La ciberseguridad en 2020: 9 amenazas a observar

0
161

Hacer predicciones de ciberseguridad es divertido, pero no necesariamente útil para los profesionales de la seguridad, que deben decidir para qué amenazas deben estar más preparados. «Realmente no se puede hacer una buena predicción sobre lo que va a deparar el futuro, porque son siempre las cosas que salen del campo izquierdo las que realmente se convierten en el problema», señala Chad Seaman, ingeniero senior del equipo de respuesta de inteligencia de seguridad de Akamai.

Si su mayor amenaza para el 2020 es algo nuevo e impredecible, ¿cuál es la mejor manera de enfocar sus esfuerzos en el próximo año? Comience por analizar cómo es probable que las mayores amenazas de este año cambien en el 2020 en términos de escala y tácticas.

La revista CSO ha revisado las principales investigaciones sobre las amenazas más comunes y significativas del 2019, y les ha pedido a esos investigadores que les asesoren sobre las tendencias de esas amenazas y sobre cómo las organizaciones podrían ajustar sus defensas contra ellas en el 2020. Esto es lo que aprendimos.

Infecciones de malware de dispositivos
La protección de los puntos finales ha seguido siendo una batalla para las organizaciones. Cerca de la mitad de todas las organizaciones sufrieron una infección de malware en dispositivos propiedad de la empresa en el 2019, según el informe de Kaspersky IT Security Economics del 2019. La mitad también vio infecciones de malware en los dispositivos propiedad de los empleados.

Para la empresa, las infecciones de malware en los dispositivos de la empresa fueron el incidente más caro citado en el informe de Kaspersky, con un costo medio por incidente de 2,73 millones de dólares. Esa cifra es significativamente menor para las PYMES, ya que asciende a 117 mil dólares.

Qué esperar en el 2020: Dmitry Galov, investigador de seguridad de Kaspersky, ve que el riesgo de los dispositivos propiedad de los empleados aumenta en el 2020. Considera que las empresas están más dispuestas a permitir que los empleados utilicen sus propios dispositivos para reducir costos, permitir el trabajo a distancia y aumentar la satisfacción de los empleados. Como resultado, los atacantes se dirigirán a los dispositivos personales como una forma de eludir las defensas corporativas. «De forma predeterminada, los dispositivos personales de los usuarios tienden a estar menos protegidos que los dispositivos corporativos, ya que los usuarios promedio rara vez aplican medidas adicionales para proteger sus teléfonos y equipos de posibles amenazas», afirma. «Mientras esta tendencia continúe, se producirán infecciones en los dispositivos propiedad de la compañía y de los empleados. Este vector de ataque sigue siendo atractivo porque el atacante ya no necesita apuntar a cuentas corporativas (por ejemplo, con correos electrónicos de phishing enviados al correo corporativo)».

El mejor consejo para el 2020: Las compañías deben revisar y actualizar sus políticas en torno a los dispositivos personales, y luego hacer cumplir esas políticas, cree Galov. «Las políticas estrictas de la empresa en materia de seguridad, la gestión correcta de los derechos y el suministro de soluciones de seguridad a los usuarios se encuentran en la lista de elementos imprescindibles para proteger a la empresa y sus datos», afirma. «Además de gestionar cuestiones técnicas, la formación en seguridad es importante porque puede cultivar estándares de ciberhigiene entre los empleados».

Suplantación de identidad (phishing)
Casi un tercio de todas las infracciones del año pasado fueron de phishing, según el Informe de investigaciones de infracciones de Verizon Data del 2019. Para los ataques de ciberespionaje, ese número salta al 78%. La peor noticia de phishing para el 2019 es que sus autores están mejorando mucho, mucho, gracias a herramientas y plantillas bien producidas y disponibles en el mercado.

El Informe SOTI de Akamai: Baiting the Hook rompió el servicio de phishing ofrecido por un desarrollador de kits de phishing. Este desarrollador tiene una tienda y se anuncia en los medios de comunicación social. Los precios comienzan en 99 dólares y suben dependiendo de los servicios de correo seleccionados. Todos los kits vienen con características de seguridad y evasión. «Los bajos precios y los objetivos de marca de primer nivel son atractivos, lo que crea un bajo nivel de entrada en el mercado de la suplantación de identidad (phishing) para los delincuentes que desean establecer su negocio», señalan los autores del informe. Entre las marcas de primer nivel a las que se dirigen se encuentran Target, Google, Microsoft, Apple, Lyft y Walmart.

