Fortinet, líder global en soluciones de ciberseguridad de alto rendimiento, ha revelado las predicciones de su equipo de investigación, Fortinet FortiGuard Labs respecto al panorama de amenazas para 2018. Este análisis avanza cuáles serán los métodos y estrategias que emplearán los cibercriminales en el futuro y demuestra el potencial impacto de los ciberataques en la economía global. Derek Manky, Global Security Strategist en Fortinet, ha declarado al respecto: “La economía digital se ve impulsada por la innovación tecnológica que genera oportunidades, positivas y negativas en ciberseguridad. La proliferación de dispositivos online y la hiperconectividad han creado un entorno cada vez más complicado de asegurar. Al mismo tiempo, los cibercriminales están aprovechando la automatización y la inteligencia artificial a un ritmo y con una escala que afecta a toda la superficie de ataque. Ataques como WannaCry y NotPetya presagian que en un futuro no muy lejano se producirán interrupciones masivas con impacto económico, como consecuencia del secuestro e interrupción de servicios comerciales o de la propiedad intelectual. Un enfoque de seguridad basado en la interoperabilidad de los distintos componentes de protección, nos permitirá aprovechar el poder de la automatización y la segmentación estratégica que son fundamentales para combatir los ataques altamente inteligentes que nos depara el futuro”. Consecuencias positivas y negativas de la transformación digital En los próximos dos años, veremos como la superficie del ataque continúa expandiéndose a la vez que disminuye la visibilidad y el control de las actuales infraestructuras. La proliferación de dispositivos online con acceso a información personal y financiera, y la creciente conexión de todo tipo de dispositivos, desde IoT e infraestructuras críticas en automóviles, hogares y oficinas o el fortalecimiento de las smartcities, abren nuevas oportunidades para ciberdelincuentes y otros actores. La industria del cibercrimen es experta en adoptar los últimos avances en áreas como la inteligencia artificial para crear ataques más efectivos. Anticipamos que esta tendencia se acelerará en 2018, facilitando que se produzcan ataques destructivos como los mencionados a continuación.
- Auge de los Hivenets y Swarmbots: Partiendo de ataques sofisticados como Hajime y Devil’s Ivy o Reaper, Fortinet prevé que los ciberdelincuentes reemplazarán a las botnets con clústeres inteligentes de dispositivos comprometidos llamados “colmenas” (hivenets) para crear vectores de ataque más efectivos. Las hivenets aprovecharán la capacidad de autoaprendizaje para dirigirse de forma más efectiva a sistemas vulnerables a una escala sin precedentes. Serán capaces de hablar entre ellos y tomar medidas basadas en la inteligencia local compartida. Además, los zombies serán más inteligentes, actuando como comandos sin que se requiera que el gestor de las botnets les ordene que lo hagan. Como resultado, se producirá un crecimiento exponencial de las hivenets, ampliando su capacidad para atacar simultáneamente a múltiples víctimas e impedir significativamente la mitigación y la respuesta. Aunque estos ataques aún no usan tecnología de enjambre, debido a su propio código, los atacantes podrían utilizarlo aprovechando la capacidad de autoaprendizaje. Los adversarios usarán enjambres de dispositivos comprometidos, o swarmbots, para identificar y atacar diferentes vectores de ataque a la vez, lo que permite mayor velocidad y escalabilidad, pero además esta velocidad de desarrollo elimina la predictibilidad necesaria para combatir este tipo de ataques. A principios de año, FortiGuard Labs registró 2,9 mil millones de intentos de comunicaciones de botnet en un solo trimestre, una cifra que corrobora la gravedad del daño que podrían causar las hivenets y los swarmbots.
- El secuestro de los servicios comerciales, un gran negocio: a pesar de que la magnitud de la amenaza del ransomware se ha multiplicado por 35 en el último año con los ransomworms y otros tipos de ataques, todavía queda más por llegar. El próximo gran objetivo para el ransomware es probablemente los proveedores de servicios en la nube y otros servicios comerciales, con el objetivo de obtener mayores ingresos. La complejidad de los proveedores de redes hiperconectadas pueden suponer la entrada de ataques a cientos de empresas, entidades gubernamentales, infraestructuras críticas y organizaciones sanitarias. Prevemos que los ciberdelincuentes comenzarán a combinar las tecnologías de IA con métodos de ataque multi-vector para buscar, detectar y explotar las debilidades en el entorno de los proveedores de servicios en la nube. El impacto de tales ataques podría suponer que se instaure un día de pago masivo a una organización criminal e interrumpir el servicio para potencialmente cientos o miles de negocios y decenas de miles o incluso millones de sus clientes.
