Blog de Zscaler

Reciba en su bandeja de entrada las últimas actualizaciones del blog de Zscaler

Suscríbase
Investigación de seguridad

Informe de ThreatLabz: el 87,2 % de las amenazas se transmiten a través de canales cifrados

DEEPEN DESAI, ROHIT HEGDE, HEATHER BATES
diciembre 05, 2024 - 6 Min de lectura

El cifrado es el valor predeterminado para la comunicación en línea y casi todo el tráfico web está protegido por protocolos seguros como TLS/SSL. Sin embargo, a medida que el cifrado se vuelve más omnipresente cada día, también lo hacen las oportunidades para que los ciberdelincuentes exploten canales cifrados. 

El mismo cifrado que protege las actividades legítimas también actúa como conducto para las maliciosas. Los atacantes están utilizando canales cifrados para eludir las defensas tradicionales, ocultando malware y campañas de phishing. cryptominería/cryptojacking y robo de datos dentro del tráfico cifrado.

El informe sobre ataques cifrados de ThreatLabz 2024 de Zscaler examina este panorama de amenazas en evolución, basándose en un análisis exhaustivo de miles de millones de amenazas distribuidas a través de HTTPS y bloqueadas por la nube de Zscaler. El informe destaca las tendencias más recientes, las principales categorías de amenazas, los objetivos más comunes de los ataques cifrados y otros conocimientos sobre cómo los atacantes están utilizando el tráfico cifrado como arma.
 

Cinco conclusiones clave sobre los ataques cifrados

El equipo de investigación de ThreatLabz analizó 32,1 mil millones de ataques cifrados bloqueados por la nube Zscaler entre octubre de 2023 y septiembre de 2024 para identificar y comprender los patrones de amenazas más recientes. El siguiente subconjunto de hallazgos destaca algunas de las tendencias y objetivos más destacados. 

  1. Crecimiento constante de los ataques cifrados: la nube Zscaler bloqueó un volumen sin precedentes de ataques integrados en tráfico TLS/SSL durante el período de análisis. Las amenazas cifradas representaron el 87,2 % de todos los ataques bloqueados, lo que representa un aumento interanual del 10,3 % en los ataques cifrados y refleja la creciente dependencia del cifrado por parte de los ciberdelincuentes para ocultar sus actividades maliciosas.
     
  2. El malware domina el panorama: el malware sigue siendo la amenaza cifrada más frecuente y representa el 86,5 % de los ataques bloqueados. Esta tendencia resalta la adaptación de las tácticas de malware para prosperar en canales cifrados, utilizando el cifrado para enmascarar cargas útiles y evadir las medidas tradicionales de seguridad y detección.

    distribución de ataques cifrados
    Figura 1: Principales categorías de amenazas observadas
     
  3. Aumento de las amenazas de criptominería/crytpjacking, secuencias de comandos entre sitios y phishing: la criptominería/el cryptojacking y los scripts entre sitios (XSS) se encuentran entre las amenazas cifradas de más rápido crecimiento, con aumentos interanuales del 122,9 % y 110,2 %, respectivamente, mientras que el phishing experimentó un notable aumento del 34,1 %. Es posible que estos picos se hayan visto impulsados por el uso creciente de tecnologías de inteligencia artificial generativa, que facilitan la creación de scripts avanzados de criptominería, la automatización de scripts XSS maliciosos y la ejecución de campañas de phishing muy convincentes. 
     
  4. La manufactura encabeza la lista de los sectores más afectados: los sectores de manufactura, tecnología y servicios fueron los más atacados, y la manufactura sufrió 13,5 mil millones de intentos de ataques cifrados entre octubre de 2023 y septiembre de 2024. 
     
  5. Estados Unidos e India siguen siendo los principales objetivos: con 11 mil millones (EE. UU.) y 5,4 mil millones (India) de ataques cifrados durante el período de análisis de ThreatLabz, Estados Unidos e India mantuvieron sus posiciones como los países más atacados, seguidos por Francia, el Reino Unido y Australia. 

    principales ataques cifrados por país
    Figura 2: Un mapa de los países que experimentan más ataques cifrados

     

Evolución de las tendencias de ataques cifrados 

ThreatLabz descubrió muchas tendencias importantes en evolución en los ataques cifrados, desde atacantes que aprovechan los canales de cifrado para desviar datos confidenciales hasta métodos de adversario en el medio (AiTM) que utilizan herramientas avanzadas y cifrado TLS/SSL para crear campañas de phishing casi indetectables: el informe ofrece ejemplos de cada uno de ellos.

Una tendencia notable explorada en detalle por ThreatLabz es el creciente abuso de los servicios en la nube por parte de grupos de amenazas persistentes avanzadas (APT). Al mezclarse con el tráfico legítimo de servicios en la nube, los grupos APT pueden aprovechar el uso predeterminado de cifrado TLS/SSL habilitado para ayudarles a evadir los controles de seguridad de la red. ThreatLabz profundiza en esta tendencia y proporciona un análisis detallado que incluye: 

  • Principales grupos APT que abusan de los servicios en la nube
  • Los 10 principales servicios en la nube que sufren abusos
  • Servicios principales que se utilizan de forma abusiva para la entrega de cargas útiles
  • Las tácticas más comunes utilizadas en el abuso de los servicios en la nube 
     

Cómo Zscaler detiene las amenazas cifradas

Zscaler Zero Trust Exchange ofrece una solución potente para detener las amenazas cifradas, comenzando por eliminar los puntos ciegos a través de sus capacidades de inspección TLS/SSL y defensas impulsadas por IA. Así es como Zscaler aborda las amenazas cifradas en cada etapa de un ataque.

