Think Ahead Report 2024

Annual Report
Sobre
Neosecure by SEK
En un ecosistema que combina las mejores tecnologías, ofertas de servicios y un equipo de
profesionales altamente capacitados, contamos con el conocimiento y la capacidad para enfrentar
los más diversos desafíos de ciberseguridad.
NeoSecure by SEK integra el ecosistema de SEK con más de 20 años de experiencia, + de 1.000
colaboradores y una base de +800 clientes en la región, operamos en los mercados de Brasil,
Chile, Argentina, Colombia y Perú, donde contamos con tres Cyber Defense Center y dos Cyber
Response Center, además de centros avanzados de investigación en los Estados Unidos y
Portugal.
Ayudamos empresas de los más diversos sectores a hacer frente a ciber amenazas complejas a lo
largo de su jornada de ciberseguridad – actuando ahora y mirando hacia el futuro.
Think Ahead Report 2024

Un mundo en
maduración
La evolución de la ciberseguridad es un fenómeno Por otro lado, el surgimiento de cientos de
que algunas veces se da de una forma incremental, tecnologías y temáticas que abruman a los
sin grandes sorpresas y mostrando variantes y responsables del área, han tenido como efecto una
reafirmaciones de las tendencias que ya se tendencia hacia la consolidación. La adopción de
observaban los años anteriores, mientras que otras plataformas tecnológicas altamente integradas es
veces presenta saltos inesperados. Ocasionalmente, una de ellas, pero la integración de temáticas es otro.
algún fenómeno remueve los cimientos del medio, Así, por ejemplo, diversas prácticas relacionadas con
haciendo que el énfasis cambie bruscamente y la exposición, como la gestión de vulnerabilidades,
genere una explosión de innovación.
pentesting, gestión de postura, se van consolidado

en torno al concepto de Gestión Continua de la
En el pasado, el ataque a Lockheed Martin, dio lugar Exposición visto como un fenómeno que debe ser
al desarrollo del cyber kill chain, la aparición de abordado de forma integral.
malwares sofisticados como Stuxnet y otros

impulsaron la aparición de nuevos sistemas La identidad es otro espacio que ha tomado
antimalware como los sandbox, el desarrollo del sostenidamente un lugar de privilegio y su cuidado
ransomware, los APT y en general, los ataques enfrenta desafíos relevantes como las mencionadas
dirigidos, impulsaron a los sistemas de EDR y otros técnicas de deepfake, entre otras.
mecanismos de detección.
La búsqueda de mejores estrategias de protección

El año 2022 tuvo a la explosión de las Inteligencias se hace indispensable y nuevos modelos como
Artificiales Generativas como elemento de ZeroTrust, ponen un énfasis especial en la identidad
disrupción central.
como elemento central.
Durante el año 2023, no hubo nada parecido a esos Si bien no ha sido un año de acontecimientos
momentos transformadores, pero si la maduración explosivos dentro de la industria, lo que ha ido
de fenómenos que ya habíamos vislumbrado. El aconteciendo, permite prever una serie de caminos
desarrollo de las IA Generativas, generan una serie interesantes y no carentes de desafío, orientados a
de efectos, como la prevención del deepfake o la construir mejores capacidades en una gestión cada
protección de la misma infraestructura y sistemas de vez más cerca del negocio.
IA.
Por otro lado, la relevancia que ha tomado la

disciplina de ciberseguridad, manifestada en el
crecimiento de los presupuestos y la vitalidad del
entorno de inversión de riesgo, la van moviendo de
su espacio eminentemente técnico a uno de
alienación con el negocio y de gestión adecuada de
los recursos.

Acerca de los
datos
PERÍODO DE ANÁLISIS
Este reporte que afecta a los sectores de TI y OT
2023
para el año 2023 considera, como fuente de datos,
diversas fuentes abiertas y privadas, así como los
propios datos del SOC de NeoSecure by SEK.   
Los datos regionales incluyen los países donde ALERTAS ANALIZADAS

NeoSecure by SEK mantiene sus operaciones:
+1 .535.000
Argentina, Brasil, Colombia, Chile y Perú.
Para efecto de los datos de exposición, hemos

utilizado los ejercicios de pentesting de nuestros
equipos de seguridad ofensiva, nuestros equipos
FUENTES ABIERTAS
consultivos, nuestros servicios de Cloud Security
8
Posture Management y fuentes públicas.  
Además, se hace una distinción entre Ransomware y

"otras violaciones". Las primeras están relacionadas
con ataques realizados por grupos de Ransomware, ALERTAS ANALIZADAS
mientras que las segundas se refieren a ataques
1129
realizados por grupos APT para otros fines
(espionaje, hacktivismo, robo de propiedad
intelectual, etc.).
Ejercicios de RedTeam
ejecutados
15 años de experiencia
805
organizaciones
evaluadas en cloud
148

Índice
06 tendEncias DE LA AMENAZA 50 tendEncias DE LA INDUSTRIA
07 Con menos espectacularidad,
51 Deepfake, cuando nos robaron el
la amenaza se expande rostro
08 Grandes tendencias en la amenaza 54 IA también es un sistema a ser
protegido
12 Brechas
57 Automatización, más allá del SOAR
17 Actores de Amenaza
59 Seguridad de la Identidad, no sólo
29 Mirada desde el monitoreo de prevenir, también detectar
seguridad
62 Más allá de la gestión de
36 Conclusiones vulnerabilidades: La Gestión Continua
de la Exposición
37 tendEncias DE LA EXPOCISIón 65 El Next Generation CISO
39 Una visión innovadora con el CTEM y 68 Conclusiones finales
cómo podemos harcelo
40 Nuestra visión e índice de Exposición 69 Nuestra visión

41 Sector financeiro 70 Producutos y Servicios
42 Manufactura 71 NeoSecure by SEK
43 Medios
44 Salud
45 Servicios
46 Retail
47 Principales debilidades
48 Debilidades en la Nube
49 Conclusiones y recomendaciones

tendEncias
DE LA AMENAZA
Think Ahead Report 2024 6

tendEncias DE LA AMENAZA
Con menos espectacularidad,
la amenaza se expande
El año 2023, desde la perspectiva de la amenaza ha Pero la verdad es que quienes son hoy responsables
sido un año que ha carecido de la espectacularidad de proteger a sus organizaciones, tienen un desafío
de otros. No tuvimos un Stuxnet, ni la devastación cada vez más difícil. Las superficies de ataque
que provocó el NotPetya, o un APT como el que crecen, los ambientes cambian, los grupos de
sufriera Lockheed Martin en la primera década del cibercrimen aumenta y se sofistican y por otro lado,
siglo. Eso no lo hizo sin embargo un año seguro. La una serie de amenazas que eran pan de todos los
presencia del ransomware se ha hecho casi días como los ataques a los sistemas SWIFT, los
endémica, y hemos visto como se consolida la idea robos masivos de tarjetas de crédito han
de la normalización de la amenaza y se convierte en desaparecido de las portadas.
un hecho cotidiano, algo a lo que habría que

acostumbrarse.
Debemos entender también, que pese al notable

desarrollo tecnológico, el ser humano no siempre
Tal vez ese acostumbramiento y la larga lista de sigue ese paso a la misma velocidad. La conocida
fronteras superadas hace que lo novedoso lo tenga escasez de profesionales es un punto central, que
más difícil: ya vimos en años anteriores el primer lleva a otro fenómeno que es la rotación y estrés de
hacking satelital, disrupción de sistemas de energía, los presupuestos.
combustible y agua potable, muertes como

consecuencias de un ataque, grandes apagones, Desde este escenario cabe preguntarse qué
peaks de teras de tráfico de denegación y varios podemos esperar. La respuesta no es muy difícil:
otros. Lograr el siguiente hit requiere un esfuerzo más de lo mismo, pero mejor hecho. Condimentado
importante. Para salvar esa sensación de novedad y por supuesto con las novedades que el ingenio
este año, podemos citar los primeros ataques de humano, ahora apoyado por la IA nos pueda
deepfake, algo que seguramente vamos a comenzar entregar. También podemos esperar que el esfuerzo
a escuchar con mucha más frecuencia.
sostenido y profesional de quienes custodian a las

organizaciones, los aleje cada vez más de estos
Naturalmente aparece la pregunta: ¿qué ha pasado escenarios de destrucción de valor.
con los miles de millones de dólares gastados en
nuevas tecnologías, consultorías, servicios, información
de inteligencia? ¿Por qué parecen no notarse? No
tenemos el contrafactual de esta reflexión y no
sabemos cómo sería el escenario actual sin todo ese
esfuerzo.
Es posible que el hecho de que podamos seguir

funcionando como sociedad sea la respuesta, un
“imaginen si no estuviese todo eso”.

Grandes
tendencias ,
en la amenaza

Grandes tendencias
en la amenaza
Deepfake y el asalto a la identidad
Tal vez el elemento más llamativo con relación a las Por supuesto enfrentaremos deepfake de distintas
nuevas técnicas utilizadas por los grupos calidades y tendremos a públicos más sensibles de
cibercriminales venga de los ataques denominados ser engañados que otros. El deepfake se sumará a
de deepfake. La posibilidad de usar la IA para tendencias anteriores como CEO Fraud, que
“sintetizar una identidad”, es decir tomar a una encontrará acá una nueva vertiente de innovación.
persona real y producir videos realistas, voces La información de videos, fotografías y texto en
equivalentes y copiar sus tipos de expresiones, son redes sociales serán un insumo valioso para los
quizá el aspecto más relevante y alarmante en atacantes. Esta es una de las amenazas sobre las
término de amenazas.
cuales se deberá tener una especial atención.
Todo esto parece haber tenido el preludio perfecto
con la pandemia que aceleró el teletrabajo,
haciéndolo parte de la habitualidad. El año 2023
vimos los primeros ejemplos de este tipo de
amenazas, con la sintetización de voces de
ejecutivos y otros. Las prácticas para robo en escala
de imágenes y videos de identidades para luego
reproducirlos comienzan a aparecer en el horizonte.
Tanto personas como organizaciones sufrirán el
asalto de estas nuevas técnicas.

