Informes de seguridad
La nueva norma: Predicciones de seguridad de Trend Micro para 2020
El año 2020 será testigo de una transición hacia una nueva década. La ciberseguridad también. Atrás quedan los días de las redes aisladas detrás de un firewall de empresa y de una limitada pila de aplicaciones empresariales. El paradigma actual exige una amplia variedad de aplicaciones, servicios y plataformas que requerirán protección. Los defensores tendrán que concebir la seguridad desde muchos puntos de vista para poder mantener el ritmo y anticiparse a los pilares, las revoluciones y los nuevos implicados en el cibercrimen.
Seguirán los métodos eficaces de extorsión, ofuscación y phishing, pero sin duda surgirán nuevos riesgos. El aumento de la migración hacia la nube, por ejemplo, intensificará los errores humanos. La enorme cantidad de infraestructuras y activos conectadas también abrirá las puertas a amenazas. La seguridad de las empresas no será menos compleja, sino que combinará los riesgos tradicionales con las nuevas tecnologías, como la inteligencia artificial (IA) en los fraudes comerciales.
Nuestras predicciones de seguridad para 2020 reflejan las opiniones y conocimientos de nuestros expertos sobre las amenazas y tecnologías actuales y emergentes. Nuestro informe describe un posible futuro panorama impulsado por los avances en la tecnología y la evolución de las amenazas para permitir que las empresas tomen decisiones basadas en información acerca de su postura frente a la ciberseguridad en 2020 y años posteriores. El futuro se avecina complejo, vulnerable y erróneamente configurado, pero también defendible.
Los atacantes superarán los parches incompletos y apresurados.
Los administradores de sistemas se enfrentarán a una doble situación: garantizar tanto la rapidez como la calidad de los parches que se implementan. Los parches incompletos o defectuosos pueden resquebrajar y perjudicar sistemas críticos, pero retrasar su aplicación puede hacer que los sistemas queden expuestos ante las amenazas. Situaciones anteriores demostraron cómo es posible sortear los parches incompletos para aprovechar la vulnerabilidad que el mismo parche está intentando solucionar. Los atacantes también sacarán provecho de las «brechas en parches», es decir, de los periodos de exposición transcurridos entre un parche en un componente de código abierto que se está solucionando y el correspondiente parche que se está aplicando al software que lo utiliza.
Los sistemas de la banca estarán en el punto de mira mediante el malware de cajeros automáticos y operaciones bancarias en abierto.
El malware móvil dirigido a las operaciones bancarias online y a los sistemas de pago será más activo, ya que los pagos online en móviles en Europa crecen gracias a la Directiva revisada de servicios de pago de la Unión Europea (UE) (PSD2). La implementación de la directiva tendrá repercusiones en la ciberseguridad en lo que respecta al sector de las operaciones bancarias, desde los parches en las interfaces de programación de aplicaciones (API) hasta los nuevos esquemas de phishing.
En la clandestinidad, la venta de malware de cajeros automáticos ganará terreno. Prevemos que las familias de malware de cajeros automáticos competirán por la dominación, donde intentarán superarse unas a otras en lo que se refiere a las características y precios del malware. Las variantes de Cutlet Maker, Hello World y WinPot, por ejemplo, ya se están vendiendo en la clandestinidad.
Los deepfakes será la siguiente frontera para los fraudes empresariales.
El uso de deepfakes, es decir, falsificaciones de imágenes, vídeos o audios basadas en IA, avanzarán desde la creación de falsos vídeos pornográficos de famosos hasta la manipulación de empresas y sus procedimientos, tales como engaños a los empleados para transferir fondos o tomar decisiones importantes. Se produjo un ejemplo de este método cuando una voz falsa generada por IA del CEO de una empresa energética se utilizó para defraudar a la empresa unos 243 000 $ estadounidenses. La tecnología supondrá un complemento al arsenal de los cibercriminales y un cambio de los ataques Business Email Compromise (BEC) tradicionales. La C-suite se situará como el objetivo principal de este tipo de fraude dado que, a menudo, se realizan en llamadas, conferencias, apariciones en la prensa y vídeos online.
Los atacantes sacarán provecho de los parches «wormables» y de los errores de deserialización.
Se revelarán más intentos de explotación de vulnerabilidades críticas y de alta gravedad como el «wormable» BlueKeep. Se aprovecharán los protocolos ampliamente utilizados como Server Message Block (SMB) y Remote Desktop Protocol (RDP) con el fin de comprometer a los sistemas vulnerables, con el último vector común para ransomware.
