Encuesta sobre Cloud Híbrido Hornetsecurity

Encuesta sobre Cloud Híbrido Hornetsecurity

Encuesta de adopción del Cloud Híbrido: 2 de cada 3 Profesionales IT ven el Cloud Híbrido como el futuro

Acerca de la encuesta de adopción del Cloud Híbrido

La migración a las tecnologías cloud siempre ha parecido algo inevitable, pero lejano. Sin embargo, los acontecimientos de los últimos dos años han acelerado la tasa de adopción de la tecnología cloud, gracias a la creciente necesidad de soluciones remotas para empresas y particulares. El camino hacia la nube ha demostrado ser accidentado, con muchos desafíos técnicos y humanos que deben abordarse antes de que cualquier empresa pueda afirmar ser completamente nativa en la nube, o incluso adoptar un modelo de cloud híbrido.

Seguridad, almacenamiento de datos, compatibilidad de aplicaciones, regulaciones de la industria, software heredado, hay una cantidad casi infinita de variables que pueden tener un impacto en el trayecto de cualquier empresa a la nube. Tenemos un montón de contenido disponible en DOJO sobre estos temas, pero queríamos averiguar exactamente cuáles de estos desafíos han sido los más frecuentes en entornos de cloud híbrido, además de lo que los profesionales IT piensan que el futuro traerá acerca de la infraestructura. Después de todo, puede ser difícil saber exactamente cuándo es el momento adecuado para la transición a la tecnología cloud.

Por esta razón, realizamos una encuesta de adopción de cloud híbrido con más de 900 profesionales de IT en todo el mundo, y ahora estamos listos para compartir nuestros hallazgos contigo. A lo largo de este artículo encontrarás un resumen, pero si quieres ver datos más detallados, también puedes echar un vistazo a la encuesta completa.

Dicho esto, empecemos.

Acerca de los encuestados

Antes de sumergirnos propiamente en los resultados, esta es la descripción de los encuestados, para entender mejor el contexto.

Algo más de la mitad (50,4 %) de los encuestados forman parte de un departamento interno de IT, mientras que el 23,6 % forman parte de un MSP. El resto se divide entre otros roles y dueños de empresas que gestionan sus propios sistemas IT. La mayoría de los encuestados tienen roles relacionados principalmente con la administración de sistemas o la ingeniería (80,4 %), mientras que el resto son responsables de gestión de equipos (19,6 %).

También preguntamos a nuestros encuestados por los años de experiencia en el área IT. Casi la mitad (45,8 %) reporta más de 20 años de experiencia mientras que el resto se divide entre 16-20 años (17,9 %), 10-15 años (18,1 %), 6-10 años (11,1 %) y 1-5 años (7,1 %).

En términos de área geográfica, la gran mayoría de los encuestados están basados en Norteamérica (43,8 %) y Europa (41,6 %). El 14 % restante se divide entre Asia (4,7 %), África (3,3 %), Australia (2,9 %), Oriente Medio (2,1 %) y Sudamérica (1,7 %).

El tamaño de las empresas (por número de empleados) de las que forman parte los encuestados varía entre 1-50 (41,7 %), 51-200 (23,1 %), 201-500 (12,1 %), 501-1000 (6,7 %) y más de 1.000 (16,3 %).

Hornet Result Images 01

2 de cada 3 profesionales de IT ven las soluciones de cloud híbrido como un destino permanente para la infraestructura

Hornet Result Images 02

Uno de los hallazgos más interesantes de la encuesta de cloud híbrido es que, si bien el sentimiento del sector es que la infraestructura en la nube es el futuro, el 67 % de los encuestados cree que una estrategia de cloud híbrido no es un paso intermedio para la infraestructura, sino más bien un destino permanente. Esto se debe a cargas de trabajo específicas que deben permanecer on-premise por diferentes motivos que se explorarán más adelante.

El 28,6 % de los encuestados contestaron que continuarán con un modelo de cloud híbrido solo hasta que la adopción completa de la nube esté disponible para sus cargas de trabajo. Esperamos que este porcentaje crezca en los próximos años a medida que se resuelvan problemas más comunes relacionados con la adopción de la nube, como la compatibilidad de aplicaciones, gracias a los avances en la tecnología de contenedores.

El 4,3 % restante de los encuestados dijo que permanecerán 100 % en on-premise en el futuro más próximo, rechazando incluso una estrategia de cloud híbrido. Cuando se les pregunta por las razones por las que mantienen una infraestructura totalmente on-premise, estos encuestados citan la necesidad de un control total sobre sus datos, problemas de seguridad y consideraciones de coste relacionadas con los servicios en la nube.

1 de cada 3 empresas mencionan problemas de confianza en la nube como motivo para mantener cargas de trabajo on-premise

Hornet Result Images 03

El 34,1 % de todos los encuestados dijeron que “los problemas de privacidad/confianza en la nube pública” están detrás del mantenimiento de ciertas cargas de trabajo on-premise. Este sentimiento es frecuente en todos los encuestados, y no hay ninguna diferencia apreciable en la confianza en la nube pública en función de la zona geográfica o el tamaño de la empresa, lo que es un claro indicador de que se trata de una desconfianza generalizada.

Sin embargo, existe una diferencia en el nivel de confianza en la nube pública entre los encuestados con más experiencia y sus homólogos menos experimentados. Los encuestados con más de 20 años de experiencia muestran más desconfianza en las plataformas en la nube (33,6 %) que aquellos con 1-5 años de experiencia (24,2 %). Esto indica que a mayor experiencia se genera más escepticismo cuando se trata de permitir el acceso de las plataformas en la nube a los datos de la empresa y la operativa.

La seguridad y la monitorización son una de las principales preocupaciones que muchos de los encuestados mostraron. De hecho, cuando se les preguntó qué retos técnicos ven en un modelo de cloud híbrido, la mitad (49,3 %) de los encuestados citaron “vigilancia y seguridad”. Esto no es solo una preocupación desde la perspectiva de una plataforma en la nube, sino también desde una perspectiva de usuario. El 73,1 % de los encuestados mencionaron que estaban utilizando o planeando utilizar la autenticación multifactorial y el acceso condicional como parte de su conjunto de herramientas de seguridad.

Existe un sentimiento general claro de que, a medida que se trasladan más cargas de trabajo a la nube, mayor es la preocupación por el control, la vigilancia y la seguridad, especialmente cuando se compara con la aparente tranquilidad con la que se asocia la infraestructura on-premise.

