Mantente informado sobre nuevos peligros en ciberseguridad con ESET Threat Intelligence

La inteligencia de amenazas puede ahorrar dinero y no tiene por qué ser difícil de entender.  

Incluso las personas que vivían hace miles de años entendían que "el conocimiento es poder", y en medio de los rápidos desarrollos tecnológicos de la era digital, incluyendo tanto las ciberamenazas como la ciberdefensa, esta antigua sabiduría se aplica más que nunca. 

Un ejemplo ilustrativo es la investigación de ESET sobre el recientemente descubierto grupo de APT alineado con China, PlushDaemon, presentado por el Investigador de Malware de ESET, Facundo Muñoz, en la conferencia JSAC 2025. Esta investigación demuestra cómo varios usuarios que buscaban protección en forma de un servicio VPN legítimo de Corea del Sur, por desgracia, intentaron instalar lo que en realidad era un software VPN troyanizado que entregaba spyware.

La protección para endpoints de ESET detuvo el malware, pero para aquellos que también utilizan la inteligencia de amenazas de ESET, hay una herramienta aún más poderosa que está a su disposición: el conocimiento. Conocimiento sobre la nueva amenaza, la URL comprometida pero legítima e indicadores de compromiso (IoC). Con este conocimiento, podrían evitar fácilmente la amenaza y comrpobar sus defensas ante las herramientas documentadas de PlushDaemon.

En mayo de 2024, los investigadores de ESET notaron detecciones de código malicioso en un instalador NSIS para Windows que usuarios de Corea del Sur habían descargado del sitio web de una empresa surcoreana legítima de VPN. Este instalador desplegaba tanto el software legítimo como el implante malicioso que los investigadores de ESET denominaron SlowStepper.

Otro vector de ataque de PlushDaemon es interceptar el tráfico de red, secuestrar los protocolos de actualización, redirigir el tráfico a servidores controlados por atacantes y distribuir su implante SlowStepper.

Sin embargo, SlowStepper es una puerta trasera que intenta establecer comunicación con un servidor C&C para recibir más instrucciones. Una vez establecida la comunicación, SlowStepper puede procesar múltiples comandos, tales como:

• Recopilar información de la máquina comprometida, como el nombre del equipo, la lista de procesos en ejecución, la lista de aplicaciones instaladas, si hay cámaras o micrófonos conectados, etc.
• Ejecutar un módulo Python desde su kit de herramientas; cuyos archivos creados se envían al servidor.
• Borrar un archivo especificado.
• Procesar varios comandos, como crear un informe completo sobre un archivo especificado, el directorio o todos los archivos de un directorio.
• Desinstala SlowStepper eliminando su mecanismo de persistencia y quitando sus archivos.

Al repasar la lista de capacidades de SlowStepper, queda claro que los ataques a la cadena de suministro plantean riesgos significativos para las empresas, incluidas pérdidas financieras debido al tiempo de inactividad del sistema, pérdida de ingresos, costos de reparación y daño a la reputación.

Estos ataques también pueden dar lugar a filtraciones de datos y las consecuencias pueden ser devastadoras. El coste medio de una brecha aumentó a 4.88 millones de dólares frente a los 4.45 millones de 2023, según el Informe sobre el coste de una Brecha de datos 2024 de IBM. De hecho, las filtraciones de terceros, incluidas las de la cadena de suministro, se encuentran entre los 3 principales factores que amplifican los costes de las brechas. 

Además, los ataques a la cadena de suministro no son raros. El Informe de Investigaciones de Violaciones de Datos (DBIR) 2024 de Verizon registró un crecimiento interanual del 68% en los ataques a la cadena de suministro.

Sin embargo, estos ataques son solo una fracción de las amenazas cibernéticas que existen. Según el informe de IBM aquí hay una lista de los vectores de ataque más frecuentes:

• Credenciales robadas o comprometidas: 16%
• Phishing: 15%
• Mala configuración de la nube: 12%
• Vulnerabilidad Zero-Day desconocida: 11%
• Compromiso del correo electrónico empresarial: 10%
• Insider malicioso: 7%

Observando estos ataques cada vez más sofisticados y cómo las empresas están cada vez más preocupadas por su ciberseguridad, no es de extrañar que se proyecte que el mercado global de inteligencia de amenazas crezca de 5.80 mil millones de dólares en 2024 a 24.05 mil millones de dólares para 2032.