Qué esperar en el 2020: Los desarrolladores de kits de phishing ofrecerán productos más refinados, lo que reducirá aún más la habilidad necesaria para lanzar una campaña de phishing. Según el Estudio de Prioridades de Seguridad de IDG, el 44% de las empresas afirman que el aumento de su concienciación en materia de seguridad y de las prioridades de formación del personal es una de las principales prioridades para el 2020. Los atacantes responderán mejorando la calidad de sus campañas de phishing, minimizando u ocultando los signos comunes de un phish. Espere también un mayor uso del correo electrónico comercial (BEC), donde un atacante envía intentos de phishing de aspecto legítimo a través de cuentas internas o de terceros fraudulentas o comprometidas.

El mejor consejo para el 2020: Mantenga su entrenamiento de anti-phishing actualizado y en curso. Para combatir a BEC, tenga políticas que requieran que cualquier empleado que reciba una solicitud de dinero o instrucciones de pago, las confirme por teléfono.

Ataques de Ransomware
Los ataques de Ransomware no son el incidente de ciberseguridad más común, pero pueden ser de los más costosos. Aproximadamente el 40% de las PYMES y empresas experimentaron un incidente de rescate de software en el 2019, según el informe de Economía de la seguridad de TI de Kaspersky del 2019. A nivel de las empresas, el costo medio por incidente fue de 1,46 millones de dólares.

Las herramientas de protección de endpoints están mejorando en la detección de ransomware, pero eso ha hecho que los desarrolladores de ransomware sean mejores estudiantes de las técnicas que estas herramientas utilizan, según el informe sobre amenazas de Sophos Labs 2020. «Es mucho más fácil cambiar la apariencia de un malware que su propósito o comportamiento, por lo que los programas de rescate modernos dependen de la ofuscación para tener éxito», afirma Mark Loman, director de ingeniería de tecnología de próxima generación de Sophos. «Sin embargo, en el 2020, los programas de rescate aumentarán la apuesta cambiando o añadiendo rasgos para confundir la protección anti-ransomática».

Parte de esa confusión es hacer que el software de rescate parezca provenir de una fuente confiable. El informe de Sophos cita varios ejemplos:

  • Creación de un script con la lista de máquinas objetivo e incorporación de las mismas junto con la utilidad PsExec de Microsoft Sysinternals, una cuenta de dominio privilegiada y el ransomware.
  • Aprovechar un script de inicio y cierre de sesión a través de un Objeto de directiva de grupo de Windows.
  • Abusar de la interfaz de administración de Windows para la distribución masiva dentro de una red.

Qué esperar en el 2020: Loman ve que los atacantes de ransomware continúan modificando sus métodos para darse una ventaja. «Entre los avances más notables se encuentra el aumento de los atacantes de software de rescate que aumentan los riesgos con ataques automatizados y activos que combinan el ingenio humano con las herramientas de automatización para causar el máximo impacto», afirma. «Además, al encriptar solo una parte relativamente pequeña de cada archivo, o arrancar el sistema operativo en un modo de diagnóstico en el que la protección anti-ransomware a menudo no está disponible, los atacantes continuarán evadiendo la mayoría de las defensas».

«Los ataques de ransomware han sido fuertes este año y no hay razón para que este tipo de amenaza disminuya», señala Galov de Kaspersky. El ransomware se dirige cada vez más a la infraestructura, las organizaciones e incluso a las ciudades inteligentes».

Los desarrolladores de ransomware harán que su código sea más evasivo para que puedan establecer un punto de apoyo en un sistema, encriptar más datos sin ser notados, y posiblemente escalar las operaciones a otras redes. «Este año hemos visto la aparición de ataques incluso a Network Attached Storage (NAS), que se considera en gran medida seguro y a salvo de tales amenazas», señala Galov.

