Comprometer los datos y las cadenas de suministro de software, también objetivo del cibercrimen en 2019

  • Actualidad

Durante este año habrá que prestar mucha atención a los datos en tránsito y a las cadenas de suministro de software, ya que seguirán estando en el punto de mira de los ciberdelincuentes, incluso más que en 2018, según los pronósticos de Symantec.

También puedes leer...

Cómo evaluar las opciones de SD-WAN

La Seguridad es Infinity

Gestión de cuentas con privilegios para Dummies

Cómo combatir las amenazas cifradas

Cómo vencer al malware evasivo

Symantec ha centrado su atención en siete puntos que habrá que vigilar para no que organizaciones, gobiernos y personas no sean víctimas del cibercrimen en 2019. Hace unos días, nos centrábamos en las cuatro primeras predicciones y hoy resumimos las tres restantes.

Los grupos de ataque capturarán cada vez más datos en tránsito
La firma espera cada vez más intentos encaminados a obtener acceso a los enrutadores domésticos y otros hubs de IoT para capturar algunos de los datos que pasan a través de ellos. El malware insertado en los routers podría, por ejemplo, robar credenciales bancarias, capturar números de tarjetas de crédito o mostrar páginas web malintencionadas y falsas al usuario para comprometer la información confidencial. Actualmente, estos datos confidenciales tienden a estar mejor protegidos cuando están en reposo. Por ejemplo, los sitios web de comercio electrónico no almacenan los códigos de seguridad de tarjetas de crédito, lo que dificulta a los grupos de ataque robar las bases de datos de comercio electrónico.

Durante el año pasado, hubo numerosos ejemplos de compromisos de datos en tránsito en entornos empresariales. Por ejemplo, recuerda el malware VPN Filter o el robo de datos de tarjetas de crédito y otras informaciones confidenciales de consumidores por parte del grupo Magecart en páginas de comercio electrónico, incorporando scripts maliciosos directamente en sitios web específicos. “Esperamos en 2019 que los atacantes sigan centrándose en los ataques empresariales basados en la red, ya que proporcionan una visibilidad única de las operaciones y la infraestructura de las víctimas”, dice la firma.

Los ataques que explotan la cadena de suministro de software crecerán en frecuencia e impacto
Un objetivo cada vez más común de los ciberterroristas es la cadena de suministros de software, donde implantan un malware en paquetes de software legítimos en su ubicación de distribución habitual. El escenario de ataque típico implica que el atacante reemplace una actualización de software legítima con una versión malintencionada, para distribuirla de forma rápida y secreta a los objetivos previstos. Cualquier usuario que reciba la actualización del software automáticamente tendrá su computadora infectada, lo que le dará al atacante un punto de apoyo en su entorno.

Estos tipos de ataques están aumentando en número y sofisticación y en el futuro podríamos ver intentos de infectar la cadena de suministro de hardware. Por ejemplo, un atacante podría comprometer o alterar un chip o agregar código fuente al firmware de UEFI/BIOS antes de que dichos componentes se envíen a millones de equipos. Dichas amenazas serían muy difíciles de eliminar, probablemente permanecerían incluso después de reiniciar una computadora afectada o de formatear el disco duro.

Más actividad regulatoria
El inicio de la aplicación en mayo 2018 de GDPR probablemente será solo un precursor de varias iniciativas de seguridad y privacidad en países fuera de la Unión Europea. Canadá y Brasil ya han aprobado regulaciones similares al reglamento europeo, que entrarán en vigor en 2020; Australia y Singapur han regulado la notificación de los incumplimiento antes de 72 horas inspirado en este reglamento;  India está considerando una regulación similar y California aprobó una ley de privacidad, considerada como la más dura en los Estados Unidos hasta la fecha. El impacto total de GDPR será más claro en todo el mundo durante este año, según Symantec.

“Si bien estamos casi seguros de ver repuntes en la actividad legislativa y reglamentaria para abordar las necesidades de seguridad y privacidad, existe la posibilidad de que algunos requisitos resulten más contraproducentes que útiles”, dicen sus expertos. Por ejemplo, las reglamentaciones demasiado amplias pueden prohibir que las compañías de seguridad compartan incluso información genérica en sus esfuerzos por identificar y contrarrestar los ataques. Si están mal concebidas, las normativas de seguridad y privacidad podrían crear nuevas vulnerabilidades incluso cuando otras se han cerrado.