WatchGuard Technologies, líder en soluciones de seguridad avanzadas de redes, emitió hoy una serie de predicciones de la industria de seguridad de la información para 2019.
Incluyen la aparición de «Vaporworms», una nueva generación de malware sin archivos con propiedades que les permite propagarse a sí mismo a través de sistemas vulnerables, junto con un derribo de la propia Internet y un ransomware que apunta a servicios públicos y sistemas de control industrial.
El equipo de investigación de WatchGuard desarrolló estas predicciones basadas en un análisis de seguridad y tendencias de amenazas en el último año.
«Los delincuentes cibernéticos continúan modificando el panorama de amenazas a medida que actualizan sus tácticas e intensifican sus ataques contra empresas, gobiernos e incluso la infraestructura de Internet», dijo Corey Nachreiner, Director de Tecnología de WatchGuard Technologies.
Las predicciones de Threat Lab para 2019 van desde muy probables a audaces amenazas, pero consistentes en las ocho es que hay esperanza para prevenirlas. Las organizaciones de todos los tamaños deben mirar hacia el futuro las nuevas amenazas que pueden estar a la vuelta de la esquina, prepararse para los ataques en evolución y asegurarse de que para enfrentarlos están equipadas con defensas de seguridad en capas».
Las predicciones de seguridad 2019 de WatchGuard Threat Lab son:
Predicción N°1: Los chatbots dirigidos por IA se vuelven maliciosos:
Descripción: En 2019, los delincuentes cibernéticos y los hackers de sombrero negro crearán salas de chat maliciosas en sitios legítimos para dirigir socialmente a las víctimas desconocidas para que hagan clic en enlaces maliciosos, descarguen archivos que contengan malware o compartan información privada.
Pero los chatbots de la vida real también ofrecen a los hackers nuevos vectores de ataque. Un chatbot hackeado podría desviar a las víctimas a enlaces maliciosos en lugar de legítimos. Los atacantes también podrían aprovechar las fallas de las aplicaciones web en sitios web legítimos para insertar un chatbot malicioso en un sitio que no tiene uno.
Por ejemplo, un hacker podría forzar la aparición de un chatbot falso mientras la víctima está viendo un sitio web bancario, preguntándole si necesita ayuda para encontrar algo. El chatbot podría entonces recomendar que la víctima haga click en enlaces maliciosos a recursos bancarios falsos en lugar de linkear a los reales. Esos enlaces podrían permitirle al atacante hacer cualquier cosa, desde la instalación de malware hasta el secuestro virtual de la conexión del sitio del banco.
En resumen, el próximo año los atacantes comenzarán a experimentar con chatbots maliciosos para diseñar víctimas sociales. Comenzarán con robots básicos basados en texto, pero en el futuro podrían utilizar bots con voz humana como Google Dúplex para diseñar socialmente a las víctimas por teléfono u otras conexiones de voz.
Predicción N°2: Utilidades y sistemas de control industrial dirigidos con ransomware
Descripción: El próximo año, las campañas de ransomware dirigidas se centrarán en los servicios públicos y los sistemas de control industrial (ICS). La demanda de pago promedio aumentará en un 6500 por ciento, desde un promedio de $ 300 a $ 20,000 por pago. Estos ataques causarán consecuencias en el mundo real, como apagones y pérdida de acceso a los servicios públicos.
Ransomware ha plagado Internet en los últimos cinco años, comenzando con CryptoLocker, el primer crypto-ransomware verdaderamente exitoso, que culmina con WannaCry, el primer gusano de rescate de rápida propagación. Durante estos últimos años, los delincuentes cibernéticos han lanzado una amplia campaña de ransomware a todos, buscando infectar a tantas víctimas como sea posible y pidiendo a cada uno un ransom relativamente escaso.
