La región de Medio Oriente es una de las zonas más tensas en lo que respecta al ciberespacio en todo el mundo. La combinación de una economía próspera con las altas tasas de digitalización atrae a actores maliciosos de todo el mundo. Las pérdidas que sufren los países de Medio Oriente debido a ciberataques aumentan cada año: según los datos de IBM, en 2020 el costo promedio de un ciberataque a una organización en Arabia Saudita y Emiratos Árabes Unidos era de USD 6 530 000, que es un 69 % más que el promedio global. De acuerdo con ResearchAndMarkets, se espera que el mercado de la ciberseguridad en Medio Oriente alcance los casi 30 000 millones de dólares para 2025, con una tasa de crecimiento anual promedio del 14 %.

Además del creciente delito cibernético, existen varios problemas de ciberseguridad que pueden afectar significativamente al éxito de una organización en relación con sus objetivos operativos y estratégicos o la seguridad de todo un país:

• Ciberataques en infraestructura crítica

Medio Oriente es una de las regiones más importantes del mundo en términos de producción de petróleo y gas (por ejemplo, Arabia Saudita produjo casi 11 millones de barriles de aceite por día en 2021), así como en transporte de recursos extraídos. Esto hace que la región sea particularmente vulnerable a ciberataques a infraestructura crítica, como campos de petróleo y gas, plantas de energía, puertos y aeropuertos. Analistas de Kaspersky reportaron que, en 2022, Medio Oriente fue una de las cinco primeras regiones del mundo en términos de mayor porcentaje de malware bloqueado mediante sistemas de control industrial (ICS).

• Ciberguerra, ciberespionaje y hacktivismo

Las tensiones geopolíticas en la región dan lugar a una actividad constante de grupos de atacantes bien entrenados (de amenazas persistentes avanzadas; APT), que llevan a cabo ciberataques dirigidos y ciberespionaje. Además, en los países de Medio Oriente, hay una amenaza importante de parte de los hacktivistas: grupos de ciberdelincuentes cuyos ataques no están dirigidos a una ganancia financiera o una recopilación de datos sino más bien a llamar la atención del público sobre diversas problemáticas sociales o políticas mediante ataques de DDoS masivos y la desfiguración de sitios web.

El 83 % de los ciberataques exitosos fueron ataques dirigidos.

El 20 % de los ataques estaban dirigidos a individuos.

Agencias gubernamentales

En los países de Medio Oriente, las agencias gubernamentales son los objetivos más atractivos para los ataques ciberdelictivos, que representan el 22 % del total de ataques a organizaciones. Una característica destacable de los ataques en las agencias gubernamentales de Medio Oriente es que los llevan a cabo principalmente grupos APT (un 56 %), que se ocultan en la infraestructura de la víctima durante  un largo período para realizar espionaje cibernético. Estos atacantes son muy hábiles y poseen todo el arsenal de malware y exploits para comprometer sistemas y filtrar datos. Un tipo interesante de ataque con métodos de ingeniería social fue el que utilizó el grupo TA456: los atacantes crearon un perfil falso de una chica atractiva para ganarse la confianza de los empleados del gobierno y distribuir software espía en su correspondencia. Las principales consecuencias de los ciberataques a instituciones estatales son la perturbación de las principales actividades (un 36 %) y la filtración de información confidencial (un 28 %).

Organizaciones industriales

Las organizaciones del sector industrial constituyen una parte significativa del PBI de los países de Medio Oriente y son muy valoradas en el mercado, ya que acumulan una gran cantidad de datos confidenciales que atraen la atención de actores maliciosos (ocupan el segundo lugar entre las industrias más atacadas, con el 16 %). Los atacantes acceden a los sistemas de sus víctimas mediante ataques a los usuarios, a través de canales de ingeniería social (un 33 %). En el 62 % de los ataques con malware, se utilizaron herramientas de administración remota (RAT), así como limpiadores (un 31 %).

