A fondo. El arte de predecir: Esto es lo que dará de sí 2018 según los expertos [II]
Todo parece indicar que los problemas de seguridad volverán a copar la actualidad tecnológica un año más.
Los efectos del Big Data, la inteligencia artificial, el cloud computing o el eCommerce, entre otros fenómenos tecnológicos, se dejarán notar con fuerza a lo largo de este año 2018, tal y como vimos en la primera parte de este reportaje sobre previsiones. Pero la seguridad será otro gran segmento de actividad a tener en cuenta, en un momento en el que los ataques organizados por ciberdelincuentes no dejan de crecer y de extenderse por todo el mundo.
Tras un año que ha estado marcado por el ransomware, un malware que secuestra equipos, cifrando incluso sus archivos, para chantajear a los dueños y pedir un rescate a cambio, esta amenaza no dirá adiós así como así. Son muchos los expertos que apuntan al ransomware como tendencia de seguridad que repetirá presencia unos cuantos meses más. Desde Check Point, por ejemplo, advierten de que “este tipo de amenaza seguirá en auge”. Su apuesta es que acabaremos con “grandes ataques orquestados en todo el mundo similares a WannaCry. También tenemos que prever que los ciberdelincuentes se volverán más creativos en sus tácticas de extorsión, por ejemplo, con métodos como ‘si infectas a dos contactos, te hacemos una rebaja en el coste para recuperar tus datos’”, augura la compañía.
Se cuenta con que aumente el hacking básico por errores humanos. En los últimos tiempos también han ido “emergiendo ataques dirigidos muy avanzados y patrocinados por países, y es probable que en 2018 sigan aumentando”, baraja Check Point, cuyo director general para España y Portugal, Mario García, declara que “WannaCry, NotPetya y Bad Rabbit”, todos ellos ataques que pegaron con fuerza en 2017, “han sido los más mediáticos, pero constituyen solo la punta del iceberg de los peligros a los que se tienen que enfrentar las empresas. Y en 2018 parece que esta tendencia se intensificará y diversificará, atacando a infraestructuras críticas, dispositivos móviles y al internet de las cosas, entre otros”.
En este sentido, Sophos recuerda que “el ransomware puede estar en cualquier plataforma: móviles y tablets no se escapan” de su radar, y a esto hay que sumar el fenómeno RaaS. Esta otra firma de seguridad, que ha lanzado sus predicciones de la mano de Ricardo Maté, director general de Sophos para Iberia, comenta que “debido a que el sector sanitario es una de las industrias más lucrativas por pagos de ransomware o venta de los registros médicos, ya “ha sido un gran objetivo en 2017 y sin duda continuará siéndolo en 2018”. Mientras, los expertos de Always On creen que esta amenaza “evolucionará junto a las nuevas tecnologías para cambiar de objetivo, utilizando técnicas más precisas para llegar a usuarios de alto poder adquisitivo y dispositivos conectados”.
McAfee Labs coincide con esta teoría y apuesta por un cambio en la estrategia de extorsión. “La rentabilidad de las campañas tradicionales de ransomware seguirá disminuyendo a medida que las defensas de los fabricantes, la educación de los usuarios y las estrategias de la industria mejoren”. Así, los ataques se centrarán en “objetivos menos tradicionales y más rentables, que incluyen individuos de alto poder adquisitivo, dispositivos conectados y negocios”, razonan desde McAfee. “Además, el ransomware pasará de la extorsión de individuos, al cibersabotaje y a la disrupción de las organizaciones”.
“Es probable que continúe el uso del pseudo ransomware, debido, en gran parte, a la facilidad con la que los proveedores de estos servicios pueden poner esas técnicas a disposición de cualquiera que quiera pagar”, indica al respecto Raj Samani, Chief Scientist y responsable de McAfee Advanced Threat Research. “Estos ataques podrían ser vendidos a las partes que buscan paralizar a sus rivales políticos, nacionales o empresariales”.
