- De los crecientes ataques a las cadenas de suministro, hasta las bandas de ransomware que ponen vidas en peligro.
Desde los ataques coordinados para el secuestro de datos (ransomware), pasando por las tácticas, técnicas y procedimientos (TTPs) de las cadenas de suministro que se comercializan cada vez más, hasta las explotaciones (exploits) de firmware que se usan como armamento y los ataques dirigidos a los trabajadores dentro del esquema híbrido, el panorama de las amenazas de ciberseguridad está listo para evolucionar a un ritmo alarmante el próximo año.
Ahora que el 2021 está por concluir, los expertos y asesores de seguridad HP han estado reflexionando sobre lo que nos aguarda el año entrante. Aquí presentamos las perspectivas en seguridad de algunos integrantes del equipo de HP, incluidos: Michael Heywood, líder de seguridad de la cadena de suministro; Joanna Burkey, directora de seguridad de la información; Dr. Ian Pratt, jefe global de seguridad para sistemas personales; Patrick Schläpfer, analista de malware; Alex Holland, analista senior de malware; Julia Voo, líder global de ciberseguridad y política tecnológica; Michael Howard, jefe de seguridad y práctica analítica; y el miembro de la junta asesora de seguridad y socio en Deloitte, Robert Masse, quienes identifican las cuatro tendencias principales a tener en cuenta.
- La creciente comercialización de los ataques a las cadenas de suministro de software podría tener como consecuencia un mayor número de víctimas de alto perfil.
Los ataques a las cadenas de suministro probablemente continuarán ofreciendo nuevas oportunidades para los actores de las amenazas en 2022. De acuerdo con Michael Heywood: “Veremos que los ataques a las cadenas de suministro seguirán aumentando en el transcurso del próximo año, ya que quienes lideran las amenazas se dedican a buscar los puntos débiles en las cadenas de suministro de software y su objetivo es el software que se usa ampliamente a nivel mundial, o que es utilizado por una empresa en particular.”
Este enfoque podría crear economías de gran escala para los responsables de las amenazas, como lo explica Joanna Burkey: “Con el incidente de Kaseya —que afectó a más de 1,500 empresas— vimos que los ataques a las cadenas de suministro pueden resultar financieramente gratificantes. Esto podría llevar a la comercialización continua de las tácticas, técnicas y procedimientos (TTPs) que se utilizan para conducir dichos ataques, lo cual solo agrega leña al fuego, motivando a los ciberdelincuentes a explotar las cadenas de suministro de software en el próximo año”.
Ian Pratt opina que las pequeñas y medianas empresas, así como las víctimas de alto perfil pueden ser blanco de los atacantes: “Kaseya mostró un camino a la monetización a partir de las vulnerabilidades de los vendedores de software independientes (ISV). Esto debería ser una llamada de atención para todos ellos. Incluso en el supuesto de que su base de clientes no esté compuesta por usuarios de empresas y gobierno, aún persiste el riesgo de caer en la mira de los atacantes que buscan explotar a sus usuarios. Ahora que este plan se ha puesto en marcha, podemos anticipar que este tipo de ataques se volverá más generalizado el año entrante, teniendo como objetivo las pequeñas y medianas empresas, así como los nombres de alto perfil”.
Es probable que algunas verticales sean más atractivas para los ataques a la cadena de suministro en comparación con otras, así lo explica Robert Masse: “Las empresas que se dedican a los servicios de salud, al igual que las de energía y recursos (E&R) que usan una gran cantidad de hardware y software diferente y de varios vendedores, serán blancos muy interesantes para los ataques a la cadena de suministro de software. La integridad de la cadena de suministro será vital en 2022, ya que los atacantes comenzarán a lanzar amenazas más rápido de lo que les toma a las organizaciones poder invertir en ciclos de desarrollo de software seguros”.
Las organizaciones también deben estar conscientes de la amenaza que representan las vulnerabilidades en un software de código abierto. Como lo indica Patrick Schläpfer: “Veremos un aumento en los paquetes de software de código abierto que se incorporan a las cadenas de suministro de software. Esto podría llevar a que más compañías estén comprometidas, independientemente de si tienen un perímetro seguro o una buena posición en general”.
- Las bandas de ransomware podrían poner vidas en riesgo y participar en ataques coordinados.