Sin embargo, durante el año pasado, los piratas informáticos han cambiado a ataques dirigidos que vienen con pagos más grandes. El lanzamiento de ransomware contra organizaciones que ofrecen servicios críticos aumenta la probabilidad de que se pague el rescate. Cuarenta y cinco por ciento de todos los ataques de ransomware en 2017 apuntaron a organizaciones de salud, como el NHS en el Reino Unido. En 2016, el Hollywood Presbyterian Medicare Center pagó un rescate de $ 17,000 para recuperar el control de sus sistemas informáticos, y otros ataques de ransomware importantes afectaron a MedStar Health y Alvarado Hospital Medical Center, entre docenas de otros. Muchas ciudades de los Estados Unidos también fueron golpeadas con ransomware en 2017 y 2018, incluyendo Baltimore y Atlanta.
En 2019, los delincuentes cibernéticos se dirigirán a los servicios públicos y los ICS. Estos son servicios vitales que aún no han sido atacados por ransomware generalizados y, por lo tanto, no están debidamente preparados para este tipo de ataque. Los ciberdelincuentes saben que cualquier ransomware que pueda causar un tiempo de inactividad en estos servicios recibirá una atención rápida, lo que les permitirá solicitar un dinero considerablemente mayor a cambio. Esto tiene el potencial de causar apagones y brechas en los servicios de agua y energía si estos ataques tienen éxito. Para resumir, se esperan menos ataques de ransomware el próximo año, pero más enfocados y específicamente dirigidos a servicios públicos e ICS, con demandas de rescate que aumentan en un 6500 por ciento.
Predicción N° 3: las Naciones Unidas proponen un tratado de seguridad cibernética
En 2019, las Naciones Unidas abordarán el tema de los ataques cibernéticos patrocinados por el Estado mediante la promulgación de un Tratado de Seguridad Cibernética Multinacional.
Hay muchos ejemplos de supuestos y confirmados ataques cibernéticos lanzados por Estados-nación. Estados Unidos e Israel supuestamente lanzaron el ataque de Stuxnet. El gobierno ruso ha sido acusado de todo, desde ataques DDoS contra Estonia, apagar el poder en Ucrania hasta la elección y la piratería política en los Estados Unidos.
Corea del Norte, mientras tanto, supuestamente ha atacado a organizaciones e infraestructuras públicas y civiles, se ha dirigido a Sony Pictures y aparentemente ha causado miles de millones en daños en el ataque WannaCry. Muchos gobiernos han culpado a China de varios ataques cibernéticos centrados en la propiedad intelectual, pero el “straw on the camel’s back” más reciente es el ataque a la cadena de suministro de Supermicro, donde el Ejército Popular de Liberación (EPL) ha sido acusado de escabullirse por las puertas traseras de los servidores enviados en todo el mundo (aunque muchos disputan esta historia).
Estos supuestos ataques cuestan miles de millones en daños que ponen en riesgo las cadenas de suministro responsables del 90 por ciento de los dispositivos informáticos, demostrando que los ataques cibernéticos a menudo causan enormes daños económicos fuera de sus objetivos previstos.
El creciente número de víctimas civiles afectadas por estos ataques hará que las Naciones Unidas gestionen de manera más agresiva un tratado multinacional de seguridad cibernética que establezca reglas de participación y consecuencias impactantes en torno a las campañas cibernéticas de los estados nacionales. Ellos han hablado y discutido sobre este tema en el pasado, pero los incidentes más recientes, así como otros nuevos que seguramente surgirán en 2019, finalmente forzarán a la ONU a llegar a un consenso.
Predicción N° 4: Un estado-nación para llevar los ataques de «Fire Sale»
Descripción: Tal vez recuerde el concepto ficticio de un ataque de «Fire Sale» de la cuarta versión de la película Die Hard, en el que un grupo terrorista planificó un ciberataque coordinado contra el transporte, los servicios financieros, los servicios públicos y los sistemas de comunicación de Estados Unidos. Los terroristas intentaron usar el miedo y la confusión causados por el ataque para desviar enormes sumas de dinero y desaparecer sin dejar rastro. En 2019, veremos una versión de este ataque ficticio convertido en realidad.