Sea como fuere, se dirija a quien se dirija, el ransomware sigue en el punto de mira. Trend Micro piensa que “continuará siendo un elemento fundamental principalmente debido a su éxito comprobado” y ESET defiende que “aún hay muchas organizaciones dispuestas a pagar grandes sumas de dinero por recuperar sus sistemas comprometidos en lugar de contar con políticas de ciberseguridad que las mantengan protegidas ante cualquier amenaza”.
Este tema también entra en las cábalas de WatchGuard, que asocia el crecimiento del ransomware a la popularización de los seguros cibernéticos y contra extorsiones. “La mayoría de los estudios muestran que al menos un tercio de las víctimas de un ataque de ransomware pagan”, desvela WatchGuard. “Dado que las aseguradoras a menudo pagarán si la situación lo exige, los autores del ransomware inteligentemente apuntarán a las aseguradoras para encontrar qué organizaciones cuentan con un seguro de extorsión, y luego se dirigirán directamente a esas compañías”.
Con o sin malware, habrá ataques
La española Panda Labs difiere un poco de la línea general que traza el resto de especialistas. “Si bien seguiremos viendo más ataques de ransomware y de otras amenazas que utilizan malware en 2018”, concede, “nuestra previsión es que el año que viene ganarán peso los denominados ataques malwareless” o sin malware. Mientras los ataques basados en software maligno pueden ser detectados con facilidad por las herramientas de protección, estos otros se hacen con las credenciales de red y lo que hacen es suplantar a los administradores.
Otra cosa que puede pasar es que el malware avance adaptándose a innovaciones tecnológicas como el machine learning para dar lugar a nuevas problemáticas. Eso es lo que piensa Bitglass. “En 2018, el malware avanzado utilizará el aprendizaje automático para mejorar la potencia y el alcance de los ataques”, vaticina su CEO, Rich Campagna. “En respuesta, muchas empresas implementarán sistemas de filtrado de correo electrónico, detección de URL maliciosas y protección contra las amenazas basadas en el aprendizaje automático, además de adoptar medidas para formar a los empleados sobre estos riesgos. La incapacidad de defenderse contra estas formas avanzadas de malware será desastrosa para muchas empresas”.
El vínculo malware-aprendizaje automático es nombrado igualmente por Trend Micro. Y por McAfee Labs, que pronostica que “atacantes y defensores se verán envueltos en una ‘carrera armamentística’ en torno al machine learning”. Es obvio que esta tecnología “tiene capacidad para procesar grandes cantidades de datos y realizar operaciones a gran escala” ayudando a “detectar y corregir vulnerabilidades, comportamientos sospechosos y ataques zero-day”, dicen sus responsables. Pero “los cibercriminales también emplearán el machine learning para potenciar sus ataques, aprender de las respuestas de defensa, neutralizar los modelos de detección y explotar las últimas vulnerabilidades descubiertas antes de que los defensores puedan parchearlas”. Y eso será un problema.
“Si bien es cierto que tecnologías como el machine learning, el deep learning y la inteligencia artificial serán las piedras angulares de las futuras defensas contra ciberataques, debemos reconocer que nuestros adversarios también están trabajando con estas tecnologías para innovar e implementar nuevas amenazas”, subraya Steve Grobman, Chief Technology Officer en McAfee. “La inteligencia humana potenciada por la tecnología será el factor determinante” en esa lucha.
La evolución, por otro lado, debería ser evidente a nivel de phishing. “En 2018, las políticas de contraseñas corporativas serán mucho más estrictas. El reciente aumento de las brechas de seguridad ha demostrado con qué facilidad los ciberdelincuentes pueden obtener credenciales y acceder a datos confidenciales”, describe Rich Campagna, de Bitglass. “A mediados de 2018, las consecuencias continuas de estas infracciones obligarán a algunas compañías, o incluso a los poderes políticos, a prescindir de la dependencia estricta de las contraseñas estáticas. En su lugar, requerirán una autenticación de múltiples factores y una gestión de identidad dinámica”.
