Panorama de amenazas a la ciberseguridad en países africanos durante 2022-2023

La economía de la región africana experimenta una rápida expansión. Los países africanos tienen un potencial enorme, pero la digitalización avanza a un ritmo mayor que la implementación de leyes y regulaciones de ciberseguridad. El incremento de la frecuencia y la complejidad de los ciberataques amenaza la seguridad de las infraestructuras de información críticas, mientras que la incapacidad para detener las ciberamenazas trae consecuencias graves para las personas, las empresas y el desarrollo socioeconómico de toda la región. En nuestra investigación, examinaremos los desafíos principales para la ciberseguridad de África y las formas en las que se puede construir un entorno digital seguro y resistente.

Presentación

La economía de la región africana está teniendo una rápida expansión. En los últimos veinte años, el producto bruto interno (PBI) combinado de la región se ha quintuplicado, con lo que pasó de 695 880 millones de dólares en 2002 a 2,98 billones de dólares en 2022. El crecimiento del PBI en 2023 se estima entre un 3 % y un 4 %, y se proyecta que excederá los 4 billones de dólares para 2027. El crecimiento acumulado de las economías africanas reflejan el enorme potencial de la región y están contribuyendo a un aumento en la demanda de Internet y servicios digitales.

Al mismo tiempo, el desarrollo de la esfera digital en la región superó el desarrollo de las leyes y regulaciones en materia de ciberseguridad. La creciente frecuencia y complejidad de los ciberataques en la región africana amenaza la seguridad de la infraestructura de información crítica y exige medidas urgentes para reforzar las medidas de protección. El hecho de no contrarrestar las ciberamenazas puede tener graves consecuencias para las personas, las empresas y el desarrollo socioeconómico del continente. En este informe, examinaremos los principales desafíos para la ciberseguridad en África y las formas en las que se puede construir un entorno digital seguro y resistente.

Resumen

  • El entorno digital en la región africana está evolucionando rápidamente, pero la falta de medidas adecuadas para garantizar la ciberseguridad, un marco legislativo insuficiente en el campo de seguridad de la información y el bajo nivel de conciencia sobre los problemas de ciberseguridad en la población en general están llevando a un aumento en la cantidad de ciberamenazas.
  • El bajo nivel de África en cuanto a preparación para contrarrestar las ciberamenazas cuesta a los países afectados un promedio del 10 % de su PBI.
  • Las organizaciones financieras son el principal objetivo de los ciberdelincuentes: casi uno de cada cinco (el 18 %) ataques exitosos a organizaciones son dirigidos a este sector. En general, los atacantes buscan ganancias financieras. Las empresas de telecomunicaciones también se enfrentan a una cantidad considerable de ataques (el 13 %) debido a su creciente base de clientes, que los convierte en objetivos atractivos para el robo de datos y la extorsión.
  • El uso de ransomware sigue siendo una de las amenazas más graves de la región. Uno de los principales vectores es la vulneración de computadoras, servidores y equipos de red (un 74 %). Esto indica la baja seguridad de las empresas, es decir, las vulnerabilidades en el perímetro de red y las fallas de configuración en los servicios disponibles externamente.
  • Los ataques con ingeniería social, incluidos los de vulneración de correos electrónicos empresariales (BEC), representan la principal ciberamenaza para organizaciones e individuos. Más de la mitad de los grupos que llevan a cabo ataques BEC operan en África y conocen las características de la región.
  • En foros clandestinos, los ciberdelincuentes compran y venden activamente acceso a las redes de importantes organizaciones africanas, como instituciones gubernamentales y financieras, empresas comerciales y empresas de TI. El costo promedio del acceso con privilegios de administrador de dominio es de unos USD 300, mientras que el acceso con privilegios de administrador local ronda los USD 170. En estos mercados ciberdelictivos, los atacantes también comparten y anuncian la venta de bases de datos que contienen información sobre empleados y clientes de diversas empresas.
  • Las organizaciones africanas se enfrentan periódicamente a ataques de denegación de servicio distribuido (DDoS), y los gobiernos y las instituciones financieras se ven especialmente afectados. Estos ataques suelen ser llevados a cabo por hacktivistas.
  • Tanto los hacktivistas como los grupos delictivos organizados operan en la región, persiguiendo motivaciones financieras o involucrándose en el espionaje cibernético. Las dificultades financieras están empujando a la generación más joven a buscar maneras de ganar dinero rápidamente y, como el umbral de entrada es cada vez más bajo, el ciberdelito resulta una salida tentadora.
  • La falta de cooperación internacional y de intercambio eficaz de información entre los países africanos obstaculiza el combate contra el ciberdelito.
  • Algunas recomendaciones para que los gobiernos fortalezcan su ciberseguridad incluyen el desarrollo de políticas y estrategias a nivel nacional en el campo de la seguridad de la información, la sanción de regulaciones legislativas para la protección de datos personales, la protección de la infraestructura de información crítica y el establecimiento de equipos nacionales de respuesta ante incidentes cibernéticos. Además, fortalecer la colaboración internacional para garantizar la ciberseguridad es básico.
  • Entre las recomendaciones para que las organizaciones mejoren su ciberresiliencia está el hecho de identificar eventos no tolerables y proteger activos fundamentales, monitorear y responder a amenazas cibernéticas con herramientas de seguridad modernas y evaluar la efectividad de las medidas implementadas, además de capacitar a los empleados. Invertir en el desarrollo de ciberespecialistas y participar en ciberejercicios también serán acciones cruciales a la hora de mejorar la ciberseguridad de las organizaciones africanas.

Desafíos de la transformación digital y la ciberseguridad en la región

En los últimos años, África tuvo una rápida proliferación de tecnologías digitales, especialmente en las áreas de tecnología financiera y comercio electrónico. La pandemia de COVID-19 también jugó un papel en esto, porque generó la necesidad de facilitar el trabajo remoto a muchos empleados. En 2021, el 43 % de la población de África (612 millones de personas) tenía acceso a Internet.