Por muy improbable que parezca este ataque a fines de la década del 2000, muchos incidentes de seguridad cibernética modernos sugieren que los estados-nación y los terroristas han desarrollado estas capacidades. Los ciberdelincuentes y los estados-nación han lanzado enormes ataques distribuidos de denegación de servicio (DDoS) que pueden destruir la infraestructura de los países y pueden obstaculizar los sistemas de comunicaciones. El gobierno de Estados Unidos reclama actores extranjeros. Ya han estado apuntando y probando las defensas de los servicios públicos y los sistemas de energía. Hemos visto estos ataques patrocinados por Naciones dirigidos a sistemas financieros como SWIFT para robar millones. Los estados nacionales también han usado los medios sociales y otros sistemas de comunicación para envenenar la percepción pública con noticias falsas.
En resumen, cada uno de estos tipos de ataques individuales ya son posibles. Es solo cuestión de tiempo antes de que un país combine muchos ataques como una cortina de humo para una operación más grande.
Predicción N° 5: Ataque de «VaporWorms» autopropulsados y sin archivos
Descripción: En 2019, surgirá una nueva generación de malware sin archivos, con propiedades similares a gusanos que le permiten propagarse a través de sistemas vulnerables y evitar la detección. Han pasado más de 15 años desde que el gusano informático Code Red se propagó a través de cientos de miles de servidores web vulnerables de Microsoft IIS en un ejemplo temprano de un gusano sin archivos. Desde entonces, tanto los gusanos como el malware sin archivos han afectado a las redes de todo el mundo individualmente, pero rara vez como un ataque combinado.
El malware sin archivos, que se ejecuta completamente en la memoria sin dejar caer nunca un archivo en el sistema infectado, continúa creciendo en popularidad. Los atacantes sofisticados prefieren este método porque, sin un archivo malicioso para escanear, los controles antivirus tradicionales de punto final tienen dificultades para detectar y bloquear amenazas sin archivos. Esto resulta en tasas de infección más altas. Si se combina esto con los sistemas que ejecutan software sin parches y vulnerable que está listo para que estalle el gusano, usted tiene una receta para el desastre.
El año pasado, un grupo de hackers conocido como Shadow Brokers causó un daño significativo al lanzar varias vulnerabilidades de día cero en Microsoft Windows. Los atacantes solo tardaron un mes en agregar estas vulnerabilidades al ransomware, lo que llevó a dos de los ataques cibernéticos más dañinos hasta la fecha en WannaCry y NotPetya. Esta no es la primera vez que las nuevas vulnerabilidades de día cero en Windows impulsaron la proliferación de un gusano, y no será la última. El próximo año, surgirán “VaporWorms”; malware sin archivos que se propaga a sí mismo explotando vulnerabilidades.
Predicción N° 6: WPA3 evitado por un vector de amenaza de capa 2
Descripción:
En 2019, una de las seis categorías de amenazas Wi-Fi definidas por el framework Entorno Inalámbrico de Confianza (TWE Trusted Wireless Environment) se utilizará para comprometer una red Wi-Fi WPA3 a pesar de las mejoras en el nuevo estándar de cifrado WPA3. A menos que que se incorpore una seguridad más completa en la infraestructura de Wi-Fi, los usuarios recibirán una falsa sensación de seguridad con WPA3, mientras que seguirán siendo susceptibles a amenazas como Puntos de Acceso de modo “Evil Twin AP”.
WPA3 es la próxima evolución del protocolo de cifrado Wi-Fi. Ha sufrido mejoras significativas con respecto a WPA2, pero aún no proporciona protección de las seis conocidas categorías de amenazas de Wi-Fi. Estas amenazas operan principalmente en la Capa 2 e incluyen: puntos de acceso no autorizados, clientes maliciosos, puntos de acceso gemelos malvados, puntos de acceso vecinos, redes ad-hoc y puntos de acceso mal configurados.
