Desde Fortinet, empresa especializada en soluciones de ciberseguridad integradas y automatizadas, han dado a conocer las predicciones de su equipo de inteligencia de amenazas e investigación, FortiGuard Labs, sobre el panorama de ciberamenazas para el próximo año. Desde los ataques avivados por el modelo de Cibercrimen como Servicio (CaaS), que evoluciona a gran velocidad, hasta los nuevos exploits en entornos no tradicionales como los dispositivos en el perímetro (Edge computing) o los mundos virtuales, el volumen, la variedad y la escala de las ciberamenazas mantendrán a los equipos de seguridad en alerta máxima en 2023 y más allá.
Para Derek Manky, Chief Security Strategist & VP Global Threat Intelligence en FortiGuard Labs “A medida que la ciberdelincuencia converge con los métodos propios de las amenazas persistentes avanzadas, los ciberdelincuentes encuentran más formas de transformar en armas las nuevas tecnologías a escala suficiente para generar una mayor disrupción y destrucción. No sólo atacan la superficie tradicional, sino lo que hay detrás de ella, es decir, tanto fuera como dentro de los entornos de red tradicionales. Al mismo tiempo, dedican más tiempo al reconocimiento, es decir, a recopilar información sobre sus objetivos, para intentar evadir la detección, la inteligencia y los controles. Todo esto significa que el riesgo cibernético sigue aumentando y que los CISO deben ser tan ágiles y metódicos como el adversario. Las organizaciones estarán mejor posicionadas para protegerse contra estos ataques con una plataforma de ciberseguridad integrada con las redes, los endpoints y la nube que permita una inteligencia de amenazas automatizada y procesable, junto con capacidades avanzadas de detección y respuesta, basadas en el comportamiento”.
Cibercrimen: a la venta en la web oscura
Teniendo en cuenta el éxito que han alcanzado los ciberdelincuentes con el Ransomware como servicio (RaaS), estarán disponibles como servicio, a través de la web oscura, un número cada vez mayor de vectores de ataque adicionales, que alimentarán una importante expansión del Cibercrimen como servicio. Más allá de la venta de ransomware y otras ofertas de Malware como Servicio, surgirán nuevos servicios a la carta. El CaaS presenta un modelo de negocio atractivo para los actores de las amenazas con distintos niveles de habilidades, ya que pueden aprovechar las ofertas llave en mano sin invertir el tiempo y los recursos necesarios para elaborar su propio plan de ataque. Y para los ciberdelincuentes experimentados, crear y vender carteras de ataques como servicio es un modelo sencillo, rápido y repetible. Además, la oferta de CaaS, en modelo de suscripción, podría potencialmente proporcionarles otras fuentes de ingresos. Además, los ciberdelincuentes comenzarán también a aprovechar vectores de ataque emergentes, como los deepfakes, e incrementarán la oferta de grabaciones de vídeos y audio y los algoritmos relacionados con ellos disponibles para comprar.
Uno de los métodos de defensa más importantes para defenderse frente a estos despliegues es la educación y formación en ciberseguridad. Muchas organizaciones ofrecen programas de formación de seguridad básicos para los empleados, pero deberían considerar la posibilidad de añadir nuevos módulos que proporcionen educación sobre la detección de los nuevos métodos de ataque, como las amenazas que permite la IA.
Índice de temas
El Metaverso y las ciudades virtuales atraen a los ciberdelicuentes
El Metaverso ofrece nuevas experiencias inmersivas en el mundo online, y las ciudades virtuales se están situando a la vanguardia a la hora de entrar en esta nueva versión de Internet impulsada por las tecnologías de realidad aumentada. Los retailers ya están incluso lanzando productos digitales para su compra en estos mundos virtuales. Aunque estos nuevos entornos online abren un mundo de posibilidades, también provocan un aumento sin precedentes de la ciberdelincuencia en un territorio desconocido. Por ejemplo, el avatar de un individuo es esencialmente una puerta de entrada a la información personal identificable (PII), lo que los convierte en objetivos principales para los atacantes. Al poder adquirirse bienes y servicios en ciudades virtuales, las carteras digitales, los intercambios de criptomonedas, las NFTs y cualquier moneda utilizada para realizar transacciones se convierten en una superficie de ataque emergente. El pirateo biométrico también podría convertirse en una posibilidad real debido a los componentes de RA (Realidad Aumentada) y RV (Realidad Virtual) de las ciudades virtuales, lo que facilitaría que un ciberdelincuente robara el mapeo de huellas dactilares, los datos de reconocimiento facial o los escaneos de retina y los utilizara con fines maliciosos. Además, las aplicaciones, los protocolos y las transacciones dentro de estos entornos también son posibles objetivos para los adversarios.
Independientemente de que trabajemos, aprendamos o vivamos experiencias inmersivas desde cualquier lugar, es esencial contar con una solución de detección y respuesta avanzada para los endpoints (EDR) que permita el análisis, la protección y la mitigación del ataque en tiempo real.
