Como cada 12 meses McAfee Lab examina las tendencias que se han visto en los últimos 360 días para realizar predicciones sobre qué tipo de amenazas de seguridad esperar el año siguiente. Aunque mirar a futuro puede ser impredecible, puede ayudar a preparar a las organizaciones para ciertas posibles amenazas que puedan surgir.
1. Las amenazas industriales madurarán y se segmentarán
La amenaza: agua, electricidad, petróleo y gas son esenciales para las vidas cotidianas de las personas, aunque muchos sistemas industriales no están preparados para los ataques cibernéticos. Muchos de los entornos en que se implementan los sistemas SCADA (supervisión, control y adquisición de datos) no tienen prácticas de seguridad estrictas.
Las agencias y organizaciones deben contar con un plan de continuidad de negocio (BCP) formal establecido que mantenga los procesos empresariales básicos en ejecución, aun cuando la mayoría de la infraestructura de TI se encuentre sin conexión. Debe existir un plan sólido de recuperación ante desastres (DR) que se practique al menos una vez al año. Aún más importante, deben ser proactivos de cara a los ataques y emplear detección de vulnerabilidad, auditoría de seguridad, ejercicios de pruebas de penetración (equipo rojo y azul), programas de administración de parches y cambios, programas seguros de ciclo de vida de implementación de software (SDLC), tecnologías de control de cambios y ejecución (listas aprobadas de aplicaciones), tecnologías de administración de privilegios (control de acceso, cifrado, autenticación de dos factores) y tecnologías de detección de listas negras (antivirus, NIPS/NIDS). Es importante llevar a cabo pruebas de penetración sólidas y regulares a fin de comprender cómo su red hará frente a un ataque.
2. Los ataques de hardware incorporado se ampliarán y profundizarán
La amenaza: los sistemas incorporados están diseñados para una función de control específica dentro de un sistema mayor y se usan comúnmente en la industria automotriz, dispositivos médicos, dispositivos de GPS, enrutadores, cámaras digitales e impresoras. McAfee Labs espera ver códigos de prueba de concepto que explotan los sistemas incorporados para ser más eficaces en 2012 y en el futuro. Esto requerirá de malware que ataque en la capa de hardware y permitirá que los ataques obtengan más control y mantengan acceso a largo plazo al sistema y sus datos. Así, los hackers sofisticados tendrán total control sobre el hardware.
Lo que las organizaciones deben hacer: los sistemas incorporados por naturaleza son sistemas de conexión directa que evitan la actualización sencilla y muchos, como los dispositivos biomédicos, se encuentran regulados por la FDA, lo cual requiere un proceso de aprobación riguroso. Este anticuado sistema de actualización hace difícil, si acaso no imposible, actualizar rápidamente para evitar vectores de ataque detectados recientemente. De tal manera, técnicas o ataques nuevos son difíciles de evitar en el mundo integrado, donde a menudo se requiere una recuperación. Las organizaciones deben incluir un firewall en sus sistemas integrados lo mejor que puedan y controlar o desactivar todas las radios de interfaz con el dispositivo (incluidos wifi, GPS, Bluetooth, GSM/GPRS/CDMA). Por último, se debe aplicar cualquier actualización de firmware lo más rápido posible. A (no muy distante) futuro, McAfee espera ver actualizaciones de firmware remotas de la misma manera que tenemos “el martes de parches” para software. Los fabricantes deben considerar programas de ciclo de vida de desarrollo seguro, incluidas auditoría y mejores prácticas.
3. El hacktivismo y el grupo Anonymous renacerán y evolucionarán
La amenaza: McAfee Labs prevé que en 2012 el “verdadero” grupo Anonymous se reinventará o arriesgará la marginalización. Asimismo, quienes lideran las interrupciones digitales unirán fuerzas con los manifestantes físicos y apuntarán a figuras públicas, como políticos, líderes de la industria, jueces y funcionarios del orden público más que nunca antes.
Lo que las organizaciones deben hacer: en caso de ataques dirigidos de extracción de datos, se requiere una revisión constante de la postura de seguridad de la empresa. Los hacktivistas sólo necesitan una falla en las defensas para que sus esfuerzos fructifiquen, por eso los defensores de la seguridad deben tapar cada grieta. Este es un formidable desafío para cualquier profesional de la seguridad y la razón por la cual los hacktivistas suelen tener éxito, si tienen el tiempo suficiente. Sin embargo, los hacktivistas tienden a aprovechar técnicas de ataque antiguas, como ataques mediante la adivinación de contraseñas, inyección de SQL y otras aperturas expuestas que son fáciles de evitar y detectar (si el programa de seguridad es completo y está activo). Los hacktivistas tienden a no ser desarrolladores de vanguardia de nuevos vectores de ataque o vulnerabilidades. Si el programa de seguridad de una empresa es sólido e incluye una combinación de seguridad de endpoint , firewall, base de datos, entonces las tecnologías móviles y de respuesta de amenaza no representan un gran problema. Sin embargo, hay que mantenerse alertas, ya que los chicos malos solo necesitan una grieta en la armadura que se pueda revelar en cualquier momento. Las organizaciones deben estar conscientes de la seguridad de sus servidores Web y asegurarse de que existan sistemas de cifrado y prevención de pérdida de datos. Deben preguntarse, “¿cómo haré frente a un ataque anónimo y qué podemos hacer para prepararnos?”.
4. Los sistemas de moneda virtual experimentarán ataques más amplios y más frecuentes
La amenaza: la moneda virtual, en ocasiones denominada cibermoneda, se ha transformado en una forma preferida por las personas para cambiar dinero en línea. Estas “billeteras” en línea no están cifradas y las transacciones son públicas, lo que hace de ellas un objetivo atractivo para los delincuentes cibernéticos. McAfee Labs espera ver evolucionar esta amenaza en spam, robo de datos, herramientas, redes de soporte y otros servicios asociados dedicados únicamente a explotar las monedas virtuales con el fin de robar dinero de víctimas desprevenidas o propagar malware.
Lo que las organizaciones deben hacer: desde la perspectiva de un comerciante, el principal problema aquí es asegurarse de no ser víctima de un ataque de intermediario que extraiga moneda, real o virtual, del comerciante de manera fraudulenta. La mejor manera de hacerlo es revisar por completo las operaciones del comerciante de forma regular. Como mínimo, esto debe hacerse una vez al año para asegurarse de que las transacciones de proveedor de moneda del comerciante se auntentiquen correctamente.
5. Este será el “Año para (no “de”) la guerra cibernética”
La amenaza: los países son vulnerables debido a la masiva dependencia de los sistemas computacionales y una defensa cibernética que defiende principalmente solo a las redes militares y del gobierno. Muchos países se dan cuenta del potencial perjudicial de los ataques cibernéticos contra la infraestructura esencial, como el agua, el gas y la energía y la dificultad que plantea defenderse de ellos. McAfee Labs espera ver que los países demuestren sus capacidades cibernéticas en 2012, para dar una señal.
Lo que las organizaciones deben hacer: para la mayoría de las empresas privadas, los ejercicios de planificación ante desastres y la continuación de negocio ya mencionados también mitigarán el daño en caso de ataques de guerra cibernética o espionaje cibernético. Además de un programa de seguridad sólido, a las empresas que hacen negocios materiales con las comunidades militares o de inteligencia u operan en proximidad con ellas les conviene contar con planes de uso compartido de información y planes de respuesta ante incidentes (como los de ISAC, isaccouncil.org) para minimizar el impacto de cualquier ataque de guerra cibernética. Las organizaciones deben seguir los movimientos sobre legislación propuesta y comprender su posible impacto.
6. DNSSEC impulsará nuevos vectores de amenaza de red
La amenaza: DNSSEC (extensiones de seguridad del sistema de nombres de dominio) tienen como objetivo proteger a una computadora cliente de que se comunique de forma inadvertida con un host como consecuencia de un ataque de intermediario (“man-in-the-middle”). Dicho ataque redirige el tráfico desde el servidor deseado (página web, correo electrónico, etc.) hasta otro servidor. Lamentablemente, DNSSEC también protegería de spoofing y redirección cualquier intento de las autoridades que buscan reenrutar el tráfico de Internet destinado a sitios Web que trafiquen software o imágenes ilegales. Los organismos reguladores en todo el mundo están interesándose más en establecer las “reglas del camino” para el tráfico en Internet y McAfee ver cada vez más instancias en que las futuras soluciones serán entrabadas por aspectos legislativos.
Lo que las organizaciones deben hacer: las organizaciones deben estar atentas a la legislación que pueda exigir requisitos legales adicionales para administrar la actual infraestructura DNS, los cuales pueden no ser compatibles con la infraestructura DNSSEC. Si tales requisitos se implementan, entonces el proceso para actualizar la seguridad de nuestra infraestructura DNS quizás deban suspenderse mientras los comités buscan un punto técnico intermedio ente la ley y DNSSEC.
7. El spam tradicional se hará “legítimo”, mientras que el spearphishing evolucionará en mensajería dirigida
La amenaza: McAfee Labs ha observado una caída en los volúmenes globales de spam en los últimos dos años. Sin embargo, los anunciantes legítimos están retomando el camino donde quedaron los spammers, como comprar listas de correo electrónico de usuarios que “aceptado” recibir publicidad o comprar bases de datos de clientes a empresas que van a cerrar. McAfee Labs espera que este spam “legal” y la técnica conocida como “snowshoe spamming” para seguir creciendo a un ritmo más veloz que el phishing ilegal y los fraudes de confianza.
