Estamos a solo unas semanas de revelar todos los NUEVOS desafíos de seguridad que estamos previendo para el 2017. En preparación para ello, examinamos las predicciones del año pasado con el fin de ver la precisión con la que juzgamos las tendencias de seguridad de 2016 y otorgarnos una calificación de acuerdo con los resultados obtenidos.
¿Quieres saber cómo será la próxima ola de Ransomware? ¿El impacto que AI puede tener en la seguridad de los datos de su organización? Las Predicciones de Seguridad 2017 de Forcepoint se darán a conocer este 14 de noviembre. Puede registrarse hoy para ver el webcast de su región y conocer de primera mano lo que depara el próximo año.
Las elecciones en Estados Unidos detonarán ataques importantes relacionados: A+
Nuestra primera predicción resultó ser cierta poco después de que diéramos a conocer el reporte de 2016 cuando Anonymous lanzó un ataque contra el sitio de la Trump Tower el 11 de diciembre, y de haber declarado la “guerra total” contra el candidato a principios de marzo de 2016. En los meses posteriores se registró un supuesto ataque ruso al Comité Nacional Democrático, vimos a hackers extranjeros provocando estragos en los sistemas electorales estatales y la consideración del Departamento de Seguridad Nacional de añadir el sistema electoral a su lista de infraestructuras críticas.
Nuestra predicción incluso describió el potencial de un “futuro Watergate cibernético”, un término del que hizo eco en sus declaraciones la Líder de la Cámara Democrática de los Estados Unidos, Nancy Pelosi, y de un ex oficial de inteligencia después de la brecha DNC, a la que describieron como un “Watergate electrónico” y “Watergate con un giro cibernético”. Nos otorgamos una A+ por haber acertado (desafortunadamente) en cada aspecto de esta predicción.
Las billeteras móviles y las nuevas tecnologías de pago generarán oportunidades adicionales para el robo y fraude de tarjetas de crédito: C
El año pasado previmos que las rápidas implementaciones de chips y PINs llevarían a los criminales a alterar las terminales de pago físicas. También esperábamos un aumento en el hackeo de los métodos de pago que cobrarían mayor popularidad (como las aplicaciones Venmo y Cash) y que los creadores de malware crearían métodos para robar de las billeteras electrónicas. Aunque no vimos el número de brechas que habríamos esperado, hubo algunos eventos que le dieron crédito a nuestra preocupación por dichos ataques.
En la conferencia Black Hat que se realizó este año en Las Vegas, los investigadores mostraron cómo una vulnerabilidad de los principales fabricantes de cajeros automáticos (ATMs) y bancos podría ser explotada para indicarle a un cajero automático que dispensara efectivo de manera constante. En ese mismo mes, investigadores de seguridad descubrieron vulnerabilidades en la aplicación de pagos móviles de Samsung que podría permitirle a los hackers tener el control del dispositivo. Recientemente, los hackers pudieron tener acceso a los datos de los sistemas de procesamiento de pagos de las tiendas del fabricante de bolsos de mano Vera Bradley a través de un programa instalado que rastreó los datos contenidos en las bandas magnéticas de las tarjetas de pago.
Si bien estas nuevas tecnologías han demostrado ofrecer nuevas oportunidades para el fraude y la manipulación digitales, como se mencionó anteriormente, no vemos (por fortuna) que mucho de esto se pusiera en práctica este año; por eso nos otorgamos una C.
La adición del Sistema gTLD le dará nuevas oportunidades a los atacantes: B
Si bien no son un desafío para .com, los gTLDs (dominios genéricos de alto nivel) como .bank, .law y .security, están ganando terreno. Los participantes en una encuesta realizada en julio de 2016 dijeron que estos dominios le estaban dando más estructura al Internet. Pero estos nuevos gTLDs también dieron lugar a más preocupaciones en cuanto a la seguridad. Ya que estos dominios aún no son tan conocidos, con frecuencia los usuarios se muestran renuentes a compartir información personal en estos sitios.
Esta reticencia no es una sorpresa cuando se observan las estadísticas reunidas por el Spamhaus Project, una organización que da seguimiento al spam y a las amenazas cibernéticas relacionadas. Al dar seguimiento a los gTLDs utilizados con mayor frecuencia, crearon una lista de los 10 Dominios de Alto Nivel de los que Más se Abusa y su “Badness Index”. Al 17 de octubre, el dominio número uno del que más se había abusado era el de .science – visto un total de 41,184 veces con 36,334 de ellas considerados como malos.
