El informe “Panorama de Amenazas 2023” publicado por Qualys, Inc., proveedor pionero y líder de soluciones de cumplimiento y seguridad basadas en la nube, revela que el año 2023 se contabilizaron a nivel global cerca de 26.500 vulnerabilidades, lo que significó un aumento del 6% respecto a los datos de 2022, manteniendo la tendencia anual de crecimiento constante.

El estudio, que proporciona información detallada sobre los principales tipos de vulnerabilidades, las amenazas más activas o las principales tácticas de los criminales a lo largo de los últimos meses y ha sido elaborado por la Unidad de Investigación de Amenazas de Qualys, desvela otro dato esencial: solo el 1% de las vulnerabilidades descubiertas supusieron un nivel de riesgo crítico para la seguridad de las organizaciones.

Sobre este pequeño porcentaje de vulnerabilidades de alto riesgo los investigadores han hecho grandes descubrimientos: cerca de la mitad no se hallaban en el catálogo de Vulnerabilidades Conocidas (KEV) de la CISA; un 25% de las mismas fueron explotadas inmediatamente el mismo día de su publicación; y un tercio afectaron a dispositivos de red y aplicaciones web.

“El uso de las vulnerabilidades como arma de ataque crece a un ritmo muy rápido, al mismo tiempo que aumenta la diversidad de actores que ejecutan estas amenazas” ha destacado Sergio Pedroche, country manager de Qualys para España y Portugal. “Esto plantea importantes desafíos para la seguridad de las organizaciones en todo el mundo, por lo que hay que enfatizar en una estrategia integral en su gestión y en la necesidad de un inventario exhaustivo de todas las aplicaciones públicas y servicios remotos que nos garanticen su protección frente a las amenazas de alto riesgo”.

44 días de media en explotarse
El tiempo medio para explotar las vulnerabilidades en 2023 fue, según el informe de Qualys, de 44 días (aproximadamente un mes y medio). Sin embargo, esta media oculta la urgencia de la situación. En numerosos casos, las vulnerabilidades tenían un exploit disponible el mismo día de su publicación y esta acción inmediata representa, a ojos de los expertos, un cambio en el modus operandi de los atacantes, destacando su creciente eficiencia y la ventana cada vez menor para la respuesta de las organizaciones.

Además, los datos muestran que el 75 por ciento de las vulnerabilidades fueron explotadas dentro de los 19 días (aproximadamente tres semanas) posteriores a su publicación. Atender estos detalles del cronograma y asimilar su importancia, ofrece una oportunidad crucial para que las organizaciones prioricen y aborden las vulnerabilidades más críticas. “Nos encontramos ante una llamada de atención para que las organizaciones adopten una postura proactiva hacia la gestión de parches y la inteligencia sobre amenazas” ha destacado Pedroche.

Principal actor de amenazas
En 2023, el panorama se vio sacudido por TA505, también conocido como CL0P Ransomware Gang. Este grupo planeó un ciberataque de alto perfil mediante la explotación de vulnerabilidades de día cero, y en particular explotaron vulnerabilidades en plataformas clave como GoAnywhere MFT, PaperCut, MOVEit y SysAid. El uso sofisticado de diversos tipos de malware para recopilar información y facilitar ataques los marcó como una amenaza importante. La gravedad de sus acciones provocó avisos de la CISA o del FBI, destacando la necesidad de mejorar las medidas de ciberseguridad.

El malware más activo de 2023
En 2023, LockBit y Clop se han destacado en el ámbito del ransomware. LockBit, utilizando su modelo avanzado de ransomware como servicio, se ha dirigido a una gran variedad de organizaciones, incluyendo los sectores de TI y finanzas. En particular, LockBit aprovechó vulnerabilidades como CVE-2023-27350 en PaperCut NG y CVE-2023-0699 en Google Chrome, lo que permitió realizar ataques remotos.

Clop, por su parte, llevó a cabo extensos ataques contra grandes empresas, especialmente en el sector bancario, tecnológico y sanitario. Las actividades de Clop incluyeron la explotación de CVE-2023-27350, CVE-2023-34362, CVE-2023-0669 y CVE-2023-35036.

El informe de Qualys también concluye que el panorama de la ciberseguridad está evolucionando, con la proliferación de herramientas y conocimientos que permiten a ciberdelincuentes menos capacitados explotar vulnerabilidades que antes sólo eran accesibles a atacantes altamente sofisticados. “Es importante que las organizaciones entiendan que se ha ampliado el espectro de atacantes y nos encontramos con ciberdelincuentes avanzados, otros actores con menor experiencia que han entrado en la ecuación, así como con activistas digitales; todo esto marca un cambio significativo en la dinámica de las ciberamenazas”, concluye Pedroche.