El mejor consejo para el 2020: Como siempre, la mejor defensa contra el software de rescate es tener copias de seguridad actuales y probadas de todos los datos críticos. Mantenga esas copias de seguridad aisladas de su red para que tampoco estén cifradas por el software de rescate. La capacitación de los empleados también es crítica. «Para protegerse de los programas de rescate, las organizaciones deben implementar políticas de seguridad estrictas e impartir formación en ciberseguridad a sus empleados», afirma Galov. «Se requieren medidas de protección adicionales, como asegurar el acceso a los datos, asegurar que sus copias de seguridad estén almacenadas de forma segura e implementar técnicas de listas blancas de aplicaciones en los servidores».

«Es vital contar con controles de seguridad robustos, monitoreo y respuesta que cubran todos los endpoints, redes y sistemas, e instalar actualizaciones de software cada vez que se emiten», anota Loman.

Riesgo de terceros proveedores
Tanto las empresas como las PYMEs vieron incidentes que involucraban a proveedores externos (tanto servicios como productos) a un ritmo similar, del 43% y el 38%, respectivamente, según el informe de Kaspersky IT Security Economics en el 2019. La mayoría de las organizaciones (94%) conceden acceso de terceros a su red, según una encuesta realizada por One Identity, y el 72% conceden acceso privilegiado. Sin embargo, solo el 22% se sentía seguro de que esos terceros no estaban accediendo a información no autorizada, mientras que el 18% informó de un incumplimiento debido al acceso de terceros.

El estudio de Kaspersky muestra que tanto las PYMES como las empresas están obligando a terceros proveedores a firmar acuerdos de política de seguridad: el 75% de las PYMES y el 79% de las empresas los utilizan. Eso está marcando una gran diferencia cuando se trata de obtener compensación de terceros cuando son responsables de un incumplimiento. De las empresas que tienen una política en vigor, el 71% informó que recibió una compensación, mientras que solo el 22% de las empresas sin una política recibió una compensación.

Qué esperar en el 2020: Las empresas estarán más conectadas digitalmente con sus proveedores y socios. Eso aumenta el riesgo, así como la conciencia de ese riesgo. Desafortunadamente, los atacantes son cada vez más sofisticados.

«Recientemente, hemos observado que algunos grupos nuevos, como BARIUM o APT41, se han visto envueltos en sofisticados ataques a la cadena de suministro contra fabricantes de software y hardware con el fin de penetrar en infraestructuras seguras en todo el mundo», afirma Galov. «Estos incluyen dos sofisticados ataques a la cadena de suministro descubiertos en el 2017 y el 2019: el ataque CCleaner y ShadowPad, y otros ataques contra las compañías de juegos de azar. Tratar con un compromiso de uno de estos actores de la amenaza es un proceso complejo, ya que por lo general dejan atrás las puertas que les permiten regresar más tarde y causar aún más estragos».

El mejor consejo para el 2020: Sepa quién tiene acceso a sus redes y asegúrese de que solo tienen los privilegios que necesitan. Disponer de políticas para comunicar y hacer cumplir las normas de acceso de terceros. Asegúrese de que dispone de una política de seguridad para todos sus proveedores externos en la que se detallan las responsabilidades, las expectativas de seguridad y lo que sucede cuando se produce un incidente.

«Lo mejor que pueden hacer las organizaciones para protegerse de estos ataques es asegurarse de que no solo ellas, sino también sus socios, siguen altos estándares de ciberseguridad», señala Galov. «Si los terceros proveedores obtienen algún tipo de acceso a la infraestructura interna o a los datos, deben establecerse políticas de ciberseguridad antes del proceso de integración.

Ataques DDoS
El 42% de las empresas y el 38% de las PYMES experimentaron un ataque de denegación de servicio distribuida (DDoS) en el 2019, según el informe de Kaspersky IT Security Economics en 2019. Esto está a la par con los incidentes de rescate, que reciben mucha más atención de los medios de comunicación. Desde el punto de vista financiero, los ataques DDoS cuestan a las PYME una media de 138 mil dólares.

