Llegamos a ustedes gracias a:



Reportajes y análisis

6 nuevas formas en que los ciberdelincuentes atacarán en el 2021

[06/01/2021] Cuando COVID-19 golpeó y luego comenzó a forzar cambios masivos en las empresas en marzo, causó un cambio significativo en el panorama de amenazas. Esto es aún más preocupante dado que todo ocurrió en pocos días, lo que requirió el recorte de los bordes de seguridad para todo, especialmente en la creación de sitios remotos.

COVID también aceleró el movimiento hacia la nube, mucho más rápido de lo que se esperaba en enero del 2020. Esos nuevos sitios remotos, parte de un gigantesco cambio en los flujos de datos y el personal que convirtió un promedio de 90% interno a 90% externo, también abrieron las compuertas para órdenes de magnitud de más dispositivos de IoT. Peor aún, se trataba de dispositivos de IoT especialmente inseguros para el consumidor, que típicamente se colaban en sistemas sensibles por medio de transmisiones VPN.

Con un panorama de amenazas empresariales tan diferente, cabría esperar que los CISO desplegaran diferentes estrategias de ciberseguridad y utilizaran diferentes herramientas de seguridad cibernética. Si lo que se está protegiendo es tan diferente, ¿no se necesitarían mecanismos de defensa igualmente diferentes?

No se ha producido un cambio tan drástico en la mayoría de las defensas de ciberseguridad de las empresas porque los malos aún no han cambiado de forma significativa sus metodologías de ataque. Han aumentado el volumen y la intensidad, pero no los métodos de ataque específicos. Se sostiene casi universalmente que esta es una situación a corto plazo y que los malos cambiarán sus métodos muy pronto, casi definitivamente a principios del 2021.

¿Cómo serán esas nuevas metodologías de ataque? Nos pusimos en contacto con una variedad de expertos en ciberseguridad para averiguarlo.

Los nuevos ataques a dispositivos remotos

Jim Boehm, socio experto de la consultora McKinsey & Co., anticipa nuevos ataques centrados en dispositivos de oficinas remotas que ahora manejan datos mucho más sensibles que antes de COVID. Por ejemplo, en el sitio de un cliente en el que su equipo trabajó recientemente, descubrieron protocolos VPN basados más en la continuidad del trabajo que en las protecciones de seguridad. Esta empresa había establecido la VPN de tal manera que, si la conexión se interrumpiera, mantendría algunas "funciones básicas" como la reconexión a WebEx. "Seguiría enviando correos electrónicos internos si el cliente de correo electrónico se hubiera conectado a la VPN [antes de la desconexión]", anota. "Las sesiones de WebEx restablecerían y transferirían datos automáticamente. [Eso creó un exploit] en el que los ciberladrones podían establecer la persistencia en un dispositivo antes de que se iniciara la VPN".

Cuando las VPNs representaban el 10% o menos de todas las transmisiones de datos, una empresa podría considerar esto como un riesgo aceptable. Ahora que las VPNs son responsables de más del 90% de todas las transmisiones de datos, los CISOs necesitan reevaluar.

Boehm agrega que en unos pocos años, las VPNs pueden no ser ya necesarias, pero mucho tiene que suceder antes de que eso pase. "En un mundo de confianza cero, puedes deshacerte de las VPNs", indica. "Hoy en día, nadie tiene realmente zero-trust excepto Google".

Explotar las pobres configuraciones de las nubes

Los ataques a las nubes son otra de las principales preocupaciones. El científico investigador principal de Sophos, Chet Wisniekski, piensa que las configuraciones de las nubes y la naturaleza humana están en curso de colisión, y los malos cuentan con eso.

Por ejemplo, Wisniewski se refirió a una empresa que tenía cuentas en la nube de varios de los mayores proveedores de nubes empresariales. "Las suposiciones son completamente diferentes de un proveedor a otro", señala, refiriéndose a áreas como la complejidad de las contraseñas y las configuraciones por defecto relacionadas con los cambios con nuevos objetos, nuevos despliegues de una instancia y no aplicándola retroactivamente.

"En Google Cloud, muchas cosas tienen que ser aplicadas manualmente", que no es como los valores por defecto funcionan para Microsoft Azure y Amazon Web Services (AWS), anota Wisniewski. "Cuanto más conocimiento de un entorno determinado es probable que te dé más eficiencia, pero cuanto más domines uno, más probable es que cometas errores en el otro".

También hay a veces inconsistencias dentro de la misma plataforma, como que los nuevos despliegues tengan una nueva configuración predeterminada, mientras que los antiguos se mantienen con la antigua configuración predeterminada, añade Wisniewski. Todo esto hace que las configuraciones de seguridad sean difíciles de mantener cuando una empresa tiene varias cuentas en la nube -dejando de lado las muchas cuentas de nube de la shadow TI que ni el CISO ni el CIO conocen -junto con una combinación de despliegues de nubes nuevas y viejas.

El punto de vista de Wisniewski es que esta confusión juega un papel importante en la fuerza de los malos, buscando colarse en una cuenta de cualquier manera que puedan. Citó a un hipotético atacante diciendo: "Amazon por defecto hace esto, y aquí hay una política mal entendida de la que podemos abusar".

Explotar la complejidad en las configuraciones de oficinas remotas

Demasiadas configuraciones de sitios remotos/oficinas domésticas para las empresas son demasiado complejas, lo que provoca incoherencias que los atacantes pueden explotar. Esto es especialmente cierto con los sitios remotos que la pandemia forzó.

