Google Threat Intelligence Group (GTIG), formado por los equipos de Mandiant Intelligence y Threat Analysis Group (TAG), con el objetivo de identificar, analizar, mitigar y eliminar tipologías enteras de ciberamenazas contra Alphabet, sus usuarios y sus clientes; ha publicado recientemente su nuevo informe ‘Hello 0-Days, My Old Friend: A 2024 Zero-Day Exploitation Analysis’, un documento que analiza los ataques de Zero-Day – una vulnerabilidad que ha sido explotada maliciosamente antes de que se hiciera público un parche. Esta investigación ofrece una visión general y un análisis exhaustivo de los distintos Zero-Days que los investigadores identificaron durante 2024.
En total, GTIG rastreó 75 vulnerabilidades de Zero-Day explotadas en 2024, un descenso con respecto al número que identificamos en 2023 (98 vulnerabilidades), pero un aumento con respecto a 2022 (63 vulnerabilidades). GTIG considera que se trata de una variación o fluctuación prevista dentro de una tendencia general al alza.
Los investigadores de GITG han vuelto a dividir las vulnerabilidades en dos categorías principales: plataformas y productos de usuario final (por ejemplo, dispositivos móviles, sistemas operativos, navegadores y otras aplicaciones) y tecnologías de empresa, como softwares y dispositivos de seguridad y redes. De hecho, entre las principales conclusiones de este año, destaca que más del 60% de todas las explotaciones de Zero-Day dirigidas a tecnologías empresariales estaban vinculadas a vulnerabilidades de seguridad y redes. Se constata, así, que los ataques a la tecnología empresarial siguen creciendo debido, en gran parte, al aumento de la explotación de productos de seguridad y redes.
A continuación, encontrarás un resumen de las conclusiones más destacadas:
- La explotación de Zero-Day sigue creciendo gradualmente. Aunque los recuentos anuales individuales han fluctuado, la línea de tendencia media indica que la tasa de explotación de Zero-Day sigue creciendo a un ritmo lento, pero constante.
- El ataque a la tecnología empresarial sigue en aumento. GTIG ha seguido observando un aumento de la explotación de tecnologías específicas de la empresa por parte de atacantes:
- En 2024, el 44% de las vulnerabilidades de Zero-Day estaban dirigidas a productos empresariales (frente al 37% en 2023).
- Como señalábamos, esto se debe principalmente al aumento de la explotación de productos de seguridad y redes.
- Los actores que realizan ciberespionaje siguen liderando la explotación de Zero-Day atribuida. Entre los grupos respaldados por el gobierno y los clientes de los proveedores de vigilancia comercial (CSV), los actores que llevan a cabo operaciones de ciberespionaje representaron más del 50% de las vulnerabilidades atribuidas en 2024.
- Por primera vez en la historia, se atribuye la explotación del mismo volumen de Zero-Days (5) a actores norcoreanos que a grupos respaldados por China.
A continuación, encontrarás una cita sobre este informe de Casey Charrier, Senior Analyst, Google Threat Intelligence Group:
«La explotación de Zero-Day sigue creciendo a un ritmo lento pero constante. Sin embargo, también hemos empezado a ver que el trabajo de los proveedores para mitigar la explotación de Zero-Day empieza a dar sus frutos. Por ejemplo, hemos observado menos casos de explotación de Zero-Day dirigidos a productos que han sido históricamente populares, probablemente debido a los esfuerzos y recursos que muchos grandes proveedores han invertido para evitar la explotación.
Al mismo tiempo, estamos viendo cómo la explotación de Zero-Day se dirige cada vez más a productos centrados en la empresa, lo que requiere un conjunto más amplio y diverso de proveedores para aumentar las medidas de seguridad proactivas. El futuro de la explotación de Zero-Day vendrá dictado en última instancia por las decisiones de los vendedores y su capacidad para contrarrestar los objetivos y persecuciones de los actores de amenazas.»
Novedades de Google Cloud en la RSA Conference
La publicación de este informe llega junto con la celebración, la semana pasada, de la RSA Conference en San Francisco (EEUU), uno de los encuentros globales en materia de ciberseguridad más importantes. En ella, Google Cloud anunció varias mejoras en su cartera de seguridad, incluyendo lo que está por llegar sobre su conocimiento de amenazas de primera línea, su visión de la IA aplicada en seguridad y los servicios de Mandiant Consulting, una empresa de Google Cloud para la prestación de servicios dinámicos de ciberdefensa, inteligencia sobre amenazas y respuesta a incidentes.