Lo que las organizaciones deben hacer: las técnicas de “snowshoe spam” que serán tan populares el año entrante dictan un enfoque más integral de prevención. Cuando los motores de spam cambien la ID de dominio y la dirección IP cada hora más o menos, las técnicas de firma e incluso de filtrado heurístico captarán una fracción todavía más pequeña de correo no solicitado. Las organizaciones no pueden dejar de usarlas, pero pueden agregar técnicas sofisticadas de filtrado de redes con fuentes de datos en tiempo real que identifiquen y bloqueen cada ataque cuando el spammer cambie la IP de origen. Al mismo tiempo, la TI empresarial debe comprender que muchos de los intentos de los delincuentes por hacer dinero a partir del spam han pasado a spearphishing, lo cual no se presta mucho para una solución de tecnología pura. La mejor defensa contra el spearphishing es la educación de los empleados (en particular, de los empleados ejecutivos). La tecnología de firewall de última generación también puede ayudar a evitar que los empleados accedan a sitios fraudulentos.
8. Los botnets y rootkits móviles madurarán y convergerán
La amenaza: 2011 ha visto los mayores niveles en la historia del malware móvil. En 2012, McAfee Labs espera que los atacantes móviles mejoren su conjunto de habilidades y avancen hacia ataques de transacciones móviles. Técnicas que antes se dedicaban a la banca en línea, como robar a las víctimas mientras todavía están conectadas y haciéndolo parecer como que las transacciones vienen de un usuario legítimo, ahora se dirigirán a usuarios de transacciones bancarias. McAfee Labs espera que los ataques omitan las computadoras personales y vayan directamente a aplicaciones bancarias móviles, a medida que cada vez más usuarios administran sus finanzas en dispositivos móviles.
Lo que las organizaciones deben hacer: el número de dispositivos móviles que representan amenaza todavía es extremadamente pequeño y no todos ellos tienen siquiera la capacidad de hacer mucho daño. Los delincuentes cibernéticos están en misiones de reconocimiento más que cualquier otra cosa. Esto cambiará, sin embargo, y cuando suceda, la TI empresarial debe estar preparada. En 2012, las organizaciones deben desarrollar políticas de seguridad y acceso móvil, y determinar exactamente qué tipo de tecnologías se necesitarán para evitar que la era móvil arruine por completo la seguridad de la información empresarial.
9. Los certificados fraudulentos y las entidades de certificación fraudulentas socavarán la confianza de los usuarios
La amenaza: las organizaciones y las personas tienden a confiar en certificados con firma digital, no obstante, las recientes amenazas, como Stuxnet y Duqu utilizaron certificados fraudulentos para evadir la detección. McAfee Labs espera ver un aumento en la producción y circulación de certificados falsos fraudulentos en 2012. Los ataques de amplia escala a las autoridades de certificados y el uso extendido de certificados digitales fraudulentos afectarán a la infraestructura clave, la exploración y las transacciones seguras además de a las tecnologías basadas en un host, como las listas aprobadas y el control de aplicaciones.
Lo que las organizaciones deben hacer: primero, las organizaciones deben asegurarse de que todos los certificados SSL que usan en su curso normal de negocio sean actuales y no dependan de la autorización de ningún emisor sospechoso. McAfee espera que en 2012 empiecen a aparecer listas de emisores “buenos” y “cuestionables”. Segundo, las políticas deben desarrollarse e implementarse para abordar certificados “autofirmados”. Aceptar un certificado autofirmado de una empresa bien conocida como Verisign es sensato, por el contrario, aceptar uno de una fuente desconocida en Ucrania es una propuesta muy diferente.
10. Los avances en los sistemas operativos y la seguridad impulsarán botnets y rootkits de última generación
La amenaza: las nuevas características de seguridad incorporadas en el centro del sistema operativo provocarán que los hackers encuentren entradas alternativas: penetrando por el hardware y saliendo por el sistema operativo. Atacar el hardware y el firmware no es fácil, pero el éxito permite a los atacantes crear malware persistente en tarjetas de red, discos duros e incluso en BIOS (sistema básico de entrada/salida) del sistema. McAfee Labs espera ver que se realicen más esfuerzos en exploits de hardware y firmware y sus ataques del mundo real relacionados durante el año 2012.
Lo que las organizaciones deben hacer: desde una perspectiva preceptiva, este problema tiene la ventaja de que la solución tiene que ser casi completamente tecnológica sin participación alguna del usuario. Las organizaciones no pueden solucionar este problema con educación, de manera que la TI empresarial deberá desarrollar políticas y procedimientos, e implementar herramientas de prevención y mitigación conforme esta clase de amenaza prolifera.
En resumen
A medida que la tecnología evoluciona y nuestro uso de Internet y de los dispositivos móviles se vuelven más complejo, los delincuentes cibernéticos también están evolucionando y afinando sus habilidades con nuevos tipos de ataques. Pero aun cuando algunas de estas amenazas pueden dar miedo, la realidad es que muchas ofrecen nuevas perspectivas de antiguas formas de ataque y con un poco de previsión y preparación, las organizaciones pueden protegerse contra ellas.
Redacción