Las predicciones no tienen nada que ver con hechicería. Nadie tiene una bola de cristal que pueda predicar a ciencia cierta aquello que va a ocurrir en determinado periodo de tiempo. Sin embargo, en muchas ocasiones, la inteligencia prueba ser mucho más mágica que la magia misma, de ahí el auge que la ciencia de datos ha tenido en los últimos años: observación y análisis de comportamientos que pueden apuntar a tendencias que se explotarán en un futuro, siguiendo un patrón más o menos lógico.
Los analistas de Kaspersky publicaron su reporte sobre predicciones en diversos ámbitos de Ciberseguridad para el 2021, uno de ellos es su reporte sobre Amenazas Persistentes Avanzadas, también conocidas como APT por sus siglas en inglés, las cuales dominarán varios ámbitos de la seguridad de TI en este año. Para comenzar, podemos definir brevemente a este tipo de amenazas como:
Ataques encubiertos a sistemas computacionales donde los atacantes obtienen acceso a la red y, pese a eliminar el código principal del malware, los criminales mantienen control y comunicación dentro del sistema.
Dada la complejidad de estos ataques, éstos suelen estar enfocados en objetivos de gran escala —como países o grandes corporaciones—, con el fin de robar información valiosa de forma constante y por periodos de tiempo considerables. Sin embargo, esta clase de rutinas no deben ser ignoradas por las PyMEs pues muchos hackers están utilizando infecciones a pequeñas y medianas empresas con el fin de catapultarse al interior de la cadena de distribución para llegar, de forma mucho menos evidente, a sus objetivos. Usualmente, esta clase de ataques sigue un plan conformado por cinco pasos:
Ganar acceso
Instalar y asentar el código
Profundizar dentro de la red
Replicarse de forma transversal a lo largo de los dispositivos
Permanecer oculto, aprender y robar
Visión de ciberataques para el 2021
En general, se pronostica que los ataques sean cada vez más disruptivos, amenazando de forma directa la infraestructura crítica de sistemas de los cuales dependemos en el día a día: sean centros de salud, escuelas, sistemas públicos y de gobierno, etc... Todo con el fin de conseguir algún objetivo político u obtener una ventaja económica en algún respecto. El papel de las amenazas persistentes avanzadas durante la pandemia por COVID-19 también ha sido relevante, pues muchas de ellas han sido utilizadas e implantadas en centros de investigación con fines de espionaje industrial; desafortunadamente, el virus SARS-CoV-2 llegó para modificar todos los aspectos de nuestro día a día, incluyendo el papel de la tecnología y los sistemas informáticos en nuestra salud.
El mercado negro del malware
Durante el 2020 se encontraron muchos ataques de ransomware dirigidos que utilizaban malware genérico para depositar el payload. Los atacantes utilizan esto para asentarse en el sistema de forma oculta, es decir, sin desplegar alarmas de un ataque a mayor escala. En este sentido, se puede pronosticar que los agentes desarrolladores de APT comiencen a valerse de este tipo de prácticas. Es recomendable que las organizaciones realicen acciones básicas de Respuesta a Incidentes, incluso en infecciones aparentemente menores, para asegurarse de que estos programas no han sido utilizados para depositar amenazas complejas.
El reto del teletrabajo
Algunas de las vulnerabilidades más detectadas durante el 2020 fueron aquellas que implicaban los sistemas de red que los usuarios utilizan para acceder a sus aplicaciones de trabajo, sobre todo VPNs. En este sentido, se espera que los cibercriminales sigan enfocándose en esta clase de vulnerabilidades para acceder a sus objetivos corporativos, incluso sin el desplegado de malware. Las técnicas más usadas durante el año pasado y que se espera que sigan en auge durante éste, corresponden al robo de credenciales a través de técnicas de suplantación de identidad y vishing. En este sentido, se recomienda fortalecer las implementaciones de programas de acceso a la red, así como generar campañas de conscientización entre los empleados, para que observen esta clase de amenaza que explotan, sobre todo, la aparente confianza que los usuarios sienten respecto a algún comunicado aparentemente legítimo.