Los atacantes continúan innovando para mejorar la eficacia de sus ataques DDoS. En septiembre, por ejemplo, Akamai informó de un nuevo vector DDoS: Web Services Dynamic Discovery (WSD), un protocolo de descubrimiento de multidifusión para localizar servicios en una red local. Usando WSD, los atacantes pueden localizar y comprometer dispositivos conectados a Internet mal configurados a escala para ampliar el alcance de sus ataques DDoS.

Qué esperar en el 2020: Galov, de Kasperksy, considera que los ataques DDoS seguirán siendo «bastante prominentes» en el 2020 gracias al aumento de los 5G y al número de dispositivos de IoT. «Los límites convencionales de la infraestructura crítica, como el suministro de agua, la red de suministro de energía, las instalaciones militares y las instituciones financieras, se expandirán mucho más a otras áreas sin precedentes en un mundo conectado a 5G», señala. «Todo esto requerirá nuevos estándares de seguridad, y el aumento de la velocidad de conexión planteará nuevos retos para detener los ataques DDoS».

El mejor consejo para el 2020: Hazle un favor a todo el mundo y comprueba que sus dispositivos conectados a Internet no tengan errores de configuración ni vulnerabilidades no parcheadas. «Es higiene de seguridad, higiene de seguridad básica», señala Seaman de Akamai.

Desafortunadamente, eso no ayudará al riesgo de ataques DDoS ayudados por dispositivos de consumo conectados. «La abuela va a Best Buy a recoger una nueva cámara web para ponerla en la entrada para que pueda ver quién se detiene y no sepa nada sobre la higiene de este dispositivo», comenta Seaman. «Ahí es donde seguimos viendo los problemas más grandes, y no es la abuela. Es realmente un tipo en Vietnam que tiene un sistema de seguridad VDR para su pequeña tienda. La última de sus preocupaciones es si su webcam es usada para destruir un banco».

Vulnerabilidades de las aplicaciones
Según el informe del Estado de Seguridad de Software Vol. 10 de Veracode, el 83% de las 85 mil aplicaciones que probó tenían al menos un defecto de seguridad. Muchos tenían mucho más, ya que su investigación encontró un total de 10 millones de defectos, y el 20% de todas las aplicaciones tenían al menos un defecto de alta gravedad. Esto deja muchas oportunidades en términos de vulnerabilidades potenciales de día cero y errores explotables para que los atacantes las aprovechen.

Los autores del informe ven optimismo en algunos de los datos. Las tasas fijas, especialmente para los defectos de alta gravedad, están mejorando. La tasa fija global es del 56%, frente al 52% en el 2018, y los defectos de mayor gravedad se fijan en un 75,7%. Sin embargo, lo más positivo es que un enfoque de DevSecOps con escaneos y pruebas frecuentes del software reducirá el tiempo para corregir las fallas. El tiempo medio de reparación para las aplicaciones escaneadas 12 veces o menos al año fue de 68 días, mientras que una tasa media de escaneado diaria o superior redujo esa tasa a 19 días.

Qué esperar en el 2020: A pesar de los mejores esfuerzos de los equipos de seguridad y desarrollo, las vulnerabilidades seguirán apareciendo en el software. «La mayoría del software hoy en día es muy inseguro. Esto continuará en el 2020, especialmente con el 90% de las aplicaciones que utilizan código de bibliotecas de código abierto», señala Chris Wysopal, cofundador y CTO de Veracode. «Hemos visto algunos signos positivos de AppSec en el 2019. Las organizaciones se centran cada vez más no solo en encontrar vulnerabilidades de seguridad, sino en corregirlas y priorizar los defectos que las ponen en mayor riesgo…… Nuestros datos sugieren que encontrar y reparar vulnerabilidades se está convirtiendo en una parte tan importante del proceso como mejorar la funcionalidad».

El mejor consejo para el 2020: Como muestra la investigación de Veracode, escanear y probar sus aplicaciones en busca de vulnerabilidades con mayor frecuencia, mientras se priorizan los defectos más graves que deben corregirse es una defensa eficaz. Wysopal también insta a las empresas a vigilar la deuda de valores. «Una de las amenazas crecientes dentro de la seguridad de las aplicaciones es la noción de deuda de seguridad, tanto si las aplicaciones se están acumulando como si están eliminando defectos con el tiempo», afirma. Una deuda de seguridad creciente deja a las organizaciones expuestas a ataques.

