Hoy día, nuestra dependencia de lo digital es mayor que nunca. Los entornos de TI son cada vez más complejos y el más mínimo fallo en la resiliencia puede tener un impacto enorme en la capacidad de una empresa para seguir operando tras sufrir incidentes o ataques contra la seguridad. A continuación, se incluyen diez tendencias que probablemente conformarán el panorama de la ciberseguridad en 2023.
- Autenticación: ¿eres realmente quien dices ser?
El sistema de autenticación y administración de acceso e identidades (IAM, Authentication and Identity and Access Management) recibirá ataques que logren sus objetivos con más frecuencia. Muchos atacantes ya han comenzado a robar o sortear los tokens de autenticación multifactor (MFA). En otros casos, el ingente volumen de solicitudes recibidas, por ejemplo, en los ataques de fatiga de MFA, puede llevar a que el ciberdelincuente consiga el acceso, sin necesidad de aprovechar una vulnerabilidad. Los últimos ataques contra Okta y Twilio mostraron que este tipo de servicios externos también sufren ataques. A esto hay que sumar lógicamente el problema de las contraseñas no seguras y reutilizadas de los últimos años, que no ha desaparecido. Por lo tanto, es fundamental saber cómo funciona la autenticación y cómo puede cada usuario acceder a los datos.
- El ransomware sigue en alza
La amenaza del ransomware sigue aumentando y evolucionando. Si bien apreciamos un giro hacia una mayor filtración de datos, los principales ciberdelincuentes continúan profesionalizando sus operaciones. La mayoría de los atacantes importantes han ampliado su campo de acción a MacOS y Linux y se plantean también atacar el entorno de la nube. Se generaliza el uso de lenguajes nuevos, como Go y Rust, que requieren ajustes en las herramientas de análisis. El número de ataques continúa aumentando, ya que siguen siendo rentables, sobre todo cuando un ciberseguro cubre parte de los daños. Los atacantes se centrarán cada vez más en desinstalar las herramientas de seguridad, eliminar las copias de seguridad y desactivar los planes de recuperación ante desastres, siempre que sea posible. Para ello, las técnicas que aprovechan recursos existentes jugarán un papel determinante.
- Incidencia masiva de violaciones de datos
Cada vez son más habituales las infecciones con malware que roba información, como Racoon y Redline. Los datos robados incluyen con frecuencia credenciales, que posteriormente se venden para otros ataques a través de agentes intermediarios de acceso inicial. El creciente número de blobs de datos, junto con la complejidad de los servicios de nube interconectados dificultarán a las empresas el control de sus datos. Dado que es necesario que múltiples interesados tengan acceso a los datos, es más difícil mantenerlos cifrados y protegidos. La filtración de una clave de acceso para una API, por ejemplo, en GitHub o una app móvil, puede bastar para robar todos los datos. Esto motivará avances hacia una computación que respete la privacidad.
- El phishing, más allá de los mensajes de correo electrónico
Los mensajes maliciosos y los ataques de phishing siguen afectando a millones de personas. Los ciberdelincuentes seguirán intentando automatizar y personalizar los ataques utilizando datos procedentes de filtraciones previas. Las estafas basadas en ingeniería social, como las de tipo BEC o de vulneración del correo electrónico de empresa, se extenderán a otros servicios de mensajería, como los mensajes de texto, Slack, Teams, etc., para evitar que puedan filtrarse o detectarse los ataques. Por otro lado, el phishing, continuará utilizando proxies para capturar tokens de sesión, robar tokens de MFA y utilizar distracciones, como los códigos QR, para ocultarse aún más.
- Contratos no tan inteligentes
No parece vislumbrase el final de los ataques relacionados con el cambio de criptomoneda y los contratos inteligentes en las distintas plataformas de blockchain. Incluso los atacantes patrocinados por Estados están intentando robar cientos de millones en moneda digital. Los ataques contra contratos inteligentes, monedas algorítmicas y soluciones DeFi, más sofisticados, no cesan y se suman a los clásicos de phishing y malware contra sus usuarios.
- Aprovechando la infraestructura de la víctima
Los proveedores de servicios cada vez reciben más ataques y se ven comprometidos con más frecuencia. Tras conseguir acceso, los atacantes usan de forma ilícita las herramientas instaladas, como PSA, RMM u otras utilidades de despliegue, aprovechando así los recursos existentes. Esto no solo afecta a proveedores de servicios gestionados de TI, también a empresas de consultoría, organizaciones de soporte de primera línea y otros partners similares. Estos colaboradores externos que trabajan en la empresa suelen ser el eslabón más débil y evitan al ciberdelincuente la necesidad de lanzar laboriosos ataques contra la cadena de suministro.
- Llamada desde el navegador
Se producirán más ataques en o a través del navegador, iniciados desde las sesiones. El cambio malintencionado de extensiones del navegador persigue obtener direcciones para transacciones o robar contraseñas en segundo plano. Hay también una tendencia de secuestro del código fuente de estas herramientas, además de añadir puertas traseras a través del repositorio de GitHub. Por otro lado, los sitios web continuarán rastreando a los usuarios con JavaScript y compartiendo en exceso los ID de sesión entre direcciones HTTP de origen con servicios de marketing. Los ciberdelincuentes ampliarán el uso de técnicas de tipo Formjacking/Magecart, en las que pequeños fragmentos de código añadidos roban toda la información en segundo plano del sitio web original. Con el aumento de la computación sin servidor (o serverless), el análisis de este tipo de ataques puede ser más complicado.
- Automatización de la nube a través de API
Ya se ha producido un traslado masivo de los datos, procesos e infraestructuras a la nube. Esta tendencia continuará, junto con una mayor automatización entre distintos servicios. Muchos dispositivos IoT se incorporarán a esta gran nube de servicios hiperconectados. Como resultado, se podrá acceder a muchas API desde Internet y, por lo tanto, se incrementarán los ataques contra ellas. Además, la automatización puede facilitar ataques a gran escala.
- Ataques contra procesos empresariales
Los atacantes seguirán ideando nuevas formas de modificar los procesos empresariales en su propio beneficio, con el objetivo de obtener ganancias. Por ejemplo, cambiar los datos de la cuenta bancaria de destino en la plantilla del sistema de facturación de una empresa o añadir su propio cubo de la nube como destino de la copia de seguridad del servidor de correo electrónico. Estos ataques con frecuencia no implican el uso de malware y requieren un análisis minucioso del comportamiento de los usuarios, como ocurre con el creciente número de ataques internos.
- La inteligencia artificial es omnipresente
En general, todas las corporaciones, sea cual sea el tamaño y el sector, emplearán procesos de inteligencia artificial (IA) y aprendizaje automático (AA). Los avances en la creación de datos sintéticos estimularán aún más algunas campañas de suplantación de identidad y desinformación mediante el empleo de contenido deepfake. Otras tendencias más preocupantes serán los ataques contra los propios modelos de IA y AA. Los ciberdelincuentes intentarán utilizar los fallos del modelo, introducir sesgo de forma premeditada en los conjuntos de datos o simplemente utilizar los activadores para inundar de alertas las operaciones de TI.
Candid Wuest, vicepresidente de Investigación sobre ciberprotección, Acronis