Solo el 5,7 % de los encuestados no informa de dificultades técnicas con tecnologías cloud o híbridas

Hornet Result Images 04

Entre las razones que los encuestados citan para mantener ciertas cargas de trabajo on-premise, había dos que se mencionaron con más frecuencia que los problemas de confianza en la nube. Se trataba de “sistemas o software heredado” y “compatibilidad de aplicaciones”, que fueron reportados por el 51,8 % y el 39,5 % de los encuestados, respectivamente.

Esto indicaría que, a pesar de que Microsoft y otros proveedores de plataformas en la nube han asignado recursos significativos para proporcionar a los profesionales de IT vías para modernizar sus aplicaciones y ayudar en la migración a la arquitectura de cloud híbrido, este esfuerzo no ha sido suficiente para eliminar los problemas asociados.

De hecho, cuando se preguntó qué dificultades técnicas tienen los encuestados con las tecnologías cloud, la respuesta más frecuente (48,2 %) fue “conocimiento técnico o personal certificado”. Lo que significa que a pesar de que existe tecnología disponible para superar problemas relacionados con el software heredado y la compatibilidad de aplicaciones, muchas empresas carecen del conocimiento y la habilidad necesarios para implementarlos.

Hay más evidencias de esta falta de conocimiento, ya que un tercio (33,3 %) de los encuestados también citó la conectividad como una dificultad técnica que tienen con las tecnologías en la nube. De hecho, si bien la conectividad es sin duda uno de los aspectos más difíciles de la aplicación de las plataformas en la nube, puede manejarse con el conocimiento y la certificación adecuados.

Cargas de trabajo que frenan la adopción total del cloud

Cuando se preguntó qué cargas de trabajo específicas preveían mantener on-premise, se obtuvieron los siguientes resultados.

En cuanto a los servicios de impresión e imagen, que son la carga de trabajo mencionada con más frecuencia, es probable que muchos equipos de IT internos adopten un enfoque “si no se rompe, no lo toques”, especialmente porque el acceso remoto a estos servicios es redundante en la mayoría de los casos. Los servicios de impresión e imagen también son un servicio crítico para el usuario final en muchas organizaciones, por lo que es probable que los departamentos de IT tengan más reticencias a la hora de intentar una actualización para no interrumpir el funcionamiento.

Las bases de datos y el almacenamiento de archivos también ocupan un lugar destacado en la lista, ya que una combinación de problemas de privacidad y rendimiento son las principales razones por las que esas cargas de trabajo se mantendrían on-premise en muchas empresas. Las regulaciones de la industria como GDPR, HIPAA, CMMC y otros también pueden estar jugando un papel destacado, ya que el 28,7 % de los encuestados las citó como un obstáculo para la adopción de la nube.

Las empresas que utilizan servicios MSP tienen más probabilidades de utilizar soluciones en la nube que on-premise

Hornet Result Images 05

Los MSP estarán encantados de escuchar que están liderando el camino cuando se trata de la adopción de la nube en el sector. El 54,4 % de los MSP reportan que ven sus cargas de trabajo “principalmente en la nube” en los próximos 5 años. También parecen estar empujando a sus clientes hacia la tecnología de cloud híbrido con ellos, ya que el 51,7 % de las empresas que utilizan servicios MSP también se ven yendo a un modelo de cloud híbrido en un futuro próximo. El 46,9 % de los departamentos de IT internos, por otro lado, reportan que estarán “preferentemente en la nube” en 5 años.

Sin embargo, los problemas de confianza con la nube pública siguen siendo relativamente constantes en todos los encuestados, ya que el 34,4 % de los equipos de IT internos informan de que los problemas de confianza son un obstáculo para la adopción de la nube, frente al 32,5 % de los profesionales que utilizan servicios MSP.

Y más buenas noticias para los MSPs, nuestra encuesta también revela que el 40,8 % de los encuestados que no forman parte de un MSP, ni utilizan ningún servicio MSP, considerarían la posibilidad de contratar a un proveedor de servicios gestionados para ayudar con la transición de una arquitectura on-premise a una de cloud híbrido.

Servicios de contenedores más populares

A través de la encuesta, también queríamos averiguar qué servicio de contenedores tiene más popularidad dentro de nuestra base de encuestados, ya que esta es una de las tecnologías clave que hacen posible una estrategia de cloud híbrido para ciertos casos.

Nos sorprendió relativamente encontrar que Docker sigue siendo popular entre todos los servicios, con 3 de cada 10 (30,7 %) encuestados citando que es la tecnología que utilizan actualmente o planean usar en los próximos 5 años. Esto se contrapone al 22 % de los encuestados que utilizan el servicio Azure Kubernetes.

Esto es especialmente sorprendente, ya que Kubernetes con ContainerD está demostrando ser una solución de contenedores más potente, pero también más compleja. De hecho, nos adentramos en las complejidades de AKS (Azure Kubernetes Service) con Ben Armstrong de Microsoft en un episodio del DOJO SysAdmin Podcast, que no deberías perderte si estás en búsqueda de servicios de contenedores.

Resultados de la encuesta de adopción del Cloud Híbrido

Si quieres revisar los datos por tí mismo, no dudes en echar un vistazo a los resultados de la encuesta de adopción de cloud híbrido aquí. 

¿Próximos pasos?

Los hallazgos de la encuesta influirán directamente en el webinar de Altaro que se celebrará el 23 de marzo: Cómo Azure Stack HCI está forzando a hacer cambios en tu Datacenter. Los MVP de Microsoft Andy Syrewicze y Carsten Rachfahl desglosarán la solución de cloud híbrido de Microsoft Azure Stack HCI, lo que significa para los profesionales IT y cómo encajará en la tecnología stack a largo plazo. Regístrate en este webinar sobre Cloud híbrido>

 

Preguntas frecuentes

¿Qué es el cloud híbrido y cómo funciona?

El cloud híbrido es un término utilizado para describir una arquitectura de sistemas de IT que utiliza una combinación de tecnología on-premise y servicios en la nube (públicos o privados). Un modelo de cloud híbrido permite que estos sistemas interactúen entre sí y compartan datos y recursos para apoyar el funcionamiento de una infraestructura de IT.

¿Cuál puede ser un ejemplo de un modelo de cloud híbrido?