“Si bien las medidas de seguridad continuarán evolucionando, también lo harán las técnicas de los cibercriminales”, continúa este directivo, que afirma que “los días del phishing básico por correo electrónico han llegado a su fin. Los usuarios con conocimientos de informática son capaces de identificar las características de los correos electrónicos de phishing tradicionales (sitios web falsos y errores tipográficos) y rara vez consiguen engañarles. En 2018, los esquemas de phishing serán mucho más sofisticados. Los ciberdelincuentes utilizarán cada vez más técnicas increíblemente bien enmascaradas”.
Errores humanos que penalizan
A la efectividad de las campañas contribuirá la poca de preparación de los usuarios, o su falta de atención. “Los errores humanos son el mayor riesgo de seguridad que afrontan las empresas en 2018”, señalan desde Bitglass. Esto viene ratificado por Trend Micro para quien, “entre sofisticadas técnicas de phishing e ingeniería social, los empleados siguen representando un eslabón débil”. Este año “las empresas que no hayan modernizado sus soluciones de seguridad para abordar estas preocupaciones sufrirán inevitablemente una brecha de seguridad. Afortunadamente”, termina Rich Campagna, “se verán obligadas a priorizar la seguridad de los datos, porque se enfrentarán a fuertes sanciones regulatorias si no cumplen las nuevas normativas como el Reglamento General de Protección de Datos y otras leyes”.
McAfee Labs, Trend Micro, Sophos y ESET son otros cuatro especialistas que se acuerdan del RGPD que comenzará a aplicarse en mayo, y lo hacen de forma más o menos positiva. McAfee valora que servirá para ir estableciendo normas de tratamiento y gestión básicas. Trend Micro llama a alinearse con el reglamento. Sophos teme que las filtraciones, en una sociedad súper conectada, no disminuyan. Y ESET prevé mayor preocupación en temas de privacidad online.
“El 2018 podrá ser recordado por el año en que, finalmente, comenzamos a abordar la protección de datos y el derecho de los usuarios a que estos sean olvidados”, adelanta Vincent Weafer, vicepresidente de McAfee Labs. Será “un año fundamental para establecer cómo las empresas pueden anticiparse” a malos usos en la recopilación y el tratamiento, “respetando la privacidad de los usuarios, utilizando los datos de forma responsable y estableciendo límites respecto al tiempo que pueden almacenar estos datos”.
En relación a la privacidad, McAfee añade que “los padres se darán cuenta de los abusos corporativos del contenido digital generado por los menores y tendrán más en cuenta las posibles implicaciones a largo plazo de este tipo de prácticas para sus hijos”. Los más jóvenes podrían sufrir “un ‘bagaje digital’ negativo en el futuro” si se perpetúa “un entorno user-app, donde las pautas socialmente apropiadas aún no están bien definidas y donde la interfaz de usuario está tan personalizada que los niños y sus padres no tienen en cuenta las consecuencias de crear contenido que las corporaciones podrían utilizar en el futuro”, alertan.
McAfee también advierte de que “los fabricantes de dispositivos conectados para el hogar y los proveedores de servicios buscarán superar los reducidos márgenes de beneficio a través de la recopilación de nuestros datos, con o sin nuestro consentimiento, convirtiendo el hogar en una tienda corporativa”. Y quizás les tiente cambiar los acuerdos de privacidad para ganar información e ingresos. Aunque, claro está, “habrá consecuencias regulatorias para aquellas compañías que estén pensando en romper las reglas, pagar las respectivas multas y luego continuar con estas prácticas”.
El internet de las cosas poco seguras
Teniendo en cuenta la expansión de los dispositivos conectados y los precedentes de vulnerabilidades que existen, el internet de las cosas (IoT) pero “inseguras”, como dice Check Point, será otro frente a capear. “Las amenazas contra dispositivos IoT poco protegidos continuarán creciendo”, cuenta esta empresa, “incluyendo variantes de Mirai y BlueBorne”. De aquí a diciembre se atacará alguna infraestructura crítica. “Unas mejores prácticas serán esenciales para prevenir los ataques a gran escala”, en un mundo más que conectado, “y puede que incluso tengan que ser aplicadas por organismos supranacionales”.