De hecho, hay un enorme potencial en materia de tecnología en el continente africano, especialmente debido a su población joven: aproximadamente el 60 % de la población de África en 2020 tenía menos de 25 años. Este factor fomenta el uso de nuevas tecnologías. Según el estudio de la GSMA de 2021, la cantidad de suscriptores móviles únicos en África subsahariana alcanzará los 615 millones en 2025. Además, las estimaciones para toda la región indican que la cantidad de internautas superará los mil millones para 2023. La estrategia de transformación digital para África tiene como objetivo garantizar que para 2030 cada habitante de la región tenga acceso estable a Internet.

Sectores claves de la economía, incluidos el financiero, educativo, agrícola, gubernamental, de seguridad y de manufactura, están adoptando activamente tecnologías digitales y migrando sus operaciones a plataformas en línea. De acuerdo con la Estrategia de Transformación Digital para África, la ciberseguridad y la protección de datos personales son principios fundamentales en la implementación del proyecto de transformación digital. Sin embargo, el uso generalizado de tecnología, combinado con medidas insuficientes de ciberseguridad, una legislación inadecuada en el campo de seguridad de la información y el bajo nivel de conciencia pública en materia de seguridad de la información crea condiciones favorables para los ciberdelincuentes. Además, muchos países africanos se enfrentan a limitaciones económicas, lo que dificulta aún más la asignación de fondos suficientes para la ciberseguridad.

En los últimos años, hubo un aumento significativo en el ciberdelito en todo el mundo: según nuestros datos, la cantidad total de ciberataques exitosos aumentó a más del doble en los últimos cinco años. Este aumento en ciberincidentes también es evidente entre los países africanos. En el segundo trimestre de 2023, África tuvo el mayor promedio de ciberataques por semana por organización, con un aumento de un 23 % en comparación con el mismo período de 2022. Los ciberataques pueden provocar eventos que resultan no tolerables para las empresas y los gobiernos, como la detención de las operaciones comerciales, el robo a gran escala de fondos y las fugas de información confidencial. Las pérdidas financieras que resultan de los ciberataques son enormes, y según la Comisión Económica de las Naciones Unidas para África (UNECA), en 2022, el bajo nivel de preparación ante ciberamenazas de la región les costó a estos países un promedio del 10 % de su PBI.

Uno de los problemas más graves que enfrenta África es la falta de infraestructura de seguridad de la información. Cerca del 90 % de las empresas africanas operan sin protocolos de ciberseguridad, lo que las vuelve más vulnerables a las ciberamenazas. Los expertos reconocen la necesidad de cambiar el enfoque en materia de ciberseguridad en África, a medida que la región transita una transformación digital.

Muchos países africanos aún no desarrollaron una legislación que abarque todos los aspectos de la seguridad de la información, lo que hace que sea más difícil abordar eficazmente las ciberamenazas y complica la implementación y el cumplimiento de las medidas de ciberseguridad. A la fecha, solo 39 de 54 países africanos han implementado legislación sobre ciberseguridad, y dos países están en la etapa de redacción de legislación. La adopción de políticas y regulaciones de ciberseguridad en todo el continente no llega al 72 %, el nivel más bajo del mundo. Solo 14 países ratificaron la Convención de la Unión Africana sobre Ciberseguridad y Protección de Datos Personales.

De acuerdo a una encuesta de KPMG, aproximadamente el 75 % de los encuestados de organizaciones africanas informaron que tenían estrategias de ciberseguridad que se actualizaban periódicamente o que se desarrollaban según el perfil de amenazas de la organización con indicadores de rendimiento claves (KPI) medibles. Al mismo tiempo, el 78 % de los directores de departamentos de TI creen que su organización no está lista para defenderse de los ciberataques, a pesar de las crecientes inversiones en seguridad. Otro problema es la aguda escasez de especialistas en ciberseguridad: en el año 2020, hubo una falta estimada de al menos 100 000 profesionales certificados.

Con la creciente disponibilidad de Internet en África, es esperable ver un aumento en las actividades de redes organizadas internacionales de ciberdelincuencia en la región. Además, dada la alta tasa de desempleo, la población joven puede unirse a grupos ciberdelictivos ya existentes como forma de hacer dinero rápido. La falta de concienciación sobre la ciberseguridad entre la población en general, la ineficacia a la hora de medir los contraataques en organizaciones y la escasa cooperación entre los organismos encargados de hacer cumplir la ley de diferentes países hacen que los países más desarrollados digitalmente del continente sean un objetivo fácil para los atacantes.

Víctimas y consecuencias de los ataques

Los principales objetivos de los atacantes

En el período que va del comienzo de 2022 a la primera mitad de 2023, entre los diversos sectores de la economía, las organizaciones más atacadas fueron aquellas del sector financiero (el 18 % de los ataques fueron a organizaciones), seguido de las empresas de telecomunicaciones (un 13 %), agencias gubernamentales (un 12 %) y organizaciones de los sectores comercial (un 12 %) e industrial (un 10 %).

Categories of victim organizations
Figura 1. Categorías de organizaciones víctimas
Chart


El 15 % de los ataques exitosos fueron dirigidos a individuos.

 

Los ciberataques (la investigación cubrió solo ataques o incidentes cibernéticos exitosos con un impacto negativo en una determinada empresa o en un individuo) se dirigieron a grandes empresas como Flutterwave, TransUnion y la sede de Porsche en Sudáfrica, así como Eskom y la Empresa Eléctrica de Ghana (ECG). Los ciberdelincuentes también atacaron importantes estructuras gubernamentales: el Banco de Zambia, varios ministerios en Uganda e instituciones gubernamentales en Etiopía y Senegal.