Contexto Geopolítico
El contexto geopolítico es más complejo que el de Esta actividad tiene varios efectos colaterales. El
hace un año. Las tensiones en torno a Taiwán, la primer tipo de efectos dice relación con el trasvasije
situación en Gaza, la acción de grupos terroristas en de técnicas y también actores desde el mundo de la
el estrecho de Ormuz, la situación de Ucrania y el acción estatal al mundo de cibercrimen, lo que va
potencial alejamiento de EEUU como soporte militar haciendo la acción de estos últimos más efectiva y
de esta última, han generado un escenario como no profesional.
se veía hace tiempo. Incluso la región, en general

pacífica, vio surgir la amenaza de una posible El segundo efecto, son las acciones que escapan de
invasión de Venezuela sobre Surinam. Todas estas control. Tal fue el caso de NotPetya, una acción
situaciones han estado rodeadas de una prolífica dirigida por los servicios secretos rusos contra
actividad de grupos activistas y patrocinados por los Ucrania, que resultó en un gusano que detuvo
estados o grupos en disputa.
infraestructura a través del planeta en tiempos

record y con costos de más de USD 10 billones.
Las acciones de espionaje, de sabotaje, de

desinformación sin contar con las acciones Los responsables de ciberseguridad deberemos
operativas como parte de los mismos estar preparados para escenarios inesperados,
enfrentamientos ha aumentado de manera sensible . interrupción de infraestructura y deberán ampliar su
Para esto, los estados recurren a sus propios capacidad de inteligencia para evaluar bien estos
equipos, pero muchas veces, recurren a grupos posibles escenarios.
ciberciminales con los que forman alianzas.

Filtraciones obtenidas por grupos pro-rusos de
militares alemanes respecto al uso de misiles,
ataques de grupos pro-palestinos a empresas
israelíes, aumento de la actividad originada en China
contra organizaciones norteamericanas son una
pequeña muestra del catálogo de actividad en torno
a estos conflictos.

I.A (Inteligencia Artificial) WiFi e IoT

El uso de las capacidades de IA para aumentar el El ataque a los dispositivos IoT se encuentra en la retina
potencial de la amenaza ha comenzado a dar sus de la industria desde hace un tiempo y la proliferación
primeros pasos. Un caso interesante es el del de estos sistemas con los problemas de securización,
modelo Llama 2 desarrollado por Meta, el que fue crea un escenario de riesgo importante. El ataque a
puesto primero filtrado y luego de dominio público los sistemas de IoT se está viendo complementado
por la propia empresa. Crowdsitrke habría por el uso de las redes WiFi poco protegidas para
encontrado evidencia de su uso en la creación de acceder al interior de la red.
los Power Shell de algunos ataques.
La combinación de, por ejemplo, una red WiFi que

Si bien la evidencia del uso de IA en la ejecución expone un sistema de aire acondicionado inseguro,
misma de los ataques ha sido baja, no podemos generan una ampliación de la superficie de ataque,
descartar que durante el 2024 comiencen a posibilitando el acceso a actores maliciosos.
aparecer algún tipo de toolkit orientado a esta Por otro lado, la endémica incapacidad de asegurar
actividad, aunque los más probable es que esté estos dispositivos o de ponerlos en redes
orientado a ser un sistema de auxilio al atacante, segmentadas facilitan el movimiento lateral. Al no
sugiriendo los pasos a seguir y no ejecutándolos. En contar con inventarios completos, los equipos
la medida que la confianza de los actores sobre
responsables de ciberseguridad, tienen baja
estas herramientas crezca, recién comenzaremos a visibilidad y por tanto, un alto riesgo.
ver los primeros casos de ejecución automatizada.
Ransomware Saludable
El ransomware se mantendrá saludable y creciendo

durante el 2024. Su modelo de negocios ha
demostrado ser enormemente efectivo para el
mundo del cibercrimen. Posiblemente veremos
crecer los casos de doble y triple extorsión (cifrado
de datos, exposición de datos, denegación de
servicio) con técnicas más sofisticadas para
aumentar el costo de la víctima. Veremos como
crece en este tipo de ataques el uso de deefake y
de IA para generación de código y eventualmente la
ejecución de parte de las acciones.

Brechas

Brechas
Brechas Nivel Global
33,7% 9,7%
49%
1,7%
3,3%
2,6%
En el 2023, un 73% de las brechas correspondieron a ransomware. Aproximadamente un 3,3% de la actividad

se encontró en Sudamérica. Esta cifra es menor a lo observado en otros años y puede deberse al
recrudecimiento de actividad en otras regiones por cuestiones geopolíticas
Fuente: información pública y registros del DBIR
Brechas nivel global comparativa 2022 vs 2023
8000
Durante el año 2023 se observó un aumento de
7000
43,74% en brechas con respecto al 2022. Este
6000 aumento se debió principalemente al aumento del
5000
Ransomware que creció en un 71% con respecto al
4000
año 2022
3000 La efectividad del modelo de negocios del

2000 ransomware es una explicación de porqué esta
1000
modalidad ha crecido de esta forma
0
2022 2023 Otros tipos de brechas mantuvieron la misma
Ransomware Otras Brechas
tendencia en los últimos 2 años.
Nota: Datos corresponden a todo el 2022 y enero a septiembre 2023
Fuente: información pública y registros del DBIR

Brechas nivel global Ransomware
700 80
600 70
500 60
Actores de Amenaza
400 50
Víctimas
300 40
200 20
100 10
0 0
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
Víctimas Actores de Amenaza
En mayo el actor de amenaza Cl0p aprovecha la El crecimiento en la cantidad de actores permite

vulnerabilidad de MOVEit lo que deriva en un peak predecir un aumento de la actividad de este tipo de
de actividad cibercriminal. Los actores de amenazas amenazas. La diversidad de actores se manifestará
relacionados con Ransomware se incrementaron en en una variedad de técncias más amplia, lo que hará
más del 200% atraidos por lo atractivo del modelo más compleja la acción de protección. Se estima
de negocios. Este crecimiento de actores explica el que la desarticulación de grupos de cibercrimen
crecimiento del ransomware como principal ocurrida durante 2023, generó una proliferación de
amenaza.
emprendimientos por parte de aquellos miembros

que no pudieron ser capturados

Brechas en Latinoamérica Ransomware

50 40
45 35
40 30
35 30
Actores de Amenaza
30 25
Víctimas
25 20
20 20
15 20
10 15
5 5
0 0
Víctimas Actores de Amenaza
Los actores de amenazas asociados a Ransomware, Es especialmente llamativo, el impacto a la cadena

que han atacado en la región ha aumentado un de suministros, sobre todo a proveedores de
443% lo que indica que la región es vista como un telecomunicaciones y servicios de datacenters. El
terreno fértil para este tipo de operaciones
efecto en cadena generado por estos ataques
La tendencia de ataques se mantiene en la región, implica una presión adicional hacia el afectado por
exceptuando en los meses de mayo y junio, por la sus propios clientes. También posibilitan al actor el
explotación de la vulnerabilidad de MOVEit por parte acceso a los datos y sistemas alojados en los
de Cl0p. La actividad asociada al ransomware ha datacenter. El crecimiento en la cantidad de actores
impactado a un conjunto heterogéneo de permite predecir un aumento de la actividad de este
organizaciones en diversas industrias como energía, tipo de amenazas. La diversidad de actores se
comercio electrónico y otras. manifestará en una variedad de técncias más
amplia, lo que hará más compleja la acción de
protección.

Brechas por Ransomware en Latinoamérica
País
Total Actor
Bolivia
Martinique
Paraguay
Haiti
Nicaragua
Ecuador
Cuba
Dominican Repubilc
Uruguay
Costa Rica
Panama
Venezuela
Guatemala
Peru
Chile
Colombia
Argentina
Mexico
Brazil
Actor
76 1 1 1 1 2 2 2 2 3 6 4 6 6 18 21 LockBit
39 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 4 27 8BASE
25 1 2 1 1 1 3 2 6 2 Alphv (BlackCat)
14 1 1 1 3 2 3 1 2 Medusa
10 1 1 3 1 3 1 CLOP
9 3 1 1 4 STORMOUS
8 1 2 2 1 2 Akira
7 1 2 3 1 NoEscape
7 1 1 1 1 1 2 Rhysida
7 1 1 1 4 Knight
4 1 3 Qilin
4 1 2 1 Royal
3 1 1 1 Cactus
3 3 Ransomed
3 2 1 LostTrust Team
3 1 2 Mallox
3 1 2 BlackByte
2 1 1 Vice Society
2 1 1 Ragnar Locker
2 2 PLAY
2 2 Black Basta
2 1 1 Trigona
2 1 1 MalasLocker
2 2 DragonForce
1 1 Hunters International
1 1 CrossLock
1 1 AvosLocker
1 1 DarkPower
1 1 RansomHouse
1 1 Bl00dy
1 1 Izis
1 1 RA Group
1 1 Cloak
1 1 Cyclops
1 1 Nokoyawa
1 1 Dunghill Leak
1 1 BlackSuit
252 1 1 1 2 2 2 3 5 5 5 5 6 8 10 14 18 27 56 87 Total País

