En este informe de predicciones han colaborado Eoin Carroll, Taylor Dunton, John Fokker, German Lancioni, Lee Munson, Yukihiro Okutomi, Thomas Roccia, Raj Samani, Sekhar Sarukkai, Dan Sommer y Carl Woodward.
Ahora que 2018 se acerca a su fin, tal vez deberíamos estar agradecidos de que el año no haya estado completamente dominado por el ransomware, si bien es cierto que el auge de las variantes GandCrab y SamSam demuestran que la amenaza continúa activa. Nuestras predicciones para 2019 ya no se limitan a ofrecer un análisis del aumento o disminución de una amenaza concreta; ahora nos centramos en movimientos que observamos en el mundo clandestino de la ciberdelincuencia, que prevemos que acabarán convirtiéndose en tendencias, y posteriormente en amenazas en circulación.
Hemos observado una mayor colaboración entre ciberdelincuentes que operan en el mercado clandestino, lo que les ha permitido sacar rentabilidad a sus productos. Los ciberdelincuentes llevan años colaborado de esta forma, y en 2019, esta economía de mercado no hará sino crecer. El juego del ratón y el gato entre el sector de la seguridad y los desarrolladores de ransomware se intensificará, y el sector se verá obligado a ofrecer respuestas más rápidas y eficaces que nunca.
Ya hace más de una década que los medios sociales forman parte de nuestras vidas. Recientemente, hemos podido ver cómo algunos países han utilizado de manera infame plataformas de medios sociales para difundir información falsa. En 2019 prevemos que los ciberdelincuentes empiecen a aprovechar esas tácticas para su propio beneficio. De igual forma, el crecimiento constante del Internet de las cosas en el hogar actuará como estímulo para los delincuentes, que atacarán esos dispositivos para conseguir beneficios económicos.
Una cosa es segura: nuestra dependencia de la tecnología es ya prácticamente total. Pensemos en los ataques a plataformas de identidad, con noticias de 50 millones de usuarios afectados. Los ataques ya no se limitan a una determinada plataforma. Todo está conectado y nuestra fortaleza depende de la resistencia de nuestro punto más débil. En el futuro, la pregunta es la siguiente: ¿cuál de nuestros puntos débiles será atacado?
—Raj Samani, Científico jefe y McAfee Fellow, Advanced Threat Research
Twitter @Raj_Samani
Predicciones
Inteligencia artificial, el futuro de las técnicas de evasión
Las amenazas sinérgicas se multiplicarán, y precisarán respuestas combinadas
La desinformación y los intentos de extorsión pondrán en peligro las marcas de las empresas
Los ataques de filtración de datos afectarán a la nube
Los asistentes digitales controlados por voz, el próximo vector de ataque contra dispositivos IoT
El mercado clandestino de la ciberdelincuencia se consolida y crea más asociaciones para incrementar las amenazas
Los foros y grupos de chat ocultos de hackers sirven de mercado para los ciberdelincuentes, que pueden comprar malware, exploits, redes de bots y otros servicios turbios. Con estos productos disponibles comercialmente, ciberdelincuentes con distintos niveles de experiencia y sofisticación pueden lanzar ataques con total facilidad. En 2019, prevemos la consolidación de este mercado clandestino y que, si bien se crearán menos familias de malware como servicio (que trabajarán de forma conjunta), estas serán más potentes. Estas marcas cada vez más fuertes favorecerán una minería de criptomonedas más sofisticada, el aprovechamiento rápido de nuevas vulnerabilidades, y un crecimiento del malware para dispositivos móviles y del robo de números de tarjetas de crédito y credenciales.