El informe de IBM calculó que una solución de inteligencia de amenazas reduce el costo promedio de una brecha de datos en más de 240.000 dólares. 

En la conferencia ESET WORLD 2024, Tope Olufon, Analista Sr. de Forrester, empresa líder en investigación de mercados a nivel mundial, destacó la importancia de la inteligencia de amenazas y afirmó que las organizaciones deben comprender el panorama de amenazas y prepararse para las venideras.

Sin embargo, las organizaciones también deben ser inteligentes a la hora de utilizar la información proporcionada: la inteligencia de amenazas no se trata de contar las muestras detectadas, sino de ponerlas en contexto e identificar a las partes interesadas adecuadas, según Olufon.

Gracias a la tecnología ESET LiveGrid, hay más de 110 millones de endpoints que actúan como sensores para detectar malware. Combinando estos datos con el conocimiento de los galardonados investigadores de ESET, se obtiene una poderosa herramienta que mantiene a los usuarios informados sobre el panorama actual de amenazas, los adversarios, programas maliciosos y sus propiedades, los servidores utilizados para propagarlos e incluso las URL y dominios que los propagan.

Un feed de inteligencia de amenazas es un flujo continuo de datos relacionados con amenazas potenciales o actuales para la seguridad de una organización que se puede integrar fácilmente a las plataformas SIEM y TIP. En lugar de recibir una gran cantidad de datos no categorizados, ESET comparte un feed curado que presenta una categorización de primer nivel y está prefiltrado para que los clientes lo utilicen según sus preferencias. El filtrado lo realizan los investigadores de ESET, que conocen íntimamente los datos internos.

Este tipo de filtrado tiene múltiples ventajas para los usuarios. Los feeds de ESET pueden ser más pequeños en cantidad, pero todos los datos son relevantes y vienen con una tasa muy baja de falsos positivos. También incluyen una cantidad significativa de datos contextuales adicionales.

Los reportes de APT proporcionan información contextual sobre diversos adversarios, las últimas APT, análisis técnicos de las amenazas y resúmenes de actividad del panorama de amenazas. Si una nueva amenaza se propaga rápidamente, ESET envía informes de alerta de actividad. Los usuarios pueden acceder de forma segura tanto a informes legibles por humanos como a Indicadores de Compromiso (IoC) legibles por máquinas.

Si te interesan los artículos de investigación de ESET como el de PlushDaemon, o los Informes de actividad de APT o los informes de amenazas de ESET disponibles públicamente, ten en cuenta que estos son solo la punta del iceberg de lo que puedes ver en los documentos recibidos desde ESET Threat Intelligence.

Ahora ESET ha actualizado su servicio de Inteligencia de Amenazas, que consta de 15 feeds, y ha reestructurado los informes APT de ESET en 3 niveles. Por lo tanto, las empresas pueden elegir lo que más les convenga. Por ejemplo, mientras que una gran corporación puede obtener todos los feeds y el informe APT de nivel más alto, algunas otras empresas pueden optar solo por unos pocos feeds que son esenciales para proteger sus operaciones. 

Los usuarios de los niveles Advanced y Ultimate de ESET Threat Intelligence APT Reports pueden reducir aún más la complejidad con ESET AI Advisor, un chatbot especializado en IA diseñado para proporcionar información sobre APT.

Esta es la lista de feeds:

1. Archivos maliciosos
2. Dominios
3. URLs
4. IP
5. Botnets
   • Botnet – C&C
   • Botnet - Targets
6. APT IoC
7. Infostealers Android
8. Amenazas para Android
9. Crypto-estafas
10. Archivos adjuntos de correo electrónico maliciosos
11. URLs de phishing
12. Ransomware
13. URLs fraudulentas
14. Smishing
15. Estafas por SMS

A medida que el mundo del cibercrimen evoluciona rápidamente, las nuevas amenazas son más sofisticadas y ágiles, por lo que tener acceso a inteligencia sobre el panorama de amenazas se convierte en una necesidad. ESET Threat Intelligence y sus fuentes de datos pueden brindar tranquilidad a las empresas al saber que reciben regularmente la información más reciente sobre peligros específicos.    

Además, ESET trabaja incansablemente para que este servicio sea lo más fácil de usar posible. Con los informes de APT mejorados por IA, feeds de inteligencia curados, filtrado e integración perfecta, las empresas pueden tomar el panorama actual de amenazas de desayuno.