5 amenazas cibernéticas emergentes que hay que vigilar en 2021
¿Cuál fue la fuerza impulsora detrás de la estrategia digital de tu empresa en 2020? ¿Fue el gerente? Probablemente no.
En realidad, para la mayoría de las organizaciones, fue el COVID-19. Tiempo atrás, muchas empresas afirmaban: “trabajar desde casa no es una opción para nosotros” o “no estamos interesados en trasladar las operaciones a la nube”.
Entonces todo cambió. La pandemia provocó un cambio masivo hacia el trabajo a distancia. Para muchas empresas, esto ni siquiera era una opción, era un caso de ‘continuar o morir’.
Para abril de 2020, casi la mitad de la fuerza laboral estadounidense y en muchos países trabajaba desde casa. A medida que las organizaciones y los empleados se sientan más cómodos con esto, no deberíamos esperar un retorno completo al modelo tradicional de oficina. Esto no ocurrirá en el corto plazo si es que alguna vez se hiciera. Trabajar desde cualquier lugar es la nueva forma de hacer negocios, con empleados que acceden a servicios en la nube y herramientas colaborativas. Los empleados también utilizan sistemas remotos desde redes domésticas y públicas, y no siempre a través de la seguridad de una VPN.
Este rápido cambio trae una serie de desafíos de seguridad para las empresas, y 5 tendencias dominarán el panorama de la ciberseguridad en 2021.
1. Las amenazas de ayer evolucionaron
En primer lugar, parece claro que las ciberamenazas “conocidas” como el phishing, el ransomware, los troyanos y las redes de bots seguirán siendo prominentes. Dichos ataques están cada vez más automatizados y adaptados con información personal, a menudo extraída de los sitios web de la empresa y las redes sociales. A medida que aumentan las tendencias hacia la automatización, este tipo de peligros seguirá creciendo en número y frecuencia.
Los acontecimientos actuales también pueden dar forma a estas amenazas. Vimos un aumento en los correos electrónicos de phishing durante la pandemia. Estos aprovecharon la falta de familiaridad de las víctimas con las aplicaciones de trabajo remoto o pretendiendo contener detalles de comprobaciones de estímulo muy necesarias.
A medida que se industrializan el malware y las campañas de ingeniería social, los ciberdelincuentes pueden evaluar y ajustar sus ataques. Esto en función de los resultados obtenidos hasta que tengan una amenaza verdaderamente peligrosa con una tasa de éxito considerable.
2. Ataques sin archivos
Como su nombre indica, los ataques sin archivos, un subconjunto de ataques de ‘living off the land’ (LotL). Estos ataques explotan herramientas y características ya presentes en el entorno de la víctima, no dependen de payloads basados en archivos. Y, por lo general, no generan archivos nuevos tampoco. Como resultado, tienen el potencial de volar por debajo del radar de muchas soluciones de prevención y detección.
Un ataque típico sin archivos puede comenzar con un enlace enviado por correo electrónico a un sitio web malicioso. Los trucos de ingeniería social en ese sitio pueden ejecutar herramientas del sistema, como PowerShell, que recuperan y ejecutan payloads adicionales directamente en la memoria del sistema. Detectar el uso malintencionado de herramientas integradas del sistema, a diferencia de sus muchos usos legítimos de automatización y secuencias de comandos debe ser prioridad. Es un verdadero desafío para las defensas tradicionales.
Los ataques sin archivos no son nuevos, exactamente. El uso de herramientas del sistema como puertas traseras ha existido durante décadas. No obstante, debido a la considerable tasa de éxito de la táctica sigue vigente. Además, el hecho de que aprovechar los procesos del sistema existentes puede acortar los ciclos de desarrollo de malware y por ello están aumentando rápidamente. Además, los ataques sin archivos no se limitan a organizaciones individuales.
Observamos que los atacantes apuntan cada vez más a los proveedores de servicios, abusando de su infraestructura y herramientas de gestión. Todo esto para comprometer a sus clientes.