ChartLos ataques dirigidos representaron el 68 % del total de ciberataques exitosos. En estos casos, los perpetradores se centraron en una organización o industria específica.

Las consecuencias de los ataques afectan a regiones enteras

En la mayoría de los casos, los ataques estaban dirigidos a obtener información confidencial: el 38 % de las empresas lo sufrieron. Las acciones delictivas también causaron frecuentes perturbaciones en las operaciones organizativas: por ejemplo, cada tres ataques exitosos, se interrumpieron las principales actividades de las empresas (un 35 %). El 7 % de los incidentes provocaron pérdidas financieras directas.

Consequences of attacks (percentage of successful attacks)
Figura 2. Consecuencias de los ataques (porcentaje de ataques exitosos)

Las consecuencias de los ciberataques exitosos pueden variar significativamente. Su impacto puede ser desde afectar a un solo individuo hasta alterar el funcionamiento de industrias o regiones enteras. Los incidentes que podrían tener efectos catastróficos para una organización difieren caso por caso; por ejemplo, para los bancos, podría ser un robo a gran escala o estafas dirigidas a los usuarios, mientras que para las empresas industriales podría ser una interrupción en los procesos tecnológicos con graves consecuencias para los ciudadanos.

Info  Un evento no tolerable es un evento que ocurre como consecuencia de un ciberataque e impide alcanzar los objetivos operativos y estratégicos de la organización o lleva a una interrupción prolongada de sus principales actividades.

Sector financiero

El sector financiero atrae a la mayoría de los delincuentes, con un 18 % de todos los ataques dirigidos a organizaciones dentro este sector. Esto ocurre, en primer lugar, porque los delincuentes están interesados principalmente en una ganancia financiera que, junto con el nivel relativamente bajo de seguridad de estas empresas, las convierte en objetivos atractivos. Además, las organizaciones financieras almacenan grandes cantidades de datos de clientes, incluida la información de pago, lo que permite a los atacantes usar información robada para futuros ataques contra usuarios.

Una de las principales campañas dirigidas a instituciones financieras fue reportada por expertos en otoño de 2022. Entre 2018 y 2022, el grupo OPERA1ER (también conocido como DESKTOP-GROUP, Common Raven, NXSMS o Bluebottle) es un grupo francófono con motivación financiera que opera desde el año 2016. Se dirigen principalmente a los enlaces de pago y al sistema interbancario internacional SWIFT en sus ataques. Entre las víctimas del grupo se encuentran más de diez países africanos como Costa de Marfil, Nigeria, Senegal y Uganda. Los delincuentes utilizan phishing y varios tipos de malware (generalmente de código abierto) para llevar a cabo sus ataques. Llevaron a cabo más de 35 ataques y robos exitosos que suman algo menos de 11 millones de dólares a bancos y proveedores de telecomunicaciones de varios países, con los bancos africanos como las víctimas más frecuentes. El daño total de los ataques se estima en 30 millones de dólares . Normalmente, los delincuentes pretendían vulnerar cuentas de operador con acceso a sumas importantes de dinero. Luego, utilizaban las credenciales robadas para transferir fondos.

Otro caso salió a la luz este verano: los miembros de un sindicato fraudulento fueron detenidos después de hackear más de mil cuentas bancarias de clientes de Nigeria. Los sospechosos confesaron haber utilizado software especializado para hackear las cuentas de los clientes y realizar transferencias de dinero discretas desde cualquier banco. Este ataque subraya lo importante que es para los bancos y otras instituciones financieras garantizar la seguridad de la infraestructura y eliminar vulnerabilidades en los procesos y los software utilizados. Esto es si quieren proteger tanto a la propia organización como a sus clientes.

Los líderes del sector financiero reconocen la gravedad de las ciberamenazas. De acuerdo con la Africa Financial Industry Barometer Survey de 2023, la ciberseguridad se sitúa como el factor de riesgo número uno en el sector de servicios financieros por segundo año consecutivo. Cerca del 97 % de los líderes de las instituciones financieras más importantes de África considera que el ciberdelito es una amenaza significativa, junto con las condiciones macroeconómicas y la inestabilidad política y social. La proliferación de los ciberataques y su creciente complejidad están convirtiendo la ciberseguridad en una prioridad máxima para las instituciones financieras. Las instituciones financieras son los mayores empleadores de profesionales de la ciberseguridad en la región, pero solo el 24 % de las organizaciones creen que tienen recursos suficientes para contraatacar.

Telecomunicaciones

Las telecomunicaciones son la segunda industria más atractiva para los ciberdelincuentes, y por una buena razón: el aumento significativo en clientes de empresas de telecomunicaciones de todo el continente permite a los atacantes tener un grave impacto tanto en empresas individuales como en regiones enteras. Este aumento en la cantidad de clientes también conduce a una mayor disponibilidad de la información de los usuarios, incluidos datos personales y de pago, así como datos sobre conexiones. Los delincuentes atacan a las organizaciones para interrumpir sus operaciones y exigir rescate para restablecer los sistemas, y para robar datos de usuarios.

En febrero de 2023, un grupo de ciberdelincuentes atacó al proveedor de servicios de Internet RSAWEB. Los delincuentes cifraron los datos de la empresa y exigieron un rescate para descifrarlo. El ataque provocó una alteración significativa de los servicios de RSAWEB y dejó a algunos clientes sin la posibilidad de acceder a Internet durante varios días. Los expertos creen que la empresa fue víctima de un ataque a gran escala con software VMware ESXi. Las agencias de ciberseguridad de todo el mundo habían advertido que los atacantes estaban apuntando activamente a los servidores VMware ESXi que aún no habían instalado actualizaciones de seguridad. Presuntamente, los atacantes explotaron la vulnerabilidad CVE-2021-21974 en sus ataques.

