El nuevo nivel

ocho previsiones sobre seguridad para el año 2017

Aquellos que se interesen por el entorno de amenazas previsto para el año 2017 pensarán que han entrado en un terreno a la vez familiar y desconocido. Al fin y al cabo, si bien nuestras previsiones para el año 2016 se han cumplido, se han abierto las puertas para que atacantes más experimentados exploren nuevos campos de ataque. En el año 2016, la extorsión online experimentó un boom, los errores de pequeños dispositivos causaban verdaderos daños, la necesidad de contar con responsables de protección de datos (DPO) pasó a ser apremiante y las filtraciones de datos siguieron siendo tan habituales como siempre.

En 2017 surgirán nuevas amenazas. Las operaciones de secuestro informático se abrirán a rutas nuevas y más completas, ya que se producirán más variantes; serán asimismo más graves, ya que se lanzarán ataques bien planificados contra los objetivos, y tendrán mayor alcance, puesto que las amenazas irán dirigidas no solo contra objetivos de escritorio, sino también contra móviles y dispositivos inteligentes. Los ataques que amenazan el correo electrónico de las empresas (BEC), sencillos y a la vez efectivos, se convertirán en la herramienta favorita de los ciberdelincuentes y se empezarán a ver ataques que amenazan los procesos empresariales (BPC) más graves, como el robo contra el Bangladesh Bank que se saldó con un botín de 81 millones de dólares USA. Se descubrirán y se explotarán más vulnerabilidades de Adobe y de Apple. Incluso dispositivos inteligentes aparentemente inofensivos serán utilizados en ataques masivos de denegación de servicio distribuidos (DDoS), mientras que los dispositivos de Internet Industrial de las Cosas (IIoT) pasarán a estar en el punto de mira de los actores de amenazas. La fecha de aplicación del Reglamento General de Protección de Datos (GDPR) se avecina y, en sus esfuerzos por cambiar los procesos para cumplir dicho reglamento, las empresas afectadas ven cómo sus costes administrativos aumentan vertiginosamente en un momento en que tienen que hacer frente a actores de amenazas de todo el mundo empeñados en infiltrarse en sus redes por motivos diversos. Este es el nuevo nivel de amenazas digitales, para el que se necesitan soluciones de siguiente generación.

Hace ya más de dos décadas que Trend Micro se dedica al negocio de la seguridad. Nuestra supervisión en tiempo real del entorno de amenazas, así como los hallazgos del equipo de investigación avanzada de amenazas (FTR), nos han permitido entender los diversos vectores que determinan la dirección y los movimientos del entorno. Si quiere saber cuál es el panorama previsto para el año 2017 y años posteriores, siga leyendo y ampliará su información.

1
El crecimiento de los secuestros informáticos se estancará en 2017, aunque los métodos y los objetivos se diversificarán.
Para el año 2017, prevemos que el número de tipos de secuestros informáticos se incrementará un 25 %.

El año pasado acertamos cuando anunciamos que 2016 sería el "Año de las extorsiones online". La cadena de ataques de secuestros informáticos, en las que se combinaban varios métodos de entrega con cifrados infranqueables y planes basados en el miedo, transformaron a este antiguo favorito en una gallina de huevos de oro infalible para los ciberdelincuentes. La oferta de servicios para realizar secuestros informáticos, una configuración en la que un operador de secuestros informáticos alquila su infraestructura a ciberdelincuentes, animó incluso a personas sin conocimientos técnicos a introducirse en este campo. Por otra parte, ese mismo año, salieron a la luz fragmentos de código de secuestro informático, lo que permitió a los piratas informáticos crear sus propias versiones de la amenaza. A consecuencia de ello, entre enero y septiembre, el número de tipos de secuestros informáticos experimentó un apabullante crecimiento del 400 %.


Número anual de tipos de secuestros informáticos
Previsión para 2017
Figura 1: Número anual de tipos de secuestros informáticos, incluida la previsión para el año 2017

Para el año 2017, prevemos que el número de tipos de secuestros informáticos nuevos tendrá un crecimiento del 25 %, lo que supone un promedio de 15 tipos nuevos detectados cada mes. Aunque el pico se alcanzó en 2016, un período de estabilización empujará a los ciberdelincuentes que compiten entre sí a diversificar sus objetivos atacando a más víctimas y plataformas potenciales, y poniéndose objetivos de mayor envergadura.

También prevemos que los secuestros informáticos serán cada vez más habituales en las filtraciones de datos. Los ciberdelincuentes robarán primero datos confidenciales para venderlos en el mercado negro y luego instalarán software de secuestro informático para tomar como rehenes los servidores de datos, duplicando así sus beneficios.

Probablemente el secuestro informático de dispositivos móviles siga el mismo camino que el de los dispositivos de mesa, dado que la base de usuarios móviles es ahora un objetivo factible y no explorado. También es posible que los terminales informáticos que no son de mesa, como los sistemas de punto de venta (PoS) o los cajeros, sufran ataques con objetivos de extorsión.

Actualmente, apenas merece la pena tomar dispositivos inteligentes como rehenes, puesto que el trabajo que supone atacarlos supera ampliamente los posibles beneficios. Por ejemplo, es más fácil y barato cambiar la bombilla inteligente pirateada que pagar un rescate. Por otra parte, los atacantes que amenacen con tomar el control de los frenos de un coche mientras este se encuentra en la carretera pueden obtener algún beneficio, pero los esfuerzos requeridos para llevar a cabo este ataque hacen que no sea un medio de extorsión muy factible.

Ahora los empresarios tienen más claro que sufrir un ataque de secuestro informático es una posibilidad realista, además de una interrupción costosa de su negocio. Los secuestros informáticos (en entornos industriales) y los ataques de IIoT provocarán daños más graves, ya que los actores de amenazas pueden obtener más dinero a cambio, por ejemplo, de dejar que una planta de producción vuelva a estar online o de que las temperaturas de una instalación vuelvan a estar en un rango normal.

Dado que no existe una varita mágica que mantenga protegidos ininterrumpidamente los posibles objetivos contra ataques de secuestro informático, es mejor bloquear las amenazas en su origen mismo, recurriendo a soluciones de pasarela de correo electrónico o de web. Asimismo, la tecnología de aprendizaje automático es un buen complemento a la seguridad multicapa y puede incluso detectar software de secuestro informático recién creado y único.

2
Los dispositivos IoT tendrán un papel más importante en los ataques de DDoS; sistemas IIoT en los ataques con objetivo definido.
Prevemos que los ciberdelincuentes recurrirán a malware de tipo Mirai en los ataques de DDoS.

Miles de cámaras web a cuyos dueños no se les había pasado por la cabeza protegerlas se convirtieron en la base del ataque de DDoS Mirai que cerró varios sitios web de alto nivel. Los dispositivos conectados, al igual que los agentes durmientes, son inofensivos hasta que los ciberdelincuentes los activan. Para 2017, prevemos que se producirán más ciberataques que se enfrentarán directamente al Internet de las Cosas (IoT) y a sus infraestructuras relacionadas, ya sea porque los actores de amenazas usen enrutadores abiertos para ataques de DDoS masivos o un único coche conectado para llevar a cabo ataques con objetivos altamente definidos.

Prevemos que los ciberdelincuentes recurrirán a malware de tipo Mirai en los ataques de DDoS. A partir de 2017, los sitios web orientados a servicios, de noticias, empresariales o políticos se verán sistemáticamente golpeados por una afluencia masiva de tráfico HTTP para obtener dinero, manifestar la indignación de quien lo envía o como palanca para demandas específicas.

Desgraciadamente, también prevemos que los proveedores no reaccionarán a tiempo para evitar que dichos ataques se produzcan. En el ataque de Mirai, el proveedor se preocupó por recuperar las cámaras web, pero dicho ataque no lo impulsó precisamente a revisar el código de los dispositivos conectados que no habían resultado afectados pero que sí seguían siendo controlables. Así pues, los actores de amenazas siempre tendrán a su disposición una superficie de ataque potente.


Figura 2: El robot Mirai no necesitó un servidor de nombres de dominio (DNS) para dejar sin conexión a un objetivo; bloqueó a un buen número de usuarios fuera de los sitios. En teoría, las redes de robots IoT pueden ampliar los ataques de DDoS y provocar más daños.

Así como el IoT aporta mayor eficacia a los entornos industriales de, por ejemplo, fabricación o generación de energía, los actores de amenazas recurren a la efectividad de los ataques BlackEnergy como ayuda para lograr sus propios fines. Junto con el aumento significativo de las vulnerabilidades del sistema de supervisión y adquisición de datos (SCADA) (30 % de las vulnerabilidades detectadas por TippingPoint en 2016), la migración a IIoT introducirá peligros y riesgos sin precedentes para las organizaciones y los consumidores afectados en 2017.

Los proveedores que venden dispositivos y equipos inteligentes pueden abordar estos peligros proactivamente aplicando ciclos de desarrollo centrados en la seguridad. Aparte de estas opciones, los usuarios de IoT y de IIoT pueden simular estos ejemplos de ataques para determinar y proteger los puntos de error. La tecnología de defensa de red de una planta industrial debe, por ejemplo, ser capaz de detectar y rechazar paquetes de red dañinos por medio de sistemas de prevención de intrusiones en la red (IPS).

3
La sencillez de los ataques que ponen en peligro el correo electrónico de las empresas producirá un incremento de los fraudes con objetivo determinado en el año 2017.
Prevemos que la misma sencillez de los ataques BEC, en especial el fraude del Director Ejecutivo, los convertirá en el modo de ataque preferido de los ciberdelincuentes.

Cuando tienen como objetivo los departamentos financieros de todo el mundo, los BEC pueden actuar pirateando una cuenta de correo electrónico o engañando a un empleado para que transfiera fondos a la cuenta de un ciberdelincuente. El ataque en sí no tiene nada de especial, salvo, quizá, el reconocimiento requerido para obtener conocimientos sobre la mejor manera de modelar un correo electrónico creíble; aunque incluso esto puede conseguirse con una consulta bien diseñada en un motor de búsquedas.

Prevemos que la misma sencillez de los ataques BEC, en especial el fraude del Director Ejecutivo, los convertirá en el modo de ataque preferido de los ciberdelincuentes. El fraude es fácil de llevar a cabo y rentable, y no requiere una gran infraestructura. Ahora bien, los resultados medios de un ataque BEC ejecutado con éxito son de 140.000 dólares USA; es decir, el precio de una casa pequeña. Se calcula que las pérdidas totales debidas a ataques BEC en dos años ascienden a 3000 millones de dólares USA. Si estas cifras se comparan con los pagos medios de un ataque de secuestro informático, veremos que, en este último caso, la suma asciende a 722 dólares USA (en la actualidad 1 bitcoin), cifra que puede elevarse a 30.000 dólares USA en el caso de que se haya atacado la red de una empresa.

La velocidad relativa de pago es un elemento que también influirá en el aumento previsto. Basándonos en nuestra investigación sobre los ataques BEC realizada con casos de Predator Pain, vimos que los atacantes obtuvieron 75 millones de dólares USA netos en solo seis meses (PDF). Sin embargo, la lentitud de los engranajes de la justicia al abordar los delitos transfronterizos aumentará el atractivo de esta amenaza. Así, por ejemplo, han sido necesarios más de dos años para arrestar a un ciudadano nigeriano por defraudar a varias empresas desde el año 2014.

Figura 3: Comparación de los pagos medios de las empresas por ataques de secuestro informático y BEC

BEC es especialmente difícil de detectar, puesto que sus correos electrónicos no contienen rutinas ni binarios dañinos, aunque las empresas deberían poder bloquear estas amenazas en origen, usando soluciones de pasarela de correo electrónico y web. Estas tecnologías de seguridad tienen la capacidad de detectar tráfico anormal y comportamientos o componentes de archivos anormales; sin embargo, cabe decir que defender contra los fraudes cometidos mediante ataques de BEC seguirá siendo difícil si las víctimas siguen entregando voluntariamente dinero a los ciberdelincuentes. Las empresas tienen que aplicar políticas estrictas en el ámbito de las transacciones normales y extraordinarias, lo que incluye capas de verificación y umbrales para las sumas elevadas para las que debe ser preciso una mayor validación antes de ejecutar las transferencias.

4
Las amenazas a los procesos empresariales (BPC) ganarán partidarios entre los ciberdelincuentes que tengan como objetivo el sector financiero.
Prevemos que el BPC irá más allá de los departamentos financieros, aunque las transferencias financieras seguirán siendo su objetivo habitual.

El robo al Bangladesh Bank produjo pérdidas por un valor de 81 millones de dólares USA. A diferencia del BEC, que se basa en un comportamiento humano equivocado, el robo tiene su origen en una mejor comprensión de cómo las grandes instituciones procesaban las transacciones financieras. Esta categoría de ataques recibe el nombre de "BPC".

Prevemos que el BPC irá más allá de los departamentos financieros, aunque las transferencias financieras seguirán siendo su objetivo habitual. Puede darse el caso, por ejemplo, de que el atacante piratee un sistema de pedidos de compra y que los ciberdelincuentes reciban el pago destinado a los verdaderos proveedores. El pirateo de un sistema de pagos también puede llevar a una transferencia de fondos no autorizada. Asimismo, los ciberdelincuentes pueden piratear un centro de entregas y cambiar la entrega de artículos valiosos a otra dirección. Este caso ya se produjo en un incidente aislado que tuvo lugar en 2013, cuando se pirateó el sistema de contenedores de embarque del puerto de Amberes para introducir drogas.

Los ciberdelincuentes que lancen ataques de BPC seguirán estando interesados únicamente en el dinero, por lo que tras sus ataques no habrá motivos políticos ni interés en recopilar información sensible, pero los métodos utilizados en estos ataques y en ataques específicos serán similares. Si comparamos los pagos de los ataques de secuestro informático en las redes de empresa (el pago más elevado declarado hasta ahora en 2016 asciende a 30.000 dólares USA), con los promedios de los pagos por ataques de BEC (140.000 dólares USA) y la posible ganancia de los ataques de BPC (81 millones de dólares USA), es fácil entender por qué los ciberdelincuentes o incluso los actores de amenazas como Estados canallas que necesitan más fondos están más que dispuestos a optar por este camino.


Figura 4: Ataques de BEC comparados con ataques de BPC

Las empresas tienen una visión limitada de los riesgos asociados a los ataques a los procesos empresariales. Por lo general, la seguridad se centra en asegurarse de que los dispositivos no resulten pirateados. Los ciberdelincuentes sacarán el máximo provecho posible de esta percepción retrasada. Las tecnologías de seguridad como el control de aplicaciones pueden bloquear el acceso a terminales fundamentales para la empresa, mientras que la protección de puntos de conexión debe poder detectar movimientos laterales maliciosos. Por otra parte, la aplicación de políticas y prácticas rigurosas sobre la ingeniería social debe formar parte también de la filosofía de la organización.

5
Adobe y Apple superarán a Microsoft en el número de vulnerabilidades detectadas en las plataformas.
Prevemos que se detectarán más fallos de software en los productos de Adoble y Apple, además de los de Microsoft.

En 2016, Adobe superó por primera vez a Microsoft en el número de vulnerabilidades detectadas. Hasta ahora, de todas las vulnerabilidades detectadas en 2016 por medio de la Zero-Day Initiative (ZDI), 135 vulnerabilidades correspondieron a productos de Adobe y 76 a Microsoft. 2016 también fue el año en el que se detectaron más vulnerabilidades de Apple®, ya que hasta noviembre de 2016 se habían detectado 50, más de 25 en comparación con el año anterior.

Prevemos que se detectarán más fallos de software en los productos de Adoble y Apple, además de los de Microsoft. Aparte de que en los últimos años los envíos de PC de Microsoft han ido en declive, ya que aumentan los usuarios que optan por utilizar smartphones y tabletas de nivel profesional, las mitigaciones y las mejoras de seguridad del proveedor también harán que sea más difícil para los atacantes encontrar más vulnerabilidades en su SO.


Figura 5: Vulnerabilidades de Microsoft, Adobe y Apple detectadas por ZDI

La detección de vulnerabilidades de Adobe llevará inevitablemente a la creación de elementos de explotación integrados en los kits de explotación. Los kits de explotación seguirán formando parte del entorno de amenazas, aunque los ciberdelincuentes pueden encontrarles más utilidades además del secuestro informático. El uso de los kits de explotación pareció disminuir tras la detención del creador del kit de explotación Angler, pero al igual que ocurrió con BlackHole y Nuclear, otros kits de explotación ocuparán su lugar.

Probablemente el software de Apple sufra más daños debido a que ahora hay más usuarios que compran Mac. Los envíos de Mac en los Estados Unidos han aumentado, lo que ha hecho que Apple tenga una mayor porción del mercado en comparación con el año anterior. Además de las mejoras de seguridad que Microsoft ha aplicado, este aumento llamará aún más la atención de los ciberdelincuentes sobre las alternativas que no son de Microsoft. Por otra parte, como Apple ya no es compatible con iPhone® 4S, veremos que se usan más vulnerabilidades de seguridad de fallos revisados en las versiones compatibles para encontrar fallos similares que ya no se han revisado en las versiones incompatibles.

El blindaje de la vulnerabilidad es la única forma de protegerse de forma proactiva y segura contra las vulnerabilidades no revisadas y de día cero. Aunque las vulnerabilidades de seguridad son una realidad para muchas empresas, en especial para las que siguen usando software sin asistencia técnica, heredado o huérfano, el blindaje de vulnerabilidades reviste una importancia especial en el caso de software muy popular y ampliamente utilizado como los software de Apple y de Adobe. Los usuarios de productos de Apple y Adobe deben proteger también los puntos de conexión y los dispositivos móviles contra el malware que explota estas vulnerabilidades.

6
La ciberpropaganda se convertirá en la norma.
El aumento de la penetración de Internet ha supuesto una oportunidad para aquellos que están interesados en usar Internet como una barra libre para influir en la opinión pública y conseguir que esta se decante a favor de una opción u otra.

En el año 2016, cerca de la mitad de la población mundial (46,1 %) tenía acceso a Internet, ya sea por medio de smartphones, dispositivos informáticos tradicionales o quioscos de Internet. Esto significa que aumenta el número de personas que ahora tienen un acceso fácil y sencillo a la información, sin tener en cuenta su origen o su credibilidad.

El aumento de la penetración de Internet ha supuesto una oportunidad para aquellos que están interesados en usar Internet como una barra libre para influir en la opinión pública y conseguir que esta se decante a favor de una opción u otra. El resultado de las últimas elecciones en diversos países refleja el poder de los medios sociales y de varias fuentes de información online sobre las tomas de decisiones políticas.

No hace mucho, hemos visto cómo se recurre a plataformas como Wikileaks para realizar propaganda (este sitio filtró material altamente comprometedor justo una semana antes de las elecciones estadounidenses). En nuestra supervisión continua del bajo fondo ciberdelincuente, hemos visto también que atacantes con pocos conocimientos tecnológicos (los llamados script kiddies) revelan las ganancias que han obtenido por difundir noticias falsas relacionadas con las elecciones. Aseguran que ganan alrededor de 20 dólares USA al mes por dirigir tráfico hacia contenido denigrante inventado sobre los candidatos electorales. También existen grupos de ciberagentes exclusivos a los que se paga para publicar material propagandístico en los medios sociales como Facebook y LinkedIn. Aprovechan el filtro de contenido electrónico de las plataformas para multiplicar la visibilidad de su contenido.

El hecho que no se compruebe la precisión de la información unido a la avidez de aquellos que quieren compartir su información para llevar a las personas a pensar de otra manera o simplemente para apoyarse a sí mismos ha popularizado este tipo de contenido falso y los memes. A consecuencia de ello, los usuarios que no están acostumbrados a utilizar Internet y que no son conscientes de la complejidad de la red no pueden distinguir entre lo que son hechos y lo que no lo es.

Tiene que verse cuáles serán las consecuencias directas sobre Facebook y Google de la decisión de retirar los anuncios de sitios que publican noticias falsas y las repercusiones en Twitter de ampliar su función de enmudecimiento para que los usuarios puedan desactivar las conversaciones o los ataques abusivos.

Las próximas elecciones en Francia y Alemania, incluidos los movimientos posteriores similares a la retirada del Reino Unido (RU) de la Unión Europea (UE), movimiento conocido como Brexit, también sufrirán las consecuencias de lo que se comparta y lo que se haga con los medios electrónicos. Probablemente veremos cómo se usa más información delicada en actividades de ciberpropaganda obtenida en operaciones de espionaje como PawnStorm.

Las entidades que puedan navegar de forma estratégica por la opinión pública podrán obtener resultados que las favorezcan. En 2017 veremos un mayor uso, abuso y uso incorrecto de los medios sociales.

7
La aplicación y el cumplimiento del Reglamento General de Protección de Datos aumentará los costes administrativos en las organizaciones.
Prevemos que el GDPR obligará a cambiar las políticas y los procesos empresariales de las empresas afectadas, lo que supondrá un aumento significativo de sus costes administrativos.

El GDPR, la respuesta de la UE al toque de atención sobre la privacidad de los datos, no solo repercutirá sobre los Estados miembros de la UE, sino también en las entidades de todo el mundo que recopilan, procesan y almacenan los datos personales de los ciudadanos de la UE. Cuando se aplique en el año 2018, se podrá imponer a las empresas multas por incumplimiento, por un valor que puede llegar a representar el 4 % de su facturación global.

Prevemos que el GDPR obligará a cambiar las políticas y los procesos empresariales de las empresas afectadas, lo que supondrá un aumento significativo de sus costes administrativos. Entre otros, para aplicar el GDPR se necesitan los cambios siguientes:

  • Ahora es obligatorio tener un DPO (encargado de protección de los datos). Previmos que, a finales del año 2016, menos de la mitad de las empresas habrían contratado un DPO. Esta previsión ha demostrado ser precisa, lo que significa que en los gastos de las empresas habrá que dedicar una entrada a una amplia línea totalmente nueva para contratar, formar y mantener a un nuevo empleado de nivel superior.
  • Será preciso informar a los usuarios de los derechos de usuario nuevos que se les atribuyen y las empresas deberán asegurarse de que los usuarios puedan ejercerlos. Este cambio de paradigma en el que los ciudadanos de la UE son propietarios de sus propios datos personales y, por consiguiente, los datos recopilados se dejan en "préstamo" influirá en flujos de trabajo completos relacionados con datos.
  • Solo deberán recopilarse los datos mínimos necesarios para usar un servicio. Las empresas deben revisar sus prácticas de recopilación de datos para adaptarlas.

Estos cambios obligarán a las empresas a revisar de arriba abajo el procesamiento de datos para asegurarse del cumplimiento del reglamento o para establecer su cumplimiento y segregar los datos de la UE de los datos del resto del mundo. Será especialmente difícil en el caso de las empresas multinacionales, que deberán estudiar la creación de sistemas de almacenamiento de datos totalmente nuevos solo para los datos de la UE. También necesitarán revisar las cláusulas de protección de datos de sus socios de almacenamiento en la nube. Las empresas deben invertir en una solución de seguridad de datos global que incluya, entre otras cosas, la formación de los empleados, para cumplir el GDPR.

8
Surgirán nuevos actores de amenazas con nuevas tácticas de ataque a objetivos específicos que pueden evitar las soluciones antievasión actuales.
Prevemos que esta curva de aprendizaje significará que se usarán más métodos cuyo objetivo principal será evadir las tecnologías de seguridad más modernas creadas en los últimos años.

Las primeras campañas de ataques contra un objetivo determinado fueron documentadas hace cerca de diez años. Desde entonces, los actores de amenazas han adquirido más experiencia, mientras que las infraestructuras de red prácticamente no han cambiado. Después de observar los movimientos de los atacantes y su capacidad para adaptar sus herramientas, tácticas y procedimientos (TTP) para poder atacar diversas organizaciones en diversos países, prevemos que surgirán técnicas nuevas e inesperadas en los ataques que se lleven a cabo contra objetivos determinados en el futuro.

Prevemos que esta curva de aprendizaje significará que se usarán más métodos cuyo objetivo principal será evadir las tecnologías de seguridad más modernas creadas en los últimos años. Los actores de amenazas, por ejemplo, solían usar binarios, después pasaron a documentos y, en la actualidad, usan más archivos de script y por lotes. Empezarán a detectar deliberadamente los entornos aislados "sandbox" para ver si una red introduce archivos desconocidos en un recurso de entorno aislado e incluso tomarán como objetivo dichos entornos y los inundarán. También prevemos que los escapes de máquinas virtuales (VM) se convertirán en componentes muy preciados de las cadenas de explotación avanzadas. Los errores de escape de VM tendrán varias aplicaciones más de ataque en la nube, aparte de la evasión de los entornos controlados "sandbox".