Prevemos que aumente el número de miembros de las familias más grandes, debido a la facilidad de uso y las alianzas estratégicas con otros servicios esenciales de alto nivel, como los kits de exploits, los servicios de cifrado, los mezcladores de bitcoins y los servicios de neutralización del antimalware. Como ejemplo, hace dos años vimos a muchas de las familias de ransomware más grandes emplear estructuras de afiliados. Seguimos viendo que aparecen numerosos tipos de ransomware, pero solo sobreviven unos pocos ya que la mayoría no puede atraer suficiente negocio para competir con las “marcas” importantes, que ofrecen tasas de infección más elevadas, así como seguridad operativa y financiera. Actualmente, las mayores familias anuncian abiertamente sus productos; el negocio va viento en popa, ya que son marcas importantes (véase GandCrab) asociadas con servicios de primer nivel, como lavado de dinero o malware indetectable.
Los negocios clandestinos tienen mucho éxito porque forman parte de un sistema basado en la confianza. Quizás no sean el mejor ejemplo de “honor entre ladrones”, sin embargo los ciberdelincuentes parecen sentirse seguros, con la sensación de ser intocables en el círculo interno de sus foros. Ya hemos visto este tipo de confianza en el pasado; por ejemplo, en las populares tiendas de tarjetas de crédito de la primera década del siglo, que fueron una fuente importante de ciberdelincuencia hasta que el modelo de confianza fue desmantelado por importantes operaciones policiales.
Mientras crece la detección de endpoints, la vulnerabilidad del protocolo de acceso remoto (RDP) ofrece otra vía a los ciberdelincuentes. En 2019, prevemos que el malware, en particular el ransomware, aumentará el uso de RDP como punto de entrada de infecciones. En la actualidad, la mayoría de las tiendas clandestinas anuncian acceso RDP para fines que no son de ransomware, normalmente utilizado como trampolín para obtener acceso a cuentas de Amazon o como aproximación para robar tarjetas crédito. Veremos cómo grupos de ransomware selectivo y modelos de ransomware como servicio (RaaS) aprovecharán la vulnerabilidad de RDP, y hemos observado proyectos clandestinos con mucho éxito que utilizan esta táctica. Los agresores buscan un sistema con un RDP débil, lo atacan con ransomware, y se propagan por las redes aprovechando lo que encuentran (táctica conocida como “living off the land”) o utilizando una funcionalidad tipo gusano (EternalBlue). Existen pruebas de que el autor de GandCrab está ya trabajando en una opción RDP.
También prevemos que el malware asociado con la minería de criptomonedas se vuelva más sofisticado, con capacidad para seleccionar qué moneda minar en la máquina de una víctima en función del hardware de procesamiento (WebCobra) y del valor de una moneda concreta en un momento dado.
El año que viene, prevemos que la duración de la vida de una vulnerabilidad, desde la detección a la explotación, será incluso más corta. Hemos observado que los ciberdelincuentes tienden a ser cada vez más ágiles en su proceso de desarrollo. Recopilan información sobre fallos en foros online y en la base de datos de vulnerabilidades y riesgos comunes (CVE, Common Vulnerabilities and Exposures), para incorporarla a su malware. Sospechamos que habrá ocasiones en las que los ciberdelincuentes solo necesiten un día o algunas horas para poner en práctica ataques contra las vulnerabilidades más recientes en software y hardware.
Esperamos ver un aumento en debates clandestinos sobre el malware para móviles, principalmente centrados en Android, en relación a las redes de bots, fraude bancario, ransomware y cómo eludir la seguridad mediante autenticación de dos factores. El valor de explotar la plataforma de dispositivos móviles está en la actualidad subestimado, ya que los teléfonos ofrecen mucho a los ciberdelincuentes por la enorme capacidad de acceso a información confidencial, como cuentas bancarias.
El fraude de tarjetas de crédito y la demanda de información de tarjetas de crédito robadas continuará, con un mayor interés en operaciones de clonación dirigidas contra plataformas de pago de terceros en sitios de comercio electrónico importantes. Desde estos sitios, los delincuentes pueden robar de manera silenciosa miles de datos de tarjetas de crédito nuevos en una sola operación. Además, se están usando los medios sociales para reclutar usuarios desprevenidos, que podrían ignorar que cuando reenvían mercancías o proporcionan servicios financieros están en realidad trabajando para ciberdelincuentes.
