridad son fundamentales. Para proteger eficazmente la infraestructura de tecnologías de la información de las organizaciones, CERT.LV ofrece una amplia gama de servicios de ciberseguridad a las entidades sujetas a la Ley de Seguridad de las Tecnologías de la Información.

Ataques de denegación de servicio (DDoS) por motivos políticos

Los ataques de denegación de servicio (DDoS) por motivos políticos llevados a cabo por grupos de hacktivistas prorrusos siguen produciéndose en oleadas, dirigidos contra instituciones gubernamentales y empresas de determinados sectores de Letonia. La proporción de ataques con éxito está disminuyendo, lo que es un testimonio de la preparación de la infraestructura de tecnología de la información de Letonia, la eficacia del servicio de defensa centralizado financiado por el Ministerio de Defensa y la capacidad de los operadores de telecomunicaciones para proporcionar sus servicios incluso cuando se ven sometidos a un ataque externo prolongado. Es esencial evitar la participación de la infraestructura de TI de Letonia en los ciberataques y la posibilidad de ataques desde el interior del país, ya que las empresas de telecomunicaciones vinculadas a Rusia están construyendo deliberadamente una presencia en Letonia y otros estados miembros de la UE.

Ataques con motivaciones económicas

Los ataques con fines económicos siguen llevándose a cabo a través de phishing y plataformas de inversión fraudulentas, estafando al público letón por más de un millón de euros al mes. Las empresas siguen siendo víctimas de ataques de correo electrónico empresarial (BEC), en los que los atacantes obtienen acceso a cadenas de correo electrónico de transacciones y envían facturas con detalles de pago modificados, en el caso de transacciones reales.

Durante mucho tiempo, el ruso fue el idioma preferido de los estafadores, pero hacia finales de año, el letón fluido, tanto hablado como escrito, se estaba volviendo más común en las campañas fraudulentas. Se espera que los atacantes hagan un uso cada vez mayor de las nuevas tecnologías, incluida la “inteligencia artificial” o los grandes modelos lingüísticos, para mejorar la calidad de los esquemas fraudulentos y el lenguaje en el que se presentan, la falsificación de voces e imágenes, así como las campañas de desinformación y la creación de contenido engañoso.

Vulnerabilidades y sistemas informáticos vulnerables

Las vulnerabilidades y los sistemas informáticos vulnerables son un riesgo creciente, afectado por vulnerabilidades críticas recién descubiertas, sistemas informáticos configurados incorrectamente y soluciones informáticas obsoletas. Los atacantes más capaces son cada vez más rápidos y explotan las vulnerabilidades descubiertas recientemente a gran escala en un plazo de uno a dos días desde su divulgación. Se observaron ataques a la cadena de suministro contra organizaciones con altos niveles de seguridad, que consiguieron acceder a la infraestructura objetivo atacando a desarrolladores de software subcontratados y otros proveedores de servicios.

Teniendo en cuenta la experiencia de Ucrania en su guerra a gran escala contra el estado agresor, Rusia, el equipo de CERT.LV llevó a cabo una serie de intentos de intrusión controlada y medidas de concienciación de vulnerabilidades en rangos de direcciones IP de Letonia y la zona de dominio .lv, con el fin de identificar sistemas vulnerables antes de que lo haga un atacante. También se llevó a cabo una búsqueda de cámaras de vigilancia expuestas públicamente y vulnerables, y se encontraron más de 200 dispositivos en sitios donde la videovigilancia no autorizada o incluso pública no era deseable.

Se ha creado la plataforma coordinada de divulgación de vulnerabilidades cvd.cert.lv, que sirve con éxito como puente de comunicación entre investigadores de ciberseguridad (piratas informáticos de sombrero blanco) e instituciones y empresas letonas.

Durante el período del informe, CERT.LV realizó 16 pruebas de seguridad informática a gran escala y varias simulaciones de ataques controlados, durante las cuales se detectaron y eliminaron una serie de vulnerabilidades significativas. Los análisis de seguridad automatizados de más de 2700 dominios gov.lv identificaron docenas de activos con versiones obsoletas que contenían vulnerabilidades conocidas públicamente. Como parte de los servicios de CERT.LV, se simularon ataques de phishing, se puso a prueba la vigilancia de más de 8000 empleados de instituciones gubernamentales y se verificó la capacidad de las instituciones objetivo para identificar fugas de datos.

Tecnología operativa (OT) y seguridad de sistemas de control industrial

Se llevó a cabo una investigación sobre la seguridad de los sistemas operativos de las industrias de energía y transporte y sobre la tecnología operativa (OT). Mediante el análisis de los protocolos y las alarmas y la ingeniería inversa del software de los sistemas de control industrial, se obtuvieron nuevos conocimientos y se identificaron riesgos de seguridad. Las inspecciones identificaron riesgos de seguridad previamente desconocidos, todos los cuales podrían controlarse mediante la implementación de procedimientos adecuados.

Se lanzó un proyecto sobre sensores OT y se estableció el primer Centro de Operaciones de Seguridad OT de Letonia, que proporciona la experiencia y el apoyo necesarios a los controladores de la infraestructura de TI crítica del país.

Cortafuegos DNS

El Cortafuegos DNS es una solución de seguridad activa que protege a los usuarios contra sitios web fraudulentos y nombres de dominio registrados de forma maliciosa, y es proporcionada de forma gratuita por CERT.LV y NIC.LV. Desde 2022, el uso del servicio se ha multiplicado por 5, procesando 1,5 millones de solicitudes DNS al mes. En el cuarto trimestre de 2023, el servicio impidió que los usuarios (únicos) visitaran sitios maliciosos alrededor de medio millón de veces. En otoño de 2024, se espera que la aplicación móvil DNS firewall esté disponible para dispositivos móviles Apple iOS y Android.



Source link

Translate »