El Evil Twin AP, por ejemplo, es muy probable que se use en redes Wi-Fi abiertas mejoradas, ya que el cifrado inalámbrico oportunista (OWE) aún puede tener lugar entre un cliente víctima y el Evil Twin AP de un atacante que transmite el mismo SSID y posiblemente el mismo BSSID que un AP legítimo cercano. Aunque OWE mantendría a la sesión a salvo de escuchas ilegales, el tráfico de Wi-Fi de la víctima fluirá a través del Evil Twin AP y en las manos de un hombre en el medio (MitM) que puede interceptar credenciales y plantar malware y puertas traseras remotas. Es muy probable que veamos al menos una de las categorías de amenazas utilizadas para comprometer una red WPA3 en 2019, y nuestro dinero está en el Evil Twin AP.
Predicción N° 7: la biometría como autenticación de un solo factor explotada por atacantes
Descripción:
A medida que los inicios de sesión biométricos se vuelven más comunes, los piratas informáticos aprovecharán su uso como un método de autenticación de un solo factor para llevar a cabo un ataque importante en 2019.
Los métodos biométricos de inicio de sesión, como los lectores faciales y de huellas dactilares en dispositivos de consumo como teléfonos inteligentes y consolas de juegos, representan un objetivo tentador para los piratas informáticos. Si bien la biometría es más conveniente que recordar muchas contraseñas complejas, y son más seguras que las contraseñas pobres, aún son solo un método único de autenticación. Si las personas no agregan una segunda forma de autenticación, los ciberdelincuentes que piratean con éxito la biometría pueden acceder fácilmente a sus datos personales y financieros.
¿Pero no son los biométricos mucho más difíciles de descifrar? Bueno, un investigador engañó a un escáner de huellas dactilares con gomas de dulce en 2002, y un grupo de hackers aficionados derrotó el TouchID del iPhone en 2013. En 2017, un grupo de seguridad vietnamita afirma haber creado una máscara que puede engañar a FaceID de Apple. Es solo cuestión de tiempo hasta que los hackers perfeccionen estos métodos y exploten la tendencia creciente de la biometría como la única forma de autenticación. Por supuesto, los usuarios pueden evitar estos hacks mediante el uso de autenticación multifactor. Creemos que una cantidad suficiente de público continuará utilizando la autenticación biométrica de un solo factor en 2019 para que los piratas informáticos aprovechen su ingenuidad y logren un gran ataque biométrico.
Predicción N°8: los atacantes mantienen el rehén de Internet
Descripción: El próximo año, una organización hacktivista o nación-estado lanzará un ataque coordinado contra la infraestructura de Internet.
La industria ya vio el impacto de un ataque contra una pieza crítica de la infraestructura de Internet cuando un ataque DDoS contra el proveedor de alojamiento de DNS, Dyn, derribó a muchos populares sitios web como Twitter, Reddit y Amazon.com. Casi al mismo tiempo, el experto en seguridad Bruce Schneier observó que los atacantes estaban investigando varios nombres sin identificar.
Compañías que proveen servicios críticos de internet similares para debilidades potenciales. Un ataque DDoS de esta magnitud contra un registrador importante como Verisign podría derribar un total de dominios de nivel superior (TLD) de sitios web. Imagine el impacto si cada una de las direcciones .com ya no se puede resolver.
Incluso el protocolo que impulsa Internet en sí, Border Gateway Protocol (BGP) opera en gran medida en el sistema de honor.
Solo el 10 por ciento de las direcciones de Internet tienen registros válidos de la infraestructura de clave pública de recursos (RPKI) para proteger contra el secuestro de rutas.
Peor aún, solo el 0,1 por ciento de los sistemas autónomos de internet los números han habilitado la Validación de Origen de Ruta, lo que significa que el otro 99.9 por ciento está completamente abierto para la toma de control hostil por el secuestro de ruta.
La conclusión es que Internet en sí está listo para que alguien con los recursos pueda realizar DDoS en varios puntos críticos en internet o abusar de los protocolos subyacentes. Con los ataques de estado-nación y hacktivismo que aumentaron recientemente, pudimos ver que los cibercriminales realmente eliminan internet en 2019.
Las predicciones están disponibles en:
