Seguridad 2020

Estado de la
Ciberseguridad
Informe 2020
Entel Corp, el partner tecnológico

de las grandes empresas
Introducción
2020, un año que quedará en la memoria de

toda la humanidad, naturalmente marcado
por una hegemónica crisis sanitaria que ha
afectado a todas las actividades
empresariales y productivas del mundo,
suponiendo un quiebre en la economía
mundial que nos ha obligado a tomar medidas
necesarias para poder sobrellevarla.
La pandemia impuso un desafío para todas las

industrias del mundo: mantenerse en el
mercado. Esto conllevó a una aceleración en
los planes de digitalización que en múltiples
casos trajo consigo brechas de seguridad que
no fueron abordadas y que han sido
fuertemente explotadas por los ciberactores
maliciosos alrededor del mundo.
La dependencia de las comunicaciones

digitales se multiplicó. Internet se convirtió
casi instantáneamente en el canal para la
interacción humana efectiva y la principal
forma para solventar las interacciones
sociales tanto en lo laboral como lo personal,
limitándonos rápidamente a las videollamadas,
las publicaciones en redes sociales y los
programas de chat.
01
Introducción
¿Qué significó esta

aceleración digital en
términos de conectividad?
No es novedad el hecho de que la
conectividad a internet haya
aumentado de forma exponencial
durante el año 2020. Como
proveedores de Internet, pudimos uso internet 2020
registrar incrementos de uso, que
llegaron hasta el +81% en algunos
casos respecto a 2019. Esta alza se
debió a la implementación del
81%+
teletrabajo en muchas empresas.
Por otra parte, los medios de
comunicación también fueron pieza
clave en el contexto mediático.
El uso del teléfono móvil y de
aplicaciones de mensajería
aumentaron hasta en un 600%.
Actualmente, los cibernautas se
encuentran visualizando
uso del teléfono móvil plataformas de contenidos y
600%+
navegando por Internet gran parte
del día debido al aumento de
información generada desde la
llegada de la pandemia al país.
entel.cl/corporaciones @entelcorp Entel Corporaciones

02
Introducción
La problemática del incremento de casos, los ataques cibernéticos

esta dependencia intrínseca de la podrían causar fallas de
sociedad, radica en que es una infraestructura generalizadas,
situación conocida por los que desconecten a comunidades
cibercriminales, quienes aún hasta o ciudades enteras, poniendo
la fecha, han logrado explotar obstáculos a los proveedores de
activamente vulnerabilidades de atención médica, los sistemas
todo tipo. públicos y las redes o hasta
A medida que la pandemia de provocar la muerte de alguien que
coronavirus continuó perturbando depende de estos sistemas
los sistemas mundiales de salud, digitales. Pese a que esto suena
económicos, políticos y sociales, como algo lejano y un tanto
hubo otra amenaza poco visible ficticio, lamentamos informar que
que fue en aumento en el espacio son hechos conocidos, que
digital: el riesgo de que ataques ocurrieron durante 2020, y que
cibernéticos se aprovecharan de continuarán en 2021.
nuestra mayor dependencia por
las herramientas digitales y de la
incertidumbre provocada por la
crisis.
En este contexto sin precedentes,
un ataque cibernético que priva a
las organizaciones o familias del
acceso a sus dispositivos, datos o
Internet podría ser devastador e
incluso mortal. En el peor de los

03
Introducción
¿Cómo podemos minimizar

nuestras brechas de seguridad
si es que se nos obliga a
implementar tecnologías en
tiempo récord?
Respecto a la conciencia digital respecto a los costos que
de políticas maduras con planes involucra para el negocio la
de trabajo para la actualización exposición de sus datos e
de sistemas y plataformas, infraestructura por falta de una
hemos evidenciado el mayor de actualización oportuna.
los desastres informáticos de
los últimos dos años.
Lamentablemente, las
estadísticas han demostrado un
escenario favorable para la
facilidad de explotación de los
sistemas en Chile. Menos del 38%
de las empresas tienen políticas
maduras para el parcheado de su
infraestructura.
En líneas generales, la
Es natural que la dirección de las predominante falta de conciencia y
organizaciones privilegien la poca visibilidad que tienen las
operación por sobre la seguridad, organizaciones respecto a sus
junto con esto no existe ninguna brechas de seguridad (que
empresa que haya nacido involucran muchas veces hasta
pensando en que su negocio desaparecer del mercado) es
debe estar orientado a ser el más sustentada por un factor económico
seguro. No obstante, la madurez más que de capacidades de
de sus operaciones siempre implementación. Es por ello que
estará ligada a infraestructura cobra real importancia que las
digital, es por ello que debemos empresas entiendan el por qué.
dar visibilidad a las gerencias

04
Introducción
Temario
Las actualizaciones de software vulnerabilidades que se publican en

son variadas. Hay algunas Internet y que es aprovechada por
actualizaciones de sistemas ciberdelincuentes.
operativos y de programas
individuales. Estas actualizaciones Para poder entender de mejor
requieren muchas revisiones para forma este escenario, es
el equipo. Por ejemplo, agregar o necesario contextualizar el
eliminar funciones, actualizar panorama de vulnerabilidades
controladores, corregir errores y lo que nos dejó 2020:
más relevante, reparar
06 Panorama de vulnerabilidades
2020
13 Principales ataques dirigidos
37 APT en el cono
hispanoparlante
44 Proyecciones 2021

05
Panorama de vulnerabilidades
Panorama de
vulnerabilidades
Panorama de El 2020 fue un año marcado por

vulnerabilidades hitos importantes. Hubo un
incremento sustancial en la
explotación de sistemas a nivel
mundial. Estos han sido la base
para entender qué nos depara el
2021 en materia de ciberseguridad
y qué tipos de ciberataques podrán
afectar el cono sudamericano y
principalmente a Chile.

06
Hitos 2020
De acuerdo con lo que hemos evidenciado durante 2020, podemos
destacar los siguientes acontecimientos base:
14 Enero 2020 Microsoft pone fin al soporte para las versiones de sistemas operativos
Windows 7 y Windows Server 2008.
17 Febrero 2020 Se evidencia campaña “Fox-Kitten” cuyo objetivo era la explotación de

vulnerabilidades de VPN.
Marzo 2020 Llega el teletrabajo a Chile, forzado por la pandemia.
30 Marzo 2020 Fuerte explotación de vulnerabilidades de plataforma de

videollamadas: Zoom.
Abril 2020 Incremento de ataques de ransomware dirigidos a hospitales y

entidades educacionales.
31 Mayo 2020 Anonymuous inicia campañas de hacktivismo y ataques a entidades

gubernamentales y de seguridad de Estados Unidos, motivadas por la
muerte de George Floyd.
Junio 2020 Se evidencian campañas de explotación de vulnerabilidades de exim.