Pensamos que se producirá un aumento en el mercado de credenciales robadas, impulsado por recientes incidentes de fugas de datos de gran envergadura y por los malos hábitos en el uso de las contraseñas de los usuarios. Las fugas llevan, por ejemplo, a la venta del registro de votantes y al pirateo de cuentas de correo electrónico. Estos ataques ocurren a diario.
—John Fokker
Inteligencia artificial, el futuro de las técnicas de evasión
Para aumentar sus posibilidades de éxito, los agresores han empleado desde hace mucho tiempo técnicas de evasión para eludir las medidas de seguridad y evitar la detección y los análisis. Empaquetadores, cifradores, y otras herramientas son componentes comunes del arsenal de los agresores. De hecho, ha surgido toda una economía sumergida, que ofrece productos y servicios dedicados a facilitar las actividades delictivas. En 2019 prevemos que, debido a la facilidad que tienen ahora los ciberdelincuentes para externalizar componentes clave de sus ataques, las técnicas de evasión se volverán más ágiles gracias a la aplicación de inteligencia artificial. ¿Cree que la industria de la lucha contra antivirus es prevalente ahora? Esto es solo el principio.
En 2018 observamos nuevas técnicas de inyección en procesos, como “process doppelgänging” con el ransomware SynAck, y la inyección de PROPagate distribuida por el kit de exploits RigExploit Kit. Gracias a la incorporación de tecnologías como la inteligencia artificial, las técnicas de evasión alcanzarán un nivel superior a la hora de sortear las protecciones.
Evasiones diferentes para malware diferente
En 2018, observamos la aparición de nuevas amenazas, como los mineros de criptomonedas, que secuestran los recursos de las máquinas infectadas. Cada amenaza viene acompañada de ingeniosas técnicas de evasión:
- Minería de criptomonedas: los mineros ponen en práctica varias técnicas de evasión. Un ejemplo es WaterMiner, que sencillamente detiene sus actividad de minería cuando la víctima ejecuta el Administrador de tareas o un análisis antimalware.
- Kits de exploits: algunas técnicas de evasión populares incluyen la inyección en procesos o la manipulación del espacio de memoria, y la inclusión de código arbitrario. La inyección en memoria es un vector de infección popular para evitar la detección durante la entrega.
- Redes de bots: la ocultación de código o las técnicas antidesensamblaje son utilizadas a menudo por grandes redes de bots que infectan a miles de víctimas. En mayo de 2018, se descubrió que AdvisorsBot utilizaba código basura, instrucciones condicionales falsas, cifrado XOR, e incluso valores hash de API. Como los bots suelen propagarse de forma generalizada, los autores pusieron en práctica un gran número de técnicas de evasión para ralentizar la ingeniería inversa. También utilizaron mecanismos de ocultación para las comunicaciones entre los robots y los servidores de control. Los delincuentes utilizan redes de bots para actividades como ataques de denegación de servicio distribuido (DDoS) por encargo, proxies, spam y otros medios para distribuir malware. El uso de técnicas de evasión es fundamental para evitar o retrasar el desmantelamiento de las redes de bots.
- Amenazas persistentes avanzadas: los certificados robados que se compran en el mercado clandestino de la ciberdelincuencia se utilizan a menudo en ataques selectivos para eludir la detección antimalware. Los agresores también usan malware de baja actividad, como rootkits o amenazas basadas en firmware. Por ejemplo, en 2018 ESET descubrió el primer rootkit UEFI, LoJax. Los investigadores sobre seguridad también han observado funciones destructivas utilizadas como técnicas antianálisis forense. El malware OlympicDestroyer atacó a la organización de los Juegos Olímpicos y eliminó los registros de eventos y copias de seguridad para evitar la investigación.
Inteligencia artificial, la próxima arma
En los últimos años, hemos visto malware utilizando técnicas de evasión para eludir los motores de aprendizaje automático. Por ejemplo, en 2017 el ransomware Cerber copió archivos legítimos en sistemas para engañar al motor que clasifica los archivos. En 2018, el ransomware PyLocky empleó InnoSetup para empaquetar el malware y evitar la detección mediante aprendizaje automático.