1

Actores de
Amenaza

Actores de
Amenaza
Actores regionales
La región cuenta con la presencia de numerosos actores globales que operan en diversos países de la región,
algunos más activos que otros. Estos actores pueden estar enfocados en uno u otro país dependiendo de sus
propias capacidades.
La región cuenta con un bajo desarrollo de grupos ciber-criminales de nivel global en la industria del
ransomware. Hemos provisto aquí un resumen de los principales actores y la actividad de estos dentro de la
región, así como sus focos, capacidades e historial.
Brechas por Ransomware en Latinoamérica
Hunters International
Actor
(BlackCat)
Total País
Team
RansomHouse
Locker
DragonForce
Leak
MalasLocker
Society
STORMOUS
AvosLocker
Black Basta
DarkPower
CrossLock
Ransomed
Nokoyawa
NoEscape
BlackByte
RA Group
LostTrust
BlackSuit
Medusa
Cyclops
Dunghill
Rhysida
Trigona
LockBit
Bl00dy
Ragnar
Cactus
8BASE
Mallox
Knight
Alphv
Cloak
CLOP
Royal
PLAY
Akira
Vice
Qilin
Izis
País
21 27 2 2 1 4 2 1 2 4 1 1 3 2 1 2 1 1 1 1 1 8 7
Brazil
18 4 6 1 3 1 1 3 1 2 1 1 2 1 2 1 1 1 56
Mexico
6 1 2 3 1 1 2 1 1 3 2 1 1 2 27
Argentina
6 1 2 3 2 1 1 1 1 18
Colombia
4 1 3 3 1 1 1 1 14
Chile
6 1 1 1 10
Peru
3 1 1 1 1 8
Guatemala
2 1 1 1 1 6
Venezuela
2 1 1 2 5
Panama
2 1 1 1 5
Costa Rica
2 1 1 1 1 5
Uruguay
1 2 1 1 1 5
Dominican Repubilc
1 3 3
Cuba
1 1 1 2
Ecuador
1 1 1 2
Nicaragua
1 1 1 2
Haiti
1 1 1
Paraguay
1 1 1
Martinique
1 1 1
Bolivia
76 39 25 14 10 9 7 7 7 4 4 3 3 3 3 3 2 2 2 2 2 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 252
Total Actor
8
No es una sorpresa que la mayoría de las brechas se Aquellos actores más consolidados , son los que
presenten en los países de mayor tamaño o cuentan con redes de agentes más sólidas lo que
desarrollo dentro de la región. Esto se deben en les permite expandierse rápidamente. Esto está
parte por su tamaño, en estos países operan ya asociado a modelos de negocios y tecnologías más
redes de agentes que conocen bien el medio y están atractivos para los agentes
dispuestos a buscar nuevas ofertas de RaaS con
mejores condiciones comerciales y mayor
posibilidad de éxito.
Think A head Report 2024 18

Principales actores
en la región
Los principales actores de amenaza son los siguientes:
LockBit:
BlackCat (ALPHV):
Es el actor malicioso con la mayor presencia en el Opera como Ransomware as a Service (Raas)
mundo y LATAM.
Sus principales víctimas son el sector servicios

Su objetivo es lograr detener los procesos legales y servicios IT, salud también empresas que
productivos y la doble extorsión.
manejan altos volúmenes de información de

identificación personal.
Su motivación subyacente es monetaria, por lo que
sus ataques son dirigidos a todo tipo de industria. Obtienen acceso inicial a través de credenciales o
phishing
8Base:
En general, la motivación principal de los actores en
Es el segundo actor malicioso con presencia en Latinoamérica es de carácter monetario.
LATAM.
No podemos descartar ver alguna actividad de otro

Sus principales víctimas se encuentran en EE.UU. Y tipo (hacktivismo, espionaje) derivada del escenario
Brasil.
geopolítco actual.
Utiliza Phishing o credenciales comprometidas para

ingresar en las redes de sus víctimas.

LockBit
Nombres: Víctimas:
LockBi Empresas de rubro manufactura,

energía, utilities e infraestructura
ABC crítica.
EvilCorp
Infraestructura:
Descripción: Uso de StealBit para reunir y

exfiltrar datos
Enfocado en secuestro de datos
Capacidades: Impacto:
Acceso inicial a través de Robo de información confidencial

servidores expuestos a Internet
comprometidos (T1190 - Exploit
Public-Facing Application) o
cuentas RDP que generalmente
son adquiridas u obtenidas a
través de afiliados (T1078 - Valid
Accounts)
Explotación de vulnerabilidades de
VPN (T1190 - Exploit Public-Facing
Application
Modificación de GPO en el AD
para escalar privilegios (T1484 -
Domain Policy Modification).

8Base
Nombres: Infraestructura:
8Base Uso de SystemBC para reunir y
exfiltrar datos
Descripción: Impacto:
Enfocado en secuestro de datos Robo de información confidencial
Capacidades:
Uso de malware para desplegar
Ransomware de manera
ofuscada (SmokeLoader)
(T1587.001 - Malware
Uso de phishing para obtener
acceso a redes corporativas
(T1566 - Phishing)
Víctimas:
Empresas de rubro transporte,
Quimicas, Industrias metalúrgicas
y utilities

BlackCat
Nombres: Víctimas:
Alphv/AlphaVM
Empresas de rubro energía,
utilities, industria pesada
Zirconium
Descripción: Infraestructura:
Enfocado en secuestro de datos Uso de ExMatter para reunir y
exfiltrar datos
Capacidades:
Explotación de servidores Impacto:
Exchange vulnerables, aplicativo

Robo de información confidencial
ConnectWise, RDP expuesto a
internet (T1190 - Exploit Public-
Facing Application) y credenciales
robadas (T1078 - Valid Accounts)
Extrae credenciales desde
estaciones de trabajo y se mueve
dentro de la red usando PsExec
(T1588.002 – Tool)

Medusa
Medusa Blog Desconocida
Impacto:
Descripción:
Enfocado en secuestro de datos
Capacidades:
Extorsiona a sus víctimas,
amenazando con liberar datos de
la compañía si no pagan el rescate
de los datos.
Víctimas:
Empresas de rubro energía,
utilities, industria pesada,
telecomunicaciones

Cl0p
Nombres: Víctimas:
Cl0 Empresas de rubro transporte,
Oil & Gas, Utilities
TA505/FIN1
Infraestructura:
Lace Tempest
Uso de botnets para propagar
malware y mineros de
Descripción: criptomonedas para lavar dinero
Enfocado en secuestro de datos Comprometer aplicaciones

usadas en la cadena de
Capacidades: suministro
Explotación de vulnerabilidades Impacto:
zero-day (Accellion, SolarWinds,
MOVEit) (T1190 - Exploit Public- Robo de información confidencial
Facing Application) y phishing
para acceder a las redes
corporativas (T1566 - Phishing)
Uso de malware y herramientas
de pentesting para persistir y
operar en la red interna (Cobalt
Strike, SDBOT) (T1588.002 –
Tool).

Qilin
Agenda Uso de plataforma Raa
Uso de servidores Citrix

Descripción:
comprometidos para moverse
Enfocado en secuestro de datos,
lateralmente por la red
habitualmente realizando doble
extorsión a sus víctimas

Impacto:

Capacidades:
Uso de phishing y spearphishing
para acceder a redes
corporativas, junto con la
explotación de aplicaciones
expuestas a internet como Citrix
o RD
Uso de credenciales válidas para
ingresar a la compañía,
conexiones RDP hacia Domain
Controllers (T1078 - Valid
Accounts).
Víctimas:
Empresas de infraestructura
crítica, educación y salud

STORMOUS
STORMOUS Afiliación con grupo GhostSec
Descripción: Impacto:
Enfocado en secuentro de dato Robo de información confidencia
Defacement en sitios expuestos Influencia negativa para la imagen
(hacktivismo) de las compañías afectadas
Capacidades:
Uso de phishing y spearphishing
para acceder a redes
corporativas, junto con la
explotación de aplicaciones
expuestas a internet como Citrix
o RD
Uso de credenciales válidas para
ingresar a la compañía,
conexiones RDP hacia Domain
Controllers (T1078 - Valid
Accounts).
Víctimas:
Empresa alimentici
Ministerio de Relaciones
Exteriores de un país de Europa
del Este

LostTrust
LostTrust Payload de ransomware basado
en “SFile”
Descripción:
Enfocado en secuestro de datos Impacto:
Capacidades:
Utiliza esquema multi-extorsión:
cifrado (T1486 - Data Encrypted
for Impact), exfiltración (TA0010 –
Exfiltration), ataques DDoS
(T1584.005 – Botnet) y
comunicación con clientes de la
organización atacada
Terminación de procesos críticos:

Microsoft Exchange, MSSQL,
SharePoint, Tomcat mediante
“cmd.exe” (T1489 - Service Stop)
Víctimas:
Empresas de rubros salud y
educación

Los principales actores de amenaza
T1556
T1078
T1190
T1195
Ransomware Phishing Valid Accounts Exploit Public-Facing

Supply Chain Compromise
Application
Lockbit
Medusa
8Base X
BlackCat
CIOp
Qilin
STORMOUS
LostTrust
Simbología:
: principal método usado por el actor
: segundo método más usado
: usado en casos aislados, pero es parte del arsenal
: sin información

Mirada desde el
monitoreo de
seguridad

Mirada desde el
monitoreo de seguridad
El CDC de NeoSecure by SEK preocesa y analiza Las alianzas que tiene en inteligencia, con
mensualmento más 35.500 alertas de proveedores regionales y globales, le permiten
ciberseguridad en Argentina, Brasil, Chile, Colombia complementar esta mirada con lo que sucede más
y Perú en más de 150 organizaciones . Estas allá de las fronteras de la organización.
organizaciones son de variado tipo: finanzas,

manufactura, recursos naturales, servicios, salud, Los datos siguientes son resultado del análisis de
seguros, transporte y otros rubros. Dichos eventos dicha información y proveen una mirada interesante
provienen de ambientes TI, OT, nube, red interna, y complementaria la entregada por otros referentes
perímetro, lo que permite tener una visibilidad globales.
bastante completa de lo que sucede en el ambiente.
A través del monitoreo de sistemas perimetrales,

como firewall, DNS, Secure Email Gatewys, WAF y
otros, incluyendo el monitoreo de sistemas EDR y
NDR, el CDC de NeoSecure by SEK, recorre toda la
cadena de tácticas de MITRE, lo que le permite tener
una visibilidad amplia de las tácticas y técnicas que
están siendo utilizadas por los adversarios en la
región.
Acceso Inicial (TA0001)
La primera fase se refiere a la información relativa al Esta tarea, es generalmente llevada a cabo por bots
acceso de los grupos cibercriminales a una o por actores especializados en obtener accesos
organización. Los datos aqui reflejados, corresponden para luego venderlos (Access Brokers). La evidencia
a alertas generadas por nuestros sistemas, la gran encontrada en redes sociales muestra una
mayoría de las cuales no logró éxito en su cometido.
importante cantidad de credenciales robadas a la

venta. Es poco probable que esas credenciales
En general, se podrá observar que los actores estén asociadas a los ataques observados por
utilizan un mix de métodos bastante conocidos NeoSecure by SEK, pues los mecanismos de
como phishing, búsqueda de accesos privilegiados, correlación permiten visualizar cuando el ataque
fuerza bruta e intento de explotación de tiene éxito y la acción es bloqueda de inmediato. Sin
vulnerabilidades. embargo, si la credencial fue obtenida de otra forma,
podríamos encontrar que accesos supuestamente
válidos, corresponden a impostores.

