El equipo de CISOs residentes de Proofpoint repasa los principales desafíos que están por llegar en materia de seguridad para las organizaciones, las personas y los datos
Este ha sido otro año extremadamente ajetreado para los CISOs, en el que organizaciones de todo el mundo han sido golpeadas por ciberataques. El ransomware ha seguido causando estragos, obligando por ejemplo a fabricantes de coches parar sus operaciones o a que un país como Costa Rica declarase el estado de emergencia. Las infraestructuras también han estado en el punto de mira, desde piratas informáticos rusos atacando aeropuertos en Estados Unidos hasta ciberdelincuentes chinos explotando vulnerabilidades en las telecomunicaciones, además de un aumento de las amenazas en torno a la cadena de suministro y la tecnología de autenticación.
De cara al próximo año, el equipo de CISOs de Proofpoint, empresa líder de ciberseguridad y cumplimiento normativo, ofrece algunos consejos para hacer frente a lo que está por llegar. “Los CISOs y los consejos de administración de las empresas deberán prepararse para demandas aún mayores, sobre todo a medida que se intensifiquen las tensiones globales, la economía mundial se vuelva más volátil y continúen los desafíos en el entorno laboral”, declara Lucia Milicã, CISO residente global de Proofpoint.
1. Las tensiones globales por la recesión y los conflictos agravarán el riesgo sistémico.
Nuestro ecosistema digital, cada vez más complejo e interconectado, empeora las preocupaciones existentes y suscita nuevos temores en torno al riesgo sistémico, en el que las debilidades de cualquiera de sus componentes amenazan la fortaleza de todo el conjunto. Según un reciente estudio de Proofpoint, el 75% de los consejos de administración cree que entiende claramente el riesgo sistémico de sus organizaciones. Aun así, la inestable situación mundial hace muy difícil comprender el alcance total de las amenazas, por lo que, en consecuencia, el riesgo sistémico exigirá una atención constante.
El estrés por la recesión económica —pérdida de empleos, aumento de tipos de interés, descenso del nivel de vida e inflación— pasa factura tanto financiera como emocionalmente a los trabajadores y a sus familias. La gente puede distraerse o sentirse infeliz en el trabajo, lo cual facilita que los ciberdelincuentes se aprovechen de la vulnerabilidad humana. Lo mismo ocurre con conflictos, como la guerra entre Rusia y Ucrania, provocando más turbulencias, nuevos ciberataques y ampliando el riesgo sistémico para las organizaciones.
2. La comercialización de herramientas de hackeo en la ‘dark web’ aumenta la ciberdelincuencia.
En los últimos años, los kits de hackeo para ejecutar ransomware han pasado a ser habitual mercancía dentro de las redes clandestinas de la delincuencia. Ese “ransomware como servicio” se ha convertido en un negocio lucrativo en la dark web y ha hecho que proliferen estos ataques con poca o ninguna sofisticación técnica, abriendo la puerta de la ciberdelincuencia a cualquier persona con un navegador Tor y algo de tiempo.
Mientras que el comercio por la dark web siga en auge, habrá oleadas de ataques también de smishing o de control de dispositivos móviles, lo que complicará la capacidad de los equipos de seguridad de detener a los ciberdelincuentes, aunque estos tengan menos conocimientos.
3. Los ataques exitosos de ‘ransomware’ incluirán el robo de datos, ya que el negocio de los atacantes se mueve hacia la doble extorsión.
El ransomware es endémico, y ninguna organización en el mundo es inmune a esta amenaza. El 68% de las empresas ha sufrido al menos una infección de este tipo, de acuerdo con el informe State of the Phish de Proofpoint en 2022. Lo más preocupante, sin embargo, es la evolución que ha tenido en los últimos tres años el cifrado de datos hasta llegar a esquemas de doble extorsión que cifran y exfiltran datos. Solo una banda había utilizado esta táctica de doble extorsión en 2019, pero, en el primer trimestre de 2021, el 77% de los ataques incluía amenazas de filtración de datos. Asimismo, la última tendencia es la triple extorsión, en la que los atacantes buscan pagos no solo de la organización objetivo, sino también de cualquier entidad que pueda verse afectada por la fuga de datos. Este movimiento es un indicio de que los atacantes son cada vez más audaces y sus estrategias de monetización más agresivas.
4. Crecerán los ataques para eludir la autenticación multifactor (AMF) a medida que los ciberdelincuentes exploren nuevas vías para vulnerar las defensas y explotar las debilidades del comportamiento humano.
