2022 traerá ciberataques dirigidos a todo tipo de entornos
Las técnicas avanzadas de ciberdelincuencia persistente suponen ataques más destructivos de ransomware y de la cadena de suministro.
Fortinet, líder global en soluciones de ciberseguridad integradas y automatizadas, ha desvelado las predicciones de su equipo de inteligencia de amenazas, FortiGuard Labs referente al panorama de ciberamenazas previsto para 2022. Una de sus principales conclusiones es que los ciberadversarios siguen evolucionando y ampliando sus métodos de ataque para dirigirse a nuevas áreas de explotación que abarcan toda la superficie de ataque, especialmente aprovechando el teletrabajo. Buscan maximizar las oportunidades desde el perímetro habilitado para el 5G, hasta la red central, el hogar e incluso el internet satelital en el espacio.
Para Derek Manky, Chief, Security Insights & Global Threat Alliances en FortiGuard Labs, "Los ciberdelincuentes están evolucionando y se están pareciendo cada vez más a los grupos de APT tradicionales: están equipados con tecnología zero-day, son destructivos y pueden ampliar sus técnicas según sea necesario para lograr sus objetivos. Veremos ataques que van más allá de la red extendida, incluso en el espacio, ya que los atacantes se aprovechan de un perímetro fragmentado, equipos y herramientas aislados, así como de una superficie de ataque muy ampliada. Estas amenazas dejarán a los ya abrumados equipos de TI luchando por cubrir todas las posibles vías de ataque. Para combatir estas amenazas en evolución, las organizaciones necesitan adoptar una plataforma integrada como Security Fabric basada en una arquitectura de malla de ciberseguridad".
Estos son los aspectos más destacados y las conclusiones de las predicciones de FortiGuard Labs para el año que viene:
Aumenta el reconocimiento previo al ataque para maximizar amenazas como el ransomware
Los ataques se analizan, a menudo, en términos de amenazas a la izquierda y a la derecha cuando se ven a través de una cadena de ataque como el marco ATT&CK de MITRE. En el lado izquierdo de la cadena de ataque están los esfuerzos realizados antes del ataque, que incluyen la planificación, el desarrollo y las estrategias de armamento. A la derecha se encuentra la fase más conocida de ejecución de los ataques. FortiGuard Labs predice que los ciberdelincuentes invertirán más tiempo y esfuerzo en el reconocimiento y el descubrimiento de capacidades de Zero Day para explotar nuevas tecnologías y asegurar ataques más exitosos. Desafortunadamente, también habrá un aumento en la velocidad a la que se pueden lanzar nuevos ataques a la derecha debido a la expansión del mercado de Crime-as-a-Service.
• El ransomware será más destructivo: Seguirá habiendo una expansión del crimeware y el ransomware seguirá siendo un foco de atención en el futuro. Los atacantes de ransomware ya aumentan el ruido al combinar el ransomware con la denegación de servicio distribuida (DDoS), con la esperanza de saturar a los equipos de TI para que no puedan tomar medidas de último momento para mitigar los daños de un ataque. Añadir la "bomba de relojería" del malware Wiper, que podría no sólo destrozar los datos, sino destruir los sistemas y el hardware, crea una urgencia adicional para que las empresas paguen rápidamente. El malware Wiper se hizo notar con su ataque a los Juegos Olímpicos de Tokio, por ejemplo. Dado el nivel de convergencia observado entre los métodos de ataque de los ciberdelincuentes y las amenazas persistentes avanzadas (APT), es sólo cuestión de tiempo que se añadan a los conjuntos de herramientas de ransomware capacidades destructivas como Wiper. Esto podría ser una preocupación para los entornos de perímetro emergentes, las infraestructuras críticas y las cadenas de suministro.
• Los ciberdelincuentes utilizan la IA para dominar las Deepfakes: La Inteligencia Artificial (IA) ya se utiliza de forma defensiva de muchas maneras, como la detección de comportamientos inusuales que pueden indicar un ataque, normalmente de botnets. Los ciberdelincuentes también están aprovechando la IA para frustrar los complicados algoritmos utilizados para detectar su actividad anormal. En el futuro, esto evolucionará a medida que las Deepfakes se conviertan en una preocupación creciente porque aprovechan la IA para imitar las actividades humanas y pueden utilizarse para mejorar los ataques de ingeniería social. Además, el listón para crear Deepfakes se reducirá gracias a la continua comercialización de aplicaciones avanzadas. Éstas podrían acabar dando lugar a suplantaciones en tiempo real a través de aplicaciones de voz y vídeo que podrían pasar el análisis biométrico, lo que supondría un reto para las formas seguras de autenticación, como las huellas de voz o el reconocimiento facial.
• Más ataques contra sistemas de menor alcance en la cadena de suministro: En muchas redes se utiliza Linux en los sistemas informáticos de back-end, y hasta hace poco, no ha sido un objetivo principal de la comunidad de ciberdelincuentes. Recientemente, se han detectado nuevos binarios maliciosos dirigidos al WSL (Windows Subsystem for Linux) de Microsoft, que es una capa de compatibilidad para ejecutar ejecutables binarios de Linux de forma nativa en Windows 10, Windows 11 y Windows Server 2019. Además, ya se está escribiendo malware de botnet para plataformas Linux. De esta manera se amplía aún más la superficie de ataque en el núcleo de la red y aumentan las amenazas que hay que defender. Esto tiene ramificaciones para los dispositivos de tecnología operativa (OT) y las cadenas de suministro en general que se ejecutan en plataformas Linux.
Los ciberdelincuentes omnipresentes: en el bolsillo, en el espacio y en el hogar
En el futuro, el reto para los defensores va mucho más allá que el creciente número de ataques o la evolución de las técnicas de los ciberadversarios. Se están explorando nuevas áreas que abarcan una superficie de ataque aún más amplia. Una situación que será especialmente difícil porque, al mismo tiempo, las organizaciones de todo el mundo seguirán ampliando sus redes con nuevos perímetros de red impulsados por el Trabajo desde Cualquier Lugar (WFA, por sus siglas en inglés), el aprendizaje remoto y los nuevos servicios en la nube. Del mismo modo, en el hogar, el aprendizaje y los juegos online son actividades habituales y cada vez más populares. Este aumento de la conectividad rápida, en todo lugar y momento, presenta una enorme oportunidad de ataque para los ciberdelincuentes. Los actores de las amenazas destinarán importantes recursos a atacar y explotar los entornos emergentes de los perímetros y "en cualquier lugar" de la red extendida, en lugar de dirigirse únicamente a la red principal.
• La ciberdelincuencia tiene como objetivo el espacio: FortiGuard Labs prevé ver nuevas pruebas de concepto (POC) de amenazas dirigidas a las redes satelitales durante el próximo año, ya que el acceso a Internet basado en satélites sigue creciendo. Los mayores objetivos serán las organizaciones que dependen de la conectividad basada en satélites, como los juegos online o la entrega de servicios críticos a lugares remotos, así como las delegaciones que trabajan en remoto, los oleoductos o los cruceros y las aerolíneas. Esto también ampliará la superficie potencial de ataque a medida que las organizaciones añadan redes satelitales para conectar a sus redes interconectadas sistemas que antes estaban fuera de la red, como los dispositivos OT remotos. A medida que esto ocurra, es probable que se produzcan otros ataques, como el ransomware.
• Proteja su monedero digital: Secuestrar las transferencias electrónicas se ha convertido en una técnica cada vez más difícil para los ciberdelincuentes, ya que las instituciones financieras cifran las transacciones y exigen una autenticación de múltiples factores (MFA). Los monederos digitales, en cambio, pueden ser a veces menos seguros. Aunque el monedero tradicional no sea tan rentable, esta circunstancia podría cambiar a medida que las empresas empiecen a utilizar cada vez más los monederos digitales como moneda para las transacciones online. Cuando esto ocurra, es probable que se diseñe más malware específicamente para atacar las credenciales almacenadas y vaciar las carteras digitales.
• Los eSports se convierten en objetivo: Los eSports son competiciones de videojuegos multijugador, en las que suelen participar jugadores y equipos profesionales. Es una industria en auge que va camino de superar los mil millones de dólares de ingresos este año. Los eSports son un objetivo atractivo para los ciberdelincuentes, ya sea mediante ataques DDoS, ransomware, robos financieros y de transacciones, o ataques de ingeniería social, ya que requieren una conectividad constante y a menudo se juegan fuera de las redes domésticas poco seguras o en situaciones con gran cantidad de acceso Wi-Fi abierto. Debido a la naturaleza interactiva de los juegos, también son objetivos de señuelos y ataques de ingeniería social. Dado su ritmo de crecimiento y su creciente interés, es probable que los eSports y los juegos online sean grandes objetivos de ataque en 2022.
Viviendo fuera del nuevo espacio del perímetro
El creciente número de dispositivos del Internet de las Cosas (IoT) y OT, así como los dispositivos inteligentes impulsados por 5G y AI generan nuevos perímetros que permiten la creación de transacciones y aplicaciones en tiempo real. Los expertos de Fortinet prevén que seguirán surgiendo nuevas amenazas basadas en los perímetros, ya que los ciberdelincuentes siguen apuntando a toda la red extendida como punto de entrada para un ataque. Estos trabajarán para maximizar cualquier brecha de seguridad potencial creada por los perímtros inteligentes y los avances en la potencia informática con el fin de crear amenazas avanzadas y más destructivas a una escala sin precedentes. Y a medida que los dispositivos del perímetro se vuelvan más potentes con más capacidades nativas, los nuevos ataques se diseñarán para "vivir fuera del perímetro". Es probable que se produzca un aumento de los ataques dirigidos a OT, concreatamente en el perímetro, a medida que continúe la convergencia de las redes TI y OT.
