Al examinar los activos de Internet pertenecientes a las empresas de la lista FTSE 30, la empresa de seguridad identificó 1.967 nombres de dominio, 5.422 sitios web en vivo, 8.427 hosts, 777.049 páginas web, 3.609 certificados, 76.324 formularios, 2.841 sitios de WordPress y Drupal, 114.504 direcciones IP, 45 servidores de correo, 7, 790 aplicaciones alojadas en nube en Amazon y Azure, 26 instancias de Citrix Netscaler potencialmente vulnerables, ocho instancias de Palo Alto GlobalProtect potencialmente vulnerables, nueve instancias de Pulse Connect potencialmente vulnerables, 25 instancias de Fortinet potencialmente vulnerables y 1.464 instancias de servicios de acceso remoto.
En promedio, cada empresa tenía 324 certificados vencidos y 25 certificados que utilizaban el hashing SHA-1, que está obsoleto y bloqueado; 743 posibles sitios de prueba expuestos a la Internet que podrían plantear un riesgo para los datos; 385 formas inseguras, de las cuales 28 se utilizaban para la autenticación; 46 marcos web con vulnerabilidades conocidas; 80 instancias de PHP 5.x que llegaron al final de su vida útil hace más de un año; y 664 versiones de servidores web con vulnerabilidades conocidas.
«Con los límites entre lo que está dentro del cortafuegos y lo que está fuera, cada vez menos perceptibles, la superficie de ataque de una organización —todo lo que necesita preocuparse por defender— ahora comienza dentro de la red corporativa y se extiende hasta el exterior de Internet, incluso hasta las casas de los empleados», dijo RiskIQ en su informe. «Para los equipos de seguridad, la profundidad y amplitud de lo que necesitan defender puede parecer desalentador.
Sin embargo, pensar en Internet desde la perspectiva de un atacante —una colección de activos digitales que son descubiertos por los hackers mientras investigan sus próximas campañas— puede poner en perspectiva el alcance masivo de la superficie de ataque de su organización».
Las vulnerabilidades de los activos de la web pueden explotarse de diferentes maneras: desde el robo de credenciales y la irrupción en bases de datos hasta la toma completa de servidores y su utilización para acceder a otras partes no públicas de la infraestructura.
Un tipo de ataque común en los últimos años ha sido la inyección de código JavaScript maligno en los sitios web, que se ha utilizado para hacer publicidad maliciosa, utilizando los navegadores de los visitantes para minar la criptografía y robar los datos de las tarjetas de pago de los formularios de compra, una práctica conocida como «web skimming» o ataques Magecart, después de que uno de los grupos más prolíficos se dedicara a esta actividad.
Durante marzo, cuando las compras en línea aumentaron significativamente debido a la pandemia de COVID-19, RiskIQ observó un crecimiento del 30% en los desnatadores de web Magecart.
En lo que va de año, la compañía ha detectado 2.552 ataques de Magecart, o 425 por mes. También este año, RiskIQ encontró código JavaScript encriptado en 963 sitios web.
La superficie de ataque indirecto
Además de proteger sus activos digitales en Internet, las organizaciones también deben gestionar las amenazas a sus clientes y empleados, especialmente porque muchos de sus trabajadores ahora hacen su trabajo desde dispositivos personales que se ejecutan dentro de redes domésticas inseguras.
Esto los convierte en blancos más fáciles para el phishing y otras amenazas en línea, ya que están fuera de los firewalls corporativos y de las puertas de enlace de seguridad de la Web.
Durante el primer trimestre, RiskIQ identificó 21.496 dominios de phishing que se hicieron pasar por 478 marcas únicas, un tercio de las cuales pertenecían al sector de servicios financieros.
Además, la empresa encontró 720.188 casos de infracción de dominios en 170 marcas únicas.
Las aplicaciones móviles maliciosas que roban datos también suponen un riesgo para los empleados, que a menudo se dirigen a ellos mediante mensajes de phishing en plataformas de medios sociales o mediante anuncios deshonestos que a menudo se muestran en otras aplicaciones móviles.
Según RiskIQ, en el transcurso del año pasado, se encontraron alrededor de 170.796 aplicaciones móviles en listas negras en 120 tiendas de aplicaciones para móviles y en la Internet abierta. Más de 25.000 de ellas fueron encontradas en la Google Play Store.
«En el mundo actual de compromiso digital, los usuarios se sientan fuera del perímetro junto con un número cada vez mayor de activos digitales corporativos expuestos y la mayoría de los actores maliciosos», dijo la compañía en su informe.
«Como tal, las empresas necesitan adoptar estrategias de seguridad que abarquen este cambio. […] Los atacantes tienen ahora muchos más puntos de acceso para investigar o explotar, con poca o ninguna supervisión de seguridad».
NotiVeraz