Check   Las empresas deben tomar medidas para impedir la explotación de vulnerabilidades y la aparición de eventos no tolerables. Para lograrlo, recomendamos prestar atención al proceso de gestión de vulnerabilidades de la organización. Esto ayuda a identificar rápidamente las debilidades en activos fundamentales, así como a eliminar las vulnerabilidades más populares entre los atacantes antes de que sean explotadas y causen consecuencias graves para la empresa.

Instituciones gubernamentales

Los organismos gubernamentales han sido tradicionalmente el objetivo favorito de los atacantes: según nuestros datos, esta industria representó el 17 % de los ataques exitosos a organizaciones a nivel mundial en 2022. Las instituciones gubernamentales son objetos importantes de infraestructura urbana, lo que las convierte en objetivos frecuentes de los hacktivistas. Otro punto importante es que las agencias gubernamentales almacenen datos sobre los ciudadanos.

En la primavera, como consecuencia de un ataque del grupo BlackCat (también conocido como ALPHV) se distribuyó un programa de ransomware del mismo nombre, también con el modelo de “ransomware como a modelo de servicio” (RaaS). Entre las víctimas de todo el mundo se incluyen organizaciones de la industria, comerciantes, transportistas, empresas de seguros, empresas de servicios, de telecomunicaciones e como instituciones gubernamentales y de la salud. La red interna de la sede de la Unión Africana quedó paralizada y los atacantes lograron propagar malware a más de 200 computadoras. Este incidente ocurrió diez días después del cierre de la cumbre anual de la organización, que reúne a los jefes de los estados del continente. Si los atacantes hubieran atacado antes, este acontecimiento tan importante para la Unión Africana podría haberse interrumpido. La restauración de los sistemas requirió la intervención de expertos de Interpol, Afripol y el Banco Africano.

Minoristas

En ataques a organizaciones en la industria del comercio, los atacantes se centran principalmente en robar datos de clientes, especialmente información personal y de pago. En regiones africanas, los ciberdelincuentes pudieron robar información confidencial, con un 86 % de ataques exitosos contra organizaciones en el sector comercial.

En mayo del año pasado, los ciberdelincuentes lograron robar alrededor de 3,7 millones de registros de clientes a partir de un importante minorista de farmacias, Dis-Chem Pharmacies. En este incidente, los atacantes pudieron obtener acceso a los datos comprometiendo a un proveedor de servicios de terceros. Mientras investigamos las ciberamenazas actuales en el mundo, regularmente nos encontramos con noticias de ataques exitosos a organizaciones en los que los atacantes lograron comprometer la cadena de suministro o los canales de comunicación confiables. De acuerdo con nuestros datos, en 2022 este método se utilizó en un 4 % de los ataques exitosos a organizaciones de todo el mundo y fue más popular en la industria del comercio, en la que se dio el 8 % de todos los ataques en el sector. Dos terceras partes de los ataques exitosos que comenzaron comprometiendo una parte de confianza dieron como resultado fugas de información confidencial, y cuatro de cada diez casos condujeron a interrupciones en las principales actividades de la organización.

CheckAl crear protección contra ciberataques, es importante tener en cuenta no solo la seguridad propia, sino también la seguridad de los socios, proveedores y contratistas. Nosotros recomendamos establecer iguales requisitos para la seguridad de la información de sus contrapartes y para su propia infraestructura.

Manufactura e industria

Los ciberdelincuentes apuntan al sector industrial debido a la importancia de los procesos tecnológicos, así como a la escala de impacto tanto en empresas individuales como en industrias, regiones y países enteros. Las tecnologías avanzadas y el uso de los servicios digitales y software aumentan las posibilidades de que los atacantes encuentren una manera de penetrar en la empresa e iniciar un evento no tolerable.

En la caída de 2022, como consecuencia de un ataque a la empresa de electricidad de Ghana (ECG), los clientes del mayor proveedor de electricidad del país no pudieron comprar electricidad. Algunos residentes experimentaron cortes de energía durante varios días debido a la interrupción de ciertos sistemas.

Los ciberataques exitosos pueden provocar cortes de energía en áreas enteras. Por ejemplo, anteriormente en 2021, un ataque al proveedor de electricidad Ghana Grid Company Limited (GRIDCo) en África Occidental dejó a los residentes de Ghana sin electricidad durante cinco días.

Quién está atacando a África y cómo

Objetivos y métodos de los ataques

En los ataques a las organizaciones, los delincuentes suelen atacar computadoras, servidores y equipos de red (un 85 %). Los ataques se dirigen a los recursos web en el 15 % de los casos. En estos casos, los atacantes logran llevar a cabo con éxito ataques de denegación de servicio distribuido (DDoS).

Targets of attacks (percentage of successful attacks)
Figura 3. Objetivos de los ataques (porcentaje de ataques exitosos)

Los atacantes utilizaron malware en cuatro de cada cinco ataques exitosos a organizaciones. Uno de cada dos incidentes (el 52 %) involucró ingeniería social. En el 37 % de los ataques exitosos se explotaron vulnerabilidades, y en uno de cada diez los atacantes pudieron obtener acceso a recursos de la organización al comprometer credenciales.

Attack methods (percentage of successful attacks)
Figura 4. Métodos de ataque (porcentaje de ataques exitosos)

En los ataques a individuos, el método más popular sigue siendo la ingeniería social (un 91 %), junto con el uso de distintos tipos de malware (un 45 %). En el 9 % de los ataques exitosos, los ciberdelincuentes lograron comprometer la cadena de suministro. Por ejemplo, el Lemon Group, descubierto por Investigadores de Trend Micro, infectó más de 9 millones de dispositivos Android para realizar actividades fraudulentas. Los expertos creen que, en este caso, los atacantes lograron comprometer la cadena de suministro de software.

Malware

Muy a menudo se utilizaron varios tipos de malware para un único ataque. Las más comunes son las herramientas maliciosas de acceso remoto, o RAT (un 54 % de los ataques a organizaciones), el ransomware (un 33 %), los cargadores (un 31 %) y el software espía (un 27 %).

Types of malware (percentage of successful malware attacks on organizations)
Figura 5. Tipos de malware (porcentaje de ataques de malware exitosos a organizaciones)

En los ataques a organizaciones, los atacantes distribuyeron malware principalmente a través de mensajes de correo electrónico que contenían archivos adjuntos maliciosos. También se infectaron los sistemas con malware cuando los recursos de la organización se vieron comprometidos, por ejemplo, por explotar vulnerabilidades en el perímetro de la red. En el caso de los individuos particulares, el malware llega a sus dispositivos principalmente a través de sitios web fraudulentos, correos electrónicos y redes sociales.

Malware distribution methods in successful attacks on organizations
Figura 6. Métodos de distribución de malware en ataques exitosos a organizaciones
Malware distribution methods in successful attacks on individuals
Figura 7. Métodos de distribución de malware en ataques exitosos a individuos

La popularidad de los ataques con malware en África también depende del hecho de que, en en la web oscura, el malware se vende activamente y, en algunos casos, incluso los ciberdelincuentes lo proporcionan de forma gratuita. Por ejemplo, uno de los anuncios ofrecidos a la venta que utilizó el ransomware Hive en un ataque al banco de Zambia en mayo de 2022.

Otro malware de control remoto conocido como Venom RAT puede alquilarse por un mes o un año. Por una licencia anual, los delincuentes cobran USD 1550, mientras que utilizar el malware durante un mes cuesta USD 350. También se encontraron publicaciones que ofrecen acceso gratuito al código fuente de varias familias de malware, incluido el troyano de acceso remoto llamado BlackNET. Tenga en cuenta que el malware mencionado anteriormente fue utilizado por el grupo OPERA1ER. Los atacantes generalmente obtuvieron acceso inicial a través de correos electrónicos de phishing, después de lo cual implementaron un gran rango de malware, incluidos Netwire, BitRAT, AgentTesla, Remcos y Neutrino.

Announcement with a free link to a malware repository
Figura 8. Anuncio con un enlace gratuito a un repositorio de malware

Secuestro de datos

Un tercio de los ataques utilizan malware dirigido a organizaciones involucradas en ransomware. Las víctimas más frecuentes fueron las empresas comerciales (un 25 %), seguidas de el sector industrial (un 19 %) y las organizaciones financieras (un 13 %).

Distribution of ransomware incidents by industry
Figura 9. Distribución de incidentes de ransomware por industria

El método más común de distribución de ransomware es la vulneración de computadoras, servidores y equipos de red (un 74 %). Esto indica la baja seguridad de las empresas, es decir, las vulnerabilidades en el perímetro de red y las fallas de configuración en los servicios disponibles externamente. Tenga en cuenta que los operadores de ransomware suelen comprar las credenciales de empresas comprometidas a los corredores de accesos.

Ransomware distribution methods in successful attacks on organizations
Figura 10. Métodos de distribución de ransomware en ataques exitosos a organizaciones

Ciberespionaje y fuga de datos

En los ataques exitosos a organizaciones, los atacantes tenían como objetivo robar datos personales (un 28 % de la información robada), secretos comerciales (un 26 %) y credenciales (un 23 %). La información confidencial se robó principalmente a organizaciones financieras y comerciales.

En los ataques a individuos, las credenciales (un 40 %), los datos personales (un 27 %) y la información de pago (un 13 %) fueron los tipos de datos más comprometidos.

En una gran cantidad de ataques, los atacantes robaron información confidencial como parte de una campaña de ciberespionaje. Los atacantes también están activos en la web oscura y comparten bases de datos de empleados y clientes de empresas. Estos archivos contienen datos personales como nombres completos, direcciones, números de teléfono y direcciones de correo electrónico.

Types of data stolen in successful attacks on organizations
Figura 11. Tipos de datos robados en ataques exitosos a organizaciones
Types of data stolen in successful attacks on individuals
Figura 12. Tipos de datos robados en ataques exitosos a individuos

Por ejemplo, a principios de 2023, los ciberdelincuentes hicieron que la base de datos de estudiantes de la Universidad Ahmed Ben Bella (Oran 1) estuviera disponible de forma pública. Esto incluía las direcciones de correo electrónico, los nombres, los números de teléfono y las direcciones de más de 50 000 estudiantes.

Publication of the Ahmed Ben Bella University (Oran 1) database in Telegram
Figura 13. Publicación de la base de datos de la Universidad Ahmed Ben Bella (Oran 1) en Telegram

Los ciberdelincuentes también ofrecen datos para la venta. La información obtenida se usa para fraude y en campañas de ciberespionaje. Por ejemplo, una publicación anunciaba una base de datos de direcciones de correo electrónico de empleados del Ministerio de Justicia de Nigeria. De acuerdo con los ciberdelincuentes, esta información podía usarse para ataques de phishing, distribución de malware o espionaje.

Advertisement for the sale of an employee email address database of the Ministry of Justice of Nigeria
Figura 14. Anuncio de la venta de una base de datos de direcciones de correo electrónico de empleados del Ministerio de Justicia de Nigeria

La región africana es regularmente atacada por distintos grupos. Los ataques en varias etapas, bien planificados y bien organizados dirigidos a una industria o una empresa (generalmente una importante) específicas se denominan amenazas persistentes avanzadas (APT). Para llevar a cabo tales ataques, los hackers forman grupos delictivos, conocidos como grupos APT. El principal objetivo de la mayoría de estos grupos es el espionaje. Veamos algunos de estos grupos, con actividades en países africanos:

  • Witchetty. Este grupo, también conocido como LookingFrog, TA410, Cicada y APT10, centra sus ataques en instituciones gubernamentales, organizaciones financieras, empresas industriales, organizaciones benéficas y representantes de misiones diplomáticas en Medio Oriente y África.
  • Mustang Panda. Un grupo chino, también conocido como TA416, RedDelta o BRONZE PRESIDENT. Se dirige a instituciones gubernamentales y organizaciones religiosas en Estados Unidos, África, Europa, Mongolia, Myanmar, Pakistán y Vietnam.
  • Daggerfly. Este grupo, también conocido como Evasive Panda o Bronze Highland, atacó a una empresa africana de telecomunicaciones y realizó campañas de espionaje contra representantes de organizaciones internacionales no gubernamentales en China y Nigeria. La herramienta más utilizada en sus ataques es el troyano de acceso remoto llamado MgBot.
  • Alloy Taurus. Este grupo de ciberespionaje chino (también conocido como Gallium o Softcell) se especializa en empresas de telecomunicaciones y agencias militares y gubernamentales en Afganistán, Australia, Bélgica, Camboya, Filipinas, Malasia, Mozambique, Rusia y Vietnam.
  • MuddyWater. Este grupo de ciberespionaje iraní (también conocido como Earth Vetala, MERCURY, Static Kitten, Seedworm o TEMP Zagros) ha estado atacando a agencias gubernamentales, incluidas autoridades locales, empresas de telecomunicaciones, empresas de la industria de la defensa, medios de comunicación, instituciones científicas y educativas, y empresas petroleras y de gas en Medio Oriente, Asia, África, Europa y América del Norte desde 2017.

Ataques de denegación de servicio distribuido (DDoS)

Los ataques de DDoS también son una de las amenazas más comunes, y el gobierno y las instituciones financieras de África son un objetivo frecuente. Por ejemplo, a principios de mayo de 2023, un grupo de ciberdelincuentes conocido como Mysterious Team Bangladesh, que se especializa en instituciones gubernamentales y medios de comunicación, con el hacktivismo como principal motivación, y que mayormente ataca recursos web, realiza ataques de DDoS y desfigura sitios web, llevó a cabo una serie de ataques de DDoS a instituciones etíopes. Entre las víctimas se encontraban agencias gubernamentales, una empresa de la industria eléctrica, el portal del gobierno etíope, el Ministerio de Salud y un banco cooperativo comercial privado. Luego, este grupo atacó con éxito instituciones de Senegal.

A principios de febrero, otro grupo ciberdelictivo, Team_insane_pk, que centra sus ataques en instituciones gubernamentales y ciudadanos de alto rango de África, Israel, India y Australia, que selecciona sus objetivos basándose en creencias religiosas y políticas, y que principalmente lleva a cabo ataques de DDoS y desfiguraciones de sitios web, atacó el sitio web del Hospital Central de Maputo (Hospital Central de Maputo en Mozambique).

Attack notification posted in the cybercriminal group’s Telegram
Figura 15. Notificación de ataque publicada en el Telegram del grupo ciberdelictivo

En junio, se descubrió una campaña de DDoS entera dirigida a instituciones financieras y gubernamentales de Uganda. Entre las víctimas se encontraron el Banco de Uganda, la bolsa de valores, el parlamento y muchos ministerios.

Ingeniería social

Los ataques de ingeniería social son una de las principales ciberamenazas a organizaciones e individuos tanto en la región africana como en todo el mundo. Por ejemplo, en Sudáfrica, en 2022, el 94 % de las organizaciones experimentaron intentos de phishing. La Interpol también incluye la ingeniería social en la lista de las principales amenazas de la región. Los atacantes utilizan una gran variedad de tácticas de ingeniería social, herramientas automatizadas y robots de spam para maximizar sus posibilidades de éxito. Debido a la escasa concienciación sobre la ciberseguridad de los usuarios, los riesgos asociados con los ataques de phishing siguen siendo excepcionalmente altos. De acuerdo con evaluaciones de concienciación de los empleados en empresas africanas dirigidas por investigadores de KnowBe4 , uno de cada tres empleados hace clic en un enlace de phishing o hace lo que solicitan los atacantes.

Según nuestros datos, se utiliza ingeniería social en el 52 % de los ataques exitosos a organizaciones y en el 91 % de los ataques a individuos de la región africana. En el caso de las organizaciones, el tipo más común de ataque de phishing es enviar correos electrónicos con enlaces maliciosos o archivos adjuntos. En el 29 % de los casos se utilizan sitios falsos que pueden imitar a otros, como páginas de autenticación corporativas, bancos conocidos o sistemas de pago. La disponibilidad de herramientas y servicios de phishing listos para utilizar en la web oscura facilita mucho las cosas a los atacantes y permite que incluso personas sin conocimientos técnicos creen rápidamente campañas de correo engañosas y sitios web fraudulentos.

Social engineering channels used by attackers
Figura 16. Canales de ingeniería social utilizados por los atacantes

El sector financiero es el objetivo más frecuente de ataques de phishing. En 2022, Check Point Research descubrió una campaña maliciosa llamada DangerousSavanna que apuntaba a instituciones financieras medianas y grandes de la África francófona y estuvo activa durante al menos dos años. Los atacantes enviaron correos electrónicos con archivos adjuntos maliciosos a empleados de instituciones financieras en Costa de Marfil, Marruecos, Camerún, Senegal y Togo. Para que los correos electrónicos parecieran genuinos, los atacantes utilizaron direcciones de dominio que se parecían mucho a las direcciones de otras instituciones financieras africanas conocidas, como el Banco Exterior de Túnez, y en ataques recientes reemplazaron la dirección de correo electrónico del remitente por la dirección de una empresa de seguros local.

Los individuos en su mayoría se convierten en víctimas de ataques de phishing por visitar sitios web fraudulentos o toparse con ciberdelincuentes en redes sociales y servicios de mensajería instantánea.