«Al igual que con las deudas de tarjetas de crédito, si comienza con un gran saldo y solo paga por los nuevos gastos de cada mes, nunca eliminará el saldo», señala Wysopal. «En AppSec, hay que abordar los nuevos hallazgos de seguridad mientras se quita lo viejo».

Servicios cloud/incidencias en la infraestructura alojada
El 43% de las empresas tuvieron incidentes de seguridad que afectaron a los servicios cloud de terceros en el 2019, según el informe de Kaspersky IT Security Economics del 2019. Aunque los incidentes relacionados con la nube no figuran en la lista más frecuente de las PYMES, son caros para las empresas más pequeñas, que a menudo dependen más de los servicios alojados. El incidente medio que afectó a la infraestructura alojada de las PYME fue de 162 mil dólares.

Un área que experimentó un repunte en la actividad en el 2019 fue el fraude de pagos en línea. El grupo criminal Magecart en particular estuvo muy ocupado. El grupo utiliza código que aprovecha los errores de configuración en la nube para modificar el código del carro de la compra. Las empresas que utilizan los servicios de comercio electrónico en línea no son conscientes del cambio hasta que los clientes se quejan de cargos fraudulentos.

Las organizaciones aún deben preocuparse por la mala configuración de los servicios en la nube de manera que los datos queden expuestos en Internet. Los atacantes exploran regularmente Internet para obtener estos datos expuestos. Afortunadamente, los proveedores de plataformas de nube como Amazon y Google han implementado nuevas herramientas y servicios en el 2019 para ayudar a las organizaciones a configurar correctamente sus sistemas de nube y encontrar errores que dejan los datos desprotegidos.

Qué esperar en el 2020: El poder de permanencia del código malicioso y la recompensa financiera (se estima que solo el transporte de Magecart es de millones de dólares) significa que el fraude en los pagos en línea aumentará en el 2020. El éxito de Magecart está destinado a inspirar a los imitadores. Las organizaciones contrarrestarán ésta y otras amenazas de la nube gastando más en seguridad de la nube. Según el Estudio de Prioridades de Seguridad de IDG, solo el 27% de las organizaciones tienen tecnología de protección de datos en la nube en producción, pero el 49% la están investigando o probando.

El mejor consejo para el 2020: Realice revisiones del código fuente de sus scripts de comercio electrónico e implemente la integridad de los subrecursos para que los scripts modificados no se carguen sin su permiso. Asegúrese de que sus proveedores de cloud computing realicen evaluaciones de su propio código para evitar fraudes. Realice análisis regulares en busca de errores de configuración que expongan sus datos en Internet.

Vulnerabilidades de la IoT
La Internet de las cosas (IoT, por sus siglas en inglés) y los datos que genera fueron la segunda tendencia más impactante para los profesionales de la seguridad en el 2019, según el informe de la Security Industry Association (SIA) 2019 Security Megatrends. El crecimiento de la IoT es nada menos que maníaco y difícil de predecir. La firma de investigación Statista estima que habrá entre 6.600 y 30 mil millones de dispositivos conectados a Internet en el 2020, un rango demasiado grande para ser útil.

La amenaza que plantea la IoT ha estado presente en el 2019 para la mayoría de las organizaciones. La Encuesta de Percepción del Riesgo Global Marsh Microsoft 2019 encontró que el 66% de los encuestados veían la IoT como un riesgo cibernético; el 23% calificó ese riesgo como «extremadamente alto». Estos dispositivos de IoT son blancos fáciles para los adversarios, porque a menudo no tienen parches y están mal configurados, y son «no administrados» porque no son compatibles con los agentes de seguridad de los puestos de trabajo», señala Phil Neray, vicepresidente de ciberseguridad industrial de CyberX. «Como resultado, pueden ser fácilmente comprometidos por los adversarios para obtener un punto de apoyo en las redes corporativas, llevar a cabo ataques de rescate destructivos, robar propiedad intelectual sensible, y desviar recursos informáticos para campañas de DDoS y criptojacking«.

