**El phishing supera a las vulnerabilidades explotadas como principal vector de ransomware en 2023**
—
### 1. Introducción
Durante 2023, el panorama del ransomware experimentó un cambio significativo en los vectores de ataque predominantes. Por primera vez, las campañas de phishing y ataques por correo electrónico superaron a las vulnerabilidades explotadas como principal causa raíz de infecciones de ransomware, según informes recientes de inteligencia de amenazas. Este cambio no sólo evidencia la rápida adaptación de los cibercriminales, sino que también pone en cuestión la eficacia de ciertos controles de seguridad tradicionales, como la autenticación multifactor (MFA), frente a las tácticas cada vez más sofisticadas empleadas por los atacantes.
—
### 2. Contexto del Incidente o Vulnerabilidad
Históricamente, la mayoría de los ataques de ransomware aprovechaban directamente vulnerabilidades técnicas en sistemas operativos, aplicaciones o dispositivos de red, explotando fallos de seguridad (CVE) que permitían la ejecución remota de código o la elevación de privilegios. Sin embargo, en 2023, el vector de entrada más común identificado ha sido el correo electrónico, especialmente mediante campañas de phishing dirigidas. Este cambio se ha producido en un contexto de endurecimiento de las políticas de parcheo y la progresiva adopción de tecnologías de protección perimetral, lo que ha obligado a los actores de amenazas a centrarse en el eslabón más débil: el usuario.
—
### 3. Detalles Técnicos
Según análisis forenses y fuentes como el informe anual de Verizon DBIR y la consultora Coveware, más del 60% de los incidentes de ransomware registrados en 2023 tuvieron como punto de partida ataques a través de correo electrónico, superando por primera vez a las vulnerabilidades explotadas (que representaron el 34%). Entre los TTPs (Tácticas, Técnicas y Procedimientos) identificados, destacan:
– **Phishing (MITRE ATT&CK T1566):** Uso de correos electrónicos cuidadosamente elaborados con enlaces o adjuntos maliciosos que despliegan cargas útiles como Emotet, QakBot o Cobalt Strike.
– **Robo de credenciales (T1078):** Captura de credenciales mediante sitios web falsificados, keyloggers o malware adjunto.
– **Bypass de MFA (T1110.002, T1621):** A pesar de la adopción masiva de MFA (presente en el 97% de los incidentes analizados), los atacantes han empleado técnicas como MFA fatigue, SIM swapping, phishing de tokens de autenticación y manipulación de push notifications para eludir este segundo factor.
En cuanto a los CVEs explotados, las familias de ransomware como LockBit y BlackCat han abandonado progresivamente la explotación de vulnerabilidades conocidas (por ejemplo, CVE-2023-34362 en MOVEit Transfer) para centrarse en técnicas de ingeniería social y acceso inicial vía credenciales comprometidas.
Los IoCs (Indicadores de Compromiso) más reportados incluyen:
– Dominios y URLs de phishing recientemente creados.
– Hashes de ejecutables maliciosos (Emotet, Cobalt Strike Beacon).
– Direcciones IP asociadas a infraestructuras C2 (Command & Control) activas.
—
### 4. Impacto y Riesgos
Este cambio de paradigma ha incrementado el riesgo para organizaciones de todos los sectores, especialmente para aquellas con plantillas amplias y dispersas. El impacto se traduce en:
– **Aumento de la superficie de ataque:** Los usuarios son ahora el objetivo principal, facilitando el acceso a redes internas.
– **Incremento de los costes de recuperación:** El coste medio de un incidente de ransomware superó los 1,8 millones de euros en Europa Occidental, según ENISA.
– **Riesgo de incumplimiento normativo:** La exposición de datos personales por ataques de ransomware puede resultar en sanciones bajo GDPR y, próximamente, bajo NIS2.
—
### 5. Medidas de Mitigación y Recomendaciones
Ante este escenario, las medidas técnicas y organizativas recomendadas incluyen:
– **Refuerzo de la concienciación y formación continua:** Simulacros de phishing adaptados a la realidad actual.
– **Implementación de MFA robusto:** Preferiblemente basado en tokens físicos (FIDO2, YubiKey) en lugar de SMS o push notifications.
– **Monitorización avanzada:** Vigilancia de comportamientos anómalos en cuentas privilegiadas y detección temprana de movimientos laterales (MITRE ATT&CK T1021).
– **Política de mínimos privilegios y segmentación de red:** Reducción del impacto en caso de acceso inicial exitoso.
– **Respuesta a incidentes y backups inmutables:** Ensayos regulares de los planes de recuperación ante ransomware.
—
### 6. Opinión de Expertos
Especialistas como Josep Albors, director de investigación y concienciación de ESET España, alertan: “La MFA ya no es una panacea. Los adversarios evolucionan y explotan el factor humano como nunca antes. La educación y la defensa en profundidad son imprescindibles”. Desde el CERT de INCIBE, advierten del repunte de ataques BEC (Business Email Compromise) combinados con campañas de ransomware, y recomiendan una revisión constante de los controles de acceso y de la cadena de confianza en la autenticación.
—
### 7. Implicaciones para Empresas y Usuarios
Para los CISOs y responsables de seguridad, este escenario implica una revisión profunda de su modelo de protección: la seguridad centrada en el perímetro y las soluciones tradicionales ya no son suficientes. Es fundamental apostar por una estrategia Zero Trust, reforzar la supervisión de los accesos remotos y privilegiados, y establecer controles de defensa multicapa que incluyan análisis automatizados de correo, threat intelligence y respuesta orquestada (SOAR).
Los usuarios, por su parte, pasan a ser el primer y último muro de defensa. La formación específica y la alerta ante correos sospechosos o peticiones inusuales se vuelven críticas para reducir el riesgo de infección.
—
### 8. Conclusiones
El predominio del phishing y los ataques por correo electrónico como principal vector de ransomware durante 2023 marca un antes y un después en la gestión de la ciberseguridad empresarial. La alta tasa de bypass de MFA demuestra la necesidad de evolucionar hacia mecanismos de autenticación más robustos, reforzar la formación del usuario y desplegar una defensa en profundidad adaptada a las amenazas actuales. El cumplimiento normativo y la resiliencia operativa dependen, más que nunca, de la capacidad de anticiparse y responder de forma coordinada a este tipo de ataques.
(Fuente: www.darkreading.com)