Obviamente, eludir los motores de inteligencia artificial se encuentra ya en la lista de tareas de los delincuentes; sin embargo, ellos también pueden implementar inteligencia artificial en su software malicioso. Pensamos que las técnicas de evasión empezarán a hacer uso de la inteligencia artificial para automatizar la selección de objetivos, o para comprobar entornos infectados antes de desplegar las últimas etapas y evitar la detección.
Este tipo de implementación supone una revolución en el panorama de amenazas. Estamos seguros de que la veremos muy pronto en activo.
—Thomas Roccia
Las amenazas sinérgicas se multiplicarán, y precisarán respuestas combinadas
Este año hemos visto ciberataques que se adaptan y cambian más rápido que nunca. Hemos visto cómo evoluciona el ransomware para aumentar su eficacia o crear una cortina de humo. Hemos asistido a un importante incremento del cryptojacking, ya que genera mayor rentabilidad con menor riesgo que el ransomware. El phishing sigue fortaleciéndose y encuentra nuevas vulnerabilidades que aprovechar. También hemos observado que las amenazas sin archivo y que aprovechan los recursos existentes (“living off the land”) son más escurridizas y evasivas que nunca, e incluso hemos asistido a la incubación del malware de esteganografía en la campaña contra los Juegos Olímpicos de Pyeongchang. En 2019, prevemos que los agresores combinarán cada vez más estas tácticas para crear amenazas multifacéticas o sinérgicas.
¿Qué podría ser peor?
Los ataques se centran por lo general en el uso de una amenaza. Los ciberdelincuentes concentran sus esfuerzos en repetir y desarrollar las amenazas de forma individual, para optimizar la eficacia y la capacidad de evasión. Cuando un ataque consigue su objetivo, se clasifica como ransomware, cryptojacking, filtración de datos, etc., y se aplican las defensas correspondientes. En este momento, el índice de éxito del ataque se reduce de manera importante. Sin embargo, si un ataque sofisticado se compone no de una, sino de cinco amenazas avanzadas que colaboran sinérgicamente, la defensa se complica bastante. El desafío se plantea cuando se intenta identificar y mitigar el ataque. Al desconocerse los objetivos últimos del ataque, uno podría perderse en los detalles de cada amenaza, y el papel que juega en la cadena.
Una de las razones por las que las amenazas sinérgicas se están convirtiendo en una realidad es porque los ciberdelincuentes están mejorando sus competencias mediante el desarrollo de elementos básicos, kits y componentes de amenazas reutilizables. Mientras dirigen sus esfuerzos hacia un modelo de negocio de mercado negro, pueden centrarse en añadir valor a componentes fundamentales anteriores. Esta estrategia les permite orquestar varias amenazas en lugar de solamente una para alcanzar sus objetivos.
Un ejemplo vale más que mil palabras
Imagine un ataque que empieza por una amenaza de phishing, no una típica campaña con documentos Word, sino una nueva técnica. Este mensaje de correo electrónico de phishing contiene un vídeo adjunto. Al abrir el vídeo, su reproductor de vídeo no consigue reproducirlo, y le pide que actualice el códec. Una vez ejecutada la actualización, se instala un archivo políglota esteganográfico (un simple GIF) en su sistema. Como es políglota (un archivo que se ajusta a más de un formato al mismo tiempo), el archivo GIF planifica una tarea que recoge un script sin archivo alojado en un sistema comprometido. Este script ejecutado en la memoria evalúa su sistema y decide ejecutar ransomware o un minero de criptomonedas. Así funciona una peligrosa amenaza sinérgica en acción.
El ataque plantea numerosos interrogantes: ¿A qué se está enfrentando? ¿Es phishing 2.0? ¿Es stegware? ¿Es una amenaza sin archivo que aprovecha los recursos existentes (“living off the land”)? ¿Criptojacking? ¿Ransomware? Es todo a la vez.