Login Fallidos por País Origen - Año 2023
El origen de la actividad indica poco en relación a quién está tras ella. Los actores utilizan una serie de proxys y
VPNs o redes de anonimización para que su origen real no sea rastreado.
Pese a eso, países como la Federación Rusia o Bulgaria, presentan una actividad alta. Estos orígenes de
cibercrimen asociado y por lo tanto gran parte de las organizaciones tienden a bloquear este tráfico o a
investigarlo con más detección.
Esto nos permite inferir que la actividad, sea probablemente debida a bots que están escaneando en busca
de accesos
Switzerland 12,98
United States 12,64
Russian Federation 8,73
Bulgaria 2,84
País de Origen
Netherlands 2,01
Seychelles 1,41
United Kingdom 1,13
Australia 0,9 5
Singapore 0,73
China 0, 57
0,00 2,00 4,00 6,00 8,00 10,00 12,00 14,00
Porcetaje
Usuarios afectados por Login Fallidos - Año 2023
En general, una parte importante de los login fallidos se encuentra dirigido a cuentas genéricas.
Si bien son cuentas que podrían estar presentes en diversos sistemas, es esencial entender que pueden ser la
entrada a amenazas más importantes como Initial Access Brokers (IABs) y grupos APT.
Este tipo de cuentas se prestan, especialmente, para una exploración a través de robots
De no contar con resguardos de seguridad (ej: MFA, políticas de robustez de contraseñas, correcta gestión de
cuentas), son un peligro para la confidencialidad de los activos.
admin 4,65
Admin 2,55
test 1,97
user 1,72
Usuario
administrador 1,26
guest 1,10
ubuntu 0,95
manager 0,87
info 0,83
user1 0,77
0,00 1,00 2,00 3,00 4,00 5,00
Porcetaje

Cantidad Login Fallidos - Año 2023
Se aprecia un alza importante en la cantidad total de ataques por fuerza bruta desde Octubre 2023.
Esto podría ser una percepción de los atacantes de una ausencia de protección de tipo MFA en las cuentas
visibles desde Internet
45,00
39,71
40,00
Porcentaje Total
35,00
30,00
25,00
20,44
20,00
15,00 10,90
10,00 6,51 7,46
5,00 2,47 2,34 1,93 2,51 3,45
1,39 0,90
0
Cantidad Ataques por Industria - Año 2023
Como es de esperar, la industria financiera es la que más ataques de fuerza bruta recibe. La cantidad de
intentos se condice con la “magnitud” del botín que guardan las compañías.
La segunda industria más afectada es infraestructura crítica. Considerando que deben cumplir con requisitos
de disponibilidad de servicios, pueden tener consecuencias desastrosas en caso de ataque.
1%
1%
23% Agriculture 1%
4% Chemical Prod 1%
Construction 4%
5%
Critical Infra 33%
Finance 30%
Food 2%
1%
IT Sevice 0%
33%
2% Mining 1%
Public Services 5%
Retail 23%
30%

Venta de Credenciales
Total Ventas Credenciales en DarkWeb - Año 2023 - IT/OT
Se observa un aumento significativo en la venta de credenciales a partir de mayo, alcanzando su punto

máximo en Noviembre.
Este aumento en las ventas podría tener como consecuencia un incremento en los ataques sufridos por las
compañías durante estos meses y los siguientes..
Esto es consistente con el aumento de actores en la región y podría ser preludio de un aumento en los
ataques de ransomware durante este año.
160
140
120
100
80
60
40
20
0
Cantidad de ventas por Tecnología 2023 IT - OT
Resalta la venta de credenciales RDP, lo cual puede

atribuirse a la complicada detección de accesos RDP 33%
maliciosos a través de este protocolo, especialmente Multiples 21%
en un contexto de aumento en las

Internal Server 15%
conexiones remotas debido al teletrabajo
Citrix 5%
VPN 4%
Este es un tipo de acceso que ha
RDWeb 2%
sido utilizado durante un largo tiempo
Webshell 2%
en el medio y no ha perdido
Fortinet VPN 1%
su efectividad
Web Panel 1%
VPN Fortinet 1%
El término “múltiples” hace referencia
SSH 1%
a la venta de más de 1 tecnología
(ej: VPN + Webshell, VPN + Citrix,

VPN GlobalProtect 1%
M365 + AnyDesk, etc.). VNC 1%
CISCO VPN 1%
Linux Machine 1%
Website, DB 1%
Otros 9%

Total de Ventas por Industria en DarkWeb - Año 2023 - IT/OT
El sector financiero se encuentra en la primera línea 3

3
de riesgo en cuanto a la venta de credenciales. Este 3

12
fenómeno es congruente con la gran cantidad de

recursos financieros que circulan en esta industria, 3
lo que lo convierte en un objetivo tentador para

actores maliciosos que buscan obtener beneficios
económicos a través de actividades delictivas.
7
12
El sector gubernamental es igualmente afectado. 8 Finance

Esto podría atribuirse al alto valor estratégico que
Government
representa para actores maliciosos, dado su
IT Services
potencial para el espionaje cibernético y la
obtención de información sensible.
Manufacture

Utility
El sector gobierno, presenta una serie de servicios Transportation Services
críticos de los cuales depende gran parte de la Consulting
población, lo que los hace susceptibles a extorsión
Apparel ad Accessory Stores
Ventas por Continente 2023 IT - OT
Asia y América del Norte ocupan los primeros lugares en la lista de continentes más afectados por la venta de
credenciales, respectivamente. Estas regiones se destacan por su densidad empresarial, presencia de
potencias económicas y su abundante infraestructura digital. Estos factores hacen que sean blancos
particularmente atractivos para cibercriminales en busca de oportunidades para la adquisición y venta de
credenciales.
La venta de credenciales en la región es comparativamente más alta que las brechas observadas (3,3 %), lo
que podría hablar de una vulnerabilidad relativa mayor
2% 2% 2%
6%
6% Asia
Amécira del Norte
Europa
40%
América del Sur
16% Global
N/A
Oceania
Africa
26%

tend E ncias DE LA A E A A
M N Z
Ejecución (TA0002)
Las técncias de ejecución, son las observadas Su uso implica un alto nivel de sutileza y evasión por
generalmente en la red interna del cliente y están parte de los actores de amenaza (podrían pasar por
generalmente asociadas a intentos de ataques de “debajo del radar” sin los adecuados controles de
tipo ransomware aunque podrían deberse a otro seguridad en activos y equipos de las compañías).
tipo.
En esta categoría entran ejecutables y bibliotecas

Gran parte de estas técnicas entran en la categoría nativas de los sistemas operativos, firmados y
de LOLBAS (Living-Of-the-Land Binaries, Scripts and confiables, que pueden ser utilizados con fines
Libraries). Su importancia radica en que, debido a maliciosos y en general han ido reemplazando al
que son programas nativos, los actores de amenaza malware como herramienta.
pueden realizar operaciones maliciosas sin llegar a
ser detectados.
Top 15 Lolbas más usados – Año 2023
El uso de “cmd.exe” y “rundll32.exe” lidera entre los Rundll3 2 .exe 19 85

,
LOLBAS. Su uso en instalaciones y configuraciones Cmd.exe
28
19 1
,3
es común, pero se debe vigilar su uso con

Schtasks.exe , 4
Runonce.exe 2 65
,
argumentos no autorizados.
Msiexec.exe
Conhost.exe
2 05
1 8 ,4
,
jecutab e
1 18
l
SC.exe ,
Mediante acciones de persistencia con “sc.exe” y Mmc.exe
Wscript.exe
1 07
0 96
,
“runonce.exe”, los atacantes instalan servicios o

E
Cscript.exe 0 86 ,
tareas para controlar los equipos según sus

Certutil.exe 06 , 3
Reg.exe 0 52 ,
objetivos.
Atbroker.exe
Hh.exe 0
0 5
,4
,43
Regedit.exe 02, 3
Destaca la aparición de “Hh.exe”, herramienta que 0 00

, 5 00, 10 00
, 15 00
, 20 00
, 25 00
,
puede ser usada para descargar archivos mediante Porcetaje
la ayuda de un script HTML. De no ser monitoreada,

es altamente probable pasar desapercibido en una
red interna.
Cantidad Detecciones Lolbas - 2023
Durante los últimos meses de 2023 es notable el

25%
aumento del uso de estas herramientas.

20%
20%
Cantidad o cetual
18%

15%
r
Nuevamente, esto es consistente con la información

P
observada en otros gráficos que muestran 10%

8% 9%
7%
aumentos sostenidos de grupos y actividad hacia fin 5%
6% 5% 5% 5%
6%
5%
6%
de año. 0
2023/01 2023/02 2023/03 2023/04 2023/05 2023/06 2023/01 2023/01 2023/01 2023/10 2023/11 2023/12
P o cetaje
r
Think Ahead Report 202 4 35

