El ransomware, las brechas de datos y el phishing seguirán al alza en 2023

Recomendados.... » Protegiendo el perímetro. Foro IT Digital Security On demand » Foro Administración Pública Digital: progreso y vanguardia Acceso » Digitalización y seguridad, motor de innovación del sector financiero  Informe

Nuestra dependencia de lo digital es mayor que nunca y los entornos de TI son cada vez más complejos, de ahí que el más mínimo fallo en la resiliencia puede tener un impacto enorme en la capacidad de una empresa para seguir operando tras sufrir incidentes o ataques contra la seguridad. Candid Wuest, vicepresidente de Investigación sobre ciberprotección de Acronis, hace un repaso por las tendencias que probablemente conformarán el panorama de la ciberseguridad en 2023:

Autenticación no tan segura

El sistema de autenticación y administración de acceso e identidades (IAM) recibirá ataques que logren sus objetivos con más frecuencia. Muchos atacantes ya han comenzado a robar o sortear los tokens de autenticación multifactor (MFA). En otros casos, los ataques de fatiga de MFA pueden llevar a que el ciberdelincuente consiga el acceso, sin necesidad de aprovechar una vulnerabilidad. A esto hay que sumar el problema de las contraseñas no seguras y reutilizadas de los últimos años, que no ha desaparecido. Por lo tanto, es fundamental saber cómo funciona la autenticación y cómo puede cada usuario acceder a los datos.

El ransomware sigue aumentando y evolucionando

El número de ataques continúa aumentando, ya que siguen siendo rentables, sobre todo cuando un ciberseguro cubre parte de los daños. Los principales ciberdelincuentes continúan profesionalizando sus operaciones, ampliando su campo de acción a MacOS y Linux, y se plantean también atacar el entorno de la nube. Se generaliza el uso de lenguajes nuevos, como Go y Rust, que requieren ajustes en las herramientas de análisis. Los atacantes se centrarán cada vez más en desinstalar las herramientas de seguridad, eliminar las copias de seguridad y desactivar los planes de recuperación ante desastres, siempre que sea posible.

Incidencia masiva de brechas de datos

Cada vez son más habituales las infecciones con malware que roba información, como Racoon y Redline. Los datos robados incluyen con frecuencia credenciales, que posteriormente se venden para otros ataques a través de agentes intermediarios de acceso inicial. Dado que es necesario que múltiples interesados tengan acceso a los datos, es más difícil mantenerlos cifrados y protegidos. La filtración de una clave de acceso para una API, por ejemplo, en GitHub o una app móvil, puede bastar para robar todos los datos.

El phishing, más allá de los mensajes de correo electrónico

Los ciberdelincuentes seguirán intentando automatizar y personalizar los ataques utilizando datos procedentes de filtraciones previas. Las estafas basadas en ingeniería social, como las de tipo BEC o de vulneración del correo electrónico de empresa, se extenderán a otros servicios de mensajería, como los mensajes de texto, Slack, Teams, etc., para evitar que puedan filtrarse o detectarse los ataques. Por otro lado, el phishing, continuará utilizando proxies para capturar tokens de sesión, robar tokens de MFA y utilizar distracciones, como los códigos QR, para ocultarse aún más.

Robo de criptomonedas

No parece vislumbrase el final de los ataques relacionados con el intercambio de criptomonedas y los contratos inteligentes en las distintas plataformas de blockchain. Incluso los atacantes patrocinados por Estados están intentando robar cientos de millones en moneda digital. Los ataques contra contratos inteligentes, monedas algorítmicas y soluciones DeFi, más sofisticados, no cesan y se suman a los clásicos de phishing y malware contra sus usuarios.

Ataques contra proveedores de servicios

Los proveedores de servicios gestionados de TI, las empresas de consultoría, organizaciones de soporte de primera línea y otros partners similares cada vez reciben más ataques y se ven comprometidos con más frecuencia. Tras conseguir acceso, los atacantes usan de forma ilícita las herramientas instaladas, como PSA, RMM u otras utilidades de despliegue, aprovechando así los recursos existentes. Estos colaboradores externos que trabajan en la empresa suelen ser el eslabón más débil y evitan al ciberdelincuente la necesidad de lanzar laboriosos ataques contra la cadena de suministro.

Ataques desde el navegador

Se producirán más ataques en o a través del navegador, iniciados desde las sesiones. El cambio malintencionado de extensiones del navegador persigue obtener direcciones para transacciones o robar contraseñas en segundo plano. Hay también una tendencia de secuestro del código fuente de estas herramientas, además de añadir puertas traseras a través del repositorio de GitHub. Con el aumento de la computación sin servidor (o serverless), el análisis de este tipo de ataques puede ser más complicado.

Automatización de la nube a través de API

Ya se ha producido un traslado masivo de los datos, procesos e infraestructuras a la nube. Esta tendencia continuará, junto con una mayor automatización entre distintos servicios. Muchos dispositivos IoT se incorporarán a esta gran nube de servicios hiperconectados. Como resultado, se podrá acceder a muchas API desde Internet y, por lo tanto, se incrementarán los ataques contra ellas. Además, la automatización puede facilitar ataques a gran escala.

Ataques contra procesos empresariales

Los atacantes seguirán ideando nuevas formas de modificar los procesos empresariales en su propio beneficio, con el objetivo de obtener ganancias. Por ejemplo, cambiar los datos de la cuenta bancaria de destino en la plantilla del sistema de facturación de una empresa. Estos ataques con frecuencia no implican el uso de malware y requieren un análisis minucioso del comportamiento de los usuarios, como ocurre con el creciente número de ataques internos.

La inteligencia artificial es omnipresente

En general, todas las corporaciones, sea cual sea el tamaño y el sector, emplearán procesos de inteligencia artificial (IA) y aprendizaje automático (AA). Los avances en la creación de datos sintéticos estimularán aún más algunas campañas de suplantación de identidad y desinformación mediante el empleo de deepfakes. Otras tendencias más preocupantes serán los ataques contra los propios modelos de IA y AA.