Los modelos de cloud híbrido se utilizan en una amplia variedad de situaciones. El más común es el de una empresa que quiere modernizar su infraestructura de IT, pero tiene ciertas cargas de trabajo que deben permanecer en los centros de datos físicos debido a las necesidades de software heredado o requerimientos del sector.

¿Cómo construyo una arquitectura de cloud híbrido?

El primer paso es familiarizarse con los proveedores de plataformas de cloud híbrido, como Microsoft Azure, Amazon Web Services, Google Cloud, etc. Cada uno de estos proveedores tiene sus fortalezas y debilidades, por lo que saber los requerimientos de tu infraestructura IT es esencial para elegir la plataforma adecuada. Una ventaja de las tecnologías en la nube es que no requiere instalaciones de hardware para probarlas, por lo que se recomienda testar diferentes proveedores para saber cuál se adapta mejor a tu negocio.

¿Cuáles son los beneficios de la tecnología Cloud Híbrido?

Los beneficios son:

Flexibilidad y escalabilidad. Dado que no dependen de recursos fijos de hardware, los sistemas que operan en entornos de cloud híbrido pueden aumentar y disminuir la asignación de recursos dependiendo de la carga de trabajo en cada momento.

Gestión de costes. Con la cantidad de diferentes opciones disponibles y precios tanto para la tecnología de nube privada como pública, las empresas pueden elegir qué aplicaciones se ejecutarán en qué plataforma en función de sus necesidades y presupuestos.

Seguridad y vigilancia. Las suites de seguridad nativas y de terceros y el software de monitorización están ampliamente disponibles para la mayoría de las principales plataformas en la nube, lo que las convierten en una opción preferible para las empresas que necesitan accesibilidad a los servicios en la nube para los datos sensibles.

Control y personalización. Con la gran cantidad de opciones de integración disponibles para las plataformas en la nube, IT puede adoptar la forma de cualquier infraestructura específica que requiera la empresa.

Fiabilidad y resiliencia. Gracias a la naturaleza descentralizada de los diferentes servicios en la nube, el tiempo de inactividad es excepcionalmente raro, y la pérdida de datos debido a fallos de hardware es prácticamente inexistente. Recuperar cualquier dato perdido es también un proceso leve en la mayoría de los casos.

¿Para qué se utiliza un enfoque de cloud híbrido?

Cargas de trabajo que cambian con frecuencia para aplicaciones que requieren la escalabilidad de la tecnología en la nube y la seguridad del almacenamiento on-premise o en la nube privada.

Altos niveles de procesamiento de datos: el procesamiento de grandes cantidades de datos suele ocurrir en oleadas. Las plataformas de cloud híbrido permiten asignar recursos externos a un coste menor que otras soluciones.

Migración a la tecnología cloud : Gracias a su flexibilidad, muchas empresas están utilizando un enfoque de cloud híbrido hasta que todas sus cargas de trabajo se pueden transferir completamente a la nube debido a limitaciones financieras o tecnológicas.

Preparación para el futuro: ninguna empresa sabe exactamente lo que va a requerir en el futuro, y un enfoque de cloud híbrido permite ser ágil y reactivo con sus recursos de IT de maneras que antes eran imposibles.

1 de cada 4 empresas sufrió al menos una brecha de seguridad de correo electrónico, según la encuesta de Hornetsecurity

1 de cada 4 empresas sufrió al menos una brecha de seguridad de correo electrónico, según la encuesta de Hornetsecurity

La seguridad del correo electrónico es uno de los principales temas de preocupación para cualquier departamento de informática, y por una buena razón. Las brechas de seguridad a menudo conducen a la pérdida de datos confidenciales, el tiempo de inactividad de la operación y la pérdida de ingresos. Por ello, realizamos una encuesta de seguridad de correo electrónico a más de 420 empresas, y encontramos que el 23% de ellas, o 1 de cada 4, reportó un incidente de seguridad relacionado con el correo electrónico. De estas brechas de seguridad, el 36% fueron causadas por ataques de phishing dirigidos al punto más débil de cualquier sistema de seguridad, los usuarios finales.

La encuesta también examinó cómo las empresas que operan en la plataforma Microsoft 365 utilizan la seguridad del correo electrónico, y si usan o no las herramientas de seguridad de Microsoft 365 o recurren a soluciones de terceros. Es importante tener en cuenta que los resultados revelan el número de infracciones de seguridad que los encuestados conocían y que, a menudo, las posibles brechas de seguridad se notifican meses después, cuando se han perdido por completo o no se han notificado en absoluto.

Reported Email Security Breach

¿Cuál es la causa principal de las brechas de seguridad del correo electrónico?

De las brechas de seguridad que los encuestados conocían, el 36% fueron causadas por ataques de phishing dirigidos específicamente a los usuarios finales. Lo más sorprendente es que el 62% de todas las brechas de seguridad de correo reportadas ocurrieron debido al uso de contraseñas comprometidas por el usuario y ataques de phishing exitosos.

User Compromised PW and Phishing Attacks

Este hecho confirma lo que muchos ya asumían como una certeza: que sus funciones de seguridad de correo electrónico son tan útiles como la formación proporcionada a los usuarios finales para usar dichas funciones de manera correcta y responsable.

Uso de las funcionalidades de seguridad de Microsoft 365

Teniendo en cuenta estos datos, queríamos cuantificar y comprender lo que las empresas están haciendo para reforzar la seguridad de su correo electrónico. Hicimos una serie de preguntas sobre la mayoría de las funcionalidades de seguridad integradas actualmente en Microsoft 365. Más concretamente, preguntamos si las empresas las están utilizando y, en caso negativo, por qué. Esto es lo que encontramos:

  • 1/3 de las empresas no habilitan la autenticación multifactorial para todos los usuarios
  • Más de la mitad (55%) de los que usan MFA no usan acceso condicional
  • El 69% de los encuestados no firma digitalmente los mensajes
  • El 58% de los encuestados no utiliza el cifrado de mensajes al enviar correos electrónicos
Do not enable MFA for users

Estos problemas también se ven agravados por el hecho de que el 57% de nuestros encuestados también mencionan que no aprovechan las directivas de Prevención de Pérdida de Datos de Microsoft 365 y el 23% de estos, apuntan a una falta de conocimiento sobre la implementación de dichas políticas como la principal causa.

