Trend Micro - Securing Your Journey to the Cloud

Válido para todos

Predicciones de seguridad para 2016 de Trend Micro: la delgada línea

Como cada año, los éxitos y fracasos de cada uno de los incidentes de ciberseguridad nos enseñan lecciones importantes y nos proporcionan pistas de lo que podría suceder en el futuro. Si miramos con más detenimiento, podemos llegar a encajar las piezas de este rompecabezas para crear una imagen nítida de lo que está por llegar. Ahora que 2015 toca a su fin, ha llegado la hora de repasar los incidentes acontecidos a lo largo del año y utilizar esta información para obtener una perspectiva de futuro.

Se ha hablado mucho sobre la creatividad de los ciberdelincuentes para diseñar maneras de infiltrarse incluso en los objetivos más improbables. El año pasado, sin embargo, quedó patente que los ciberdelincuentes no tienen que utilizar necesariamente las tecnologías más avanzadas ni los métodos más sofisticados para alcanzar su objetivo. A veces, basta con comprender la psicología que se esconde detrás de cada esquema y de sus objetivos para cubrir la falta de sofisticación. En resumidas cuentas, todo se reduce a algo mucho más “personal”.

Durante la pasada década eran habituales las extorsiones cibernéticas que recurrían al miedo de las víctimas para lograr su fin. Esta técnica quedó manifiesta ya en los primeros casos de ransomware y, por supuesto, en las formas más evolucionadas y sofisticadas que conocemos hoy. El miedo seguirá siendo uno de los principales ingredientes de cualquier esquema de extorsión que se precie de lograr su objetivo, pero el aspecto personal cobrará más relevancia porque facilitará que las víctimas cedan a las demandas.

Los hacktivistas hacen gala de la misma vehemencia por robar información cuando idean ataques destructivos diseñados para dañar la integridad y reputación de sus objetivos. Se seguirán utilizando las filtraciones de datos para minar información, aunque el objetivo no será necesariamente financiero sino que puede perseguir poner en entredicho las prácticas corporativas u obtener información clasificada de distinta índole.

Las tecnologías de próxima generación pasarán a convertirse en objetivos factibles. El crecimiento sostenido de dispositivos domésticos inteligentes conectados propiciará la apuesta de los ciberataques por las vulnerabilidades sin parches a la hora de perpetrar un ataque a gran escala. A pesar de que no existen indicios de que vaya a producirse un ataque a escala global, sí que es muy probable que se produzca un fallo en los dispositivos inteligentes de los consumidores que podría ocasionar daños físicos.

En el sector móvil, los nuevos métodos de pago suscitarán el interés de los ciberdelincuentes (ya sean tarjetas de crédito con tecnología EMV o el monedero digital) y las plataformas de pago supuestamente “seguras” quedarán en entredicho. Se prevé un crecimiento exponencial del malware móvil auspiciado por el comportamiento relajado de los usuarios y la disponibilidad de tiendas de aplicaciones de terceros en China.

A pesar de todo, de la evolución de las amenazas y de las nuevas tácticas empleadas por los ciberdelincuentes, estamos destinados a ver cómo se materializan los esfuerzos realizados hasta ahora por contener las ciberamenazas. La concienciación de los usuarios y las alianzas con organizaciones legislativas y privadas cosechará sus frutos en forma de cambios de legislación, clausuras de redes, detenciones y condenas.

¿Cómo pueden las tendencias, los sucesos e incidentes de 2015 ayudarnos a predecir lo que se nos avecina? ¿Cómo afectarán estos avances clave a las amenazas futuras? Haga clic en el botón siguiente para conocer las tendencias que se impondrán en 2016.


MÁS INFORMACIÓN


X
Predicciones de seguridad para 2016 y próximos años
A pesar de los grandes avances que se producirán en 2016, todavía queda una pequeña franja vulnerable entre dichos logros y las amenazas que se prevén. Los avances de las nuevas tecnologías (tanto para el crimeware como para el uso cotidiano) darán lugar a la aparición de nuevos escenarios de ataque. Lo mejor para evitar futuros abusos o daños financieros, e incluso letales, es concienciar al sector de la seguridad y al público.
La delgada línea
Predicciones de seguridad para 2016

Ejemplo de escenario: UN DÍA NEFASTO

X

El sonido del teléfono en la mesita de noche lo despertó de golpe. Rick Davidson se levantó y cogió el smartphone que estaba junto al portátil y una acreditación en la que se podía leer “Director de calidad de Smart Life, Ltd.”. Eran las 3 de la madrugada de un día de finales de septiembre de 2016. Tenía cinco mensajes sin leer, uno de ellos de Eric Nielsen, director de operaciones de JohnMeetsJane.com.

En el mensaje le informaba de una filtración de datos atribuida a un grupo llamado Hackers United. El mensaje adjuntaba una captura de pantalla de un sitio Web borroso y unas letras mayúsculas en rojo: SE HA DESVELADO EL SECRETO. Había también una disculpa de los administradores del sitio lamentando el incidente. Se trataba del tercer servicio de citas online atacado en los últimos cinco meses. El mensaje finalizaba con la promesa de una mejor seguridad y privacidad para sus miembros y la contratación de un nuevo responsable de protección de datos. Pero a Rick no le interesaba nada de esto.

Pasaron unos momentos hasta que apartó la vista del mensaje. Le temblaban las manos. Su cuenta había estado inactiva durante casi un año, pero eso no importaba. Lo importante era que estaba casado y que su identidad, incluidas sus actividades ilícitas en el sitio de citas, estaban ahora a merced de los hackers.

Rick sabía que este tipo de filtraciones eran carnaza para la prensa. Solo unos meses antes, una grabación blasfema y violenta de un famoso de Hollywood se había convertido en el vídeo más viral del año. El fragmento de audio incriminatorio era uno de los millones de archivos que habían sido robados de una plataforma de almacenamiento en la nube. Por esta breve retahíla de insultos, el actor perdió un contrato de patrocinio valorado en un millón de dólares. Aunque parezca irónico, era para el nuevo modelo de coche que iba a lanzar la empresa donde trabaja Rick.                              

Antes de que Rick pudiera continuar leyendo los mensajes sin leer, sonó el teléfono. Era su supervisor, en un estado de nerviosismo que no había visto nunca. Acababa de enterarse de otro incidente relacionado con Zoom 2.1, su último modelo de coche. En los últimos meses habían recibido informes de propietarios que se habían quedado encerrados en sus Zooms. Estos hechos habían obligado al equipo de Rick a realizar una investigación más a fondo. Pero esta nueva queja era mucho más grave que las que habían recibido hasta ahora. Rick no quería ni pensar en las consecuencias que se derivarían si la noticia llegaba a hacerse viral.

Justo cuando terminaba la llamada recibió un mensaje en el portátil. Sin pensar demasiado, hizo clic para abrirlo. De pronto, la pantalla desapareció bajo un fondo de pantalla rojo. Se tiñó con un mensaje de advertencia que le resultaba familiar y que le heló la sangre: “SE HA DESVELADO EL SECRETO: tienes 72 horas para pagar.”

Apenas eran las 4 de la madrugada. ¿Todavía podía empeorar el día?

X

2016 será el año de las extorsiones online.

X

Durante 2016, las amenazas online evolucionarán para conocer a fondo la psicología que se esconde detrás de cada esquema en detrimento de los aspectos técnicos de la operación. Los atacantes seguirán utilizando el miedo como principal ingrediente del esquema porque ha demostrado su gran efectividad en el pasado.

En la última década, los extorsionistas cibernéticos habían recurrido al ransomware para engañar a los usuarios online y hacerlos caer en sus redes. Utilizaban el miedo de las víctimas para coaccionarlas y obligarlas a pagar un rescate. Diseñaron la trampa del antivirus malicioso/falso para atacar a quienes temían las infecciones por virus informáticos. Las variantes anteriores de ransomware bloqueaban las pantallas de los usuarios y les hacían pagar para poder volver a acceder. Los troyanos policiales amenazaban a los usuarios con arrestos y cargos por filtraciones. Por último, los ciberdelincuentes utilizaban el ransomware de cifrado para alcanzar lo más valioso de un sistema: los datos.
Sabiendo esto, los extorsionistas cibernéticos idearán nuevas maneras de atacar la psicología de sus víctimas para “personalizar” cada ataque, sean usuarios finales o empresas. La reputación lo es todo y las amenazas que son capaces de arruinar la reputación de personas o empresas resultan efectivas y, lo que es más importante, lucrativas.

Las empresas también caerán en los sofisticados trucos que las nuevas tácticas de ingeniería social utilizan. Asistiremos a un aumento significativo de estratagemas capaces de persuadir a los empleados para que transfieran dinero a una cuenta bajo control de los ciberdelincuentes. El conocimiento de la rutina de las actividades empresariales les permitirá camuflar los esquemas maliciosos mediante la interceptación de comunicaciones entre socios empresariales, al igual que sucedió con la táctica utilizada por los ciberdelincuentes que idearon HawkEye, Cuckoo Miner y Predator Pain.

X

En 2016 se producirá un fallo en los dispositivos inteligentes de los usuarios que tendrá consecuencias devastadoras.

X

Durante 2015 se han producido incidentes relacionados con dispositivos pirateados o desprotegidos como, por ejemplo, intercomunicadores para bebés, televisiones inteligentes y automóviles conectados. A pesar de la creciente concienciación de los usuarios sobre los riesgos de seguridad que implica la conexión de electrodomésticos y dispositivos a Internet, el interés público por interconectar todo lo posible no cesará de aumentar.

Se estima que las ventas de dispositivos domésticos inteligentes con conexión a Internet aumenten a una tasa anual compuesta del 67% en los próximos cinco años para alcanzar los casi 2.000 millones de unidades en 2019, un crecimiento más rápido que el de los smartphones y las tablets. Dada la diversidad de sistemas operativos y la ausencia de normativas sobre estos dispositivos inteligentes, todavía no se detectan señales de un posible ataque pirata a gran escala. Sin embargo, la lucha de los dispositivos por las conexiones contaminará las redes WiFi y Bluetooth y llegará a colapsarlas. Esto repercutirá a su vez negativamente en tareas de vital importancia.

No obstante, es mayor la probabilidad de que un fallo en los dispositivos inteligentes para consumidores cause daños físicos. Cuantos más drones invadan el espacio aéreo público con fines diversos, más dispositivos se usen para servicios relacionados con la salud y más dispositivos domésticos y empresariales dependan de una conexión a Internet, mayor será la probabilidad de que presenciemos un incidente que ocasione un fallo de funcionamiento de los dispositivos, una acción de piratería o un uso indebido que prenderá la mecha del debate sobre la necesidad de establecer normativas sobre la fabricación y el uso de los dispositivos.

X

China será la causante de que el malware móvil llegue a los 20 millones a finales de 2016; a escala global asistiremos a ataques dirigidos a los métodos de pago móviles.

X

Diversos informes afirman que 3 de cada 4 aplicaciones de China son realmente malware. En cambio, Google ha publicado un informe que manifiesta que menos del 1% de las aplicaciones disponibles en la tienda Google Play son potencialmente peligrosas. Los datos recopilados por Trend Micro corroboran la existencia de dicha distinción y confirman que el 13% de las aplicaciones de los mercados chinos son maliciosas, a diferencia de Google Play, donde apenas se registra un 0,16% de aplicaciones maliciosas.

El malware para dispositivos móviles seguirá afectando a los usuarios chinos debido a la disponibilidad de plataformas y canales de terceros que ofrecen descargas gratuitas de aplicaciones. Google Play, por ejemplo, se encuentra disponible en China, pero apenas llega a 21 de los 800 millones estimados de usuarios de móviles en China. Estas pautas de comportamiento de los usuarios no hacen más que indicar que no se va a detener el crecimiento exponencial del malware para dispositivos móviles, que se prevé que alcance los 20 millones a finales de 2016.

Esta tendencia no se reproducirá en otros países en los que los usuarios suelen utilizar las tiendas de aplicaciones oficiales para adquirir sus aplicaciones. Sin embargo, y a pesar de la lenta tasa de adopción, la introducción de sistemas de pago móviles de próxima generación despertará un interés renovado en los creadores de amenazas por efectuar pruebas en condiciones reales para robar información de las nuevas tecnologías de procesamiento de pago tales como tarjetas de crédito EMV, tarjetas de crédito RFID sin contacto y monederos móviles como Apple Pay y Google Wallet. El 2016 será el año en que los criminales online intentarán poner en jaque la seguridad mejorada de estos modos de pago.

X

Los hacktivistas utilizarán las filtraciones de datos como método sistemático para destruir sus objetivos.

X

En 2016 aumentará el número de hacktivistas en la senda de ataques “destructivos” con la intención de conseguir datos capaces de dañar la integridad de los objetivos. Los ciberdelincuentes serán testigos del impacto de las filtraciones de datos de objetivos codiciados como Sony, Ashley Madison e incluso Hacking Team.

En el pasado, el manual del hacktivista se limitaba básicamente a tácticas predeterminadas como la desfiguración de sitios Web y ataques DDoS con la intención de afectar el funcionamiento de los objetivos. Sin embargo, el reciente éxito de las filtraciones de gran impacto, perpetradas con el objetivo común de exponer información incriminatoria como prácticas corporativas cuestionables, mensajes confidenciales y transacciones sospechosas, animará a los ciberdelincuentes a incluir en su arsenal de tácticas tales métodos de filtraciones de datos.

Los creadores de amenazas seguirán haciendo públicos los datos robados para dificultar la investigación de las amenazas y su contención. También asistiremos a la aparición de infecciones secundarias que recurren a la presencia Web de un objetivo y la utilizan en contra de los consumidores, de forma similar a los ataques de “abrevadero” del pasado. También se utilizarán los datos que ya se han perdido para allanar el terreno para otros ataques.

X

A pesar de la necesidad de responsables de la protección de datos, menos del 50% de las organizaciones contará con ellos a finales de 2016.

X

Las empresas finalmente comprenderán la necesidad de crear un puesto de trabajo destinado exclusivamente a garantizar la integridad de los datos tanto dentro como fuera de la empresa. La decisión de designar un responsable de la protección de datos independiente, un director de riesgos o de incluir esta función entre las tareas del director de seguridad de la información depende del tamaño y el presupuesto de la empresa, entre otros factores, si bien el conjunto de responsabilidades no deja de ser el mismo.

La jaula de hierro creada por la directiva sobre protección de datos de la UE exigirá un mayor nivel de protección de los datos y hará que la función del responsable de la protección de datos/director de seguridad de la información sea imprescindible para garantizar la integridad de los datos y el cumplimiento de las leyes y normativas de los países donde se almacenen los datos corporativos. Tanto los responsables de la protección de datos como los directores de seguridad de la información deben conocer a fondo las normativas sobre protección y seguridad de datos y ser expertos en su aplicación efectiva.

Sin embargo, no todas las empresas podrán llevar a cabo esta tarea. Según una encuesta, el 22,8% de los encuestados admitió no tener conocimiento de la legislación aplicable y el 50% afirmó no disponer de planes de revisión de sus políticas para la adecuación a la nueva normativa.

La toma de conciencia sobre la protección de datos allanará el camino hacia un cambio significativo en la actitud y la estrategia de las empresas frente a los ciberataques. Cada vez serán más las empresas que adopten una posición de “cazador” en vez de “cazado” y que comiencen a utilizar la información sobre amenazas y las soluciones de seguridad de próxima generación con defensa personalizada para detectar las intrusiones con mayor antelación.