El ransomware seguirá siendo un gran riesgo en 2022, con víctimas que pueden ser alcanzadas más de una vez, como destaca Burkey: “Lo que veremos será similar a los ataques coordinados (pile-ons) en las redes sociales, en este caso con víctimas de ransomware atacadas reiteradamente por los actores de las amenazas. Una vez que se ha mostrado que una organización es ‘débil’, otros se sumarán al ataque para obtener su cuota de la acción. En algunas instancias, los actores de las amenazas castigarán a una empresa varias veces con esquemas de doble o triple extorsión”.
Los métodos de extorsión también podrían extenderse más allá de la víctima, en la medida en que las bandas de ransomware ejerzan presión, así lo expresa Alex Holland: “Es muy probable que los operadores de ransomware intensifiquen las formas de presión a las víctimas para que accedan a pagar sus demandas. Más allá de los sitios web de filtración de datos, los atacantes están usando métodos de extorsión cada vez más variados, como las llamadas en frío (cold calling), y poniéndose en contacto con los clientes y socios comerciales de las organizaciones que han sido víctimas.” Heywoood destaca que las bandas de ransomware no sólo encriptarán, sino que también robarán los datos, presionando aún más a las víctimas: “Como hemos visto en este año, los actores de las amenazas continuarán sustrayendo datos antes de encriptar los dispositivos, ejerciendo presión en las víctimas a fin de que paguen las recompensas para desencriptar los sistemas y evitar la publicación de los datos”.
Los responsables de las amenazas también podrían enfocarse en verticales y casos de uso específicos, como señala Masse: “Los atacantes se han dado cuenta de que el golpe a algunas industrias producirá una mayor probabilidad de pago. Podríamos ver más ataques en el sector de servicios de salud y las organizaciones de E&R. Los actores de las amenazas bien podrían tener como objetivo los dispositivos de alto riesgo, como los sistemas cruciales para la asistencia médica y la infraestructura que la sostiene, donde el riesgo de un daño significativo será mayor y por lo tanto el pago llegará rápidamente. Esto ya ha empezado a suceder en países como Canadá, con cirugías que se retrasan debido a los ataques de ransomware”.
La tendencia de cooperación entre los actores de las amenazas también continuará el próximo año. Según Pratt: “Hemos visto una y otra vez que los actores de las amenazas están dispuestos a colaborar en los ataques. Hay un mercado vibrante para el ciberdelito que fortalece una cadena de suministro criminal y permite, incluso a los actores de amenazas menos experimentados, obtener las herramientas y los servicios necesarios para lanzar campañas exitosas. Los vendedores pueden especializarse en el robo de credenciales, la creación de exploits, escribir señuelos en emails o alojar servicios de backend. En suma, la disponibilidad de herramientas y experiencia está permitiendo el incremento en la sofisticación de los ataques criminales”.
- El uso de los ataques de firmware como armamento bajará el nivel para el acceso.
También podríamos empezar a ver la filtración de ataques de firmware desarrollados por los Estados-nación, lo cual abrirá el camino para que las bandas de cibercriminales usen las amenazas como armamento. Así lo explica Pratt: “El firmware ofrece una oportunidad fértil para los atacantes que buscan obtener una persistencia a largo plazo o ejecutar ataques destructivos. Por lo general, las organizaciones se olvidan de la seguridad del firmware, con niveles de parcheo mucho más bajos en observación. El año pasado también vimos que los atacantes estaban realizando reconocimientos de configuraciones de firmware, probablemente como un preludio para su explotación en futuros ataques. Anteriormente, este tipo de ataques eran utilizados únicamente por actores de Estados-nación. Sin embargo, en los próximos 12 meses se podrían filtrar las TTPs para llegar al firmware de las computadoras, abriendo así la puerta para que los grupos de cibercriminales más experimentados usen las amenazas como armamento y creen un plan de acción para monetizar los ataques”. Masse cree que una falta de visibilidad y control sobre la seguridad del firmware agravará el problema: “Algunas industrias, donde existe una mayor probabilidad de que ocurran estos ataques, deberían comenzar a pensar en los riesgos que representa el uso de malware y exploits a nivel de hardware como armamento. Es muy difícil detectarlos incluso en el mejor de los escenarios. Los procesos deshonestos y los desvíos (bypass) de los archivos mapeados en memoria serán temas relevantes en 2022, y también podríamos ver actores de amenazas poniendo en la mira los CPUs, BIOS y microcódigos como parte de una lista de objetivos para los ataques de ransomware”. Los legisladores deberían tomar nota de esta tendencia y aplicar un cambio, según Julia Voo: “El uso de exploits a nivel de hardware como armamento significa que los legisladores deben actuar para desarrollar estándares que puedan ayudar a mejorar la seguridad del firmware. Al trabajar con la industria a través de un enfoque de abajo hacia arriba, los legisladores pueden impulsar un cambio significativo en un área que ha pasado en gran parte desapercibida”.
