Algo que tienen en común los desarrolladores de soluciones de Seguridad Informática, es que aprovechan esta época del año para hablar de las amenazas que vendrán en el 2017. Puede llegar a ser un poco fatigoso leer tantas coincidencias sombrías, veamos cómo podemos extraer información que nos sirva para mejorar nuestro servicio al cliente, a partir de convertir estos datos en parámetros para una mejor toma de decisiones.
Uno de los estudios más completos sobre lo que nos espera este año lo realizaron los especialistas de Sophos. Además, el informe tiene la virtud de reducir el escenario a 12 temas concretos. Repasémoslos y luego veamos que deberíamos tener en cuenta como Canal.
Claudia Vizcarra, Gerente de Sophos, fue la especialista que lideró el desarrollo de este informe y resumió los puntos principales: «durante el 2016 fuimos testigos de un gran número y variedad de ciberataques, desde un DDoS de alto perfil, tomando el control de cámaras de seguridad a través de Internet, hasta el hackeo durante las últimas elecciones de los Estados Unidos. También aumentaron significativamente las filtraciones de datos en los que compañías y usuarios de cualquier tipo fueron afectados por pérdidas de información. Consideramos que los impactos aumentarán durante este 2017».
INCREMENTO DE LOS ATAQUES DESTRUCTIVOS DDOS A IOT
En 2016, Mirai mostró el potencial destructivo masivo de los ataques DDoS, consecuencia de la inseguridad de los dispositivos con IoT (Internet de Cosas). Los ataques de Mirai tan sólo explotaron un pequeño número de dispositivos y vulnerabilidades, usando técnicas básicas de predicción de contraseñas. Se espera que los cibercriminales encuentren fácilmente la manera de ampliar su alcance, debido al gran número de dispositivos con IoT que contienen un código obsoleto, basado en sistemas operativos sin mantenimiento y aplicaciones con vulnerabilidades conocidas. Continuarán apareciendo exploits de IoT, mayor capacidad de predicción de contraseñas y más dispositivos IoT comprometidos, utilizados para ataques DDoS o para asaltar a otros dispositivos conectados a la red.
SUSTITUCIÓN DE EXPLOITS POR ATAQUES SOCIALES DIRIGIDOS
Los ciberdelincuentes cada vez son mejores para engañar al eslabón más débil: el ser humano. Los ataques cada vez son más sofisticados y convincentes e intentan confundir a los usuarios para que comprometan su propia seguridad. Por ejemplo, es común ver un mensaje de correo electrónico que se dirige al destinatario por su nombre y afirma que tiene una deuda pendiente que el remitente ha sido autorizado a cobrar. La sorpresa, el miedo o la recaudación de impuestos por parte de autoridades son tácticas comunes y eficaces. El e-mail los dirige a un enlace malicioso donde, si los usuarios acceden, quedan expuestos. Estos ataques de phishing ya no se pueden considerar como simples equivocaciones del usuario.
INFRAESTRUCTURAS FINANCIERAS BAJO MAYORES RIESGOS DE ATAQUE
Los ataques de phishing utilizan información detallada sobre los ejecutivos de la empresa para engañar a los empleados para que paguen por fraudes o comprometan cuentas. También se esperan más ataques a infraestructuras financieras críticas (como el ataque de instituciones conectadas a SWIFT que costaron al Banco Central de Bangladesh 81 millones de dólares en febrero de 2016). SWIFT admitió recientemente que fueron objeto de otros ataques de este tipo y esperan que haya más, declarando en una carta dirigida a los bancos clientes: “La amenaza es muy persistente, adaptativa y sofisticada, y está aquí para quedarse”.
EXPLOTACIÓN DE LA INFRAESTRUCTURA INTRÍNSECAMENTE INSEGURA DE INTERNET
Todos los usuarios de Internet están obligados a utilizar antiguos protocolos que datan de su creación y su ubicuidad los hace casi imposibles de renovar o reemplazar. Estos protocolos que han sido durante mucho tiempo la columna vertebral de Internet y las redes empresariales, a veces están sujetos a graves fallas. Por ejemplo, los ataques contra el BGP (Border Gateway Protocol) podrían de forma potencial interrumpir, secuestrar o desactivar gran parte de Internet. El ataque DDoS a Dyn en octubre (lanzado por una infinidad de dispositivos con IoT), tiró el servicio de DNS y, a su vez, con el acceso a parte de Internet. Fue una de las mayores acciones vistas y aquellos que se atribuyeron la responsabilidad dijeron que se trataba solo de un simulacro.
INCREMENTO EN LA COMPLEJIDAD DE LOS ATAQUES
Los ataques agrupan múltiples elementos técnicos y sociales y reflejan un análisis cuidadoso de la red de la empresa que será víctima. Los atacantes comprometen varios servidores y endpoints mucho antes de que empiecen a robar los datos o actúen de forma agresiva. Controlados por expertos, estos ataques son estratégicos, no tácticos, y pueden causar mucho más daño. Se trata de un mundo muy diferente a las típicas descargas de malware preprogramadas y automatizadas que se solían ver, siendo ahora más sigilosas y capaces de evadir las detecciones.
MÁS ATAQUES CON LENGUAJE Y HERRAMIENTAS DE ADMINISTRACIÓN INTEGRADAS
Se observan más exploits basados en PowerShell, el lenguaje de Microsoft para automatizar las tareas administrativas. Como lenguaje de scripting, PowerShell evade las contramedidas centradas en ejecutables. También se ven más ataques que utilizan técnicas de penetración y otras herramientas administrativas que ya existen en la red de la víctima, sin necesidad de infiltrarse y no levantando sospechas. Estas poderosas herramientas requieren controles igualmente potentes.
EVOLUCIÓN DEL RANSOMWARE
A medida que más usuarios reconocen los riesgos del ataque de ransomware por correo electrónico, los cibercriminales están explorando otros métodos. Algunos están experimentando con un malware que vuelve a infectar más tarde, mucho después de que se paga por rescatar los datos, y algunos están empezando a usar herramientas integradas y sin malware ejecutable en absoluto, para evitar la detección por código de protección endpoint que se centra en los archivos ejecutables. Ejemplos recientes muestran como, supuestamente, ofrecen descifrar archivos después de que la víctima haya compartido el ransomware con otros dos amigos, y esos amigos pagaron por liberar sus archivos.
APARICIÓN DE ATAQUES DE IOT PERSONALES
Los usuarios de dispositivos IoT en casa pueden ignorar que sus monitores de bebé son secuestrados para atacar la web de otra persona. Pero, una vez que los atacantes se hacen con un dispositivo en una red doméstica, pueden comprometer otros, como computadoras portátiles que contienen datos personales importantes. Se prevé que esto suceda más veces, así como más ataques que utilicen cámaras y micrófonos para espiar los hogares de la gente.
CRECIMIENTO DE MALVERSITING Y CORRUPCIÓN DE ECOSISTEMAS DE PUBLICIDAD ONLINE
El malvertising, que propaga el malware a través de redes de anuncios online y páginas web, ha existido desde hace años. Pero en 2016, pudimos ver mucho más. Estos ataques ponen de relieve mayores problemas en todo el ecosistema publicitario, como el fraude de clics, que genera clics de pago que no se corresponden con un interés real de clientes. El malvertising compromete a los usuarios y roba a los anunciantes al mismo tiempo.
LA DESVENTAJA DEL CIFRADO
Como era de esperar, los ciberdelincuentes utilizan el cifrado de manera creativa. Los productos de seguridad tendrán que integrar estrechamente las capacidades de red y de cliente, para reconocer rápidamente los incidentes de seguridad después de que el código se descifre en el punto final.
AUMENTO DEL ENFOQUE DE EXPLOITS CONTRA SISTEMAS VIRTUALIZADOS Y CLOUD
Los ataques contra hardware físico (por ejemplo Rowhammer) plantean la posibilidad de nuevas explotaciones peligrosas contra los sistemas cloud virtualizados. Los atacantes pueden abusar del host u otras máquinas virtualizadas que se estén ejecutando en un host compartido, atacar los privilegios y posiblemente acceder a los datos de otros. Por otro lado, a medida que Docker y todo el ecosistema de contenedores (o “sin servidor”) se vuelvan más populares, los atacantes buscarán cada vez más descubrir y explotar sus vulnerabilidades de esta relativamente nueva tendencia informática. Es de esperar que se den intentos activos para hacer operativos tales ataques.
ATAQUES TÉCNICOS CONTRA ESTADOS Y SOCIEDADES
Los ataques tecnológicos se han vuelto cada vez más un tema político. Hoy en día, las sociedades se enfrentan cada vez más a la desinformación, como son las noticias falsas y sistemas de votación comprometidos en su seguridad. Por ejemplo, en Estados Unidos, se ha demostrado que los ciberataques podrían permitir a un mismo votante repetir el proceso de votación varias veces de manera fraudulenta, sin ser descubierto. Incluso, si los estados no están involucrados en los ataques contras sus adversarios en las elecciones, la percepción de esta capacidad de vulnerar el sistema democrática es en sí mismo es un arma poderosa.
CLAVES PARA RESCATAR
La Internet de las Cosas será un problema de la misma manera que lo fue la Internet convencional a principios de la década de los ´90. El Canal debe tener en esto un doble enfoque. Si su cliente incursiona en la Internet de las Cosas deberá ofrecerle sus mejores soluciones para la seguridad de sus endpoints. Por otro lado, los componentes de la Internet de las cosas se utilizan para lanzar ataques de Denegación de Servicio Distribuidos, por lo que, además de cuidar que los mismos no sean infectados para pasar a ser una Botnet, hay que ofrecer dispositivos de seguridad periférica que manejen este tipo de ataques.
La Ingeniería Social para robar credenciales de los usuarios seguirá presente. Ya sabemos que no alcanza con las capacitaciones. La tendencia más clara es la de utilizar un tercer factor de identificación que puede estar en un dispositivo como un teléfono inteligente. Esta solución puede ir desde un App que genere un número de identificación que cambie cada 3 minutos a la utilización de los lectores de huella digital.
El Ransomware vino para quedarse y sigue evolucionando. Ya no se puede frenar con simples antivirus. Esta es una oportunidad para las soluciones que manejan inteligencia de comportamiento de las redes. Representan una inversión importante, pero su nivel de protección es eficiente y puede abarcar la mayoría de las amenazas.
El sector financiero siempre fue un buen consumidor de soluciones de Seguridad Informática, el hecho que haya tanto foco en ataques con objetivos específicos de estafas y robos de dinero, abre un poco la ventana de oportunidad de ventas. De todas maneras, pensando a futuro, el mejor nicho a mediano plazo sobre este sector está en la seguridad de la digitalización de las transacciones, debido a la tendencia a disminuir el flujo de efectivo circulante.