Leverage DataLoss Prevention Policies

El 68% de las empresas espera que Microsoft 365 las mantenga a salvo de las ciberamenazas de correo electrónico, pero el 50% utiliza soluciones de terceros

Parece haber una desconexión entre las expectativas que las empresas tienen de la seguridad del correo electrónico de Microsoft 365 y la realidad: mientras que 2 de cada 3 esperan que Microsoft los mantenga a salvo de las amenazas de correo, la mitad de todos los encuestados recurren a soluciones de terceros para complementar la seguridad del correo.

MS Keeping Safe from Email Threats
MS Email Security Features Licensing

Soluciones de terceros más efectivas, un 82% no reporta infracciones

Aquellos encuestados que usan soluciones de terceros, informaron de la tasa más baja de brechas de seguridad por correo electrónico en comparación con las organizaciones que usan paquetes de seguridad ofrecidos por Microsoft 365. Un 82% de todos nuestros encuestados que utilizan soluciones de seguridad de correo electrónico de terceros, no informaron de infracciones.

82 Percent report no Security Breaches

Además, de los que informaron haber pagado extra por Enterprise Mobility & Security E3 o E5 de Microsoft, el 48% también usaron soluciones de terceros. Por tanto, si bien las expectativas de seguridad del correo de Microsoft 365 son altas, la realidad es que la mayoría de las empresas creen que no es suficiente; y los números respaldan esa afirmación.

¿Qué empresas son las más vulnerables a las amenazas de seguridad por correo electrónico?

Para contextualizar, aquí hay algunos datos geográficos sobre nuestros encuestados: la abrumadora mayoría (63.8%) proviene de América del Norte, le sigue Europa con 26.5%. El resto se reparte entre Asia (3,5%), África (2,9%), Australia (1,3%), América Latina (1,3%) y Oriente Medio (0,5%).

El 74% de todas las brechas de seguridad reportadas en esta encuesta fueron por compañías que se encontraban dentro de los dos rangos de tamaño de la compañía. Aquellos con 201-500 empleados y 501-1000 empleados. Esto probablemente se deba a una combinación de factores como el presupuesto y las prioridades de contratación que no reconocen la ciberseguridad como una preocupación importante desde el principio.

Reported Breaches based on Company Size

Una vez que el número de empleados supera los 1.000, la incidencia de una brecha de seguridad por email disminuye al 17%, probablemente debido a las preocupaciones de seguridad anteriores y la capacidad de invertir en protocolos de ciberseguridad más sólidos e infraestructura de TI más avanzada. Lo que ilustra este punto es el hecho de que las empresas con más de 1,001 empleados tienen un 11% más de probabilidades de tener un MFA (Autenticación Multifactor) habilitado para todos los usuarios que aquellas con 201-500 empleados.

Aquí hay otra conclusión interesante: los encuestados de América del Norte informaron un 5% más de brechas de seguridad de correo electrónico que las ocurridas en Europa. Sin embargo, ambas regiones usan Autenticación Multifactor a la misma velocidad: 68%. Esto podría deberse al hecho de que las infracciones estadounidenses tienden a producir pagos mucho más altos, por ello, las organizaciones norteamericanas podrían ser atacadas de manera más agresiva.

¿Cómo se sienten las empresas acerca del almacenamiento de sus datos confidenciales en Exchange Online y Microsoft 365?

MS365 and MS Exchange Security Concerns

La mayoría de los encuestados no informaron de tener ninguna preocupación con el almacenamiento de datos confidenciales, pero resulta que casi 4 de cada 10 empresas no almacenan datos confidenciales utilizando la plataforma Microsoft 365 debido a problemas de seguridad de datos. Ese porcentaje no es insignificante teniendo en cuenta que plataformas como Microsoft 365 son críticas para la mayoría de las operaciones de la compañía.

Hornetsecurity evalúa la puerta trasera de SolarWinds SUNBURST

Hornetsecurity evalúa la puerta trasera de SolarWinds SUNBURST

Resumen ejecutivo

  • FireEye descubrió un ataque global de tipo troyano a la cadena de suministro de la Plataforma Orión de SolarWinds, a causa de una puerta trasera que FireEye llamó SUNBURST.
  • Versiones afectadas: plataforma SolarWinds Orion, versiones 2019.4 HF 5, 2020.2 (sin ningún hotfix instalado), 2020.2 HF 1
  • Versión corregida: Plataforma SolarWinds Orion versión 2020.2.1 HF 2
  • Aunque las versiones troyanas de la Plataforma Orión de SolarWinds se han difundido ampliamente entre organizaciones públicas y privadas de todo el mundo, la información actual indica que la puerta trasera de SUNBURST fue utilizada para el espionaje por un estado nacional y sólo se usó para infiltrarse en un grupo selecto de víctimas. Otros daños colaterales ocurrieron al  instalar las versiones troyanas de la Plataforma Orión de SolarWinds .
  • Para saber si estás afectado (más allá de comprobar las versiones instaladas de la Plataforma Orion de SolarWinds) comprueba los registros DNS consultando avsvmcloud[.]com o.digitalcollege[.]org (¡Incluyendo subdominios!).
  • Hornetsecurity no se ve afectada y no utiliza productos de SolarWinds.
  • Debido a que se trata de un incidente global en curso, comprueba los enlaces a los siguientes recursos para obtener información e imágenes actualizadas.

Resumen

El 13 de diciembre de 2020, FireEye reveló una puerta trasera en las actualizaciones de la Plataforma Orión de SolarWinds. Las organizaciones afectadas deben actualizar la versión corregida de manera inmediata.

La puerta trasera es parte de una operación de espionaje global y se utiliza para acceder a las redes del Gobierno y de empresas privadas de alto perfil.

Hornetsecurity evaluó su situación y no se ve afectada.

Antecedentes

La Plataforma Orion de SolarWinds es el líder del mercado de monitorización de redes, con más de 275.000 clientes en 190 países y proporcionando monitorización de redes a 400 de las empresas de la lista Fortune 500, el gobierno de EE.UU. y otras organizaciones de alto perfil.

El 13 de diciembre de 2020, FireEye reveló que durante el periodo comprendido entre el 01-03-2020 y 01-06-2020, las actualizaciones de la Plataforma Orión de SolarWinds fueron troyanizadas, por ello, lo llamaron la puerta trasera de SUNBURST.3 Previamente el 18-12-2020 FireEye  reveló una brecha de seguridad en su propia organizaciónn,2 para la que más tarde se identificó la actualización de la Plataforma Orión de SolarWinds como el vector de intrusión.