Estas mejoras técnicas del lado del atacante plantearán mayores demandas a los administradores de seguridad y TI, que deberán buscar tecnologías de seguridad que los ayuden a obtener una visión completa y tener un control total de toda la red y el flujo de trabajo de los datos, a la par que les permita identificar no solo los indicadores de riesgo (IoC), sino también indicadores de ataque al iniciarse.

Las amenazas desconocidas pueden ser o bien variantes nuevas de amenazas ya conocidas, o bien amenazas totalmente desconocidas que todavía tienen que detectarse. Pueden usarse soluciones de seguridad que usan el aprendizaje automático para protegerse contra el primer tipo de amenazas, mientras que los entornos controlados de tipo "sandbox" podrán tratar el último tipo de amenazas. En vez de ceñirse a una única estrategia de seguridad, la tecnología multicapa transgeneracional elaborada gracias a la amplia experiencia obtenida supervisando, respondiendo a ataques con objetivos definidos y elaborando medidas proactivas será extremadamente importante en la lucha contra este tipo de campañas.






¿Cómo nos enfrentamos a los ataques?

El aprendizaje automático no es una tecnología de seguridad reciente, pero está destinada a convertirse en un elemento crucial en la lucha contra las amenazas de secuestro informático conocidas y desconocidas, y contra los ataques de kits de explotación, entre otros casos. El aprendizaje automático se despliega por medio de un sistema por capas con información proporcionada por humanos y ordenadores mediante algoritmos matemáticos. A continuación, se enfrenta este modelo al tráfico de red y se permite que el dispositivo tome decisiones rápidas y precisas sobre si el contenido de la red (archivos y comportamientos) es dañino o no.

Las empresas también deberán prepararse con una protección garantizada contra las técnicas antievasión que los actores de amenazas introducirán en 2017. Ante este reto, será preciso utilizar una combinación de tecnologías de seguridad diferentes (en vez de un enfoque que adopte el método de remedio infalible) que deben estar disponibles en la red para formar una defensa contra las amenazas conectada. Se trata de tecnologías como:

  • Antimalware avanzado (además de las listas negras)
  • Antispam y antiphishing en las pasarelas de mensajería y de web
  • Reputación de la web
  • Sistemas de detección de filtraciones
  • Control de aplicaciones (listas blancas)
  • Filtro de contenido
  • Blindaje de vulnerabilidades
  • Reputación de aplicaciones para dispositivos móviles
  • Prevención de intrusiones con base en la red y en el host
  • Protección mediante cortafuegos basada en el host

La mayoría de las amenazas de hoy en día pueden detectarse con las técnicas mencionadas más arriba juntas; pero para captar las amenazas "desconocidas" y de día cero, las empresas deben recurrir a la supervisión de la integridad y el comportamiento, así como a los entornos controlados "sandbox".

El IoT es a la vez cómodo y peligroso. Los usuarios de dispositivos inteligentes deben conseguir que sus enrutadores sean seguros antes de permitir que un dispositivo inteligente tenga acceso a la red a través de ellos. Además deben tener en cuenta la seguridad cuando compren un dispositivo inteligente nuevo. ¿Tiene en cuenta las autenticaciones o permite los cambios de contraseñas? ¿Puede actualizarse? ¿Puede cifrar comunicaciones de red? ¿Tiene puertos abiertos? ¿Proporciona su proveedor actualizaciones de firmware?

Las empresas que recopilan datos de ciudadanos de la UE deben esperar un aumento de sus gastos administrativos, ya que deberán hacer frente a los cambios del proceso y contratar DPO para cumplir el GDPR. La revisión a fondo de la estrategia de protección de datos de la empresa también ayudará a pasar las auditorías.

Estos nuevos retos requieren una nueva visión de la seguridad de los puntos de conexión, un enfoque de seguridad transgeneracional que combine técnicas de detección de amenazas de calidad demostrada para amenazas conocidas y desconocidas, con técnicas de protección avanzada como el control de aplicaciones, la previsión de vulnerabilidades de seguridad y el análisis de comportamiento, la detección de entornos "sandbox" y el aprendizaje automático de alta fidelidad.

Dar una formación a los empleados sobre los ataques de ingeniería social e informarlos sobre las últimas amenazas como BEC servirá para completar la filosofía de seguridad necesaria para reforzar las defensas de las empresas para el año 2017 y los años posteriores.

Descargar informe (PDF)