Aunque no hemos visto aún consecuencias de gran escala de los nuevos/malos gTLDs, nos damos una B por acertar en el porcentaje de probabilidades de que fueran abusados.
Las aseguradoras especializadas en la seguridad cibernética crearán un modelo actuarial más definitivo del riesgo, cambiando la manera en que se define e implementa la seguridad: B+
Nuestra predicción decía que las aseguradoras especializadas comenzarían a explicar el riesgo de formas más sofisticadas para determinar los precios y la cobertura de las pólizas, incluyendo: observar la cultura de seguridad cibernética y las herramientas de las organizaciones; las industrias en las que operan; y si han sufrido brechas anteriormente.
En enero de 2016, el Centro de Estudios de Riesgos de la Universidad de Cambridge, junto con ocho compañías de evaluación de modelados y riesgos, y de seguros, publicó el Esquema de Datos de Exposición Cibernética. Esta estrategia busca ofrecer una visión uniforme para que las compañías aseguradoras evalúen y gestionen el riesgo informático, y se ajuste a nuestro pronóstico.
Por otro lado, si bien anticipamos un aumento en la adopción de los seguros informáticos fuera de los Estados Unidos, una encuesta realizada en octubre mostraba una caída del número de empresas del Reino Unido que se aseguraban contra las amenazas informáticas. Sin embargo, Graeme Newman, director de CFC Underwriting de Londres, también aseguró que “El interés en lo informático es fenomenal actualmente. Nunca ha sido más popular… parece que ahora ha alcanzado esa madurez en la que estamos viendo a más y más compradores, estamos viendo a más y más jugadores en el mercado, y todos están hablando ahora de lo informático”. Marsh & McLennan Companies estima que el mercado de las aseguradoras informáticas europeas está creciendo en 50 a 10 por ciento anualmente.
Aquí nos otorgamos una calificación de B+ por estimar correctamente el cambio en las prácticas de valoración de riesgos así como en las tendencias de crecimiento globales.
La adopción de la Prevención del Robo de Datos (o Prevención de Pérdida de Datos) aumentará considerablemente en más compañías establecidas: B
En 2016, las regulaciones sobre la seguridad informática y los seguros relacionados siguen motivando la adopción de soluciones para la prevención de la pérdida de datos (DLP). La Encuesta Global de Seguridad de la Información de EY reveló que la fuga de datos y la prevención de pérdida de datos eran más importantes que las capacidades para responder a los incidentes, las operaciones de seguridad y la prueba de seguridad para 2016 para más de la mitad de los CIOs, los CISOs, los CFOs, los CEOs y para otros expertos en seguridad de la información. En agosto de este año, Gartner predijo que 90% de las organizaciones implementarán una forma de DLP para el 2018.
Las amenazas internas parecen ser parcialmente responsables de los aumentos de la implementación de DLP. De acuerdo con Accenture y HfS Research, 69% de los ejecutivos encargados de la seguridad empresarial reportaron un incidente de robo o de corrupción de datos perpetrado por una persona interna a lo largo del año pasado. Y dadas las potenciales penalizaciones regulatorias asociadas con la pérdida de datos, sin mencionar las complicaciones legales y el daño a las relaciones públicas que pudieran derivarse, las compañías están recurriendo cada vez más a las soluciones de DLP para evitar perder datos críticos.
Por predecir con precisión el aumento en su adopción, nos damos una calificación de B por nuestra visión sobre DLP.
Olvidar dar mantenimiento continuo se convertirá en un problema importante para los defensores debido al aumento de los costos de mantenimiento, a la caída de la manejabilidad y a la escasez de personal: B
Concluimos que en 2016, los atacantes lograrían penetrar a las organizaciones a través de sistemas olvidados o abandonados. Apenas dos semanas después de que se diera a conocer nuestro reporte, se descubrió que un error de software había liberado por error a miles de prisioneros mucho antes de que se cumplieran sus sentencias. Ese mismo mes, la Comisión Federal de Comercio (CFC) llegó a un acuerdo con Oracle respecto a los cargos de que había engañado a los clientes que utilizaban versiones más antiguas de Java respecto a la seguridad del producto, aunque era altamente susceptible al malware. Después, en enero de 2016, un hospital australiano fue infectado cuando las máquinas contaminadas con malware utilizaron sistemas operativos Windows anteriores. Ese mismo mes, se descubrió que los bancos del Reino Unido estaban usando seguridad SSL obsoleta que los dejó expuestos a ataques como POODLE. Hace algunos meses, se descubrió que el malware móvil avanzado que permitió que los atacantes monitorearan a una víctima en tiempo real había afectado a 500 mil millones de dispositivos Android antiguos. Esto fue seguido en julio por el descubrimiento de una vulnerabilidad de 20 años del Windows Print Spooler que permitió ataques tipo watering hole.
