Hacia un nuevo modelo: Previsiones de seguridad de Trend Micro para 2022

Las empresas se asegurarán de que se utilicen los conceptos básicos de seguridad de nube para proteger sus entornos frente a una gran cantidad de amenazas de seguridad de nube y lograr un nivel de riesgo gestionado.

Los atacantes de nube pivotarán y permanecerán quietos; se moverán a la izquierda para seguir las tendencias tecnológicas y continuarán utilizando ataques clásicos para causar estragos en los usuarios de nube.

La nube permite a las organizaciones innovar, expandirse y operar de manera eficiente. Y a medida que más empresas migran hacia la nube, esta se convierte en un objetivo aún más grande y rentable a los ojos de los agentes maliciosos. En el próximo año, los agentes maliciosos se mantendrán a la vanguardia al continuar ejecutando ataques de bajo esfuerzo, pero de alto impacto y lanzando otros que utilizarán nuevas tendencias en tecnología.

Más empresas están preparadas para comenzar a confiar en las aplicaciones y soluciones de software como servicio (SaaS) en 2022 para sus operaciones. Y los agentes maliciosos seguirán utilizando las mismas tácticas, técnicas y procedimientos (TTP) para atacar a una nueva generación de usuarios de SaaS. Continuarán utilizando emails de phishing para robar credenciales, extraer criptomonedas ilícitamente y aprovechar las configuraciones incorrectas en los entornos de nube. Además de estos, utilizarán los principios del movimiento de cambio a la izquierda en sus ataques dirigidos a las herramientas de DevOps y los entornos de desarrollo integrados (IDE) de nube.

Para mantener seguros los entornos de nube, las empresas deben aplicar los conceptos básicos de la seguridad de nube, que incluyen comprender y aplicar el modelo de responsabilidad compartida, utilizando un marco de buena arquitectura y aportando el nivel adecuado de experiencia.

Para permanecer protegidas contra las amenazas de ransomware en evolución, las empresas se centrarán en proteger sus servidores con estrictas políticas de control de aplicaciones y fortalecimiento del servidor.

Los servidores serán el principal campo de juego del ransomware

El ransomware sigue siendo una ciberamenaza importante debido a su capacidad para evolucionar de forma constante. Desde endpoints como puntos de entrada principales, los operadores de ransomware ahora se están centrando en los servicios expuestos y los compromisos del lado del servicio. Pronto, el trabajo híbrido se convertirá en la configuración de trabajo preferida para las organizaciones, lo que permitirá a los empleados trabajar de manera flexible desde casa y en la oficina. El aumento de la superficie de ataque hará que sea más difícil para los equipos de seguridad detectar y detener de inmediato los ataques de ransomware.

Según los incidentes de seguridad que hemos observado este año, esperamos ver dos movimientos importantes en la forma en la que se llevarán a cabo los ataques de ransomware en el próximo año. Los operadores de ransomware lanzarán ataques cada vez más dirigidos y muy destacados. Es probable que las TTP sigan siendo las mismas, pero se utilizarán para perseguir objetivos más complejos, que posiblemente sean más grandes que los principales objetivos de años anteriores. Al mismo tiempo, los operadores de ransomware lanzarán ataques que utilizarán métodos de extorsión más modernos y sofisticados. En lo que respecta a los principales medios de extorsión, el enfoque se desviará de la denegación de acceso a datos críticos a favor de la filtración y extracción de datos robados para convertirlos en armas.

Para proteger los sistemas y entornos críticos contra los ataques de ransomware, las empresas deben emplear las prácticas recomendadas para mantener los servidores seguros y adherirse a las pautas de refuerzo de servidores para todos los sistemas operativos y aplicaciones correspondientes.

Los equipos de seguridad deberán estar bien equipados para lidiar con los agentes de amenazas que intentan reutilizar las vulnerabilidades más antiguas y aprovechar las nuevas en cuestión de días, si no horas.

Más vigilantes al lidiar con el récord de exploits de día cero encontrados en 2021, las empresas estarán en alerta máxima por posibles brechas de parches, ya que se espera que se descubran más vulnerabilidades.

Prevemos un aumento en el número de exploits de día cero que se detectarán durante el próximo año, superando el de 2021. Los agentes maliciosos intentarán superar a los equipos de seguridad al estar atentos a los parches lanzados en 2022, utilizándolos como un medio para concentrarse en las vulnerabilidades recientemente publicadas, en lugar de buscar puntos débiles en las propias infraestructuras de TI. Esto les permitirá aprovechar las fallas recientemente descubiertas de manera más eficiente y acelerar la implementación de sus exploits, lo que subraya la necesidad de que las empresas prioricen el cierre de las brechas de parches.

Las vulnerabilidades que fueron reveladas en años pasados no perderán terreno entre los cibercriminales, quienes continuarán reutilizándolas. Esperamos que los agentes de amenazas planeen lanzar más ataques combinados que entrelazarán las vulnerabilidades de escalado de privilegios con otras fallas reveladas.

Para ayudar a frenar estas amenazas que seguramente estarán ligadas a un aumento de las vulnerabilidades conocidas, las empresas deben asegurarse de que sus equipos de seguridad de TI estén bien equipados para practicar adecuadamente la gestión de activos, realizar parches virtuales y actuar sobre cualquier actualización de seguridad de proveedores. Por su parte, los usuarios de nube deben prepararse con seguridad nativa de la nube que pueda proteger mejor las bibliotecas en las que se construyen sus proyectos basados en la nube.