FireEye atribuye esta intrusión a un actor de amenaza aún desconocido que están rastreando como UNC2452. Aunque muchos medios de comunicación informan de esta intrusión atribuida al APT29, creemos que esto es incorrecto ya que el APT29 es un actor de amenaza designado por el propio FireEye pero aún así no lo han atribuido directamente al APT29.

El 14-12-2020  SolarWinds publicó un aviso de seguridad1 en relación a este asunto.

Análisis técnico

La puerta trasera deSolarWinds.Orion.Core.BusinessLayer.dll del software de la plataforma de SolarWinds Orion, espera después de la instalación una cantidad  entre 12 y 14 días – seleccionada al azar – antes de ejecutar su código malicioso.  Intenta establecer una comunicación C2 usando un algoritmo de generación de nombres de dominio (DGA) to <ENCODED VICTIM HOSTNAME>.appsync-api.{eu,us}-{west,east}-{1,2}.avsvmcloud[.]com. El código <ENCODED VICTIM HOSTNAME> de la parte del subdominio contiene el nombre del host codificado de las víctimas. Puede ser decodificado usando una herramienta proporcionada por RedDrip77

Los registros de subdominio correspondientes a los nombres de host de las víctimas a las que se dirigía la intrusión recibieron una respuesta DNS CNAME que los redirigió a uno de los dominios C2. Las víctimas que no eran el objetivo no recibieron un CNAME.6Aunque se trata de un ataque a gran escala a la cadena de suministro, la información actual indica que el propósito de la intrusión es el espionaje llevado a cabo por un estado nacional. Esto significa que mientras (según los archivos de la SEC de SolarWinds 8) alrededor de 18.000 víctimas instalaron las actualizaciones comprometidas, sólo una fracción muy pequeña fue realmente el objetivo de este ataque, el resto son daños colaterales.

En las organizaciones seleccionadas, la puerta trasera se utiliza como puente en la red de la organización, mediante la instalación de la TEARDROP y BEACON (del marco de Cobalt Strike) malware para infiltrarse aún más en la red.

Conclusión y medidas

A diferencia del ataque a la cadena de suministro contra el paquete de contabilidad fiscal ucraniano M.E.Doc, que dio lugar al incidente global de NotPetya en 2017, el objetivo de esta intrusión era el espionaje. Por lo tanto, sólo redes de objetivos seleccionados fueron instruidas a través de la puerta trasera de SUNBURST, del software comprometido de la Plataforma Orion de SolarWinds.

Las organizaciones que hayan instalado una versión de la Plataforma Orión de SolarWinds afectada deben tratar a todos los anfitriones monitoreados por la Plataforma Orión de SolarWinds como comprometidos, identificar todas las cuentas e infraestructuras controladas por los actores de la amenaza dentro de la organización y eliminarlas, y sólo entonces reconstruir la instalación de la Plataforma Orión de SolarWinds. Las organizaciones con requisitos de protección elevados pueden seguir la guía de la Directiva de Emergencia 21-01 del DHS4 (obviamente sin informar al CISA, a menos que la organización sea parte del gobierno de los EE.UU).

Un buen punto de partida para identificar la actividad de los actores de la amenaza es buscar los IoCs proporcionados por FireEye3,5 en los registros DNS. En caso de que los DNS consulten a uno de los <ENCODED VICTIM HOSTNAME>.appsync-api.{eu,us}-{west,east}-{1,2}.avsvmcloud[.]com subdominios encontrados, puedes usar SunBurst DGA Decoder provided by RedDrip77 para averiguar qué nombre de host, ejecutó tu red por puerta trasera SUNBURST. En caso de que encuentres respuestas CNAME a estas consultas DNS, esto significaría que además de ejecutar el código de puerta trasera, los actores de la amenaza están/estaban interesados en el host y elevaron la conexión a una conexión C2 completa. En este último caso, recomendamos contactar inmediatamente con un proveedor de respuesta a incidentes competente.

Aplaudimos a nuestros colegas de FireEye por sus minuciosas investigaciones.

Referencias

Indicadores de compromiso (IoCs)

Para una lista completa de IoCs y firmas de detección, por favor vea las contramedidas publicadas por FireEye: https://github.com/fireeye/sunburst_countermeasures

DNS

  • .avsvmcloud[.]com
  • .appsync-api.eu-west-1[.]avsvmcloud[.]com
  • .appsync-api.us-west-2[.]avsvmcloud[.]com
  • .appsync-api.us-east-1[.]avsvmcloud[.]com
  • .appsync-api.us-east-2[.]avsvmcloud[.]com
  • .digitalcollege[.]org

¡Indicadores conocidos solamente a partir del 16-12-2020! Por favor, para obtener información actualizada comprueba los recursos vinculados.

Aumento de los ciberdelitos en la temporada prenavideña

Aumento de los ciberdelitos en la temporada prenavideña

El nuevo Infopaper da consejos sobre cómo proteger mejor tu negocio

El año está llegando a su fin, y los primeros compradores están pensando en qué regalar a sus seres queridos en Navidad. Las tiendas online y los comercios locales se están preparando para el negocio de alto volumen, prenavideño.

El último fin de semana de noviembre comienza oficialmente la temporada de “Black Friday” y el “Cyber Monday”. Muchas empresas ofrecerán estos días promociones especiales para sus clientes, con el fin de atraer a los cazadores de ofertas. Pero esta temporada no sólo es extremadamente lucrativa para las empresas, los ciberdelincuentes también buscan cobrar un bonus decente de Navidad. Una vez más, este año, los expertos del Security Lab de Hornetsecurity se preparan para un aumento significativo de los ciberataques a las empresas. Con el nuevo documento «Cibercriminales en la temporada prenavideña – 5 trucos para proteger mejor a tu empresa», los expertos en seguridad informática ofrecen consejos útiles para que las navidades no supongan un problema para las empresas.