Vulneración de correos electrónicos empresariales

Otro tipo de ataque con métodos de ingeniería social es la vulneración de correos electrónicos empresariales (BEC). En este ataque, los delincuentes obtienen acceso a la cuenta de correo electrónico de un empleado de la organización y la utilizan para sus propios fines (generalmente fraude o robo de dinero o datos). Por ejemplo, el atacante puede intervenir en una correspondencia con una empresa asociada y enviar nuevos datos bancarios para una transferencia, o hacerse pasar por el director de la organización e instruir al departamento de contabilidad para que haga un pago a determinada cuenta.

El daño de un ataque BEC puede alcanzar millones de dólares. De este modo, según el FBI, las empresas estadounidenses sufrieron pérdidas por 2700 millones de dólares en 2022 (cifra que supera las pérdidas por ataques de ransomware) y este número sigue creciendo año a año.

La región africana está experimentando un aumento significativo en los ataques BEC. Los atacantes suelen hacerse pasar por altos ejecutivos, funcionarios gubernamentales o socios comerciales para engañar a sus víctimas. Apuntan tanto a organizaciones pequeñas como grandes. El gran peligro de los ataques BEC radica en el hecho de que los atacantes conocen bien las particularidades de la región: más de la mitad de los grupos de BEC están en África. Según investigadores de Unit42 , una de las mayores comunidades de ciberdelincuentes que lleva a cabo ataques BEC está ubicada en Nigeria. Las empresas africanas reciben cada vez más ataques de parte de grupos internacionales de BEC desde varios países, principalmente Nigeria, Ghana y Sudáfrica.

Aunque los miembros de los grupos de BEC son relativamente fáciles de identificar y el movimiento de fondos puede rastrearse (a diferencia de los grupos de ransomware, por ejemplo), hay muchos factores que hacen que sea difícil para los organismos encargados de hacer cumplir la ley aprehender a los delincuentes. Por ejemplo, la distribución territorial de los grupos delictivos, el carácter internacional de los ciberataques, el retraso en la detección de los ataques y la falta de mecanismos unificados de notificación de incidentes.

Venta de accesos en foros clandestinos

Según nuestros datos, los ciberdelincuentes están utilizando activamente foros clandestinos para comprar y vender acceso a las redes de grandes empresas africanas, incluidas instituciones gubernamentales y financieras, empresas comerciales y empresas de TI.

El costo promedio del acceso con privilegios de administrador de dominio ronda los USD 300, mientras que el acceso con privilegios de administrador local es más barato y cuesta unos USD 170 en promedio. Entre todos los anuncios encontrados, el mayor precio solicitado fue de USD 10 000 por conectarse a la infraestructura de una empresa de telecomunicaciones de Nigeria.

Advertisement for the sale of access to Nigerian telecoms company
Figura 17. Anuncio de venta del acceso a empresa de telecomunicaciones de Nigeria

Los atacantes en los foros clandestinos también están buscando activamente “colaboradores” africanos: individuos que participan en esquemas fraudulentos para obtener ingresos ilícitos. Por ejemplo, se encontraron solicitudes de colaboradores en Nigeria, Senegal, Argelia y Sudáfrica en canales de Telegram.

Announcement for a drop search in Africa
Figura 18. Anuncio de una búsqueda de colaborador en África

Conclusiones y recomendaciones

África es una región extensa con una distribución desigual de recursos entre países, y es una región que continúa enfrentando numerosos desafíos socioeconómicos. Sin embargo, en los últimos años el continente se ha convertido en un gigante digital de rápido crecimiento, gracias a reformas que siguen en curso. Las organizaciones están construyendo infraestructura y brindando servicios para permitir la digitalización a un ritmo acelerado, pero la incorporación de las nuevas tecnologías también abre la puerta a nuevas oportunidades para los ciberdelincuentes.

A continuación proponemos una gama de medidas orientadas a mejorar la ciberseguridad de organizaciones individuales, industrias y la región africana como un todo.

Recomendaciones para los gobiernos

Adoptar políticas y estrategias de seguridad de la información a nivel nacional

Los gobiernos deberían desarrollar, implementar y actualizar periódicamente políticas y estrategias nacionales de ciberseguridad, involucrando un gran rango de partes interesadas en el proceso. El proceso de desarrollo de estas estrategias debe contar con la financiación y el apoyo político necesarios para garantizar una coordinación eficaz y una asignación clara de las responsabilidades.

La estrategia nacional de seguridad de la información debe incluir la evaluación de amenazas, así como objetivos bien definidos y los pasos necesarios para lograrlos. Debe haber representantes de las organizaciones gubernamentales, las empresas y el sector de la ciberseguridad involucrados en el proceso de desarrollo y se deben elaborar proyectos que hayan sido analizados y debatidos públicamente.

La estrategia también debe revisarse y actualizarse periódicamente para garantizar que su contenido siga siendo relevante en función de las amenazas actuales.

Desarrollar legislación para la protección de datos personales

Los gobiernos deberían crear e implementar una legislación para la protección de la información personal. Esta legislación debe apuntar a combatir la ciberdelincuencia, garantizar la protección de los datos personales y mantener la seguridad digital de los ciudadanos y las organizaciones. También debe facilitar la coordinación efectiva entre los diferentes organismos encargados de la de seguridad y de hacer cumplir la ley. Además, se deben crear mecanismos de cooperación internacional para atrapar y procesar más eficazmente a los ciberdelincuentes y compartir información sobre ciberamenazas internacionales.

Proteger la infraestructura de información crítica

Los gobiernos deberían identificar la infraestructura de información crítica, cuya interrupción podría causar eventos no tolerables tanto a nivel de las industrias como de los países. Este enfoque ayuda a asignar recursos para asegurar la protección de los sistemas más críticos de la forma más eficaz posible. La prioridad debe ser la infraestructura de sectores como el gobierno, las telecomunicaciones y las finanzas, así como otras industrias vitales para la economía y la seguridad nacional, como la agricultura, la minería o la fabricación. También deben tenerse en cuenta la velocidad de la transformación digital en el país y el nivel de madurez de la seguridad de la información.

