Cuando muchas organizaciones piensan en las ciberamenazas, lo primero que se les viene a la mente es el malware. El malware que llega a una empresa desde fuera puede ocasionar serios daños: a principios de 2019, un malware que llegó a los servidores de un banco maltés llevó a la pérdida de 13 millones de euros; y el ransomware, la modalidad de malware que cifra los archivos de sus víctimas para pedir un rescate, consiguió sembrar el caos entre empresas de todo el mundo el año pasado.
Pero las ciberamenazas también pueden provenir de dentro de una organización; los llamados insiders, o amenazas internas, causan gran cantidad de problemas en ciberseguridad corporativa. El coste medio de un incidente insider es de más de 10 millones de euros. Y lejos de ser un tema aislado, estos incidentes han aumentado un 47% en el último año. En estos casos, se trata de un empleado que—intencionadamente o sin querer—pone en peligro la ciberseguridad de un negocio. Sin embargo, hay otro elemento interno, a simple vista confiable, pero que puede convertirse en un arma de doble filo.
Las aplicaciones legítimas en manos de los hackers
El uso ilegítimo de las aplicaciones para fines maliciosos es una de las tendencias cibercriminales más prevalentes en la actualidad. Estos ataques sin fichero aumentaron un 94% en 2018, y son tres veces más frecuentes que el ransomware. Estos ataques aprovechan aplicaciones ya existentes en los sistemas operativos, como Microsoft Office, WMI o Adobe, para robar datos y causar otros daños al sistema de la víctima.
Aunque varía la naturaleza de estos ataques, están diseñados específicamente para no dejar rastro en el disco duro. En cambio, se ejecutan desde la memoria del equipo (RAM). La falta de archivos maliciosos o potencialmente peligrosos en el disco duro del equipo hace que sea imposible que los sistemas de protección tradicionales detecten la amenaza.
Hay una característica común en todos los incidentes de este tipo: son muy difíciles de detectar. Esto se debe al hecho de que estos ataques no utilizan ningún código, con lo cual, el software antivirus tradicional no los puede identificar. Es más, el uso de aplicaciones y procesos legítimos hace que sea prácticamente imposible detectar un comportamiento anormal.
Además de estas similitudes, los ataques sin fichero a menudo comparten vectores de entrada. Entre los más comunes son aplicaciones de acceso remoto, herramientas administrativas y componentes internos del sistema operativo.
Amenazas avanzadas exigen una tecnología de seguridad avanzada
Siendo los ataques sin fichero una amenaza tan difícil de identificar, ¿cómo podemos pararlos? Una de las medidas pasa por prescindir de las herramientas más populares para perpetrar estos ataques, como PowerShell, para así evitar los vectores de entrada a los cibercriminales. También es importante saber qué se está ejecutando en los ordenadores de tu empresa en todo momento. Panda Adaptive Defense 360 monitoriza toda la actividad del sistema informático para poder bloquear cualquier proceso sospechoso.
Los ataques sin fichero son un peligro muy presente para las empresas, y los cibercriminales tienen muchas maneras de aprovechar las aplicaciones legítimas en tu sistema. Descubre más sobre esta modalidad de cibercrimen en nuestro ebook, Peligro oculto a simple vista: Toma el control de tus aplicaciones.