Ciberseguridad, tendencias 2018. Retos y amenazas

13/02/2018
 

Ciberseguridad, tendencias 2018. Retos y amenazas

 
Retos y amenazas para este 2018 a nivel de Ciberseguridad.
Para aquellos que me conocen no les extrañará mi introducción, tengo dos noticias para darles, y las dos son buenas.
 
La primera; que, a la corta, a la media o a la larga, unos desconocidos le entrarán hasta en la cocina de su ordenador, puede que sólo fisgoneen, pero le pueden borrar contenido, robarlo e incluso cifrar sus archivos y pedir un rescate económico a cambio de poder volver a usarlos.
 
La otra, si tiene claro el primer punto, se prepararán, pondrán rejas en puertas y ventanas, harán un plan de continuidad de negocio (BIA) [1], harán copias de seguridad con regularidad [2] y las guardaran en lugares adecuados [3], con lo que, en caso de que se materialice la amenaza y sufran un ataque, tienen asegurada la continuidad de su negocio, comercio, fotografías familiares, etc.
 
¿Y las principales amenazas para el 2018 de las que habla el enunciado? Sí, ya voy, pero hay que hacer pedagogía y dar soluciones, no sólo mostrar los problemas.
 
Desde mi punto de vista, lo más importante es que conozcan lo que llamamos resiliencia, en negrita, la capacidad de reponernos después de un desastre, sea natural o de la mano del hombre (si podemos llamar hombres a los gamberros que nos quieren robar nuestros datos para chantajearnos, pero eso es para otro artículo, que por cierto ¡daría mucho de sí!).
 
Preparando el curso de seguridad básico para ICAB [4] de lo que di el primer capítulo, busqué qué auguraban los gurús sobre 2018, aunque con pequeñas discrepancias, el factor común es el que a continuación comentaré.
 
Según it Digital Security [5] las cinco tendencias en Ciberseguridad para este 2018 son las siguientes:
  • Ransonware evoluciona, permítanme hacer una pequeña introducción a lo que significa esta palabra que ya es conocida por la sociedad en general, viene del inglés ransom -rescate- y ware de software -programa-. Este malware [6] se caracteriza por aprovechar las vulnerabilidades del sistema operativo y sin que nos demos cuenta cifra nuestros archivos (puede coger los .docx de word, los .jpg de las imágenes, los xlsx de Excel, etc.). En definitiva, los archivos más comunes que todo el mundo usa. Y nos pide un rescate para poder recuperarlos. El año pasado se sufrió el mayor ataque de ransomware a raíz de un programa (supuestamente robado a la CIA) que dio herramientas al mundo de la mafia que orquesta estos ataques, el tristemente conocido wannacry.  
Cada vez más sibilino y mejor elaborado, con el fin que caigamos en sus redes y aprovechando, como siempre, las vulnerabilidades del sistema operativo estrella, Windows, y la pereza para tener los equipos actualizados. Muchas empresas antivirus ofrecen paquetes anti-ransomware.
  • BEC [7] está costando miles de millones a las empresas. Esta obra de ingeniería social aprovecha el ego de las personas que reciben de su jefe o su superior un correo (no hace falta decir que fraudulento) pidiendo total discreción, comunicándole que le ha elegido porque es el mejor empleado o el más discreto (azucarado el ego) y pide que haga una transferencia que él autoriza de determinado importe a una determinada cuenta. Hay que decir que los que lo preparan a menudo saben de psicología y el pobre empleado 'pica'.
 
 
Según it Digital Security, desde 2013 a 2016 ha costado a EE.UU. 5.300 millones de dólares, ¡Trend Micro cree que alcanzará los 9.000 millones de dólares a finales de 2018.
 
