Durante 2016 fuimos testigos de un gran número y variedad de ciberataques. Desde un DDoS de alto perfil, tomando el control de cámaras de seguridad a través de internet; hasta el presunto hackeo durante las últimas elecciones de los Estados Unidos.

También aumentaron significativamente las filtraciones de datos en los que compañías y usuarios de cualquier tipo fueron afectados por pérdidas de información. Habiéndose iniciado 2017, especialistas de Sophos analizan el posible impacto de las ciberamenazas  para este año.

Los ciberdelincuentes cada vez son mejores para engañar al eslabón más débil: el ser humano. Los ataques cada vez son más sofisticados y convincentes e intentan confundir a los usuarios para que comprometan su propia seguridad. Por ejemplo, es común ver un correo electrónico que se dirige al destinatario por su nombre y afirma que tiene una deuda pendiente que el remitente ha sido autorizado a cobrar. La sorpresa, el miedo o la recaudación de impuestos por parte de autoridades son tácticas comunes y eficaces. El mail los dirige a un enlace malicioso donde, si los usuarios hacen clic, quedan expuestos al ataque. Estos ataques de phishing ya no se pueden considerar como simples equivocaciones del usuario.

El uso del phishing sigue creciendo. Estos ataques utilizan información detallada sobre los ejecutivos de la empresa para engañar a los empleados para que paguen por fraudes o comprometan cuentas. También se esperan más ataques a infraestructuras financieras críticas (como el ataque de instituciones conectadas a SWIFT que costaron al Banco Central de Bangladesh 81 millones de dólares en febrero). SWIFT admitió recientemente que fueron objeto de otros ataques de este tipo y esperan que haya más, declarando en una carta filtrada a los bancos clientes: “La amenaza es muy persistente, adaptativa y sofisticada, y está aquí para quedarse”.

Todos los usuarios de internet están a merced de antiguos protocolos que datan de su creación y su ubicuidad los hace casi imposibles de renovar o reemplazar. Estos protocolos arcaicos que han sido durante mucho tiempo la columna vertebral de internet y las redes empresariales, a veces están sujetos a graves fallos. Por ejemplo, los ataques contra el BGP (Border Gateway Protocol) podrían de forma potencial interrumpir, secuestrar o desactivar gran parte de internet. El ataque DDoS a Dyn en octubre (lanzado por una infinidad de dispositivos con IoT), tiró el servicio de DNS y, a su vez, con el acceso a parte de internet. Fue uno de los mayores asaltos vistos y aquellos que se atribuyeron la responsabilidad dijeron que se trataba solo de un simulacro. Los ISP y las grandes empresas pueden tomar algunas medidas como respuesta, pero éstas no pueden prevenir un daño grave si los individuos o los estados optan por explotar los fallos de seguridad más profundos de internet.

Los ataques agrupan múltiples elementos técnicos y sociales, reflejan un análisis cuidadoso de la red de la empresa que será víctima. Los atacantes comprometen varios servidores y endpoints mucho antes de que empiecen a robar los datos o actúen de forma agresiva. Controlados por expertos, estos ataques son estratégicos, no tácticos, y pueden causar mucho más daño. Se trata de un mundo muy diferente a las típicas cargas de malware pre-programadas y automatizadas que se solían ver, siendo ahora más pacientes y capaces de evadir las detecciones.

Se observan más exploits basados en PowerShell, el lenguaje de Microsoft para automatizar las tareas administrativas. Como lenguaje de scripting, PowerShell evade las contramedidas centradas en ejecutables. También se ven más ataques que utilizan técnicas de penetración y otras herramientas administrativas que ya existen en la red de la víctima, sin necesidad de infiltrarse y no levantando sospechas. Estas poderosas herramientas requieren controles igualmente potentes.

A medida que el cifrado se torna omnipresente, se ha vuelto mucho más difícil para los productos de seguridad inspeccionar el tráfico, haciendo que para los cibercriminales sea más fácil pasar de forma furtiva a través de las detecciones. Como era de esperar, los ciberdelincuentes utilizan el cifrado de manera creativa. Los productos de seguridad tendrán que integrar estrechamente las capacidades de red y de cliente, para reconocer rápida.