• Actualmente, a nivel mundial existen alrededor de 271.500
activos vulnerables asociados al CVE-2019-10149
• Se debe hacer hincapié en que es una vulnerabilidad parcheada
hace más de 1 año
16 Julio 2020 Twitter sufre el mayor hackeo de su historia.
Agosto 2020 Incremento de ataques tipo DDoS dirigidos a entidades financieras,

de turismo y comercio electrónico
12 Septiembre 2020 Un ciberataque provoca la muerte de un paciente en una clínica en

Alemania.
28 Septiembre 2020 Filtración código Windows XP.
9 Diciembre 2020 FireEye comunica haber sido víctima de un acceso no autorizado a

un conjunto de sus herramientas.
13 Diciembre 2020 SolarWinds reconoce infección de malware en cadena de suministro de

su plataforma.

07
Cantidad de CVE
registradas en 2020
Si bien el recuento de
vulnerabilidades referenciado por
año no ha variado mucho
respecto a los últimos 3 periodos, peak 2020
46%
es importante destacar que
durante 2020 Microsoft tuvo su
peak en cuanto a
vulnerabilidades parcheadas, vulnerabilidades
registrando un alza de más del
46% respecto a 2019.
parcheadas
Vulnerabilidades de
Microsoft 2020
Total de vulnerabilidades de
Microsoft parcheadas en 2020
Patch
Crítico
Alto
Medio
188
1040
16
1247
vulnerabilidades
Tuesday Bajo 3 +46% respecto al 2019

08
Cronograma de
Vulnerabilidades
2020
24 Diciembre 2019 Citrix NetScaler CVE-2019-19781 CVSS: 9.8
14 Enero 2020 Blue Gate CVE-2020-0609 CVSS: 9.8
11 Febrero 2020 Exchange Control Panel CVE-2020-0688 CVSS: 8
06 Marzo 2020 Zoho Manage Engine CVE-2020-10189 CVSS: 9.8
12 Marzo 2020 SMB Ghost CVE-2020-0796 CVSS: 10.0
Es una vulnerabilidad que afecta al protocolo de comunicación de red
Server Message Block versión 3 (SMBv3) cuya explotación podría
desencadenar la ejecución de código de forma remota. A la fecha aún
existen más de 600 activos a nivel nacional que no han sido
parcheados.
12 Marzo 2020 GDI+ CVE-2020-0881 CVSS: 8.8

20 Mayo 2020 VMware cloud director CVE-2020-3956 CVSS: 8.8
17 Junio 2020 Ripple20 (19 vulnerabilidades en biblioteca TCP/IP) CVSS:10.0
01 Julio 2020 F5 TMUI CVE-2020-5902 CVSS: 9.8
14 Julio 2020 SIGred CVE-2020-1350 CVSS: 10.0
29 Julio 2020 BootHole GRUB2 CVE-2020-10713 CVSS: 8.2
11 Agosto 2020 ZeroLogon CVE-2020-1472 CVSS: 10.0
Es una vulnerabilidad crítica de elevación de privilegios en el Netlogon
Remote Protocol (MS-NRPC), un mes posterior a su divulgación se
evidenciaron exploits que permitían su explotación lo cual puso en alerta a
todas las organizaciones que a esa fecha aún no habían efectuado su
proceso de parcheado.
Zerologon puede ser uno de los errores más peligrosos con los que se
haya enfrentado Microsoft. Su explotación, permitiría a los atacantes
tomar fácilmente el control de los servidores de Windows. Es una falla de
elevación de privilegios que se encuentra en Netlogon, un proceso de
Microsoft que autentica a los usuarios frente a los controladores de
dominio.
Durante fines de septiembre se logró identificar a ciberactores de gran
renombre explotando dicha vulnerabilidad alrededor del mundo y también
en nuestro país.
Entre ellos destacan:
• APT10
• Energetic Bear

09
11 Agosto 2020 ZeroLogon CVE-2020-1472 CVSS: 10.0

• Generic Chinese-sponsored threat actor
• MuddyWater
• TA505
• Trickbot Group
Siendo TA505 uno de los ciberactores presentes con campañas a nivel

nacional.
16 Octubre 2020 Bad Neighbor CVE-2020-16898 CVSS: 8.8

21 Octubre 2020 Oracle WebLogic Server CVE-2020-14750/ CVSS: 9.8
CVE-2020-14882
21 Octubre 2020 Oracle Solaris CVE-2020-14871 CVSS:10.0
30 Octubre 2020 0-day Kernel Windows CVE-2020-17087 CVSS: 7.8
16 Noviembre 2020 CSM Cisco CVE-2020-27130 CVSS: 9.1
23 Noviembre 2020 VMware CVE-2020-4006 CVSS: 9.1
Panorama de vulnerabilidades Panorama de vulnerabilidades

SMBGhost ZeroLogon
CVE-2020-1472
CVSSv3: 10.0
11/agos/2020
128.798
Activos vulnerables
8.292
Continente americano
619 22.9 25.9 28.9 01.10 04.10 07.10 10.10 13.10
Vulnerabilidad activamente explotada por

16.10 19.10 22.10
A nivel nacional grupos APT desde septiembre a noviembre 2020

10
Cronograma de
Vulnerabilidades
2020
Blue Zoho Manage Ripple20
Gate Engine GDI+
19 Vulnerabilidades
CVE-2020-0609 CVE-2020-10189 CVE-2020-0881 en biblioteca TCP/IP
CVSSv3: 9.8 CVSSv3: 9.8 CVSSv3: 8.8 CVSSv3: 10.0
14.01.20 11.02.20 12.03.20 20.05.20
24.12.19
06.03.20 12.03.20 17.06.20
Citrix Exchange SMBGhost VMware

NetScaler Control Cloud
Panel CVE-2020-0796
CVSSv3: 10.0
Director
CVE-2019-19781
CVSSv3: 9.8 CVE-2020-0688 CVE-2020-3956
CVSSv3: 8.8 CVSSv3: 8.8

11
Oracle
WebLogic
Server
SIGred ZeroLogon VMware
CVE-2020-14750
CVE-2020-1350 CVE-2020-1472 CVE-2020-14882 VE-2020-4006
CVSSv3: 10.0 CVSSv3: 10.0 CVSSv3: 9.8 CVSSv3: 9.1
01.07.20 29.07.20 16.10.20 16.11.20
14.07.21 11.08.20 21.10.20 23.11.20
F5 TMUI BootHole Bad Oracle Cisco

GRUB2 Neighbor Solaris Security
CVE-2020-5902 Manager
CVSSv3: 9.8 CVE-2020-16898
CVE-2020-10713 CVE-2020-14871
CVSSv3: 8.2 CVSSv3: 8.8 CVSSv3:10.0 CVE-2020-27130
CVSSv3: 9.1

12
Principales Ataques
Principales ataques
dirigidos
El año 2020 estuvo marcado por líneas generales, conllevó a

abismantes cambios en los incrementar las brechas de
escenarios que conforman el seguridad de las organizaciones.
panorama de Ciberinteligencia.
Bajo este nuevo escenario,
Por su parte, la situación de la podemos destacar cuatro
amenaza, logró ver la oportunidad principales ciberataques que se
de explotar el proceso acelerado llevaron la mayor parte de la
de transformación digital, que en atención durante el año pasado.

