Este ha sido sin duda otro año extremadamente ajetreado para los CISO. Los ciberataques han golpeado a organizaciones de todo el mundo. Ransomware, ciberdelincuentes financiados por estados y vulnerabilidades de la cadena de suministro fueron solamente algunos de los muchos ejemplos de amenazas. Algunas tendencias de ciberseguridad que merece la pena destacar:
- El ransomware continuó causando estragos, ya fuera para obligar a una institución educativa con 157 años de antigüedad a cerrar sus puertas, declarar la emergencia nacional en Costa Rica o que un importante fabricante de coches detuviera las operaciones durante todo un día.
- La infraestructura crítica siguió estando en el punto de mira de los ciberdelincuentes: hackers rusos que atacan aeropuertos de EE. UU. y ciberdelincuentes financiados por China que aprovechan vulnerabilidades en las telecomunicaciones.
- La amenaza contra la cadena de suministro digital se intensificó, y pudimos ver ataques contra la tecnología de administración de identidades y la autenticación.
Con 2023 a la vuelta de la esquina, los CISO y los consejos de administración deberían prepararse para afrontar mayores requisitos, sobre todo a medida que aumentan las tensiones globales, el crecimiento de la economía mundial es más volátil y continúan los desafíos asociados a la plantilla laboral. El equipo del CISO residente de Proofpoint mira hacia el nuevo año y ofrece algunas opiniones sobre cómo hacer frente a lo que nos espera.
1. Las presiones mundiales agravarán el riesgo sistémico, mientras la desaceleración económica y los conflictos físicos tendrán un efecto expansivo en todo el ecosistema.
Nuestro ecosistema digital, más complejo e interconectado, agrava las preocupaciones existentes y suscita nuevos temores sobre el riesgo sistémico, donde la debilidad de cualquier eslabón pone en riesgo la fuerza del conjunto. El informe reciente de Proofpoint Cybersecurity: The 2022 Board Perspective (Ciberseguridad: el punto de vista de los consejos de administración en 2022) reveló que el 75 % de los consejos de administración creen conocer claramente el riesgo sistémico dentro de sus organizaciones. No obstante, la fluctuante inestabilidad mundial complica enormemente comprender todo el alcance de las amenazas de ciberseguridad para nuestros ecosistemas. En consecuencia, el riesgo sistémico requerirá atención permanente.
La tensión generada por la recesión económica (pérdida de puestos de trabajo, subida de tipos de interés, niveles de vida más bajos e inflación) pasa factura tanto económica como emocional a los empleados y a sus familias. La desconcentración y el descontento en el lugar de trabajo reina entre los empleados, algo que facilita a los ciberdelincuentes (o agentes de amenaza) aprovechar las debilidades humanas. Ellos se nutren de esas preocupaciones, y redoblan esfuerzos para aprovecharse del estado emocional de los empleados. Conflictos físicos, como la guerra de Rusia contra Ucrania, empeoran las turbulencias mundiales generales, facilitando nuevos ciberataques y ampliando el riesgo sistémico de las organizaciones.
2. La comercialización de las herramientas de hacking disponibles en la Internet oscura (Dark Web) impulsan el ciberdelito.
En los últimos años, hemos asistido a la comercialización de los kits de herramientas de hacking para ejecutar ransomware en el submundo de la ciberdelincuencia. El ransomware como servicio se ha convertido en una lucrativa actividad en la Internet oscura (Dark Web), facilitando la proliferación de los ataques de ransomware. Las nuevas herramientas de la Internet oscura hacen posible los ataques de ransomware con poca o ninguna sofisticación técnica, abriendo la puerta de la ciberdelincuencia a cualquiera con un navegador Tor y un poco de tiempo.
Con el auge del comercio en la Internet oscura, prevemos que se produzca una nueva ola de ataques fruto de esta comercialización. Esperamos ver más herramientas para ataques de smishing y usurpaciones de dispositivos móviles, complicando nuestra capacidad para detener a estos ciberdelincuentes, a pesar de contar con menos conocimientos técnicos.
3. El robo de datos se convertirá en una parte esencial de todos los ataques de ransomware que tengan éxito, ya que los modelos de negocio de los ciberdelincuentes se mueven hacia la extorsión doble.
El ransomware se ha convertido en endémico, y ninguna organización es inmune a esta amenaza. Según el informe State of the Phish 2022 de Proofpoint, el 68 % de las organizaciones han experimentado al menos una infección de ransomware. Y lo que es más preocupante, sin embargo, es la evolución a lo largo de los últimos tres años del cifrado de datos hacia lo que se conoce como “doble extorsión”: cifrado y filtración de datos.
Solo una banda utilizó la táctica de doble extorsión en 2019. En el primer trimestre de 2021, el 77 % de los ataques incluían amenazas para filtrar datos. La última tendencia es la triple extorsión, en la que los ciberdelincuentes buscan pagos no solo de la organización atacada, sino de cualquier otra entidad a la que pudiera afectar la fuga de datos. Este movimiento indica que los ciberdelincuentes son cada vez más atrevidos y que su estrategia de monetización es cada vez más agresiva. Parece inevitable que se produzca un cambio generalizado respecto a los ataques de cifrado simple.
4. Los ataques a la tecnología de autenticación multifactor (MFA) aumentarán a medida que los ciberdelincuentes sigan buscando nuevas vías de romper las defensas y aprovechar vulnerabilidades en el comportamiento humano.
Los ciberdelincuentes siguen innovando a medida que mejora su conocimiento de comportamientos humanos y encuentran formas nuevas y más fáciles de conseguir las credenciales. El sector de la ciberseguridad ha impulsado la autenticación multifactor, que se ha convertido en una práctica de seguridad estándar. Y por tanto, da comienzo un nuevo juego del ratón y el gato: cuantas más organizaciones incorporen MFA como capa de seguridad, más ciberdelincuentes se inclinarán por intentar aprovechar la “fatiga” de MFA entre los usuarios. Hemos observado pruebas de esta evolución en titulares recientes y vemos el inicio de una nueva tendencia.
La amenaza en sí no es nueva (nuestros investigadores constataron vulnerabilidades que eludían la tecnología MFA hace dos años), pero vemos más herramientas para ejecutar estos ataques, como kits de phishing para robar tokens. Esta amenaza es más desafiante porque aprovecha no solo vulnerabilidades tecnológicas, sino humanas. Los ciberdelincuentes aprovechan a menudo el exceso de notificaciones, bombardeando a un empleado con solicitudes de aprobación hasta que termina cediendo.
5. La cadena de suministro se instrumentalizará cada vez más, aprovechando nuestra confianza en proveedores y suministradores externos.
SolarWinds y Log4j pueden haber sido llamadas de atención, pero seguimos muy lejos de disponer de las herramientas adecuadas para protegernos frente a esos tipos de vulnerabilidades de la cadena de suministro digital. Una encuesta del Foro Económico Mundial reveló que casi el 40 % de las organizaciones sufrieron efectos negativos como consecuencia de incidentes de ciberseguridad en su cadena de suministro. Casi todas expresaron preocupación por la resiliencia de las pequeñas y medianas empresas dentro de su ecosistema.
Prevemos un aumento de estas preocupaciones en 2023, cuando nuestra confianza en los partners y proveedores externos se convierta en uno de los principales canales de ataque. Especialmente preocupantes resultan las API, ya que los ciberdelincuentes son conscientes de nuestro nivel de dependencia. Lo que empeora la situación es que muchas organizaciones carecen de prácticas sólidas para integrar y administrar las API de forma segura, lo que facilita enormemente el trabajo de los ciberdelincuentes. Prevemos más tensión en las relaciones de la cadena de suministro en general a medida que las organizaciones intenten intensificar los procesos de diligencia debida de sus proveedores para conocer mejor los riesgos, mientras los proveedores sufren la tensión por el abrumador escrutinio de sus procesos.
6. La tecnología deepfake jugará un papel destacado en los ciberataques, aumentando el riesgo de fraude de identidad, estafa financiera y desinformación.
La disponibilidad de la tecnología deepfake es cada vez más más generalizada. Gracias a los generadores de inteligencia artificial entrenada en ingentes bases de datos de imágenes, cualquiera puede generar un deepfake con muy pocos conocimientos técnicos. Aunque la producción del modelo avanzado tiene sus fallos, la tecnología mejora permanentemente, y los ciberdelincuentes empezarán a crear relatos irresistibles.
Los deepfake están tradicionalmente asociados al fraude y a las estafas Business Email Compromise (BEC), pero prevemos que su uso se extienda a otro tipo de engaños. Imagine el caos para el mercado financiero cuando una CEO o CFO falso de una empresa realice una declaración importante que provoque la compra o venta masiva de acciones. O piense en cómo los malhechores podrían aprovechar la combinación de autenticación biométrica y deepfakes en el fraude de identidad o la apropiación de cuentas. Estos son solo algunos ejemplos, y todos sabemos que los ciberdelincuentes pueden ser muy creativos.
7. El creciente escrutinio normativo a nivel de los consejos de administración seguirá modificando la función del CISO y aumentando las exigencias y requisitos.
La propuesta de requisitos de comunicación de la Securities and Exchange Commission (SEC) de EE. UU. para aumentar la transparencia obligará a las empresas a mejorar la supervisión e incrementar la experiencia en ciberseguridad en el propio consejo. Tendrán nuevos requisitos y exigencias para sus CISO, lo que provocará un cambio en su función tradicional:
Sin embargo, el reciente veredicto de la fuga de datos en Uber en un tribunal federal de EE. UU. sienta un peligroso precedente que anima a los consejos de administración a transferir la responsabilidad directamente a los CISO. Nuestro sector ya tiene problemas para reclutar profesionales de ciberseguridad, luego este veredicto podría tener un efecto paralizador en cualquier esfuerzo de hacer progresos en la batalla por el talento.
Cuando solo la mitad de los CISO reconocen haberse reunido cara a cara con los miembros del consejo de administración, las crecientes expectativas y el estrés de una posible responsabilidad personal en caso de un ciberataque no hará sino tensionar todavía más la relación CISO-consejo de administración, con enormes implicaciones para la ciberseguridad de una organización.
Todas las predicciones de nuestro equipo apuntan en la misma dirección: las organizaciones necesitan volver a los orígenes para garantizar la protección de sus empleados y sus datos. Sea cual sea la vulnerabilidad que aprovechen los ciberdelincuentes en 2023, los empleados (las personas) seguirán siendo la superficie de ataque favorita y los datos el premio deseado, poniendo de relieve la importancia de la ciberhigiene y de un enfoque holístico de las estrategias de defensa.
Si adoptamos una visión más amplia más allá de las organizaciones individuales, observamos una creciente necesidad de que los sectores público y privado se unan para impulsar nuestra resiliencia. Con la ciberseguridad convertida en una preocupación de seguridad nacional en los últimos años, nuestro sector y los gobiernos deben colaborar para hacer frente a estos acuciantes problemas de ciberseguridad.
Visite nuestro portal de CISO para acceder a estudios, información y recursos de ciberseguridad para CISO de todo el mundo.