La seguridad de la infraestructura crítica suele depender de proveedores externos de tecnologías de la información y comunicación (TIC). Los gobiernos deberían garantizar la protección de las redes de suministro de energía y los puntos de acceso a Internet, diversificar la gama de proveedores de infraestructura tecnológica clave y fomentar el desarrollo de empresas africanas capaces de suministrar, mantener y proteger la infraestructura de la información crítica.

Crear centros de respuesta a incidentes cibernéticos a nivel nacional e industrial

Establecer equipos nacionales de respuesta a incidentes cibernéticos (CIRT) para monitorear las amenazas y ayudar a las organizaciones a recuperarse de los principales ciberataques debe ser la máxima prioridad para los gobiernos. En el momento de la redacción de este informe, solo 26 países africanos tenían CIRT nacionales. Los países donde ya existen tales estructuras deberían establecer CIRT sectoriales y colaborar para apoyar la creación de CIRT regionales y continentales. Es necesario desarrollar mecanismos claros y transparentes para denunciar los incidentes cibernéticos que ocurren en las organizaciones. Las respuestas a las ciberamenazas se deben integrar en la estrategia general para proteger y restaurar la infraestructura nacional crítica.

Cooperar internacionalmente

El apoyo a los esfuerzos regionales e internacionales para combatir el ciberdelito organizado es fundamental. Intentar combatir el ciberdelito exclusivamente dentro de las fronteras regionales es, en la mayoría de los casos, un esfuerzo inútil. Los gobiernos deben adoptar políticas, procedimientos y acuerdos que les permitan recopilar pruebas digitales, compartirlas y extraditar a los ciberdelincuentes. Una mayor colaboración internacional ayudará a los países africanos a mantenerse informados sobre las últimas ciberamenazas, a cooperar con otras naciones en el combate contra el ciberdelito y a contribuir con el desarrollo de normas y políticas globales de ciberseguridad. Una participación activa en estos esfuerzos ayudará a los gobiernos africanos a proteger mejor a sus países, ciudadanos e infraestructura crítica de las ciberamenazas.

Recomendaciones para empresas

Identificar eventos no tolerables y activos fundamentales

Para garantizar la ciberresiliencia de una empresa, es necesario antes que nada analizar los principales riesgos y elaborar una lista de eventos no tolerables que podrían causar daños importantes en relación con sus actividades. Este paso ayudará a identificar activos fundamentales y centrarse en proteger los recursos más valiosos. Las estrategias deben desarrollarse para prevenir eventos no tolerables, incluidas las medidas de seguridad necesarias y el monitoreo de la actividad de la red con el uso de herramientas de seguridad modernas.

Monitorear los incidentes y responder a las ciberamenazas

Se necesitan sistemas de seguimiento y detección de incidentes para responder a las posibles amenazas y ataques de manera oportuna. Para esto, recomendamos el uso de sistemas de información de seguridad y gestión de eventos (SIEM) que recopilen y analicen información sobre eventos de seguridad de diversas fuentes en tiempo real. Junto con las soluciones de detección y respuesta extendidas a amenazas (XDR) y análisis de tráfico de red (NTA), esto ayudará a detectar los ataques en las primeras etapas y garantizar respuestas rápidas, lo que reduce los riesgos para su organización.

Evaluar la eficacia de la ciberseguridad

La efectividad de las medidas de ciberseguridad adoptadas debe ser probada regularmente para evaluar el desempeño de la estrategia y las defensas. Recomendamos prestar especial atención a la verificación de los eventos no tolerables para la organización.

También vale la pena considerar la posibilidad de participar en programas de bug bounty , para que los investigadores de seguridad externos puedan encontrar nuevas vulnerabilidades. Esto ayudará a detectar y eliminar vulnerabilidades antes de que los atacantes puedan explotarlas.

Formar empleados y desarrollar especialistas en seguridad de la información

Esto es esencial para educar a los empleados en materia de ciberseguridad y realizar sesiones de capacitación a fin de aumentar la concienciación respecto de las ciberamenazas actuales y protegerse contra las técnicas de ingeniería social.

Para combatir eficazmente las ciberamenazas, las organizaciones africanas deberían invertir en la formación de sus expertos en ciberseguridad. La formación y certificación periódicas de los empleados en materia de ciberseguridad mejorarán sus habilidades y conocimientos e impulsarán a la empresa con el apoyo de expertos en la prevención de los ciberataques y la respuesta frente a ellos. Una de las formas más efectivas de hacer esto es participando en ciberejercicios en plataformas dedicadas, donde los especialistas en seguridad de la información pueden practicar el reconocimiento de técnicas de ataque y contrarrestarlas.

Acerca de la investigación

Este informe incluye información sobre incidentes de seguridad de la información en la región africana, y se basa en la propia experiencia de Positive Technologies, los resultados de los estudios y los datos de fuentes acreditadas.

Creemos que la mayoría de los ciberataques no se hacen públicos debido a los riesgos que esto supone para la reputación. En consecuencia, incluso las organizaciones que investigan incidentes y analizan la actividad de los hackers no pueden llevar un recuento preciso de las amenazas. Nuestra investigación tiene como objetivo alertar a empresas e individuos que se preocupan por el estado de la seguridad de la información e informar respecto de los motivos y métodos claves de ciberataques, destacando las principales tendencias en el cambiante panorama de las ciberamenazas.

En este informe, se considera que cada ataque masivo (por ejemplo, correos electrónicos de phishing enviados a múltiples direcciones) representa un incidente, no varios. Para obtener explicaciones de los términos utilizados en este informe, consulte el glosario de Positive Technologies.

Póngase en contacto

Complete el formulario y nuestros especialistas
se pongán en contacto con usted en breve