Verizon ha publicado la decimoséptima edición del 2024 Data Breach Investigations Report (DBIR), análisis exhaustivo de las principales tendencias, tácticas y consecuencias de los incidentes de ciberseguridad ocurridos a nivel global. Elaborado a partir de más de 30.000 incidentes de seguridad reales (y más de 10.600 brechas confirmadas) en 94 países, este informe proporciona una visión clara sobre el panorama de amenazas y las mejores prácticas para responder a ellas.
Se resumen los puntos más relevantes y las recomendaciones derivadas del estudio.
1. Crecimiento de las brechas de datos
El informe confirma un aumento continuo de los incidentes reportados. Durante el período analizado (del 1 de noviembre de 2022 al 31 de octubre de 2023), se han registrado 30.458 incidentes de seguridad, de los cuales 10.626 han sido confirmados como brechas de datos. Esta cifra supone un récord en la serie histórica del DBIR, destacando, además, la participación de organizaciones de todos los tamaños y sectores..
2. Principales patrones de ataque
El DBIR organiza los incidentes en ocho patrones:
- System Intrusion: Continúa liderando la clasificación de brechas, con un 36% del total. Aquí encontramos ataques sofisticados basados en la combinación de Hacking y Malware, a menudo orientados a la implantación de Ransomware o la exfiltración de datos críticos.
- Social Engineering: En esta categoría se agrupan ataques que comprometen a la “persona” como activo fundamental, con un notable aumento de Pretexting (tipo Business Email Compromise BEC) y Phishing. El factor humano sigue siendo determinante con un 68% de las brechas.
- Basic Web Application Attacks: Aunque sigue siendo un patrón muy relevante, con frecuencia implica el robo de credenciales a través de Web apps vulnerables. En 2024 se ha visto un ligero descenso de su proporción dentro del conjunto total, debido al auge de System Intrusion y los errores humanos.
- Miscellaneous Errors: Ha experimentado un crecimiento considerable, llegando a un 28% de las brechas. Corresponde a brechas por negligencia o equivocaciones en la configuración de sistemas, envío de información sensible a destinatarios incorrectos o exposición accidental de datos en la nube.
- Privilege Misuse: Se centra en la utilización indebida de privilegios internos por parte de empleados o contratistas. Aunque su peso global es menor que el de otros patrones, este tipo de conducta maliciosa interna mantiene una importancia significativa.
- Denial of Service: En incidentes, sigue siendo muy frecuente (59%), centrado en ataques DDoS a gran escala, aunque muchas veces no conlleva una brecha de datos en sí misma, sino afectación de la disponibilidad.
- Lost and Stolen Assets: Activos perdidos o robados, como dispositivos con información sensible (móviles, portátiles o discos duros). Aunque menos numeroso, no deja de ser relevante.
- Everything Else: Casos atípicos o incidentes complejos que no encajan en otros patrones.
3. El auge de Ransomware y Extorsión
Uno de los hallazgos más destacados es la consolidación del Ransomware como un mecanismo persistente de extorsión cibernética. Alrededor del 23% de todas las brechas involucran Ransomware, cifra que se sitúa en el tope histórico de este ataque. Sin embargo, el DBIR subraya el notable crecimiento de las extorsiones sin cifrado, en las que se roban datos y se amenaza con su divulgación. Sumar ambas modalidades (Ransomware y Extorsión) eleva la cifra al 32% del total de brechas analizadas.
Estas campañas se han vuelto más agresivas y sofisticadas. Cl0p, por ejemplo, explotó vulnerabilidades de día cero, como la de MOVEit, para comprometer a miles de organizaciones globalmente. Las demandas económicas promedio de Ransomware oscilan alrededor de 1,34% de los ingresos anuales de la empresa víctima, pero en algunos casos pueden sobrepasar el 8%. Además de la extorsión directa, los afectados deben sumar costos de restauración de sistemas, notificaciones legales y posibles sanciones regulatorias.
4. Factor humano: el eslabón más vulnerable
La implicación de la persona (empleados, contratistas o socios) en los incidentes sigue siendo decisiva en el 68% de las brechas, cuando se excluye la malicia interna pura (Privilege Misuse). Se deben destacar dos tendencias:
- Errores y descuidos: El aumento en el patrón de “Miscellaneous Errors” denota la relevancia de los incidentes en que un empleado o equipo de TI comete un descuido (configuraciones erróneas, correos enviados a destinatarios equivocados o documentos físicos entregados en manos no adecuadas).
- Ingeniería social: El Phishing, BEC y Pretexting representan un vector de ataque particularmente rápido y eficaz. El tiempo medio para que un usuario “caiga” en un email fraudulento es de menos de 60 segundos desde que abre el mensaje, según simulaciones de concienciación reportadas por organizaciones.
5. Explotación de vulnerabilidades y cadena de suministro
Los ataques que involucran la explotación de vulnerabilidades han crecido un 180% respecto al año anterior, impulsados por vulnerabilidades críticas (MOVEit, Log4j, etc.). Además, un 15% de todas las brechas involucran a terceros (partners o software de terceros), evidenciando un aumento notable respecto al 9% del periodo previo. Esto señala la creciente relevancia de las cadenas de suministro y los riesgos asociados a software y servicios externos.
Por otro lado, las organizaciones demoran aproximadamente 55 días en parchear el 50% de las vulnerabilidades catalogadas como críticas por CISA, mientras que el escaneo y explotación maliciosa comienza, de media, en solo 5 días tras la divulgación. Esa brecha de tiempo favorece que ciberdelincuentes se aprovechen de sistemas desactualizados y obliga a adoptar un enfoque de parcheo prioritario.
6. Costes y consecuencias
Además de las pérdidas inmediatas (pagos de rescate, robo de fondos o datos), las organmizaciones afectadas se enfrentan a posibles multas y sanciones regulatorias, daño reputacional y costes de recuperación de sistemas. El DBIR menciona que el coste mediano de un incidente de Ransomware denunciado al FBI IC3 es de alrededor de 46.000 dólares, pero el impacto total puede escalar rápidamente según la envergadura de la brecha y el tamaño de la organización.
7. Recomendaciones claves
El 2024 DBIR subraya la importancia de:
- Parcheo ágil y prioritario para cubrir vulnerabilidades críticas.
- Autenticación multifactor (MFA) y políticas de contraseñas robustas.
- Formación y concienciación del personal para frenar phishing y BEC.
- Revisión de la cadena de suministro y selección de proveedores con seguridad “by design”.
- Segregación de redes, copias de seguridad fiables y planes de respuesta a incidentes probados periódicamente.
Conclusiones
Cada año la ciberseguridad se presenta más compleja. Los atacantes están perfeccionando los mecanismos de Ransomware y extorsión, aprovechando tanto la ingeniería social como vulnerabilidades de software y deficiencias en las cadenas de suministro. Las organizaciones, por su parte, han mejorado la capacidad de detección y obligan a informar más incidentes, ofreciendo una radiografía más precisa de las amenazas. No obstante, la alta implicación del factor humano y la profesionalización del cibercrimen señalan que la vigilancia, la colaboración y la mejora continua de las defensas siguen siendo vitales.
Para las organizaciones de todos los tamaños, las principales claves son la protección integral de activos críticos, la aplicación rigurosa de parches, programas de evaluación y concienciación de los usuarios como Kymatio, verificación de la seguridad de terceros y la creación de planes de gestión de crisis y recuperación de desastres. Al final, la resiliencia de cada organización depende de su capacidad para anticipar riesgos, detectar rápidamente incidentes y responder con eficacia a las nuevas tácticas del cibercrimen.
