Llegamos a ustedes gracias a:



Reportajes y análisis

Ciberdelincuencia en recesión: 10 cosas que cada CISO debe saber

[26/05/2020] Es probable que el mundo se enfrente a tiempos financieros difíciles en el futuro, y tal vez incluso a una gran recesión mundial. Mientras las economías se estancan, ¿cómo reaccionarán los ciberdelincuentes? ¿Cambiarán de objetivos, técnicas o prioridades? ¿Presentarán una amenaza más personal, ya sea dentro o fuera de su organización?

Las experiencias y los conocimientos de recesiones pasadas pueden ayudarnos a prepararnos para lo que nos espera.

El crimen cibernético florece en una recesión

El delito cibernético aumentó durante la última recesión en el 2008. Regulatory Data Corp. dijo que vio un aumento promedio del 40% en la actividad cibercriminal durante los dos años siguientes al pico de la recesión del 2009. El Gobierno del Reino Unido registró que el fraude con tarjetas no presentes en Internet (transacciones realizadas a través de Internet) a los bancos/la industria de las tarjetas de pago cayó durante el período de recuperación tras el colapso mundial, cayendo a 135 millones de libras esterlinas en el 2010, desde un máximo de 181 millones de libras esterlinas en 2008.

En el 2009, Reuters informó de que el fraude por Internet en los Estados Unidos aumentó un 33% en el 2008, mientras que el Informe de Criminología Virtual de McAfee de ese período sugiere que hubo un gran aumento del malware, los bots y los troyanos en torno al 2008, en comparación con el año anterior. Si bien esa tendencia no ha disminuido desde entonces, el cambio en el panorama digital presenta mayores oportunidades para los atacantes.

Un estudio reciente de la Universidad de Portsmouth sugiere que, en las recesiones de 1980, 1990 y 2008 se produjo un aumento del fraude de al menos un 5%. En esas recesiones, el PIB del Reino Unido cayó en un solo dígito. Con el Tesoro del Reino Unido prediciendo una potencial caída del 12% en el PIB debido a la COVID-19, los investigadores de Portsmouth están sugiriendo que es posible que el Reino Unido pueda ver un aumento de hasta el 35% en los intentos de fraude, principalmente realizados en línea.

Otros datos sugieren que las recesiones locales aumentarán el cibercrimen a nivel local. Los datos obtenidos por Recorded Future muestran que el cibercrimen en Brasil y España -dos países que han sufrido recesiones locales desde el 2008- vieron grandes picos en la actividad del cibercrimen durante los tiempos difíciles financieros.

"En el punto álgido de la recesión brasileña hubo un gran aumento de la delincuencia cibernética", comenta Allan Liska, analista principal de inteligencia de amenazas de Recorded Future. "Luego lo mismo en España. Esos son ejemplos mucho más recientes de cuando realmente había una organización clandestina, y se puede ver que durante una recesión hay definitivamente un notable repunte en la actividad cibercriminal".

La recesión del 2008 se produjo en un panorama tecnológico muy diferente. Cosas como los servicios en la nube y los teléfonos inteligentes estaban todavía en su fase inicial, mientras que la venta de herramientas y servicios de ciberdelincuencia en la web oscura todavía no se había convertido en un producto básico. Debido a esto, el vicepresidente y analista principal de Forrester, Jeff Pollard, dice que es difícil hacer predicciones basadas en la recesión del 2008. "Sin embargo, en el 2020 dependemos mucho más de la tecnología que hace una década, por lo que espero que aumente la delincuencia cibernética", afirma.

Más allá del potencial aumento del delito cibernético, ninguno de los expertos con los que habló CSO pensó que los objetivos, prioridades o TTP (tácticas, técnicas y procedimientos) de los atacantes probablemente cambiarían drásticamente durante una futura recesión. Señalaron que el trabajo a distancia a escala introducido durante la pandemia, podría aumentar el riesgo debido a la reducción de la eficacia de algunos controles y la vigilancia.

El "phishing" seguirá siendo un factor clave

Los atacantes no están desarrollando nuevas técnicas o cambiando las tácticas en torno al phishing. Simplemente están repasando sus capacidades existentes con los nuevos temas relacionados.

"Cuando tienes el caos y el pánico, cuando tienes a la gente incierta sobre lo que el mañana va a traer", comenta Deb Golden, directora y líder de los Servicios de Riesgo Cibernético de EE.UU. de Deloitte's Risk & Financial Advisory, "ciertamente vemos un aumento en el fraude, en gran parte asociado con los intentos de phishing y las campañas de ingeniería social".

De la misma manera que los señuelos relacionados con la COVID-19 se han disparado durante el curso de la pandemia, estamos empezando a ver aparecer señuelos relacionados con las finanzas. "Hemos visto un pico en las últimas dos semanas de miles de dominios registrados con palabras como 'estímulo', 'alivio', 'reembolso' y 'rebaja' en ellos", añade Liska de Recorded Future. "Hemos visto ese rápido cambio [de los correos electrónicos relacionados con COVID19] a, 'Así es como obtienes tu cheque del gobierno', o, 'Así es como obtienes un préstamo de alivio', o, 'Así es como obtienes esta financiación adicional'".