Este ejemplo, sofisticado pero posible, demuestra que centrarse en una amenaza puede no ser suficiente para detectar o corregir un ataque. Al intentar clasificar el ataque en una única categoría, es posible que pierda perspectiva y se reduzca su eficacia a la hora de mitigarlo. Incluso si detiene un ataque en mitad de la cadena, descubrir las etapas inicial y final es igual de importante para proteger frente a futuros intentos.
Sea curioso, sea creativo, conecte sus defensas
La neutralización de ataques sofisticados que utilizan amenazas sinérgicas requiere cuestionarse cada amenaza. ¿Qué ocurre si este ataque de ransomware forma parte de algo mayor? ¿Qué ocurre si este mensaje de correo electrónico de phishing se convierte en una técnica para la que los empleados no están preparados? ¿Qué ocurre si no nos estamos centrando en el verdadero objetivo del ataque?
Tener presentes estas cuestiones no solo le ayudará a tener una visión de conjunto, sino que también le permitirá sacar el máximo partido de las soluciones de seguridad. Prevemos que los ciberdelincuentes añadirán sinergia a sus ataques, pero las ciberdefensas también pueden responder sinérgicamente.
—German Lancioni y Carl Woodward
Los ciberdelincuentes utilizan la desinformación en medios sociales, y campañas de extorsión para poner en peligro las marcas de las organizaciones
Las elecciones fueron manipuladas, las noticias falsas imperan, y nuestros seguidores en medios sociales son todos robots controlados por gobiernos extranjeros. Al menos así es como se percibe el mundo en ocasiones. Nos quedaríamos cortos si dijéramos que los últimos años han sido problemáticos para las empresas de medios sociales. Durante este período se ha producido una suerte de juego del ratón y el gato: mientras se cierran cuentas automatizadas, evolucionan las tácticas de los adversarios, y las cuentas de redes de bots emergen con una apariencia más legítima que nunca. En 2019, prevemos un aumento de las campañas de desinformación y extorsión a través de medios sociales que se centrarán en las marcas y no procederán de países sino de grupos criminales.
Algunos estados-nación han empleado batallones de bots para distribuir mensajes o manipular a la opinión pública, y su efectividad es sorprendente. Los bots a menudo defenderán ambas caras de una historia para generar debate, y esta táctica funciona. Gracias a un sistema de amplificación de nodos, así como a la comprobación del envío de mensajes (con hashtags) para determinar las tasas de éxito, los operadores de redes de bots demuestran un conocimiento real sobre cómo moldear la opinión pública en temas importantes.
Por ejemplo, una cuenta que solo tenía dos semanas y 279 seguidores, la mayoría de ellos bots, inició una campaña de acoso contra una empresa. Gracias a la amplificación, la cuenta generó otros 1500 seguidores en tan solo cuatro semanas, sencillamente tuiteando contenido malintencionado sobre la víctima.
Las actividades para manipular a la opinión pública están ampliamente documentadas y los bots expertos en manipular conversaciones para manejar intereses están totalmente disponibles. El año que viene prevemos que los ciberdelincuentes rediseñarán estas campañas para extorsionar a las empresas atacando sus marcas. Las empresas se enfrentan a una seria amenaza.
—Raj Samani
Los ataques de filtración de datos afectarán a la nube
En los últimos dos años, las empresas han adoptado de forma generalizada el modelo de software como servicio, como Office 365, así como los modelos en la nube de infraestructura y plataforma como servicio, como AWS y Azure. Con este movimiento, ahora son muchos más los datos de las empresas que residen en la nube. En 2019, prevemos un aumento importante de los ataques que siguen los datos hasta la nube.
Con esta adopción generalizada de Office 365, hemos observado un incremento de los ataques al servicio y, en particular, intentos de comprometer el correo electrónico. Una amenaza descubierta por el equipo para la nube de McAfee fue la red de bots conocida como KnockKnock, cuyo objetivo eran las cuentas de sistema que normalmente no tienen autenticación multifactor. También hemos asistido a la aparición de exploits del modelo de confianza en el estándar Open Authorization. Uno fue lanzado por Fancy Bear, el grupo de ciberespionaje ruso, que engañaba a los usuarios con una app de seguridad de Google falsa para conseguir acceso a sus datos.
Del mismo modo, durante los dos últimos años hemos visto numerosas fugas de datos de gran repercusión atribuidas a buckets de Amazon S3 mal configurados. Esto claramente no es un fallo de AWS. Basado en el modelo de responsabilidad compartida, el cliente es responsable de configurar adecuadamente la infraestructura IaaS/PaaS y proteger debidamente los datos de la empresa y el acceso de los usuarios. Para complicar las cosas, muchos de estos buckets mal configurados son propiedad de proveedores de sus cadenas de suministro, y no de las empresas objetivo. Con acceso a miles de credenciales y buckets abiertos, los ciberdelincuentes se inclinan cada vez más por estas presas fáciles.
McAfee ha descubierto que el 21 % de los datos en la nube tienen carácter confidencial —como por ejemplo, propiedad intelectual, y datos de personales y de clientes—, según el informe sobre adopción y riesgos de la nube de McAfee. Con un incremento del 33 % de los usuarios que han colaborado en estos datos durante el año pasado, los ciberdelincuentes saben cómo buscar más objetivos:
- Ataques nativos de la nube dirigidos contra API débiles o endpoints con API no gestionados, para conseguir acceso a los datos de sistemas SaaS, así como a cargas de trabajo sin servidor y de PaaS.
- Aumento de reconocimiento y filtración de datos en bases de datos en la nube (PaaS o aplicaciones personalizadas desplegadas en IaaS) que amplían el vector de filtración de S3 a datos estructurados en bases de datos o lagos de datos.
- Uso de la nube como trampolín para ataques de intermediario (MITM) nativos de la nube (como GhostWriter, que aprovecha buckets S3 editables públicamente introducidos debido a fallos de configuración de los clientes) para lanzar ataques de cryptojacking o ransomware en otras variantes de ataques MITM.
—Sekhar Sarukkai
Los asistentes digitales controlados por voz, el próximo vector de ataque contra dispositivos IoT
Mientras los aficionados a la tecnología siguen llenado sus casas de todo tipo de dispositivos inteligentes, desde enchufes a televisores, cafeteras, frigoríficos, sensores de movimiento, iluminación, etc., aumentan rápidamente los medios de conseguir acceso a una red doméstica, en particular si tenemos en cuenta la escasa protección con las que cuentan los dispositivos IoT.
Sin embargo, la verdadera llave de la puerta de la red el año que viene será el asistente digital controlado por voz, un dispositivo creado en parte para gestionar todos los dispositivos IoT en el hogar. Con el aumento de las ventas —que con toda probabilidad se dispararán durante las fiestas navideñas—, el interés de los ciberdelincuentes en los asistentes para llegar a los dispositivos realmente interesantes de una red no hará sino crecer.
Por ahora, el mercado de asistentes de voz se encuentra todavía en ciernes y hay un buen número de marcas disputándose el liderazgo del mercado de diversas formas. Todavía no está del todo claro si alguno de los dispositivos se impondrá de forma generalizada. Si alguno de ellos toma delantera, sus funciones de seguridad serán lógicamente sometidas al escrutinio de los medios de comunicación, aunque tal vez no antes de que las preocupaciones sobre su privacidad hayan sido analizadas en detalle.
(El año pasado señalamos la privacidad como la principal preocupación sobre los dispositivos IoT domésticos. La privacidad seguirá siendo una preocupación, pero los ciberdelincuentes se esforzarán en la creación de redes de bots, exigiendo rescates y amenazando con la destrucción de propiedad, tanto en el hogar como en la empresa).
Los ciberdelincuentes no dejarán pasar esta oportunidad de controlar los dispositivos del hogar o la oficina a través del producto estrella del mercado, y se centrarán en diseñar código malicioso que no solamente ataque a los dispositivos IoT, sino también a los asistentes digitales que se comunican con ellos con tanta facilidad.