Los agentes maliciosos seguirán pensando en las empresas más pequeñas como una presa fácil, pero las PYMES con un elevado nivel de nube vendrán preparadas con medidas de seguridad que pueden hacer frente a los ataques a los productos básicos.

Si bien todos los ojos están puestos en el ransomware, los ataques tradicionales a productos básicos y los ataques como servicio tendrán tiempo para innovar herramientas más sofisticadas.

Esperamos ver en el mundo clandestino herramientas de malware más asequibles y avanzadas que se trasladen al mercado de malware básico, que se convertirán en un medio para que los afiliados de ransomware como servicio (RaaS) y los cibercriminales novatos mejoren sus arsenales.

La naturaleza modular de estas herramientas comercializadas es tal que muchos agentes maliciosos solo necesitan desarrollar malware personalizado para ayudar a sus socios cuando organizan sus ataques. Entre el malware de productos básicos cada vez más sofisticado que esperamos ver en 2022 se encuentra un nuevo botnet como servicio, similar al botnet ZeuS, que será capaz de comprometer y tomar el control de las plataformas basadas en la nube y del Internet de las cosas (IoT).

También se lanzarán más ataques de productos básicos contra las pequeñas y medianas empresas (PYMES), que los agentes maliciosos considerarán objetivos menos visibles y menos defendidos. Sus recursos financieros limitados llevarán a las PYMES a priorizar la protección de sus endpoints y redes en primer lugar. Sin embargo, las PYMES cuyas operaciones críticas dependen en gran medida de la nube probablemente estarán atentas a los riesgos que representan los ataques a los productos básicos para su negocio y tomarán medidas para fortalecer su postura de seguridad.

Las empresas se esforzarán por mejorar la supervisión y la visibilidad de la red para proteger sus entornos de TI contra las amenazas que surgen de la adopción del IoT.

La información asociada con el IoT se convertirá en un producto candente en el ciberdelincuente clandestino, lo que incitará a las empresas a tener en cuenta las brechas de seguridad que podrían conducir a la filtración o manipulación de datos.

A medida que más organizaciones aceleren sus transformaciones digitales, prevemos el cambio al trabajo híbrido y el uso de la conexión remota expandiendo las superficies de ataque de las empresas cuyos empleados llegarán a depender de los dispositivos conectados en 2022. Estas empresas se enfrentarán a los agentes malintencionados que buscan aprovechar las limitaciones computacionales de los dispositivos conectados al IoT, lo que los impulsará a emplear soluciones de seguridad que puedan ayudarles a realizar un seguimiento de la actividad de su red, como los sistemas de prevención y detección de intrusiones (IPS/IDS) y las herramientas de detección y respuesta de la red (NDR).

En 2022, la información asociada con los dispositivos conectados al IoT será la próxima frontera para cibercriminales, de quienes esperamos que exploren nuevas formas de beneficiarse de los datos de automóviles inteligentes vendidos por los fabricantes de automóviles a su clientela comercial. Este es un negocio que va a valer tanto como 750 mil millones de dólares hacia 2030—, un negocio que prevemos que creará una demanda clandestina de filtros de datos ilegales que puedan bloquear la presentación de informes de datos de riesgo o delincuentes a sueldo que puedan borrar datos de los registros de conducción de un automóvil inteligente’.

Para evitar que estos datos se vean comprometidos, la industria del automóvil y los proveedores de seguridad tendrán que trabajar juntos en 2022 para avanzar hacia el desarrollo de un sistema operativo que pueda convertirse en el estándar de la industria para todos los automóviles conectados lo que, a su vez, ayudará a estandarizar sus características de seguridad.

A medida que se centran en hacer que sus cadenas de suministro sean más sólidas a través de la diversificación y la regionalización, las empresas implementarán principios de confianza cero para mantener sus entornos más seguros.

Las cadenas de suministro globales estarán en el punto de mira de cuadriplicar las técnicas de extorsión a medida que las empresas evolucionen en sus operaciones de cadena de suministro.

El inicio de la pandemia mundial demostró cuán vulnerables habían sido las cadenas de suministro— y los cibercriminales se dieron cuenta rápidamente de la interrupción de la cadena de suministro global y aprovecharon las brechas de seguridad que se produjeron. Este año, hemos visto ataques de ransomware interconectados y ataques a la cadena de suministro dirigidos a víctimas de alto perfil, en particular a la plataforma de gestión de TI Kaseya.

En 2022, los intermediarios de acceso como servicio (AaaS) cambiarán su enfoque hacia las cadenas de suministro vulnerables. Una vez que los entornos de las empresas’están comprometidos, los intermediarios de AaaS pueden vender credenciales críticas a los cibercriminales. También habrá un aumento en el modelo de extorsión cuádruple que se utilizará para obligar a las víctimas a pagar: retener datos críticos de una víctima’ para el rescate, amenazando con filtrar los datos y publicitar la filtración, amenazando con perseguir a los clientes de la víctima’ y con atacar a la cadena de suministro o proveedores partners de la víctima’.

A medida que las empresas invierten en sus procesos de desarrollo de la cadena de suministro a través de la diversificación, también podrían estar abriendo involuntariamente sus puertas a los riesgos de seguridad. Estos nuevos proveedores podrían ofrecer aplicaciones y servicios de nube con políticas de seguridad que podrían no estar a la altura o no dar prioridad a la seguridad de nube.

Para mantener a las empresas seguras a medida que avanzan con sus estrategias de resiliencia de la cadena de suministro, deben aplicar el enfoque de confianza cero en sus prácticas de seguridad.