Contactos
Vuelve a la pagina anterior
Security
David Pynchon
8

Amenazas para la seguridad de la información en 2021: La lista principal

28.01.2021
Fecha de actualización: 11.05.2023

A medida que crecen el mercado general de las TI e Internet en todas sus formas, también lo hace la actividad maliciosa correspondiente. He aquí algunos de los casos y escenarios más vívidos: nada absolutamente nuevo, pero las tendencias que repasamos ahora están en franco aumento.

 

Los atacantes se unen, los defensores también deberían hacerlo

Los hackers solitarios siguen merodeando por el ciberespacio, pero el trabajo en equipo es la verdadera tendencia (¡y amenaza!) de hoy en día. Hace apenas unos años, un ataque realizado por un equipo era sobre todo algo de lo que presumir mientras se tomaba una cerveza con los colegas. Ahora es la clave del éxito, y no sólo porque los muros cibernéticos contemporáneos sean demasiado gruesos para un solo intruso.

Imagínese a un equipo de piratas informáticos con acceso (no importa cómo de momento) a la IA de una empresa objetivo. A saber: ser capaz de meterse con el aprendizaje automático de esta red en particular, aunque el resto del perímetro esté mejor vigilado que un depósito de cabezas nucleares. Con manipulaciones no complicadas existe la forma de «educar alternativamente» el sistema de reconocimiento de imágenes de la videovigilancia de un objetivo. Así, al ver a un intruso físico en las instalaciones, las cámaras no se apartarán tímidamente, sino que se quedarán ciegas ante un individuo, de modo que un miembro del equipo de piratas informáticos podría colarse y acceder personalmente a las zonas más protegidas.

Vale, puede sonar un poco demasiado «misión-imposible». Pero el hecho es que los hackers se unen eficazmente para repartirse las responsabilidades y organizar potentes ataques que duran poco tiempo y a menudo son difíciles de advertir. Las técnicas que utilizan evolucionan al ritmo del crecimiento de Internet, es decir, muy rápido; además, los intrusos son libres de seleccionar sus tácticas para cualquier ataque específico y cambiarlas, rápidamente también, al enfrentarse a obstáculos inquebrantables. El escenario descrito no es de un tipo extraordinario: a veces los ataques se diseñan como ciberfísicos, cuando engañar al sistema simplifica la intrusión real. O viceversa, cuando la brecha parte de una intrusión física: engancharse al sistema de un objetivo.

Las acciones a favor de una parte defensora también deben dirigirse en equipo, pero para un objetivo el escenario es bastante diferente. Los riesgos de brecha dejan de ser un quebradero de cabeza del departamento de TI, ya que pueden poner en peligro todo el negocio: filtración de datos confidenciales, exposición de terceros, etc. Así que hoy en día la alta dirección, con los supervisores de las sucursales, seguramente las finanzas e incluso, a veces, el marketing y las comunicaciones, deben tener preparado el protocolo de respuesta a la violación de datos,/ al igual que para los demás casos críticos. La tendencia que está surgiendo en relación con estas pro-acciones es el seguro de posibles riesgos de pérdida/exposición de datos. Este paso ya se consideraba desde hace tiempo, así que, de nuevo, no es una novedad. Pero las mayores incidencias de este tipo de contratos de seguros – y hasta ahora los correspondientes reembolsos – no han llegado a las noticias todavía.

Control remoto

Las «oficinas en casa» son probablemente la tendencia reciente más distintiva. Sus características principales pueden considerarse una especie de mal de la infancia: su nacimiento fue bastante repentino, mientras que su crecimiento fue (sigue siendo) explosivo, ambos debido a la naturaleza pandémica de la propia tendencia. Al introducir el modo remoto, las empresas se planteaban, por supuesto, cuestiones de seguridad. Pero a menudo, con la urgencia del cambio rápido, se pensó menos en la protección.

Los atacantes prefieren objetivos más fáciles: en lugar de atacar frontalmente la infraestructura corporativa, ahora al límite pero todavía bien defendida, buscan vulnerabilidades en los protocolos de escritorio remoto y/o apuntan a dispositivos personales que puedan tener acceso a las redes corporativas. Una vez más, los diseños de los ataques son más complejos que las simples brechas directas. Por ejemplo, la obtención de algunos datos corporativos desde dispositivos personales es, a sabiendas, la fase preparatoria. A continuación, con la ayuda de una hábil ingeniería social y trozos de información corporativa recopilados alternativamente (que se amontonan en una importante base de datos) se llevará a cabo el ataque principal, que causará un daño mucho mayor.