• Los cibercriminales prosperan en el espacio del perímetro: Está surgiendo una nueva amenaza basada en el perímetro. "Living off the land” permite que el malware aproveche las herramientas y capacidades existentes en los entornos comprometidos para que los ataques y la exfiltración de datos parezcan una actividad normal del sistema y pasen desapercibidos. Los ataques Hafnium a los servidores Microsoft Exchange utilizaron esta técnica para vivir y persistir en los controladores de dominio. Los ataques "living off the land" son eficaces porque utilizan herramientas legítimas para llevar a cabo sus nefastas actividades. La combinación de vivir fuera de la tierra y los troyanos de acceso al perímetro (EAT por sus siglas en inglés) podría significar que los nuevos ataques se diseñarán para vivir fuera del perímetro, no sólo de la tierra, a medida que los dispositivos del perímetro se vuelvan más potentes, con más capacidades nativas y, por supuesto, con más privilegios. El malware de perímetro podría vigilar las actividades y los datos y luego robar, secuestrar o incluso pedir un rescate por sistemas, aplicaciones e información críticos, evitando ser detectados.
• La Dark Web hace que los ataques a las infraestructuras críticas sean escalables: Los ciberdelincuentes han aprendido que pueden ganar dinero revendiendo online su malware como un servicio. En lugar de competir con otros que ofrecen herramientas similares, ampliarán sus carteras para incluir ataques basados en OT, especialmente a medida que la convergencia de OT y TI continúe. Pedir un rescate por estos sistemas e infraestructuras críticas será lucrativo, pero también podría tener consecuencias nefastas, como afectar a la vida y la seguridad de las personas. Dado que las redes están cada vez más interconectadas, prácticamente cualquier punto de acceso podría ser un objetivo para entrar en la red de TI. Tradicionalmente, los ataques a los sistemas de OT eran el dominio de actores de amenazas más especializados, pero tales capacidades se están incluyendo cada vez más en kits de ataque disponibles para su compra en la web oscura, lo que los pone a disposición de un conjunto mucho más amplio de atacantes.
Una plataforma de seguridad basada en arquitectura de malla para combatir las nuevas amenazas
El perímetro se ha fragmentado más y los equipos de ciberseguridad suelen operar en silos. Al mismo tiempo, muchas organizaciones están migrando a un modelo multicloud o híbrido. Todos estos factores crean una tormenta perfecta para que los ciberdelincuentes adopten un enfoque holístico y sofisticado. Una arquitectura de malla de ciberseguridad integra controles de seguridad en, y a través de, redes y activos ampliamente distribuidos. Junto con un enfoque de tejido de seguridad, las organizaciones pueden beneficiarse de una plataforma de seguridad integrada que protege todos los activos en las instalaciones, en el centro de datos y en la nube o en el perímetro. Los defensores tendrán que planificar con antelación aprovechando el poder de la IA y el aprendizaje automático (ML) para acelerar la prevención, detección y respuesta a las amenazas. Las tecnologías avanzadas para endpoints, como la detección y respuesta de endpoints (EDR), pueden ayudar a identificar las amenazas maliciosas basándose en el comportamiento.
Asimismo, el acceso a la red de confianza cero (ZTNA) será fundamental para el acceso seguro a las aplicaciones con el fin de ampliar las protecciones a los teletrabajadores y a los estudiantes online, mientras que la SD-WAN segura es importante para proteger el perímetro en evolución de la WAN. Además, la segmentación seguirá siendo una estrategia fundamental para restringir el movimiento lateral de los ciberdelincuentes dentro de una red y mantener las brechas restringidas a una parte más pequeña de la red. La inteligencia sobre amenazas procesable e integrada puede mejorar la capacidad de una organización para defenderse en tiempo real, ya que la velocidad de los ataques sigue aumentando. Mientras tanto, en todos los sectores y tipos de organizaciones, los datos compartidos y la colaboración pueden permitir respuestas más eficaces y predecir mejor las técnicas futuras para disuadir los esfuerzos de los adversarios. Alinear las fuerzas a través de la colaboración debe seguir siendo una prioridad para interrumpir los esfuerzos de la cadena de suministro de los ciberdelincuentes antes de que intenten repetir ataques exitosos.