WatchGuard opina que “los botnets de IoT obligarán a los gobiernos a regular a los fabricantes de dispositivos de IoT”, que ahora pecan de “seguridad débil o inexistente”. Mientras, “los atacantes ya han comenzado a mejorar el código fuente de Mirai, lo que significa botnets más grandes y fuertes para 2018”, destaca la propia WatchGuard. “A medida que los ataques sigan creciendo en efectividad, el daño que causan crecerá hasta el punto en que la industria IoT se vea ante la tesitura, ya sea por iniciativa propia o por obligación de organismos gubernamentales, de tener que añadir mayor seguridad a sus productos”, responsabilizándose de los defectos. Un ataque a lo grande debería ser el desencadenante de todo esto.
Carlos Vieira, country manager de WatchGuard para España y Portugal, no duda de que “veremos a los ciberdelincuentes utilizando aún más dispositivos conectados a internet para provocar mayores estragos y terribles resultados para las víctimas”. Vieira ve la seguridad como “un problema de gestión de riesgos para muchas organizaciones. El resultado de esto es que, en 2018, esperamos que se anuncie un entorno donde personas, procesos y tecnologías se combinen para garantizar que las organizaciones toman todas las medidas posibles” para protegerse antes de ser atacadas.
Como ya ocurrió en meses pasados, WatchGuard ve los ataques dirigidos a dispositivos IoT que están basados en Linux yendo al alza de forma dramática. Cree que se multiplicarán por dos. ESET, por su parte, anticipa peligro para los sistemas críticos a partir de la cadena de confianza. Y Trend Micro, que prevé amenazas para la cadena de suministro, calcula que este año se usará más de un millón de robots conectados en fábricas inteligentes, lo que los pondrá en el punto de mira de los ciberdelincuentes si no se toman medidas antes.
Aunque los dispositivos conectados no siempre tienen que ser el objetivo final. Always On ve cómo IoT “cobra relevancia”. Pero no “como objetivo final, sino como medio para conseguir llegar a una red wifi a la que estén conectados otros aparatos o sistemas que almacenen información relevante o datos útiles, tanto para el atacante como para la víctima”, desarrolla. Al final se forman cadenas de máquinas infectadas, que suman fuerzas. Y los dispositivos vulnerables se convierten en puerta de entrada respecto a las redes corporativas.
El quebradero de cabeza móvil
“Es imposible predecir con total exactitud todo lo que sucederá en 2018, sin embargo, es bastante probable que Android y Windows continúen siendo fuertemente atacados con ransomware y otros tipos de malware”, indica Sophos a la hora de seguir lanzando tendencias. Sus previsiones hablan de “explosión de malware de Android en Google Play” a partir de este año.
Los “problemas móviles”, como dice Check Point, o las “amenazas móviles”, como las llama Trend Micro, tienen unos cuantos capítulos por completar en la historia de la seguridad. “Los dispositivos móviles forman parte de los entornos TI de las empresas de todo el mundo, aunque su seguridad aún es una asignatura pendiente”, lamenta la primera. “Seguiremos descubriendo fallos en los sistemas operativos de smartphones y tablets que ponen de relieve la necesidad de que las organizaciones adopten un enfoque más serio contra el malware, el spyware y otros ciberataques contra estos terminales. El malware móvil seguirá proliferando, especialmente el bancario, ya que el modelo MaaS (malware como servicio) sigue evolucionando”. Y los criptomineros también.
Always On, que contempla acciones contra el sector bancario, en servidores, redes y cajeros, y a través de sistemas punto de venta, es una de las empresas que nombra entre sus predicciones el uso de las criptomonedas como “moneda de cambio en cibersecuestros” y objeto de robo. ESET ratifica que “el creciente aumento de la popularidad de las criptodivisas ha sido”, y parece que será, “fundamental para que los delincuentes tengan cada vez más en su objetivo tanto a los mineros como a los usuarios que se dedican a comprar y vender” monedas.
“Los picos históricos que están teniendo estas monedas”, apunta ESET, “hacen prever que 2018 será un año propicio para los delincuentes que busquen infectar a este tipo de usuarios y sacar un provecho económico muy por encima de una víctima normal”. WatchGuard va un poco más allá y afirma que “una gran vulnerabilidad arruinará el valor de una popular criptomoneda”. Se desconoce cuál, pero podría acabar eliminada “por completo” hasta minar “la confianza del público en su seguridad”.