Los fallos y los puntos débiles implicados en la deserialización de datos que no son de confianza será una preocupación importante, especialmente en lo que respecta a la seguridad de las aplicaciones empresariales. Las amenazas que aprovechan esta clase de vulnerabilidades pueden modificar los datos considerados seguros frente a modificaciones y permitir la posible ejecución de código controlado por el atacante. En vez de encontrar y encadenar las distintas vulnerabilidades juntas para ejecutar el código malicioso, los atacantes aumentarán el aprovechamiento de los errores de deserialización para obtener con mayor facilidad el control de los sistemas, incluso en entornos complejos.
Los cibercriminales dispondrán de los dispositivos del IOT para el espionaje y la extorsión.
Se aprovechará el machine learning (ML) y la inteligencia artificial (IA) para escuchar en dispositivos conectados como TV inteligentes y altavoces para husmear en conversaciones personales y empresariales, lo que puede proporcionar material para extorsión o espionaje corporativo.
En lo que respecta a otras formas de rentabilizar los ataques de IoT, los cibercriminales aún tienen que encontrar un modelo empresarial escalable para hacer dinero con la amplia superficie de ataque del internet de las cosas (IoT). Continuarán explorando vías para sacar más beneficio de los ataques de IoT, principalmente mediante la extorsión digital. Estos esquemas primero se intentarán en los dispositivos de consumo, con la maquinaria industrial conectada como el siguiente objetivo lógico. Un desarrollo que hemos visto en nuestra reciente incursión en la clandestinidad.
Los robots de dispositivos IoT comprometidos, como routers, se exhibirán, posteriormente, en la clandestinidad junto con el acceso a las retrasmisiones de cámara web y medidores inteligentes con firmware modificados.
Los que se sumen al 5G lidiarán con las implicaciones en seguridad del traslado de las redes definidas mediante software.
La implementación completa del 5G en 2020 introducirá nuevos desafíos: vulnerabilidades sencillamente teniendo en cuenta la novedad de la tecnología y los proveedores desprevenidos para hacer frente a las amenazas que puedan aprovecharse de ello. Dado que las redes 5G están definidas mediante software, las amenazas provendrán de las operaciones de software vulnerable y la topología distribuida. Un factor de amenaza que obtenga el control del software que gestiona las redes 5G puede, por consiguiente, secuestrar la red en sí misma. Las actualizaciones que afecten al 5G serán más parecidas a las actualizaciones de los smartphones e implicarán vulnerabilidades. De hecho, la explotación de las vulnerabilidades del 5G utilizando plataformas de software y hardware económicas ya sea han demostrado como posibles.
Las infraestructuras críticas sufrirán el asedio de más ataques e interrupciones en la producción.
Las infraestructuras críticas serán objetivos viables para los extorsionadores. El ransomware seguirá siendo el arma elegida por los agentes de amenazas dado su impacto destructivo, pero también veremos otros ciberataques: robots que preparan los ataques de denegación de servicio distribuidos (DDoS) frente a redes de tecnología operacional (OT), ataques en sistemas de fabricación que utilizan servicios en la nube, ataques en cadenas de suministro donde hay proveedores externos comprometidos y que se utilizan como trampolín para los agentes de amenazas con el fin de dirigirse a sectores críticos.
Diversos agentes de amenazas han atacado y hecho un reconocimiento de varias instalaciones energéticas en todo el mundo en un intento de robar credenciales de sistemas de control industrial (ICS) y sistemas de control de supervisión y adquisición de datos (SCADA). Aparte del sector servicios, prevemos ataques en los sectores de fabricación, transporte y producción de alimentos, los cuales utilizan con mayor frecuencia aplicaciones IOT e interfaces hombre-máquinas (IHM).
Las vulnerabilidades en componentes de contenedores constituirán el primer motivo de inquietud en cuanto a seguridad para los equipos de DevOps.
El espacio del contenedor es rápido: los lanzamientos son rápidos, las arquitecturas están continuamente integrándose y las versiones de software se actualizan con regularidad. Las prácticas de seguridad tradicionales no podrán mantener el ritmo. Una aplicación puede requerir ahora una organización para asegurar los cientos de contenedores esparcidos en múltiples máquinas virtuales en diferentes plataformas de servicios en la nube. Las empresas deben tener en cuenta su seguridad en diferentes componentes de la arquitectura del contenedor, desde los tiempos de ejecución del mismo (p. ej., Docker, CRI-O, Containerd y rubC) y controladores (p. ej., Kubernetes) hasta los entornos de creación (p. ej., Jenkins).
Las plataformas sin servidor introducirán una superficie de ataque para los códigos vulnerables y los errores de configuración.