Cuidado cazadores de gangas: los ciberdelincuentes quieren cobrar

Black Friday, Cyber Monday y la Navidad también son eventos que atraen la atención del público. Despiertan el interés con descuentos y promociones que atraen a los cazadores de gangas. No debe sorprender que los correos electrónicos de phishing en nombre de grandes marcas como Amazon sean particularmente comunes. El año pasado, el Security Lab de Hornetsecurity observó un aumento en los correos electrónicos de phishing en nombre de Amazon entre noviembre y diciembre:

Uso no autorizado de los dominios de Amazon para el envío de correo electrónico

Las empresas son particularmente vulnerables durante la temporada de Navidad

Cabe suponer que las empresas no sólo tendrán que prepararse para un aumento de los ciberataques de phishing por correo electrónico. Después de todo, el repertorio de los cibercriminales incluye muchos más métodos, como los ataques DDoS, en los que los piratas informáticos utilizan una avalancha de solicitudes de servidores para poner de rodillas los sistemas de los proveedores, con la consecuente pérdida de oportunidades de venta.

En el siguiente Infopaper, explicamos los ciberataques que las empresas deben esperar y por qué son cada vez más peligrosos.

Protégete ahora

  • La protección contra los sofisticados ataques de ransomware y phishing la proporciona nuestro servicio Advanced Threat Protection.
  • La protección contra el fallo de tu servidor de correo es proporcionada por nuestro Continuity Service.
Ataques híbridos con leakware y ransomware

Ataques híbridos con leakware y ransomware

Resumen

Desde diciembre de 2019, los operadores de ransomware vienen empleando ataques híbridos de ransomware y leakware con cada vez mayor frecuencia. Estos ataques combinan el clásico ataque de ransomware con un ataque de leakware. En los ataques de ransomware clásicos, los datos de la víctima se cifran, descifrándose únicamente una vez la víctima haya pagado un rescate a los autores. En los ataques de leakware, se roban los datos y se chantajea a la víctima con su publicación para que pague cierto importe. En un ataque híbrido de leakware y ransomware, los datos primero se roban, y después se cifran. A continuación, se exige a la víctima que pague un rescate para descifrarlos. Si la víctima se niega a pagar el rescate, los atacantes la amenazan con publicar los datos robados. En algunos casos, los atacantes establecen contacto con socios o clientes de la víctima, informándoles de la próxima publicación de los datos para aumentar la presión sobre la víctima.

En este artículo describimos cómo funcionan estos ataques híbridos de leakware y ransomware, en qué se diferencian de los ataques de ransomware clásicos, y cómo puede protegerse de ellos.

Detalles

Con el auge de las criptomonedas, el ransomware ha ganado popularidad entre los ciberdelincuentes. Aunque el ransomware ya existía antes de las criptomonedas, éstas han simplificado enormemente la logística del pago de rescates.

Según ID Ransomware, un servicio gratuito para la identificación de ransomware, existen 928 tipos de ransomware distintos1.

El ransomware suele distribuirse e implementarse mediante malware de otro tipo. Un vector de ataque frecuente es el correo electrónico. La cadena de infección típica durante un ataque de ransomware es la siguiente:

Cadena de infección de ataque de ransomware mediante correo electrónico

La motivación de los responsables del ransomware es económica. Su ransomware cifra los datos de la víctima. Los atacantes solo acceden a descifrar los datos si la víctima paga un rescate.

Los rescates exigidos pueden ir de unos centenares de euros por ordenadores individuales, a varios millares para pequeñas empresas o incluso millones para grandes corporaciones y/u organismos públicos. El rescate más elevado jamás pagado del que se tenga noticia fue de 4,5 millones de dólares, aportado por la agencia de viajes estadounidense CWT2.

El ransomware clásico

En un caso clásico de ransomware, las interacciones y el flujo de información siguen este esquema:

Esquema de interacciones en casos de ransomware

Nuevo híbrido de leakware y ransomware

Desde diciembre de 2019, los responsables de la operación de ransomware conocida como Maze comenzaron a combinar el ransomware con un ataque previo conocido como leakware.

En un ataque de leakware se sustraen datos a la víctima para, a continuación, amenazarla con publicarlos si ésta se resiste a pagar un rescate. Por tanto, el leakware es lo contrario del ransomware: en lugar de denegar a la víctima el acceso a sus datos, dicho acceso se concede a todo el mundo si la víctima no paga.

Este nuevo esquema híbrido combina leakware y ransomware. Con este propósito, antes de cifrar los datos de la víctima con ransomware, los responsables los sustraen para, a continuación, amenazar con su publicación si la víctima se niega a pagar el rescate.

Adicionalmente, algunos operadores de ransomware se ponen en contacto con los socios o clientes de la víctima, cuyos datos también suelen encontrarse entre los que se van a publicar. Los responsables del ransomware Clop son famosos por operar así. Esta técnica incrementa la presión sobre las víctimas para que paguen el rescate.

En el nuevo híbrido de leakware y ransomware, las interacciones y el flujo de información siguen este esquema:

Esquema de interacciones de ranshameware

El problema para las víctimas es que, incluso si pagan el rescate, no tienen más garantía de que los datos filtrados vayan a eliminarse que la palabra de unos delincuentes. Los datos sustraídos podrían venderse en el mercado negro, emplearse en futuros ataques e incluso para volver a extorsionar a la misma víctima en un momento posterior.

Ejemplo: el ransomware Clop

Con el ejemplo del ransomware Clop, a continuación describiremos el desarrollo de un ataque híbrido con leakware y ransomware.

El ransomware Clop está controlado por un operador conocido comúnmente como TA505. Hornetsecurity ya ha informado anteriormente sobre sus actividades3. El acceso inicial se obtiene mediante un correo malicioso. TA505 se dedica a la caza mayor, apuntando específicamente a grandes corporaciones con grandes ingresos. Si un destinatario abre el correo y sigue las instrucciones, que suelen implicar descargar un documento malicioso y permitirle que ejecute macros, se convierte en víctima. A continuación, el código de macro contenido en el documento descarga un troyano de administración remota (RAT, por sus siglas en inglés). Este RAT permite a los atacantes obtener acceso remoto al ordenador de la víctima. A continuación, el RAT se emplea para desplazarse lateralmente por la red de la empresa de la víctima y recopilar información adicional. Aparte de esto, suelen emplearse otras herramientas (como las del framework Cobalt Strike) para obtener derechos de administrador de dominio. A continuación se extraen datos valiosos. Por datos de víctimas publicados en el pasado, sabemos que estos datos suelen abarcar el contenido íntegro de los discos compartidos de la empresa infectada. En algún momento, el ransomware Clop se despliega por toda la empresa para cifrar e incapacitar el mayor número de sistemas posible, maximizando así el perjuicio a la empresa.

A continuación, los operadores del ransomware Clop envían a la víctima a un sitio web con la nota de secuestro alojado en un servicio oculto de Tor. La página web de la nota de secuestro incluye detalles acerca del rescate y de cómo pagarlo.