El mito de las 5G
No tiene nada que ver con los problemas de salud que muchas historias falsas han difundido. La 5G no implica un riesgo para la salud. Lo que sí es verdad es que, dadas las prohibiciones que algunos países han decretado hacia la compra de tecnologías desarrolladas por ciertos fabricantes —como Huawei—, investigadores tanto públicos, como privados y —evidentemente— criminales, se han dedicado a buscar fallas, puertas traseras y problemas de cifrado dentro de los productos destinados a esta red. En tanto la dependencia y el uso de 5G aumente, los criminales buscarán con mayor empeño las vulnerabilidades que esta red pueda acarrear. Esto, sobre todo, cobra relevancia al observar que una tendencia del 2020 fue la explotación de vulnerabilidades en dispositivos móviles y de IoT.
La evolución del ransomware
Sin duda, el ransomware es de las amenazas más temidas por toda corporación, sea del tamaño que sea. Nadie —ni siquiera los hospitales— están a salvo. Los ataques con esta clase de malware han aumentado en complejidad y especificidad. Las víctimas son seleccionadas de acuerdo a su capacidad para pagar, así como su dependencia hacia la información robada. Se ha observado y se pronostica que las amenazas que los grupos atacantes lanzan hacia las empresas vulneradas serán cada vez de mayor nivel, escalando conforme se determine la valía de los datos secuestrados: desde amenazas de publicación y subasta de las bases de datos, hasta atentados directos a la vida o integridad de las personas implicadas. Es muy posible que, además, conforme evolucionan las tendencias de malware, el ransomware obtenga habilidades cercanas a las APT, con el fin de permanecer dentro de la red por más tiempo, pese a ya haber eliminado la infección principal, con el fin de seguir amenazando a las víctimas.
Visión de Ciberseguridad para el 2021
A nivel de predicciones, también se pueden detallar algunos desarrollos que buscan robustecer la seguridad de las organizaciones ante amenazas complejas.
Nombrar y apuntar
Uno de los recursos más utilizados por las agencias de inteligencia de gobiernos durante el último año ha sido compilar evidencias para señalar y atribuir crímenes cibernéticos a determinados grupos. En este sentido, se espera que las naciones cercanas a Estados Unidos (quien ha desplegado durante los últimos 12 meses indicadores para poder impulsar y detectar actividades criminales cibernéticas), sigan los pasos del país, con el fin de robustecer la práctica política de seguridad digital. A nivel de Ciberseguridad, no es nada nuevo el hecho de detallar y compartir las herramientas utilizadas por los atacantes, con el fin de prevenir y refinar los procesos de detección, lo que es relevante, es que es la primera vez que esto acontece a nivel oficial —de gobierno.
Contra los zero-day brokers
En algunos casos, aquellos que se dedican a vender información sobre vulnerabilidades zero-day, lo hacen de forma legal, dentro de marcos de investigación de Ciberseguridad con el fin de generar parches a este problema y evitar ataques por esos frentes. Sin embargo muchos otros brokers, lo hacen con el fin de vender las vulnerabilidades en el mercado negro. Durante el 2020, WhatsApp emitió una demanda contra el grupo NSO, apuntando que ellos habían explotando una vulnerabilidad de su software, el juzgado estadounidense estableció que la demanda podía proceder. Esto puede acarrear consecuencias sumamente positivas para todos los desarrolladores, quienes buscan el apoyo de un marco legal para demostrar a sus consumidores que les importa su seguridad.
Respuesta a Incidentes: prevención, acción y remediación
Un plan de Respuesta a Incidentes tiene la capacidad de analizar todas las alertas desplegadas en tu sistema, con el fin de monitorear las amenazas que, incluso, aparentan ser inofensivas. No hay mejor plan que aquel que te brinda la capacidad de actuar ante un incidente —que, no hay duda: todos podemos ser atacados— y que, además, se enfoca en prevenir, a través de inteligencia de amenazas, análisis forense y planes de acción.
El Centro de Respuesta a Incidentes de Nordstern ha sido reconocido por Kaspersky, volviéndolo el primero en el continente americano y el tercero a nivel mundial avalado por la marca líder en Ciberseguridad.
Si crees que has sido víctima de un ciberataque o quieres proteger de forma proactiva los activos de tu organización, contacta a uno de nuestros expertos, quien te ayudará a implementar una solución apegada a tus necesidades.
Da clic en la siguiente imagen:
Fuentes: