Informe
McAfee Labs Predicciones sobre amenazas para 2017 Noviembre de 2016
McAfee Labs analiza las principales amenazas previstas para el año que viene.
Acerca de McAfee Labs
Introducción
McAfee Labs es uno de los líderes mundiales en investigación e información sobre amenazas, e innovación en ciberseguridad. Gracias a la información que recibe de millones de sensores situados en los principales vectores de amenazas: archivos, la Web, la mensajería y las redes, McAfee Labs proporciona información sobre amenazas en tiempo real, análisis críticos y opiniones de expertos que permiten mejorar la protección y reducir los riesgos.
Bienvenido al informe Predicciones sobre amenazas para 2017 de McAfee Labs. Este año hemos dividido el informe en dos secciones. En la primera sección analizamos en profundidad tres temas importantes. ■■
McAfee forma ahora parte de Intel Security. www.mcafee.com/es/mcafee-labs.aspx
Siga a McAfee Labs ■■
Iniciamos el informe con nuestra visión global de los problemas difíciles de resolver en el terreno de la ciberseguridad y los primeros esfuerzos del sector para resolverlos. Hemos reunido un amplio elenco de líderes de pensamiento de Intel Security para analizar según su criterio los desafíos técnicos de seguridad más apremiantes. A continuación, hemos agrupado y resumido esos desafíos. En este tema presentamos los seis principales problemas. En nuestro siguiente tema tratamos las amenazas contra la nube. Once líderes de pensamiento de Intel Security han colaborado en la elaboración de estas previsiones sobre las amenazas contra la nube y las respuestas legales y del sector que se esperan en los próximos 2-4 años. ¿Qué amenazas y ataques prevemos? ¿De qué forma afectarán a este entorno los problemas geopolíticos, la legislación y las acciones normativas? Y ¿qué respuestas anticipamos de los proveedores de servicios en la nube y de seguridad?
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 2
■■
El último tema que analizamos detenidamente se refiere a las amenazas contra el Internet de la cosas. Al igual que en el tema relacionado con las amenazas contra la nube, 10 líderes de pensamiento de Intel Security ofrecen sus predicciones sobre las amenazas y ataques, legislaciones y fronteras, y respuestas de los proveedores.
En la segunda sección presentamos nuestras previsiones concretas sobre la actividad de amenazas para 2017. Nuestras predicciones para el año que viene cubren una amplia gama de amenazas, como el ransomware, las vulnerabilidades de todo tipo, el uso de inteligencia sobre amenazas para mejorar las defensas y los ataques contra dispositivos móviles.
Esperamos que estos temas le proporcionen información útil para desarrollar tanto sus planes a corto plazo como sus estrategias de futuro. A través de las encuestas acerca de nuestro informe sobre amenazas seguimos recibiendo opiniones de nuestros lectores, que nos resultan de gran utilidad. Si desea transmitirnos su opinión sobre este informe, haga clic aquí para rellenar un cuestionario que le llevará apenas cinco minutos. Le deseamos Felices Fiestas junto a sus seres queridos. —Vincent Weafer, Vicepresidente primero, McAfee Labs
Entre los temas abordados: ■■
■■
■■
■■
■■
■■
■■
■■
Predecimos que el ransomware alcanzará su punto álgido a mediados del año que viene y que a partir de ahí comenzará a remitir. Analizamos por qué el intercambio de inteligencia sobre amenazas mejorará de manera importante en 2017. Explicamos por qué esperamos una colaboración más estrecha entre los sectores de la seguridad física y la ciberseguridad. Predecimos que los hacktivistas atacarán la privacidad de los consumidores y describimos cuál será la respuesta de legisladores y empresas. Explicamos por qué pensamos que aumentará todavía más la colaboración entre los proveedores de seguridad y las fuerzas de orden público para detener a los ciberdelincuentes. Ofrecemos detalles sobre las razones por las que pensamos que en 2017 seguirán descendiendo las vulnerabilidades en muchas de las apps más populares. Describimos de qué forma seguirá creciendo el volumen de "falsificaciones" —reseñas de productos, "Me gusta", anuncios, avisos de seguridad, etc.—, contribuyendo a erosionar la confianza en Internet. Explicamos por qué se utilizará el aprendizaje automático para mejorar los ataques de ingeniería social.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 3
Índice Predicciones sobre amenazas para 2017 de McAfee Labs En la elaboración de este informe han colaborado los siguientes líderes de opinión: Jonathan Anderson Yuriy Bulygin Peter Bury Torry Campbell David Coffey Carric Dooley Brian Dye Lynda Grindstaff Barbara Kay John Loucaides Scott Montgomery Raj Samani Rick Simon Shishir Singh Martin Stecher Jamie Tischart Ramnath Venugopalan Lori Wigle Candace Worley El informe Predicciones sobre amenazas para 2017 ha sido preparado y redactado por: Christiaan Beek Yuriy Bulygin Douglas Frosst Paula Greve Jeannette Jarvis Eric Peterson Matthew Rosenquist Fernando Ruiz Craig Schmugar Rick Simon Bruce Snell Dan Sommer Bing Sun Adam Wosotowsky
Problemas de seguridad difíciles de resolver
5
Amenazas contra la nube, normativas y respuestas de los proveedores
11
Amenazas contra el Internet de las cosas, normativas y respuestas de los proveedores
20
Predicciones para 2017
28
El ransomware remitirá en la segunda mitad de 2017
29
Los ataques que aprovechan vulnerabilidades de Windows disminuyen mientras los casos aumentan en otras plataformas
31
El hardware y el firmware, objetivos cada vez más habituales de ciberdelincuentes sofisticados
34
El secuestro de drones pone la amenaza en el cielo
36
Las amenazas a dispositivos móviles incluirán el ransomware, las herramientas de acceso remoto y los mercados de apps comprometidas
38
El malware para el Internet de las cosas abre una puerta trasera a los hogares
39
El aprendizaje automático acelera los ataques de ingeniería social
41
La explosión de anuncios falsos y "Me gusta" comprados erosiona la confianza
43
La escalada de la guerra de anuncios potencia la distribución de malware
48
Los hacktivistas divulgan problemas de privacidad
49
Las operaciones de desmantelamiento de las fuerzas de seguridad golpean a la ciberdelincuencia 51 El intercambio de inteligencia sobre amenazas hace grandes progresos
52
Ciberespionaje: la industria y las fuerzas de seguridad aúnan esfuerzos
53
Los sectores de la seguridad física y la ciberseguridad colaboran estrechamente 54
Problemas de seguridad difíciles de resolver
Compartir opinión
Problemas de seguridad difíciles de resolver
Problemas de seguridad difíciles de resolver —McAfee Labs En el mundo de la seguridad de la información digital abundan los desafíos. Observamos interminables actualizaciones y parches como respuesta a los constantes cambios que realizan nuestros adversarios. Los grandes lanzamientos de software introducen funciones importantes, pero también vulnerabilidades inesperadas. Tras el descubrimiento de nuevos exploits llegan notificaciones y correcciones urgentes.
Los problemas enormes y difíciles de resolver son los que requieren una investigación de base, nuevas clases de productos, mucho tiempo y esfuerzo de desarrollo, y una atención constante, a menudo por parte de varios actores del sector trabajando de manera conjunta. En este artículo, analizamos seis de esos problemas.
Además, existen problemas enormes y muy difíciles de resolver. Se trata de problemas generales que no pueden resolver los parches ni las actualizaciones de software. La resolución de estos problemas requiere una investigación de base, nuevas clases de productos, mucho tiempo y esfuerzo de desarrollo, y una atención constante, a menudo por parte de varios actores del sector trabajando de manera conjunta. Durante los últimos años, la rápida adopción de servicios en la nube, la desaparición del perímetro entre las redes internas y externas y la increíble avalancha de nuevos dispositivos están poniendo en entredicho los métodos tradicionales de protección del mundo digital. En este artículo se analizan seis grandes desafíos a los que se enfrenta el sector de la seguridad y algunos ejemplos de acciones que el sector está tomando para resolverlos.
Eficacia de la protección frente a amenazas Los ataques y las defensas se adaptan y evolucionan en un baile continuo. El siguiente gráfico ilustra la evolución típica de un tipo de defensa a lo largo del tiempo. En cuanto se desarrolla una nueva técnica, su efectividad aumenta rápidamente hasta que está lista para su despliegue. Una vez desplegada, la exposición generalizada a escenarios del mundo real, los comentarios que recibe el equipo de desarrollo y la inclusión en otras defensas mejoran aún más su eficacia. La mejora continúa hasta que se alcanza un nivel de eficacia que provoca la respuesta de los adversarios. En este punto, los ciberdelincuentes experimentan y descubren formas de eludir este tipo de defensa, y desarrollan contramedidas que reducen su eficacia.
Eficacia de la protección frente a amenazas
Curva de despliegue
Eficacia
En cuanto se desarrolla una nueva técnica, su efectividad aumenta rápidamente. La mejora continúa hasta que se alcanza un nivel de eficacia que provoca la respuesta de los adversarios. Los ciberdelincuentes descubren formas de eludir este tipo de defensa y desarrollan contramedidas que reducen su eficacia. Tenemos que mejorar la eficacia de la protección contra amenazas desplazando la curva arriba y a la derecha.
Invención y desarrollo Incentivo del adversario para eludir y desarrollar contramedidas
Innovación sostenible
Secuencia temporal
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 6
Problemas de seguridad difíciles de resolver
El desafío para el sector de la seguridad es mejorar el ciclo de vida de la eficacia de la protección contra amenazas desplazando la curva arriba y a la derecha, hacia la línea de puntos de color rojo. Las acciones que afectan de manera conjunta a este ciclo de vida son: ■■
Reducir la asimetría de la información entre nosotros y los adversarios.
■■
Conseguir que los ataques sean más caros y menos rentables.
■■
Mejorar la visibilidad de las operaciones de seguridad.
■■
Identificar el abuso de herramientas y credenciales legítimas.
■■
Proteger los datos descentralizados.
■■
Detectar y proteger sin agentes.
Reducir la asimetría de la información Los adversarios disponen de más información sobre nuestras defensas que nosotros de sus ataques. Los ataques pueden probarse frente a las defensas de seguridad con total impunidad, mientras que nosotros no vemos la mayoría de sus pruebas, por lo que no aprendemos de ellas. Debemos buscar formas de impedir que los agresores realicen pruebas contra nosotros, detectar y aprender de sus experimentos y confundirlos donde sea posible.
Los adversarios disponen de más información sobre nuestras defensas que nosotros de sus ataques, y esta asimetría tiene un efecto importante en la curva de eficacia de las defensas. Los ataques se prueban frente a las defensas de seguridad con total impunidad, en laboratorios provistos de todos nuestros equipos o en el mundo real frente a los sistemas desplegados. Pueden realizar pruebas contra nosotros y nosotros no vemos la mayoría de sus pruebas, por lo que no aprendemos de ellas. Para desplazar la curva a nuestro favor, ¿podemos averiguar cómo impedir que los agresores realicen pruebas contra nosotros, detectar y aprender de sus experimentos y confundirlos donde sea posible? Impedir que los ciberdelincuentes prueben nuestras defensas es muy difícil y probablemente inviable. Sin embargo, intercambiar información sobre los ataques es una de las medidas más importantes que podemos tomar para corregir esta asimetría. Cuando intercambiamos y combinamos información sobre ataques, comprendemos mejor los métodos que emplean para descubrir puntos débiles en nuestros algoritmos. Eso nos permite adaptar y mejorar más rápidamente las defensas. El mayor volumen y detalle de la telemetría que se obtiene de elementos tales como entornos en la nube, máquinas virtuales y dispositivos del Internet de las cosas nos ayuda a comprender más. Estamos aprendiendo a aplicar la ciencia de datos a esta información para identificar mejor los patrones de ataque y generar indicadores de ataque más rápidamente. Asimismo, tenemos el potencial de alterar la previsibilidad de nuestras defensas, haciendo más difícil que nuestros adversarios identifiquen puntos débiles específicos. Esto requiere que los distintos niveles de defensas se coordinen en tiempo real, de manera que un ataque o intento que atraviese un nivel sea neutralizado por otro.
Conseguir que los ataques sean más caros y menos rentables La investigación y el procesamiento de la ciberdelincuencia son inversamente proporcionales a la gravedad del delito. Debemos modificar la rentabilidad del proceso de ataque, reducir el porcentaje de éxito de los ataques y aumentar la posibilidad de que se produzcan capturas para que los objetivos sean menos interesantes.
El dinero es la principal motivación de la mayoría de los ciberataques. ¿Podemos conseguir que los ataques sean más caros y menos rentables? Si somos capaces de modificar la rentabilidad del proceso de ataque, reducir el porcentaje de éxito de los ataques y aumentar la posibilidad de que se produzcan capturas, podemos hacer que los objetivos sean menos interesantes. Analizando los datos de las fuerzas de seguridad, descubrimos que la investigación y el procesamiento de la ciberdelincuencia son inversamente proporcionales a la gravedad del delito. En el caso de los delitos físicos, la persecución judicial se dirige hacia los delitos más graves. En el caso de la ciberdelincuencia, los ataques más sofisticados son más difíciles de investigar y llevar a los tribunales porque a menudo se producen en varias jurisdicciones, y normalmente se
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 7
Problemas de seguridad difíciles de resolver
necesitan más conocimientos técnicos y recursos para ayudarles a eludir la detección e incriminación. Una de las posibles respuestas a esta situación sería confundir a los ciberdelincuentes y aumentar el tiempo que dedican a un determinado ataque, haciendo de esta manera que sea más fácil seguir su rastro, identificarlos, capturarlos e imputarlos. Los proveedores de seguridad hemos aumentado de manera importante nuestra colaboración con las fuerzas de seguridad. Recopilamos expresamente información que puede ayudar a las fuerzas policiales y judiciales. En el mercado han entrado empresas de seguridad especializadas en técnicas de engaño que crean señuelos para atraer a los adversarios y alejarlos de objetivos de mayor valor. De forma similar al marcado de billetes, el rastreo de vehículos u otras herramientas de seguimiento y recuperación utilizadas tradicionalmente por las fuerzas de seguridad, el sector de la ciberseguridad utiliza cada vez más cebos digitales, archivos que hacen saltar alarmas y otras marcas imborrables para ayudar a identificar a los agresores.
Mejorar la visibilidad
Disponemos de un control limitado de los activos de información y el nivel de control se ve disminuido por el aumento masivo del número y las ubicaciones de los activos. Tenemos que ayudar a las empresas a mejorar la visibilidad de su seguridad.
Es habitual que las empresas solo descubran el verdadero nivel de protección de sus activos tras sufrir un ataque. Las tecnologías de la información en la sombra, nubes de todo tipo y el movimiento BYOD (uso de dispositivos personales en la empresa) complican aún más la visibilidad de la eficacia de las operaciones de seguridad. Durante décadas, las empresas han perseguido el "santo grial" de la identificación y el control de los activos empresariales. La realidad es que disponemos de un control limitado de los activos de información y que el nivel de control se ve disminuido por el aumento masivo del número y las ubicaciones de los activos. Casi ninguna empresa puede estar segura de tener pleno conocimiento y control de la ubicación de los activos de información. Por tanto, tenemos que ayudar a las empresas a mejorar la visibilidad de su seguridad. Las operaciones de seguridad de las empresas y los proveedores de seguridad ya no se centran tanto en los activos de TI como en los activos de datos, y de una cobertura defensiva "seudoabsoluta" han pasado a una gestión de riesgos documentada. Disponemos de herramientas capaces de identificar y clasificar datos, supervisar su uso, aplicar las directivas adecuadas o bloquear sus movimientos si es necesario. Con la ayuda de estas herramientas, las empresas pueden cuantificar de manera más eficaz su perfil de riesgo, identificar lagunas críticas y asignar adecuadamente los recursos. Las empresas eficaces comparan las estadísticas básicas con las del mes anterior, igual que hacen con la contabilidad. Las empresas muy eficaces trabajan para generar puntos de referencia regionales, nacionales y sectoriales para realizar comparaciones, igual que hacen los inversores. Sin embargo, muchos de los parámetros de seguridad habituales no son procesables. Pensamos que queda mucho por hacer para poder actuar, casi en tiempo real, contra las amenazas observadas en los entornos protegidos.
Identificar el abuso de la legitimidad Muchos ataques empiezan por el uso de credenciales robadas. Diferenciar si una herramienta legítima se utiliza para fines legítimos o para una actividad sospechosa resulta muy complicado. Necesitamos avanzar hacia un modelo que compruebe la legitimidad de cada transacción.
Muchos ataques empiezan por el uso de credenciales robadas y siguen con el uso de herramientas de administración legítimas que exploran el sistema objetivo y filtran los datos. En este escenario no funcionan los métodos tradicionales para detectar actividades ilegítimas mediante la búsqueda de objetos maliciosos o sospechosos basada en firmas de archivo u otros criterios. Los objetos utilizados son considerados fiables, pero se utilizan para fines maliciosos. Por lo tanto, solo nos queda intentar determinar el propósito de una acción. ¿Se trata de un inicio de sesión en la empresa o de un ataque? ¿Se utiliza el cifrado para proteger los datos o para filtrarlos? La sesión PowerShell, ¿es una función administrativa o una acción de reconocimiento?
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 8
Problemas de seguridad difíciles de resolver
Diferenciar si una herramienta legítima se utiliza para fines legítimos o para una actividad sospechosa resulta muy complicado. El único método del que disponemos en la actualidad es el análisis del comportamiento, que en el caso de la ciberseguridad se encuentra en pañales. Aunque es un buen comienzo, necesitamos avanzar hacia un modelo que compruebe la legitimidad de cada transacción, no simplemente de archivos y credenciales. Necesitamos analizar las acciones y el movimiento de los datos, e intentar determinar su propósito, ya proceda de un actor externo o de alguien no autorizado dentro de la empresa. Esto requiere un conocimiento mucho mayor del contexto de la actividad. Una controvertida posibilidad es el desarrollo de análisis predictivos y de reputación de usuarios. Su fin es evaluar la probabilidad de que una determinada cuenta pueda ser atacada, robada o utilizada para actividades internas no autorizadas. La recopilación de comportamientos de usuarios en contexto, desde su tendencia a reutilizar contraseñas en sistemas diferentes, pasando por la descripción de sus funciones y horario habitual, nos permite comparar cada acción con un conjunto de actividades legítimas previstas y señalar las que se encuentran fuera de un determinado nivel de riesgo. Se trata sin duda de un ámbito delicado. Deberemos hacer frente a importantes problemas de privacidad, éticos y legales antes de que esta técnica se adopte de forma generalizada.
Proteger los datos descentralizados Los datos están saliendo del perímetro de las empresas, lo que los hace mucho más vulnerables a fugas no intencionadas y ataques selectivos. Se transfieren a las nubes y a los dispositivos personales, pero también a partners, proveedores y clientes. Debemos proteger mejor los datos durante su trayecto y cuando llegan a su destino.
Los datos están saliendo del perímetro de las empresas, lo que los hace mucho más vulnerables a fugas no intencionadas y ataques selectivos. Se transfieren a las nubes y a los dispositivos personales, así como a partners, proveedores y clientes. ¿Cómo protegemos los datos durante su trayecto y cuando llegan a su destino? Menos del 20 % de los datos de una empresa se mueve en este amplio ecosistema y, sin embargo, el 70 % de las pérdidas de datos está asociado a este movimiento. En la actualidad algunas personas tratan de proteger este tipo de desplazamiento de datos cifrándolos y enviando claves de descifrado en un mensaje de correo electrónico aparte, con lo que la responsabilidad de su protección se transfiere a la siguiente persona de la cadena. Esto se traduce en un círculo de confianza muy pequeño. Necesitamos averiguar cómo ampliar ese círculo de confianza manteniendo al mismo tiempo un mayor control. Los sistemas de clasificación y prevención de pérdida de datos representan los primeros esfuerzos para gestionar y ampliar el círculo de confianza para los datos descentralizados. El siguiente paso es una seguridad que se desplaza con los datos, permitiendo la aplicación continua de directivas. Debemos ser capaces de proteger los datos durante su próximo uso, de forma similar a como ocurre con los mecanismos de gestión de los derechos digitales.
Detectar y proteger sin agentes En el futuro no será siempre posible instalar agentes en los dispositivos para protegerlos. Tenemos que encontrar otras formas de protección.
Hasta ahora la seguridad de nuestros dispositivos se ha basado en el uso de agentes. En el futuro, esto no será siempre posible. Vemos dispositivos del Internet de las cosas (IoT) con muy poca memoria o capacidad de procesamiento, sistemas operativos que intentan mejorar la seguridad volviéndose más cerrados, así como la proliferación de sistemas operativos y tipos de dispositivos que superan la capacidad de I+D de cualquier proveedor de seguridad, y componentes con un ciclo de vida largo en sectores, como el del automóvil y las infraestructuras críticas, que no pueden actualizarse fácilmente. El futuro de la ciberseguridad y la solución a la mayoría de estos problemas enormes y difíciles de resolver deben encontrarse en un mundo de seguridad sin agentes.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 9
Problemas de seguridad difíciles de resolver
La evolución hacia una seguridad sin agentes ya ha comenzado con soluciones iniciales que atacan el problema desde varias direcciones. Los diseñadores de procesadores están introduciendo mejoras en la seguridad a nivel de hardware, la protección de la memoria y entornos de ejecución fiables. Los productos de análisis del comportamiento vigilan desde el exterior, preparados para poner en cuarentena e investigar los dispositivos en los que se detecte actividad sospechosa o anómala. El procesamiento y el análisis deben seguir realizándose en algún lugar, pero cada vez harán más uso de recursos de computación flexibles en lugar de agentes dedicados. Ya están apareciendo puntos de aplicación distribuidos que repartirán la aplicación de directivas a toda una red de dispositivos, en la que habrá varios puntos de comunicación y colaboración en tiempo real sobre las medidas de detección y protección.
Conclusión Para ir por delante de los adversarios será fundamental aumentar la eficacia de nuestra protección frente a amenazas en todo el sector de la ciberseguridad. La colaboración entre varios actores del sector resulta absolutamente imperativa para resolver problemas generales que no pueden solventar los parches ni las actualizaciones de software. Debemos compartir información de forma más generalizada entre los líderes del sector, no solo para disponer de un mayor volumen y detalle de datos telemétricos, sino también para ayudar en las técnicas de engaño. Si hacemos un mayor uso de los análisis predictivos, si mejoramos la visibilidad tanto de los activos empresariales como de los datos descentralizados y reducimos el uso de agentes dedicados, podremos aumentar nuestra eficacia en el ciclo de vida de la protección contra amenazas.
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 10
Amenazas contra la nube, normativas y respuestas de los proveedores Compartir opinión
Amenazas contra la nube, normativas y respuestas de los proveedores
Amenazas contra la nube, normativas y respuestas de los proveedores Puede externalizarse el trabajo, pero no el riesgo Once líderes de pensamiento de Intel han colaborado en la elaboración de estas previsiones sobre las amenazas contra el Internet de las cosas y las respuestas que se esperan en los próximos 2-4 años. Nuestro equipo: Yuriy Bulygin
Los proveedores de servicios en la nube se esfuerzan por generar confianza y conseguir clientes. Una cantidad cada vez mayor de datos confidenciales y procesos empresariales críticos se están trasladando a nubes públicas e híbridas. Los ciberdelincuentes se adaptarán a esta transferencia y seguirán buscando la forma más sencilla de rentabilizar sus esfuerzos o conseguir sus objetivos. Aquí nos hemos centrado en la evolución de la seguridad de la nube durante los próximos dos a cuatro años. ¿Qué amenazas y ataques prevemos? ¿De qué forma afectarán a este entorno los problemas geopolíticos, la legislación y las acciones normativas? Y ¿qué respuestas anticipamos de los proveedores de servicios en la nube y de seguridad?
Peter Bury David Coffey Carric Dooley John Loucaides Scott Montgomery Raj Samani Rick Simon Shishir Singh Jamie Tischart Candace Worley
En este artículo respondemos a estas preguntas: ■■
■■
■■
¿Qué amenazas y ataques prevemos contra la nube? ¿De qué forma afectarán al entorno de la nube los problemas geopolíticos, la legislación y las acciones normativas? ¿Qué respuestas anticipamos de los proveedores de servicios en la nube y de seguridad?
Amenazas y ataques Los servicios en la nube siguen multiplicándose, madurando y creciendo a un ritmo muy rápido, ofreciendo a empresas, ciberdelincuentes y países nuevas oportunidades y amenazas. De nuestros debates, hemos extraído las 11 predicciones siguientes que corresponden a los resultados más destacados y probables durante los próximos dos a cuatro años. La confianza en la nube será cada vez mayor, lo que hará aumentar el volumen de datos confidenciales y procesos almacenados en ella, así como el interés por atacarla. La primera predicción es evidente, pero resulta fundamental para el resto de previsiones sobre las amenazas contra la nube. Durante los últimos dos años, el paso a aplicaciones, procesos y almacenamiento en la nube se ha disparado, y pensamos que la tendencia va a continuar. Los proveedores de servicios en la nube han mejorado (y lo seguirán haciendo) sus controles de seguridad y sus garantías para los clientes. Si no se producen ataques o interrupciones de suministro importantes que afecten a varias empresas, países o segmentos de la economía, la confianza en la nube seguirá aumentando. Organizaciones de todos los tipos y tamaños trasladarán una mayor cantidad de actividades de proceso y datos a la nube, y muchas empresas terminarán dependiendo completamente de ella. Los ataques se adaptarán, surgirán nuevas amenazas y se producirán fugas. Las empresas seguirán guardando sus activos más preciados en sus propias redes y centros de datos de confianza. A pesar de esta adopción de servicios en la nube, la mayoría de las empresas no se despojarán completamente de sus funciones de almacenamiento y procesamiento privadas, y guardarán una parte del núcleo fundamental del negocio, los datos y la propiedad intelectual, en lugar cercano. Irónicamente, las nubes públicas son sin duda más seguras que las privadas, ya que cuentan con un equipo de seguridad más experimentado tanto en procesadores como en aplicaciones. Las empresas que crean nubes privadas deben tener la seguridad de poder proteger todos los niveles de la pila, desde las apps a los sistemas operativos, desde el hardware al hipervisor. En la actualidad, las empresas tienen cada vez más dificultades para proteger sus activos más preciados, ya que el perímetro está menos claramente definido. El creciente uso de servicios en la nube no hará sino agravar esta situación, obligando a las empresas y a sus proveedores de servicios en la nube a ser más claros respecto a lo que está permitido trasladar a la nube, y con qué tipo de protección.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 12
Amenazas contra la nube, normativas y respuestas de los proveedores
Rapidez, eficacia y coste seguirán enfrentados a control, visibilidad y seguridad en las ofertas en la nube. Los proveedores y sus clientes elegirán diferentes puntos de equilibrio.
Los programas de autenticación anticuados y sus sistemas de control seguirán siendo el eslabón tecnológico más débil de la protección de la nube. Prevemos un aumento del robo de credenciales selectivo y de los ataques de fuerza bruta contra cuentas de administrador.
Comparta este informe
Rapidez, eficacia y coste seguirán enfrentados a control, visibilidad y seguridad en las ofertas en la nube. Para las empresas que todavía no han adoptado la nube de forma generalizada, el principal obstáculo para una adopción más amplia es la seguridad. (Sin embargo, estas empresas ya están en la nube, ya que muchos de sus empleados tienen archivos en Google, Dropbox, iCloud, OneDrive y otros servicios). Para las que ya se han trasladado a la nube, la seguridad ocupa el segundo o tercer puesto en la lista de obstáculos, tras la coherencia operativa y la supervisión financiera. Esto se verá reflejado en las ofertas de la nube, cuyos proveedores de servicios dudarán entre ofrecer velocidad, eficacia y coste por un lado o, por el otro, control, visibilidad y seguridad. Acabarán por elegir diferentes puntos de equilibrio que, en última instancia, se manifestarán en precios y acuerdos de servicio que ofrezcan a las empresas las opciones que mejor se ajusten al perfil de riesgo que deseen. Aunque en la actualidad la mayoría de los servicios en la nube se centran en la virtualización de almacenamiento, servidores y aplicaciones, durante los próximos cuatro años pensamos que los servicios serán cada vez más diferenciados. La nube consistirá cada vez más en contenedores generados por eventos y menos en código basado en servidores. Los contenedores tendrán una vida útil media más corta que las máquinas virtuales y funcionarán con código y datos que después desaparecerán. Este cambio hacia una velocidad y una eficacia mayores aumentará drásticamente la presión sobre la seguridad y los conflictos en torno a ella. Los programas de autenticación anticuados y sus sistemas de control seguirán siendo el eslabón tecnológico más débil de la protección de la nube; muchos ataques se centrarán primero en el robo de credenciales. Las contraseñas, y las personas que las crean y utilizan, seguirán representando el punto más débil de todas las tecnologías en el futuro inmediato. La autenticación en la nube no es distinta y representa un botín mucho mayor para los ciberdelincuentes. Los agresores, algunos de ellos muy pacientes y sofisticados, examinarán redes sociales, contraseñas previamente robadas y otra información de identificación personal para robar credenciales, en particular las de administración de la nube. Ya se están utilizando ataques de phishing selectivo, campañas de contratación falsas y otras técnicas, y su uso continuará. Los sistemas de autenticación internos, como Active Directory, tienen una capacidad limitada para interactuar con los sistemas de autenticación que utilizan los proveedores de servicios en la nube. El problema se agrava con la proliferación de aplicaciones y servicios en la nube, unida a la afición de las personas a utilizar las mismas o similares contraseñas para cada servicio. Prevemos un aumento del robo de credenciales selectivo y de los ataques de fuerza bruta contra cuentas de administrador, y recomendamos prestar atención a la actividad de las cuentas de los administradores. Los ataques vendrán de todas direcciones y aprovecharán tanto el vector vertical como el horizontal. Tal y como hemos expresado en Black Hat y otras conferencias de seguridad, los ciberdelincuentes continúan probando y explotando con éxito nuevos vectores de ataque. En los sistemas y redes tradicionales, la mayoría de los ataques siguen un patrón "vertical" que intenta subir o bajar en la pila para aumentar sus privilegios, aprovechar una vulnerabilidad o conseguir acceso a datos o aplicaciones. Los agresores contra la nube seguirán utilizando este modelo, pero también estarán atentos a las oportunidades que se presenten en dirección "horizontal". Los ataques horizontales intentan desplazarse de una máquina virtual, contenedor u otro artefacto de la nube a otro, pasando de unos servicios a otros e incluso de unas empresas a otras. Los ciberdelincuentes utilizarán la escala de la nube y sus amplias superficies de ataque en una búsqueda generalizada de vulnerabilidades para, acto seguido, intentar atacar varias empresas del mismo proveedor de servicios en la nube o generar procesos maliciosos que ofrezcan un punto de apoyo para la vigilancia permanente y la filtración.
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 13
Amenazas contra la nube, normativas y respuestas de los proveedores
El segundo eslabón más débil está en las deficiencias de cobertura entre las capas del servicio y en las configuraciones o controles incoherentes; los agresores aprovecharán con éxito estas deficiencias e incoherencias.
El segundo eslabón más débil está en las deficiencias de cobertura entre las capas del servicio y en las configuraciones o controles incoherentes; los agresores aprovecharán con éxito. Hay muchas variantes de proveedores de servicios en la nube, tanto en infraestructura como en aplicaciones. Las organizaciones no siempre dejan claro el reparto de responsabilidades entre sus proveedores en la nube y ellas mismas, lo que genera brechas en la seguridad potencialmente aprovechables. No se trata de un fallo de tecnología, sino de proceso. Las organizaciones cuentan con las herramientas y saben lo que debe hacerse, pero en ocasiones dan por sentado que la otra parte se ocupa de ello. Además, aquellas que utilizan varios proveedores de servicios en la nube pueden tener distintos niveles de seguridad según el proveedor, como consecuencia de controles o terminología distinta o incoherente. Esto se debe en parte a la gran cantidad de estándares de seguridad que utilizan los proveedores de servicios en la nube, que afectan a la coherencia y, por lo tanto, a la capacidad de comparar de igual a igual. Estos fallos de proceso e incoherencias en los controles de seguridad allanarán el camino a los ciberdelincuentes hasta que se comprendan mejor los procesos y maduren los estándares de control de la seguridad en la nube. La visibilidad y el control seguirán siendo problemas clave para las empresas a la hora de trasladar los procesos informáticos y los datos a la nube. La capacidad de la computación en la nube para desplazar procesos y datos en función de las necesidades ofrece enormes ventajas, pero puede generar también serios problemas de seguridad o privacidad. Ya hemos visto casos de empleados que reciben dinero a cambio de sus contraseñas. El desconocimiento o la incapacidad de controlar dónde están los datos o qué procesos se ejecutan generará quebraderos de cabeza a empresas de todo tipo. Independientemente de si intentan mantener los datos dentro de las fronteras de un país para cumplir las normativas de privacidad nacionales, evitar que los procesos se ejecuten en determinados entornos de la nube por razones de seguridad, impedir que la información confidencial o la propiedad intelectual salga de las oficinas, o simplemente conocer sus patrones de uso de la nube, la capacidad para ver y restringir el movimiento dentro de las nubes y entre ellas sigue muy alejada de las necesidades reales. Este uso de componentes legítimos (apps, credenciales, etc.) para posibles fines ilegítimos requiere la adopción de análisis de comportamiento basado en el contexto. No esperamos que se produzcan cambios significativos en los problemas de visibilidad y control en un futuro cercano. Los ciberdelincuentes, incluidos los que trabajan a sueldo, utilizarán las nubes por escala, velocidad y anonimato. Desafortunadamente, no existe una forma sencilla de impedir que los ciberdelincuentes utilicen los recursos de la nube. Claro está que, una vez detectada la actividad maliciosa, se bloquea, pero este proceso puede llevar meses. Mientras tanto, los ciberdelincuentes aprovecharán los recursos de la nube para llevar a cabo ataques de fuerza bruta, ataques complejos multivectoriales y ataques ágiles que alternan sitios web y países para eludir la acción de la justicia. Los servicios de almacenamiento de datos en la nube permitirán la creación de almacenes de datos robados que podrán analizarse para detectar conexiones y correlaciones útiles. Los cambios constantes de cuentas, direcciones IP, ubicaciones de servicios, contenedores efímeros y otras funciones de la nube ayudarán a los ciberdelincuentes a ocultar su identidad durante más tiempo y a complicar su rastreo. Esta situación no cambiará en el transcurso de los próximos 2-4 años.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 14
Amenazas contra la nube, normativas y respuestas de los proveedores
"La denegación de servicio hasta que se pague un rescate" se convertirá en un ataque habitual contra los proveedores de servicios en la nube y las organizaciones basadas en la nube. La presencia de muchos clientes en una sola nube aumentará el atractivo de los ataques de denegación de servicio contra los proveedores de servicios en la nube. La mayoría de los proveedores de servicios pueden protegerse contra este tipo de ataques razonablemente bien. Sin embargo, los ciberdelincuentes aumentarán sus esfuerzos para detectar vulnerabilidades que puedan aprovechar. Una vez localizadas, el ataque será inmediato. Y si una organización depende absolutamente de la nube, son muchos los puntos entre ella y la nube susceptibles de ataque para conseguir bloquear la actividad empresarial. Nos referimos, por ejemplo, a la conexión a Internet, los servicios DNS y otros componentes de la infraestructura. Para bloquear la actividad de una empresa dependiente de la nube, no es necesario perjudicar directamente al proveedor de servicios en la nube. Basta con impedir el acceso a la nube y acto seguido pedir un rescate. Excepto las basadas en la fragilidad de las credenciales, las fugas de datos de nubes públicas seguirán siendo escasas, pero su impacto será cada vez mayor. La plantilla de los proveedores de servicios en la nube a menudo tiene más conocimientos técnicos sobre protección de la nube que los clientes a los que atienden, por lo que pensamos que el número de fugas de datos en la nube, excepto las que se produzcan como consecuencia del robo de credenciales, seguirá siendo bajo. Sin embargo, cuando una fuga de datos en la nube proporciona acceso a grandes almacenes de datos de varios clientes, las consecuencias pueden ser importantes. Que la fuga afecte más a los proveedores de servicios en la nube o a las empresas que los contraten probablemente dependerá de quien sea capaz de demostrar que hizo todos los esfuerzos razonables en su esfera de responsabilidad. El incremento en el número y variedad de dispositivos del Internet de las cosas (IoT) acabará con algunos modelos de seguridad de la nube y facilitará que se produzcan con éxito ataques a través de estos dispositivos. La mayoría de los sistemas de autenticación conllevan la interacción entre una persona y un dispositivo, o entre dos dispositivos. A medida que crezca el número de dispositivos IoT accesibles a través de Internet, estos se comunicarán con otros dispositivos IoT y tomarán decisiones de autenticación a velocidad de vértigo. La falta de estructura de seguridad, autoridad de confianza y control sobre este tipo de comunicación es notable, lo que da lugar a fugas y vulnerabilidades aprovechables. Los proveedores de servicios en la nube se esforzarán por imponer sus modelos actuales en este nuevo entorno, lo que aumentará enormemente la latencia y la complejidad, ingredientes que favorecen los fallos de seguridad. Ya se han producido ataques a redes empresariales a través de dispositivos IoT no protegidos, y las nubes son el siguiente objetivo.
Leyes y fronteras Las amenazas y las fugas de datos en la nube inducirán una respuesta política y normativa. La velocidad de los avances tecnológicos dificultará la creación de una legislación eficaz, y viceversa. La existencia de normativas diferentes, e incluso contradictorias, entre los distintos países complicará las cosas a consumidores, empresas y proveedores de servicios en la nube.
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 15
Amenazas contra la nube, normativas y respuestas de los proveedores
Las leyes no podrán adaptarse al ritmo de los avances tecnológicos. Los proveedores de servicios en la nube, sus clientes y el sector emergente de ciberseguros se enfrentarán a años de litigios antes de que se determine cuál es la conducta adecuada.
Las leyes no podrán adaptarse al ritmo de los avances tecnológicos. Las normativas utilizarán expresiones como "diligencia debida" y "esfuerzos razonables", dejando a los proveedores de servicios en la nube y sus clientes expuestos a litigar. De todos es conocida la incapacidad de las leyes para adaptarse al ritmo de los avances tecnológicos. La legislación respecto a la protección de datos y la privacidad de los consumidores en la nube no es distinta. Los legisladores buscarán expresiones como "diligencia debida" o "esfuerzos razonables" para referirse a la seguridad de los datos en la nube a fin de aprobar leyes eficaces que no queden inmediatamente obsoletas. Lamentablemente, llevará tiempo y muchos pleitos definir estos términos con suficiente detalle a través de la jurisprudencia. En general no hay pruebas cualitativas sencillas que puedan aplicarse a la ciberseguridad de sistemas y datos, en especial en la nube, donde varias entidades deben proporcionar protección de manera conjunta. Entre tanto, los proveedores de servicios en la nube, sus clientes y el sector emergente de ciberseguros se enfrentarán a años de litigios como demandantes o demandados para determinar si sus esfuerzos fueron "razonables". La opinión pública tendrá su peso cuando las empresas cuyas nubes hayan sido atacadas se esfuercen por demostrar que hicieron todo lo posible para proteger a sus clientes. El movimiento de datos hacia dentro y fuera de las jurisdicciones será un reto constante. La legislación para proteger a los consumidores inhibirá la adopción de la nube. En un intento de proteger la privacidad de los consumidores, los legisladores aprobarán normativas que obligarán a las empresas que recopilan información personal a almacenarla dentro de las mismas fronteras de los ciudadanos que representan. Esto supondrá una dificultad para las empresas, que deberán identificar y clasificar sus datos, y para los proveedores de servicios de Internet, que tendrán que aplicar controles cada vez más diferenciados para el movimiento de datos y procesos. ¿Qué ocurrirá con el acuerdo de servicio si se ve afectado un importante centro de datos en la nube situado en un país y la copia de seguridad más cercana se encuentra al otro lado de la frontera? ¿Cómo separarán las multinacionales los datos de clientes, ventas y productos para poder aplicar los controles según estas nuevas leyes? Estas y otras dificultades similares frenarán la adopción de la nube, ya que las organizaciones se verán obligadas a crear centros de datos propios en algunos países o decidirán que es demasiado caro hacer negocios allí. Algunas jurisdicciones impondrán un mínimo de requisitos de funcionamiento, certificación o auditoría a los proveedores de servicios en la nube y a sus empresas asociadas. ¿Qué pasa con los datos cuando quiebra un proveedor de servicios en la nube? ¿De qué forma están protegidos empresas y consumidores frente a ciberdelincuentes o países que crean en la nube servicios maliciosos cuyo principal propósito es la recopilación de datos? ¿Cuáles son las obligaciones legales entre un proveedor de servicios en la nube y sus subcontratistas o empresas asociadas? Otra respuesta probable de los órganos políticos será la imposición de un mínimo de requisitos de funcionamiento, certificaciones independientes o condiciones de auditoría a los proveedores de servicios en la nube que operen en sus países. La definición de los términos y los niveles de relación representarán un desafío importante, y generará opiniones encendidas y un debate intenso en el sector. Independientemente de las legislaciones, los riesgos y las mayores consecuencias de una fuga de datos recaerán sobre el proveedor de servicios principal, no sobre los subcontratistas o socios comerciales.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 16
Amenazas contra la nube, normativas y respuestas de los proveedores
Respuestas de los proveedores Las amenazas, los incidentes y la legislación provocarán una respuesta por parte de los proveedores de servicios y de seguridad en forma de tecnología y servicios. Se mejorarán los sistemas de autenticación, se desarrollarán controles a nivel de empresa, se automatizarán las funciones de seguridad para reducir las deficiencias e incoherencias, y el intercambio de inteligencia sobre amenazas mejorará la detección. A continuación presentamos cuáles creemos que serán las diez principales respuestas a las amenazas contra la nube durante los próximos 2-4 años.
Las contraseñas deben sustituirse por sistemas de autenticación más seguros, pero estos no pueden obstaculizar demasiado el proceso de conexión. La biometría, la autenticación multinivel y el análisis del comportamiento ayudarán a proteger el núcleo operativo tanto de los proveedores de servicios como de sus clientes.
La biometría, la autenticación multinivel y el análisis del comportamiento ayudarán a proteger el núcleo operativo tanto de los proveedores de servicios como de sus clientes. Las contraseñas deben sustituirse por sistemas de autenticación más seguros, pero estos no pueden obstaculizar demasiado el proceso de conexión. A corto plazo, creemos que aumentará la autenticación multifactor, a menudo mediante el uso de teléfonos móviles o sistemas de pregunta-respuesta. Se impondrá primero para administradores, ya que el impacto del robo de credenciales de administrador es más grave. También se utilizarán análisis del comportamiento para detectar actividades anormales en los inicios de sesión de las cuentas. A largo plazo, se incrementará de forma importante la adopción de opciones biométricas en formatos que la gente encuentre fáciles y cómodos de utilizar. Las huellas digitales se sustituirán o reforzarán con otros factores personales, como rostros, latidos del corazón o retinas, a medida que su implementación sea comercialmente viable. La visibilidad y el control a nivel de empresa ayudarán a gestionar la transferencia de información a la nube desde las TI en la sombra y a organizar la complejidad y el volumen del trabajo realizado en la nube. Los proveedores de servicios en la nube hacen posible que un departamento o línea de negocio traslade la carga de trabajo a la nube sin la intervención del equipo de TI. En muchas empresas, los equipos de seguridad o de TI quizá no sepan que estas entidades trasladan datos o procesos a la nube, lo que puede poner en peligro a toda la empresa. A los proveedores se les pide que respondan a esta situación con herramientas que aumenten la visibilidad y el control de los datos. Creemos que las herramientas de prevención contra la pérdida de datos y organización de directivas se adaptarán cada vez más a la nube. El siguiente paso serán las extensiones para la nube, que permitirán aplicar controles de seguridad y directivas directamente con el proveedor de servicios en la nube.
La evaluación de la seguridad, la autenticación, la mitigación y la auditoría de la nube son algunos de los aspectos en los que la automatización puede aumentar el número de expertos humanos, lo cual ayudará a paliar la falta de talento.
La automatización de la seguridad ayudará a paliar la falta de talento. Para los proveedores de servicios en la nube, la falta de conocimientos de seguridad representará a la vez una amenaza y una oportunidad. Si han de convertir la amenaza en una oportunidad, tendrán que incorporar la experiencia en seguridad a herramientas y bots automatizados que simplifiquen los controles de seguridad de la nube y permitan que un mayor número de personas defina y supervise con eficacia sus defensas. La evaluación de la seguridad, la autenticación, la mitigación y la auditoría de la nube son algunos de los aspectos en los que la automatización puede aumentar el número de expertos humanos, mejorar el conocimiento del contexto y ampliar la funcionalidad a los directivos de empresa.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 17
Amenazas contra la nube, normativas y respuestas de los proveedores
Los agentes de seguridad de acceso a la nube seguirán madurando, ofreciendo mayor seguridad, más visibilidad y más control. El descubrimiento y la aplicación de directivas y métodos de autenticación a los servicios en la nube seguirán siendo muy importantes para proteger la empresa. Un agente de seguridad de acceso a la nube (CASB, por sus siglas en inglés) es una buena forma de aprobar y aplicar directivas, pero no resolverá el problema clave de la autenticación. El principal valor se encuentra en los datos, y el interés por ellos será cada vez mayor mientras se afianzan los CASB y se coordinan o se integran con otros sistemas de seguridad para decidir qué datos de la nube hay que proteger y de qué forma. La mayor protección de los datos en circulación y en reposo se convertirá en una ventaja competitiva para algunos proveedores de servicios en la nube. Algunos servicios fundamentales de la nube, como los de almacenamiento o alquiler de procesadores, se están convirtiendo en productos básicos. Para diferenciarse, algunos proveedores de servicios en la nube ofrecerán protecciones adicionales para los datos almacenados, procesados y en circulación en sus sistemas. Más allá de ofrecer simplemente cifrado, estos servicios premium incluirán comprobaciones de integridad, supervisión en tiempo real y técnicas mejoradas de prevención de pérdida de datos para ofrecer una ventaja competitiva a largo plazo. La auditoría y visibilidad de las operaciones de los proveedores de servicios en la nube se convertirán en norma. Bien por la demanda de los clientes, las presiones de la competencia o las normativas del sector, en cuatro años la auditoría y la visibilidad en tiempo real se habrán convertido en oferta estándar para la mayoría de los proveedores de servicios en la nube. La capacidad para responder a la pregunta de los clientes "¿dónde han estado mis datos?" pasará rápidamente de ser un componente diferenciador de los servicios en la nube a ser un elemento estándar. Las auditorías estáticas y las vistas históricas no bastan para garantizar un nivel de protección suficiente para los datos y los flujos de trabajo de gran valor.
Las soluciones de seguridad se convertirán en predictivas y preceptivas, y ayudarán a detectar las amenazas emergentes y a detener los ataques mucho antes de que afecten a los sistemas.
Se producirá un intercambio de datos sobre amenazas mucho mayor entre empresas y proveedores de servicios en la nube, lo que mejorará la identificación y el tiempo de reacción a los ataques.
Los proveedores de servicios de seguridad empezarán a utilizar el aprendizaje automático para predecir y bloquear ataques antes de que causen daños. Las soluciones de seguridad que protegen la propia infraestructura de la nube cobrarán una importancia fundamental, ya que, de verse comprometida, se obtendría acceso directo a aplicaciones y datos de muchos clientes. El volumen de eventos será abrumador, por lo que continuará el desarrollo de herramientas sofisticadas y automatizadas capaces de diagnosticar y resolver rápidamente los incidentes. Al basarse en el uso del aprendizaje automático y el análisis de los big data, las soluciones de seguridad se convertirán en predictivas y preceptivas, y ayudarán a detectar las amenazas emergentes y a detener los ataques mucho antes de que afecten a los sistemas. Se crearán organizaciones de intercambio de inteligencia sobre amenazas entre los proveedores de servicios en la nube, lo que mejorará la identificación y el tiempo de reacción a los ataques. En la actualidad, algunas organizaciones y proveedores de servicios en la nube no perciben las ventajas del intercambio de inteligencia sobre amenazas. En los próximos años, ya sea como consecuencia de la legislación o de la agresividad de los ataques, se producirá un intercambio de datos sobre amenazas mucho mayor entre empresas y proveedores de servicios en la nube, y las ventajas quedarán claras. Aunque en ocasiones pueda resultar incómodo, las empresas se darán cuenta de que las ventajas de compartir información en tiempo real sobre ataques fallidos y no fallidos superan holgadamente las desventajas.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 18
Amenazas contra la nube, normativas y respuestas de los proveedores
Las normas técnicas y de garantía de la seguridad en la nube seguirán fortaleciéndose. La Cloud Security Alliance, entre otras, ha desarrollado normas, directrices, certificaciones y mejores prácticas para la administración de servicios en la nube. Hasta la fecha, se han centrado en el desarrollo de estándares y pautas que ofrezcan más transparencia a los clientes. En la actualidad, las normas de seguridad de la nube son una especie de mosaico variopinto, pero hay un creciente consenso sobre el significado de la seguridad de diseño y funcionamiento de la nube. Creemos que durante los próximos 2-4 años las normas de garantía se definirán mejor, se consolidarán más y serán adoptadas por los principales proveedores de servicios en la nube. El mercado de los ciberseguros crecerá, pero se enfrentará a la interpretación de "esfuerzos razonables" y a la necesidad de clarificar si se ha producido un evento asegurable. Las aseguradoras ofrecerán ciberseguros, así como calificaciones de seguridad que ayudarán a reducir las primas. Algunos países introducirán leyes y normativas que, junto con la madurez de la oferta de la nube, contribuirán a aumentar la confianza en ella. Sin embargo, los seguros de la nube seguirán siendo un negocio subjetivo, con muchas cláusulas de salvaguardia. En este periodo no se darán la infraestructura y la experiencia necesarias para tomar decisiones objetivas sobre costes, siniestros y eventos asegurables.
Conclusiones El continuo y rápido crecimiento del uso de servicios en la nube los convertirá en objetivos de ataque cada vez más atractivos. Aunque muchas empresas seguirán conservando la información más confidencial en centros de datos privados, la necesidad de velocidad, eficacia y reducción de costes incrementará el volumen de datos que salgan de la red de confianza y se trasladen a la nube, donde pueden conseguir estas ventajas. Mientras las empresas aprenden a compatibilizar sus operaciones con la nube, las deficiencias de control, visibilidad y seguridad provocarán fugas de datos. Los ataques vendrán de todas direcciones y se desplazarán verticalmente en la organización y horizontalmente a empresas ubicadas en el mismo lugar. Las credenciales y los sistemas de autenticación seguirán siendo los puntos de ataque más vulnerables, por lo que los ciberdelincuentes se esforzarán en robar credenciales, en particular las de administrador, ya que son las que permiten un acceso más amplio. La certificación de los proveedores de servicios en la nube, unos requisitos operativos mínimos y otros controles normativos serán respuestas legislativas habituales a las preocupaciones de seguridad y privacidad. Variarán enormemente de unas jurisdicciones a otras y en algunos casos actuarán como freno a la adopción de la nube. Las multinacionales se encontrarán en la tesitura de tener que navegar entre fronteras. Las leyes no podrán adaptarse al ritmo de los avances en la tecnología y la oferta de servicios de la nube. Los pleitos jugarán un papel importante, sobre todo tras las fugas, ya que demandantes y demandados intentarán determinar quién hizo esfuerzos "razonables".
Comparta este informe
Los proveedores de seguridad y de servicios en la nube trabajarán para mejorar los sistemas de autenticación, y optarán gradualmente por opciones biométricas como mejor solución. Los proveedores de servicios y sus clientes exigirán mayor visibilidad y las auditorías en tiempo real se convertirán en una oferta estándar. Aparecerán tecnologías para proteger mejor los datos en reposo y en circulación. A fin de responder al volumen y velocidad de las amenazas, se utilizarán servicios de análisis del comportamiento, automatización de la seguridad e intercambio de inteligencia sobre amenazas para mejorar las funciones de detección y corrección. El aprendizaje automático surgirá como forma de predecir y bloquear ataques antes de que provoquen daños. McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 19
Amenazas contra el Internet de las cosas, normativas y respuestas de los proveedores Compartir opinión
Amenazas al Internet de las cosas, normativas y respuestas de los proveedores
Amenazas contra el Internet de las cosas, normativas y respuestas de los proveedores Diez líderes de pensamiento de Intel han colaborado en la elaboración de estas previsiones sobre las amenazas contra el Internet de las cosas y las respuestas que se esperan en los próximos 2-4 años. Nuestro equipo: Jonathan Anderson Yuriy Bulygin Carric Dooley John Loucaides Scott Montgomery Raj Samani Rick Simon Ramnath Venugopalan Lori Wigle Candace Worley
Parecía prometedor, pero es el Salvaje Oeste El Internet de las cosas (IoT, del inglés Internet of Things) engloba cientos o miles de tipos de dispositivos de todos los sectores. De hecho, no debería considerarse como una suma de dispositivos, sino como redes de dispositivos que facilitan y ofrecen servicios, muchos de los cuales se alojan en la nube. Por este motivo, las amenazas dirigidas al IoT, y las respuestas correspondientes, están íntimamente relacionadas con las de la nube. En muchos sectores, estas redes de dispositivos para la nube se pueden considerar como comunidades de interés. Por ejemplo, una planta de una fábrica es una comunidad de interés para el fabricante, y la red contiene los dispositivos que se necesitan para fabricar los productos. En el caso de los hospitales, los dispositivos médicos y la red asociada que utiliza el personal médico representan una comunidad de interés. Las oportunidades para robar datos, denegar operaciones o provocar daños serán muy abundantes. En este artículo, nos centraremos en la evolución de la seguridad del IoT durante el período que va de los próximos dos a cuatro años. ¿Qué amenazas y ataques prevemos? ¿De qué forma afectarán a este entorno los problemas geopolíticos, la legislación y las acciones normativas? Y ¿qué respuestas anticipamos de los desarrolladores de dispositivos IoT y los proveedores de seguridad?
Amenazas y ataques En este artículo respondemos a estas preguntas: ■■
■■
■■
¿Qué amenazas y ataques prevemos contra el Internet de las cosas? ¿De qué forma afectarán al entorno del Internet de las cosas los problemas geopolíticos, la legislación y las acciones normativas? ¿Qué respuestas anticipamos de los desarrolladores de dispositivos IoT y de seguridad?
Aunque la amenaza de ataques al IoT es real, aún no está claro cuáles son las oportunidades para los delincuentes que actúan por motivaciones económicas. Los ciberdelincuentes encontrarán modelos rentables y los ataques con motivaciones financieras se generalizarán.
A los ciberdelincuentes y a las naciones-estados les interesan los dispositivos IoT por uno de estos dos motivos: son una fuente potencial de datos o metadatos, o son un vector potencial de ataque para provocar daños. De nuestras discusiones hemos extraído las 10 predicciones siguientes que corresponden a las más destacadas y probables durante los próximos dos a cuatro años. Aunque la amenaza de ataques al IoT es real, aún no está claro cuáles son las oportunidades para los delincuentes que actúan por motivaciones económicas. Es evidente que en la actualidad los dispositivos IoT son vulnerables y que existen oportunidades para atacarlos, sin embargo para poder ganar dinero se necesitaría una cantidad suficiente de un dispositivo IoT concreto en una ubicación esencial en la red y un modelo claro para rentabilizar los ataques; de lo contrario, las posibilidades de lucrarse son limitadas. ¿Es mejor retener los dispositivos IoT a cambio de un rescate, atacarlos para obtener datos que posteriormente se vendan en mercados clandestinos, o utilizarlos para provocar daños, como por ejemplo, una interrupción general del servicio en una empresa? En los próximos cuatro años, los ciberdelincuentes contestarán a estas preguntas, y los ataques con motivaciones financieras se generalizarán. Curiosamente, aunque hay muchas más oportunidades para provocar daños, hasta el momento, solo hemos observado unos cuantos casos, probablemente debido a que los autores potenciales temen las represalias.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 21
Amenazas al Internet de las cosas, normativas y respuestas de los proveedores
El ransomware migrará al IoT, ya que su efectividad para reportar ganancias relativamente fáciles a los ciberdelincuentes está demostrada.
El ransomware será la principal amenaza. Una de las mayores dificultades al realizar predicciones sobre amenazas es saber si las posibles motivaciones corresponden a las oportunidades reales. En el caso de algunas de las vulnerabilidades o ataques de hackers a dispositivos IoT que reciben mucha publicidad, sería simplemente demasiado difícil ejecutarlos a gran escala. Estamos seguros de que el ransomware migrará al IoT, ya que su efectividad para reportar ganancias relativamente fáciles a los ciberdelincuentes está demostrada. Dirigirse contra uno o varios dispositivos IoT, o contra su plano de control o su punto de agregación en la nube, y retenerlos a cambio de un rescate reporta beneficios financieros más rápidos y fáciles que atacar un gran número de dispositivos, intentando pasar desapercibido, con el objetivo de extraer datos. Ya observamos ataques de ransomware contra dispositivos IoT en los sectores de distribución de energía y servicios sanitarios. El hacktivismo será el riesgo más importante. Aunque el ransomware está garantizado para muchas organizaciones con dispositivos y conexiones de IoT, el hacktivismo será más peligroso para ellas. Nuestro razonamiento se basa en que el objetivo de la mayoría de los delincuentes es ganar dinero, por lo tanto no tienen interés en dañar o perjudicar gravemente a una empresa. Sin embargo, los activistas suelen intentar defender sus ideas mediante acciones desproporcionadas que buscan notoriedad. Ya sea tomando el control y alterando los recuentos automáticos de votaciones, abriendo las válvulas en una presa o inutilizando los sistemas de seguridad en una planta química, las posibilidades de causar daños catastróficos son reales. Prevemos que en los próximos dos a cuatro años los hacktivistas lo intentarán, pero sin embargo, solo algunos, en el mejor de los casos, lo conseguirán. Los ataques de naciones-estados a infraestructuras críticas serán motivo de preocupación constante, pero no serán muy frecuentes por el temor a represalias físicas o cibernéticas. Los ataques de naciones-estados son el hermano mayor del hacktivismo. La oportunidad de dañar o perjudicar la capacidad militar o económica de otro país es real, y ya hemos observado algunos ataques durante el año pasado. Estos ataques han afectado principalmente a los sistemas SCADA, que son un tipo de dispositivo IoT. Sin embargo, el miedo a represalias militares, económicas o cibernéticas por parte de la víctima limitará la frecuencia de los ataques de naciones-estados a infraestructuras críticas.
Los dispositivos IoT cruzarán rápidamente los límites de la legislación actual sobre la privacidad y los organismos oficiales no conseguirán responder con celeridad.
El IoT reducirá considerablemente la privacidad del consumidor. Hasta ahora hablar de muerte de la privacidad era exagerado, sin embargo, el IoT nos acerca a su desaparición. Simplemente hay demasiados dispositivos IoT vigilando, escuchando, grabando, acumulando o siguiendo de cualquier otra forma las acciones de los consumidores. En muchos casos al comprar un servicio a una empresa los consumidores le permiten que les controle de forma gratuita. Por supuesto los detalles se incluyen en los acuerdos de licencia, pero la mayoría de los consumidores no los leen y, en cualquier caso, no se les ofrece la opción de oponerse. Los dispositivos IoT cruzarán rápidamente los límites de la legislación actual sobre la privacidad y los organismos oficiales no conseguirán responder con celeridad. Las expectativas en cuanto a protección de la intimidad afectarán a proveedores de dispositivos y a operadoras de servicios, ya que algunos gobiernos exigirán acuerdos específicos, autorizaciones e incluso una compensación a cambio de utilizar o compartir los datos de un usuario.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 22
Amenazas al Internet de las cosas, normativas y respuestas de los proveedores
Veremos más casos de dispositivos IoT utilizados como gateways para permitir el robo de datos y propiedad intelectual, paralizar infraestructuras críticas y cometer otros ataques importantes.
Los dispositivos IoT servirán como útiles vectores de ataques dirigidos a sistemas de control, vigilancia e información. En los próximos 2-4 años, veremos más casos de dispositivos IoT utilizados como gateways para permitir el robo de datos y propiedad intelectual, paralizar infraestructuras críticas y cometer otros ataques importantes. Muchos de los dispositivos IoT nuevos que salen al mercado carecen de la seguridad necesaria. Por otra parte, los dispositivos IoT que ya se utilizan presentan problemas similares o vulnerabilidades conocidas que no se pueden corregir con un parche ni actualizar. En otros casos, se conectan a la red dispositivos inofensivos pero sin el aislamiento o la segmentación necesarios, de manera que proporcionan a personas ajenas acceso a entornos de confianza de manera inadvertida. Por último, no hay que olvidar la presión del equipo de operaciones: "Funciona. ¡No lo toques!" Estos factores contribuyen a que los dispositivos IoT sean una ventana abierta que ofrece acceso a diversos tipos de sistemas y organizaciones. Los fabricantes de dispositivos seguirán cometiendo fallos básicos al dotar a sus productos de conexión a Internet. Hay dos principales razones por las que las empresas quieren que sus productos se conecten a Internet: para ser más eficaces y para obtener datos sobre el uso del dispositivo. Algunas de estas empresas tienen poca o ninguna experiencia con dispositivos con dirección IP. Por este motivo, muchas basan su aprendizaje en la técnica del ensayo y error, reproduciendo así la historia de la seguridad en Internet. Por desgracia, ahora todo esto ocurre en un entorno más hostil. Para que la seguridad llegue a formar parte del diseño de las actividades cotidianas en todas las empresas, antes tienen que darse algunas combinaciones de incidentes, normativas y aprendizaje. Este período de aprendizaje no se limitará a cuatro años. El plano de control de los dispositivos IoT será uno de los objetivos principales. Cuando hablamos de ataques al IoT, nos referimos normalmente a los que afectan directamente a los dispositivos IoT. Sin embargo, aunque ciertamente los ataques a dispositivos son habituales, con frecuencia son difíciles de medir. Atacar un coche autónomo, una válvula conectada o una cerradura inteligente no es muy rentable en términos económicos. Por este motivo, los delincuentes suelen optar por dirigir sus esfuerzos al plano de control de los dispositivos IoT. Los planos de control disponen de un determinado nivel de acceso con derechos específicos para supervisar los procesos y cambiar la configuración de varios dispositivos. Si bien es cierto que se han dedicado esfuerzos considerables a la seguridad de los propios dispositivos IoT, no se han considerado tan prioritarios los sistemas que controlan dichos dispositivos. La escala prevista de los despliegues de dispositivos IoT más importantes implica que sus planos de control serán complejos, con una enorme superficie de ataque. Los agresores que puedan dañar la integridad de los mensajes en el flujo de control o poner en riesgo al propio agente de control debido a la falta de autenticación o al robo de credenciales serán los más beneficiados.
Los puntos de agregación, donde se recopilan los datos de los dispositivos IoT, serán también un objetivo fundamental a corto plazo. El punto débil son una vez más las credenciales y los sistemas de autenticación.
Los puntos de agregación, donde se recopilan los datos de los dispositivos, serán también un objetivo fundamental. Otro posible punto débil de los sistemas del IoT es el punto de agregación, donde se recopilan datos de varios dispositivos IoT. Al igual que ocurre en el caso del plano de control, atacar el punto de agregación ofrece una oportunidad de obtener mejores réditos. En lugar de atacar varios dispositivos e ir reuniendo los datos lentamente en pequeños incrementos, ¿por qué no ir directamente al filón principal? En lugar de retener cada uno de los coches a cambio de un rescate, se puede tomar el control de los sistemas de mantenimiento de todo el concesionario El punto débil son una vez más las credenciales y los sistemas de autenticación. Naturalmente, la mayoría de los puntos de agregación de dispositivos IoT estarán en la nube, por lo que también hay que tener en cuenta las vulnerabilidades y las amenazas dirigidas a la nube.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 23
Amenazas al Internet de las cosas, normativas y respuestas de los proveedores
Los dispositivos médicos con conexión a Internet sufrirán ataques de ransomware. Aún no sabemos qué pretenden los ciberdelincuentes que acceden a los dispositivos médicos que guardan información de pacientes, pero es un hecho que esto está ocurriendo y que se están filtrando datos médicos. Esta tendencia continuará en los próximos dos a cuatro años y también averiguaremos por qué se roban los datos médicos. Todavía más preocupante es saber que los dispositivos médicos que controlan órganos humanos —como los marcapasos, bombas de insulina y estimuladores de nervios— contarán con una conexión a Internet. Los delincuentes más desalmados verán en estos dispositivos médicos el paso siguiente para avanzar en los ataques de ransomware contra hospitales. En parte los hospitales son un buen objetivo del ransomware debido a su necesidad inmediata de acceso a la información. Un ejemplo clarísimo de esta necesidad urgente es un marcapasos. Por lo tanto, los delincuentes intentarán encontrar vulnerabilidades en estos dispositivos cuando se conecten a Internet y si lo consiguen, habrán encontrado una vía para obtener grandes sumas de dinero.
Leyes y fronteras Las amenazas y las fugas de datos relacionadas con el IoT tendrán la correspondiente respuesta política y normativa. La velocidad de los avances tecnológicos dificultará la creación de una legislación eficaz, y viceversa. La existencia de normativas diferentes, e incluso contradictorias, entre los distintos países complicará las cosas a los consumidores, los fabricantes de dispositivos y los proveedores de servicios. Un dudoso honor entre los ciberdelincuentes Tras un reciente ataque de ransomware a un hospital de California, algunos miembros de la comunidad de hackers calificaron a los agresores como "los hackers más tontos del mundo" y añadieron "como si fuera lo único que pudieran hackear" y comentarios como "si alguien muriera o resultara herido como resultado de estos ataques, sería terrible". Aunque parezca increíble, los hackers muestran a veces algo de compasión. A pesar del atractivo financiero de algunos ataques al IoT, las posibilidades de provocar lesiones o incluso la muerte hará que algunos se lo piensen dos veces y limitarán el número y la gravedad de los ataques.
La protección de la intimidad será la prioridad de la legislación relativa a dispositivos y servicios del IoT orientados al consumidor, y los datos que recopilan. Las respuestas tendrán una gran influencia de las normas culturales y para las empresas sortear estas diferencias no será fácil.
Comparta este informe
La legislación va a la zaga de la tecnología de dispositivos IoT y su adopción, lo que da lugar a litigios. Es bien conocida la incapacidad de las normativas para adaptarse al ritmo de los avances tecnológicos. Las ventajas de los sistemas y dispositivos IoT —ya sea para mejorar la atención sanitaria, la eficacia en la fabricación, la calidad de vida en el hogar o muchas otras posibilidades— justificarán su adopción, a pesar de que existen preocupaciones sobre su seguridad y privacidad. Como resultado, se producirán incidentes que darán lugar a litigios y protestas, y provocarán la indignación del consumidor. La legislación variará mucho según el país debido a las diferencias culturales y a la agilidad de la capacidad normativa de cada país. Promulgar leyes será un gran reto para los legisladores que se verán sometidos a intereses enfrentados. Es posible que algunas jurisdicciones, como la Unión Europea, asuman el papel de líderes en esta área, mientras que otras se limitarán a observar y esperar mientras puedan. Habrá grandes diferencias culturales y de legislación en materia de privacidad entre las distintas jurisdicciones. La protección de la intimidad será la prioridad de la legislación relativa a dispositivos y servicios del IoT orientados al consumidor, y los datos que recopilan. Este énfasis será fruto de la presión recibida del consumidor y se intensificará a medida que se produzcan robos de datos importantes. Las respuestas tendrán una gran influencia de las normas culturales y variarán enormemente entre los distintos países, sectores y otros grupos. Para las empresas sortear estas diferencias no será fácil y en algunos casos retrasarán, o incluso impedirán, su participación en algunos mercados. McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 24
Amenazas al Internet de las cosas, normativas y respuestas de los proveedores
La seguridad de los dispositivos IoT será un criterio clave de compra para las empresas. Y para los consumidores la protección de la privacidad lo será aún más. Dos puntos diferentes, pero relacionados, generarán algo de conflicto en los sectores de los dispositivos IoT y la seguridad. Las empresas considerarán que la seguridad de los dispositivos IoT y de los sistemas es el principal criterio de compra. Esto fomentará la aparición de funciones como la autenticación de dispositivos, el cifrado de datos, las actualizaciones de confianza, la seguridad basada en hardware y los entornos de ejecución fiable. Los consumidores, por su parte, tendrán más en cuenta la protección de la privacidad al comprar un dispositivo IoT, pero pecarán por exceso de comodidad. Esta actitud contribuirá a mejorar el cifrado y puede impulsar funciones como la anonimidad del dispositivo y la compensación directa o indirecta por permitir la obtención y el uso de datos personales.
Respuestas de los proveedores Las amenazas, las fugas de datos y la legislación provocarán una respuesta en forma de tecnología y servicios, por parte de los fabricantes de dispositivos IoT, y de los proveedores de servicios y seguridad. Se mejorarán la seguridad y la privacidad de los dispositivos, se desarrollarán medidas de protección de la identidad del usuario, se ampliarán las defensas basadas en hardware y evolucionarán los seguros de manera que cubran las implementaciones del IoT. A continuación se incluyen nuestras siete previsiones principales en cuanto a respuestas a amenazas contra el IoT de los próximos dos a cuatro años. Si no paga por un producto, usted es el producto. Poco a poco los consumidores se dan cuenta de que los datos que tienen en sus dispositivos IoT, como sus smartphones, tienen un valor y, por lo tanto, deberían recibir una compensación por compartirlos. En los próximos 2-4 años los productos y servicios gratuitos que generan ganancias a través de la recopilación de datos o la publicidad personalizada serán mucho más explícitos en lo relativo a este tema. Algunos ofrecerán opciones de pago que no incluyen la obtención de datos, mientras que otros pagarán al consumidor distintas cantidades según cuánta información puedan recopilar. Todo esto obligará a los desarrolladores de sistemas y dispositivos IoT a incrementar la seguridad y la privacidad. Opciones de cifrado nuevas y mejoradas. Como corolario a la predicción anterior, proteger los datos generados en dispositivos IoT en tránsito, desde su origen hasta su destino, será fundamental para evitar ataques de intermediario. Ya sea mediante el uso de cámaras remotas, lectores de tarjetas de pago, dispositivos de geolocalización o sistemas de control de fabricación, capturar los datos en tránsito generados por el IoT es demasiado fácil en la actualidad. La respuesta de los proveedores llegará en forma de más opciones de cifrado y claves más largas para mejorar la seguridad, y también con la ayuda de hardware para minimizar el impacto en el rendimiento. Estas serán las opciones que veremos en los próximos cuatro años. Algunos dispositivos IoT llevarán incorporada privacidad y seguridad basada en hardware. Ya sea por su formato, por su abundancia o por la falta de interacción humana, los dispositivos IoT son mucho más difíciles de proteger mediante software que los dispositivos de TI tradicionales. Por este motivo, la seguridad basada en hardware va a cobrar mucha más importancia. Por ejemplo, los entornos de ejecución de confianza, que solo permiten a determinados procesos ejecutarse y acceder a los datos, ya existen en algunos procesadores, y los desarrolladores de dispositivos IoT van a empezar a utilizarlos. En los próximos dos a cuatro años, los fabricantes de dispositivos IoT promocionarán esta característica e incluso veremos los inicios de aplicaciones particionadas o de confianza disponibles para dispositivos a través de sus tiendas de apps. Cuanta más seguridad se incorpore en el hardware de los dispositivos IoT, más probabilidades habrá de ofrecer una base sólida para una seguridad y una privacidad eficaces. McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 25
Amenazas al Internet de las cosas, normativas y respuestas de los proveedores
Los proveedores de seguridad introducirán y apoyarán las normas del sector para proteger la identidad de los dispositivos IoT. Una forma de mejorar la privacidad es asegurarse de que los proveedores de servicios no conozcan nunca las identidades de los dispositivos IoT. Un tercero puede encargarse de extraer y proporcionar la autenticación y la verificación de la identidad de un dispositivo y, a continuación, confirmar al proveedor de servicios que el dispositivo IoT es miembro de un grupo de confianza. Una posibilidad interesante es utilizar tecnología Blockchain, similar a la que emplea Bitcoin, para ofrecer anonimato en las transacciones de manera que no se puedan relacionar con una cuenta o un dispositivo IoT concreto. Seguiría siendo posible recopilar y vender datos, pero como un grupo agregado, y no identificable personalmente. Esperamos que esta técnica deje de ser empleada únicamente por empresas privadas y se convierta en estándar de la industria en los próximos cuatro años.
Se desarrollarán sistemas de control para gestionar y proteger los dispositivos IoT de manera automática y como parte de un agregado.
Surgirán sistemas de control de dispositivos IoT para integrar y proteger el enorme número de dispositivos IoT que se prevé que se conecten a Internet para 2020. El gran volumen y en ocasiones las limitadas funciones de los dispositivos IoT hacen imposible su administración y protección con métodos similares a los empleados para la seguridad de los sistemas de TI tradicionales. Por lo tanto, se desarrollarán sistemas de control para gestionar y proteger los dispositivos IoT de manera automática y como parte de un agregado. Entre las funciones clave se incluirán la autenticación y verificación de dispositivos autónomos, la administración de software y actualizaciones de dispositivos IoT, y la administración de las normativas de seguridad y privacidad. Será difícil actualizar rápidamente todos los dispositivos sobre la marcha, por lo que se requerirán otras defensas de seguridad para protegerlos frente a exploits de tipo zero-day. Surgirá la supervisión de comportamientos de los dispositivos IoT. Una técnica de protección que veremos en los próximos dos a cuatro años es la supervisión de comportamientos. Su objetivo es detectar y actuar cuando los dispositivos IoT realicen acciones no habituales o no autorizadas. Esto será especialmente importante como defensa frente a los exploits de tipo zero‑day y el robo de credenciales, que pueden sortear las medidas de seguridad tradicionales. Cuando se detecta actividad inusual en un dispositivo IoT o en su agente de control, ya sea debido a la hora del día (¿por qué se solicita esta actividad a las 2 de la mañana?), el contexto de otros dispositivos IoT (¿por qué está abierta esta válvula si el proceso correspondiente no ha empezado?) o una lista negra (los frenos de mi coche no deben desactivarse nunca de forma remota), se puede bloquear el comando, tomar medidas inmediatas para mitigar la amenaza o pedir instrucciones a una persona. Observaremos un crecimiento de los ciberseguros y la gestión de riesgos para las implementaciones de sistemas IoT. Las vulnerabilidades en dispositivos y sistemas IoT agudizan este riesgo. Tanto empresas como particulares seguirán adoptando dispositivos IoT debido a las ventajas que ofrecen, sin embargo intentarán gestionar el riesgo. Surgirán ofertas de seguros para esta contingencia. Para ello, las empresas y las compañías de seguros deberán definir y supervisar los requisitos de funcionamiento mínimos, de acuerdo con los cambios en el marco regulatorio y legal. Debido al daño potencial de un ataque al IoT, las pólizas de seguros serán una parte fundamental de la planificación de los sistemas IoT.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 26
Amenazas al Internet de las cosas, normativas y respuestas de los proveedores
Conclusión En los próximos años miles de millones de dispositivos IoT se conectarán a Internet, así que la amenaza de ciberataques es muy cierta. Sin embargo, los ciberdelincuentes aún tardarán bastante en descubrir cómo rentabilizar dichas acciones, por lo que el número de ataques contra estos dispositivos que serán efectivos probablemente seguirá siendo reducido. La adopción del IoT aumentará enormemente la superficie de ataque. Contribuirán al problema una seguridad insuficiente y los errores básicos que cometen los fabricantes de dispositivos IoT. Algunas de estas vulnerabilidades se aprovecharán como vectores de ataque inicial a sistemas de control, vigilancia e información. El ransomware será la amenaza más probable a corto plazo. Los puntos de agregación, donde se recopilan los datos de los dispositivos IoT, serán también un objetivo fundamental a corto plazo. La pérdida de privacidad del consumidor y las respuestas de los órganos legisladores a las preocupaciones de los usuarios serán noticia. Sin embargo, las ventajas y la eficacia que aportan los dispositivos IoT compensan sus desventajas, por lo que la tasa de adopción seguirá siendo alta. Las normativas variarán considerablemente según las jurisdicciones, lo que afectará al mercado, y los litigios jugarán un papel importante a la hora de orientar la dirección del mercado del IoT. Los proveedores diseñarán una amplia gama de respuestas para impulsar y favorecer las ventas. Habrá disponibles opciones de cifrado, seguridad y privacidad integradas en el silicio, sistemas de control de dispositivos para gestionar y proteger automáticamente los dispositivos IoT, y supervisión de comportamientos de los dispositivos IoT. Todas ellas se ofrecerán online y seguirán evolucionando. Se producirá un cambio importante que implicará una mejor comprensión del valor intrínseco de los datos personales. Los consumidores exigirán opciones para compartir sus datos personales recopilados por dispositivos IoT, como por ejemplo, una compensación económica.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 27
Predicciones para 2017
Compartir opinión
Predicciones para 2017
Predicciones para 2017 El ransomware remitirá en la segunda mitad de 2017 —Christiaan Beek
Creemos que el volumen y la eficacia de los ataques de ransomware disminuirán en la segunda mitad de 2017.
El ransomware seguirá siendo una amenaza significativa hasta la segunda mitad de 2017. El ransomware como servicio, el ransomware personalizado que se vende en mercados clandestinos y los derivados creativos a partir del código abierto del ransomware mantendrán al sector de la seguridad ocupado durante la primera mitad del año. El impacto del ransomware en todos los sectores y zonas geográficas obligará al sector de la seguridad a tomar medidas decisivas. Prevemos iniciativas como la colaboración “No More Ransom!" para poner freno al ransomware, el desarrollo de tecnologías antiransomware y acciones continuas de las fuerzas de seguridad para reducir el volumen y la efectividad de los ataques de ransomware para finales de 2017. El concepto de ransomware se mostró por primera vez a principios de los años 90. La primera vez que se introdujo y se utilizó Bitcoin, en la familia de ransomware CryptoLocker en 2013, se abrió la puerta al pago de rescates anónimos, lo que impedía capturar a los delincuentes. Los pioneros en la creación de ransomware, como CryptoLocker y CryptoWall por ejemplo, procedían del mundo de los troyanos bancarios y contaban con gran experiencia en la ejecución de operaciones de ciberdelincuencia. Aprendieron rápido y han podido adaptar y modificar de inmediato su infraestructura o su código en cuanto el negocio muestra síntomas de ralentización. Estos son los grupos que seguirán en el negocio del ransomware y buscarán nuevas formas de ganar dinero. En la actualidad, nos enfrentamos a otros grupos más pequeños y menos sofisticados que se ven atraídos por las ganancias que generan los grupos organizados. Como se explica en el informe sobre la versión 3 de CryptoWall de la Cyber Threat Alliance, las ganancias obtenidas con una sola familia de ransomware pueden superar los 325 millones de dólares. Estos ejemplos han provocado un enorme incremento de familias y de ataques de ransomware, como hemos explicado muchas veces. Los delincuentes independientes también quieren aprovechar esta mina de oro y se convierten en miembros del grupo o emplean el código público. Esperamos que estas pequeñas iniciativas disminuyan en 2017 cuando el sector de la seguridad y los cuerpos de seguridad internacionales unan sus fuerzas para detectar y responder a estos casos.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 29
Predicciones para 2017
Total de ransomware 9 000 000 8 000 000 7 000 000 6 000 000 5 000 000 4 000 000 3 000 000 2 000 000 1 000 000 0
4.º trim. 1.er trim. 2014
2.º trim.
3.er trim.
2015
4.º trim.
1.er trim.
2.º trim.
3.er trim.
2016 Fuente: McAfee Labs, 2016.
Además, el sector de la seguridad ha empezado a desarrollar herramientas y funcionalidades para ayudar a las empresas a luchar contra el ransomware. Durante la conferencia Black Hat en Estados Unidos en 2016, el equipo de investigación de amenazas avanzadas de Intel Security presentó pruebas de concepto de ransomware dirigido a dispositivos IoT, incluida una que atacaba al sistema “infotainment” incorporado en un vehículo con el fin de permitir al ransomware controlar los frenos y el motor de arranque del coche hasta que se pagara el rescate. El equipo de investigación de amenazas avanzadas está centrado en el futuro de las amenazas y en la cooperación de la industria para aumentar la sensibilización y mitigar estas amenazas de ransomware en fases iniciales.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 30
Predicciones para 2017
Mezclador de bitcoins: rompe la conexión entre una dirección de bitcoin que envía monedas y las direcciones a las que se envían.
¿Y las monedas virtuales que abrieron la puerta al crecimiento del ransomware? ¿Sobrevivirá Bitcoin o será abandonada por los autores de ransomware que buscarán nuevos métodos de pago? Ni siquiera cuando se utilizan mezcladores de bitcoins se bloquea el análisis de los enlaces de transacciones. Además, otros servicios de Bitcoin recibieron críticas en la conferencia Bitcoinference por parte de participantes que denunciaron que algunos servicios no admitían la mezcla, así como el uso no seguro de supernodos que podría desvelar las identidades. Como resultado, prevemos que habrá un cambio a otros métodos de pago de rescates que utilicen monedas virtuales como Monero y Zerocoin/Zerocash.
Los ataques que aprovechan vulnerabilidades de Windows disminuyen mientras los casos aumentan en otras plataformas —Bing Sun, Haifei Li, Stanley Zhu y Debasish Mandal Aprovechar las vulnerabilidades de software del lado del cliente se ha complicado considerablemente en los últimos años, lo que ha supuesto un incremento del coste de desarrollo de exploits genéricos y fiables. Para conseguir penetrar en los últimos sistemas operativos (por ejemplo, un navegador Microsoft Edge con todos los parches instalados en un sistema Windows 10 de 64 bits), los agresores deben combinar normalmente varias vulnerabilidades de gran calidad con técnicas de ataque avanzadas. Aunque en competiciones de hackers (como Pwn2Own en 2016) se han demostrado algunos ataques que sí funcionan, aún no hemos observado este tipo de exploits sofisticados en el mundo real. Sospechamos que estos exploits solo están disponibles para unas cuantas personas y solo aparecerán en ataques avanzados muy significativos.
Nuevas vulnerabilidades detectadas National Vulnerability Database (EE. UU.) 9000 8000 7000 6000 5000 4000 3000 2000 1000 0 2007
2008
2009
2010
2011
2012
2013
2014
2015
2016
Datos de 2016 hasta el 20 de septiembre.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 31
Predicciones para 2017
Pensamos que los exploits que aprovechan vulnerabilidades de Windows y Flash seguirán descendiendo, pero los dirigidos a software de infraestructuras y de virtualización aumentarán.
Si volvemos la vista al informe Predicciones sobre amenazas para 2016 de McAfee Labs, veremos que muchas de nuestras predicciones de exploits basados en vulnerabilidades se han cumplido. Esperamos que, como fruto de nuestras observaciones este año, obtengamos el mismo resultado en nuestra previsión de vulnerabilidades para 2017. ■■
■■
■■
Comparta este informe
Adobe Flash: sigue siendo el objetivo principal de los ataques reales que aprovechan vulnerabilidades. Las vulnerabilidades de Flash de tipo zero-day, como CVE-2016-4117 y CVE-2016-1019, supusieron aproximadamente el 50 % de todos los ataques zero-day descubiertos por las empresas de seguridad en 2016. En 2015, predijimos que la popularidad de los exploits basados en vulnerabilidades de Flash disminuiría en 2016 debido a la introducción en julio de 2015 de una función de mitigación fundamental (la comprobación de cookies de longitud vectorial), que bloquea muchos exploits de Flash. Por este motivo, los exploits de Flash en circulación en 2016 se redujeron considerablemente (solo se habían detectado 4 en el momento de redacción de este documento, en comparación a los 11 que hubo en 2015). Poco después de agregar la mitigación vectorial surgió un nuevo exploit de Flash (el uso de ByteArray y BitmapData) (CVE‑2015‑7645). Adobe continúa añadiendo nuevas mitigaciones a Flash, como la verificación de longitud de cookie ByteArray, la memoria de montón aislado, el montón del sistema y el protector de memoria. Aunque ninguna de estas funciones es perfecta (algunas introdujeron nuevos problemas), en general dificultan el éxito de los exploits. Por lo tanto, creemos que el uso de Flash como vector de ataque seguirá disminuyendo en 2017. Cada vez es más difícil encontrar vulnerabilidades en Flash y aún más difícil poder aprovecharlas. Microsoft Internet Explorer y Edge: como indicábamos en el informe Predicciones sobre amenazas para 2016, los ataques dirigidos contra Internet Explorer y Edge siguen siendo mínimos. Este año hasta el momento no se ha observado ningún exploit contra Internet Explorer genuino en circulación. Aunque los exploits CVE‑2016‑0189 y CVE‑2016-0034 llegan y se ejecutan desde un navegador, realmente son vulnerabilidades del motor de scripts y de .Net Framework, respectivamente. Gracias a una superficie de ataque reducida (no hay modo de documento, ni Visual Basic Script, ni objetos BHO o ActiveX, ni Silverlight, etc.) y a la ampliación de la mitigación, Edge es un navegador incluso más seguro. Desde su lanzamiento, no hemos tenido constancia de ningún exploit zero‑day dirigido a Edge. En general las mitigaciones del navegador de Microsoft parecen muy efectivas. Algunas mitigaciones ayudaron a eliminar determinadas clases de vulnerabilidades (por ejemplo, los fallos de uso tras liberar memoria se redujeron drásticamente después de la introducción del montón aislado y la protección de memoria), y otras complicaron enormemente los ataques que aprovechan vulnerabilidades. La protección de flujo de control es otra función de mitigación esencial que impide que los exploits puedan secuestrar el flujo de ejecución de los programas. Prevemos que los exploits contra Internet Explorer y Edge sean cada vez más difíciles en 2017, especialmente en plataformas de 64 bits, en las que crear y controlar configuraciones de memoria específicas será tremendamente complicado. Java, PDF y Microsoft Office: ha habido pocos cambios en los ataques a aplicaciones Java, PDF y Office en 2016. Hubo un momento en que pensamos que los exploits dirigidos a vulnerabilidades de Office aumentarían notablemente, dada su enorme superficie de ataque y la complejidad del código. Sin embargo, no ha sido así. Puede ser porque Office carece de compatibilidad con un lenguaje de scripting, lo que dificulta el desarrollo de exploits. Por otro lado, sí esperamos que otros tipos de amenazas basadas en Office, como el ransomware basado en macros, tengan más prevalencia en 2017. McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 32
Predicciones para 2017
■■
■■
■■
■■
Kernel de Windows: aunque se han aplicado algunas mitigaciones (protección de ejecución en modo supervisor, filtrado de llamadas al sistema Win32k, mejoras de aleatorización del diseño de espacio de direcciones del kernel, traslado del análisis de fuentes al modo de usuario), la prevalencia de los exploits dirigidos al modo de kernel sigue siendo importante. Además, con frecuencia son las mejores armas para superar los entornos aislados de aplicaciones (como AppContainer) y conseguir la escalación de privilegios. Esto ha quedado demostrado en ataques de tipo zero-day (CVE-2016-0165/0167) y en competiciones de hackers (CVE-2016-0176). Teniendo en cuenta la gran superficie de ataque y que la protección y la mitigación que se ofrecen en el espacio del kernel son menores que las del espacio de usuario, prevemos que los exploits en modo de kernel seguirán en auge en 2017. Software de infraestructura: los ataques que aprovechan vulnerabilidades de las infraestructuras serán muy activos en 2017. Si observamos la lista de notificaciones relativas a OpenSSL, vemos que en cada nueva versión se corrigen muchas vulnerabilidades con parches. Aparte de OpenSSL, también vemos vulnerabilidades críticas en otro software de código abierto, como CVE-2015-7547 (un desbordamiento del búfer basado en la pila en el cliente DNS glibc) y CVE-2016-5696 (un fallo de Linux que permite el secuestro del tráfico de Internet). Componentes heredados y nuevas funciones: aunque la mayoría de los autores de malware se centran en las funciones nuevas, como el subsistema Windows para Linux, que tiene 216 nuevas llamadas de sistemas y 700 KB de código, otros se ocupan de los componentes heredados. Desde que el año pasado se descubrió la importante vulnerabilidad GHOST (CVE-2015-0234), que existía en glibc desde hace más de 15 años, los investigadores de seguridad han comenzado a reexaminar el código heredado. Por ejemplo, en 2016, se descubrió un error grave (BadTunnel) en el protocolo Web Proxy Autodiscovery Protocol. El error llevaba 20 años en el código. La seguridad de componentes heredados importantes se ha descuidado durante años, así que ahora los investigadores de seguridad se esfuerzan en eliminar vulnerabilidades que vienen de lejos. Esperamos que se detecten y solucionen más problemas en 2017. Software de virtualización: con la rápida adopción de la tecnología en la nube, la seguridad del espacio virtual está de actualidad y atrae la atención tanto de investigadores de seguridad como de ciberdelincuentes. Se han publicado muchos resultados de investigaciones en profundidad. En julio, se corrigió una vulnerabilidad crítica en el hipervisor Xen que permite a un "invitado escapar del host" (la vulnerabilidad "Po Tian", CVE-2015-7835). En septiembre, el equipo de investigación de amenazas avanzadas de Intel Security descubrió la vulnerabilidad de Xen XSA 188, que provocó que el servicio de alojamiento en la nube Linode tuviera que reiniciar sus servidores basados en Xen. También se documentaron fallos en VMware, como CVE-2016-5332, CVE-2016-2077 y CVE-2016‑2079. Microsoft Hyper-V no es inmune: observamos varias CVE relacionadas con Hyper-V (MS16-045 y MS16-046). Además, la seguridad basada en la virtualización/el modo de seguridad virtual de Microsoft en Windows 10 es también un nuevo objetivo, ya que se han descubierto y publicado algunos de sus problemas de seguridad. Por otro lado, aunque se han descubierto muchas vulnerabilidades en el software de virtualización, cuando se comparan con exploits del navegador más desarrollados, se observa que aún faltan técnicas de ataque universales y sistemáticas, así como metodologías que puedan cubrir de manera genérica determinados tipos de problemas de seguridad de las máquinas virtuales. La mayoría de los casos de escape de máquina virtual dependen en gran medida de las
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 33
Predicciones para 2017
propias vulnerabilidades, como CVE-2015-7835, CVE-2016-3710 y CVE‑2015‑7504. Las máquinas virtuales comienzan a ser objetivos de los ciberdelincuentes, por lo que creemos que es solo cuestión de tiempo que aparezcan exploits sistemáticos y ataques sofisticados dirigidos al software de virtualización. Esto podría ocurrir en 2017. ■■
Productos de seguridad: en 2016, hemos observado muchas vulnerabilidades graves en los productos de seguridad. A principios del año, los investigadores de Google descubrieron una vulnerabilidad de ejecución remota de código en los dispositivos de FireEye. Después, los investigadores de Google descubrieron vulnerabilidades en productos de los principales proveedores de antimalware. Y este verano, con la filtración de datos del grupo de ciberdelincuentes Equation Group se hicieron públicos numerosos exploits (incluidas algunas vulnerabilidades de tipo zero-day no corregidas con parches) dirigidos a varios productos de firewall. No hay duda de que esta tendencia continuará en 2017.
El hardware y el firmware, objetivos cada vez más habituales de ciberdelincuentes sofisticados —Yuriy Bulygin El software, incluidos los sistemas operativos y las aplicaciones, depende de manera implícita del hardware para poder funcionar correctamente. Las vulnerabilidades del hardware pueden poner en riesgo el funcionamiento y la seguridad de la pila de software completa. Cuando se ataca una vulnerabilidad del hardware se pone en peligro el sistema completo, sin que sea necesario un exploit de la pila de software. Además, cuando el hardware de los sistemas recibe un ataque, es difícil corregirlo con un parche sin sustituir el hardware vulnerable. Por último, ninguno de los mecanismos de seguridad del sistema basados en software son fiables, ya que solo son efectivos siempre que el hardware no reciba un ataque. Sin embargo hay factores atenuantes. El hardware está menos expuesto a los ataques que las pilas de software, y para atacarlo casi siempre se debe aprovechar alguna vulnerabilidad lógica del hardware, en lugar de las numerosas vulnerabilidades del software que se encuentran normalmente en la pila. La menor superficie de ataque del hardware aumenta la complejidad de los ataques. Por lo tanto, observamos muy pocas vulnerabilidades en hardware e incidentes en los que el hardware sea el objetivo o bien sufra efectivamente un ataque de los ciberdelincuentes. Asimismo, el malware habitualmente casi nunca afecta al hardware. Más potentes
Hardware/máquinas virtuales
Ejecución en la plataforma antes
Firmware (BIOS/UEFI)
Cargador de arranque/Registro de arranque maestro
Sistema operativo
Comparta este informe
Menos potentes
Aplicaciones
Ejecución en la plataforma después
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 34
Predicciones para 2017
Los investigadores de seguridad han descubierto algunas vulnerabilidades de hardware durante los últimos años —incluidas algunas en microprocesadores y tecnología DRAM [1, 2, 3, 4] y otras que permiten ataques del lado del canal, independientes del sistema operativo [1, 2, 3], que podrían afectar a los entornos de la nube al dejar expuestas a máquinas virtuales situadas juntas [1, 2, 3, 4]. Los sistemas informáticos a menudo tienen software y hardware especializado que inicializa, arranca y realiza tareas de mantenimiento de bajo nivel en el sistema. Este software y hardware especializado dispone de su propio microcontrolador y pila de software, que se suele denominar firmware. Ejemplos de este firmware especializado serían la BIOS, la interfaz de firmware ampliable unificado (UEFI, del inglés Unified Extensible Firmware Interface), EFI y Coreboot. Además, los dispositivos externos, como las unidades USB, de disco duro o de estado sólido, las tarjetas de expansión e incluso los cargadores de corriente suelen tener su propio firmware. El firmware tiene propiedades que lo convierten en un atractivo objetivo para los ciberdelincuentes. Con frecuencia se almacena continuamente en espacio no volátil, como dispositivos de memoria Flash, tiene acceso completo al hardware que gestiona y está bastante bien oculto de los sistemas operativos y el software de seguridad. El firmware del sistema se ejecuta antes de que el sistema operativo tome el control. Además, el firmware solo es software, por lo que con frecuencia presenta vulnerabilidades parecidas, aunque dispone de menos defensas integradas y mitigaciones de exploits. Los investigadores de amenazas han demostrado que las vulnerabilidades en el firmware del sistema [1, 2, 3] pueden facilitar ataques durante la autenticación antes del arranque, como los dirigidos a sistemas con cifrado del disco completo basados en el Módulo de plataforma segura (TPM) (por ejemplo, BitLocker para Microsoft Windows [1, 2]) o Secure Boot para Windows [1, 2, 3, 4]. Los ataques antes del arranque permiten la instalación de rootkits ocultos y persistentes, puertas traseras o gusanos [1, 2, 3, 4, 5], y acceden a entornos de ejecución de confianza basados en tecnología de virtualización como el kernel seguro y el modo de usuario aislado de Microsoft Windows 10 [1, 2]. Además de en el firmware del sistema, los investigadores de seguridad han identificado vulnerabilidades en el firmware de los dispositivos USB [1, 2, 3], tarjetas de red [1, 2], controladoras integradas y de teclado [1], controladores de administración de placa base [1, 2, 3], modem de banda base LTE/3G/GSM [1, 2], CPU [1, 2], baterías [1], enrutadores domésticos [1, 2, 3, 4], impresoras de oficina [1, 2], teléfonos IP [1], y firmware y software de seguridad para ARM TrustZone [1, 2, 3, 4, 5], entre otros. Prevemos que en 2017 los adversarios más sofisticados seguirán buscando en el hardware y en el firmware vulnerabilidades que puedan aprovechar. Creemos que los adversarios avanzados tienen capacidad para atacar sistemas cuyo firmware se basa en BIOS o (U)EFI heredados, así como firmware de otros tipos de dispositivos, como unidades de estado sólido (SDD), tarjetas de red y dispositivos con Wi-Fi. Algunos de estos exploits avanzados surgirán probablemente en ataques de malware habituales.
Comparta este informe
Hay adversarios, como los grupos de hackers financiados por estados-naciones, los grupos de espionaje industrial y las bandas de delincuentes organizados, interesados en atacar el firmware de los sistemas. Hace dos años, el grupo Equation Group atacó firmware de unidades de disco duro [1]. En 2015, observamos el primer rootkit de firmware UEFI comercial del grupo Hacking Team [1]. Hace poco, un volcado de datos de Shadow Brokers reveló que una organización que parecía estar vinculada al grupo Equation Group había atacado el firmware de firewalls de red con implantaciones persistentes [1, 2]. El hardware y el firmware no son objetivos fáciles, pero cuando los ataques funcionan, ofrecen a los adversarios máxima persistencia, amplias posibilidades de pasar desapercibidos, acceso a una gran variedad de recursos de hardware y la vía para implantar puertas traseras en las pilas de software del sistema. Prevemos que en 2017 los adversarios más sofisticados, como los estadosnaciones, seguirán buscando en el hardware y en el firmware vulnerabilidades que puedan aprovechar. Creemos que los adversarios avanzados tienen capacidad para atacar sistemas cuyo firmware se basa en BIOS o (U)EFI heredados, así como firmware de otros tipos de dispositivos, como unidades de estado sólido (SDD), tarjetas de red y dispositivos con Wi-Fi. McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 35
Predicciones para 2017
Algunos de estos exploits avanzados surgirán probablemente en ataques de malware habituales. En 2017, observaremos malware que utiliza componentes de bootkit que atacan cargadores de arranque de sistemas operativos basados en UEFI o incluso que instala componentes de rootkits de firmware; ataques de firmware que ponen en riesgo los entornos de ejecución de confianza basados en la virtualización, como VBS en Windows 10; y ransomware que infecta en las fases iniciales del arranque de los sistemas operativos, como los cargadores de arranque y el firmware. En cuanto a la protección, veremos tecnologías de seguridad comerciales que ofrecerán visibilidad del firmware y otros componentes del sistema de bajo nivel, más allá de la que proporciona la pila de software tradicional.
El secuestro de drones pone la amenaza en el cielo —Bruce Snell El uso de los drones será más habitual. Lo que comenzó siendo un juguete para niños y un hobby de cierto lujo para aficionados ha ido tomando altura, si me permiten el juego de palabras. Los drones van camino de convertirse en una herramienta esencial para empresas de paquetería, fuerzas de seguridad, fotógrafos, granjeros, medios de comunicación, etc. Es innegable que los drones son ahora más imprescindibles para muchos tipos de empresas y organismos oficiales. Hace poco observamos un ejemplo de un dron equipado totalmente como un hacker que podía aterrizar en el tejado de una casa, oficina o infraestructura crítica, e intentar piratear la red inalámbrica local. En 2015, se demostró en una prueba de concepto en la conferencia DefCon cómo un hacker puede tomar el control fácilmente de un dron de juguete. Aunque hacerse con el control del dron de un niño puede parecer divertido y no es un gran problema, a la vista del incremento del uso de drones los problemas potenciales comienzan a aumentar. ■■
■■
Paquetería: tanto Amazon como UPS han anunciado planes para enviar los paquetes mediante el uso de drones. Esto crea un objetivo realista para un delincuente que pretenda ganar dinero rápido. Lo más probable es que los drones de envío se lancen desde una ubicación dedicada, lo que facilita el seguimiento de los patrones de tráfico. Para intentar secuestrar las entregas bastaría con encontrar una ubicación con tráfico regular de drones y esperar a que aparecieran los objetivos. Una vez que el dron con el paquete estuviera sobrevolando al delincuente, este podría dirigirlo a tierra para poder robar el paquete. Para ser sinceros, el resultado de los robos sería una incógnita, ya que no habría forma de saber qué contiene el paquete, pero sí que ofrecen algunas posibilidades de obtener ganancias. Equipos de fotografía aérea: la llegada de los drones ha facilitado enormemente la fotografía aérea. Basta hacer una búsqueda rápida de "drones para fotografía" para ver equipos caros y de gran calidad tanto para fotógrafos aficionados como para profesionales. Estos equipos serían un botín muy preciado para los secuestradores de drones. Al derribar un dron, los delincuentes pueden revender el equipo, así que el dinero cae literalmente del cielo.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 36
Predicciones para 2017
■■
■■
Zona de exclusión aérea privadas: en algún que otro incidente hay quien se ha enfadado ante la presencia de drones sobrevolando su casa y ha tomado sus propias medidas (disparos, piedras, etc.) para detenerlos. Aprovechando las vulnerabilidades de software de los drones se podría crear una barrera electrónica alrededor de una casa para aniquilar o redirigir a los drones que vuelen demasiado cerca. Aunque seguro que esto sería del agrado de aquellos que no desean recibir visitas de vecinos que no han sido invitados, aún hay un vacío legal en cuanto al uso de los drones en las normativas y ordenanzas locales. Esta laguna normativa podría generar un intenso debate y podrían surgir posibles demandas contra quien cree una zona de exclusión aérea privada. Fuerzas de seguridad: cada vez más cuerpos de seguridad recurren al uso de drones para el control y la supervisión de concentraciones de personas. En situaciones especialmente complicadas, como en protestas masivas o cuando hay posibilidades de que se produzca un atentado, si alguien quiere pasar desapercibido ante la policía puede destruir uno de los drones que se utilizan para la vigilancia. Esta escena es muy habitual en películas de acción. Los malos de la película (o los héroes) siguen complicados procedimientos para desactivar las medidas de seguridad de su objetivo. Hoy día, en lugar de cámaras de seguridad instaladas en la pared, se emplean cámaras incorporadas en drones. Cuando se mezclan los manifestantes y los hacktivistas, aumentan las probabilidades de que un manifestante que cuente con la tecnología suficiente derribe los drones de vigilancia.
¿Cómo se producirán estos ataques? Varios investigadores han descubierto muchos drones privados que tienen puertos abiertos y métodos de autenticación básicos, de manera que permiten a personas que dispongan del equipo adecuado enviar comandos al dron de la víctima. Hasta el momento, se ha empleado un proceso bastante manual, pero como hemos visto en otros casos, antes o después siempre aparecen nuevos exploits en un formato que se reproduce fácilmente. La mayoría de las vulnerabilidades descubiertas en drones comerciales se pueden solucionar fácilmente con una actualización de software. Obviamente, para ello el fabricante tiene que distribuir un parche. Aunque probablemente habrá parches disponibles para los drones más sofisticados rápidamente, los más baratos podrán volar libremente durante mucho tiempo antes de que se les pueda aplicar un parche. Como ocurre con otros dispositivos tecnológicos IoT, en cuanto un dispositivo se conecta a una red, ya hay alguien buscando la forma de hackearlo. La urgencia por sacar al mercado los dispositivos IoT, incluidos los drones, que tienen poca o ninguna seguridad, se lo pone más fácil a estas personas. Los drones son un objetivo fácil para un hacker. Esto se debe a que han sido diseñados para instalarse rápida y fácilmente, normalmente con comunicación no cifrada y con muchos puertos abiertos.
En 2017, veremos cómo un dron es derribado por software ejecutado en un portátil con una antena bidireccional. También veremos cómo las fuerzas de seguridad utilizan los drones con más frecuencia para controlar a las multitudes. Los manifestantes intentarán hackearlos para hacerlos desaparecer del escenario.
Prevemos que en 2017 los toolkits de exploits para drones encontrarán la manera de llegar a los rincones más oscuros de Internet. Una vez que estos toolkits se pongan en funcionamiento, pasará poco tiempo hasta que empiecen a aparecer casos de drones secuestrados en las noticias. Aun sin contar con la ayuda de un toolkit de secuestro de drones, aumentarán los incidentes relacionados con los drones. En 2017 veremos en las noticias locales cómo alguien harto de que los drones de los hijos de los vecinos volaran sobre su jardín, en lugar de utilizar una pistola cargada de excrementos de pájaros, ha echado al dron del espacio aéreo mediante un software que funciona en un portátil con una antena direccional. Dada la naturaleza vírica de Internet, el hecho se comentará ampliamente en los muros de Facebook en todo el mundo, se producirán opiniones a favor y en contra, y acaloradas discusiones, y surgirán imitaciones.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 37
Predicciones para 2017
Durante 2017 veremos cómo las fuerzas de seguridad utilizan los drones con más frecuencia para controlar a las multitudes. Al principio los manifestantes reaccionarán tirándoles objetos, pero después intentarán hackearlos para derribarlos y que así desaparezcan del escenario. ¿Cómo responderá la policía ante estos incidentes? La Administración Federal de Aviación de Estados Unidos ya lucha para implementar leyes que rijan cuándo y dónde pueden volar los drones, aunque aún quedan usos por regular y lógicamente algunos ni siquiera han surgido todavía. Mientras que la aviación comercial experimentó un crecimiento lento y gradual a lo largo del tiempo, los drones comerciales han despegado con fuerza y las agencias reguladoras no consiguen darles caza.
Las amenazas a dispositivos móviles incluirán el ransomware, las herramientas de acceso remoto y los mercados de apps comprometidas —Fernando Ruiz McAfee Labs prevé que el malware para móviles siga creciendo en 2017, con ransomware, troyanos bancarios y herramientas de acceso remoto entre las principales amenazas.
En 2017 esperamos que el ransomware para móviles siga creciendo, pero cambiarán las prioridades de los autores del malware. Los agresores combinarán el bloqueo de dispositivos móviles con otras formas de ataque, como robo de credenciales, lo que les permitirá acceder, por ejemplo, a cuentas bancarias y tarjetas de crédito.
El equipo de investigación de malware para móviles de McAfee Labs ha catalogado un gran número de muestras de ransomware para dispositivos móviles, especialmente en los trimestres 2.º y 3.º de 2016. Entre las muestras hay desde pequeñas pruebas de concepto que bloquean las pantallas hasta criptomalware de gran escala que afecta a la memoria externa. Una familia de ransomware prevalente en el segundo y el tercer trimestre fue Android/Jisut. Este ransomware cambia el PIN de bloqueo de un dispositivo móvil y exige el pago de un rescate en Bitcoins o tarjeta prepago. En 2017 esperamos que el ransomware para móviles siga creciendo, pero cambiarán las prioridades de los autores del malware. Normalmente se crea una copia de seguridad de los dispositivos móviles en la nube, por lo que las posibilidades de conseguir el pago de un rescate directo a cambio de desbloquear los dispositivos son limitadas. Por este motivo, los autores de malware para móviles combinarán el bloqueo de los dispositivos con otras formas de ataque, como por ejemplo, el robo de credenciales. Por ejemplo, hemos observado este año cómo familias como Android/Svpeng, identificadas por el sector de la seguridad como ransomware para móviles, están mutando para obtener credenciales bancarias con el objetivo de robar fondos de las cuentas de sus víctimas. Creemos que en 2017 los troyanos bancarios volverán a aparecer y los responsables serán los autores de ransomware. Este malware combinará el bloqueo de dispositivos móviles y otras funciones del ransomware con ataques de intermediario tradicionales con el fin de robar factores de autenticación principales y secundarios, para permitir a los delincuentes acceder a las cuentas bancarias y a las tarjetas de crédito. Hemos observado una proliferación de herramientas de acceso remoto (RAT) para Android en 2016. Estas herramientas se disfrazan como utilidades de soporte legítimas y se ofrecen en mercados de otros productos. Se emplean para espiar a aficionados a Pokémon Go, simpatizantes de terroristas y personal de seguridad, y utilizan las redes sociales como canal de distribución. Debido al crecimiento y al aumento de sofisticación del spyware y las herramientas de acceso remoto comerciales, esperamos que este tipo de malware afecte a más víctimas en 2017. Los smartphones vulnerables son una plataforma de espionaje perfecta que cualquiera que conozca los métodos adecuados puede controlar.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 38
Predicciones para 2017
Muestras maliciosas descubiertas en Google Play 140 120 100 80 60 40 20 0
Ene
Feb
Mar
Abr
Mayo
Jun
Jul
Ago
2016
Aunque nosotros y otras fuentes recomiendan descargar apps solamente de tiendas de confianza, esta medida no ha sido suficiente para mantener protegidos a todos los usuarios. En 2016 han aparecido aplicaciones maliciosas en varias ocasiones en Google Play, aunque se han eliminado rápidamente. Es fundamental para los usuarios en 2017 consultar las revisiones antes de instalar aplicaciones, aunque procedan de tiendas de confianza. Esta medida, junto a una aplicación antimalware eficaz, es esencial para evitar infecciones en los smartphones. Descargar apps de tiendas desconocidas y que no son de confianza siempre ha sido más peligroso y esto no va a cambiar en 2017. Es arriesgado conectarse a apps cuyas URL aparecen en Instagram, vídeos de YouTube o tweets. Todas estas URL pueden distribuir malware o spyware. Al utilizar medios sociales se pueden producir infecciones, ya que los entornos familiares pueden engañar a los usuarios para que pasen por alto los riesgos para la seguridad.
El malware para el Internet de las cosas abre una puerta trasera a los hogares —Bruce Snell La electrónica de consumo sigue creciendo con rapidez. En este ámbito destacan sobre todo los dispositivos del Internet de las cosas (IoT), que en 2019 alcanzarán previsiblemente los 1800 millones. Este mercado, conocido de forma coloquial como "hogar inteligente" u "hogar conectado", incluye varias marcas y productos consolidados, además de un gran número de empresas pequeñas que intentan irrumpir en escena. En el entorno empresarial utilizamos el concepto de "producto mínimo viable" o MVP, por sus siglas en inglés. Aunque estas siglas también corresponden en inglés a "jugador más valioso", en este caso hacen alusión al número mínimo de características que debe reunir un producto a fin de ser lo suficientemente funcional como para que los más vanguardistas quieran comprarlo. El mercado doméstico del Internet de las cosas es bastante "inamovible" en el sentido de que, cuando alguien compra un termostato o un sistema de iluminación inteligente, seguramente ya no lo cambie. Por este motivo, la carrera por salir al mercado es feroz y los fabricantes de dispositivos domésticos suelen emplear el enfoque del MVP. Por ejemplo, muchos de ellos utilizan bibliotecas de código ajenas para abreviar el proceso de desarrollo y reducir costes. Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 39
Predicciones para 2017
Esta urgencia y el uso de software de terceros es donde pueden surgir posibles amenazas a la seguridad. Las buenas prácticas de codificación dictan que los desarrolladores deben revisar meticulosamente el código de las bibliotecas de terceros que incluyan en sus productos. Lamentablemente, cuando se apresuran a crear y lanzar un MVP para llegar a las tiendas antes que sus competidores, es frecuente que, además, del código, utilicen el mínimo de pruebas y se confíen a los parches posteriores para corregir los fallos que puedan surgir. Cuando los desarrolladores trabajan a toda prisa, la seguridad suele quedar en segundo plano, si es que llegan a pensar en ella. Sabemos que hay productos IoT de consumo que se comercializan con enormes brechas de seguridad para las que no se publican parches durante años.
Habrá código malicioso oculto en bibliotecas de uso extendido o integrado directamente en los dispositivos utilizados en el mundo del Internet de las cosas. El código se ocultará, por ejemplo, en librerías de renderizado HTML, bibliotecas de red y bibliotecas para cámaras.
Vayamos un poco más allá. Si un ciberdelincuente quiere tener acceso a diversos productos que se utilicen en redes domésticas con una seguridad mínima, una excelente forma de conseguirlo consistiría en instalar una puerta trasera en los dispositivos IoT de consumo. Encontramos un buen ejemplo de ello en lo que ocurrió hace un par de años cuando importantes tiendas electrónicas vendieron el Star N9500, un smartphone clon de Samsung, con malware instalado en el firmware. En lugar de atacar a un fabricante en concreto e intentar descifrar su código base, es más fácil crear una versión "gratuita" de una biblioteca de código de uso generalizado, incorporarle la puerta trasera y ofrecérsela a numerosos fabricantes de dispositivos IoT. Hemos visto código malicioso en bibliotecas de uso generalizado en dispositivos Android, por lo que no es difícil imaginar que suceda lo mismo con los dispositivos IoT. De aquí a 12 o 18 meses, habrá código malicioso oculto en bibliotecas de uso extendido o integrado directamente en los dispositivos utilizados en el mundo del Internet de las cosas. Quizá también habrá algún tipo de colusión entre las aplicaciones de los dispositivos IoT de consumo y las aplicaciones para smartphones. ¿Dónde veremos código malicioso en 2017? Desde el punto de vista de un agresor, lo interesante de una biblioteca de código es que a menudo tiene acceso directo a componentes clave del sistema operativo o el hardware del dispositivo. Teniendo esto en cuenta, seguramente veremos código malicioso oculto en estos lugares: ■■
■■
■■
Librerías de renderizado HTML: algunos dispositivos IoT llevan interfaces de administración que son simplemente páginas web que sirven para la configuración. Parece acertado ocultar código malicioso en una biblioteca que tiene acceso directo a estas páginas en cuanto se abren. De este modo el malware puede recopilar nombres de usuario y contraseñas e introducirse en la propia interfaz de administración. ¡Nadie sospecha que corre riesgo de infección al manipular la iluminación inteligente de su casa! Bibliotecas de red: tendemos a pensar que las redes domésticas son seguras. Cuando un programa de malware logra introducirse en una red doméstica, normalmente puede rastrear todo el tráfico de la red, ya que en general estas redes son homogéneas y abiertas. El malware busca cosas como nombres de usuario y contraseñas y los envía a un servidor de control situado en otro lugar. Como el malware tiene acceso directo a la red, este comportamiento suele pasar desapercibido. Bibliotecas para cámaras: ¿hay mejor manera de espiar a una persona desprevenida que integrarse en la cámara de un sistema de seguridad doméstico o de una guardería? Oculto en las cámaras de seguridad, el malware puede grabar y enviar imágenes y vídeos de personas incautas en su vida diaria.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 40
Predicciones para 2017
Creemos que algunos de los dispositivos IoT domésticos que se comercialicen en 2017 llevarán puertas traseras instaladas. Debido a la naturaleza de estos dispositivos, el espionaje y el robo de información personal podrían pasar desapercibidos durante años.
El aprendizaje automático acelera los ataques de ingeniería social —Eric Peterson Con una presencia cada vez mayor en educación, comercio e investigación, la disponibilidad de herramientas, documentación de consulta y guías didácticas sobre el aprendizaje automático se ha disparado en los últimos años. En una arquitectura distribuida, una persona puede adiestrar modelos complejos con grandes conjuntos de datos en menos de una hora. En 2016 varios científicos de datos profesionales y entusiastas han enseñado a las máquinas a escribir sonetos de Shakespeare, componer música, pintar como Picasso y derrotar a Lee Sedo, jugador profesional de Go. Se ha acortado el periodo de aprendizaje, y la accesibilidad para todo el mundo, incluidos los ciberdelincuentes, nunca ha sido mayor. La seguridad es una carrera armamentística y los ciberdelincuentes están perfeccionando sus métodos con ayuda del aprendizaje automático.
Ataque
Contacto inicial
Empleo de técnicas de ingeniería social bien conocidas
Identificación del objetivo
Extracción, transformación y carga, selección de funciones y generación
Recopilación de datos
Creemos que, para escoger a las víctimas, los ciberdelincuentes se valen del aprendizaje automático. Las herramientas para realizar el análisis complejo sobre el que se basa la selección del objetivo son fáciles de conseguir y hay multitud de fuentes públicas donde obtener los datos necesarios para crear y entrenar algoritmos de aprendizaje automático maliciosos. En nuestra opinión, en 2017 se acelerará la accesibilidad del aprendizaje automático y se agravarán los ataques de ingeniería social.
Predicción con aprendizaje automático
Formación de modelos de aprendizaje automático
Fugas de datos, medios sociales, divulgaciones públicas
Una de las diversas amenazas persistentes identificadas hoy en día es la estafa que el FBI ha denominado Business Email Compromise (BEC, o correo electrónico corporativo comprometido), que se ha intensificado desde principios de 2015. Con las estafas BEC, los creadores de la amenaza eligen a personas con responsabilidad financiera en una empresa y, con hábiles maniobras de ingeniería social, las engañan para que transfieran fondos a una cuenta bancaria fraudulenta. En algunos casos, con intención de aumentar las posibilidades de éxito de la estafa, hacen coincidir el ataque con las fechas de viajes de negocios de los ejecutivos. Según el FBI, los robos suman más de 3000 millones de dólares y hay víctimas en los 50 estados de EE. UU. y en 100 países. Aunque todavía no se sabe cómo se seleccionan las víctimas, lo que está claro es que antes de emprender el ataque se lleva a cabo una importante labor de investigación. Nosotros creemos que, para escoger a las víctimas de la estafa BEC y otras similares, los ciberdelincuentes se valen del aprendizaje automático.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 41
Predicciones para 2017
Cuando se utiliza con habilidad, el aprendizaje automático tiene el potencial de resolver problemas empresariales importantes, complejos y tangibles. Para predecir valores pueden utilizarse algoritmos de regresión, para revelar estructuras en conjuntos de datos, algoritmos de agrupación y, para buscar puntos de datos irregulares, pueden emplearse algoritmos de detección de anomalías. En realidad, las matemáticas en las que se basan estos algoritmos son lo suficientemente avanzadas como para resultar inaccesibles para muchas personas. Como hemos visto con herramientas modernas de malware como Trillium, Zeus y Angler, los creadores de malware pueden infligir mucho más daño con ayuda de toolkits que con sus propias capacidades personales. Hemos observado la misma aceleración en el campo de la ciencia de datos gracias a bibliotecas y herramientas de aprendizaje automático como TensorFlow de Google, Numpy, Scikit-learn, Pandas y otras. Para los que trabajamos en seguridad, las herramientas de aprendizaje automático tienen un efecto multiplicador. Cometeríamos una imprudencia si pensáramos que los ciberdelincuentes no están adoptando también estas potentes herramientas. Los modelos de negocio ilegales y legítimos tienen un punto en común: los resultados económicos. En ambos casos, las organizaciones se esfuerzan constantemente por perfeccionar sus métodos para incrementar los beneficios y a la vez disminuir la inversión. Con el modelo de ataque BEC como ejemplo y la disponibilidad de herramientas de aprendizaje automático para realizar complejos análisis de datos, podemos empezar a ver la confluencia del aprendizaje automático y la actividad delictiva. La tercera pata de este trípode de ataque son los datos.
Tan solo en 2016, se han producido fugas de datos de 30 000 empleados del Departamento de Justicia de Estados Unidos, 2,2 millones de historias de pacientes del 21st Century Oncology, 1,5 millones de registros de clientes de Verizon Enterprise Solutions y casi 150 millones de cuentas de los principales proveedores de correo electrónico, como Yahoo!, Hotmail y Gmail. Los datos de muchas de estas fugas se han comercializado y vendido en mercados abiertos, como es el caso de leakedsource.com, que afirma tener más de 2000 millones de registros en su base de datos. Desde otro punto de vista, el servicio EDGAR de la Comisión del Mercado de Valores de EE. UU. (SEC, por sus siglas en inglés) proporciona acceso gratuito a más de 21 millones de expedientes. Entre la información de las redes sociales, los almacenes de datos robados y la información empresarial que se divulga públicamente, los agresores tienen acceso a datos más que suficientes para enseñar a sus modelos predictivos a identificar objetivos de alto valor.
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 42
Predicciones para 2017
Vamos a analizar el ciclo de vida de una estafa BEC como ejemplo de un ataque que puede beneficiarse del uso del aprendizaje automático. Los ciberdelincuentes saben que, si envían a un miembro de un equipo financiero un mensaje de correo electrónico bien elaborado que dice proceder de un directivo de la organización y ser urgente, conseguirán que esa persona realice transacciones fraudulentas con un porcentaje de éxito considerable. Las probabilidades de éxito aumentan con varios factores del entorno que favorecen la ejecución del ataque. Desde el punto de vista del agresor, es posible obtener información útil respondiendo a preguntas básicas con datos que quizá sean del dominio público: ¿Hay indicios de fractura en la organización? ¿Se ha presentado recientemente a la SEC documentación para una adquisición o desinversión? ¿Hay en los medios sociales publicaciones simultáneas que indiquen el desplazamiento de varios empleados de una organización a otra? ¿Se han iniciado o recibido conversaciones estratégicas en direcciones personales o privadas? Las respuestas a cada uno de estos tipos de preguntas pueden representarse con vectores de características en algoritmos de aprendizaje automático. Con tiempo y dedicación, puede desarrollarse un modelo que ejecute el fraude con éxito y prediga el éxito de futuros ataques. Los creadores de amenazas han desarrollado un modelo de ataque satisfactorio para la estafa BEC. Las herramientas para realizar el análisis complejo sobre el que se basa la selección del objetivo son fáciles de conseguir y hay multitud de fuentes públicas donde obtener los datos necesarios para crear y entrenar algoritmos de aprendizaje automático maliciosos. Es posible que en 2017 y en lo sucesivo haya incluso proveedores de servicios de robo de datos que ofrezcan la "búsqueda de objetivos como servicio" a base de algoritmos de aprendizaje automático. En nuestra opinión, en 2017 se acelerará la accesibilidad del aprendizaje automático y se agravarán los ataques de ingeniería social.
La explosión de anuncios falsos y "Me gusta" comprados erosiona la confianza —Craig Schmugar
El uso de "Me gusta", anuncios, reseñas de productos y servicios, advertencias de seguridad online, alertas y otros elementos falsos restará fiabilidad a Internet.
Todos los usuarios de Internet son bombardeados con información que insta a tomar decisiones: dónde hacer clic, qué leer y en qué invertir. Estas elecciones alimentan una economía online multimillonaria y, con tanto dinero en juego, hay malhechores sin escrúpulos que buscan constantemente formas de aprovecharse de los demás. La reputación es clave para que muchos responsables de la toma de decisiones se sientan seguros de sus elecciones; esta es la confianza que algunas personas pretenden explotar. Uno de los métodos más utilizados para generar confianza se basa en las opiniones de los que nos preceden. El valor de un "Me gusta" en Facebook se calcula en unos 200 dólares o más. Como consecuencia, han aparecido servicios que se ofrecen a aumentar el número de "Me gusta" por dinero. Aunque Facebook ha adoptado medidas contra estas entidades, es el juego del gato y el ratón, y en la última partida parece que los creadores de malware han invertido para mantener al ratón con vida más tiempo. A diferencia de las "fábricas de clics", que pagan a trabajadores poco cualificados para que hagan clic en enlaces, el malware Faceliker se superpone a las sesiones del usuario para que los clics tengan más probabilidades de parecer legítimos.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 43
Predicciones para 2017
Total de malware Faceliker exclusivo 7 000 000 6 000 000 5 000 000 4 000 000 3 000 000 2 000 000 1 000 000 0 1.er trim. 2.º trim. 3.er trim. 4.º trim. 1.er trim. 2.º trim. 3.er trim. 4.º trim. 1.er trim. 2.º trim. 3.er trim. 4.º trim. 1.er trim. 2.º trim. 3.er trim.
2013
2014
2015
2016
Crecimiento de variantes del troyano Faceliker.
También los anuncios falsos tienen visos de permanencia; hay un número creciente de redes publicitarias que secuestran la sesión de búsqueda del usuario, ya sea para distribuir malware, estafas o innumerables encuestas. Si bien estos elementos pueden ser molestos cuando interrumpen el curso normal de navegación por Internet, son aún más alarmantes cuando se distribuyen a través de sitios web de primer orden.
Secuestro publicitario a través de un importante sitio web australiano; el anuncio lo presenta Amazon AWS y hace vibrar el teléfono. Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 44
Predicciones para 2017
Página no deseada que impide al usuario llegar al sitio web que quiere visitar.
Es fácil encontrar otros ejemplos de contenido falsificado en las reseñas de productos que se publican en sitios de comercio electrónico de primer nivel. Dado el ritmo trepidante del mundo actual, a muchos consumidores les resulta cómodo echar un vistazo rápido a las opiniones ajenas sobre productos y servicios. A nadie sorprende que los vendedores no puedan resistir la tentación de inflar artificialmente sus calificaciones. Hay una gran disponibilidad de reseñas de texto, audio y vídeo que pueden comprarse a personas dispuestas a crear su propio contenido o a leerlo en un guion. Armados con lo último en defensas basadas en aprendizaje automático, los líderes del sector combaten esta práctica persiguiendo no solo a los revisores, sino también a los vendedores que se lucran con esta actividad. Sobre esta base están surgiendo nuevos sitios de terceros, como FakeSpot y ReviewMeta; creemos que esta defensa del consumidor continuará creciendo a lo largo del año próximo. Durante 2016 han tenido lugar varios avances en materia de defensa, desde la evolución de las funciones de detección dinámica y estática de malware hasta la mejora de la identificación de bots en Twitter. Es de esperar que los estafadores contraataquen en 2017, ya sea redoblando las apuestas por sus objetivos actuales o bien pasándose a la senda de la resistencia mínima. Para los autores de malware, esto puede traducirse en la creación de aplicaciones "gemelas" (rutinas maliciosas añadidas a copias de software legítimo) o programas compuestos (aplicaciones independientes que pueden actuar como programas legítimos y también como malware). Estos esfuerzos desdibujarán aún más la línea entre lo real y lo falso para los usuarios y para los analizadores defensivos.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 45
Predicciones para 2017
A principios de este año se hizo pública la colaboración entre la Comisión Federal de Comunicaciones de EE. UU. y el sector para poner fin a las llamadas automáticas. Queda por ver el impacto que esta medida tendrá en 2017, pero de nuevo cabe suponer que aquellos que se vean afectados económicamente seguirán distribuyendo sus propuestas falsas de un modo u otro. Probablemente aumentará el número de advertencias de seguridad online falsas y de otro malware de alertas falsas, como las alertas engañosas de instalación de Windows que piden a los usuarios que inicien la llamada. A menudo estas advertencias atraen a navegantes desprevenidos y logran que las ingenuas víctimas cedan por miedo a perder acceso a su sistema.
Advertencia falsa de una supuesta página de Microsoft solicitando un código de acceso para desbloquear el contenido, para lo cual el usuario debe llamar al servicio de asistencia técnica.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 46
Predicciones para 2017
Esta página cubre toda la pantalla para parecer un sitio legítimo de Microsoft. También reproduce una alerta de audio que solicita al usuario que llame a un número de asistencia técnica.
El año 2016 ha sido el año en que la realidad aumentada llegó al gran público gracias al enorme éxito del lanzamiento de Pokémon Go. Los usuarios aceptaron lo "falso" como parte de la experiencia de inmersión, dejándose llevar por el juego. Sin duda este caso de éxito es solo uno de los muchos que vendrán. ¿Nos resultará cada vez más difícil distinguir las falsificaciones maliciosas de la ficción deseada en un mundo que combina lo real con lo irreal sin solución de continuidad?
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 47
Predicciones para 2017
La escalada de la guerra de anuncios potencia la distribución de malware —Adam Wosotowsky El juego del gato y el ratón entre anunciantes y bloqueadores de anuncios continuará. Algunas de las técnicas de los anunciantes para eludir los bloqueadores de contenido activo serán las que utilicen los distribuidores de malware para permitir la descarga desapercibida de malware.
Los investigadores de seguridad pasan mucho tiempo en territorios peligrosos de Internet que están plagados de sitios web pirateados y descargas desapercibidas de malware. Para recorrer estos territorios con relativa seguridad, utilizamos complementos de seguridad para navegadores que desactivan el contenido activo, leen el código sin procesar del contenido del sitio, recogen bits poco a poco con diferentes servidores y utilizan máquinas virtuales que se recargan para evitar la infección de los ordenadores locales. Estas precauciones pueden convertir el uso de Internet en un proceso mucho más difícil. A la mayoría de los usuarios no les hace falta llegar tan lejos. Lo que preocupa básicamente al usuario medio es poder utilizar el navegador y los sitios que visita. El problema llegó cuando aparecieron los anuncios emergentes. Los sitios web empezaron a ocultarse detrás de una ingente cantidad de ventanas nuevas con anuncios fulgurantes y superfluos que los inutilizaban. Como respuesta, los navegadores incorporaron la capacidad de bloquear las ventanas emergentes, y así empezó la guerra de anuncios.
En la actualidad hay muchos sitios web con la misma dificultad de uso que aquellos sitios de mediados de los 90, pero no por culpa de las ventanas emergentes. Ahora ofrecen anuncios parpadeantes terriblemente molestos, publicidad superpuesta directamente sobre el contenido y anuncios de vídeo —con sonido— que se reproducen automáticamente cuando el usuario visita una página (lo que da lugar a que este cierre rápidamente el navegador mientras mira de reojo con culpabilidad a las personas que lo rodean). Si un anunciante impone 10 MB de publicidad en un teléfono móvil porque alguien quiere leer 50 frases de texto, a esa empresa se le ha ido la mano. Las herramientas de seguridad que detienen la ejecución del contenido activo en un navegador también detienen este tipo de anuncios. Al igual que las personas que distribuyen malware, los anunciantes utilizan las mismas interceptaciones para forzar a los ordenadores a ejecutar el código arbitrario que suministra el sitio web para presentar los anuncios sin permiso del usuario. Si a los anunciantes solo les interesara desplegar sus anuncios, los sitios web que visitan los usuarios mostrarían los anuncios directamente desde el dominio principal sin que el usuario pudiera hacer gran cosa para bloquearlos. Por desgracia, desplegar anuncios no es tan lucrativo como vigilar sin autorización a los usuarios en múltiples dominios para generar perfiles destinados a vender servicios de alojamiento publicitario a más clientes. Estas personas emplean las mismas técnicas que los distribuidores de malware cuando reúnen e instalan datos telemétricos para provocar una infección. Curiosamente, los bloqueadores de anuncios que detienen la publicidad mientras navegamos recurren a los mismos métodos que usan los investigadores de seguridad para prevenir infecciones. Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 48
Predicciones para 2017
Las guerras publicitarias entre los usuarios (y sus bloqueadores de anuncios) y los anunciantes, que intentan distribuir publicidad y reunir datos telemétricos sobre el comportamiento del usuario, están cobrando intensidad. Los anunciantes se hacen con métodos nuevos para eludir los bloqueadores de anuncios, pero el software de estos se actualiza y los vuelve a bloquear. Muchos bloqueadores funcionan analizando secuencias de comandos entre sitios y otros componentes de las páginas web para bloquear contenido selectivamente, porque muy pocos navegadores ofrecen de verdad (a los desarrolladores) la opción de desactivar por completo la capacidad de ejecutar contenido activo. Es fácil imaginar las consecuencias: con suficientes técnicas de ocultación, los delincuentes pueden eludir los complementos defensivos. Los anunciantes que dan más importancia a ganar dinero que a las implicaciones para la seguridad están haciendo que los distribuidores de malware trabajen para ellos. En 2017, las técnicas de los anunciantes para eludir los bloqueadores de contenido activo serán las que utilicen los distribuidores de malware para permitir la descarga desapercibida de malware.
Los hacktivistas divulgan problemas de privacidad —Paula Greve
Los hacktivistas se esforzarán por concienciar a los consumidores sobre su huella digital, para lo cual atacarán y lograrán acceder a nubes corporativas que contengan sus datos personales. A continuación, revelarán estos datos para provocar su indignación y forzar la adopción de medidas. Estas acciones continuarán hasta que pierdan el interés de los medios o hasta que la indignación pública obligue a modificar las leyes de privacidad y las políticas corporativas.
Con los años, la cantidad de datos reunidos sobre los usuarios ha crecido de forma exponencial. Esta acumulación de datos nos ha ayudado a mejorar la salud, a hallar lo que buscamos con más rapidez, a reencontrar antiguos amigos, a tener en casa un sistema electrónico que funciona mejor e incluso a navegar protegidos. La utilidad de estos datos se menciona incluso en la Guía del escudo de la privacidad UE-EE. UU.: "Las transferencias de datos personales son un elemento tan importante como necesario de la relación transatlántica, especialmente en el contexto de la economía digital global actual." (página 1). Este año ha seguido aumentando la sensibilización sobre la información extraíble de nuestros dispositivos y sobre la dimensión de nuestra huella digital: desde iniciativas escolares para enseñar a los niños a controlar sus datos hasta artículos sobre cómo emplean las empresas la información personal para orientar mejor sus anuncios. De hecho, una búsqueda en TED recupera más de doce charlas relacionadas con el "lado oscuro de los datos". Este es un tema candente y controvertido que permanecerá en los titulares el año que viene.
Imagen de Vincent Diamante publicada originariamente en Flickr con el título "Anonymous at Scientology in Los Angeles" (Anonymous en Scientology en Los Ángeles) [CC BY-SA 2.0 (http://creativecommons.org/licenses/by-sa/2.0)], a través de Wikimedia Commons. Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 49
Predicciones para 2017
Teniendo en cuenta esta tendencia, prevemos que en 2017 los hacktivistas aprovecharán la oportunidad para concienciar a los usuarios sobre la cantidad de datos personales que revelan. Creemos que con este fin lanzarán varios ataques para infiltrarse en algunos servicios en la nube que reúnen datos (búsquedas, enlaces, conexiones, visualización de páginas, uso de productos, vigilancia, etc.) y después divulgarán públicamente el contenido como "anuncios de interés público". Por lo que hemos visto hasta ahora, cuando un grupo de hacktivistas elige un objetivo y tiene éxito, ejecuta ataques similares para demostrar su tesis e intentar aumentar la concienciación con cada uno de ellos. Con esta motivación, prevemos un incremento de este tipo de fugas de datos, que llamarán la atención sobre sitios web y empresas más respetados. Aunque cabe esperar que estos ataques tengan un impacto mundial, puede que las firmas norteamericanas sufran más presión. En Estados Unidos, las empresas quieren conservar el control de los datos de los clientes. Por ejemplo, Microsoft ha acudido varias veces a los tribunales para "proteger" los datos de los usuarios frente al gobierno estadounidense. El nuevo escudo de la privacidad UE-EE. UU. brinda a los ciudadanos la posibilidad de ver qué empresas reúnen qué datos. Irónicamente, esta lista también pueden utilizarla determinados hacktivistas que desean concienciar a los ciudadanos europeos, y al mundo entero, sobre la cantidad datos que de ellos han recopilado las empresas estadounidenses. Estos ataques generarán los consiguientes problemas de seguridad: las empresas víctimas de un ataque deberán ocuparse de las implicaciones del ataque para la seguridad y de su impacto en la confianza de los clientes, además de prepararse para la previsible avalancha de reclamaciones —a las cuales las empresas tienen 45 días para responder— y hacer frente a los efectos de las acciones del cliente que no quede satisfecho con la respuesta. Como resultado de estas reclamaciones, las empresas tendrán que adoptar otras medidas, como demostrar cuánto tiempo conservan los datos, la verdadera necesidad de los datos reunidos y en qué medida fue honrada para con el cliente la naturaleza del consentimiento para enviar datos telemétricos: "acepto", "no acepto" o "es inevitable". Tras algunas fugas de datos perpetradas por grupos de ciberdelincuentes para lucrarse con los datos robados, las víctimas se alarmaron al conocer no solo la cantidad de datos recopilados, sino también la antigüedad de algunos de ellos. Ya es malo que roben tus datos personales, pero la confianza se traiciona aún más cuando algunos de ellos ya no son exactos. Durante los próximos años, los consumidores serán más conscientes de los datos recopilados y exigirán soluciones, como un mayor control sobre su información personal y políticas de conservación coherentes. Quizá los consumidores presionen a las empresas para que formulen políticas de "derecho al olvido" y proporcionen una visibilidad total de los datos reunidos. En resumen, creemos que en 2017 los hacktivistas se esforzarán por concienciar a los consumidores sobre su huella digital, para lo cual atacarán y lograrán acceder a nubes corporativas que contengan sus datos personales. A continuación, revelarán estos datos para provocar su indignación y forzar la adopción de medidas. Estas acciones continuarán hasta que pierdan el interés de los medios o hasta que la indignación pública obligue a modificar las leyes de privacidad y las políticas corporativas.
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 50
Predicciones para 2017
Las operaciones de desmantelamiento de las fuerzas de seguridad golpean a la ciberdelincuencia —Christiaan Beek
Como resultado de la creciente cooperación entre el sector privado y las fuerzas de seguridad, aumentará en todo el mundo el número de operaciones de desmantelamiento contra los autores de ataques de denegación de servicio distribuido y redes de bots. Habrá más países que sufran los efectos de la ciberdelincuencia en su economía y que incrementen la inversión en funciones de ciberdefensa.
En los últimos tiempos, las fuerzas de seguridad y sus aliados han logrado desmantelar acabar con la actividad de varios ciberdelincuentes y sitios maliciosos. Intel Security ha participado en algunas de estas operaciones de desmantelamiento. ¿En qué consiste una operación de desmantelamiento? Se trata de una serie de acciones coordinadas en las que las fuerzas de seguridad, junto con otras partes interesadas (normalmente proveedores de seguridad), paralizan una operación ciberdelictiva. En el mejor de los casos incluye arrestos, pero siempre trastoca o desmonta la infraestructura que utilizan los ciberdelincuentes. Una operación de desmantelamiento es el resultado de muchos meses, o a veces años, de investigación. Tenemos un ejemplo de desmantelamiento en la operación que las autoridades rusas desplegaron en junio para arrestar a 50 personas responsables de una campaña de varios años destinada a robar 25 millones de dólares de bancos rusos. En YouTube hay imágenes de las detenciones. En 2016, Intel Security participó o colaboró en cuatro operaciones de desmantelamiento de ransomware y asistió o contribuyó en varias más que no se han divulgado públicamente. Las operaciones de desmantelamiento de ransomware forman parte del proyecto "No More Ransom!", en el que los órganos policiales y las empresas de seguridad de TI han aunado esfuerzos para detener a los ciberdelincuentes que emplean ransomware en sus ataques. Intel Security es uno de los miembros fundadores de este proyecto.
Como resultado de los desmantelamientos se ofrecen numerosos descifradores de ransomware.
Resulta alentador que otras empresas de seguridad se unan a la batalla contra la ciberdelincuencia. Lamentablemente, este año se han malogrado meses de investigación y unas cuantas operaciones de desmantelamiento por anunciarse prematuramente, algo que habría podido evitarse mediante la verificación con las fuerzas de seguridad competentes. Hay muchas empresas de seguridad y servicios policiales de ámbito mundial que desean unirse al proyecto No More Ransom!, por lo que creemos firmemente que podemos invertir la tendencia del ransomware. Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 51
Predicciones para 2017
En 2017, Intel Security seguirá colaborando con las fuerzas de seguridad mundiales en operaciones de desmantelamiento. También participaremos activamente en el proyecto No More Ransom! y organizaciones similares para poner nuestros conocimientos y nuestra experiencia al servicio de la comunidad global. Como resultado de la creciente cooperación entre el sector privado y las fuerzas de seguridad, aumentará en todo el mundo el número de operaciones de desmantelamiento contra los autores de ataques de denegación de servicio distribuido y redes de bots. Habrá más países que sufran los efectos de la ciberdelincuencia en su economía y que incrementen la inversión en funciones de ciberdefensa. Cuanto antes podamos actuar, mejor podremos responder e intervenir. Las empresas privadas que participan en operaciones conjuntas con las fuerzas de seguridad deben prever las consecuencias legales y prepararse para ellas. Puede que durante el año entrante los ciberdelincuentes desafíen por primera vez la relación entre los proveedores privados y las fuerzas de seguridad públicas.
El intercambio de inteligencia sobre amenazas hace grandes progresos —Jeannette Jarvis Cuando se comparte información sobre amenazas, el equilibrio de poder se restablece en perjuicio de los adversarios y a favor de nosotros, los defensores. El ciclo de vida de los ataques se ve alterado y resulta más costoso para los malhechores, ya que tienen que concentrar sus recursos y técnicas en nuevas tácticas. Es lo que sucedió en 2016 cuando los miembros fundadores de la alianza Cyber Threat Alliance (CTA) colaboraron en la investigación de la campaña CryptoWall versión 3. Poco después de publicar el informe de esta investigación, los creadores del malware dejaron de trabajar en CryptoWall versión 3 y dedicaron sus esfuerzos a una nueva campaña, la versión 4. La CTA continuará mejorando nuestras defensas colectivas en 2017 a través de la colaboración y la realización de otras investigaciones en profundidad. Estas investigaciones pondrán al descubierto nuevos ataques y establecerán indicadores de peligro que se compartirán e incorporarán a los sistemas de control de los miembros para detener futuros ataques. Si el intercambio de información sobre amenazas es tan fructífero, ¿por qué no hay más cooperación? Históricamente, ha habido tres importantes obstáculos para compartir información sobre amenazas: 1. El intercambio involuntario de información privada de los clientes. 2. La pérdida de una ventaja competitiva. 3. La divulgación pública de que una organización ha sido víctima de un ataque. Se establecerán comunidades de confianza ISAO. También surgirán nuevas plataformas ISAO que permitirán a las empresas añadir automáticamente información de amenazas a sus sistemas de seguridad.
Por fortuna, el sector de la seguridad está cambiando y estas preocupaciones están desapareciendo. Por ejemplo, la ley de intercambio de información de ciberseguridad (Cybersecurity Information Sharing Act) sienta las bases legales para el intercambio de información sobre amenazas entre el gobierno estadounidense y el sector privado, y entre organizaciones del sector privado, y protege de cualquier responsabilidad civil a las entidades que faciliten este tipo de información. Esta protección contra responsabilidad civil ha inducido a las empresas estadounidenses a revisar sus políticas de intercambio de información y en 2017 seguramente se intercambiarán muchos más datos sobre amenazas.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 52
Predicciones para 2017
Para detener los ataques casi en tiempo real harán falta herramientas y procesos automatizados. El decreto presidencial 13691 encargó al Secretario de Seguridad Nacional de los EE. UU. que creara la Information Sharing and Analysis Organization (ISAO) Standards Organization, una organización de normalización del análisis e intercambio de información. La ISAO Standards Organization ha redactado las directrices y buenas prácticas fundamentales para el intercambio y el análisis eficaz de información. En 2017 se crearán muchas comunidades ISAO en torno a los intereses afines de sectores, regiones y otros ámbitos relacionados. También surgirán nuevas plataformas ISAO que permitirán a las empresas añadir automáticamente información de amenazas a sus sistemas de seguridad. Prevemos que, a medida que evolucionen los programas de la ISAO y otros proyectos de intercambio de información, mejorarán la gobernanza y la rendición de cuentas. En 2017 estará completamente formada la Asociación internacional de ISAO certificadas (IACI, por sus siglas en inglés), cuya misión será orientar y certificar las ISAO. La IACI prestará asistencia a organizaciones de todo el mundo que desarrollen y promuevan la puesta en marcha de programas de intercambio de información sobre ciberamenazas. Para mejorar nuestras ciberdefensas, el sector debe cooperar. La inteligencia sobre amenazas de aportación colectiva y el análisis colaborativo ayudan a rellenar puntos negros y a formar una imagen más completa de lo que ocurre en el panorama de los ataques. 2017 será el año en el que el intercambio de información sobre amenazas logrará sus más importantes avances.
Ciberespionaje: la industria y las fuerzas de seguridad aúnan esfuerzos —Christiaan Beek
A causa de los cambios introducidos en la legislación internacional y los acuerdos entre países, creemos que los equipos de ciberespionaje antes patrocinados por los países se transformarán en agentes de información, que proporcionarán "acceso" a cambio de dinero. Su modus operandi seguirá siendo el mismo.
Comparta este informe
Durante los primeros nueve meses de 2016, Intel Security registró 78 casos públicos de lo que calificamos como ciberespionaje o ciberguerra. En la mayoría de estas campañas, lo que buscaban los países era la postura o la trayectoria política de las entidades seleccionadas como objetivo. Estas pertenecían al sector público o, en algunos casos, eran personas o miembros de un partido político. El modus operandi de todos los casos es similar y no creemos que vaya a cambiar mucho en 2017. Siempre empiezan cuando el malhechor elige una infraestructura de dominio para el host que actuará de servidor de control o distribuirá una carga útil. A continuación viene el ataque de phishing selectivo, en el que el objetivo recibe mensajes de correo electrónico utilizados como arma. A veces, los agresores incluyen código oculto en HTML incrustado que rastrea los ordenadores que persiguen y les permiten saber en qué lugar de la red han aterrizado. Desde ahí, los agresores utilizan todo un arsenal de herramientas, desde editores de credenciales hasta ataques Pass-the-Hash o secuencias de comandos personalizadas. En la mayoría de los casos, en la red se infiltra un troyano de puerta trasera y acceso remoto. Los grupos menos cualificados emplean RAT comerciales, como PlugX, y modifican la configuración básica para adaptarla a sus campañas. Este año nos han llamado especialmente la atención dos casos de ciberespionaje. El primero fue Irongate. Los investigadores detectaron un programa de malware complejo que atacaba sistemas de control industriales. Algunos fragmentos del código tenían que ver con Sutxnet, el famoso gusano ciberarmado. Ese es uno de los riesgos de utilizar malware como ciberarma: si el código se filtra, seguro que aparecerá en otro lugar. En algún momento, alguien adaptará y mejorará estas aplicaciones de malware. Esto nos lleva al segundo caso, Strider/Sauron, un malware muy avanzado que utiliza métodos y técnicas modulares. Strider/ Sauron es un ejemplo representativo de malware que realmente merece el nombre de amenaza persistente avanzada. Cuando un código de este tipo se hace público, todos debemos preocuparnos; lo más probable es que haya grupos patrocinados por países que conozcan y adapten algunas de estas técnicas. McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 53
Predicciones para 2017
¿Qué ocurrirá con el ciberespionaje en 2017? Siempre habrá ciberespionaje, ya sea como parte de las operaciones de inteligencia de un país o de las actividades de grupos organizados que buscan información reservada para ponerla a la venta. A causa de los cambios introducidos en la legislación internacional y los acuerdos entre países, creemos que los equipos antes patrocinados por países se transformarán en agentes de información, que proporcionarán "acceso" a cambio de dinero. Todo el mundo posee información de algún valor, pero hay que tener creatividad para lucrarse con ella. Otra de nuestras predicciones concierne a la seguridad de la red. La filtración de herramientas que al parecer pertenecían al Equation Group dejó muy claro que los agresores avanzados pretenden comprometer los firewalls. Atacar con éxito enrutadores principales o concentradores VPN brinda acceso a la red y una vía estupenda para volar por debajo del radar de seguridad. En 2017 proseguirán las investigaciones y la detección de este tipo de exploits.
Los sectores de la seguridad física y la ciberseguridad colaboran estrechamente —Matthew Rosenquist Está a punto de producirse un cambio estratégico en el sector de la seguridad. Los dominios de la ciberseguridad y la seguridad física empezarán a cruzarse y enriquecerán la seguridad del mundo real y el digital. La adopción continua de tecnología que mejore la vida de personas y la productividad de las empresas obligará al sector de la seguridad a acortar distancias entra la ciberseguridad y la seguridad física. Esta convergencia es la consecuencia natural de la finalidad común de ambos ámbitos: proteger a personas y bienes. Dos gigantes, un solo objetivo Los sectores mundiales de la ciberseguridad y la seguridad física tienen un valor aproximado de 80 000 y 100 000 millones de dólares, respectivamente. El sector de la seguridad física es mucho más maduro y estable, mientras que el de ciberseguridad se caracteriza por ser más caótico y crecer con rapidez. Durante años ambos han existido de forma prácticamente independiente el uno del otro. La seguridad física gira en torno a la videovigilancia, los sistemas de control de acceso a base de cerraduras y lectores de tarjetas de identificación, las barreras, las alarmas y las herramientas para proteger los bienes de valor. La ciberseguridad se centra en la protección de ordenadores, dispositivos inteligentes, telecomunicaciones, datos, nubes y todo lo relacionado con Internet. Estos productos y servicios son inestimables, pero deben protegerse de distintos tipos de amenazas. El mundo cambia La necesidad de ciberseguridad ha aumentado con el crecimiento y la generalización de las herramientas y la tecnología digitales en nuestra vida diaria. La tendencia es conectar, supervisar y controlar los dispositivos desde cualquier lugar. Se diseñan sistemas informáticos con más sensores y funcionalidad. Ahora los dispositivos de uso diario están conectados a la Web y son "inteligentes". Se espera que, para 2020, la convergencia del Internet de las cosas (IoT) habrá impulsado la conexión de 200 000 millones de dispositivos a Internet. Muchos de estos dispositivos se encontrarán en hogares y empresas, núcleo mismo del mercado de la seguridad física. Si los ladrones abren su nuevo sistema de cierre inteligente o el monitor del cuarto del bebé envía imágenes en directo a Internet, ya no se sentirá seguro.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 54
Predicciones para 2017
Gartner calcula que para 2020 más del 25 % de los ataques a las empresas estará relacionado con dispositivos IoT. Todo ello está acrecentando el gasto, ya de por sí extraordinario, en seguridad IoT: de 282 millones de dólares en 2015 se ha duplicado a más de 547 en 2018. Las propias alarmas, dispositivos de control de acceso y sistemas de video vigilancia se están convirtiendo en blanco de ciberataques. La conexión de los dispositivos de seguridad a una red puede ofrecer ventajas económicas y mejores prestaciones a los clientes, pero los expone a los hackers. Estos pueden aprovecharse del software, el firmware y los datos.
Los sectores de la seguridad física y la ciberseguridad unirán fuerzas y empezarán a endurecer los productos de seguridad frente a las amenazas digitales. Se complementarán entre sí para mejorar la seguridad de la próxima generación de productos y servicios.
Dos mercados interdependientes La tecnología relacionada con la seguridad física necesita imperiosamente una mejor ciberprotección. Todos los dispositivos de las redes IP, en especial los que se conectan directamente a Internet, necesitan la protección de la ciberseguridad. Se calcula que cerca del 70 % de las cámaras de videovigilancia vendidas están ahora conectadas a redes informáticas. Esto genera una enorme reserva de dispositivos vulnerables. Un gran número de cámaras de videovigilancia ha sufrido ya algún ataque. Con una sencilla búsqueda en Google es posible localizar sistemas que pierden enormes cantidades de datos de vídeo. Para destacar el problema hay un motor de búsqueda libremente disponible, Shodan, que permite a los usuarios buscar cámaras web vulnerables y ver fácilmente imágenes transmitidas en directo desde cámaras de todo el mundo. Cualquiera puede visionar imágenes de dormitorios, bancos, salones, dispositivos de vigilancia para bebés, piscinas, universidades, etc. Todo ello queda a disposición del público por una mala configuración o por falta incluso de controles de seguridad básicos. Los hackers serios son más discretos y cuentan con herramientas mucho mejores para acceder a muchos más sistemas. Esto es solo el principio. A medida que se conecten a Internet otros sistemas de seguridad y protección físicos, se producirán más exploits y secuestros. Hace poco, un agresor logró entrar y modificar la configuración de más de un millón de cámaras y grabadores DVR para agregarlos a una red de bots. A continuación esta red atacó a otros sistemas de Internet. Como no había controles de detección, todo ocurrió sin que los propietarios de los dispositivos se percataran de estar favoreciendo actividades delictivas. El sector de la seguridad física necesita imperiosamente cibercontroles que endurezcan sus productos y servicios y los hagan resistentes a los ciberagresores. La necesidad de seguridad aumentará a medida que el mundo adopte nuevos dispositivos digitales, servicios online y mayor conectividad. Los consumidores y las empresas desean tener privacidad y seguridad y a la vez poder utilizar características avanzadas remotas. La diferenciación entre los dominios físico y cibernético ya no será relevante y ambos mundos empezarán a fusionarse. A los consumidores no les gustará que las imágenes de la cámara de su dormitorio caigan en manos de desconocidos en Internet. No les importará si el problema es del software o de la red: considerarán que la responsabilidad es del fabricante del producto, el proveedor del servicio de seguridad o el instalador. Lo mismo ocurre con los dispositivos sanitarios, los coches y los controles industriales en las empresas. Deben ser seguros tanto desde el punto de vista físico como digital.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 55
Predicciones para 2017
Los consumidores y los ejecutivos querrán lo que siempre han querido: que una sola entidad se responsabilice y arregle los problemas. Estudios recientes demuestran que los consumidores ya conocen los riesgos y están dispuestos a abandonar a su distribuidor favorito si se produce un ataque. El sector de las telecomunicaciones ya ha pasado por este trance. La reciente fuga de datos en TalkTalk en Europa ha llevado a más de 100 000 clientes a buscarse otro proveedor. Estas expectativas cambiantes, estimuladas por la convergencia tecnológica, moverán a los sectores de la seguridad física y la ciberseguridad a unir sus fuerzas. Predicciones En 2017, los sectores de la seguridad física y la ciberseguridad trabajarán conjuntamente para crear soluciones de seguridad más exhaustivas y cohesionadas: 1. Los sectores de la seguridad física y la ciberseguridad unirán fuerzas y empezarán a endurecer los productos de seguridad frente a las amenazas digitales. Ambos mercados ya están unificando propósitos de cara a sus clientes. Ahora se complementarán entre sí para mejorar la seguridad de la próxima generación de productos y servicios. 2. Los clientes protestarán por los ciberataques que se produzcan en sus dispositivos físicos y minen su seguridad y su privacidad. Exigirán una experiencia de seguridad única o buscarán otros proveedores o distribuidores. 3. Los proveedores de soluciones de ciberseguridad empezarán a ofrecer servicios y asistencia a proveedores de seguridad física con nuevo software, plataformas y arquitecturas de integración. Empresas de ciberseguridad grandes y pequeñas anunciarán novedades. 4. Los congresos de seguridad física darán cabida a temas, expertos y proveedores de ciberseguridad. La incipiente interacción de los proveedores en ferias comerciales es un verdadero signo de colaboración.
Comparta este informe
McAfee Labs — Predicciones sobre amenazas para 2017, noviembre de 2016 | 56
Acerca de Intel Security Comentarios. Para saber en qué dirección orientarnos, nos interesan sus opiniones. Si desea transmitirnos sus impresiones, haga clic aquí para completar un rápido cuestionario de solo cinco minutos sobre el informe de amenazas.
Siga a McAfee Labs
McAfee. Part of Intel Security. Avenida de Bruselas n.° 22 Edificio Sauce 28108 Alcobendas Madrid, España Teléfono: +34 91 347 8500 www.intelsecurity.com
McAfee forma ahora parte de Intel Security. Con su estrategia Security Connected, su innovador enfoque de seguridad reforzada por hardware y su exclusiva red Global Threat Intelligence, Intel Security trabaja sin descanso para desarrollar soluciones y servicios de seguridad proactivos que protejan los sistemas, las redes y los dispositivos móviles de uso personal y empresarial en todo el mundo. Intel Security combina la experiencia y los conocimientos de McAfee con la innovación y el rendimiento demostrados de Intel para hacer de la seguridad un ingrediente fundamental en todas las arquitecturas y plataformas informáticas. La misión de Intel Security es brindar a todos la tranquilidad para vivir y trabajar de forma segura en el mundo digital. www.intelsecurity.com
La información de este documento se proporciona únicamente con fines informativos y para la conveniencia de los clientes de Intel Security. La información aquí contenida está sujeta a cambio sin previo aviso, y se proporciona "TAL CUAL" sin garantías respecto a su exactitud o a su relevancia para cualquier situación o circunstancia concreta. Intel y los logotipos de Intel y McAfee son marcas comerciales de Intel Corporation o McAfee, Inc. en EE. UU. y/o en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. Copyright © 2016 Intel Corporation. 1807_0916_rp_threats-predictions-2017