Los cibercriminales contratan detectives para ser más eficaces en sus ataques
Otro aspecto de cómo el cibercrimen organizado plantea estrategias de ataque más eficaces guarda relación con el futuro del reconocimiento. A medida que los ataques se vuelvan más selectivos, los actores de las amenazas probablemente contratarán “detectives” en la web oscura para reunir información sobre un objetivo concreto antes de lanzar su ataque. Al igual que la información que se puede obtener al contratar a un investigador privado, las ofertas de Reconocimiento como Servicio pueden ofrecer modelos de ataque que incluyan el esquema de seguridad de una organización, el personal de ciberseguridad clave, el número de servidores que tienen, las vulnerabilidades externas conocidas e incluso las credenciales comprometidas para la venta, o ayudar a los cibercriminales a realizar un ataque dirigido y efectivo.
Estos ataques impulsados por el modelo de CaaS será importante actuar en la fase de Reconocimiento. Atraer a los ciberdelincuentes con tecnología de engaño será una forma útil no sólo de contrarrestar el RaaS, sino también el CaaS en esta fase. El engaño junto con el servicio de protección de riesgos digitales (DRP), puede ayudar a las organizaciones a conocer al enemigo y conseguir ventaja.
La automatización impulsará el blanqueo de capitales
Para hacer crecer a las organizaciones cibercriminales, se emplean mulas que son utilizadas, a sabiendas o no, para ayudar a blanquear el dinero. El blanqueo se realiza normalmente a través de servicios de transferencia anónimos o mediante intercambios de criptomonedas para evitar su detección. La creación de campañas de reclutamiento de mulas ha sido históricamente un proceso largo, ya que los ciberdelincuentes hacen todo lo posible para crear webs de organizaciones falsas y las consiguientes ofertas de empleo para que sus negocios parezcan legítimos.
En breve, veremos cómo los ciberdelincuentes utilizan machine learning (ML) para la captación, lo que les ayudará a identificar mejor a las potenciales mulas y a reducir el tiempo que se tarda en encontrar a estos reclutas. Las campañas manuales de captación de mulas serán reemplazadas por servicios automatizados que mueven el dinero a través de capas de intercambios de criptomonedas, haciendo que el proceso sea más rápido y complicado de rastrear. El Blanqueo de Dinero como Servicio (LaaS) podría convertirse rápidamente en la principal práctica dentro del modelo de CaaS. Y para las organizaciones o individuos que sean víctimas de este tipo de ciberdelincuencia, el paso a la automatización significa que el lavado de dinero será más difícil de rastrear, disminuyendo las posibilidades de recuperar los fondos robados.
Ahora más que nunca será importante buscar pistas sobre futuros métodos de ataque para ayudar a prepararse antes de que estos se produzcan. Los servicios DRP son fundamentales para realizar evaluaciones de la superficie de la amenaza externa, encontrar y remediar los problemas de seguridad y ayudar a obtener información contextual sobre las amenazas actuales e inminentes antes de que se produzca un ataque.
La comercialización del malware Wiper permitirá ataques más destructivos
El malware de borrado de disco – Wiper – ha vuelto de forma espectacular en 2022: se han introducido nuevas variantes de este método de ataque que surgió hace una década. De acuerdo con el Índice Global de Amenazas de FortiGuard Labs del primer semestre de 2022, se ha producido un aumento del malware de borrado de disco en relación con la guerra de Ucrania, pero también se ha detectado en otros 24 países, y no solo de Europa. Su aumento y prevalencia es alarmante porque podría ser sólo el comienzo de algo más destructivo.
Más allá de la combinación de un gusano informático con el malware wiper, e incluso con el ransomware para obtener el máximo impacto, la preocupación en el futuro es la comercialización de este malware. Aunque puede haber sido desarrollado y desplegado por los Estado-nación, será reutilizado por los grupos criminales y utilizado como modelo de CaaS. Dada su gran disponibilidad en combinación con el exploit adecuado, el malware wiper podría causar una destrucción masiva en un corto período de tiempo, dada la naturaleza organizada de la actual ciberdelincuencia. Por ello es primordial el tiempo de detección, y la velocidad a la que los equipos de seguridad pueden remediarlo.
El uso del sandboxing en línea impulsado por IA es un buen punto de partida para protegerse contra las sofisticadas amenazas de ransomware y wiper malware. Permite la protección en tiempo real contra estos ataques, ya que puede garantizar que, si se integra con una plataforma de ciberseguridad, solo se envíen archivos benignos a los dispositivos finales.
Implicaciones de estas tendencias de ataque para los profesionales de la ciberseguridad
El mundo de la ciberdelincuencia y sus métodos de ataque en general siguen escalando a gran velocidad. La buena noticia es que muchas de las tácticas que utilizan para ejecutar estos ataques son conocidas, lo que posiciona mejor a los equipos de seguridad para protegerse de ellos.
Las soluciones de seguridad deben ser mejoradas con aprendizaje automático (ML) e inteligencia artificial (AI) para que puedan detectar patrones de ataque y detener las amenazas en tiempo real. Sin embargo, una colección de soluciones de seguridad puntuales no es eficaz en el panorama actual. Una plataforma de malla de ciberseguridad amplia, integrada y automatizada es esencial para reducir la complejidad y aumentar la resistencia de la seguridad. Puede permitir una mayor integración, una mejor visibilidad y una respuesta más rápida, coordinada y eficaz a las amenazas en toda la red.