El 78 % de los ciberataques dirigidos a organizaciones de Medio Oriente tiene como objetivo computadoras, servidores y equipos de red. Esto se debe a la actividad de los grupos APT que atacan dispositivos finales y servidores, así como a la actividad de los grupos de ransomware. Los ataques a los usuarios (un 41 % a organizaciones y un 96 % a individuos) son uno de los métodos de ataque actuales más extendidos. El factor humano fue la causa de más del 80 % de los hackeos en 2022 según el informe anual de Verizon, incluso en Medio Oriente. Los recursos web completan el grupo de los tres objetivos más atacados entre las organizaciones: los atacantes explotan las vulnerabilidades web y roban datos de los usuarios. Además, las aplicaciones web son el objetivo de desfiguración y ataques de DDoS por parte de hacktivistas.

Malware utilizado en ataques en Medio Oriente

En casi dos tercios de los ataques a organizaciones de Medio Oriente se utiliza malware de distintos tipos. Este es el tipo más popular de malware en ataques a organizaciones, y por una buena razón: brinda a los atacantes un control casi completo sobre los dispositivos comprometidos, desactiva las herramientas de seguridad y garantiza la persistencia dentro de la infraestructura. Este tipo de malware es popular entre todo tipo de actores amenazantes, particularmente los grupos APT.

El software espía se ha generalizado en los ataques de malware a individuos. La mayoría de las veces, los atacantes lo distribuyen bajo el pretexto de aplicaciones legítimas, como servicios de VPN o aplicaciones para crear números de teléfono virtuales.

Los grupos de ransomware son una de las principales amenazas mundiales en este momento, incluso en Medio Oriente: la actividad de los grupos de ransomware aumentó en un 77 % en el primer trimestre de 2023 en comparación con el mismo período de 2022. De acuerdo con el informe “Hi-Tech Crime Trends 2022/2023” de Group-IB, los países más atacados en la región del Golfo Pérsico fueron los Emiratos Árabes Unidos (un 33 %), Arabia Saudita (un 29 %) y Kuwait (un 21 %).

Una característica regional de Medio Oriente es el uso de limpiadores por parte de actores maliciosos en los ataques con malware. Cuando este malware infecta un dispositivo, borra todos los archivos del usuario y del sistema, lo que hace que el dispositivo colapse. Un escenario particularmente peligroso es cuando los limpiadores infectan el equipo del ICS, ya que su falla puede provocar interrupciones en el proceso tecnológico e incluso situaciones de emergencia. En el segundo trimestre de 2022, hubo un gran ataque a tres plantas siderúrgicas iraníes, que dio como resultado interrupciones en los procesos de producción. En una de las plantas, los atacantes lograron volcar un contenedor de acero fundido y provocaron un incendio en el piso de la fábrica.

Siguiendo la tendencia mundial de robo de información, la mayoría de los delincuentes se han centrado en robar información confidencial, realizar ciberespionaje e interrumpir las operaciones centrales de las organizaciones. Debido al nivel relativamente alto de secretismo sobre los asuntos internos de la región y la escasa cobertura de los casos de ciberataques, las consecuencias de la alta proporción de incidentes aún no se conocen.

Grupos que atacaron a organizaciones e individuos en Medio Oriente

Los grupos APT llevaron a cabo un 40 % de ciberataques exitosos.

En lo que respecta a ciberataques, Medio Oriente está en una posición única y potencialmente vulnerable. Se trata de una región rica en petróleo, con países que están buscando una digitalización rápida y a gran escala, incorporando tecnologías innovadoras en los procesos gubernamentales y sectores claves de la economía. En 2023, este se convertirá en uno de los objetivos más atractivos para atacantes de ransomware, estafadores, grupos APT y hacktivistas. En función de los datos de fuentes abiertas y nuestras propias estadísticas, podemos concluir que la mayoría de los ciberataques exitosos en Medio Oriente se llevan a cabo actualmente y se seguirán llevando a cabo en el futuro con el uso de métodos de ingeniería social, difusión y despliegue de malware, y explotación de vulnerabilidades web y de software.

