**Ocho de cada diez ataques de ransomware en España comienzan con identidades comprometidas**
—
### Introducción
El panorama del ransomware sigue evolucionando, priorizando nuevas tácticas de intrusión y sofisticación en los ataques. El informe anual “State of Ransomware 2024”, publicado por Sophos, arroja luz sobre una tendencia preocupante: el 80% de los ataques de ransomware en España tienen como punto de partida identidades comprometidas. Este dato, extraído de un estudio independiente realizado a responsables de TI y ciberseguridad en 17 países, refleja la creciente dependencia de los actores de amenazas en técnicas de abuso de credenciales y compromisos de identidad. Analizaremos en profundidad los hallazgos del informe, los vectores de ataque predominantes, las implicaciones para el sector y las mejores prácticas de mitigación.
—
### Contexto del Incidente o Vulnerabilidad
El ransomware, lejos de perder protagonismo, se consolida como la amenaza más disruptiva para las organizaciones españolas. Según Sophos, el 2023 ha sido un año marcado por el perfeccionamiento de las técnicas de acceso inicial, siendo la explotación de identidades la vía predilecta. Mientras que en años anteriores las vulnerabilidades de software y el phishing directo ocupaban el foco, los atacantes han redoblado esfuerzos en escalar privilegios a través de credenciales expuestas o robadas.
El informe de Sophos revela que el 79% de los incidentes de ransomware en España durante el último año se originaron en el acceso a cuentas legítimas comprometidas, ya fuese mediante técnicas de credential stuffing, spear phishing o explotación de credenciales filtradas en la dark web. Este dato sitúa a España ligeramente por encima de la media mundial, que se mantiene en el 77%.
—
### Detalles Técnicos
**Vectores de ataque y TTPs (MITRE ATT&CK)**
El método predominante es el abuso de credenciales válidas (T1078 – Valid Accounts), generalmente tras campañas de phishing dirigidas o explotación de bases de datos de credenciales filtradas. Los atacantes emplean técnicas de movimiento lateral (T1021), escalada de privilegios (T1068) y persistencia (T1136, T1078.003) para maximizar el alcance antes de desplegar el payload de ransomware.
**CVE y exploits conocidos**
A pesar del foco en identidades, los actores de ransomware siguen aprovechando vulnerabilidades críticas en servicios expuestos. CVEs como CVE-2023-23397 (Microsoft Outlook), CVE-2023-27350 (PaperCut) y CVE-2023-34362 (MOVEit Transfer) han sido utilizados como vectores complementarios tras el acceso inicial.
**Herramientas y frameworks**
Las herramientas habituales en la fase de post-explotación incluyen Cobalt Strike, Mimikatz y el framework Metasploit para la obtención de credenciales y el despliegue de cargas útiles. Se han observado variantes de ransomware como LockBit, BlackCat y Royal actuando en el mercado español, con métodos de doble extorsión y cifrado selectivo.
**Indicadores de compromiso (IoC)**
– Accesos inusuales desde ubicaciones geográficas atípicas.
– Múltiples intentos fallidos de login seguidos de éxito.
– Creación de cuentas administrativas no autorizadas.
– Uso de herramientas como PsExec y RDP para movimiento lateral.
—
### Impacto y Riesgos
El impacto económico y reputacional del ransomware en España sigue en aumento. Según el informe de Sophos, el coste medio de recuperación tras un incidente se sitúa en 1,65 millones de euros, un 12% más que en 2022. El 56% de las organizaciones afectadas admiten haber pagado el rescate, aunque solo el 13% logra recuperar todos los datos tras el pago.
La exposición a sanciones bajo el RGPD y la inminente entrada en vigor de la directiva NIS2 agravan los riesgos, especialmente para entidades críticas o que gestionan datos personales. La pérdida de disponibilidad de sistemas críticos y la exposición pública de datos sensibles son dos de las consecuencias más dañinas observadas.
—
### Medidas de Mitigación y Recomendaciones
1. **Gestión de identidades y acceso**
– Implementar autenticación multifactor (MFA) en todos los accesos críticos.
– Revisar periódicamente los permisos y deshabilitar cuentas inactivas.
– Monitorizar logs de acceso y establecer alertas sobre comportamientos anómalos.
2. **Higiene de credenciales**
– Forzar el cambio regular de contraseñas y prohibir reutilización.
– Detectar y eliminar credenciales expuestas en repositorios públicos o filtradas.
3. **Defensa en profundidad**
– Segmentar la red y aplicar el principio de mínimo privilegio.
– Desplegar soluciones EDR/XDR para detección y respuesta temprana.
4. **Simulación de ataques y formación**
– Realizar ejercicios de phishing interno y simulaciones de ataque (Red Team).
– Capacitar a usuarios y administradores en identificación de amenazas.
—
### Opinión de Expertos
Rik Ferguson, vicepresidente de Seguridad en Sophos, señala: “El ransomware ya no es solo una cuestión de malware, sino de identidad. Los atacantes buscan el eslabón más débil: las credenciales. La protección debe basarse en la visibilidad y control de accesos, no solo en la defensa perimetral”.
Desde la Asociación Española para el Fomento de la Seguridad de la Información (ISMS Forum), advierten que “la adaptación a NIS2 exigirá a las empresas españolas un salto cualitativo en la gestión de identidades y monitorización continua”.
—
### Implicaciones para Empresas y Usuarios
Para las empresas, especialmente aquellas sujetas a la NIS2 o el RGPD, la protección de identidades se convierte en un pilar esencial de la ciberseguridad. La inversión en tecnologías de IAM (Identity & Access Management), la formación de los empleados y la respuesta ante incidentes serán clave para reducir la superficie de ataque.
Para los usuarios, la concienciación y la adopción de buenas prácticas (MFA, no reutilizar contraseñas, sospechar de correos inusuales) son fundamentales para no convertirse en la puerta de entrada de un ataque.
—
### Conclusiones
El informe de Sophos evidencia un cambio de paradigma: el ransomware en España se sustenta, en ocho de cada diez incidentes, en el abuso de identidades comprometidas. La seguridad basada en credenciales es insuficiente. Las organizaciones deben priorizar la gestión de accesos, la monitorización avanzada y la respuesta rápida para hacer frente a un escenario cada vez más orientado al compromiso de identidad.
(Fuente: www.cybersecuritynews.es)