Minimizar la superficie de ataque 

Las conexiones cifradas no controladas, como las que se realizan a través de VPN o cargas de trabajo expuestas, pueden ampliar la superficie de ataque y permitir que los atacantes se oculten a plena vista. Zscaler elimina este riesgo y la superficie de ataque al evitar que las aplicaciones y los servicios sean visibles en Internet. Este enfoque evita que las amenazas cifradas lleguen a aplicaciones y sistemas esenciales, proporcionando una protección proactiva que no depende del acceso compartido a la red.

Evite la vulneración inicial

Zscaler Internet Access™ (ZIA) realiza una inspección TLS/SSL completa para verificar cada conexión y detener amenazas ocultas sin sacrificar el rendimiento. Las capacidades de inspección de ZIA aprovechan el análisis impulsado por IA y la detección en línea para identificar y bloquear rápidamente amenazas sofisticadas dentro del tráfico cifrado. Este enfoque elimina la necesidad de contar con dispositivos físicos tradicionales que consumen abundantes recursos, lo que permite a las organizaciones gestionar el crecimiento del tráfico cifrado con facilidad y sin interrupciones.

Elimine el movimiento lateral

Los atacantes a menudo intentan moverse lateralmente dentro de las redes una vez que logran acceder a ellas. Zscaler evita esto con segmentación zero trust y políticas conscientes del contexto impulsadas por IA entregadas a través de Zscaler Private Access™ (ZPA). ZPA aplica controles de acceso granulares, limitando a los usuarios a aplicaciones específicas según la identidad, el contexto y la política. Esto reemplaza la segmentación de red compleja basada en reglas con un control de acceso optimizado y basado en identidad. Además, Zscaler utiliza tecnología de engaño, colocando señuelos para detectar y frustrar intentos de movimiento lateral dentro del tráfico cifrado.

Bloquee devoluciones de llamadas de comando y control 

El malware a menudo depende de canales cifrados para comunicarse con servidores C2, lo que permite a los atacantes ejecutar comandos, descargar malware adicional o exfiltrar datos confidenciales. ZIA inspecciona el tráfico cifrado saliente (hacia el norte) y entrante (hacia el sur) para interrumpir las comunicaciones C2. Las herramientas de prevención de pérdida de datos impulsadas por IA de Zscaler detectan y bloquean el tráfico malicioso, evitando que se filtren datos confidenciales y que las devoluciones de llamadas C2 cifradas comprometan la red.

Caso práctico: Descubra cómo Wipro bloqueó 8,2 millones de amenazas cifradas en un trimestre con Zscaler 

Al reemplazar los cortafuegos y VPN tradicionales con Zscaler, Wipro fortaleció sus defensas con seguridad con inspección TLS/SSL en línea de todo el tráfico de Internet y SaaS para detectar y bloquear amenazas cifradas. Lea su historia aquí.
 

Por qué es importante la inspección TLS/SSL integral

La base de la defensa de Zscaler contra amenazas cifradas es su capacidad de inspección TLS/SSL integral, habilitada por una arquitectura escalable basada en proxy. A diferencia de las soluciones tradicionales basadas en hardware que obligan a las organizaciones a hacer concesiones entre seguridad y velocidad, el enfoque nativo de la nube de Zscaler permite a las organizaciones inspeccionar completamente el tráfico a escala con su exclusivo motor de análisis único y acción múltiple, una característica única que procesa el tráfico una vez para aplicar múltiples controles de seguridad simultáneamente. Esto ayuda a las organizaciones a:

  • Inspeccionar el 100 % del tráfico cifrado: a diferencia de las soluciones que inspeccionan sólo una fracción del tráfico cifrado debido a limitaciones de hardware, la arquitectura nativa de la nube de Zscaler garantiza que se inspeccione cada paquete sin excepción. 
  • Controles de seguridad avanzados en capas: los controles de seguridad en línea impulsados por IA detectan y bloquean las amenazas integradas en el tráfico cifrado.
  • Mantener un alto rendimiento: la arquitectura de Zscaler elimina los embotellamientos típicamente asociados con los dispositivos de hardware. 
     

Motor de múltiples acciones de análisis único de Zscaler
 

Manténgase a la vanguardia de las amenazas cifradas

Los hallazgos del Informe sobre ataques cifrados 2024 de ThreatLabz dejan claro que los ciberdelincuentes están evolucionando constantemente con la ayuda del cifrado y las tecnologías de inteligencia artificial para evadir la detección y maximizar su impacto.

Profundice en las últimas investigaciones y obtenga más información sobre cómo mantenerse a la vanguardia de las amenazas cifradas. El informe completo ofrece:

  • Análisis en profundidad: conclusiones detalladas y casos prácticos sobre cómo los atacantes se benefician del cifrado. 
  • Predicciones para 2025: perspectivas de expertos sobre hacia dónde se dirige el panorama de amenazas cifradas.
  • Mejores prácticas viables: una lista de verificación práctica para mejorar sus defensas contra ataques cifrados.

Proteja su organización de amenazas cifradas. Obtenga su copia del informe hoy.

form submtited
Gracias por leer

¿Este post ha sido útil?

Reciba en su bandeja de entrada las últimas actualizaciones del blog de Zscaler

Al enviar el formulario, acepta nuestra política de privacidad.