Semana 27. Tendencias preocupantes de la actividad en la Dark Web.
Veamos,
Ya ha pasado más de un mes desde que comencé a escribir este blog. Pero más importante, ha pasado más de un mes desde que he comenzado a recopilar todas las noticias de la dark web.
Cuanto más tiempo pase, más datos habrá para analizar y se podrán identificar mejor las tendencias. Esto lo dije en uno de mis primero post, aquí:
En el post de arriba mencioné que, con el tiempo, se podrán ver indicios sobre la actividad de los ciberdelincuentes en la Dark Web.
Como en cualquier análisis, cuántos más datos y de buena calidad haya, mejores serán las conclusiones que se podrán sacar a partir de ellos.
Ya ha pasado un mes desde entonces, y hoy voy a compartir algunas de las conclusiones que ya se pueden observar a partir de estos datos.
El gráfico es el siguiente:
Esta vez, a diferencia de otras veces, he añadido unas líneas de tendencia. Estas líneas aportan un gran valor porque nos indican cómo ha sido el desarrollo de cierta activad a lo largo del mes y hacia qué valores apunta en los próximos días o semanas.
Pero, antes de entrar a analizar las tendencias, vamos a repasar primero la actividad en la última semana de los diferentes tipos de noticias que hay:
Ciber ataques. Se puede ver cierto aumento de ciber ataques en estas últimas dos semanas, incluso se podría decir que ha habido algo más de constancia en este tipo de noticias.
Datos en venta. Este punto es el más conflictivo de todos. Hay un ligero aumento de datos en venta y esto podría indicarnos que han habido más incidentes de seguridad en el pasado, de ahí la exfiltración de datos y la posterior puesta en venta en los mercados negros. Pero esto no tiene porqué ser así por un simple motivo. Y es que hay mucha, pero que mucha información falsa y datos repetidos que se ponen a la venta.
Brechas de datos. Como siempre, esta es la noticia que más se repite. También es la más destacada en el gráfico. A diario, ya es costumbre despertarse con noticias del estilo de “X empresa ha sufrido una brecha de datos y el actor X los está vendiendo en X sitio por X Bitcoins.”
Herramientas compartidas. Sin apenas noticia alguna en la última semana sobre la venta de herramientas maliciosas. Nada que destacar aquí. Personalmente, creo que este tipo de herramientas no se hacen públicas. Si algún ciberdelincuente quiere compartirlas con alguien, no nos vamos a enterar de ello.
Accesos no autorizados a la venta. Estas noticias son las que más me llaman la atención. Y también las que más están creciendo en número desde que empecé a hacer este recuento hace ya más de un mes. Y esto es muy interesante. Más adelante, en el apartado de las tendencias, hablaré sobre esto con más detalle.
CVE. Por suerte, sólo hay una noticia sobre la venta de un CVE en la última semana.
Y ahora, vamos con las tendencias.
Aquí, hay dos grandes grupos a destacar.
Primero, el grupo de los ciber ataques, herramientas compartidas, y CVEs. Este grupo tiene una clara tendencia horizontal, sin picos a destacar y sin unos indicios claros de crecimiento de este tipo de actividad en la dark web. Esto son buenos indicios, sobre todo si hablamos sorbe CVEs y sobre ciber ataques. Aunque es cierto que los ciber ataques sí que han tenido cierta actividad en las últimas dos semanas, la tendencia es claramente neutral. No habrá un descenso, pero tampoco un incremento.
Y segundo, lo más importante y preocupante. Las tendencias alcistas de las brechas de datos, las ventas de accesos no autorizados y datos en venta. Lo curioso de estas tres categorías que destaco aquí es que están muy relacionadas unas con otras. Las tres indican lo mismo, las empresas no están protegiendo adecuadamente sus datos y sus sistemas.
Y relativo a estas tendencias, hay una en concreto a la que quiero dedicar algunas palabras. Y es a los accesos no autorizados en venta. Resulta interesante que cada vez haya más noticias al respecto porque, aunque de momento no hay un indicio claro de que esto sea así, empiezo a tener sospechas de que los ciberdelincuentes ya no obtienen tanto beneficio al poner los datos de las empresas a la venta.
Me explico. Las empresas invierte cada vez más en seguridad y en formación. Y una de las cosas que más se repiten a la hora de concienciar a las personas, es que no se debe pagar el rescate en caso de ransomware o en caso de que los datos estén a la venta en la dark web. Si se paga, se fomenta este tipo de actividad ilegal. Por eso, es posible que muchos cibercriminales decidan vender el acceso a los sistemas antes que vender los datos, de esta manera pueden sacar un beneficio económico.
Pero esto que comento en el último punto no es más que una idea propio. Durante los próximos meses se verá que pasa, y podremos comprobar esto que comento.
Muchas gracias.