Conclusiones
El número de brechas totales va al alza y cada vez De hecho, la amenaza del ransomware se ha
con mayor fuerza, particularmente afectando a convertido en endémica. Las nuevas técnicas y el
Sudamérica. Además de generar impacto en las uso de la IA van a permitir sostener este ritmo.
mismas compañías, se ve afectada la cadena de Podemos decir algo parecido del uso de phishing
suministro (proveedores de servicio, infraestructura como técnica de acceso inicial.
crítica) creando una cadena de impacto que puede

terminar en consecuencias desastrosas. Los actores En el escenario global, se sigue observando a
diferentes van en aumento y, en consecuencia, la grandes corporaciones, potencialmente maduras,
variedad de tácticas y técnicas que utilizan para que son víctimas de ataques exitosos de grupos
atacar a sus víctimas.
criminales. Es importante tener una explicación

sobre porqué, sucede esto. Varias hipótesis son
Las vulnerabilidades que afectan transversalmente a posibles. Por ejemplo, el proceso temprano en la
todos los sectores (Microsoft Exchange, Log4j, evolución en que se encuentra la región desde
Ivanti, MOVEit, VeeamBackup, ESXi) sirven como servicios gestionados tradicionales hacia servicios
vector de entrada a amenazas más avanzadas y al del tipo MDR. Otro aspecto es la escasez de
eventual impacto en las operaciones. Su parchado profesionales. En las organizaciones de gran
debe ser prioritario dentro de las operaciones de las tamaño, los aspectos de silos y coordinación han
compañías.
jugado en el pasado más de una mala jugada.
En concordancia con los actores diferentes, tiene En un contexto de crecimiento de la superficie de

relación el uso de diferentes tácticas, técnicas y ataque, el efecto puede ser bastante negativo. Es
métodos para poder concretar sus ataques: El interesante tomar notar que hay sectores industriales
phishing y spearphishing para obtener credenciales en Latinoamérica que aún no han sido impactados en
sigue siendo un elemento común entre los actores la región con la fuerza que lo han sido en el hemisferio
de Ransomware, además de una economía norte. Este es el caso de las organizaciones de salud y
“subterránea” en la dark web de acuerdo con el los municipios.
aumento en la compra/venta de credenciales

filtradas.
Podemos prever hacia adelante una sostenida

actividad en ingeniería social, y ataques tipo CEO
La tendencia a utilizar bibliotecas y programas Fraud, derivada de la explotación creciente de las IA
nativos de los sistemas operativos en ataques es y las técnicas de deepfake.
preocupante. Es un cambio sutil pero significativo en
las estrategias utilizadas por los actores de En la medida que las tensiones derivadas por los
amenaza, pues se aprovechan de herramientas ejes geopolíticos aumenten, se producirá un natural
usadas en la operación diaria. En consecuencia, la traspaso de técnicas y conocimientos hacia el
detección y respuesta se torna más desafiante.
mundo de cibercrimen y en la eventualidad que esta

actividad baje, una parte de los actores que
A pesar de la sostenida mejora de la capacidad de trabajaron para estados, derivarán a la actividad
detección y respuesta de las tecnologías de criminal.
ciberseguridad, de la creciente madurez del sector
en término de profesionales los ataques exitosos
siguen creciendo.

tendEncias
DE LA EXPOSICIÓN

tendEncias DE LA EXPOSICIÓN
Tendencias
de la Exposición
Con el avance de las técnicas y tácticas de ataques, Adoptar un programa que complemente la gestión
especialmente con la llegada de la inteligencia de riesgos con el enfoque de adaptarse
artificial, las empresas no logran reducir su continuamente al escenario de amenazas contribuye
exposición mediante enfoques tradicionales de efectivamente a una postura más proactiva y ágil en
gestión de riesgos debido a su naturaleza de realizar un mundo en constante transformación.
análisis aislados y muchas veces poco realistas,
centrados excesivamente en las vulnerabilidades y Para ello necesitamos un enfoque más dinámico y
herramientas.
realista que gestione continuamente los riesgos y
amenazas.
Adicionalmente, los programas de gestión de
vulnerabilidades generan informes extensos y
complejos de implementar, convirtiendo la misión de
proteger de manera preventiva en una tarea ardua y
sin fin. Priorizar las medidas de remediación
considerando solo la criticidad de la vulnerabilidad
ha demostrado ser insuficiente frente al dinamismo
de las amenazas y su característica de integrar
diversas dimensiones y tácticas de ataque.

Una visión innovadora
con el CTEM
CTEM FRAMEWORK 5 step process make
exposure management
manageable
Cyber-Risk
Drive
Management 1 2
Scoping Discovery
Dia
gn
os
e
CTEM
Ac
Initiate tio Enrich
5 Mobilisation n Prioritisation 3
Treatments and
Treat Detection
Security Posture
Investigation and
Optimisation Validation Response (TDIR)
Fuente: Gartner, Top Strategic Technology Trends for 2024: Continuous Threat Exposure Management, Jeremy D'Hoinne, Pete Shoard, 16 October 2023
Cómo podemos hacerlo – CTEM

Steps Toward Producing Priotized and Validated Risk Exposures
Exposures Prioritization Validation Mobilization
1 2 3 4 Team 1
Team 2
Explosion in attack Issues are organized Validation works as

Prioritized and validated
surface leads to high into business-driven a filter to prove which
risk exposures are
volume, unscoped scopes and prioritized discovered exposures mobilized with the
issue identification by importance could actually impact
respective teams
the organization
Fuente: Gartner, 2024 Strategic Roadmap for Managing Threat Exposure, Pete Shoard, 8 November 2023

Nuestra
Visión
En nuestra experiencia con más de 800 ejercicios de

validación de capas de seguridad, identificamos que
las empresas priorizan mal los recursos para
proteger sus activos más importantes (las joyas de la
corona), debido a su escaso conocimiento de la
superficie de ataque.
Con la restricción de recursos de las empresas y

ataques cada vez más sofisticados, recomendamos
inversiones en la detección y actuación proactiva
para reducir la superficie de ataque.
Índice de
Exposición
Los clientes con un buen nivel de
madurez de Exposición (Hardening)
no tuvieron sus Joyas de la Corona

comprometidas en los ejercicios de
explotación (Red Team)
30,8%
Sector Financeiro
Vectores
externos:
29
Días de acceso a las
60%
Pulverización
plataformas o red de contraseñas
(media) (Contraseñas fáciles)
76
Días para escalada de
privilegios (media)
20%
Ingeniería social
(Artefactos maliciosos)
20%
Ingeniería social
(Robo de credenciales)
Vectores
Internos:
100%
Osint
(Credenciales en texto claro)

Manufactura
Vectores
externos:
29
45%
Pulverización
29,7
30%
Ingeniería social
privilegios (media) (Artefactos maliciosos)
25%
Ingeniería social
Vectores 50% 37,5%

Internos: Osint

Pulverización de contraseñas
(Contraseñas fáciles)
6,2% 6,2% Configuración faltante

Otros
(Explotaciones de artefactos)

Medios
Vectores
externos:
2
plataformas o red
(media) 100%
14
Pulverización
de contraseñas
privilegios (media)
Vectores
Internos:
100%
Osint

Salud
Vectores
externos:
27 66,6%
Pulverización
26 33,4%
Días para escalada de Ingeniería social
privilegios (media) (Robo de credenciales)
Vectores 42,8% 28,5%

Osint
Internos: (Contraseñas fáciles) (Credenciales en texto claro)
14,5% 14,2%
Configuración faltante
Otros

Servicios
Vectores
externos:
45%
18
Pulverización
de contraseñas
plataformas o red
(media)
30%
Ingeniería social
25,4
Días para escalada 20%

de privilegios (media) Ingeniería social
5%
Osint
(Datos expuestos)
Vectores 50% 25%

Internos: Osint

18,7% 6,3%
Otros

Retail
Vectores
externos:
13 55,5%
Pulverización
plataformas o red de contraseña s
28,5 33,3%
Ingeniería social
privilegios (media)
11,2%
Ingeniería social
Vectores 50% 25%

Internos: (Contraseñas fáciles) (Explotaciones de artefactos)
12,5% 12,5%
Osint
Otros

Principales Debilidades
Listado de las vulnerabilidades explotadas el 2023 en campañas conocidas de Ransomware
CVE VENDOR PRODUCTO LATAM TÉCNICA MITRE ATT&CK

CVE-2022-41080 Microsoft Exchange Server SI T1190: Exploit Public-Facing Application
CVE-2022-47966 Zoho ManageEngine SI T1190: Exploit Public-Facing Application
CVE-2017-11357 Telerik User Interface (UI) for ASP.NET AJAX SI T1190: Exploit Public-Facing Application
CVE-2022-21587 Oracle E-Business Suite SI T1190: Exploit Public-Facing Application
CVE-2022-24990 TerraMaster TerraMaster OS SI T1190: Exploit Public-Facing Application
CVE-2023-0669 Fortra GoAnywhere MFT SI T1190: Exploit Public-Facing Application
CVE-2022-47986 IBM Aspera Faspex SI T1190: Exploit Public-Facing Application
CVE-2022-41223 Mitel MiVoice Connect NO T1190: Exploit Public-Facing Application
CVE-2022-40765 Mitel MiVoice Connect NO T1190: Exploit Public-Facing Application
CVE-2022-36537 ZK Framework AuUploader NO T1190: Exploit Public-Facing Application
CVE-2017-7494 Samba Samba SI T1190: Exploit Public-Facing Application
CVE-2021-27876 Veritas Backup Exec Agent SI T1190: Exploit Public-Facing Application
CVE-2023-27350 Paper Cut MF/NG SI T1190: Exploit Public-Facing Application
CVE-2021-45046 Apache Log4j2 SI T1190: Exploit Public-Facing Application
CVE-2023-34362 Progress MOVEit Transfer SI T1190: Exploit Public-Facing Application
CVE-2022-31199 Netwrix Auditor NO T1190: Exploit Public-Facing Application
CVE-2023-3519 Citrix NetScaler ADC and NetScaler Gateway SI T1190: Exploit Public-Facing Application
CVE-2023-35078 Ivanti Endpoint Manager Mobile (EPMM) NO T1190: Exploit Public-Facing Application
CVE-2023-27532 Veeam Backup & Replication SI T1190: Exploit Public-Facing Application
CVE-2023-20269 Cisco Adaptive Security Appliance and Firepower SI T1190: Exploit Public-Facing Application
CVE-2023-42793 Jet Brains TeamCity SI T1190: Exploit Public-Facing Application
CVE-2023-22515 Atlassin Confluence Data Center and Server SI T1190: Exploit Public-Facing Application
CVE-2023-40044 Progress WS_FTP Server NO T1190: Exploit Public-Facing Application
CVE-2023-4966 Citrix NetScaler ADC and NetScaler Gateway SI T1190: Exploit Public-Facing Application
CVE-2023-46604 Apache ActiveMQ SI T1190: Exploit Public-Facing Application
CVE-2023-22518 Atlassian Confluence Data Center and Server SI T1190: Exploit Public-Facing Application
CVE-2023-41266 Qlik Sense SI T1190: Exploit Public-Facing Application
CVE-2023-41265 Qlik Sense SI T1190: Exploit Public-Facing Application
CVE-2023-24880 Microsoft Windows SI T1566: Phishing
CVE-2023-33831 RARLAB WinRAR SI T1566: Phishing
Un 86% de las vulnerabilidades explotadas por actores de Cerca de un 83% de las vulnerabilidades explotadas
amenaza de Ransomware corresponden a dispositivos corresponden a dispositivos o software que se encuentran
expuestos a Internet.
en LATAM y el resto del mundo.
En un 14% los actores de amenazas de Ransomware utilizan Un 46% de las vulnerabilidades explotadas corresponden a
Phishing para explotar vulnerabilidades en estaciones de
fallas del año 2022 o anteriores.
trabajo.