Estas son las amenazas de seguridad más importantes para los países de la región de Medio Oriente en 2023:

• Ciberataques a organizaciones gubernamentales. Es probable que los ciberdelincuentes o los grupos APT aspiren a comprometer los sistemas gubernamentales para obtener datos confidenciales, realizar ciberespionaje, interrumpir operaciones o influir en los procesos de toma de decisiones.
• Ataques constantes a infraestructura crítica. Los ataques a la infraestructura crítica pueden tener las consecuencias más graves tanto para la propia organización como para la economía o la seguridad del país. Para lograr esto, los atacantes pueden apuntar a organizaciones de los sectores de energía, telecomunicaciones y financiero, así como atención médica o transporte.
• Phishing e ingeniería social. Se llevarán a cabo ataques basados en métodos de phishing e ingeniería social para obtener acceso a los sistemas de organizaciones de todos los sectores de la economía y los individuos.
• Distribución de malware. Los ataques con malware (troyanos de acceso remoto, software espía, ransomware) seguirán siendo una seria amenaza para las organizaciones y los usuarios individuales.
• Hacktivismo. Los hacktivistas pueden utilizar la desfiguración de sitios web, los ataques de DDoS o la inyección de malware para dañar los sistemas de información y obtener acceso no autorizado a información confidencial. También pueden realizar ciberpropaganda y difundir información falsa para influir en la opinión pública.

El aumento en la cantidad de grupos delictivos y, en consecuencia, en la cantidad de ciberataques, llevó a que creciera la necesidad de contar con ciberseguridad en las organizaciones de la región de Medio Oriente. Según el pronóstico de la Corporación Internacional de Datos, el gasto en seguridad en la región de Medio Oriente en 2023 aumentará cerca de un 8 % anual, y la mayor proporción de gasto (un 41 %) estará asignada a software.

Los líderes de los países de Medio Oriente reconocen plenamente la gravedad de las ciberamenazas y están estableciendo un marco normativo para controlar las actividades en el ciberespacio:

• Catar implementó disposiciones para las organizaciones de acuerdo con la Ley nro. 13 de 2016 sobre Protección de la Privacidad de Datos Personales para garantizar la protección y seguridad de los datos del usuario.
• Baréin promulgó la Ley de Protección de Datos Personales (PDPL) el 1 de agosto de 2019. Esta se modeló según los criterios de la Unión Europea, y los delincuentes pueden enfrentar una pena de más de un año de prisión.
• En noviembre de 2021, los Emiratos Árabes Unidos sancionaron la Ley Federal nro. 45 (Ley de Protección de Datos de los EAU), que establece estándares más estrictos de privacidad y protección de datos, a la vez que define los derechos y deberes de todas las partes interesadas en el procesamiento de la información personal.

Debido al aumento de la actividad de los ciberdelincuentes y la gravedad de las consecuencias de los ciberataques exitosos, las organizaciones de Medio Oriente deben priorizar la ciberseguridad. Necesitan implementar herramientas, servicios y prácticas que puedan potenciar su capacidad para monitorear y responder a los incidentes de seguridad de la información y aumentar la concienciación y vigilancia de sus empleados con el fin de prevenir los ciberataques. Una de las metodologías más relevantes para abordar los problemas centrales de seguridad es un enfoque integral y eficaz en materia de ciberseguridad, cuyo objetivo debe ser establecer un sistema continuo y automatizado que proteja toda la infraestructura de TI, teniendo en cuenta las actividades específicas y los procesos comerciales de las organizaciones.

Para construir tal sistema, las organizaciones necesitan identificar y evaluar los activos de información que requieren protección, así como determinar los eventos que podrían ocurrir como consecuencia de un ciberataque y que podrían obstaculizar los procesos de la organización, los objetivos operativos o estratégicos, o perturbar significativamente sus operaciones principales (eventos inaceptables).

Una vez identificados los activos y los eventos inaceptables, se deben tomar medidas para evaluar la seguridad de los sistemas (ciberejercicios, pruebas de pentesting) y realmente implementar (verificar) los eventos inaceptables.

En función de la evaluación de la organización en materia de seguridad, se deben seleccionar aquellos componentes de protección que garanticen los tres elementos claves de una ciberseguridad efectiva:

• Supervisión

Un sistema de seguridad en tiempo real debe ser consciente de qué sucede con los activos protegidos y qué tan bien cumplen los elementos de la infraestructura los requisitos de un entorno seguro.

Implementar sistemas de información de seguridad y gestión de eventos (SIEM) les permite a los equipos de seguridad monitorear y analizar eventos de seguridad, detectar ataques y evaluar el buen funcionamiento de los elementos de infraestructura protegidos según los requisitos de seguridad.