Página del descifrador de Clop

Dependiendo del tamaño de la empresa y de sus beneficios estimados, el rescate exigido puede ascender a millones de euros. Recordemos que TA505 se dedica a la caza mayor, es decir, que se centra solo en grandes corporaciones con elevados ingresos. La página web de la nota de secuestro también contiene un temporizador y una amenaza de doblar el precio si el rescate no se paga puntualmente.

Para demostrar a la víctima que los archivos pueden descifrarse, la página con la nota de secuestro también ofrece un «descifrado de prueba».

Descifrado de prueba de la página del descifrador de Clop

La página de la nota de secuestro también incluye un chat de servicio técnico. Estos chats suelen emplearse para negociar el rescate, los plazos o ampliaciones de los mismos.

Chat de asistencia de la página del descifrador de Clop

Si alguna víctima se niega a pagar o a negociar, los responsables del ransomware empiezan a enviar notificaciones por correo electrónico en masa a sus socios y/o clientes. He aquí un ejemplo de notificación enviada por los responsables del ransomware Clop:

Correo de notificación de Clop

El archivo adjunto list.txt contiene una lista de dominios de Windows y sus recursos compartidos correspondientes de los cuales han extraído datos los responsables del ransomware Clop. Los enlaces del correo de notificación apuntan a la subpágina del sitio de filtraciones de Clop en que se comparten los datos robados.

El sitio web de filtraciones de Clop se llama «CL0P^_- LEAKS». Actualmente cuenta con 13 víctimas. He aquí un ejemplo de vista de datos filtrados:

Sitio de filtraciones de Clop

Lista de sitios de filtraciones

Actualmente, hay 13 operaciones de software diferentes con sitios de filtraciones. La distribución de víctimas entre cada sitio de filtraciones se muestra en el siguiente gráfico:

Distribución de víctimas en sitios de filtraciones de ransomware

Maze

Con 220, el sitio de filtraciones del ransomware Maze es el que con mayor número de víctimas cuenta. Por lo visto, los responsables del ransomware Maze tienen tantas víctimas potenciales que han constituido el denominado «cartel de Maze», con el que ayudan a otras operaciones de ransomware a cambio de una parte de sus beneficios.

Sitio de filtraciones de Maze

Curiosamente, el sitio de filtraciones de Maze está alojado en la web convencional, y no a través de un servicio oculto.

REvil / Sodinokibi

El segundo ransomware más notable con un sitio de filtraciones es REvil. Su sitio, llamado «Happy Blog», contiene datos de 67 víctimas.

Sitio de filtraciones de REvil

Además, en junio de 2020, los responsables del ransomware REvil empezaron a «subastar» los datos sustraídos:

Subasta de REvil

Sin embargo, la página de la subasta no contiene información sobre cómo pujar. Posiblemente no se trate más que de un método con el que obtener relevancia mediática e intimidar a las empresas para que paguen a los atacantes.

DoppelPaymer

Con 59 víctimas, el sitio de filtraciones «Doppel leaks» del ransomware DoppelPaymer está tercero en el ranking.

Sitio de filtraciones de DoppelPaymer

El sitio también es accesible a través de un dominio de la web convencional.

Conti

El sitio de filtraciones del nuevo ransomware Conti, «Conti News», ya cuenta con los datos de 43 víctimas. En base a toda la información disponible, el ransomware Conti parece ser el sucesor del famoso ransomware Ryuk.

Sitio de filtraciones de Conti Sitio de filtraciones de Conti

El sitio también es accesible a través de un dominio de la web convencional.

Después de Maze, Conti es actualmente el ransomware que más rápido incrementa su número de víctimas, ganando en ocasiones hasta 10 nuevas víctimas al día. Aquí es importante recordar que en los sitios de filtraciones solo se publican los datos de víctimas que se nieguen a pagar el rescate.

NetWalker

Los datos de 37 víctimas del ransomware NetWalker se han publicado en su sitio de filtraciones, «NetWalker Blog».

Sitio de filtraciones de NetWalker

Mespinoza / Pysa

El ransomware Mespinoza, también conocido como Pysa, ha titulado su sitio de filtraciones «Pysa’s Partners». Contiene datos de 28 víctimas.

Sitio de filtraciones de Mespinoza

Nephilim

El sitio de filtraciones del ransomware Nephilim, titulado «Corporate Leaks», contiene los datos de 16 víctimas.

Sitio de filtraciones de Nephilim

RagnarLocker

El sitio de filtraciones del ransomware RagnarLocker se llama «RAGNAR LEAKS NEWS». Contiene datos de 14 víctimas.

Sitio de filtraciones de RagnarLocker

SunCrypt

El sitio de filtraciones del ransomware SunCrypt se llama simplemente «News». Sin embargo, ciertos investigadores han sido capaces de ponerse en contacto con los operadores del sitio y han confirmado que está asociado al ransomware SunCrypt. El sitio de filtraciones alberga los datos de 9 víctimas.

Sitio de filtraciones de SunCrypt

Sekhmet

El sitio de filtraciones del ransomware Sekhmet, titulado «Sekhmet Leaks», solo está disponible a través de una dirección de la web convencional. Actualmente contiene datos de 8 víctimas.

Página de filtraciones de Sekhmet

Avaddon

En la primera campaña de Avaddon observada por Hornetsecurity4 no se sustrajeron datos. La campaña distribuía Avaddon a través de la red de bots Phorpiex, y el cifrado de los datos de las víctimas estaba completamente automatizado. Por tanto, la campaña no estaba centrada en víctimas de alto valor para las cuales hubiese valido la pena hacer filtraciones. Sin embargo, desde entonces, Avaddon se ha empleado en diferentes campañas, y su sitio de filtraciones, titulada «Avaddon Info», cuenta actualmente con los datos de 4 víctimas.

Sitio de filtraciones de Avaddon

Darkside

Un sitio de filtraciones muy reciente es «Darkside», del ransomware Darkside. Contiene datos de 2 víctimas.

MedusaLocker / AKO

El ransomware MedusaLocker también tuvo un sitio de filtraciones que llegó a contener datos de 7 víctimas.

Sitio de filtraciones de MedusaLocker

Sin embargo, actualmente el sitio tan solo contiene un mensaje de «próximamente» y no publica contenidos de ninguna víctima. Parece que el sitio se encuentra actualmente en reformas.