13
Principales Ataques
› 1. Ataques DDoS
en el 2020
Se evidenció un alza significativa de

ataques relacionados a DDoS
respecto al año 2019,
principalmente orientados a
servicios privados y empresas
financieras. Destacó la diversidad
de variantes de nuevas botnet,
como asimismo su capacidad de
tráfico, alcanzando en algunos
casos, ataques de tráficos mayores
a 1 Tbit/s.
Ataques evidenciados en 2020

respecto a 2019
ataques
2019
2020
Q1 Q2 Q3 Q4
periodo

14
Principales Ataques
Denegación de Desde mediados de agosto 2020,

se visualizaron correos
servicios con electrónicos dirigidos a empresas
extorsión para con una carta de extorsión,
exigiendo el pago y amenazando
asegurar un pago con ataques DDoS selectivos si sus
demandas no se cumplían.
Ransom Distributed Estas solicitudes de extorsión
Denial-of-Service presumían provenir de actores de
amenazas tales como "Fancy Bear",
(RDDoS) "Armada Collective" y "Lazarus
Group".
Las cartas se enviaban por correo
electrónico y, por lo general,
contenían datos específicos de la
víctima, como números de sistema
autónomo (ASN) o direcciones IP de
servidores o servicios a los que se
dirigirían si no se cumplían sus
demandas.
Este hecho fue registrado como
una campaña global con amenazas
reportadas por organizaciones en
finanzas, turismo y comercio
electrónico en APAC, EMEA,
Norteamérica y Sudamérica. Sin
embargo, cabe señalar que no es
algo nuevo, puesto que hay
evidencia de campañas similares
registradas desde el año 2016.

15
Principales Ataques
› 2. Ransomware
¿Alguna vez ha pensado

en el impacto que supone
la pérdida de su
información personal u
organizacional?
¿Ha dimensionado el tiempo que década, tanto para los usuarios
debería invertir en recuperar dicha como para las grandes
información o el costo que corporaciones.
involucra la pérdida de Debido a que se desenvuelve en un
oportunidades de ingresos entorno focalizado en la
mientras intenta volver a un estado motivación financiera del
de operación tolerable? atacante, y a que su propagación
Finalizado 2020, hemos regularmente es a través de
consolidado nuevas estadísticas campañas masivas que no
sobre ransomware que son involucran mayor consumo de
concluyentes respecto al recursos para los
crecimiento vertiginoso que ciberdelincuentes que las
supone y seguirá proyectando, sin soportan.
embargo, no todo está perdido. A medida que el ransomware
Ransomware es un software continúe siendo exitoso, las
malicioso que cifra su información ganancias criminales continuarán
digital, exigiendo un rescate elevándose y más personas
cuantioso por su recuperación. Es querrán participar en este tipo de
considerado uno de los ataques actividades delictivas.
cibernéticos más simples y, al
mismo tiempo, el más efectivo del
mundo. Ha sido catalogado como el
terror tecnológico de la última

16
Principales Ataques
Por su parte, para las víctimas, el favoreciendo a los atacantes

impacto de verse envuelto en este debido a que naturalmente gran
tipo de amenazas involucra un parte de las víctimas prefieren
elevado costo derivado de la pagar por el rescate, antes de
pérdida de su operación e impacto seguir soportando pérdidas de
reputacional. El escenario actual productividad o costes de
se ve mermado debido a la falta de recuperación.
visión respecto a riesgos de Según estadísticas de empresas
ciberseguridad y la poca dedicadas a la recuperación
conciencia digital de las digital cifrada por ransomware, el
organizaciones lo cual, costo total de un ataque se puede
lamentablemente, está dividir en dos:
El costo de recuperación El costo total del tiempo

de inactividad
Estos gastos cubren revisiones
forenses y asistencia en la En promedio se estima en 19 días.
reconstitución de servidores y Los costos de tiempo de
estaciones de trabajo. Si se inactividad suelen ser de 6 a 13
paga un rescate, entonces eso veces la cantidad de rescate real y
también es un gasto de se miden en pérdida de
recuperación. productividad (oportunidades de
ingresos perdidos).

17
Principales Ataques
Actualmente, el pago promedio de

rescate empresarial aumentó
+300% respecto al cuarto
Pago rescate
trimestre de 2019. Los aumentó
distribuidores de ransomware se
dirigieron cada vez más a las
grandes empresas y lograron +300%
respecto al cuarto
forzar los pagos de rescate para la
recuperación segura de datos, trimestre de 2019
alcanzando cifras por encima de
los US$ 250.000 durante fines de
2020.
El término ransomware, ya no es de una nueva táctica que está

algo nuevo para las siendo utilizada para comprometer
organizaciones. Día a día se la confidencialidad de la
difunden nuevas variantes de este información secuestrada.
malware a nivel global,
amenazando con el secuestro de Desde sus inicios en 2012, los
nuestra información. Pese a ello, ataques por ransomware se han
es importante destacar que el año caracterizado por comprometer la
pasado, fue afectado por un integridad y disponibilidad de la
agresivo incremento de ataques y información al cifrar sus datos con
nuevas variantes, marcados por algún algoritmo bastante robusto
un contexto en donde los como para que no pueda
ciberdelincuentes se descifrarla, exigiendo un rescate
aprovecharon de la crisis cuantioso por su recuperación.
económica y laboral causada por
el brote de COVID-19. Lo novedoso
es que estas campañas
continuaron innovando,
evidenciando la implementación

18
Principales Ataques
¿En qué ha cambiado el

modus operandi de las
campañas de ransomware
en 2020?
Las nuevas campañas de filtraciones, por lo que
ransomware evidenciadas en herramientas de descifrado no
2020 tienen una nueva forma de serían tan efectivas si lo que
comprometer nuestra queremos es resguardar nuestros
información y así asegurar el datos de ser vistos por terceros.
pago. Previo al cifrado de sus Más del 60% de los casos de
datos, los ciberdelincuentes ransomware utilizan la
exfiltran todos sus archivos hacia exfiltración de datos como
servidores de almacenamiento, a táctica.
fin de tener un medio de La exfiltración de información
extorsión; comprometiendo así la como táctica de ransomware,
confidencialidad de sus activos. comenzó a fines de 2019 con unas
Hoy en día, estas variantes pocas variantes innovadoras, sin
amenazan con la divulgación de embargo, a fines del 2020
los datos exfiltrados de sus pudimos evidenciar que más del
víctimas como parte estándar de 60% de los ataques registrados
todos sus ataques, contando en incluyen esta nueva amenaza de
muchos casos con sitios web liberar los datos cifrados en
particulares para dichas portales públicos para asegurar
los pagos.

