La Conferencia RSA es la mayor y más respetada reunión mundial de CISO, tecnólogos y especialistas en ciberseguridad. A medida que se acerca una nueva década -y mientras la próxima conferencia se convoca en febrero en San Francisco-, un nuevo conjunto de desafíos está aquí.
El examen de unas 500 presentaciones de expertos en ciberseguridad deseosos de subir al escenario de la conferencia (estoy en el comité que elige las presentaciones) ofrece un vistazo a los problemas emergentes como las falsificaciones profundas, el stalkerware y los ataques de vigilancia, mientras que los temas de larga data, incluyendo DevOps y ransomware, están ganando una importancia renovada.
Si eres un ejecutivo empresarial, estate atento a estas tendencias (o preocupaciones). Podrían afectar a su organización. Estos son algunos de los mayores retos que estamos viendo en base a los envíos.
1. Las falsificaciones y las falsificaciones profundas son las nuevas palabras de moda.
Las falsificaciones profundas -vídeos y grabaciones de audio falsos que se asemejan a los reales- son un tema de interés para muchos expertos. Cualquiera puede descargar software para crear falsificaciones profundas, lo que ofrece muchas posibilidades de actividad maliciosa. Se podría falsificar a un político haciendo un comentario que hace perder votos antes de unas elecciones. Una grabación falsa de un alto ejecutivo podría ordenar al departamento de contabilidad que realizara una transacción financiera en la cuenta bancaria de un delincuente. Las nuevas formas de «stalkerware», un tipo de software espía, rastrean los datos de los teléfonos inteligentes de las víctimas para construir una imagen de sus actividades; esto puede utilizarse para crear vídeos falsos, grabaciones de voz o comunicaciones escritas. El sector de la seguridad aún está elaborando su respuesta a esta nueva amenaza.
2. Los teléfonos inteligentes se están utilizando en ataques de vigilancia.
Con el creciente uso de aplicaciones bancarias y pagos sin contacto, los smartphones se están convirtiendo en centros de transacciones financieras. Esto ha impulsado un aumento de los ataques de vigilancia móvil, que instalan software de seguimiento en los teléfonos para supervisar el comportamiento de las personas a partir de su uso del smartphone. Esto permite el fraude del correo electrónico corporativo, conocido como «business email compromise». Cuanto más sepa un atacante sobre las actividades de la víctima, más fácil será enviarle un correo electrónico engañoso que le haga descargar un archivo con código malicioso. Los usuarios deben ser más conscientes de los peligros de la vigilancia móvil y de las medidas para contrarrestarla.
3. El ransomware es cada vez más sofisticado a medida que las empresas pagan.
Hemos visto muchas presentaciones sobre la evolución del ransomware y el juego del gato y el ratón entre los atacantes que buscan formas inteligentes de eludir las capacidades de detección y los defensores que buscan nuevas formas de bloquearlos. En lugar de cifrar cualquier dato al azar, los delincuentes se centran en los datos empresariales de gran valor para cifrarlos y pedir un rescate. En mi opinión, el ransomware está en la mitad de su ciclo de vida. Seguiremos hablando de él durante muchos años, pero acabaremos por eliminarlo a medida que vayamos afinando nuestras defensas.
4. Los ataques a la cadena de suministro van en aumento.
En estos casos, los ciberatacantes inyectan código en un sitio web -a menudo de comercio electrónico o financiero- lo que les permite robar datos, como los datos personales de los clientes y los de las tarjetas de crédito. Los adversarios se han redoblado en este tipo de ataques y se han anotado algunos éxitos recientes. En 2019, una conocida empresa británica recibió una multa récord de 241 millones de dólares por un ataque a la cadena de suministro. Se cree que fue montado por el grupo de amenazas Magecart. Otras grandes empresas han sufrido ataques similares. Es probable que se produzcan más ataques. Los defensores deben mejorar las protecciones contra el código malicioso y estar siempre atentos para poder identificarlo y eliminarlo.
