Predicciones sobre ciberseguridad para 2019 y después
Con el fin de anticipar las principales tendencias de ciberseguridad y privacidad para el próximo año, Symantec recomienda estudiar detalladamente los acontecimientos ocurridos durante 2018.
Entre las distintas formas de ataque familiares, los ciberataques a los principales sistemas corporativos y sitios web continuaron en 2018 e inevitablemente formarán parte de la escena de ciberseguridad de 2019. Muchas organizaciones conocidas en todo el mundo sufrieron brechas significativas este año. La mayor pérdida potencial de datos, que afecta a la empresa de comercialización y agregación de datos Exactis, supuso la exposición de una base de datos que contenía casi 340 millones de registros de información personal.
Más allá de los ataques corporativos demasiado comunes, 2018 fue testigo de una actividad creciente contra una amplia gama de objetivos y víctimas. En el ámbito de las redes sociales, Facebook aseguró que hackers robaron información de casi 30 millones de personas. Diferentes gobiernos utilizaron sondeos y ataques cibernéticos para acceder a todo, desde secretos corporativos, hasta sistemas gubernamentales e infraestructuras. A nivel personal, una violación de las cuentas del rastreador de salud MyFitnessPal de Under Armour fue víctima del robo de datos privados de aproximadamente 150 millones de personas.
Entonces, ¿qué podemos esperar en el frente de seguridad cibernética este nuevo año? Estas son algunas de las tendencias y actividades que probablemente afecten a organizaciones, gobiernos y personas en 2019 y después.
Los cibercriminales explotarán los sistemas de inteligencia artificial (IA) y la utilizarán como herramienta estratégica para sus ataques
La esperada promesa comercial de AI ha comenzado a materializarse en los últimos años, con los sistemas impulsados por AI en uso en muchas áreas de las operaciones comerciales. Aun cuando estos sistemas ayudan a automatizar las tareas manuales y mejoran la toma de decisiones y otras actividades humanas, también emergen como objetivos ya que muchos sistemas de AI albergan grandes cantidades de datos.
La fragilidad de algunas tecnologías de inteligencia artificial se va a convertir en una preocupación creciente en 2019. La aparición de sistemas críticos de AI como objetivos repetirá la secuencia que vimos hace 20 años en Internet, que rápidamente atrajo la atención de los ciberdelincuentes y hackers, especialmente después de la explosión del comercio electrónico basado en Internet.
Los criminales no solo atacarán los sistemas de IA, sino que ellos mismos utilizarán esa tecnología para mejorar sus propias actividades delictivas. Los sistemas automatizados impulsados con IA podrían sondear redes y sistemas en búsqueda de vulnerabilidades no descubiertas que podrían ser explotadas. Asimismo, la IA también podría ser utilizada para hacer que los ataques de phishing y otros de ingeniería social sean aún más sofisticados, creando videos y audios extremadamente realistas o correos electrónicos bien diseñados elaborados para engañar a personas concretas. La IA también podría utilizarse para lanzar campañas de desinformación realistas, por ejemplo, un video falso creado del CEO de una empresa anunciando una gran pérdida financiera, una brecha de seguridad importante u otra noticia trascendental.
Los defensores dependerán cada vez más de la IA para contrarrestar los ataques e identificar las vulnerabilidades
La IA también tiene un lado positivo. Los sistemas de identificación de amenazas ya utilizan técnicas de aprendizaje automático para identificar amenazas completamente nuevas. Y no es solo que un atacante pueda usar los sistemas de inteligencia artificial para detectar vulnerabilidades abiertas; los defensores pueden usarla para prepararse mejor frente a los ataques. Por ejemplo, los sistemas impulsados por la IA podrían, a lo largo del tiempo, lanzar una serie de ataques simulados en una red empresarial, con la esperanza de encontrarse con una vulnerabilidad que pueda cerrarse antes de que los atacantes la descubran.
Para el uso personal, es probable que la IA y otras tecnologías comiencen a ayudar a las personas a proteger mejor su propia seguridad y privacidad digital. Estas herramientas pueden estar integradas en los teléfonos móviles para advertir a los usuarios si ciertas acciones son peligrosas. Por ejemplo, cuando configuramos una nueva cuenta de correo electrónico, nuestro teléfono puede advertirnos automáticamente que configure la autenticación de dos factores. Con el tiempo, dicha IA, basada en la seguridad, también podría ayudar a las personas a comprender mejor los riesgos que implica cuando entregan información personal, a cambio del uso de una aplicación u otro beneficio adicional.
El despliegue y adopción de la red 5G comenzará a expandir el área de superficie de ataques
Este año se han iniciado varios despliegues de infraestructura de red 5G y el 2019 se perfila como un año de actividad acelerada para este tipo de tecnologías. IDG predice que el mercado de infraestructura de red relacionada con 5G crecerá desde 528 millones de dólares en 2018 a 26 millardos en 2022, con una tasa de crecimiento anual compuesta del 118%.
Aunque los smartphones son para muchos el elemento más interesante de la nueva 5G, todavía su número será muy limitado en 2019. Como paso previo a la amplia implementación de redes 5G, algunas operadoras ofrecen puntos de acceso móviles fijos 5G y routers para los hogares. Dado que la velocidad de datos máxima de las redes 5G es de 10 Gbps, en comparación con los 1 Gbps de 4G, el cambio va a traer también nuevos modelos operativos, nuevas arquitecturas y, en consecuencia, nuevas vulnerabilidades.