Para detectar ataques en sistemas industriales, los sistemas SIEM pueden complementarse con productos especializados en analizar el tráfico de los sistemas de control industriales, lo que permite supervisar acciones no autorizadas y actividad de malware sin afectar negativamente los procesos de producción.

• Respuesta

El sistema debe comprender la intención del atacante para responder rápida y eficazmente a los incidentes y prevenir eventos inaceptables.

La combinación de detección y respuesta extendidas (XDR) y soluciones SIEM permite detectar ataques a la infraestructura y responder a ellos tanto de forma manual como automática. Las capacidades de detección y respuesta ante amenazas pueden mejorarse usando un entorno de pruebas para el análisis estadístico y dinámico de amenazas como el malware avanzado. En el caso de investigaciones de incidentes de expertos, se utilizan soluciones de análisis de tráfico de red (NTA) para un análisis profundo del tráfico y la detección de actividad maliciosa. Las soluciones de NTA también actúan como sensores SIEM que muestran información del estado de la red y sirven como una herramienta para la caza proactiva de amenazas.

• Gestión de activos

Una de las principales funciones de un sistema de seguridad es mantener un inventario constante de activos clasificados, teniendo en cuenta eventos inaceptables para la organización y formas en que podrían desarrollarse los ciberataques.

Los sistemas de gestión de vulnerabilidades (VM) automatizan los procesos de gestión de activos y la detección y reparación de vulnerabilidades en componentes de infraestructura, según su nivel de gravedad. Los sistemas de VM también monitorean el nivel de protección de la infraestructura contra vulnerabilidades explotadas en ataques del mundo real.

En el caso de que una organización esté desarrollando productos de software y aplicaciones web, es necesario implementar procesos seguros de desarrollo de software y utilizar herramientas de análisis de código fuente para identificar vulnerabilidades y fallas de diseño durante la fase de desarrollo.

Las plataformas de bug bounty pueden ayudar a las organizaciones a establecer un proceso continuo de análisis de seguridad de sus servicios y optimizar los costos de seguridad.

Los empleados son el principal activo de cualquier organización y, al mismo tiempo, uno de los principales vectores de ataque a los sistemas corporativos. Es necesario que los empleados tomen más conciencia sobre la importancia de la seguridad de la información (conciencia de seguridad) y que se genere una protección empresarial confiable. El cumplimiento de las normas de higiene digital reduce la probabilidad de que haya endpoints comprometidos. Los usuarios que sean conscientes de las amenazas actuales no caerán en los trucos de los actores maliciosos y no abrirán archivos adjuntos de correos electrónicos sospechosos ni conectarán dispositivos desconocidos. En cambio, informarán sobre actividades sospechosas e intentos de ataque al centro de operaciones de seguridad (SOC).

Una combinación de herramientas de seguridad de la información correctamente configuradas, un equipo experimentado de especialistas en ciberseguridad y continuidad de procesos, todo ello en el marco de un enfoque eficaz, permiten la máxima automatización y centralización de los procesos de gestión de seguridad de la organización y el logro del objetivo principal: la protección contra los eventos inaceptables.

Este informe contiene información sobre las amenazas actuales a la seguridad de la información en la región de Medio Oriente, basándose en la propia experiencia de Positive Technologies, así como en datos de fuentes confiables. El término “Medio Oriente” aquí hace referencia a los siguientes países: Baréin, Egipto, Israel, Jordania, Irak, Irán, Yemen, Catar, Chipre, Kuwait, Líbano, Emiratos Árabes Unidos (EAU), Omán, Estado de Palestina, Arabia Saudita y Siria.

Estimamos que la mayoría de los ciberataques no se hacen públicos debido a los riesgos que esto supone para la reputación. Como consecuencia, incluso las empresas especializadas en la investigación de incidentes y el análisis de la actividad de los hackers no pueden calcular la cantidad exacta de amenazas. Nuestra investigación busca llamar la atención de empresas y personas comunes y corrientes que se preocupan por el estado de la seguridad de la información. Para esto, informamos los motivos y métodos claves de los ciberataques, y destacamos las principales tendencias en el panorama cambiante de las ciberamenazas.

En este informe, se considera que cada ataque masivo (por ejemplo, correos electrónicos de phishing enviados a múltiples direcciones) representa un incidente, no varios. Para obtener explicaciones de los términos utilizados en este informe, consulte el glosario de Positive Technologies.