El Informe de Riesgos de IO Global 2020 de CyberX analiza las brechas de seguridad más comunes que hacen que los dispositivos de IoT sean vulnerables en los últimos 12 meses. Muestra una mejora significativa en algunas áreas. Los dispositivos de acceso remoto disminuyeron 30 puntos porcentuales con la vulnerabilidad encontrada en el 54% de los sitios encuestados. Las conexiones directas a Internet también cayeron del 40% al 27%.

Por otro lado, los sistemas operativos obsoletos se encontraron en el 71% de los sitios, frente al 53% del año anterior; y el 66% de los sitios no realizaron actualizaciones automáticas de antivirus en comparación con el 43% del año anterior.

Qué esperar en el 2020: Neray ve que el riesgo de los dispositivos de IoT expuestos aumenta en el 2020 a medida que aumenta el número de dispositivos conectados y «la motivación y sofisticación de los adversarios de los Estados nacionales y de los ciberdelincuentes aumenta». Los entornos industriales como los servicios públicos de energía, la fabricación, los productos químicos, los productos farmacéuticos y el petróleo y el gas estarán especialmente en peligro, señala. «Estos compromisos pueden llevar a consecuencias aún más graves, incluyendo costosas paradas de planta, amenazas a la seguridad humana e incidentes ambientales».

Neray identifica los sistemas de gestión de edificios (BMS) como el objetivo principal de los atacantes. «Normalmente son desplegados por equipos de gestión de instalaciones con un mínimo de experiencia en seguridad, a menudo expuestos a Internet sin saberlo, y normalmente no son supervisados por centros de operaciones de seguridad corporativos (SOCs)».

El mejor consejo para el 2020: Neray aconseja a las empresas que sigan una estrategia de defensa en profundidad con varios niveles que incorpore

  • Mayor segmentación de la red
  • Acceso remoto restringido a redes de control industrial por parte de contratistas de terceros con fuertes controles de acceso tales como 2FA y bóveda de contraseñas.
  • Monitorización de la seguridad de la red sin agentes para detectar y mitigar rápidamente los ataques de IoT antes de que los adversarios puedan volar o cerrar sus instalaciones.

En última instancia, la mejor defensa depende más del enfoque organizacional que de los enfoques técnicos. «En el ataque de TRITON a los sistemas de seguridad de una planta petroquímica en Arabia Saudita, por ejemplo, una de las principales deficiencias fue que nadie se consideraba responsable en última instancia de la seguridad de la red de control industrial», comenta Neray. «Como resultado, hubo serias fallas en el monitoreo de seguridad y nadie comprobó que los firewalls en la DMZ hubieran sido configurados correctamente por las empresas subcontratadas que los instalaron. Nuestro consejo para los CISOs es que asuman la responsabilidad de la seguridad de la IoT y la OT y traten la seguridad de IoT y OT de una manera holística junto con la seguridad de TI, integrada en sus flujos de trabajo SOC y en su pila de seguridad.

Cryptojacking
Terminemos esta lista con buenas noticias: Se espera que los ataques de criptomanía disminuyan en el 2020. Aunque los ataques de criptomanía no fueron la lista más frecuente ni para las empresas ni para las PYMES en el informe de Economía de la seguridad de TI de Kaspersky del 2019, resultaron ser costosos para las empresas en el 2019. El impacto financiero medio para ellos fue de 1,62 millones de dólares.

Qué esperar para el 2020: Las incidencias de criptología aumentan o disminuyen con los valores de criptocurrency, pero la facilidad con la que los atacantes pueden ejecutar un esquema de criptojacking significa que esta amenaza persistirá hasta el año 2020. «La minería ha estado disminuyendo constantemente a lo largo del 2019 y no vemos ninguna razón para esta tendencia al cambio», anota Galov. La criptomanía se ha vuelto menos rentable, no sin la influencia de las criptocurrencias que han tomado la lucha contra esta amenaza».

El mejor consejo para el 2020: Utilice una solución de seguridad que detecte las amenazas criptográficas, y esté atento a los picos en los valores de criptocurrency, lo que fomentará más ataques de criptojacking.

Michael Nadeau, CSOonline.com