Los atacantes siguen innovando mientras aprenden acerca de las personas y cómo obtener de manera más fácil sus credenciales. Ante esto, el sector de la ciberseguridad ha respondido impulsando la AMF, que se ha convertido en una práctica estándar y una especie de juego del gato y el ratón: si las organizaciones añaden una capa de seguridad con la AMF, más ciberdelincuentes explotan sus debilidades y se aprovechan de los usuarios. Esto empieza a ser tendencia, aunque no se trata en sí de una amenaza nueva. Los investigadores de Proofpoint verificaron hace dos años vulnerabilidades que eludían la AMF, pero se están viendo más herramientas para ejecutar estos ataques, como kits de phishing para robar tokens. Esto hace que la amenaza sea todavía más difícil, porque explota la tecnología y también las debilidades humanas. Para esto último, los atacantes suelen bombardear a los usuarios mediante notificaciones con solicitudes de aprobación hasta que finalmente ceden.
5. La cadena de suministro será un arma cada vez más poderosa, aprovechando la confianza depositada en vendedores y proveedores.
Puede que los casos de SolarWinds y Log4j hayan sido llamadas de atención, pero lo cierto es que todavía se está muy lejos de tener las herramientas adecuadas para protegerse frente a las vulnerabilidades en la cadena de suministro digital. Una encuesta del Foro Económico Mundial revela que casi el 40% de las organizaciones sufrió efectos negativos tras incidentes de seguridad relacionados con su cadena de suministro, y prácticamente todas mostraron su preocupación por la resistencia de pequeñas y medianas empresas dentro de su ecosistema.
Estas preocupaciones aumentarán en 2023, ya que la confianza en partners y proveedores de terceros se convertirá en uno de los principales canales de ataque. Las APIs son especialmente preocupantes, porque los ciberdelincuentes saben de la dependencia que hay en ellas. Sin contar que muchas organizaciones carecen de prácticas sólidas para integrarlas y gestionarlas de forma segura, facilitando las cosas a los atacantes. Por lo general, se espera que haya más tensión en las relaciones de la cadena de suministro, con las organizaciones intensificando medidas de diligencia debida para comprender mejor los riesgos sobre proveedores, mientras que estos se esfuerzan por gestionar esa abrumadora atención en torno a sus procesos.
6. La tecnología ‘deepfake’ tendrá un papel más destacado en los ciberataques, aumentando el riesgo de fraude de identidad, engaño financiero y desinformación.
La tecnología deepfake es cada vez más accesible para las masas. Gracias a los generadores de IA entrenados con enormes bases de datos de imágenes, cualquiera puede generar deepfakes con pocos conocimientos técnicos. Aunque el resultado no esté exento de fallos, la tecnología está mejorando constantemente, y los ciberdelincuentes la utilizarán para sus narrativas.
Tradicionalmente, los deepfakes se han empleados para fraudes con correos empresariales, pero se prevé que vayan más allá de estos engaños. Solo hay que imaginar el caos que produciría en el mercado financiero si, mediante esta tecnología, el supuesto CEO o CFO de una importante empresa hiciese unas declaraciones con las que, acto seguido, las acciones subiesen o experimentasen una fuerte caída. Los ciberdelincuentes también podrían aprovechar la autenticación biométrica y los deepfakes para fraudes de identidad o control de cuentas. Estos son algunos ejemplos, pero la creatividad de los atacantes siempre sorprende.
7. Cambiará el papel del CISO, aumentando también expectativas y requisitos.
A medida que haya más requisitos de transparencia en las empresas, se mejorará la supervisión y aumentará la experiencia de ciberseguridad dentro del propio consejo de administración, cambiando el papel tradicional del CISO. Pero, con solo la mitad de estos viéndose cara a cara con sus juntas directivas, unido a las crecientes expectativas y el estrés por la responsabilidad de un potencial ataque, aumentará la tensión en las relaciones entre ambos con enormes implicaciones para la ciberseguridad de la organización.
Todas estas predicciones de Proofpoint apuntan a lo mismo: las organizaciones necesitan volver a sus fundamentos para asegurarse de que están protegiendo a su gente y sus datos. “Sean cuales sean los puntos débiles que exploten los ciberdelincuentes en 2023, las personas seguirán siendo su superficie de ataque favorita y los datos, el deseado trofeo, lo que subraya la importancia de tener buenos hábitos de ciberseguridad y contar con un enfoque integral de las estrategias de defensa”, afirma Lucia Milicã. “Desde una perspectiva más amplia, por encima de organizaciones individuales, vemos la creciente necesidad de que los sectores público y privado se unan para aumentar nuestra capacidad de recuperación y abordar los problemas urgentes de ciberseguridad”.