Debilidades en la Nube
AWS
Cantidad de Vulnerabilidades Cantidad de Evaluaciones
Top 10 Vulnerabilidades (del 01.01.2023 al 31.12.2023) encontradas ejecutadas
Ensure routing tables for VPC peering are "least access" 25.337.530 61.594
Check if EBS snapshots are encrypted 7.156.627 61.594
U nencrypted EC2 AMIs 1.892.231 61.594
S3 buckets without MFA Delete policy 1.881.937 61.594
Check if Lambda functions invoke API operations are being recorded by CloudTrail 1.880.223 61.594
Check if S3 buckets have policy to enforce security encryption 1.875.770 61.594
Check if S3 buckets have transport encryption enabled and policy to enforce it 1.764.873 61.594
Check if S3 buckets have Object-level logging enabled 1.726.815 61.594
Check if S3 buckets have server access logging enabled 1.725.328 61.594
Check if SQS queues have encryption enabled 1.716.452 61.594
Azure
Ensure that Azure Monitor Resource Logging is Enabled for All Services that Support it 3.620.515 29.200
Ensure that a ‘Diagnostic Setting’ exists 3.475.093 29.200
Ensure that standard pricing tier is selected 470.884 29.200
Ensure that 'Storage Encryption' is set to 'On' 367.409 29.200
Ensure that 'SQL Encryption' is set to 'On' 363.402 29.200

Ensure that 'SQL auditing & Threat detection' is set to 'On' 363.389 29.200
Ensure that 'Vulnerability assessment' is set to 'On' 347.571 29.200
Ensure that 'Network security groups' is set to 'On' 341.154 29.200
Ensure that 'Web application firewall' is set to 'On' 340.323 29.200
Ensure that Resource Locks are set for Mission-Critical Azure Resources 271.677 29.200
Goog le
Ensure BigQuery dataset is encrypted with customer-managed encryption keys (CMEK) 625.972 2.316
Ensure that storage bucket logging is enabled 309.557 2.316
Ensure that Cloud Storage bucket is encrypted with customer-managed encryption keys (CMEK) 308.725 2.316
Ensure that Cloud Storage buckets have uniform bucket-level access enabled 303.949 2.316
Ensure that VPC Flow Logs is enabled for every subnet in a VPC Network 106.683 2.316
Ensure Private Google Access is set on Subnets 105.584 2.316
Ensure that there are only GCP-managed service account keys for each service account 19.967 2.316
Ensure user-managed/external keys for service accounts are rotated every 90 days or less 18.056 2.316
Ensure that firewalls logging are enabled 17.981 2.316
Ensure that Firewall access is restricted from the internet 15.554 2.316

Conclusiones y
recomendaciones:
Implementar un enfoque más proactivo, dinámico y

que se adapte rápidamente a las amenazas, es
necesario para la efectiva construcción de resiliencia
con capas efectivas de protección.
La reducción progresiva del tiempo de detección y

permanencia de una amenaza en el ambiente son
indicadores fundamentales para la maduración de la
postura y eficacia de los controles.
Buscar la disminución de la superficie de riesgos a

través de controles preventivos (hardening),
dificultando los caminos de movimientos laterales y
la escaladas de privilegios, impone un alto costo
para llevar a cabo un ataque dirigido,
proporcionando una parte fundamental de la
estrategia de resiliencia.

tendEncias
DE LA INDUSTRIA

1
Deepfake,
cuando nos
robaron el
rostro

tendEncias DE LA INDUSTRIA
Deepfake,
cuando nos
robaron el rostro
La capacidad de autenticar una identidad se basa El deepfake tiene una faceta aún más oscura
en tres elementos: algo que sabemos, algo que cuando sumamos el potencial masivo otorgado por
tenemos y algo que somos. El “algo que somos” es las redes sociales y la capacidad de las IA de
lo que se encuentra más cerca a nuestra propia aprender estilos de lenguaje y por tanto imitar
percepción de identidad y es algo que no podemos personalidades. El deepfake no es sólo un problema
modificar y es por lo que, generalmente, los otros de criminalidad, sino que puede devenir en un
seres humanos nos reconocen y autentican. Si bien problema político al manipular masivamente a
el “algo que somos”, tiene múltiples facetas (nuestra grandes segmentos de la sociedad. La industria
voz, nuestro rostro, una huella, la marca de calor de está buscando mecanismos para enfrentar el
nuestro rostro, nuestro ADN, etc.) la cotidianeidad problema y también los legisladores. El impacto que
de la autenticación está asociada a nuestro rostro y puede provocar este nuevo tipo de amenaza puede
nuestra voz.
ser de magnitudes inimaginables, como bien señala

Yuval Harari (ver video “AI & the future of humanity”
La prueba de vida, es decir escuchar a una persona, en YouTube).
verla e interactuar con ella, ha sido uno de los

mecanismos más confiables para confirmar una Las posibilidades de detección de deepfakes bien
identidad. Los rápidos desarrollos en las calidades y ejecutados por parte de seres humanos es baja. Si
herramientas de edición, generación de video, voz, se trata de imágenes o videos, algunas cosas que
y por sobre todo el desarrollo de IA, que es capaz pueden indicar un deepfake son incongruencias en
de generar videos realistas, son un fuerte golpe a la piel, sombras alrededor de los ojos, barba poco
este mecanisimo de autenticación.
reales, o movimientos poco realistas, pero es

complejo poder prestar atención a esas cosas en el
La capacidad de las IA de "sintetizar la identidad" medio de una conversación. En el caso de los
con una experiencia cercana a lo real, posibilitando sonidos, la nitidez de la voz puede ser un punto por
engañar tanto a personas como a algoritmos, es considerar para determinar si lo que estamos
una técnica que está al alcance de muchos y está escuchando es un deepfake o no, junto con la
dando lugar al fenómeno denominado “deepfake”. coincidencia con el movimiento de los labios si es
El deepfake ya ha logrado éxitos como instrumento un video.
de la amenaza cibernética, engañando en algunas
ocasiones a personas y en otras a algunos sistemas
de autenticación a través de las llamadas “pruebas
de vida”.

Herramientas de reconocimiento facial también La segregación de funciones es una

podrían ser “burladas” por imágenes generadas herramienta ya existente que también aportará
por IA, aunque varias tecnologías modernas, un nivel adicional de control.
como FaceID de Apple, son capaces de

detectar la "profundidad" de la cara mediante El escenario en el mundo de los individuos
infrarrojo, la distancia a los diversos puntos de privados es más complejo. La interacción
la cara, y eso hace que no sea posible realizar habitual entre familiares y amistades suelen
el desbloqueo de un equipo mediante una foto tener elementos de confianza y la prueba de
generada por IA.
vida es suficiente.
Una parte de los controles para esta amenaza, Acá se dependerá de la evolución de los
provendrán de sistemas que sean capaces de sistemas por dónde interactúan las personas
detectar tanto videos como voces falsas. Así para que incorporen nuevos mecanismos de
como las IA, son las herramientas requeridas detección de deepfake.
para crear deepfakes, también son las que

proveen diversos métodos para poder Por supuesto, la educación y el awareness
detectarlas. Debiéramos esperar que muchas pasan a ser un elemento relevante. Es de
de estas capacidades sean incorporadas de especial relevancia la presencia de factores
manera nativa a las plataformas de video- culturales de algunas organizaciones, donde
conferencia y sean parte de las funcionalidades las jefaturas promueven un bypass de los
básicas de las mismas.
protocolos para obtener mejores tiempos de

respuesta. Estas son vulnerabilidades que en el
Pero si el problema se está dando en el ámbito pasado han sido utilizadas por los ataques tipo
de “algo que somos”, para asegurar la CEO Fraud y que con el deepfake encuentran
identidad, tendremos que recurrir a “algo que un espacio promisorio.
tenemos” o “algo que sabemos”. La inclusión
de mecanismos de certificados, firma digital,

token u otros debieran complementar la
presencia virtual (video y voz). La Recomendaciones NeoSecure by SEK
profundización de “algo que somos” también
puede ser una opción, usando huella digital u Realizar una evaluación de riesgo derivado del
otros patrones. Posiblemente, esto va a deepfake para identificar en qué procesos

puede generar más impacto
generar toda una industria de robar los
variados aspectos de “algo que somos”.
Ver cuáles de estos procesos pueden ser

ejecutados a través de sistemas incorporando
La forma en que se abordan los procesos más
un factor de autenticación adiciona
críticos como la necesidad autorizaciones
adicionales, podrían limitar el espacio de acción Analizar qué procesos críticos pueden ser
de los delincuentes, al menos a nivel condicionados a la aprobación de dos personas
corporativo.
Analizar la limitación de privilegios a fin de limitar
el impacto de una acción agresiva
Evaluar sistemas de prueba de vida robustos

para ser aplicados a nivel interno y de clientes
Iniciar un proceso de concientización y

educación de cara a la organización para
prevenir esta amenaza.

2 IA
también es un
sistema a ser
protegido

IA también es un
sistema a ser
protegido
Son cada vez más las organizaciones que están Los datos utilizados para el modelo podrán ser
trabajando para poder beneficiarse de las susceptibles de envenenamiento (que afectará la
capacidades de las IA, y por lo tanto incorporarlos exactitud de las inferencias, por incorporar datos
dentro de su ecosistema. Los sistemas de IA, con inexactos o falsos en el origen de datos que luego
todas sus capacidades, son un recurso más, dentro vayan a pasar por el proceso de modelado), o de
de una larga lista, que deben ser protegidos.
exfiltración/fuga (que significará una violación de la

privacidad de estos, ya que para aumentar la
Ya se han identificado una serie de amenazas exactitud de las respuestas de la IA, muchas veces
específicas a los sistemas de IA, que están serán utilizados datos sensibles para alimentarla).
orientadas, por ejemplo, a envenenar los datos, y Para proteger los orígenes de datos de nuestra IA de
lograr de ellos comportamientos inesperados, como esta amenaza, utilizaremos los métodos
que entreguen información que no debieran tradicionales de protección de datos:
entregar. Sin embargo, como sistemas de descubrimiento/clasificación, criptografía, control de
información, los sistemas de IA cuentan también con accesos, y monitoreo.
repositorios de datos, infraestructura sobre la que

operan, código aplicativo y los elementos comunes a En cuanto al modelo, la mayoría de las veces se
todos los sistemas. Es por eso que una estrategia usarán modelos abiertos, por lo que, como cualquier
integral de protección de los sistemas de IA, debe otra cadena de suministro, habrá que ser muy
incorporar también la protección de los elementos riguroso respecto a la autenticidad de los orígenes
más tradicionales.
desde los cuales dichos modelos se consuman. Si

los modelos son operados/consumidos a través de
Para esto, se deben proteger sus tres componentes API, dicha exposición del modelo deberá tener los
principales: los datos (orígenes de datos utilizados controles de seguridad correspondientes. Habrá que
para entrenar el modelo), el modelo (diferentes tener especial atención también con lo que se refiere
algoritmos de AI) y el uso (inferencia de la IA). La a la propiedad intelectual de los datos con los que se
industria ya está proponiendo algunos frameworks alimenten los modelos, para evitar problemas
de protección de las IA (Gartner entre otras legales. La protección de nuestro modelo deberá
organizaciones ya cuenta con uno), que buscan llevarse a cabo mediante la hardenización del
modelar de forma integral los componentes arriba acceso al mismo (RBAC, mínimos privilegios, control
mencionados y sus controles.
de orígenes, etc.).


Por último, proteger el uso de la IA de los ataques

más comunes hoy en día sobre estos, detallados en Recomendaciones NeoSecure by SEK
OWASP Top 10 for LLM Applications, https://
owasp.org/www-project-top-10-for-large-language- Evaluar con cuidado los posibles riesgos que
model-applications/, de los cuales podemos presentaría el uso de estas aplicaciones de IA
destacar Prompt Injection, Model Denial of Service, o dentro de la organización, para así determinar
Model Theft, entre otros.
las prioridades de protección
Estudiar algún modelo integral de protección de

En los últimos años, han surgido soluciones las IA para ayudar a identificar riesgos
tecnológicas de Machine Learning Detection and potenciales y definir una estrategia de
Response, MLDR, tales como por ejemplo protección.
HiddenLayer, https://hiddenlayer.com/, o soluciones
de monitoreo específicas de ML, tales como Uso de controles específicamente dirigidos a el
WhyLabs, https://whylabs.ai/, que simplifican los nuevo tipo de riesgos que posee una IA, tales
controles y el monitoreo sobre IA, y ofrecen diversos como Pentesting específicos para IA.
controles de integridad sobre las mismas.

3 Automatización,
más allá del

SOAR

Automatización,
más allá del

soar
Automatización sigue siendo una palabra Se ha usado la combinación de herramientas de IA/
sumamente atractiva, pues presupone reemplazar ML y RPA, habilitando la automatización para casi
una enorme cantidad de pasos manuales por un cualquier tarea repetitiva ejecutada, buscando
workflow automatizado con mínima o nula producir una total transformación digital. Estos
intervención de un ser humano. El resultado modelos, prácticas y herramientas han madurado en
esperado de esto será siempre una menor cantidad paralelo al desarrollo de la industria de
de recursos humanos, menor cantidad de tiempo ciberseguridad. Si consideramos que hoy la
para cumplir un proceso, y un margen de error ciberseguridad se encuentra embebida en diversos
mucho más bajo o casi nulo.
ambientes, como aplicaciones, redes, nube,

DevOps, es natural pensar en cómo utilizar ese
En ciberseguridad, el SOAR ha sido durante los know-how para acelerar la tarea de automatización
últimos años el sinónimo de automatización, de los procesos ciberseguridad.
pasando de ser un conjunto de playbooks aislados
encargados de realizar la atención de incidentes de
Recomendaciones NeoSecure by SEK
seguridad de baja/mediana criticidad, a convertirse
en el orquestador central de una gran cantidad de
Comprender el alcance de las diferentes
tareas de tecnología relacionadas con Seguridad.
herramientas disponibles en el entorno de

ciberseguridad para lograr automatizar,
Sin embargo, la automatización no es una invención particularmente las herramientas de SOAR
de ciberseguridad y aún el mismo SOAR es una
versión especializada de los antiguos workflows hoy Crear los casos de negocio, basados en ahorro
devenidos en BPMs. Aún más, la automatización no en tiempo, disminución de impacto y ahorro de
acaba en el SOAR, y existe un gran espacio dónde horas de personal especializado.
automatizar fuera de su alcance. Numerosas
tecnologías han asumido esa tarea para los Estudiar las estrategias de automatización
usadas por los equipos de transformación digital
ambientes de SecDevOps, parchado, integración de
y sus formas de presentar frente al negocio esos
plataformas y otros.
casos para maximizar la factibilidad de los

mismos. Recomendamos analizar las
La industria de TI ha desarrollado por años diversas implicancias de seguridad al crear estos
prácticas y miradas en torno a la automatización, las sistemas de automatización de los propios
que con el advenimiento de la ola de transformación procesos de ciberseguridad.
digital se profundizaron.

4 Seguridad de la
Identidad,
no sólo
prevenir, también
detectar

Seguridad de la
Identidad, no sólo
prevenir, también
detectar
"La identidad es el perímetro" repite el mantra que El desarrollo conceptual de modelos y estrategias
busca poner a este aspecto de la ciberseguridad en en ciberseguridad, han llevado a idear estrategias
el lugar relevante que debe tener y es de hecho el como las basadas en el modelo Zero Trust, dónde la
gran punto de partida en la construcción de una identidad es central: identificar permanentemente
organización segura. La identidad es la que abre las sesiones, identificación basada en riesgo, limitar
puertas del reino y es por eso por lo que la robustez acceso sólo a lo requerido, son algunas de las ideas
de esta es esencial.
centrales de este modelo, que parece a ratos un
desarrollo amplificado de los conocidos principios de
La raíz de la seguridad de la identidad tiene su origen "need to know" y "least privilege", aun cuando
en el foco que ponen en ella los actores maliciosos. contiene aportes originales y complementarios.
La identidad es robada a través de métodos de
ingeniería social o a través de otros mecanismos Sin embargo, la aplicación de una estrategia de Zero
más sofisticados con ataques variados que incluyen Trust tampoco ha estado ajena a dificultades. Estas
desde los ataques del tipo Man In The Middle a nacen de la creciente complejidad de los ambientes
ataques del tipo Golden Ticket. El control de la de TI y sus interacciones internas y externas. La sola
identidad es un gran pasaporte a toda clase de idea de poder mantener una lista de privilegios
accesos y privilegios y es por eso que la cantidad de actualizada en una organización parece una quimera
técnicas de ataque y variantes de las mismas por los cientos de sistemas, miles de personas, roles
dirigidas a obtenerla sigue creciendo, incluidos los variados, cambios internos, desvinculaciones,
nuevos ataques de deepfake ya mencionados en contrataciones y otros. En estos ambientes, la
este documento.
implementación de sistemas de gestión de las
identidades o la simple adopción de sistemas
Es por esto uno de los espacios dónde aparecen los robustos de autenticación pueden significar
controles más antiguos de seguridad tales como la proyectos complejos o levantar oposición interna.
contraseña y la limitación de accesos. Desde ese
inicio hasta el presente, para proteger la identidad se En este escenario, el cuidado de la identidad debe
han venido sofisticando los controles y han surgido ser auxiliado por otros tipos de controles, que nos
variadas opciones de estos: sistemas de autenticación permitan detectar cuándo éstas fueron robadas. Los
múltiples, sistemas biometricos, autenticación basada sistemas de UEBA han venido cumplimiento esta
en comportamiento, autenticación privilegiada, firma función desde hace un tiempo, aun cuando su
digital, certificados, almacenamiento de certificados adopción ha sido lenta.
seguros, etc.

Recomendaciones NeoSecure by SEK

Gracias a estos sistemas, se puede establecer una
capa de control que cubra lo que por uno u otro Complementar las estrategias de protección de
motivo no se ha cubierto. La posibilidad de poder identidad a través de la implementación de
identificar comportamientos anómalos o claramente sistemas de monitoreo, que permitan identificar
agresivos es un control necesario, no sólo para intentos de robo de identidad o
detectar el robo vulgar de identidad a través de comportamientos anómalos que puedan señalar
ingeniería social, sino también para detectar los una identidad ya robada
robos de identidad más sofisticados, producidos a Evaluar sistemas de User and and Entity
partir de técnicas más elaboradas, como los ataques Behavior Analytics y sus diversos casos de uso
del tipo Golden Ticket o Pass The Hash. Esta es que permitan monitorear no solo la actividad de
entonces una pieza del modelo Zero Trust que usuarios en diversos ambientes (on-premise,
complementa los controles de identificación, cloud, OT, etc.) sino también de las diversas
autenticación y control de acceso.
"máquinas" o sistemas que pudieran ser

atacadas para aprovechar sus accesos
Integrar estos sistemas a otros (EDR, NDR) que

permitan identificar ataques dirigidos, dónde el
robo de identidad es parte de las estrategias
para escalar privilegios o lograr movimiento
lateral.

5
Más allá de la gestión
de vulnerabilidades:
La Gestión
Continua
de la
Exposición

Más allá de la gestión de

vulnerabilidades:
La Gestión Continua
de la Exposición
En los lejanos días de la industria, la letanía de Hoy la industria propone una mirada amplia e
"elimina las vulnerabilidades y estarás seguro" era integral al fenómeno a través del concepto de
repetida de manera incansable por el naciente Gestión Continua de la Exposición a Amenazas
mundo de profesionales de ciberseguridad. Había y (Continuous Threat Exposure Management o
hay razón en hacerlo, porque el parchado sigue CTEM).
siendo uno de los controles más efectivos para

evitar que una vulnerabilidad sea explotada y un Esta mirada considera variados aspectos. El primero,
atacante gane acceso o genere una denegación. Sin es relacionar la tarea de la gestión de la exposición
embargo, a pesar de la persistencia y los esfuerzos, con los riesgos del negocio. Esta mirada es
la tarea de parchar se fue haciendo sostenidamente necesaria como punto de partida de la priorización,
más difícil.
y también de la identificación de aquellas superficies

de ataque que son más sensibles.
En el proceso, surgieron sistemas de descubrimiento

de vulnerabilidades y de parchado automático, se El segundo aspecto es relacionar la perspectiva de
mejoraron los procesos para priorizar, y se la exposición a la perspectiva de la amenaza, es
aumentaron las plantillas de personas que decir analizar como los sistemas responden frente a
parchaban.
la acción agresiva de los adversarios. La

incorporación de las técnicas avanzadas de Red
Aun así, el problema eludió los esfuerzos. Ataques Team, cómo ingeniería social, son algunos de los
tan relevantes como el de OPM o Equifax tuvieron en elementos que enriquecen esta perspectiva. Un
el centro de sus causas la mala gestión de la tercer aspecto es integrar los diversos ambientes,
superficie del ataque y sus impactos a el negocio. (red interna, nube, datos expuestos en sistemas
Con el tiempo, el problema se fue camuflando como SaaS) para tener una visión global.
un problema eminentemente operativo: una cola de

sistemas por parchar y la lucha por vaciarla.
Como cuarto aspecto se encuentra la integración de

diversas técnicas y/o herramientas de detección de
Adicionalmente, el crecimiento sostenido y a veces exposición, en superficies on premises y nube, para
acelerado de la superficie de ataque, creó ámbitos poder así tener la visión integrada de la exposición.
nuevos y desconocidos, los que no pocas veces
quedan fuera del ámbito de los equipos operativos
de parchado.

La integración de todas estas perspectivas, Para esa estrategia recomendamos el Business
permitirán tener un punto único de control de la Takeover Simulation, una oferta exclusiva de
exposición y así priorizar adecuadamente el esfuerzo NeoSecure by SEK, para lograr los primeros pasos
de mitigación. Por supuesto el esfuerzo de del CTEM, con un producto de seguridad ofensiva
mitigación es la continuación de todo el proceso de continuo desde la perspectiva del atacante.
descubrimiento y priorización.
Recomendaciones NeoSecure by SEK:
Delinear una estrategia de CTEM que considere
un roadmap que empiece con la fase de
descubrimiento, para saber cuál es es esfuerzo
y presupuesto necesario para lograr los
objetivos de la empresa, con una camada de
servicio, para vincular las diversas exposiciones
al negocio y a la gestión de riesgos
Analizar desde ahí las estrategias de
priorización de la mitigación

6 El Next
Generation
ciso

El Next
Generation
ciso
Los diversos cambios en el medio han transformado El CISO como orquestador tiene que entenderse con
los focos de variados roles profesionales y el CISO diversas grupos internos y externos para conseguir
no es la excepción. En la medida que el impacto de la que los objetivos de estos estén alineados con los
amenaza y los presupuestos de ciberseguridad han propios, que debieran ser a su vez los del negocio.
crecido, el cargo de CISO ha venido ganando Así, por ejemplo, debe buscar que los sistemas de la
espacio en el entorno corporativo a través del organización sean seguros desde el origen, es decir
tiempo y su rol ha venido cambiando.
desde que son diseñados y desarrollados. Debe

para esto lograr que estas prácticas se establezcan
El CISO enfrenta nuevos desafíos, todos ellos menos en los equipos de desarrollo, los que son medidos
técnicos y más ligados al negocio. Así, el CISO debe por métricas de productividad y no de seguridad.
desarrollar facetas variadas. Hemos identificado la Debe conseguir que la cadena de valor eleve sus
faceta de estratega, de orquestador de diversos niveles de seguridad, limitando así las posibilidades
equipos, de comunicador interno y externo, de de que un ataque provenga desde ahí.
optimizador y de habilitador, como algunas de las

facetas claves que el CISO debe buscar desarrollar.
Esto lo llevará a interactuar con actores externos

que tienen otras prioridades y urgencias. Debe
El CISO como estratega deberá entender las lograr que los equipos de infraestructura diseñen
diferentes opciones que enfrentar para cumplir los sus sistemas pensando en la resiliencia,
objetivos de la organización. Se enfrenta a diversos minimizando así el impacto de un ataque. En
conceptos y modelos de seguridad que deberá general, deberá orquestar la acción de diversos
comprender y a través de su comprensión fijar un equipos logrando que los objetivos mutuos estén
camino.
alineados y especialmente en organizaciones

complejas, esta tarea será cada vez más esencial.
Qué tipo de acciones debe llevar a cabo para lograr

una organización más resiliente, qué estrategias El CISO como comunicador debe poder explicar al
seguir para lograr una mejor capacidad de detección negocio, en los términos de éste, los riesgos y la
y respuesta con menores recursos, en qué tipo de justificación de los presupuestos, así como la
controles poner el énfasis. Son variadas las necesidad de ciertos proyectos y el apoyo para que
preguntas que requieren de una mirada global que otras áreas de la organización hagan suyas
permita definir un camino de largo plazo.
iniciativas de seguridad y resiliencia.

Debe lograr comunicar a la organización que cada Y todo esto aumentando a su vez la eficacia,
uno es un actor relevante en la cadena de protección detectando y respondiendo mejor y más rápido,
y que el ataque comienza por el eslabón más débil, previniendo cada vez más.
debe comunicar al equipo las necesidades del
negocio y las siempre presentes restricciones El CISO como habilitador, deberá moverse a la
financieras que podrían causar frustración.
velocidad del negocio, sin dar razones para que se lo

esquive por ser la fuente permanente de objeciones,
El CISO como comunicador, será un agente de retrasos y problemas. Debe conversar con el
confianza para el medio, explicando cómo la negocio para diseñar las mejores opciones de cara a
organización cuenta con los planes y resguardos los clientes, protegiendo por un lado y facilitando por
que el mercado requiere. El CISO como el otro. Esto supone entendimientos y
comunicador, podría tener su prueba de fuego conversaciones que permitan contar con acuerdos
durante una crisis derivada de un incidente, pues ahí para que la seguridad fluya con los nuevos
sus palabras serán escrutadas a la luz pública.
desarrollos, los nuevos productos, los nuevos

ambientes, los nuevos procesos y las nuevas
El CISO debe ser un optimizador. Debe entender implementaciones.
que, si bien está en época de vacas gordas, dónde
sus presupuestos crecen, todo gran poder viene con

gran responsabilidad. Se le va a pedir que muestre Recomendacion NeoSecure by SEK
cómo su organización es cada vez más eficaz y El CISO deberá desarrollar estas nuevas facetas
cada vez más y eficiente y se le va a pedir e incorporar dentro de su equipo roles que
sostenidamente que haga eso con cada vez menos complementen las capacidades faltantes.
dinero. Va a tener que generar para eso iniciativas de
automatización, revisión de procesos, externalización,
consolidación de tecnologías, negociación de precios,
etc.

Conclusiones finales
El 2023 ha sido un año donde la amenaza ha crecido El desafío de los responsables de la seguridad, es
y se ha establecido como una realidad presente. No cada vez mayor: proteger frente a actores cada vez
fue un año espectacular, tal vez debido a que los más evolucionados; orquestar áreas, proveedores y
años anteriores habían sido años de cruzar socios de negocios; ser eficiente y efectivo;
fronteras. Este año comenzamos a cruzar la frontera comunicar y muchos otros. El CISO técnico es cada
de la IA, tanto como factor de la amenaza como de vez más un recuerdo.
factor de la protección.

En este escenario, son muchas las tendencias que
Vemos operando en la región a una gran cantidad de se puede destacar. Hemos optado por dar algunos
las grandes organizaciones cibercriminales, y el énfasis: prepararnos para el deepfake; pensar la
contexto geopolítico sólo va a profundizar la automatización más allá del SOAR, comenzar a
presencia de estos grupos.
pensar como vamos a proteger a nuestra propias

IAs; complementar con la detección la seguridad de
La exposición se complejiza por el crecimiento de la las identidades; iniciar el camino hacia una gestión
superficie de ataque y los datos recogidos por de la exposición proactiva reduciendo la superficie
nuestros equipos de Seguridad Ofensiva, muestran de riesgo y finalmente, desarrollar nuevas
cómo las organizaciones siguen teniendo problemas capacidades de gestión, el Next Generation CISO.
para mantener sus fronteras selladas y los tiempos
para detectar y dar respuesta efectiva a las
amenazas continúan muy lejos.

Nuestra visión

Recomendaciones SEK
Por medio de un portafolio de
productos & servicios

integrados en 4 frentes:
Strategy
Exposure
& Risk Management
Definir la estrategia y el roadmap Evaluar/remediar/probar/validar la

para inversiones en ciberseguridad, exposición a vulnerabilidades
capacitación y consultoría en internas y externas y la eficacia de
gobernanza, riesgo y cumplimiento. los controles y operaciones de
seguridad.
Assessment
Business Takeover Simulatio

Policies & Plan
Posture Managmen
Third Party Risk Man
Remediatio
Education
Cloud Exposure Managmen
Pent Test
Technology
Manage d
Solutions Services
Integración de tecnologías para Servicios recurrentes de monitoreo,

proteger superficies de ataque. administración y respuesta a
incidentes en torno a plataformas de
seguridad de los clientes.
Security Operatio
EDR/XD SO
Cloud / SAS MD
Identity Securit Threat Intel
OT & IoT Cybersecurity Incident Response

Recomendaciones SEK
NeoSecure by SEK
reúne soluciones de
ciberseguridad y
expertise
que transforman la estrategia en protección efectiva,
ofreciendo una jornada integral alineada con los
riesgos, amenazasy madurez de su negocio

sek.io
THINK AHEAD
R E P O R T

Think Ahead Report 2024 - Neosecure by SEK

Cargado por

Copyright:

Formatos disponibles

Think Ahead Report 2024 - Neosecure by SEK

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Think Ahead Report 2024 - Neosecure by SEK

Cargado por

Copyright:

Formatos disponibles

Annual Report

pentesting, gestión de postura, se van consolidado

malwares sofisticados como Stuxnet y otros

La búsqueda de mejores estrategias de protección

como elemento central.

Por otro lado, la relevancia que ha tomado la