Fortinet ha desvelado las predicciones de su equipo de investigación e inteligencia de amenazas, FortiGuard Labs con respecto a las amenazas que podremos sufrir en 2021 y más allá. Para Derek Manky, Chief, Security Insights & Global Threat Alliances en FortiGuard Labs, “2020 ha evidenciado la capacidad de los cibercriminales para aprovecharse de los dramáticos cambios que ocurren en nuestra vida cotidiana y verlos como nuevas oportunidades para perpetrar ataques a una escala sin precedentes. En 2021 nos enfrentaremos a otro cambio significativo con el surgimiento de los nuevos perímetros inteligentes, que va más allá de los usuarios y dispositivos conectados en remoto a la red. Dirigirse a estos perímetros emergentes no solo creará nuevos vectores de ataque, sino que impulsará que grupos de dispositivos comprometidos puedan trabajar en conjunto para acechar a sus víctimas a velocidades de 5G. Para adelantarse a esta realidad que se avecina, todos los perímetros deben formar parte de una plataforma de arquitectura de seguridad más amplia, integrada y automatizada que funcione a través de la red central, los entornos multi-cloud, las delegaciones y los teletrabajadores”.
Estas predicciones revelan las estrategias que el equipo prevé que los ciberdelincuentes emplearán en un futuro próximo, junto con recomendaciones que ayudarán a los responsables de seguridad a prepararse para hacer frente a estos ataques.
Los ciberatacantes aprovecharán los perímetros inteligentes, los dispositivos habilitados para 5G y los avances en la potencia de los ordenadores para crear una ola de nuevas y avanzadas amenazas a una velocidad y escala sin precedentes. Además, continuarán destinando importantes recursos para atacar y explotar los entornos de perímetro emergentes, como los teletrabajadores, o incluso los nuevos entornos de perímetro OT, en lugar de limitarse a atacar la red central.
Para los responsables de seguridad, es fundamental adelantarse en la planificación para aprovechar el poder de la inteligencia artificial (IA) y el machine learning (ML) para acelerar la prevención, detección y respuesta a las amenazas. La inteligencia de amenazas procesable e integrada también será importante para mejorar la capacidad de una organización para defenderse en tiempo real a medida que la velocidad de los ataques siga aumentando.
El perímetro inteligente, oportunidad y objetivo
En los últimos años, el perímetro de la red tradicional ha sido reemplazado por múltiples perímetros en entornos WAN, multi-cloud, centro de datos, teletrabajadores, IoT, y más; cada uno con sus particulares riesgos. Esta situación ofrece a los ciberdelincuentes una ventaja significativa, aunque todos estos perímetros están interconectados, muchas organizaciones han sacrificado la visibilidad centralizada y el control unificado en favor del rendimiento y la transformación digital. Como resultado, los cibercriminales están evolucionando en sus ataques dirigiéndolos a estos entornos y buscando aprovechar las posibilidades de velocidad y escala que permitirá el 5G.
• Los troyanos evolucionan para dirigirse al perímetro: Mientras que los usuarios finales y sus recursos domésticos ya son objetivos de los ciberdelincuentes, en un futuro, los atacantes sofisticados los usarán como trampolín para acceder a otras redes. Los ataques a la red corporativa lanzados desde la red doméstica de un teletrabajador pueden coordinarse cuidadosamente para no levantar sospechas. Con el tiempo, el malware avanzado también podría identificar datos y tendencias aún más valiosos utilizando los nuevos EAT (Edge Access Trojans) y realizar actividades invasivas como interceptar peticiones fuera de la red local para comprometer sistemas adicionales o inyectar comandos de ataque adicionales.
• Ataques enjambre para el perímetro: Comprometer y aprovechar los nuevos dispositivos habilitados para 5G abrirá oportunidades para amenazas más avanzadas. Los ciberdelincuentes están progresando en el desarrollo y despliegue de ataques basados en enjambres. Estos ataques aprovechan dispositivos secuestrados divididos en subgrupos, cada uno con habilidades especializadas. Se dirigen a las redes o dispositivos como un sistema integrado y comparten inteligencia en tiempo real para perfeccionar su ataque a medida que se produce. Las tecnologías de enjambre requieren grandes cantidades de potencia de procesamiento para permitir a los swarmbots individuales y compartir eficientemente la información en un enjambre de bots. Esto les permite descubrir, compartir y correlacionar rápidamente las vulnerabilidades, y luego cambiar sus métodos de ataque para explotar mejor lo que descubren.
• La ingeniería social cada vez más inteligente: Los dispositivos inteligentes u otros sistemas para el hogar que interactúan con los usuarios, ya no serán simplemente objetivos de los ataques, sino también conductos para ataques más profundos. Aprovechar la importante información contextual sobre los usuarios, incluidas las rutinas diarias, los hábitos o la información financiera, podría hacer que los ataques basados en la ingeniería social tuvieran más éxito. Los ataques más inteligentes podrían llevar a mucho más que apagar los sistemas de seguridad, desactivar las cámaras o secuestrar los aparatos inteligentes, podría obligar a pagar un rescate y a extorsionar con datos adicionales o a perpetrar ataques sigilosos para obtener credenciales.
• El rescate del perímetro OT podría ser una nueva realidad: El ransomware sigue evolucionando, y a medida que los sistemas de TI convergen con los sistemas de tecnología operativa (OT), en particular en infraestructuras críticas, habrá aún más datos, dispositivos y, lamentablemente, vidas en peligro. La extorsión y la difamación son ya herramientas del ransomware. En el futuro, las vidas humanas correrán peligro cuando los dispositivos y sensores de campo en el perímetro de la OT, que incluyen infraestructuras críticas, se conviertan cada vez más en objetivos de los ciberdelincuentes.