Así como la palabra «clandestino» se refiere casi directamente al espionaje, el diseño de un ataque clandestino se utiliza ampliamente para succionar datos altamente sensibles de las empresas. Estos ataques se realizan con una especie de gracia técnica: utilizando malware sin archivos. Este método utiliza procesos y herramientas integrados en el sistema operativo; literalmente, no hay nada que escribir en los discos y, por lo tanto, es mucho más difícil de detectar que el malware «normal». Según las conclusiones de ESET, en 2021 más ataques de este tipo se dirigirán a instituciones gubernamentales que a entidades empresariales.

Las medidas de protección para defenderse suelen incluir el endurecimiento de las políticas de acceso corporativas. Esto hace que el trabajo a distancia sea menos cómodo, pero, como señalan los expertos en crecimiento empresarial del Mobius Institute, «en el mundo corporativo la fiabilidad suele estar por encima de la comodidad». Por cierto, la misma institución educativa empresarial sigue haciendo un llamamiento: ilustre a su personal, a sus socios y a todos los implicados sobre la ciberseguridad y enseñe al menos conocimientos básicos de seguridad de la información.

El factor humano sigue siendo el principal problema

«Cometer errores está en la naturaleza humana». O «nadie es perfecto», y otra docena de excusas totalmente válidas. En respuesta a todas ellas, cabe hacerse la misma pregunta: ¿pura despreocupación o intención? Curiosamente, la respuesta a esta pregunta apenas tiene importancia: alrededor del 90% de las filtraciones de datos comerciales se deben a la negligencia de los empleados. Además, estos indicadores tan sorprendentemente elevados se remontan a mediados de la década de 2010 y, desde entonces, siguen fluctuando en un rango de un solo dígito.

El desglose es más o menos el siguiente:

  • malware cuyas acciones están más o menos automatizadas y no están directamente relacionadas con operaciones humanas – disminuyó al 15,5% en 2020 desde el 19% en 2017;
  • fallos/no fiabilidad del software: el mismo 17 % constante en los últimos años. Tenga en cuenta que los datos más recientes sobre el rendimiento del software en el modo «oficina en casa» aún están por recopilar y analizar;
  • el resto de porcentajes corresponde a accidentes de/en terceros. Esto incluye la negligencia de los proveedores de servicios, aunque varias encuestas atribuyen sólo el 11% de las infracciones totales a los proveedores de servicios en la nube y similares.

Un poco más de estadística: Grand View Research calculó el valor del mercado occidental de la ciberseguridad en 166.000 millones de dólares en 2020, con una tasa de crecimiento anual compuesto prevista del 10% y un tamaño estimado de poco menos de 330.000 millones de dólares en 2027. Dos menciones honoríficas son propias aquí, aunque no se refieren únicamente al B2B.

En primer lugar, la ingeniería social, muy flexible y a veces realmente elaborada, sigue proporcionando a los ciberdelincuentes su pan, a menudo el bocadillo entero. Phishing, estafas, las famosas cartas de Nigeria: es difícil de creer, pero esta última técnica sigue funcionando, incluso con el creciente nivel de alfabetización informativa media. Las tendencias de phishing más contemporáneas (aunque tampoco las más nuevas) son: promocionar plataformas diseñadas de forma casi idéntica a las verificadas y hacerse pasar por representantes de las fuerzas de seguridad que ya han investigado esquemas de phishing anteriores, en los que se «exigen» las mismas tarjetas de crédito o datos similares para continuar con las averiguaciones.

El phishing por correo electrónico también entró en el segmento corporativo, sobre todo en forma de «man-in-the-middle». Por ejemplo, los intrusos, al disponer de información sobre un posible contrato, sustituyen las direcciones por otras muy similares. Como el intercambio de correos electrónicos suele ir en cadenas de mensajes, la participación falsa es más difícil de detectar. En muchas ocasiones, el fraude sólo se descubre una vez concluidas las transacciones financieras.

La misma pareja de preguntas y respuestas permanece invariable desde, por ejemplo, los tiempos del Salvaje Oeste, si no antes:

– ¿Por qué atracan bancos? – ¡Porque tienen dinero!