X

El bloqueo de anuncios revolucionará el modelo de negocio publicitario y eliminará los anuncios maliciosos.

X

La creciente aversión de los usuarios de la red a los anuncios no solicitados, sumada al repunte de ataques de anuncios maliciosos observado durante 2015, ha obligado a los proveedores de seguridad a añadir opciones de bloqueo de anuncios en sus productos y servicios.

En la primera mitad del año, hemos sido testigo del uso de kits de explotación en esquemas de anuncios maliciosos. En septiembre de 2015, 3.000 sitios japoneses de perfil alto sufrieron una campaña masiva de anuncios maliciosos que afectó a casi medio millón de usuarios. En febrero de 2015, Trend Micro descubrió una vulnerabilidad de día cero de Adobe Flash que se utilizó en ataques de anuncios maliciosos.

Estos incidentes podrían explicar el aparente aumento de la sensibilización de los usuarios que desean bloquear los anuncios. Los usuarios han dejado de estar simplemente “molestos” por los anuncios no solicitados y ahora son totalmente conscientes de los riesgos que entrañan. De hecho, el informe sobre el bloqueo de anuncios de PageFair y Adobe de 2015 pone de manifiesto este cambio de tendencia entre los consumidores, corroborada por el aumento del 41% registrado en el uso mundial de software para el bloqueo de anuncios en 2015.

Solo en los EE.UU., este incremento ha sido del 48%, con 45 millones de usuarios activos mensualmente durante el segundo trimestre. Este dato pretende agitar los cimientos del funcionamiento del modelo de negocio publicitario e incitar a los anunciantes a buscar nuevos modos de publicitarse online. Paralelamente, los ciberdelincuentes encontrarán otros caminos para acercarse a las víctimas, lo que supondrá el golpe definitivo para los anuncios maliciosos.

X

La legislación contra la ciberdelincuencia dará un gran paso al frente para convertirse en un movimiento genuinamente global.

X

Durante los próximos 12 meses veremos cambios más concretos como resultado de la lucha contra la ciberdelincuencia. Los buenos de la película verán más indicadores de éxito que se materializarán en leyes más rápidas, más clausuras efectuadas con éxito y más arrestos y condenas de ciberdelincuentes.

Los gobiernos y las autoridades competentes tendrán una mayor capacidad de respuesta ante los ciberdelitos. Es algo que ya se viene observando por el incesante flujo de arrestos y sentencias de varios criminales como el ciudadano ruso detrás del malware CITADEL y otro ciberdelincuente ruso declarado culpable de atacar procesadores de pago, ambos casos en septiembre de 2015. Este año se ha conseguido levantar el manto de anonimato que protegía los foros del mercado clandestino, lo que ha permitido a las autoridades desmantelar el foro de piratería Darkode.

También aumentarán la cooperación y la asociación entre diferentes agentes, como demuestra el trabajo conjunto de Trend Micro, INTERPOL, el Cyber Defense Institute y otras empresas de seguridad que se tradujo en la desarticulación de la red robot SIMDA en el mes de abril. Más recientemente, la colaboración del FBI con otros investigadores de seguridad ha conseguido desmantelar varios servidores utilizados por la red robot DRIDEX para el robo de credenciales online. También seremos testigo de una mejor cooperación internacional en materia de investigación, como la liderada por regiones de peso como EE.UU. y Europa en su reciente acuerdo sobre datos compartidos.

Internet se ha regido durante años por una legislación muy permisiva. El 2016 será el año que veremos un cambio significativo en la actitud de gobiernos y organismos reguladores con el objetivo de adoptar una función más activa en la protección de Internet y la defensa de sus usuarios. Se debatirán leyes contra la ciberdelincuencia y se aplicarán cambios en los obsoletos estándares de ciberseguridad con la intención de reforzar y optimizar la seguridad.

X