Predicciones de seguridad para 2022; un año de cambios y concienciación

Vivimos en medio de una carrera a contra reloj en lo que a ciberseguridad se refiere. Los adversarios llevan siempre ventaja debido a la constante evolución de los ataques mediante nuevas técnicas y tácticas, o simplemente a través de nuevas combinaciones de técnicas antiguas.

El lado bueno reconfiguran y redefine sus capacidades de detección de respuesta a las amenazas para reconocer el nuevo vector de ataque, y esto puede llegar a frustrar a los adversarios, pero ello en ningún caso los disuade y buscan una nueva vía. El ciclo continúa.

Especialmente preocupante es cuando la gran brecha aparece en grandes titulares y los detalles salen a la luz, quedando claro que ese ataque a un determinado objetivo no fue creado específicamente para ello, sino que forma parte de una brecha de seguridad desconocida durante años, o incluso décadas, que no solo debilita dicho objetivo, sino que afecta a millones de posibles objetivos a través de sistemas conectados en todo el mundo. Esta es la realidad de hoy día en materia de ciberseguridad.

¿Qué nos dice la bola de cristal para el mundo de la ciberseguridad y la gestión de riesgos de 2022?

Las tácticas del ransomware seguirán evolucionando. El modelo de "doble extorsión", en el que se cifran los datos y el adversario amenaza simultáneamente con liberarlos, persistirá. Al igual que todos los años, habrá nuevas combinaciones de las tácticas existentes, ya que los atacantes siguen innovando en la forma de llevar a cabo sus propias operaciones comerciales que generan ingresos para lograr la mayor eficiencia. Los ataques lanzados desde lugares no contemplados por los sistemas legales complicarán aún más los esfuerzos de respuesta.

La legislación sobre privacidad se acelerará a nivel mundial. La ubicación de los datos seguirá siendo un componente importante a nivel nacional en todo el mundo. Independientemente del tamaño de la empresa, si está encargado de proteger su organización global, hay que tener en cuenta la propia arquitectura y saber dónde se recopilan los datos, dónde residen y dónde se gestionan, lo que implica que puedan ser tres jurisdicciones diferentes. La flexibilidad de la arquitectura actual será aún más importante a medida que se aprueben y apliquen nuevas normativas sobre privacidad.

La falta de competencias en ciberseguridad seguirá aumentando. A pesar de la gran cantidad de programas educativos y certificaciones diseñadas para demostrar la competencia como profesional de la ciberseguridad, esas cifras se verán superadas por la cantidad de nuevos puestos de trabajo que habrá que cubrir. Las organizaciones más avispadas tenderán a relajar sus estándares para el candidato perfecto: hay que tener en cuenta que es probable que los ciberdelincuentes “no tengan” las certificaciones de seguridad al alto nivel que se le exige a un nuevo candidato.

La normativa vigente se pondrá al día con la pandemia. Muchas organizaciones se apresuraron a avanzar dentro del caos de principios de 2020, con atajos y otros compromisos en un corto periodo de tiempo. Muchas empresas descubrieron que su arquitectura anterior a la pandemia se construyó con suposiciones de dónde se gestionan sus datos. Con la llegada del trabajo remoto y unas prácticas anticuadas en la gestión de datos, se está viendo que no eran adecuadas a esa nueva situación. Lo que antes de la pandemia no suponía ningún problema para el cumplimiento normativo, hoy puede serlo, por lo que se deberán tomar medidas al respecto.

Los actores de los Estados-nación seguirán preparando el campo de batalla para futuras acciones. A veces un ataque contra una infraestructura crítica se despliega para causar un efecto inmediato, pero otras veces el ataque se lleva a cabo simplemente para dejar atrás un código que puede resultar útil al adversario en un futuro. Los Estados-nación no son ladrones de poca monta, son muy astutos y con gran capacidad de análisis que piensan en un beneficio a largo plazo, no en la interrupción a corto plazo.

Las plataformas de Redes Sociales se convertirán en la superficie de ataque de más rápido crecimiento. La mayoría de las historias sobre ciberataques que conducen a resultados palpables (o físicos) tienden a centrarse en cosas como el hackeo de coches, el compromiso de dispositivos médicos u otro tipo de ataques. Pero son las plataformas de redes sociales las que representan el método más extenso, más barato y más rápido para que un ciberdelincuente realice cambios en el mundo físico, no destruyendo equipos como parte de un ciberataque, sino movilizando a los seres humanos hacia los objetivos del propio atacante. La desinformación, y su hábil desarrollo y despliegue, producirán efectos físicos en el mundo real.

Estas son algunas de las áreas clave en las que se debe estar atento durante este 2022, pero estas predicciones deben ser complementadas con ideas prácticas de cómo reconocer y remediar algunos de estos desafíos:

Planificar para la incertidumbre, planificar para la resiliencia. El hecho de que el mundo en el que vivimos parezca girar cada vez más rápido con nuevos ataques y nuevos retos normativos no nos da la opción de plantar nuestra bandera en el suelo y defenderla a toda costa. La empresa deben seguir siendo flexibles y adaptables: este es uno de los muchos factores que llevan a las empresas a la nube y a su facilidad para escalar en plazos muy cortos.

No se puede proteger lo que no se puede ver. Demasiadas organizaciones, impulsadas por un modelo de comprobación de la normativa, deciden que la "visibilidad" significa ser capaz de recopilar y agregar registros de log de los dispositivos clave que se encuentran en su entorno operativo. Puede que esa fuera la respuesta correcta hace veinte años, pero es absolutamente la respuesta equivocada hoy en día. La información basada en registros de log (normalmente, archivos de texto producidos por aplicaciones, servidores e infraestructura) es útil desde el punto de vista operativo, pero si se encarga de proteger su entorno y de responder a las amenazas tanto externas como internas, no puede conseguir una verdadera visibilidad a menos que pueda observar el tráfico de su red y los puntos finales hacia y desde los que se mueven esos datos.

Poder ver esos log junto a datos de la red y de los puntos finales al mismo tiempo es aún más difícil cuando el entorno es una mezcla de herramientas locales, virtualizadas y basadas en la nube. Hay que tomarse su tiempo para identificar los datos críticos y priorizar la visibilidad de esos activos para que, cuando llegue el momento, estar seguro de que se tiene la visibilidad adecuada y pueda ver absolutamente todo lo que necesita para tomar una decisión correcta para la corrección.

Ben Smith, Field CTO, NetWitness, an RSA business