Las innovaciones en el rendimiento de la computación también serán objetivo del cibercrimen
También se vislumbran en el horizonte otros tipos de ataques dirigidos a la evolución del rendimiento en las capacidades de cómputo y a la innovación en materia de conectividad, con el fin de obtener beneficios para los ciberdelincuentes. Estos ataques permitirán a los criminales abarcar nuevos territorios y supondrán una carrera desafiante entre ellos y los defensores de la seguridad.
• Cryptomining avanzado: La potencia de procesamiento es importante si los ciberdelincuentes quieren escalar futuros ataques con capacidades de ML e IA. Con el tiempo, al comprometer los dispositivos que están en el perímetro para mejorar su capacidad de procesamiento, los ciberdelincuentes podrían procesar cantidades masivas de datos y aprender más sobre cómo y cuándo se utilizan estos dispositivos. También podría permitir que el cryptomining fuera más efectivo. Los PC infectados, secuestrados para aprovechar sus capacidades de cómputo, suelen ser rápidamente identificados, ya que el uso de la CPU afecta directamente a la experiencia del usuario final. Comprometer los dispositivos secundarios podría ser mucho menos notorio y difícil de identificar.
• Propagación de los ataques desde “más allá de las nubes”: La conectividad de los sistemas de satélites y telecomunicaciones en general podría ser un objetivo atractivo para los ciberdelincuentes. A medida que los nuevos sistemas de comunicación se amplíen y comiencen a depender de una red de sistemas basados en satélites, los ciberdelincuentes podrían dirigir sus ataques a esta convergencia. Como resultado, comprometer las estaciones base de los satélites y luego difundir ese malware a través de las redes de satélites podría dar a los atacantes la capacidad de alcanzar potencialmente a millones de usuarios conectados a escala o infligir ataques DDoS que podrían impedir comunicaciones vitales.
• La amenaza de la computación cuántica: Desde la perspectiva de la ciberseguridad, la computación cuántica podría generar un nuevo riesgo cuando sea capaz de desafiar la eficacia del cifrado. La enorme potencia de cómputo de los ordenadores cuánticas podría hacer que algunos algoritmos de cifrado asimétrico sean fácilmente vulnerados. En consecuencia, las organizaciones tendrán que prepararse para utilizar algoritmos de criptografía de resistencia cuántica utilizando el principio de la criptografía de agilidad, para garantizar la protección de la información actual y futura. Aunque el ciberdelincuente medio no tiene acceso a computadoras cuánticas, algunos gobiernos sí lo tendrán, por lo que la amenaza eventual se hará realidad si no nos preparamos ahora para contrarrestarlo adoptando la criptoagilidad.
La IA será crítica para defenderse de futuros ataques
A medida que estas tendencias de ataque orientadas al futuro se vayan haciendo realidad, será cuestión de tiempo que los recursos para ponerlos en marcha se conviertan en un producto básico y estén disponibles en la darknet o como parte de conjuntos de herramientas de código abierto. Por lo tanto, se necesitará una combinación de tecnología, personas, capacitación y asociaciones para protegerse contra el tipo de ataques de los ciberdelincuentes del futuro.
• La IA tendrá que evolucionar: La Inteligencia Artificial, que será básica para defendernos de los futuros ataques, necesitará evolucionar hacia la próxima generación. Para ello deberá aprovechar los nodos de aprendizaje local impulsados por el ML como parte de un sistema integrado similar al sistema nervioso humano. Las tecnologías mejoradas de IA que pueden ver, anticipar y contrarrestar los ataques tendrán que hacerse realidad en el futuro porque los ciberataques del futuro se producirán en microsegundos. La función principal de los seres humanos será garantizar que los sistemas de seguridad hayan recibido suficiente información de inteligencia no solo para contrarrestar activamente los ataques, sino también para anticiparse a ellos a fin de poder evitarlos.
• La colaboración es vital para un futuro seguro: No se puede esperar que las organizaciones se defiendan contra los cibercriminales por sí solas. Necesitarán saber a quién informar en caso de un ataque para que las “huellas dactilares” puedan compartirse adecuadamente y las fuerzas del orden puedan hacer su trabajo. Los proveedores de ciberseguridad, las organizaciones de investigación de amenazas y otros grupos de la industria deben asociarse entre sí para compartir información, pero también con las fuerzas del orden para ayudar a desmantelar las infraestructuras criminales a fin de prevenir futuros ataques. En el mundo online no hay fronteras ni aduanas, por lo que la lucha contra el ciberdelito se juega más allá de los límites físicos. Sólo trabajando juntos podremos cambiar el futuro.
• Habilitar “Blue Teams”: Las tácticas, técnicas y procedimientos de los actores de la amenaza (TTP por sus siglas en inglés), investigados por los equipos de inteligencia de amenazas, como los playbooks de los cibercriminales, pueden alimentar a los sistemas de IA para permitir la detección de patrones de ataque. Del mismo modo, a medida que las organizaciones vayan creando sus mapas de zonas calientes de las amenazas activas, los sistemas inteligentes podrán disfrazar proactivamente los objetivos de la red y colocar señuelos atractivos en las rutas de ataque. Con el tiempo, las organizaciones podrían responder a cualquier esfuerzo de contrainteligencia antes de que se produzca, permitiendo a los “Blue Teams” mantener una posición de control superior. Este tipo de entrenamiento da a los miembros del equipo de seguridad la capacidad de mejorar sus habilidades mientras aseguran la red.