2022 será un año de riesgo para todo tipo de entornos por la ampliación de la superficie de ataque

  • Seguridad

Ataques de ransomware más complejos y destructivos o contra la cadena de suministro son algunas de las amenazas a las que tendrán que hacer frente las organizaciones en 2022, según el informe de predicciones de Fortinet. Las técnicas y tácticas empleadas por los ciberdelincuentes evolucionarán para sacar provecho de los nuevos perímetros.

Recomendados: 

El papel de la ciberinteligencia en la seguridad empresarial Webinar

Microsegmentación, clave para seguridad empresarial Leer

La hoja de ruta de DevOps en materia de seguridad Leer

A las tendencias sobre ciberseguridad de 2022, que ya han publicado Check Point y Sophos, se unen ahora las de Fortinet, y apuntan en la misma dirección: el próximo año será más complejo, con ataques más destructivos.

Sus expertos aseguran que "los ciberdelincuentes están evolucionando y se están pareciendo cada vez más a los grupos de APT tradicionales: están equipados con tecnología zero-day, son destructivos y pueden ampliar sus técnicas según sea necesario para lograr sus objetivos. Veremos ataques que van más allá de la red extendida, incluso en el espacio, ya que los atacantes se aprovechan de un perímetro fragmentado, equipos y herramientas aislados, así como de una superficie de ataque muy ampliada”.

Principales conclusiones
Según el informe de predicciones, los ciberdelincuentes invertirán más tiempo y esfuerzo en el reconocimiento y el descubrimiento de capacidades de Zero Day para explotar nuevas tecnologías y asegurar ataques más exitosos. Desafortunadamente, también habrá un aumento en la velocidad a la que se pueden lanzar nuevos ataques a la derecha debido a la expansión del mercado de Crime-as-a-Service.

En lo que respecta al ransomware, será más destructivo. Seguirá habiendo una expansión del crimeware y el ransomware seguirá siendo un foco de atención en el futuro. Los atacantes de ransomware ya aumentan el ruido al combinar el ransomware con la denegación de servicio distribuida (DDoS), con la esperanza de saturar a los equipos de TI para que no puedan tomar medidas de último momento para mitigar los daños de un ataque. Añadir la "bomba de relojería" del malware Wiper, que podría no sólo destrozar los datos, sino destruir los sistemas y el hardware, crea una urgencia adicional para que las empresas paguen rápidamente. El malware Wiper se hizo notar con su ataque a los Juegos Olímpicos de Tokio, por ejemplo. Dado el nivel de convergencia observado entre los métodos de ataque de los ciberdelincuentes y las amenazas persistentes avanzadas (APT), es sólo cuestión de tiempo que se añadan a los conjuntos de herramientas de ransomware capacidades destructivas como Wiper. Esto podría ser una preocupación para los entornos de perímetro emergentes, las infraestructuras críticas y las cadenas de suministro.

Por otro lado, los ciberdelincuentes seguirán utilizando la inteligencia artificial (IA) para dominar las Deepfakes. Esta tecnología ya se emplea de forma defensiva de muchas maneras, como la detección de comportamientos inusuales que pueden indicar un ataque, normalmente de botnets. Los ciberdelincuentes también están la están aprovechando para frustrar los complicados algoritmos utilizados para detectar su actividad anormal. En el futuro, esto evolucionará a medida que las Deepfakes se conviertan en una preocupación creciente porque aprovechan la IA para imitar las actividades humanas y pueden utilizarse para mejorar los ataques de ingeniería social. Además, el listón para crear Deepfakes se reducirá gracias a la continua comercialización de aplicaciones avanzadas. Éstas podrían acabar dando lugar a suplantaciones en tiempo real a través de aplicaciones de voz y vídeo que podrían pasar el análisis biométrico, lo que supondría un reto para las formas seguras de autenticación, como las huellas de voz o el reconocimiento facial.

También habrá más ataques contra sistemas de menor alcance en la cadena de suministro: En muchas redes se utiliza Linux en los sistemas informáticos de backend, y hasta hace poco, no ha sido un objetivo principal de la comunidad de ciberdelincuentes. Recientemente, se han detectado nuevos binarios maliciosos dirigidos al WSL (Windows Subsystem for Linux) de Microsoft, que es una capa de compatibilidad para ejecutar ejecutables binarios de Linux de forma nativa en Windows 10, Windows 11 y Windows Server 2019. Además, ya se está escribiendo malware de botnet para plataformas Linux. De esta manera, se amplía aún más la superficie de ataque en el núcleo de la red y aumentan las amenazas que hay que defender. Esto tiene ramificaciones para los dispositivos de tecnología operativa (OT) y las cadenas de suministro en general que se ejecutan en plataformas Linux.

El informe sostiene que también que el creciente número de dispositivos del Internet de las Cosas (IoT) y OT, así como los dispositivos inteligentes impulsados por 5G e IA, generan nuevos perímetros que permiten la creación de transacciones y aplicaciones en tiempo real. En este ámbito, los expertos de Fortinet prevén que seguirán surgiendo nuevas amenazas basadas en los perímetros, ya que los ciberdelincuentes siguen apuntando a toda la red extendida como punto de entrada para un ataque.

Esto no quiere decir que vayan a decaer las amenazas contra el perímetro tradicional de las empresas, ya que surgen nuevas amenazas, como "Living off the land”, que permite que el malware aproveche las herramientas y capacidades existentes en los entornos comprometidos para que los ataques y la exfiltración de datos parezcan una actividad normal del sistema y pasen desapercibidos.

También advierte el estudio que la Dark Web hace que los ataques a las infraestructuras críticas sean escalables. Los ciberdelincuentes han aprendido que pueden ganar dinero revendiendo online su malware como un servicio. En lugar de competir con otros que ofrecen herramientas similares, ampliarán sus carteras para incluir ataques basados en OT, especialmente a medida que la convergencia de OT y TI continúe. Pedir un rescate por estos sistemas e infraestructuras críticas será lucrativo, pero también podría tener consecuencias nefastas, como afectar a la vida y la seguridad de las personas. Dado que las redes están cada vez más interconectadas, prácticamente cualquier punto de acceso podría ser un objetivo para entrar en la red de TI. Tradicionalmente, los ataques a los sistemas de OT eran el dominio de actores de amenazas más especializados, pero tales capacidades se están incluyendo cada vez más en kits de ataque disponibles para su compra en la web oscura, lo que los pone a disposición de un conjunto mucho más amplio de atacantes.