Fake news… y mucho más
Las noticias falsas o fake news despuntarán como otra gran amenaza, según Always On y WatchGuard. Ya sea en redes sociales y suplantando páginas web, para secuestrar datos de acceso de los usuario, o bien en medio de una campaña electoral. “Todavía estamos a cierta distancia de la manipulación directa del voto a través del hacking”, analiza WatchGuard, que ve “probable que la desinformación y la propaganda de los ciberdelincuentes y los actores financiados por Estados jueguen un papel más importante en las próximas elecciones, en lugar de hackear la propia infraestructura de votación”.
“Vimos evidencia de esto en las elecciones de 2016, con cuentas falsas de Facebook y bots de Twitter utilizados para avivar la controversia”, sigue esta firma, por lo que no debería extrañar “que tanto las organizaciones nacionales como las extranjeras dupliquen las cuentas falsas en las redes sociales en 2018”. Así, habría más riesgo de desinformación que de fraude electoral en sí. ESET, en todo caso, sí desconfía del lanzamiento de “ataques a sistemas electorales. Las vulnerabilidades sufridas en diferentes procesos electorales en 2017 hacen prever que en 2018 los ciberdelincuentes centren sus objetivos en influir de nuevo sobre las decisiones de los votantes en caso de que no se tomen medidas preventivas que salvaguarden la seguridad digital”, explica.
Por lo demás, se seguirán explotando viejas amenazas. Lo espera ESET, que apunta a vectores “que llevan funcionando incluso décadas”, y lo espera Trend Micro, que declara que, “aunque sin duda surgirán nuevas amenazas, las debilidades y las estrategias de ataque de los hackers seguirán siendo las mismas que han estado utilizando durante meses, e incluso años”. ¿Por qué? Porque muchos se la juegan al no aplicar las actualizaciones de seguridad. “Muchos ciberataques devastadores en 2017 aprovecharon vulnerabilidades conocidas que se podrían haber evitado si se hubieran parcheado de antemano. Esta tendencia continuará”, completa Rik Ferguson, vicepresidente de investigación de seguridad de Trend Micro, “a medida que las superficies de ataque corporativo se amplíen y expongan a más agujeros de seguridad”.
Trend Micro cree asimismo que los ataques Business Email Compromise (BEC) se sucederán y que los exploit kits se mantendrán a la venta. Con el crimen como servicio, hasta los ciberdelincuentes novatos podrán lanzar ataques. Trend Micro completa sus pronósticos con el riesgo de desfase entre las funciones de los equipos de TI y las expectativas de las juntas directivas. A Check Point le inquieta la nube: “con el creciente uso de los servicios de uso compartido de archivos en la nube”, expone, “las fugas de datos seguirán siendo una gran preocupación”. McAfee Labs advierte sobre las aplicaciones serverless. Y Sophos no se olvida de las trampas en los juegos online, los ataques dirigidos por email, las infecciones de Mac y los ataques a Microsoft Office con exploit-kits DIY.
Cabe esperar que los cibercriminales estafen a lo largo de 2018 con grandes eventos públicos a modo de gancho, como puede ser la celebración del Mundial de Fútbol en Rusia, con la “venta de entradas falsas”, “noticias inventadas” y “enlaces para, supuestamente, ver los partidos sin pagar y que en realidad son una puerta de entrada al malware o una estafa dirigida a capturar información personal o dinero de los usuarios”, imagina ESET.
Por último, WatchGuard piensa que “gracias al uso habitual de herramientas wireless de ataque, el hackeo de wifi se trasladará a Zigbee, Bluetooth, Sigfox y a otros muchos”. Aunque no todo son notas negativas. WatchGuard también cree que la autenticación multifactor (AMF) se popularizará entre las pymes como una alternativa a las contraseñas. “El crecimiento de SaaS y de los smartphones ha introducido nuevas soluciones multifactor que son económicas y fáciles de utilizar para las pequeñas empresas”, detalla al respecto.