Nemty

El ransomware Nemty también solía tener un sitio de filtraciones al que se podía acceder a través de un dominio de la web convencional. Sin embargo, el sitio ya no se encuentra disponible.

ProLock

Hornet ha analizado con anterioridad el ransomware ProLock, que también afirma haber «recopilado […] datos sensibles» y estar dispuesto «a compartirlos si [la víctima] se niega a pagar»5. Sin embargo, por ahora no ha aparecido ningún sitio de filtraciones de ProLock.

Conclusión y soluciones

Los nuevos ataques híbridos con leakware/ransomware hacen las infecciones con malware más peligrosas que nunca para las empresas. Mientras que unas buenas copias de seguridad ayudaban contra los ataques con ransomware clásicos, éstas no ofrecen ninguna protección frente a la revelación de datos privados y/o confidenciales al público. El anuncio general de la filtración de datos a socios y clientes causa perjuicios adicionales y pérdida de reputación a las víctimas, ya que sus socios y clientes, así como sus competidores, obtienen acceso ilimitado a documentos internos, tales como contratos, listas de precios, resultados de investigación y desarrollo, etc.

En general, la única protección posible ante estos ataques híbridos con leakware y ransomware es invertir en una seguridad informática eficaz. En lo que respecta al correo electrónico, Spam and Malware Protection y Advanced Threat Protection de Hornetsecurity protegen frente a ataques híbridos que emplean el correo electrónico como su vector de infección inicial del mismo modo que protegen frente a los ataques con ransomware clásicos: repeliéndolos desde el comienzo mismo de la cadena de ataque, antes de que los atacantes puedan obtener un primer acceso a sus sistemas.

Referencias

Emotet en archivos adjuntos cifrados – Una creciente ciberamenaza

Emotet en archivos adjuntos cifrados – Una creciente ciberamenaza

Los ciberdelincuentes, que están detrás del troyano bancario Emotet, usan diversos trucos para burlar los filtros antivirus y propagar el malware a aún más sistemas. Estos trucos van: desde el secuestro de hilo de correos, a los cambios en Webshells, hasta la actualización del cargador de Emotet, lo que llevó a un gran aumento de las descargas de malware. Ahora Emotet está enviando de nuevo archivos adjuntos cifrados a través de su malspam (malware + spam) para expandir aún más su red de botnets.

Desde septiembre, el Security Lab de Hornetsecurity ha observado un aumento significativo en el malware de Emotet, que nuevamente envía archivos cifrados. La contraseña para descifrar el archivo, se incluye como texto plano en la carta de presentación del correo electrónico. Al cifrar el archivo adjunto, los programas antivirus convencionales no son capaces de detectar y bloquear el malware oculto. Sin embargo, la víctima puede descifrar, abrir y ejecutar el archivo, lo que eventualmente recarga el malware.

Ejemplo de archivo adjunto cifrado
Ejemplo de archivo adjunto cifrado

Pero este método no es nuevo: ya en abril de 2019, los analistas de seguridad descubrieron las primeras oleadas del malspam de Emotet, usando archivos zip cifrados. Desde entonces, tales olas de spam han ido apareciendo de vez en cuando a lo largo del año y duran unos pocos días. El grupo de white hats «Cryptolaemus» llama a esta acción de los actores detrás de Emotet operación: «Zip Lock». El equipo de más de 20 investigadores de seguridad y administradores de sistemas se ha fijado el objetivo de frenar la propagación del «malware más peligroso del mundo». Cada día, el grupo publica todas las actualizaciones de Emotet en su página web y en su cuenta de Twitter. Su objetivo es permitir que, los administradores de sistemas y redes, introduzcan en sus filtros de seguridad los llamados: Indicadores de Compromiso (IOCs), las direcciones IP de los servidores de comando de Emotet, las líneas de asunto y los hashes de archivos infectados por Emotet, para protegerse de posibles infecciones por Emotet.

La actual ola de malspam con archivos cifrados ha estado activa desde al menos el 1 de septiembre y fue dirigida por primera vez al mundo de habla japonesa.

Bsp Email JP Emotet

Finalmente, el Security Lab de Hornetsecurity registró olas de spam en español, inglés y alemán a partir del 14 de septiembre.

Distribución de Malspam Emotet en todo el mundo HSE

Para aumentar aún más las posibilidades de que su víctima abra realmente el correo electrónico malicioso, y active el archivo adjunto una vez llegue a su bandeja de entrada, los ciberdelincuentes también utilizan la técnica de «secuestro de hilo de conversación de correo electrónico». Al hacerlo, se utilizan los hilos de conversación del correo electrónico de la víctima para parecer más «auténticos». Es entonces, cuando los atacantes responden a las conversaciones existentes que su objetivo todavía tiene almacenadas en el buzón.

Una tendencia popular de la ciberdelincuencia

En general, el método de ciberataque  por correo electrónico –  con archivos adjuntos codificados – es bastante popular entre los grupos de ciberdelincuentes. Los analistas de seguridad de Hornetsecurity descubrieron documentos de Office cifrados en las campañas de malware de GandCrab, y el malware Ursnif también se está propagando a través de archivos zip cifrados.

Bsp Email GandCrab

¿Cómo puedo protegerme de esto?

Los archivos cifrados de Emotet, aún no son detectados por los programas antivirus convencionales, como demuestra el servicio de escaneo de malware VirusTotal.

VirusTotal Emotet detección de cero de los adjuntos

La técnica del secuestro de hilos de conversaciones de correo electrónico también contribuye al «éxito» de los ciberdelincuentes, pues es casi imposible que los destinatarios detecten ese tipo de ciberataque, ya que los correos electrónicos maliciosos se envían desde una cuenta legítima pero comprometida.

Sin embargo, filtros más avanzados y mecanismos de seguridad inteligentes son capaces de detectar ambas técnicas de ciberataque y mantenerlas alejadas del buzón del destinatario. Las acciones de los ciberdelincuentes que están detrás de Emotet, dejan claro que es hora de que las empresas den el siguiente paso en temas de ciberseguridad. Después de todo, los ciberataques exitosos continúan impulsando las ambiciones de los hackers y traen más cibercriminales a escena.

Más información:

  • Hornetsecuritys Advanced Threat Protection puede analizar e identificar estos archivos adjuntos encriptados gracias a la función de desencriptación de documentos maliciosos.