Con el tiempo, más dispositivos 5G IoT se conectarán directamente a la red 5G en lugar de hacerlo a través de un router Wi-Fi. Esta tendencia hará que estos dispositivos sean más vulnerables al ataque directo. Para los usuarios domésticos, también hará que sea más difícil monitorizar todos los dispositivos de IoT, ya que están evitando un router central. En términos más generales, la capacidad de realizar copias de seguridad o de transmitir grandes volúmenes de datos para ser almacenados en la nube le dará a los atacantes nuevos objetivos para atacar-.
Los eventos basados en IoT irán más allá de los asaltos masivos de DDoS a nuevas formas de ataque más peligrosas
En los últimos años, los ataques masivos de denegación de servicio (DDoS) con botnets han explotado en decenas de miles de dispositivos IoT infectados para enviar volúmenes paralizantes de tráfico a los sitios web de las víctimas. Al mismo tiempo, se pueden esperar dispositivos de IoT mal protegidos destinados a otros fines perjudiciales. Entre los más problemáticos, se encuentran los ataques contra dispositivos de IoT que conectan el mundo digital y el físico. Algunos de estos objetos habilitados para IoT son cinéticos, como automóviles y otros vehículos. Anticipamos un número creciente de ataques contra dispositivos IoT que controlan la infraestructura crítica, como el suministro de energía y las redes de comunicaciones. Y a medida que los dispositivos de IoT residenciales se vuelvan más omnipresentes, es probable que haya futuros intentos de transformarlos en armas: por ejemplo, por una nación que apaga los termostatos domésticos en un estado enemigo durante un duro invierno.
Los grupos de ataque capturarán cada vez más datos en tránsito
Para el 2019, se puede esperar intentos cada vez mayores de obtener acceso a los enrutadores domésticos y otros hubs de IoT para capturar algunos de los datos que pasan a través de ellos. El malware insertado en dicho enrutador podría, por ejemplo, robar credenciales bancarias, capturar números de tarjetas de crédito o mostrar páginas web malintencionadas y falsas al usuario para comprometer la información confidencial. Actualmente, estos datos confidenciales tienden a estar mejor protegidos cuando están en reposo. Por ejemplo, los sitios web de comercio electrónico no almacenan los códigos de seguridad de tarjetas de crédito, lo que dificulta a los grupos de ataque robar las bases de datos de comercio electrónico.
Durante el 2018, en el sector empresarial, hubo numerosos ejemplos de compromisos de datos en tránsito. El grupo de ataque Magecart robó datos de tarjetas de crédito y otras informaciones confidenciales de consumidores en páginas de comercio electrónico, incorporando scripts maliciosos directamente en sitios web específicos. Tales ataques de secuestro de formularios han impactado recientemente en compañías globales. En otro ataque dirigido a datos empresariales en tránsito, el malware VPN Filter también infectó una variedad de enrutadores y dispositivos de almacenamiento conectados a la red, lo que le permitió robar credenciales, alterar el tráfico, descifrar datos y servir como punto de lanzamiento para otras actividades maliciosas dentro de las organizaciones víctimas.
Esperamos en 2019 que los atacantes sigan centrándose en los ataques empresariales basados en la red, ya que proporcionan una visibilidad única de las operaciones y la infraestructura de las víctimas.
Los ataques que explotan la cadena de suministro crecerán en frecuencia e impacto
Un objetivo cada vez más común de los ciberterroristas es la cadena de suministros de software, donde implantan un malware en paquetes de software legítimos en su ubicación de distribución habitual. El escenario de ataque típico implica que el atacante reemplace una actualización de software legítima con una versión malintencionada, para distribuirla de forma rápida y secreta a los objetivos previstos. Cualquier usuario que reciba la actualización del software automáticamente tendrá su computadora infectada, lo que le dará al atacante un punto de apoyo en su entorno.
Estos tipos de ataques están aumentando en número y sofisticación y en el futuro podríamos ver intentos de infectar la cadena de suministro de hardware. Por ejemplo, un atacante podría comprometer o alterar un chip o agregar código fuente al firmware de UEFI / BIOS antes de que dichos componentes se envíen a millones de equipos. Dichas amenazas serían muy difíciles de eliminar, probablemente permanecerían incluso después de reiniciar una computadora afectada o de formatear el disco duro.
Las crecientes preocupaciones en materia de seguridad y privacidad impulsarán el aumento de la actividad regulatoria
La implementación a mediados de 2018, por parte de la Unión Europea, del Reglamento General de Protección de Datos (GDPR por su sigla en inglés) probablemente será solo un precursor de varias iniciativas de seguridad y privacidad en países fuera de la Unión Europea. Canadá y Brasil ya han aprobado una legislación similar al GDPR, que entrarán en vigor en el 2020. Australia y Singapur han regulado la notificación de los incumplimiento antes de 72 horas inspirado en este reglamento, India está considerando una legislación como el GDPR y California aprobó una ley de privacidad, considerada como la más dura en los Estados Unidos hasta la fecha. Se prevé que el impacto total de GDPR sea más claro en todo el mundo durante el próximo año.
Si bien estamos casi seguros de ver repuntes en la actividad legislativa y reglamentaria para abordar las necesidades de seguridad y privacidad, existe la posibilidad de que algunos requisitos resulten más contraproducentes que útiles. Por ejemplo, las reglamentaciones demasiado amplias pueden prohibir que las compañías de seguridad compartan incluso información genérica en sus esfuerzos por identificar y contrarrestar los ataques. Si están mal concebidos, las normativas de seguridad y privacidad podrían crear nuevas vulnerabilidades incluso cuando otras se han cerrado.