Las organizaciones pueden esperar más señuelos de phishing que pretenden ser de la Administración de Pequeñas Empresas de los EE.UU. y de organismos gubernamentales similares de otros países, añade Liska. Los informes de estafas en torno al fondo de ayuda para el permiso de trabajo del Reino Unido, que afirman ser del Ministerio de Hacienda y Aduanas de Su Majestad (HMRC), surgieron rápidamente después del lanzamiento del fondo, mientras que siguieron esquemas similares en torno al IRS y los cheques de estímulo en los EE.UU.

El compromiso del correo electrónico empresarial seguirá creciendo

Liska predice que el rasomware seguirá siendo un método de ataque popular porque hace dinero. Espera que el compromiso de correo electrónico de negocios (BEC, por sus siglas en inglés) también sea popular. "Hay tantos discos a la venta en los mercados clandestinos que puede encontrar fácilmente su camino hacia un negocio. Solo necesita el 10% de esas contraseñas para seguir trabajando y tener una operación exitosa".

Además de explotar ellos mismos el acceso, Liska advierte que los atacantes podrían vender ese acceso a terceros que podrían estar mejor situados para ganar dinero mediante el fraude o el rescate. "Los atacantes fluyen como el agua y siguen el camino de la menor resistencia", anota Pollard de Forrester. "Los atacantes, al igual que las empresas, tendrán que adaptarse a diferentes modelos de monetización debido a los cambios de la pandemia. Las condiciones financieras no son las mismas que hace seis meses, lo que disminuye la probabilidad de que se paguen rescates, y cosas como la criptomanía podrían aumentar".

Las herramientas de hacking disponibles se volverán más baratas

Nunca muy caro para empezar, las herramientas de hacking ya preparadas pueden ser incluso más baratas y accesibles. Recorded Future afirma que los ciberdelincuentes, especialmente los actores de menor nivel de amenaza, ya están ofreciendo grandes descuentos en sus servicios, ya que ciertos tipos de kits de explotación se vuelven menos gratificantes durante los cierres. "Los ciberdelincuentes están experimentando lo mismo que nosotros en el mundo real, y están viendo una caída", indica Liska. "Hemos visto a gente ofreciendo grandes descuentos, especialmente en puntos de venta, porque muchas organizaciones minoristas están cerradas".

Liska dice que los kits de explotación diseñados para secuestrar los pagos se ven especialmente afectados, ya que la gente está comprando menos. Ante una recesión, esos precios podrían bajar aún más para atraer a más compradores.

Más gente usará herramientas de hacking

Se estima que las predicciones de pérdida de puestos de trabajo permanentes son de millones. Un nuevo informe de la Global Initiative Against Transnational Organized Crime advierte que, ante la recesión, los jóvenes, especialmente los que tienen algún tipo de conocimientos informáticos, pueden recurrir al delito cibernético, como ha ocurrido anteriormente en países como Nigeria y Honduras. "Las elevadas tasas de desempleo entre los jóvenes del mundo en desarrollo, y las limitadas oportunidades de empleo en el sector legítimo de la tecnología de la información, crean factores de empuje para una 'globalización desviada'", advierte el informe.

Aumentan las amenazas internas

Una tendencia de recesiones anteriores que sigue vigente hoy en día es la cuestión de las amenazas internas. Un estudio de PwC realizado en el 2009 mostró que una gran parte de las empresas en ese momento estaban preocupadas o habían sufrido el fraude cometido por personas con información privilegiada debido al temor a la pérdida de puestos de trabajo, a la reducción de la remuneración o a que los objetivos fueran más difíciles de alcanzar debido al difícil panorama financiero. "Los despidos y los permisos de trabajo siempre conducen a una mayor preocupación en torno a la amenaza interna", señala Liska. "Remontándonos a la quiebra del .com en el 2000, hemos visto en el pasado que la actividad de amenaza interna aumentó dramáticamente durante esas rondas de despidos".

Pollard de Forrester añade que, debido al trabajo a gran escala desde casa, el análisis del comportamiento de los empleados no es tan fácil como antes. Las rutinas son diferentes y más propensas a fluctuar, en comparación con el comportamiento tradicional de la oficina. "Las empresas necesitan adoptar políticas de confianza cero para limitar la información a la que tienen acceso los empleados, asegurarse de que disponen de herramientas analíticas que reflejen el entorno en el que trabajan ahora los empleados, y recibir avisos anticipados de las acciones de trabajo para poder supervisar y prevenir la actividad de amenazas internas", indica.

Para prepararse para posibles amenazas internas, Golden de Deloitte recomienda que los CISOs trabajen estrechamente con RRHH y finanzas para hacer cualquier cambio significativo. Ya se trate de despidos, recortes salariales o simplemente una disminución de las prestaciones, la comprensión de los plazos ayuda a los CISO a ser más proactivos. "Tener esa integración [con otros departamentos] y un aviso previo, significa que se puede monitorear proactivamente a ese grupo durante una semana antes y una semana después, solo para poder monitorear a los empleados en busca de actividades extrañas", anota.

Si una empresa no tiene un programa integral de amenazas internas, Golden recomienda usar cualquier monitoreo de inteligencia de amenazas que tenga, y redirigirlo para buscar comportamientos inusuales entre el personal.

Los grupos de APT serán más activos

Ya sea que se utilice la criptomanía para ganar dinero durante las sanciones, o que se robe la propiedad intelectual para dar a las industrias nacionales un impulso de innovación y adelantarse a sus rivales, es probable que los gobiernos den instrucciones a los grupos de amenaza persistente avanzada (APT, por sus siglas en inglés) afiliados a los estados nacionales para que se hagan útiles.

"Habrá absolutamente un aumento de la actividad de ese Estado-Nación, especialmente a medida que los países caigan en recesiones más profundas", señala Liska, "ya sea el espionaje tradicional para averiguar lo que planean sus rivales, o el espionaje corporativo para tratar de dar a sus empresas locales un impulso sobre la competencia extranjera".

Pollard de Forrester está de acuerdo, señalando que la actual larga agitación da a los atacantes una ruta en la que pueden ser plenamente explotados en una fecha futura. "A medida que las empresas se ven obligadas a reducir su tamaño, cambiar sus prioridades y ampliar sus entornos para dar cabida a un acceso mucho más remoto que antes, eso facilita que los grupos de amenaza se afiancen en el entorno".

El riesgo de los vendedores aumenta durante una recesión

El riesgo de los terceros aumentará a medida que los vendedores, en particular los nuevos, dejen el negocio. Esto puede dar lugar a problemas potenciales en torno al acceso a los datos y servicios, a herramientas o aplicaciones sin soporte, o a accesos sobrantes que podrían ser explotados en el futuro. "Lo que me preocupa son las empresas más pequeñas que dependen en gran medida de las empresas subcontratadas", indica Liska. "Para una empresa más pequeña eso podría significar el cierre del negocio si le ocurre algo a la nueva empresa de la que depende para algunos o todos sus servicios".

Golden de Deloitte recomienda identificar a los proveedores clave en su cadena de suministro y hacer preguntas difíciles sobre la liquidez. Es importante encontrar los puntos débiles de su ecosistema y comprender la rapidez con la que podrá hacer girar los reemplazos.

Los presupuestos de seguridad podrían ser recortados

Los presupuestos raramente suben durante las recesiones, aunque la ciberseguridad podría ahorrarse lo peor. Un estudio anterior a la Covid19 realizado por Grant Thornton sugirió que los presupuestos de seguridad cibernética estarían a salvo durante una recesión, y una reciente encuesta de PwC sugiere que es probable que la informática y la transformación digital se encuentren en el punto de mira antes que la seguridad.

"Es muy amplio, pero lo básico es lo que te mantiene más protegido", anota Liska. "Una buena gestión de activos, un buen inventario de activos, un buen escaneo de vulnerabilidades, y tener alguna forma de ofrecer controles de compensación para las cosas que no se pueden parchar o arreglar. Si no cubre lo básico, entonces todo lo demás que hace tiene fallas a medida que avanza desde el principio".

Golden de Deloitte recomienda que los CISO dediquen tiempo a comprender los datos, activos y procesos clave que deben protegerse. "¿Cuál es su postura de riesgo? No se puede tratar todo igual, por lo que comprender las cosas que son más críticas de proteger va a seguir siendo muy importante", indica.

Los CISO deben ser líderes

La moral puede estar baja en tiempos difíciles, y esa es una oportunidad para que los CISO muestren su liderazgo. "Estamos viendo que varios CISO se toman un momento para dar un paso atrás y poner un poco más de comunicación", señala. "Algunas de ellas son simplemente tranquilizadoras y cosas que la mayoría de la gente ya conoce pero que fallan durante la urgencia: simples correos electrónicos de concienciación educativa tranquilizadores sobre cómo volver a educar en lo básico, no escribir las contraseñas, no reutilizar las contraseñas comunes, aprovechar la buena higiene cibernética, etc.".

Tanto Liska como Pollard recomiendan que los CISO recuerden su empatía en los momentos difíciles para ayudar a su personal inmediato, especialmente ante los recortes. "Si tiene un personal reducido, asegúrese de que lo cuida y que tienen el tiempo adecuado de descanso y de alejamiento de la organización", explica Liska. "Asegúrese de no sobrecargar a su personal y de que les da el tiempo libre adecuado, el tiempo fuera del teclado, aunque no lo quieran necesariamente. Sé que muchos de los jóvenes con los que trabajo preferirían trabajar 24 horas al día, 7 días a la semana, pero necesita ese descanso mental".

"No hay un final definitivo a la vista como lo hay con otros grandes desastres o eventos económicos", señala Pollard. "Eso va a requerir resistencia para mantener a su equipo motivado y concentrado. Y va a requerir empatía por sus empleados y sus familias y seres queridos, los clientes de su empresa, y los otros líderes senior con los que trabaja".