Los smartphones ya han servido de puerta de entrada de amenazas. En 2019, pueden convertirse perfectamente en el instrumento abra una puerta mucho más grande. Ya hemos visto dos amenazas que demuestran lo que los ciberdelincuentes pueden hacer con dispositivos desprotegidos, a través de la red de bots Mirai, que golpeó por primera vez en 2016, e IoT Reaper, en 2017. Estos ejemplos de malware para dispositivos IoT aparecieron con muchas variantes para atacar dispositivos conectados, como enrutadores, grabadoras de vídeo en red y cámaras IP. Después ampliaron su alcance con el descifrado de contraseñas y el aprovechamiento de vulnerabilidades conocidas para crear redes de robots a nivel mundial.
El año que viene esperamos ver dos vectores principales para atacar dispositivos IoT domésticos: enrutadores y smarphones/tablets. La red de bots Mirai puso de relieve la falta de seguridad de los enrutadores. Los smarphones infectados, que ya pueden supervisar y controlar dispositivos domésticos, se convertirán en uno de los principales objetivos de los ciberdelincuentes, que utilizarán técnicas actuales y nuevas para hacerse con el control.
Los creadores de malware aprovecharán los teléfonos y tablets, dispositivos de total confianza en la actualidad, para intentar controlar los dispositivos IoT mediante el descifrado de contraseñas y el aprovechamiento de vulnerabilidades. Estos ataques no parecerán sospechosos, ya que el tráfico de red procede de un dispositivo de confianza. La tasa de éxito de estos ataques aumentará, y las rutas de los ataques serán difíciles de identificar. Un smartphone infectado podrían provocar el siguiente ejemplo de secuestro de la configuración DNS de un enrutador. Las vulnerabilidades en apps móviles y en la nube también están listas para ser aprovechadas, con los smartphones en el centro de la estrategia de los ciberdelincuentes.
Los dispositivos IoS infectados proporcionarán redes de bots, que pueden utilizarse para lanzar ataques DDoS, así como robar datos personales. El malware para dispositivos IoT más sofisticado aprovechará los asistentes digitales controlados por voz para ocultar sus actividades sospechosas ante los usuarios y el software de seguridad de redes domésticas. Las actividades maliciosas, como abrir puertas y conectar con servidores de control, se podrán activar mediante comandos de voz (“Reproducir música” y “¿Qué tiempo hace hoy?”). Muy pronto oiremos hablar de dispositivos IoT infectados exclamando ellos mismos: “¡Asistente, abre la puerta trasera!”
—Lee Munson y Yukihiro Okutomi
Los ciberdelincuentes incrementarán los ataques contra plataformas de identidad, y los dispositivos periféricos sufrirán un asedio
Las filtraciones de datos a gran escala de plataformas de identidad —que ofrecen autenticación y autorización segura y centralizada de usuarios, dispositivos y servicios en entornos de TI— han sido ampliamente documentadas en 2018. Al mismo tiempo, los datos capturados están siendo reutilizados para provocar más daño a las víctimas. En 2019, esperamos ver cómo grandes plataformas de medios sociales implementan medidas adicionales destinadas a proteger la información de los clientes. Sin embargo, a medida que aumenta el número de plataformas, prevemos que los ciberdelincuentes focalicen más sus recursos en estos entornos tan atractivos y con tal cantidad de datos. El conflicto entre los ciberdelincuentes y las plataformas a gran escala será el próximo gran campo de batalla.
El malware Triton, que ataca los sistemas de control industrial (ICS), ha demostrado las habilidades de los ciberdelincuentes para atacar de forma remota los entornos de fabricación a través de entornos de TI adyacentes. Las fugas de datos de plataformas de identidad y “dispositivos perimetrales” facilitan las llaves a los adversarios para lanzar futuros ataques ICS remotos. Esto se debe al uso de contraseñas estáticas en los entornos y al empleo de dispositivos perimetrales restringidos, que no cumplen los requisitos de sistema seguros por sus limitaciones de diseño. (Un dispositivo perimetral es cualquier hardware o protocolo de sistema con capacidad de conexión a la red dentro de un producto IoT). Esperamos que la autenticación multifactor y la inteligencia de identidades se conviertan en los mejores métodos de ofrecer seguridad en esta batalla. También prevemos que la inteligencia de identidades complemente a la autenticación multifactor para fortalecer las capacidades de las plataformas de identidad.