19
Principales Ataques
¿Cómo afecta el
ransomware a la Triada de
la información?
Anteriormente, cuando una víctima de ransomware roba y cifra los
de ransomware tenía copias de datos, aún las empresas con
seguridad adecuadas, políticas de seguridad maduras y
simplemente se restauraban y respaldos perfectamente
seguían con su rutina de negocio; restaurables se ven obligadas a
no había ninguna razón para interactuar con el actor de
involucrarse con el actor de la amenazas para determinar qué
amenaza. Ahora, cuando un grupo datos se tomaron.
Confidencialidad Amenaza de filtración de datos hacia

internet para asegurar el pago del
rescate.
Integridad Modificación y alteración

de la información, por lo que ahora es
inaccesible.
Disponibilidad Datos cifrados, no se

puede acceder.

20
Principales Ataques
La amenaza en 2020
A nivel global, los principales Es importante destacar que

vectores de ataque explotados credenciales RDP para una
para poder distribuir las distintas dirección IP empresarial se
variantes de ransomware son pueden comprar por tan solo US$
vulnerabilidades del protocolo 20 en mercados negros. En
RDP y correos de phishing. Los combinación con kits de
puntos de acceso del Protocolo ransomware baratos, los costos
de escritorio remoto (RDP) sin para llevar a cabo ataques en
configuraciones seguras máquinas con RDP abierto son
continúan siendo el vector de demasiado lucrativos
ataque más común. económicamente.
Principales vectores de ataque
55% Vulnerabilidades RDP

Divulgación de información
7% Software Vulnerables
Una vulnerabilidad es un fallo
cuando el servidor RDP de en un programa o sistema
Windows revela informático. Pero no
incorrectamente el cualquiera, sino un fallo de
contenido de su memoria. seguridad.
32% Email Phishing

Técnicas que persiguen el
6% Otros
engaño a una víctima
ganándose su confianza
haciéndose pasar por una
persona, empresa o servicio
de confianza.

21
Principales Ataques
Industrias afectadas por

ransomware 2020
Las pequeñas y medianas empresas de como resultado del brote de COVID-19. El

servicios profesionales, como firmas de subconjunto de organizaciones públicas más
abogados, proveedores de servicios seleccionadas fueron los organismos
administrados y otras firmas, junto a educacionales, obligados a pagar por rescates
organismos relacionados con servicios de para mantener el flujo de clases y aprendizaje
salud, retail e instituciones financieras, fueron remoto. El cambio apresurado a esta nueva
el subconjunto más grande de la industria modalidad on-line, causó que muchas
objetivo de ransomware en 2020. Las escuelas se volvieran vulnerables a los
organizaciones del sector público también ataques.
aumentaron su prevalencia, principalmente
14% Servicios comerciales

y profesionales
13,3% Retail
12,7% Instituciones Financieras
11,3% Educación
10,5% Servicios de Salud
9,1% Inmobiliaria
8,2% Tecnología y
telecomunicaciones
7,6% Organizaciónes
Gubernamentales
4,3% Medios de comunicación
y entretención
3,1% Automotriz
2,6% Transporte

22
Principales Ataques
¿Qué sistemas operativos

son los más afectados?
Aunque muchos son escépticos respecto a las

vulnerabilidades de sistemas operativos como
MacOS o sistemas basados en Linux, es
importante destacar que las variantes de Sistema Windows
ransomware están hechas para ser efectivas en
cualquier tipo de sistema operativo. Durante el fue el más afectado
primer semestre de 2020, se evidenció un
aumento de ransomware dirigido a sistemas iOS
y MacOS, aumentando en ambos casos más de
un 1% respecto a 2019, lo cual, en líneas
generales se mantuvo durante el segundo
semestre.
Windows MacOs Linux
82% 7% 6%
Android iOS
3% 2%

23
Principales Ataques
Variantes de ransomware
más connotadas en 2020
Los pagos de ransomware Sodinokibi suelen

1. Sodinokibi ser más bajos que el promedio del mercado
ransomware: de ransomware. Afecta a las pequeñas y
grandes empresas. Destaca debido a que los
montos de rescate se ajustan al tamaño de la
organización y a la cantidad de archivos
cifrados. En relación con otros tipos de
ransomware, tiene una alta tasa de éxito de
recuperación después de realizar un pago de
rescate. La herramienta de descifrado es
relativamente sencilla de usar.
Egregor parece ser el heredero natural de

2. Egregor Maze, que finalizó públicamente sus
operaciones durante el tercer trimestre de
ransomware: 2020. En los últimos meses, los operadores
de Egregor se han convertido en uno de los
grupos maliciosos de ransomware más
prolíferos, con múltiples víctimas informadas
por varios medios de comunicación desde
septiembre de 2020, principalmente grandes
empresas financieras. Trabajan con la nueva
táctica de ransomware, extorsionando a sus
víctimas con la filtración de su información si
no efectúan el pago del rescate. Es
distribuido a través de kits de explotación o
correos de phishing.

24
Principales Ataques
3. Netwalker Se dirige tanto a pequeñas como a grandes

empresas, ajustando los montos de los rescates
ransomware: según sea el tamaño de la organización y la
capacidad percibida de pago. Este grupo
exfiltra datos, lo que conduce a un mayor riesgo
para las organizaciones. En su versión inicial, el
ransomware se llamaba Mailto pero cambió su
nombre a NetWalker a finales de 2019. Funciona
como un RaaS (Ransomware-as-a-Service) de
acceso cerrado y exclusivo, donde quienes
solicitan su compra deben registrarse y pasar
por un proceso de verificación después del cual
se les otorga acceso a un portal web donde
pueden crear versiones personalizadas del
malware. Ganó renombre durante 2020, ya que
fue una de las primeras variantes que tuvo
como objetivo centros de salud a nivel mundial.
4. Ryuk Los pagos de Ryuk ransomware suelen ser

mucho más altos que el promedio del mercado
ransomware: de ransomware. Esto se debe a la naturaleza
altamente selectiva de los ataques. Ryuk afecta
a organizaciones de tamaño medio-grande que
tienen una mayor capacidad de pago en relación
con pequeñas empresas e individuos,
generalmente se basa en asociaciones con
sofisticadas integraciones de troyanos de spear
phishing y banca, como Trickbot / EMOTET. Su
principal vector de entrada es a través de
correos de phishing y explotación de protocolo
RDP. En relación con otros tipos de
ransomware, tiene una baja tasa de éxito de
recuperación de datos después de realizar un
pago de rescate y su herramienta de descifrado
requiere mucha mano de obra y es propensa a
fallas.

