medios
Los ciber ataques más utilizados durante el 2018 seguirán presentes en el 2019.
Los dispositivos 5G IoT se conectarán directamente a la red 5G, en lugar de hacerlo a través de un enrutador Wi-Fi, lo que hará que los dispositivos sean más vulnerables al ataque directo.
Una vulnerabilidad común será la preparación de dispositivos de IoT para lanzar grandes esfuerzos de cryptojacking y extraer criptomonedas.
Con el fin de anticipar las principales tendencias de ciberseguridad y privacidad para el próximo año, La empresa Symantec recomienda observar detalladamente los acontecimientos ocurridos durante 2018. Aquí algunos de los ataques y tácticas más significativos:
El caso Exactis, la empresa de comercialización y agregación de datos, es uno de los ejemplos de mayor pérdida de potencial de información, con la exposición de una base que contenía casi 340 millones de registros de información personal.
En el ámbito de las redes sociales, Facebook aseguró que hackers robaron información de casi 30 millones de personas. Diferentes gobiernos utilizaron sondeos y ataques cibernéticos para acceder a todo, desde secretos corporativos, hasta sistemas gubernamentales y de infraestructura confidencial.
A nivel personal, una violación de las cuentas del rastreador de salud MyFitnessPal de Under Armour fue víctima de robo de datos privados de aproximadamente 150 millones de personas.
Por lo que Symantec preside que las siguientes son algunas de las tendencias y actividades que podrán afectar a las organizaciones, gobiernos e individuos durante el 2019:
1. Los ciberterroristas explotarán los sistemas de inteligencia artificial (IA) y la utilizarán como herramienta estratégica para sus ataques.
La fragilidad de algunas tecnologías de inteligencia artificial se convertirá en una preocupación creciente en 2019. Los ciberterroristas no solo atacarán los sistemas de IA, sino que ellos mismos utilizarán técnicas de este mismo sistema para mejorar sus propias actividades delictivas. Los sistemas automatizados impulsados con IA podrían sondear redes y sistemas en búsqueda de vulnerabilidades no descubiertas que podrían ser explotadas.
Asimismo, la IA también podría ser utilizada para hacer que los ataques de phishing y otros de ingeniería social sean aún más sofisticados, creando videos y audios extremadamente realistas o correos electrónicos bien diseñados elaborados para engañar a personas específicas. La IA también podría utilizarse para lanzar campañas de desinformación realistas, por ejemplo, un video falso creado del CEO de una empresa anunciando una gran pérdida financiera, una brecha de seguridad importante u otra noticia trascendental.
2. Los defensores dependerán cada vez más de la IA para contrarrestar los ataques e identificar las vulnerabilidades.
La IA también tiene un lado positivo. Para el uso personal, es probable que la IA y otras tecnologías comiencen a ayudar a las personas a proteger mejor su propia seguridad y privacidad digital. Estas herramientas pueden estar integradas en los teléfonos móviles para advertir a los usuarios si ciertas acciones son riesgosas. Por ejemplo, cuando configura una nueva cuenta de correo electrónico, su teléfono puede advertirle automáticamente que configure la autenticación de dos factores. Con el tiempo, dicha IA, basada en la seguridad, también podría ayudar a las personas a comprender mejor los riesgos que implica cuando entregan información personal, a cambio del uso de una aplicación u otro beneficio adicional.
3. El aumento en la implementación y adopción de la red 5G comenzará a expandir el área de superficie de ataque.
Este año se han iniciado varias implementaciones de infraestructura de red 5G y el 2019 se perfila como un año de actividad acelerada para este tipo de tecnologías. IDG predice que el mercado de infraestructura de red relacionada con 5G crecerá aproximadamente US$ 528 millones en 2018 a US$ 26 mil millones en 2022, exhibiendo una tasa de crecimiento anual compuesta del 118%, siendo el 2019 un “año crucial” para este tipo de tecnologías.
Aunque los smartphones son el foco de gran interés de la red 5G, es probable que sea limitada la cantidad de equipos con este tipo de capacidad para el año que viene. Como paso previo a la amplia implementación de redes 5G, algunas operadoras ofrecen puntos de acceso móviles fijos 5G y enrutadores equipados para los hogares. Dado que la velocidad de datos máxima de las redes 5G es de 10 Gbps, en comparación con los 1 Gbps de 4G, el cambio traerá consigo nuevos modelos operativos, nuevas arquitecturas y en consecuencia, nuevas vulnerabilidades.