La identidad es un componente fundamental de la protección de los dispositivos IoT. En estos ecosistemas, los dispositivos y servicios deben identificar de forma segura los dispositivos de confianza, para poder ignorar al resto. El modelo de identidad ha pasado de estar centrado en el usuario en los sistemas de TI a centrarse en las máquinas en los sistemas IoT. Desafortunadamente, debido a la integración de tecnología operativa y al diseño de “dispositivos perimetrales” inseguros, el modelo de confianza de los sistemas IoT se ha creado sobre una débil base de supuesta confianza y seguridad basada en el perímetro.
En la conferencia de Black Hat USA y DEFCON de 2018, se dedicaron 30 sesiones a hablar sobre la explotación de dispositivos IoT perimetrales. Esto supone un gran aumento desde solo 19 sesiones dedicadas al tema en 2017. El aumento del interés estuvo relacionado principalmente con los sectores de sistemas ICS, consumidor, dispositivos médicos y “ciudad inteligente”. (Véase la Figura 1). Los dispositivos perimetrales inteligentes, combinados con la conectividad de alta velocidad, hacen posibles los ecosistemas IoT, pero el ritmo al que avanzan pone en peligro la seguridad de estos sistemas.
Figura 1: El número de sesiones en conferencias consagradas a la seguridad de los dispositivos IoT ha aumentado, en línea con la creciente amenaza contra dispositivos mal protegidos.
La mayoría de los dispositivos IoT perimetrales no ofrecen autodefensa (mediante el aislamiento de las funciones críticas, la protección de memoria, la protección de firmware, menos privilegios o la seguridad predeterminada), de manera que si un ataque tiene éxito, se hará con el control del dispositivo. Los dispositivos IoT perimetrales también sufren ataques del tipo BORE (Break Once, Run Everywhere), que permiten que el contenido pirateado pueda ser utilizado por cualquiera, debido a que los componentes inseguros que se utilizan en muchos tipos de dispositivos y sectores verticales. (Consulte los artículos sobre WingOS e ingeniería inversa).
Los ingenieros del equipo de McAfee Advanced Threat Research han demostrado cómo pueden atacarse los protocolos de los dispositivos médicos para poner en peligro la vida humana y comprometer la privacidad de los pacientes debido a la supuesta confianza. Estos ejemplos ilustran solamente algunos de los muchos escenarios posibles que nos llevan a pensar que los adversarios elegirán los dispositivos IoT perimetrales como camino de menor resistencia para conseguir sus objetivos. Los servidores se han reforzado en la última década, pero el hardware IoT no ha avanzado mucho en este sentido. Conocer los motivos y oportunidades del adversario (superficie de ataque y capacidad de acceso) nos permite definir un conjunto de requisitos de seguridad independientes de un vector de ataque específico.
La Figura 2 ofrece un desglose de los tipos de vulnerabilidades en dispositivos IoT perimetrales, destacando los puntos débiles que hay que corregir mediante la incorporación de identidad e integridad al hardware perimetral para garantizar que estos dispositivos puedan evitar los ataques.
Figura 2: Los protocolos no seguros constituyen la principal superficie de ataque de los dispositivos IoT perimetrales.
La seguridad de los dispositivos IoT debe empezar en el perímetro con un modelo de confianza cero, y proporcionar un hardware de confianza como componente fundamental para proteger contra ataques hack and shack y otras amenazas. McAfee prevé un aumento de los ataques a las plataformas de identidad y los dispositivos IoT perimetrales en 2019 debido a la adopción de ciudades inteligentes y al incremento de actividad de los sistemas ICS.
—Eoin Carroll
Mantente al día
Síguenos para mantenerte al día de las novedades de McAfee y estar al tanto de las amenazas de seguridad más recientes para particulares y dispositivos móviles.