5. DevOps acelera el desarrollo de software pero aumenta los riesgos de seguridad.
DevOps es un método transformacional de creación de código que vincula el desarrollo y las operaciones para acelerar la innovación del software. DevOps contrasta con las formas tradicionales de desarrollo de software, que son monolíticas, lentas, con pruebas interminables y fáciles de verificar. En cambio, DevOps es rápido y requiere muchos cambios pequeños e iterativos. Pero esto aumenta la complejidad y abre un nuevo conjunto de problemas de seguridad. Con DevOps, las vulnerabilidades de seguridad existentes pueden magnificarse y manifestarse de nuevas formas. La velocidad de creación de software puede suponer la creación de nuevas vulnerabilidades sin que los desarrolladores las vean. La solución es incorporar la supervisión de la seguridad en el proceso DevOps desde el principio. Esto requiere la cooperación y la confianza entre el CISO y el equipo de DevOps.
6. Los entornos de emulación y señuelo deben ser creíbles.
Las grandes empresas buscan crear «entornos de emulación» para rastrear amenazas desconocidas. Estos imitan servidores y sitios web creíbles, pero en realidad están ahí para atraer a los malos actores con el fin de observar su comportamiento y recoger datos sobre sus métodos. Los señuelos funcionan de forma similar. El reto es crear entornos de emulación que sean lo suficientemente buenos como para engañar al adversario haciéndole creer que se trata de un servidor o sitio web del mundo real.
7. La respuesta a incidentes en la nube requiere nuevas herramientas y habilidades para los equipos de seguridad internos.
Las organizaciones están acostumbradas a lidiar con incidentes de ciberseguridad en sus propias redes. Pero cuando sus datos se almacenan en la nube, los equipos de seguridad pueden tener dificultades. No tienen acceso completo a los datos de seguridad, ya que estos son controlados por el proveedor de la nube. Por ello, pueden tener dificultades para distinguir entre los eventos informáticos cotidianos y los incidentes de seguridad. Los equipos de respuesta a incidentes existentes necesitan nuevas habilidades y herramientas para llevar a cabo el análisis forense de los datos en la nube. Los líderes empresariales deberían cuestionar a sus equipos si están preparados y son capaces de gestionar y responder a los ataques de seguridad en la nube.
8. Inteligencia artificial y aprendizaje automático.
Hemos recibido innumerables documentos sobre IA y ML. Estas tecnologías están en una fase inicial en la ciberseguridad. Los atacantes están estudiando cómo las redes están utilizando el ML para las defensas de seguridad para que puedan averiguar cómo violarlas. Están estudiando la forma en que los expertos en IA intentan engañar a los sistemas de reconocimiento de imágenes para que identifiquen una gallina o un plátano como un ser humano. Para ello, es necesario comprender cómo funciona el motor de inteligencia artificial del sistema y, a continuación, averiguar cómo engañarlo de forma eficaz y romper la modelización matemática. Los atacantes están utilizando técnicas similares para engañar a los modelos ML utilizados en ciberseguridad. La IA y el ML también se están utilizando para impulsar las falsificaciones profundas. Están recopilando y procesando enormes cantidades de datos para entender a sus víctimas y saber si un ataque de deep fake o fraude tendrá éxito.
9. Vuelven los ataques de hardware y firmware.
Hay una creciente preocupación por las vulnerabilidades de hardware como Spectre y Meltdown. Estas forman parte de una familia de vulnerabilidades, reveladas en 2018, que afectan a casi todos los chips informáticos fabricados en los últimos 20 años. Todavía no se han producido ataques graves. Pero los expertos en seguridad pronostican lo que podría ocurrir si un hacker fuera capaz de explotar esas debilidades en el hardware y el firmware.
10. Los usuarios avanzados necesitan protección.
Crear conexiones seguras para los altos ejecutivos y otros altos cargos que tienen acceso a los datos corporativos más sensibles en sus propios dispositivos es vital. ¿Qué medidas hay que tomar para mantenerlos a salvo?
11. El sector de la seguridad está tomando por fin medidas contra la falsificación de DNS.
Las direcciones IP son las cadenas de números que identifican a los ordenadores en una red de Internet. El sistema de nombres de dominio asigna un nombre a cada dirección IP para que pueda ser encontrada en la web. El DNS se conoce como la guía telefónica de Internet. Pero los malos actores pueden falsificar estos nombres, dirigiendo a los usuarios a sitios web comprometidos en los que se arriesgan a que les roben datos. El sector ha empezado por fin a recopilar más información sobre el DNS para identificar estos problemas y evitar la falsificación del DNS.