- El trabajo híbrido y los eventos deportivos crearán más oportunidades para atacar a los usuarios.
La distribución de los equipos de colaboradores dentro de los modelos de trabajo híbridos significa que la gestión de identidades seguirá jugando un papel clave, como señala Burkey: “La identidad debe ser sólida, verificada y robusta. Las organizaciones necesitan asegurarse de que todas y cada una de las actividades que provengan de un dispositivo endpoint sean auténticas. ¿Es realmente el usuario quien está conduciendo estas actividades? ¿Son quienes dicen ser? Hay demasiadas organizaciones que creen que detrás de un firewall existe lo suficiente para mantener un dispositivo endpoint seguro, pero esto no es cierto. En la era del trabajo híbrido, la gestión de identidades será más importante que nunca”.
El cambio al trabajo híbrido seguirá creando problemas para la seguridad organizativa. Según Michael Howard: “Cada uno de los empleados sigue siendo un objetivo para los atacantes, la gran cantidad de dispositivos inseguros y no gestionados crean una enorme superficie de ataque para su defensa.” Masse cree que esto podría facilitar a los atacantes dirigirse al personal de alto perfil. “Los actores de las amenazas podrían empezar a tener como objetivo las casas y las redes personales de los altos ejecutivos, incluso oficiales de gobierno, ya que estas redes son más fáciles de comprometer que los entornos empresariales tradicionales”.
El phishing seguirá siendo una amenaza siempre presente en la era del trabajo hibrido, como lo explica Pratt: “Los empleados han estado usando los dispositivos personales para el trabajo, o los dispositivos corporativos para tareas personales, por ejemplo, revisar emails. Esto va a continuar así, y es probable que haya un aumento en los ataques de phishing que tienen como objetivo las cuentas de correo tanto empresariales como personales. Básicamente, esto duplica las oportunidades de los atacantes para lanzar un ataque exitoso y, por lo tanto, las organizaciones deben educar a la fuerza laboral sobre los riesgos de su comportamiento y reforzar los controles técnicos para evitar que sus dispositivos queden comprometidos”.
Los eventos deportivos de alto perfil también presentarán nuevas oportunidades para que los atacantes se dirijan a los usuarios, como lo anuncia Schläpfer: “Los juegos de invierno en Beijing y el mundial de fútbol en Catar dan a los actores de amenazas mucho margen para la explotación. Eventos tan grandes atraen a los atacantes oportunistas, ya sea para un ataque directo sobre los organizadores, patrocinadores, participantes y aficionados, o como señuelos de phishing para campañas de malware y ransomware dirigidas a los usuarios. Las organizaciones y los individuos deben estar conscientes de los riesgos”.
Se necesita un nuevo enfoque para la seguridad.
“El aumento del trabajo híbrido y la innovación constante por parte de los actores de las amenazas significa que 2022 tiene en puerta muchas sorpresas desagradables para la seguridad de las empresas,” comenta Ian Pratt: “En consecuencia, tenemos que abordar la seguridad para el futuro del trabajo de una forma totalmente distinta. Las organizaciones deben adoptar un nuevo enfoque arquitectónico para la seguridad que ayude a mitigar los riesgos y posibilite la resiliencia. Al aplicar los principios de confianza cero —acceso de mínimo privilegio, aislamiento, control de acceso obligatorio y una gestión de identidades sólida— las organizaciones pueden reducir drásticamente la superficie de ataque y asegurar el futuro del trabajo.”
Nuestras noticias también son publicadas a través de nuestra cuenta en Twitter @ITNEWSLAT y en la aplicación SQUID |