3. Ataques a servicios remotos y en la nube
La pandemia de COVID-19 obligó a las empresas a adoptar rápidamente nuevos servicios en la nube, herramientas de acceso remoto y aplicaciones de colaboración. Sin embargo, muchas organizaciones carecían de expertos en informática con la capacitación relevante para configurar adecuadamente estas soluciones. Esto sin mencionar la falta de tiempo para examinar adecuadamente las herramientas disponibles o el presupuesto para trabajar con proveedores probados. Al no hacerlo, muchos optaron por gravitar hacia alternativas gratuitas de calidad cuestionable.
Las aplicaciones de servidor, los contenedores y el almacenamiento en la nube no siempre están bien protegidos. Y, los ciberdelincuentes los consideran objetivos principales con una gran superficie de ataque. Poner en peligro un servicio puede exponer a decenas de organizaciones en sentido descendente: una variante del ataque a la cadena de suministro. Por ejemplo, eludir la seguridad de la organización. Esto al infiltrarse en niveles más altos en la red de suministro y desplegar payloads a través de las herramientas en las que confías. La mala configuración solo aumenta el riesgo, exponiendo más servicios a los atacantes. Tales escenarios conducirán inevitablemente a violaciones de datos.
4. Compromisos de los procesos comerciales
A veces, los ciberdelincuentes identifican vulnerabilidades no en las aplicaciones, sino en el flujo de procesos de las operaciones comerciales. Estamos viendo un aumento en los compromisos de los procesos comerciales. Ahí los actores de amenazas se aprovechan de las debilidades operativas sistémicas para obtener ganancias financieras.
Los ataques a los procesos comerciales exigen un conocimiento considerable de los sistemas y operaciones de las víctimas. A menudo comienzan con un sistema comprometido en la red objetivo, a través del cual los ciberdelincuentes pueden observar los procesos de la organización. Así, identifican gradualmente los eslabones débiles.
Estos ataques suelen ser bastante discretos y es posible que las organizaciones afectadas no los detecten de manera oportuna. Esto especialmente si el proceso comprometido continúa funcionando “como se esperaba” a pesar de producir resultados diferentes. Por ejemplo, los atacantes podrían desviar fondos comprometiendo una herramienta de facturación automática y cambiando el número de cuenta bancaria incluido en cada factura futura.
5. Payloads personalizados
Como hemos visto en el contraste entre el phishing y el spear-phishing. Los ataques dirigidos, si bien requieren un esfuerzo adicional por parte de los actores de amenazas, son considerablemente más efectivos para comprometer sistemas y datos. Este enfoque está empezando a volverse mucho más sofisticado.
Los ciberdelincuentes pueden descubrir mucho sobre tu red en los sitios web de la empresa, las redes sociales. Y, por supuesto, al comprometer los sistemas individuales de la red.
Las herramientas omnipresentes de doble uso como PowerShell y WMI permiten a los atacantes muchas acciones. Por ejemplo, obtener más información sobre las herramientas y los servicios en los que confía tu empresa sin activar señales de alerta. Armados con el conocimiento de estas herramientas y las vulnerabilidades presentes en cada una los ciberdelincuentes pueden lograr muchas cosas. Por ejemplo, pueden construir payloads diseñados específicamente para derribar no solo una red, sino también tu red.
Enfoques para 2021
A medida que los ciberdelincuentes continúan evolucionando sus tecnologías y estrategias de ataque deben tomarse medidas. Las organizaciones deben ajustar sus enfoques a la ciberseguridad y la protección de datos. El software antivirus a nivel de sistema no es suficiente para combatir las amenazas cibernéticas modernas. La copia de seguridad de archivos tampoco es suficiente para protegerse contra la interrupción digital por parte de actores malintencionados.
Las empresas necesitan proteger todos sus flujos de trabajo, datos y aplicaciones en varios dominios. Eso requiere soluciones integradas que automaticen la supervisión del sistema, las evaluaciones de vulnerabilidades y la protección de terminales necesarias para detener las amenazas emergentes.
Seamos realistas: 2020 ha sido un año desafiante para los profesionales de la ciberseguridad y la informática. La mayoría ha superado con éxito los cambios masivos. No obstante, a menos que comiencen a prepararse para la próxima ola de amenazas, 2021 puede ser igual de difícil.