25
Principales Ataques
5. Conti El malware Conti hizo sus primeras apariciones

en diciembre de 2019 pero no fue hasta
ransomware: mediados del 2020 que su participación fue
más notoria y desde ese instante alertó a las
empresas de seguridad por su gran parecido y
probable relación con los ataques del
ransomware Ryuk. Al igual que su predecesor,
los pagos de Conti ransomware suelen ser
mucho más altos que el promedio del mercado
de ransomware, afecta a organizaciones de
tamaño medio-grande que tienen una mayor
capacidad de pago en relación con pequeñas
empresas e individuos. Generalmente se basa
en asociaciones con sofisticadas integraciones
de troyanos de spear phishing y banca, como
Trickbot / EMOTET. Sus principales vectores de
entrada son a través de correos de phishing y
explotación de protocolo RDP y de otras
vulnerabilidades.
Los pagos de ransomware Dharma están en el

6. Dharma promedio de pago del mercado de ransomware.
ransomware: Los incidentes de ransomware Dharma suelen
durar mucho más que otros ataques debido a la
naturaleza complicada de la herramienta de
descifrado que proporcionan los atacantes. A
pesar de la complejidad logística de recibir
claves y ejecutar la herramienta de descifrado,
tiene una tasa de éxito de recuperación
relativamente alta después de realizar un pago
de rescate. La mayoría de los ataques se
remontan al acceso del Protocolo de escritorio
remoto (RDP) como el vector de ataque. Esto se
debe a la prevalencia de puertos RDP mal
asegurados y a la facilidad con la que los
distribuidores de ransomware pueden utilizar
fuerza bruta o comprar credenciales en sitios
de mercado negro. Las empresas que permiten
a los empleados o contratistas acceder a sus
redes a través del acceso remoto sin tomar las
protecciones adecuadas corren un grave riesgo
de ser atacadas por Dharma Ransomware.

26
Principales Ataques
Es relativamente nuevo y sus pagos son más

7. Phobos bajos que el promedio del mercado de
ransomware: ransomware. Esto se debe al hecho de que
ataca a las empresas más pequeñas y a las
personas que tienen menos capacidad de pago
en comparación con las empresas más grandes.
Los incidentes de ransomware Phobos suelen
durar mucho más que otros ataques debido a la
naturaleza complicada de la herramienta de
descifrado que proporcionan los atacantes. Su
tasa de recuperación de datos es de
aproximadamente un 85%. Sin embargo, han
sido reportado casos en que no se ha entregado
ninguna herramienta de descifrado después del
pago. El proceso de descifrado es el mismo que
el ransomware Dharma.
8. Snake Usa un alto nivel de ofuscación y está escrito en

el lenguaje de programación Golang. El malware
ransomware: elimina procesos, incluidos los relacionados con
los sistemas SCADA e ICS, máquinas virtuales y
(infraestructura crítica) varias herramientas de administración remota y
de red. Los incidentes de ransomware Snake
suelen durar mucho más que otros ataques
debido a la naturaleza complicada de la
herramienta de descifrado que proporcionan los
atacantes. Destaca por su comportamiento
agresivo y complejo orientado a Sistemas de
Control Industrial (ICS), que son aquellos que
facilitan la automatización y la operación segura
de los procesos industriales. Pueden verse
como la columna vertebral de la infraestructura
crítica, ya que se utilizan en plantas de energía,
controles de sistemas de presas y fábricas que
dependen de altos niveles de automatización de
máquinas.

27
Principales Ataques
¿Qué tan factible es

protegerse de este tipo
de ataque?
Otras variantes 31,9%
18,4% Nephilim 2,0%
Snatch 2,0%
31,9%
Dopple Paymer 4,0%
Phobos 4,3%
13,6%
Dharma 4,7%
Ryuk 5,7%
2,0% Netwalker 9,4%

9,4%
2,0% Egregor 13,6%
4,0%
5,7%
4,3% Snake 18,4%
4,7%
9,4%
Los ciberdelincuentes que están detrás de este tipo de amenazas junto con la
este tipo de campañas maliciosas, por lo concienciación de sus colaboradores, quienes
general no tienen intenciones disruptivas, solo siguen siendo el eslabón más débil y
buscan obtener ingresos económicos de principales responsables de la entrada de
forma rápida y con altas probabilidades de ciberataques.
éxito, es por esto que, en líneas generales, no Existen muchas estrategias que pueden
se concentran en objetivos que tengan una resultar efectivas, sin embargo, se ha
buena infraestructura de seguridad, sino más comprobado que el conjunto de éstas debe
bien en organizaciones inmaduras o con basarse en procedimientos y uso de la
vulnerabilidades conocidas que puedan ser tecnología de forma preventiva en lugar de
explotadas con facilidad. Entonces, ¿cómo se reactiva. Esto supone una alianza entre el
convierte una empresa en un objetivo departamento tecnológico y el resto de la
costoso? ¿requerirá una revisión masivamente organización logrando identificar todas las
costosa para la seguridad de TI? La respuesta brechas de seguridad y hacer que estos
es no. ciberdelincuentes no quebranten la
El reto de las organizaciones está en contar estabilidad de su organización.
con tecnologías adecuadas que prevengan

28
Principales Ataques
¿Qué medidas de prevención

podemos tomar?
A. Asegure cualquier servicio Requerir credenciales únicas e
intransferibles para cualquier servicio de
remoto para reducir el riesgo en acceso remoto.
un 55% Si no es posible cerrar el puerto, limite las
direcciones IP de origen que pueden
Durante 2020, el 55% de los ataques de conectarse mediante RDP en la lista
ransomware se originaron por explotación de blanca, para que solo las máquinas de
vulnerabilidades del protocolo de escritorio confianza puedan conectarse.
remoto (RDP). El protocolo RDP está incluido
en todos los sistemas Windows, es nativo de Implementar disposiciones de bloqueo de
Microsoft y permite conectarse remotamente a contraseña para evitar intentos de fuerza
un equipo a través de su IP o nombre de red, bruta.
desde cualquier lugar de la red. Un
ciberatacante podría buscar vulnerabilidades Bloquear bidireccionalmente el puerto
en este protocolo a través de configuraciones TCP 3389 utilizando un firewall o hacerlo
poco robustas o vulnerabilidades de sistemas accesible sólo a través de una VPN
operativos obsoletos o sin parchar. Una vez privada.
dentro de una organización, los atacantes
probablemente recopilarían más credenciales Habilitar la autenticación de nivel de red
para escalar sus privilegios. (NLA). Cuando se habilita esta opción,
Las recomendaciones para reducir estos los usuarios deben autenticarse en la
riesgos son ajustes de configuración red antes de conectarse a tu equipo.
disponibles en todos los servicios RDP, las Permitir conexiones solo desde equipos
que no requieren de mayor consumo de que ejecutan Escritorio remoto con NLA
recursos, haciendo actualizaciones y es un método de autenticación más
capacitando a los usuarios sobre cómo seguro que puede ayudar a proteger el
conectarse: equipo de usuarios y software
malintencionados.1 (mapa página 35)
Deshabilitar o eliminar servicios remotos
siempre que sea posible. La desactivación
de servicios no utilizados e innecesarios
ayuda a reducir su exposición a las
vulnerabilidades de seguridad, y es una
buena práctica de seguridad.
No permitir el acceso remoto directamente

desde internet. En cambio, imponga el uso
de puertas de enlace de acceso remoto
junto con una VPN que requiera
autenticación de múltiples factores.