La solución mágica (y barata) es formar a los empleados, recordar la importancia de no hacer caso al “por favor, no digas nada, haz tal o cual”, etc. En definitiva, no dejarnos engañar.
  • Empresas de gran renombre siguen cometiendo errores de novatos. En los últimos 12 meses, "empresas que deberían haber conocido mejor" han sufrido daños por brechas e incidentes de privacidad, Yahoo (3.000 millones), Uber (57 millones), entre otros. Empresas con recursos, pero no suficiente cultura corporativa correcta para mantener a raya a los hackers. La solución, como en el caso anterior, formación, formación y formación a los empleados como activo para proteger a la empresa.
  • Cumplimiento con el RGPD. A medida que avanza el reloj nos acercamos más a la fecha del 28 de mayo de 2018 (que está ya a tocar). Esta ley tiene claras implicaciones con la Ciberseguridad y privacidad y abarca a todo tipo de empresas. Según un estudio de Trend Micro, los altos ejecutivos eluden la responsabilidad en el 57% de las empresas. Las empresas necesitan entender y conocer mejor los datos y los procesos que los tratan, para poder hacer una adaptación efectiva del RGPD y no “caer” en las duras sanciones previstas en esta ley.
  • Del IoT al cloud, las vulnerabilidades seguirán siendo el tendón de Aquiles. Las vulnerabilidades son una de las mayores amenazas a la seguridad que se enfrentan las empresas, pueden estar en el firmwaredel dispositivo IoT, las aplicaciones web, el programa de las instalaciones o en la infraestructura cloud. Si existe algún agujero explotable, será explotado, sin duda, sólo es cuestión de tiempo.
 
Los CISO deben asegurarse de contar con un enfoque integral y automatizado para la administración de parches de seguridad y agilidad para responder de manera rápida y efectiva a cualquier amenaza descubierta recientemente.
 
Otros estudios, como en el Grupo de Delitos Tecnológicos de la Guardia Civil, añaden a los anteriormente mencionados, los ataques APT [8] (que por cierto, dan para hacer un artículo entero), las Criptomonedas como medio de pago (por gente normal y por los bajos fondos del hampa que corre por la Dark Net y Deep Web, que facilita a usuarios no expertos herramientas para hacer ataques “a medida”, de hecho ya se habla del crimen como servicio (crime as a service). Otro grupo de delitos mencionado son el ciberespionaje y los ciberataques, principalmente entre países.
 
Para los que están interesados, recomiendo visitar la web https://ciberseguridad.blog. Tiene un largo pero interesante artículo sobre los 25 tipos de ataques informáticos y un guía sobre cómo prevenirlos [9].
 
Para terminar, uno de los artículos que encuentro más completo de los numerosos artículos revisados, es el que publica la firma ESET [10] sobre el coste de nuestro mundo conectado, donde desgrana, bajo su juicio, los cinco principales retos y preocupaciones para este 2018, donde el ransomware sigue siendo la preocupación número 1 y añade los ataques a infraestructuras críticas, de lo que se habla poco para no atemorizarnos pero que nos puede hacer mucho daño como sociedad, por ejemplo, un ataque (ciber en este caso, pero no descarta que sea físico) a una central eléctrica, al transporte de gas, a un puente con mucho tráfico, etc., los ataques a la democracia (centrado en los procesos electorales), y también, como no, trata el nuevo RGPD, desde el punto de vista de la información personal en la nueva era de la tecnología y la legislación.
 
 
Joan Barceló y Joaquin
 
Data ProtectionPrivacy & Cibersecurity at Complia
 
Perito Judicial Informático y Tecnológico (Núm. 145 ACPJT)
 

CISA, CISM, Platinum Member de ISACA [11]
 
Presidente ISACA Barcelona Chapter [12]
 
 
 
 
 
[1] Business impact assessment.
 
[2] Cada vez que se modifique de manera significativa la BBDD, la contabilidad, etc.
 
[3] Principio de tres copias, local, fuera y nube.
 
[4] https://www.welivesecurity.com/wp-content/uploads/2017/12/Tendencias_2018_ESET.pdf
 
[5] http://www.itdigitalsecurity.es/actualidad/2018/01/que-hay-que-saber-para-blindar-la-empresa-en-2018
 
[6] Programa malicioso que inserta virus, troyanos, gusanos, etc.
 
[7] Compromiso del Email Empresarial (en inglés Business Email Compromise).
 
[8] Amenaza Persistente Avanzada (Advanced and Persistent Threat).
 
[9] https://ciberseguridad.blog/25-tipos-de-ataques-informaticos-y-como-prevenirlos/
 
[10] https://www.welivesecurity.com/wp-content/uploads/2017/12/Tendencias_2018_ESET.pdf
 
[11] www.isaca.org
 
[12] www.isacabcn.org