"La diversidad de configuraciones de redes domésticas es asombrosa. Mire y encontrará algunas de las configuraciones más extrañas", señala John Henning, ingeniero principal de seguridad de la información en SAS. "Intentar apoyar las redes domésticas de los usuarios, abre una caja de Pandora que no se puede cerrar. Consumirá recursos con poco retorno. ¿El mejor retorno de la inversión para el tiempo? Educar a los usuarios y proporcionar principios rectores y mejores prácticas".

Tal vez en contra de la intuición, Henning encuentra que "sus personas más competentes técnicamente serán las más problemáticas". A los empleados técnicamente competentes les encanta jugar con sus redes domésticas. [Ellos] abrirán el puerto 22 para realizar SSH en su propio servidor personal. O abrirán el puerto 3389 para que puedan conectarse al portátil de trabajo desde un VRBO. Sus empleados menos técnicos son mucho menos propensos a hacer retoques. Aunque la configuración por defecto a veces no es la ideal, en el mercado actual, la mayoría de las configuraciones por defecto ofrecen configuraciones de seguridad aceptables". Los atacantes pueden concentrarse en los empleados más técnicos de la empresa, con la esperanza de encontrar más agujeros para apalancar.

¿Otro temor? Hennings espera que los atacantes rastreen los sitios públicos de OSINT. "Los atacantes rastrearán los sitios públicos de OSINT en busca de dispositivos vulnerables de los empleados, como Shodan. No se sorprenda si busca un dispositivo comprometido en Shodan y encuentra información de la compañía o vectores de entrada", sostiene.

El túnel en los sistemas corporativos a través de VPN

Con el 2021 comenzando con tantos datos fluyendo a través de las VPNs, el CTO de WatchGuard Technologies, Corey Nachreiner, espera que los malos traten agresivamente de identificar los sistemas VPN como una forma directa de entrar en los sistemas corporativos sensibles. Dice que identificar a tales usuarios es relativamente fácil.

"La mayoría de los troyanos o clientes bot permiten al atacante ejecutar manualmente o escribir comandos CLI [command prompt]. Esto por sí solo ofrece muchas maneras de detectar la existencia de software VPN. Por ejemplo, el comando ipconfig enumera las interfaces de red, incluyendo las interfaces virtuales utilizadas para las VPN. Como ejemplo, si su malware automatizó un script para analizar los resultados de ipconfig, buscando nombres de adaptadores como TAP-Windows Adapter v9, o TAP-NORDVPN Windows Adapter v9", señala Nachreiner. "Muchos otros posibles nombres [podrían ser usados] ya que diferentes clientes VPN usan diferentes nombres para estos, pero los atacantes inteligentes podrían simplemente compilar una lista de los clientes VPN más populares que quieren atacar. En cualquier caso, se podría programar y automatizar el malware para lanzar ipconfig en cada nueva víctima, y luego devolver una falla si detecta el nombre común de una interfaz VPN en los resultados".

A partir de ahí, los atacantes "podrían empezar a utilizar específicamente la funcionalidad de los gusanos y las técnicas de movimiento lateral que han existido en algunos programas maliciosos durante mucho tiempo, para apuntar específicamente a esa red accesible a la VPN", anota Nachreiner.

Desplegando malware basado en la IA y el aprendizaje automático

Una posibilidad bien discutida que puede materializarse finalmente en el 2021 es que los atacantes pongan la IA y el aprendizaje de máquina en contra de las empresas; en efecto, usando la IA mala para infectar la IA buena de una empresa, comenta el vicepresidente senior de ForgeRock, Ben Goodman. "En el 2021, veremos un aumento del número de ataques de envenenamiento de datos a medida que más organizaciones desplieguen plataformas de IA en sus sistemas. En años anteriores, los hackers maliciosos ya habían descubierto que pueden atacar la IA y el software de aprendizaje automático, alimentando la IA con datos ilegítimos para hacer que produzca resultados negativos o inexactos. Esto se convertirá en un tema más destacado en el 2021 y en los años siguientes", añade.

"Los malos actores pueden alimentar el software de la IA con una imagen, que contiene otra imagen en su interior, que haga lo contrario de lo que se supone que debe hacer la IA, de modo que envenenará el algoritmo de la IA", añade Goodman. "Por ejemplo, cuando la IA se utiliza para detectar fraudes, los defraudadores pueden presentar datos erróneos que hacen que el software sea incapaz de detectar la actividad fraudulenta". Dado que muchas plataformas de seguridad utilizan la IA y los datos de aprendizaje de máquina para detectar los ciberataques mediante la identificación de anomalías en los datos existentes, afirma que los atacantes podrían deshacerse potencialmente de sus métodos de detección. "En el 2021, podría ser necesario utilizar la IA por separado para hacer comprobaciones de integridad y seguridad de los datos recogidos por el software de IA inicial".

Romper la encriptación con la computación cuántica

Una preocupación improbable, pero posible, es que los malos usen caballos de fuerza superiores, especialmente los que provienen de actores estatales bien financiados (Rusia, Corea del Norte, China, Irán, etc.). Steve Zalewski, diputado CISO de la firma global de ropa Levi Strauss & Co., está preocupado por la computación cuántica y su capacidad para socavar, si no negar completamente, las defensas de la encriptación. "Eso es un cambio de juego", señala.

Como una cuestión práctica para los CISO de las empresas, Zalewski dice, "la computación cuántica es una solución que busca un problema en este momento". Lo compara con la primera generación de supercomputadoras Cray. "Para lo que (Cray) era realmente bueno eran las simulaciones, los patrones climáticos. Cray no era bueno para la computación de propósito general". Para los malos que buscan esquivar la encriptación, podría eventualmente resultar efectivo.