Sin embargo, los sistemas bancarios modernos están bien protegidos, por lo que los malintencionados dirigen su atención a entidades no bancarias que ofrecen determinados instrumentos monetarios: portales de juegos en los que los logros pueden canjearse por «oro» provisional y viceversa, proveedores de Internet y telefonía móvil con sistemas desarrollados de bonos convertibles en dinero y cuentas financieras vinculadas a las identificaciones de los clientes, etc.

La 2ª mención honorífica son los jóvenes «nativos de Internet», millenials y edades más tiernas. Incluso con herramientas de control parental plenamente activas, los adolescentes tienden a comportarse de forma insegura en Internet, lo que no tiene tanto que ver con pérdidas financieras directas u otros tipos de fraude, sino más bien con una profunda afectación de las personalidades y actitudes de los jóvenes. Cuestiones abiertamente aterradoras como los movimientos suicidas, las bandas de adolescentes o los tiroteos en colegios quedan fuera del alcance de este post, aunque probablemente por primera vez estamos siendo testigos de cómo la «Internet-natividad» tiene un impacto palpable fuera de Internet.

La automatización de los análisis, incluidos los modelos de comportamiento, se ve como una solución para este asunto. La supervisión proactiva de los contenidos no sólo contrarrestará las tendencias destructivas existentes, sino que probablemente podrá detectar las venideras. La preocupación adicional, personal y mucho más fácil de ejecutar, es mantener a los niños alejados de los dispositivos que participan en las actividades comerciales de padres/familiares/tutores.

Enfoque integral de la protección

Estamos omitiendo voluntariamente otra tendencia venidera, la seguridad del Internet de las Cosas. Sobre todo porque estos caminos, aún en gran parte en construcción, ya se conocen. Cada dispositivo necesita su propia protección; y es obvio que no sólo los pequeños aparatos, sino también sistemas tan grandes como una ciudad inteligente o instalaciones de transporte, podrían ser atacados.

Como hemos mencionado antes, hoy en día las cuestiones de seguridad de la información deben considerarse tan importantes como, nos atreveríamos a decir, la protección COVID-19. Desde un comportamiento cauteloso básico en cualquier nivel de una empresa hasta la supervisión automatizada y la estrecha cooperación de todos los responsables de la seguridad de una empresa, sólo un enfoque integral mantendrá intactos los datos sensibles y alejados a los intrusos.

Como las brechas pueden ser costosas, también lo son hoy en día las medidas de protección. No todas las entidades pueden permitirse un equipo completo de seguridad de la información in situ. Existen varias soluciones de externalización: desde una auditoría independiente de seguridad de la información realizada a petición suya, hasta el establecimiento de una cooperación con un Centro de Operaciones Seguras o un proveedor de Servicios Gestionados especializado en cuestiones de seguridad. También omitiremos sus quebraderos de cabeza y problemas de CAPEX relacionados con la seguridad, ya que en este tipo de cooperación prácticamente no hay ninguno.

Otro método de protección, una prueba de penetración, es algo independiente. Como en los ejercicios militares: «La mejor forma de repeler el ataque es simular uno». Los pentests, realizados por profesionales experimentados de proveedores informáticos preocupados por la seguridad, imitan ataques contra el perímetro, la infraestructura, etc. de un cliente. – A veces revelan vulnerabilidades que ni siquiera se habían imaginado. Otra ventaja del pentest es su incapacidad para dañar el sistema existente: incluso con múltiples agujeros en la red de un cliente, los ataques imitados sólo señalan los eslabones débiles, sin cambiar nada.

Califica este artículo
Artículo anterior Artículo anterior
Artículo siguiente Artículo siguiente

Leer también

Recogida de datos personales de usuarios en la UE: Lo que hay que saber y cómo prepararse
Blog
19.05.2022
Recogida de datos personales de usuarios en la UE: Lo que hay que saber y cómo prepararse
5
Pruebas de penetración como servicio: refuerce su seguridad cuestionándola
Security
26.10.2020
Pruebas de penetración como servicio: refuerce su seguridad cuestionándola
5
DevOps para 5G: lo más probable, una necesidad
Managed DevOps
21.01.2021
DevOps para 5G: lo más probable, una necesidad
9

Be the first to know about new articles!

Subscribe to our mailing
Al hacer clic en el botón, aceptas los términos de «Política de privacidad»
Cookies de nuestro sitio web para mejorar su experiencia