Por esta predicción nos damos una calificación de B. Si bien hubo incursiones como resultado del software obsoleto, y la detección de vulnerabilidades donde dichos ataques pudieron ocurrir como consecuencia, más diligencia por parte de los fabricantes y profesionales de la seguridad por igual por suerte parece haber limitado las intrusiones exitosas del malware.
El Internet de las Cosas (IoT) ayudará (y nos afectará) a todos: B
Cuando anunciamos nuestras predicciones el año pasado, la infraestructura y la seguridad del Internet de las Cosas, especialmente en lo que se refiere al IoT de Salud y las tecnologías inalámbricas, fueron las prioridades. Pensamos que las mismas tecnologías que hacen al cuidado médico, la seguridad nacional, los autos y a casi todo lo que usamos y con lo que interactuamos a diario, más eficientes y benéficos también provocan problemas de seguridad importantes. También teorizamos que el uso de estos dispositivos conectados a Internet en el trabajo podría afectar negativamente a la seguridad de la empresa.
En febrero, los clientes del proveedor de alarmas inteligentes, SimpliSafe, sin duda estaban consternados por saber que sus PINs podrían ser robados y las alarmas desactivadas a unos cuantos metros de distancia. En la conferencia Black Hat USA, una firma de investigación presentó evidencia de que los dispositivos Bluetooth, utilizados para las funciones de apertura sin llave y POS (puntos de venta móviles), eran vulnerables a la clonación y al acceso no autorizado. Una investigación británica de septiembre de este año descubrió que cientos de miles de dispositivos – incluyendo cámaras web y monitores para bebés – eran vulnerables a la intercepción. El mismo mes, investigadores chinos explotaron las vulnerabilidades de uno de los vehículos de Tesla que les permitía controlar los frenos, entre otras funcionalidades. Este mes observamos dos nuevas preocupaciones. Primero, se descubrió que una bomba de insulina con capacidad Wi-Fi era vulnerable a los ataques que podrían inhabilitarla o alterar los comandos que no podrían solucionarse a través de las actualizaciones de software normales. También, un servicio de hospedaje fue afectado por los ataques de DDoS más grandes jamás vistos usando más de 150,000 dispositivos IoT, incluyendo cámaras y DVRs.
Para concluir correctamente de que el crecimiento de IoT vería un crecimiento concurrente de vulnerabilidades, pero debido a que las empresas aún no han sido muy afectadas, nos dimos una calificación de B.
Vistas sociales de la privacidad evolucionará, con gran impacto para los defensores: B
En el reporte del año pasado opinamos que las brechas de datos y la pérdida de información personalmente identificable (PII) motivarían cambios importantes en la manera en que se percibe la privacidad. Después de las conocidas brechas que afectaron a empresas como Target, Home Depot y otras, estudios recientes han demostrado que estamos preocupados por la privacidad y ser víctima de una brecha no es suficiente para cambiar nuestro comportamiento.
De hecho, a principios de este año, un juez de Virginia determinó que para quienes usan una computadora conectada a Internet no puede esperar tener privacidad, escribiendo en su declaración que:
«Hoy, el hackeo es mucho más común de lo que era hace apenas nueve años, y el surgimiento del hackeo a través de Internet ha cambiado las expectativas razonables de privacidad del público. Ahora, parece no ser razonable pensar que una computadora conectada a la web es inmune a la invasión. De hecho, lo opuesto resulta cierto: En el mundo digital de hoy, parece ser una certeza virtual que las computadoras que acceden a Internet pueden ser hackeadas, y eventualmente lo serán”.
Además, la adopción de dispositivos IoT en el hogar y el trabajo significa que los usuarios equilibran constantemente el derecho a la privacidad con la conveniencia obtenida usando un sistema que está “encendido” constantemente y dando seguimiento a la actividad. Pueden obtenerse beneficios fantásticos de permitir que los dispositivos IoT reúnan información que (considere la rápida adopción de los dispositivos IoT en el sector salud diseñados para reunir datos personales que son utilizados por los médicos), pero aún deben tomarse decisiones alrededor de los límites de responsabilidad.
Debido a que aún hay que determinar quién tiene la obligación del almacenamiento, el movimiento y el procesamiento de datos y que probablemente llevará algo de tiempo, nuestra predicción final obtiene una B.
Por Forcepoint