- Nueva generación de malware mórfico: Si no es el próximo año, pronto comenzaremos a ver malware completamente creado por máquinas basadas en detección automatizada de vulnerabilidades y análisis de datos complejos. El malware polimórfico no es nuevo, pero está a punto de adquirir una nueva dimensión aprovechando la IA para crear un código nuevo y sofisticado que pueda aprender a evadir la detección a través de rutinas escritas por una máquina. Con la evolución natural de las herramientas que ya existen, los atacantes podrán desarrollar el mejor exploit posible basado en las características específicas de cada vulnerabilidad. El malware ya puede usar modelos de aprendizaje para evadir la seguridad y producir más de un millón de variaciones de virus en un día. Pero hasta ahora, todo esto solo se basa en un algoritmo, y hay muy poca sofisticación o control sobre su resultado. El equipo de FortiGuard Labs registró 62 millones de detecciones de malware en un trimestre en 2017. Al margen de los millones de detecciones de malware que registramos, hemos visto 16.582 variantes derivadas de 2.534 familias de malware. Una de cada cinco organizaciones registró malware dirigido a dispositivos móviles. La mayor automatización del malware solo provocará que esta situación sea más prioritaria el próximo año.
- Infraestructuras críticas en el punto de mira: Últimamente, los operadores de infraestructuras críticas siguen ocupando las primeras posiciones en términos de preocupación debido a las amenazas tanto estratégicas como económicas. Estas organizaciones disponen de redes de alto valor que protegen servicios e información vital. Sin embargo, la mayoría de las redes de infraestructuras operacionales y de infraestructuras críticas son notoriamente frágiles ya que originalmente fueron diseñadas para operar de forma aislada e independiente. Para responder a las expectativas y demandas de los empleados y consumidores en cuanto a acceso a las mismas, se han empezado a modificar sus requisitos, impulsando la necesidad de incorporar seguridad avanzada en redes que, originalmente, fueron diseñadas para operar en forma aislada. Dada la importancia de estas redes, y el potencial de resultados devastadores si se ven comprometidas o dejadas de lado, los operadores de infraestructuras críticas se encuentran ahora en una carrera para contrarrestar los recursos de estados, criminales y organizaciones terroristas. La audacia de los atacantes y la convergencia de las tecnologías de Operación (OT) y de la información (IT) hace que la seguridad de las infraestructuras críticas vaya a ser una prioridad en 2018 y más allá.
- La Darkweb y la economía del cibercrimen ofrecen nuevos servicios gracias a la automatización: A medida que evoluciona el mundo del cibercrimen, también lo hace la darkweb. Prevemos que proliferarán nuevas ofertas de servicios desde la darkweb, ya que las organizaciones de Crime-as-a-Service utilizarán nuevas tecnologías de automatización para sus ofertas. Ya estamos viendo servicios avanzados que se ofrecen en la darkweb y que aprovechan este aprendizaje automático. Por ejemplo, un servicio conocido como FUD (Fully Undetectable) está incluido en varias ofertas. Este servicio permite a los cibercriminales subir código de ataques y de malware a un servicio de análisis por una tarifa. Posteriormente, reciben un informe sobre si las herramientas de seguridad de diferentes proveedores pueden detectarlo. Para acortar este ciclo, veremos que se usa más aprendizaje automático para modificar el código sobre la marcha en función de cómo y qué se ha detectado en el laboratorio a fin de que estas herramientas de penetración y cibercrimen sean más indetectables. Las herramientas Sandbox, reforzadas con el aprendizaje automático, nos permiten identificar rápidamente las amenazas que antes no se veían y crear protecciones dinámicamente. No hay ninguna razón por la cual este mismo enfoque no pueda ser automatizado y utilizado en otra dirección para identificar redes, encontrar objetivos de ataque, determinar cuáles son los objetivos débiles, o crear un objetivo para realizar una prueba de penetración virtual y posteriormente construir y lanzar un ataque personalizado.
A la vanguardia de las amenazas: tendencias y conclusiones Hay una gran oportunidad para que los ciberdelincuentes empresariales aprovechen los avances en automatización e inteligencia artificial y utilicen las herramientas adecuadas para comprometer seriamente nuestra economía digital. Las soluciones de seguridad deben construirse en torno a tecnologías de seguridad integradas, inteligencia de amenazas procesable y una arquitectura de seguridad dinámicamente configurable. La seguridad debe operar a la velocidad del mundo digital mediante la automatización de respuestas y la aplicación de inteligencia y autoaprendizaje para que las redes puedan tomar decisiones efectivas y autónomas. Esto no solo ampliará la visibilidad y centralizará el control, sino que también permitirá la segmentación estratégica para impulsar la seguridad en la infraestructura de red y así identificar, aislar y remediar rápidamente los dispositivos comprometidos y frustrar los ataques, incluso en diferentes ecosistemas de red, desde dispositivos endpoint y recursos de red locales hasta la nube. Además, mantener una seguridad actualizada y básica debe convertirse en parte fundamental de los protocolos de seguridad. No debemos pasarlo por alto, ya que es crucial para limitar las consecuencias que queremos evitar.