4. Los eventos basados en IoT irán más allá de los asaltos masivos de DDoS a nuevas formas de ataque más peligrosas.
En los últimos años, los ataques masivos de denegación de servicio (DDoS) con botnets han explotado en decenas de miles de dispositivos IoT infectados para enviar volúmenes paralizantes de tráfico a los sitios web de las víctimas. Al mismo tiempo, se pueden esperar dispositivos de IoT mal protegidos destinados a otros fines perjudiciales. Entre los más problemáticos, se encuentran los ataques contra dispositivos de IoT que conectan el mundo digital y el físico. Algunos de estos objetos habilitados para IoT son cinéticos, como automóviles y otros vehículos. Se anticipa un número creciente de ataques contra dispositivos IoT que controlan la infraestructura crítica, como el suministro de energía y las redes de comunicaciones. Y a medida que los dispositivos de IoT residenciales se vuelvan más omnipresentes, es probable que haya futuros intentos de transformarlos en armas: por ejemplo, por una nación que apaga los termostatos domésticos en un estado enemigo durante un duro invierno.
5. Los grupos de ataque capturarán cada vez más datos en tránsito
Para el 2019, se puede esperar intentos cada vez mayores de obtener acceso a los enrutadores domésticos y otros hubs de IoT para capturar algunos de los datos que pasan a través de ellos. El malware insertado en dicho enrutador podría, por ejemplo, robar credenciales bancarias, capturar números de tarjetas de crédito o mostrar páginas web malintencionadas y falsas al usuario para comprometer la información confidencial. Actualmente, estos datos confidenciales tienden a estar mejor protegidos cuando están en reposo. Por ejemplo, los sitios web de comercio electrónico no almacenan los códigos de seguridad de tarjetas de crédito, lo que dificulta a los grupos de ataque robar las bases de datos de comercio electrónico.
Durante el 2018, en el sector empresarial, hubo numerosos ejemplos de compromisos de datos en tránsito. El grupo de ataque Magecart robó datos de tarjetas de crédito y otras informaciones confidenciales de consumidores en páginas de comercio electrónico, incorporando scripts maliciosos directamente en sitios web específicos. Tales ataques de secuestro de formularios han impactado recientemente en compañías globales. En otro ataque dirigido a datos empresariales en tránsito, el malware VPN Filter también infectó una variedad de enrutadores y dispositivos de almacenamiento conectados a la red, lo que le permitió robar credenciales, alterar el tráfico, descifrar datos y servir como punto de lanzamiento para otras actividades maliciosas dentro de las organizaciones víctimas.
6. Los ataques que explotan la cadena de suministro crecerán en frecuencia e impacto.
Un objetivo cada vez más común de los ciberterroristas es la cadena de suministros de software, donde implantan un malware en paquetes de software legítimos en su ubicación de distribución habitual. El escenario de ataque típico implica que el atacante reemplace una actualización de software legítima con una versión malintencionada, para distribuirla de forma rápida y secreta a los objetivos previstos. Cualquier usuario que reciba la actualización del software automáticamente tendrá su computadora infectada, lo que le dará al atacante un punto de apoyo en su entorno.
7. Las crecientes preocupaciones en materia de seguridad y privacidad impulsarán el aumento de la actividad legislativa y reglamentaria.
La implementación a mediados de 2018, por parte de la Unión Europea, del Reglamento General de Protección de Datos (GDPR por su sigla en inglés) probablemente será solo un precursor de varias iniciativas de seguridad y privacidad en países fuera de la Unión Europea. Canadá y Brasil han aprobado una legislación similar al GDPR, que entrarán en vigencia en el 2020. Australia y Singapur han promulgado un aviso de incumplimiento de 72 horas inspirado en este reglamento, India está considerando una legislación como el GDPR y California aprobó una ley de privacidad, considerada como la más dura en los Estados Unidos hasta la fecha. Se prevee que el impacto total de GDPR sea más claro en todo el mundo durante el próximo año.