29
Principales Ataques

podemos tomar?
B. Implemente la autenticación Requerir a los usuarios finales que
multifactor en todas las inicien sesión con autenticación
cuentas administrativas para multifactor (MFA) es una buena
política. Ésta, debe estar
reducir aún más el riesgo
complementada con la
implementación de privilegios
mínimos para garantizar que los
usuarios de una red no tengan acceso
administrativo a piezas críticas de su
infraestructura tecnológica.
La autenticación multifactor por lo
general es una opción gratuita
presente en la mayoría de los servicios
de software y hardware. Hacer uso de
este recurso solo en cuentas
administrativas de sistema, limita las
ineficiencias percibidas de
implementarlo en cada usuario, ya que
incluso si se obtienen estas
credenciales administrativas, una
aplicación de autenticación sólida o un
MFA basado en claves físicas evitará
que los atacantes utilicen con éxito
estas credenciales para acceder a
controladores de dominio o sistemas
de respaldo.
Aunque la autenticación multifactor no
puede evitar que se haga clic o ejecute
correos electrónicos
malintencionados, evita que un intento
de phishing exitoso se convierta en un
incidente de ransomware sistémico a
través de un privilegio escalado.

30
Principales Ataques

podemos tomar?
Forzar la rotación regular de
C. Prevención y mitigación del
contraseñas para que las
riesgo de correo electrónico credenciales cambien para los
usuarios del perímetro.
Debemos tener presente que los
correos electrónicos son uno de Utilizar herramientas de
los medios más explotados por capacitación sobre conciencia
ciberdelincuentes para efectuar la de seguridad para ayudar a los
entrega de distribución de empleados a identificar
malware, ya sea a través de técnicas de ingeniería social y
archivos adjuntos o de vínculos a correos electrónicos de
dominios maliciosos o phishing con enlaces
comprometidos, aprovechándose maliciosos.
del factor humano puesto que su
propagación depende de las Utilizar políticas restrictivas
acciones de una persona y no de como el bloqueo de correos
un sistema. Para ello se electrónicos externos y archivos
recomienda: adjuntos solo a aquellos que
sean necesarios para las
operaciones comerciales,
considerando bloquear el
acceso si la actividad no se
puede monitorear bien o si
presenta un riesgo significativo.

31
Principales Ataques
› 3.Explotación
vulnerabilidades
RDP
Este año también fue
marcado por el abismante
crecimiento que tuvieron
los intentos de ataque al
protocolo de escritorio
remoto (RDP), en especial
durante el tercer trimestre
de 2020 lo cual se atribuye
principalmente con el
teletrabajo.
¿Por qué resulta de interés para

los atacantes el RDP?
Los principales vectores de ataque el acceso completo al sistema

para la explotación de RDP se para así continuar con
concentran en ataques de fuerza escalamientos verticales u
bruta. Es importante destacar que horizontales dentro de la red.
credenciales RDP para una
dirección IP empresarial se pueden
comprar por tan solo US$ 20 en
mercados negros. En combinación
con kits de ransomware baratos,
los costos para llevar a cabo
ataques en máquinas con RDP
abierto son demasiado lucrativos
económicamente, ya que permiten

32
Principales Ataques
Además de los ataques de fuerza manera constante como una

bruta, la explotación de forma de comprometer los
vulnerabilidades es otra de las sistemas conectados a Internet
amenazas relacionadas con las de potenciales víctimas.
conexiones remotas y, en BlueKeep no sólo representa un
particular, al protocolo de riesgo por el hecho de ser una
escritorio remoto. Desde su vulnerabilidad de ejecución de
aparición en mayo de 2019, código remoto, sino también
BlueKeep (CVE-2019-0708) ha debido a su comportamiento de
mantenido una actividad “gusano”, es decir, un atacante
importante, ya que aún se registran podría incorporar BlueKeep
activos comprometidos, por lo que dentro de una pieza de malware y
nuevamente destacamos la falta de lograr un ataque con una
madurez en los procesos de propagación automatizada similar
parcheado en las organizaciones. a la que tuvo WannaCry en el año
El exploit relacionado con esta 2017. No obstante esta
vulnerabilidad, permite la vulnerabilidad solo puede ser
ejecución de código de forma explotada en sistemas operativos
remota, por lo que busca ser ya obsoletos de Microsoft.
aprovechada por atacantes de
Versiones afectadas por BlueKeep

CVE-2019 -0708
score:9.8 Critical
Windows XP
Windows Server 2003
Windows Vista
Windows
Windows 7
Windows Server 2008
Windows Server 2008 R2

33
Principales Ataques
Por otra parte tenemos otras

vulnerabilidades que logran abarcar los
sistemas operativos que no pueden ser
explotados por BlueKeep, las
vulnerabilidades identificadas como
CVE-2019-1181 y CVE-2019-1182 son
conocidas como DejaBlue.
Al igual que la vulnerabilidad Para este caso, las versiones

"BlueKeep" previamente afectadas de Windows son
mencionada, estas dos Windows 7 SP1, Windows Server
vulnerabilidades también tienen 2008 R2 SP1, Windows Server
un comportamiento de “gusano”, 2012, Windows 8.1, Windows
lo que significa que cualquier Server 2012 R2 y todas las
malware futuro que las aproveche versiones compatibles de
podría propagarse de una Windows 10, incluidas las
computadora vulnerable a otra sin versiones de servidor.
la interacción del usuario.

34
¿Cuáles son los continentes que
registran la mayor cantidad de
equipos expuestos a este
protocolo de manera pública?
Cantidad de activos que aún se encuentran
vulnerables a BlueKeep después de casi 2 años
de que Microsoft difundió el parche de seguridad
Asia
RDP : 1.691.503
BlueKeep: 145.987
Europa
RDP : 719.260
BlueKeep: 32.071
América
RDP: 1.565.320 África
BlueKeep: 45.606 RDP: 33.750
BlueKeep: 3.630
Chile
Activos con
protocolo RDP
Habilitado: 8.210 Oceanía
BlueKeep: 1.224 RDP : 50.858
NLA BlueKeep: 1.272
deshabilitado1: 1.010

35
Principales Ataques
› 4. Incremento
sistemático de técnicas
asociadas a Ingeniería Social
La Ingeniería Social, es y seguirá siendo la No podemos olvidar que el usuario es el
técnica más eficiente y menos costosa para eslabón más importante de la cadena de la
las ciberoperaciones delictuales, debido al seguridad, por lo que su acción o inacción
bajo riesgo para los atacantes y su serán fundamentales a la hora de corregir
particularidad de estar orientada a la vulnerabilidades, protegerse ante
manipulación inteligente de la tendencia ciberataques o evitar caer en las trampas de
natural de la gente a confiar valiéndose así de los ciberdelincuentes.
las personas y no del sistema operativo o
equipamiento de seguridad.

36
APT
APT en el cono
hispanoparlantes
Una APT se refiere a una especie de
ciberataque muy preciso y de alta
sofisticación con múltiples vectores de
ataque, ejecutado por grupos que a menudo
son apoyados o financiados por entes
externos, siendo su premisa:
Acuciosidad en la seguridad de sus

operaciones.
Bajas tasas de detección.
Altas probabilidades de éxito en el

cumplimiento de sus objetivos.
Según nuestras investigaciones podemos

concluir que “el cono latinoamericano es el
principal objetivo de estos grupos debido a
los bajos estándares de ciberseguridad
presentes en las infraestructuras”, respecto
a otros continentes.
37
APT
Para poder comprender de mejor

forma este tipo de ataques se
deben analizar las motivaciones e
intenciones de los grupos que las
sustentan.
Intenciones Motivaciones
Objetivos que pretenden Razones por las que los ciber
alcanzar con sus acciones actores despliegan sus
campañas
Las APT que atacan a efectividad de sus ataques.

Latinoamérica, buscan la Algunas referencias de esto se
explotación de sistemas, siendo han evidenciado en los continuos
su principal motivación la ataques dirigidos contra la banca
recompensa económica para nacional, instituciones y entes
financiar otras campañas gubernamentales, principalmente
manteniendo como factor de grupos provenientes de China,
indirecto, la comprobación de la Corea del Norte, Irán y Rusia.

38
APT
› TA505
TA505 es un conocido actor El grupo se ha dirigido

sofisticado de amenazas principalmente a organizaciones
cibernéticas que ataca a varios del sector financiero, pero
sectores para obtener ganancias también al comercio minorista y
financieras, su historia se remonta la hostelería.
al menos hasta 2014. Se cree que
este actor de amenazas reside en
Europa del Este. Llevan a cabo TA505 ha distribuido toneladas
operaciones de caza mayor, como de cargas útiles diferentes,
el despliegue de ransomware y la incluidos cargadores, puertas
extorsión del pago de grandes traseras, ransomware y troyanos
rescates. Por otro lado, es bancarios.
probable que trabajen en el
desarrollo del acceso inicial y El grupo tiene sólidas relaciones
cedan el acceso a la red a los y contactos en el ecosistema del
actores de amenazas asociados. ciberdelito.
Se dirigen a organizaciones de Otros alias:

industrias / gobiernos en muchos
países del mundo, incluidos • TA505
Canadá, Alemania, Corea del Sur, • Dudear
el Reino Unido y los EE. UU. • Sectorj04
• Graceful spider
Descripción: • Hive0065
• Chimborazo
TA505 comenzó su actividad

como una red de distribución
de malware, y luego pasó a
operar sus propias cargas
útiles.

39
APT
› Campañas en
Latinoamérica
En octubre de 2020, TA505
implementó una campaña con
actualizaciones de software
falsas que se conectan a la
infraestructura de comando y
control (C2) del grupo de
amenazas. Los atacantes
abusaron de MSBuild.exe para
compilar una versión de la
herramienta de post-explotación En julio de 2020 se identificó una
Mimikatz con un exploit para la nueva campaña maliciosa
vulnerabilidad ZeroLogon realizada por el grupo TA505
(CVE-2020-1472), permitiendo a dirigida a América Latina.
los atacantes acceder al Principalmente Chile, Argentina y
controlador de dominio. Colombia. Aunque también se
identificaron nuevos casos en
En septiembre de 2020, los España y Portugal.
investigadores de los laboratorios
de Avira Protection identificaron
una nueva campaña dirigida a las
Américas.
En esta campaña se observa el
uso de herramientas legítimas
para eludir los sistemas de
detección, aunque también se ha
encontrado el uso de
herramientas relacionadas con el
grupo como ServHelper. Además,
la técnica SilentCleanup se utiliza
para escalar los privilegios del
sistema.

40
APT
› Troyanos bancarios
brasileños
Como una de las APT que Familias de malware
destacan en Latinoamérica, se
encuentran las familias detrás de Familias de malware distintas y
los Troyanos bancarios que simultáneamente activas que aún
mediante el envío de mails están en constante evolución e
suplantando marcas conocidas y incorporando nuevas tácticas,
estafas de falso soporte técnico técnicas y procedimientos (TTP).
de Microsoft y el phishing han
seguido reinando en el panorama • Amavaldo
de amenazas, siendo su principal
motivación la recompensa • Casbaneiro
económica. • Grandoreiro
Investigadores han podido • Guildma
distinguir 11 familias de malware
algunas de las cuales hemos
• Mispadu
abordado en nuestros boletines,
• Mekotio
pudiendo observar que presentan • Zumanek
características comunes. • Krachulka
• Lokorrito
• Numando
• Vadokrist

41
APT
Estrecha cooperación
Al analizar estas familias, una vemos que se utiliza el mismo

cosa ha quedado clara: los algoritmo en seis familias
operadores de estos troyanos diferentes.
bancarios parecen estar en
contacto uno con el otro. Otro ejemplo al examinar las
cadenas de distribución
Un ejemplo claro es que la (generalmente una combinación
mayoría de los troyanos bancarios de varias etapas escritas en varios
latinoamericanos utilizan lenguajes de scripting),
esquemas de cifrado encontramos el uso de los mismos
personalizados muy simples que métodos de ofuscación o
generalmente son desconocidos empaquetadores aplicados a
en la comunidad de diferentes guiones.
programadores, sin embargo,

42
APT
Identificación de Hitos
importantes
Investigadores han podido identificar algunos hitos que afectaron
básicamente a todas las familias:
› La transición de VMProtect a › El cambio de su método de

Themida; ambos binarios descarga inicial para usar
catalogados como poderosas Windows Installer (MSI) en un
herramientas de ofuscación. corto periodo de tiempo.
TTP
Algunos TTP parecen estar constantes, dejándonos claro que

fuertemente arraigados en lo si bien se trata de familias de
profundo de la región. Estos malware diferentes, comparten
incluyen: varias similitudes atribuibles a un
esfuerzo de colaboración entre
› Uso intensivo de archivos ZIP ellos. Además ya son varios los
troyanos con origen en
Latinoamérica que han dado el
› Uso de Carga lateral de DLL salto a otros países como es el
como método de ejecución caso de México y España.
preferido.
Durante este 2020 los ataques de

troyanos bancarios han sido

43
Proyecciones 2021
Proyecciones
para 2021
Ha finalizado un año marcado por 3. Ataques coordinados a

hitos importantes que destacaron negocios y entidades públicas
por incrementos sustanciales en con el fin de exfiltrar
la explotación de sistemas a nivel información y su posterior
global y que han sido base para las extorsión a costa de su
predicciones en materias de publicación en las redes
ciberseguridad para 2021, tanto en sociales.
América Latina como nuestro 4. Los actores de amenazas
país. seguirán aprovechando la
tendencia al teletrabajo y al
De acuerdo con lo que hemos aprendizaje remoto para
evidenciado durante 2020, centrar sus ataques en obtener
podemos orientar la apreciación información privada de sus
en 5 pronósticos: víctimas a través de
innovadoras técnicas de
1. Aumento y diversificación ingeniería social.
de ataques dirigidos a 5. Utilización de técnicas
sistemas financieros por relacionadas a la inteligencia
grupos cibercriminales locales. artificial para orquestar
2. Más familias de troyanos campañas de desinformación y
brasileños van a expandir sus manipulación a través de las
operaciones globalmente. redes sociales, o propagación
de códigos maliciosos.

44
Proyecciones 2021
Debido a la gran diversidad de › Explotación de sistemas SCADA

herramientas que permiten en infraestructuras críticas del
automatizar la explotación de cono latinomericano.
sistemas, es que nos Los entornos corporativos se
encontramos en un ciber centran en la protección de datos
escenario complejo, donde la confidenciales; pero cuando se
explotación de vulnerabilidades no trata de sistemas industriales,
requiere mayores destrezas de un donde cada minuto de
atacante para poder ser inactividad o error cuenta, el
explotadas. Si a esto, le sumamos el funcionamiento ininterrumpido
hecho de que Microsoft dio de las operaciones es la principal
cumplimiento al “fin de soporte” de prioridad.
plataformas Windows 7, Windows
Server 2008 y Windows Server › Continuarán incrementando los
2008 R2, se hace prioritario ataques con nuevas variantes de
contar con un plan de acción para ransomware desarrollado en la
afrontar este escenario complejo región, aumentando las
que incluya cambios de sistemas campañas que extorsionan a sus
operativos, responsabilidad en el víctimas con la filtración de sus
parcheado de vulnerabilidades y archivos.
concientización de sus
colaboradores. › Las campañas de ransomware
estarán dirigidas a grandes
En cuanto a los principales empresas junto a sus
vectores de ataque que se colaboradores VIP/VAP,
evidencian para 2021: evidenciando un incremento en
ataques dirigidos hacia la
› Continuará la explotación infraestructura crítica de los
sistemática de vulnerabilidades países, focalizado en obtener
principalmente dirigidas a mejores oportunidades de pago
protocolos de Windows y por el rescate.
sistemas operativos obsoletos.

45
Proyecciones 2021
Finalmente, entendiendo que menos del

17% de las vulnerabilidades se corrigen
dentro de los 7 días posteriores a la
notificación por parte de las marcas,
nos gustaría recalcar que si las
organizaciones continúan con políticas
de parcheado inmaduras u obsoletas y
no dan prioridad a estos procesos de
seguridad, continuaremos evidenciando
organizaciones sin la capacidad de
solventar las operaciones de sus
negocios por presentar disrupciones en
sus quehaceres, lo cual en algunos
casos puede llevarlas a desaparecer.

46
Equipo de Cyber Threat
Intelligence de
EntelCyberSecure
∙ Eduardo Bouillet Carroza -
Director del Centro de
Ciberinteligencia
∙ Pablo Araya del Pino -

Especialista Senior Operación
Ciberinteligencia
∙ Patricio Norambuena Salgado -

Analista de Ciberinteligencia
∙ Inés Von Borries Reyes -

∙ Oliver Caldera Castillo -

∙ Flor Campos Valverde -

∙ Patricio Albayay Quiroga -

Managing Editor
∙ Cyril Delaere -
Gerente de Servicios de
Ciberseguridad en Entel Ocean
47
Entel Corp, el partner tecnológico
de las grandes empresas
entel.cl/corporaciones

Seguridad 2020

Cargado por

Copyright:

Formatos disponibles

Seguridad 2020

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad 2020

Cargado por

Copyright:

Formatos disponibles

Estado de la

Entel Corp, el partner tecnológico

2020, un año que quedará en la memoria de

La pandemia impuso un desafío para todas las

La dependencia de las comunicaciones

¿Qué signiﬁcó esta

entel.cl/corporaciones @entelcorp Entel Corporaciones

La problemática del incremento de casos, los ataques cibernéticos

entel.cl/corporaciones @entelcorp Entel Corporaciones

¿Cómo podemos minimizar

entel.cl/corporaciones @entelcorp Entel Corporaciones

Las actualizaciones de software vulnerabilidades que se publican en

13 Principales ataques dirigidos

entel.cl/corporaciones @entelcorp Entel Corporaciones

Panorama de El 2020 fue un año marcado por

entel.cl/corporaciones @entelcorp Entel Corporaciones

17 Febrero 2020 Se evidencia campaña “Fox-Kitten” cuyo objetivo era la explotación de

Marzo 2020 Llega el teletrabajo a Chile, forzado por la pandemia.

30 Marzo 2020 Fuerte explotación de vulnerabilidades de plataforma de

Abril 2020 Incremento de ataques de ransomware dirigidos a hospitales y

31 Mayo 2020 Anonymuous inicia campañas de hacktivismo y ataques a entidades

Junio 2020 Se evidencian campañas de explotación de vulnerabilidades de exim.

16 Julio 2020 Twitter sufre el mayor hackeo de su historia.

Agosto 2020 Incremento de ataques tipo DDoS dirigidos a entidades ﬁnancieras,

12 Septiembre 2020 Un ciberataque provoca la muerte de un paciente en una clínica en

28 Septiembre 2020 Filtración código Windows XP.

9 Diciembre 2020 FireEye comunica haber sido víctima de un acceso no autorizado a

13 Diciembre 2020 SolarWinds reconoce infección de malware en cadena de suministro de

entel.cl/corporaciones @entelcorp Entel Corporaciones

entel.cl/corporaciones @entelcorp Entel Corporaciones

12 Marzo 2020 GDI+ CVE-2020-0881 CVSS: 8.8

entel.cl/corporaciones @entelcorp Entel Corporaciones

11 Agosto 2020 ZeroLogon CVE-2020-1472 CVSS: 10.0

Siendo TA505 uno de los ciberactores presentes con campañas a nivel

16 Octubre 2020 Bad Neighbor CVE-2020-16898 CVSS: 8.8

Panorama de vulnerabilidades Panorama de vulnerabilidades

619 22.9 25.9 28.9 01.10 04.10 07.10 10.10 13.10

Vulnerabilidad activamente explotada por

A nivel nacional grupos APT desde septiembre a noviembre 2020

entel.cl/corporaciones @entelcorp Entel Corporaciones

14.01.20 11.02.20 12.03.20 20.05.20

Citrix Exchange SMBGhost VMware

entel.cl/corporaciones @entelcorp Entel Corporaciones

01.07.20 29.07.20 16.10.20 16.11.20

14.07.21 11.08.20 21.10.20 23.11.20

F5 TMUI BootHole Bad Oracle Cisco

entel.cl/corporaciones @entelcorp Entel Corporaciones

El año 2020 estuvo marcado por líneas generales, conllevó a

entel.cl/corporaciones @entelcorp Entel Corporaciones

Se evidenció un alza signiﬁcativa de

Ataques evidenciados en 2020

entel.cl/corporaciones @entelcorp Entel Corporaciones

Denegación de Desde mediados de agosto 2020,

entel.cl/corporaciones @entelcorp Entel Corporaciones

¿Alguna vez ha pensado

entel.cl/corporaciones @entelcorp Entel Corporaciones

Por su parte, para las víctimas, el favoreciendo a los atacantes

El costo de recuperación El costo total del tiempo

entel.cl/corporaciones @entelcorp Entel Corporaciones