Las plataformas sin servidor ofrecen una «función como un servicio», lo que permite a los desarrolladores ejecutar códigos sin que la organización tenga que pagar por todos los servidores o contenedores. Las bibliotecas desactualizadas los errores de configuración, así como las vulnerabilidades conocidas y desconocidas constituirán los puntos de entrada a las aplicaciones sin servidor. Será fundamental una mayor visibilidad de la red, una mejora de los procesos y mejores flujos de trabajo de documentación con el fin de ejecutar aplicaciones sin servidor. Los entornos sin servidor también se pueden beneficiar de la adopción de DevSecOps, donde la seguridad está integrada en el proceso de DevOps.
Las plataformas en la nube serán víctimas fáciles para los ataques de inserción de código mediante bibliotecas externas.
Los ataques de inserción de código, ya sea directamente al código o mediante una biblioteca externa, se utilizará ampliamente contra las plataformas en la nube. Estos ataques, desde las secuencias de comandos en sitios cruzados e inyección de código SQL, se llevarán a cabo con el fin de espiar, tomar el control e, incluso, modificar datos y archivos confidenciales almacenados en la nube. Los atacantes inyectarán de forma alternativa código malicioso en bibliotecas externas que los usuarios descargarán y ejecutarán sin percatarse de ello. Las filtraciones de datos relacionadas con la nube aumentarán a medida que se adopten ampliamente los modelos de computación en la nube de software, infraestructura y plataforma como servicio (Saas, IaaS, PaaS). Evitar que la nube se comprometa requerirá una diligencia debida por parte de los desarrolladores, una cuidadosa consideración de proveedores y las plataformas ofertadas, así como de mejoras en la gestión de la postura frente a la seguridad en la nube.
Los ataques en 2020 y años posteriores contarán con una planificación y coordinación más cuidadosamente detallada. Asimismo, la carencia de competencias en materia de ciberseguridad y la falta de limpieza de seguridad también serán factores determinantes en el próximo panorama de amenazas. Los riesgos de compromiso mediante las amenazas avanzadas, el malware persistente, el phishing y los ataques de día cero se pueden mitigar si se cuenta rápidamente con conocimiento y protección frente a amenazas. La información sobre amenazas procesables infundida en los procesos de gestión de riesgo y seguridad permitirán a las organizaciones defender sus entornos de forma proactiva identificando las brechas de seguridad, eliminando los enlaces débiles y comprendiendo las estrategias de los atacantes. Los directores de TI y encargados de tomar decisiones cuentan con expertos que pueden abordar la necesidad de ver el panorama completo de sus infraestructuras online, como los analistas del centro de operaciones de seguridad (SOC), quienes pueden correlacionar sus hallazgos con la inteligencia sobre amenazas completa. Esto se traduce en un mejor contexto más allá del endpoint, abarcando emails, servidores, workloads en la nube y redes.
El panorama en continua evolución requerirá una mezcla intergeneracional de defensa conectada y multicapa impulsada por mecanismos de ciberseguridad como los siguientes:
- Visibilidad completa. Proporciona un reconocimiento optimizado y priorizado de amenazas con herramientas y experiencia que solucione el impacto y mitigue los riesgos.
- Prevención de amenazas con una mitigación efectiva. Mitiga automáticamente las amenazas una vez que se visualizan y se identifican, a la misma vez que se emplea anti-malware, machine learning e IA, control de aplicaciones, web reputation y técnicas anti-spam.
- Managed detection and response. Proporciona experiencia en seguridad que puede correlacionar alertas y detecciones para la búsqueda de amenazas, análisis integral y solución inmediata utilizando herramientas optimizadas de inteligencia sobre amenazas.
- Supervisión de comportamiento. Bloquea de forma proactiva malware y técnicas avanzadas y detecta comportamientos y rutinas anómalas asociadas a malware.
- Endpoint security. Protege a los usuarios mediante sandboxing, detección de filtraciones y funciones de endpoint sensor.
- Detección y prevención de intrusiones. Impide el tráfico de red sospechoso como la comunicación de control y comando (C&C) y la exfiltración de datos.
Vea lo que dará forma al panorama de amenazas en 2020 y cómo los usuarios y organizaciones pueden hacerle frente en nuestro informe, «La nueva norma: Predicciones de seguridad de Trend Micro para 2020».
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.
Artículos Recientes
- Ransomware Spotlight: Ransomhub
- Unleashing Chaos: Real World Threats Hidden in the DevOps Minefield
- From Vulnerable to Resilient: Cutting Ransomware Risk with Proactive Attack Surface Management
- AI Assistants in the Future: Security Concerns and Risk Management
- Silent Sabotage: Weaponizing AI Models in Exposed Containers