Predicciones de Ciberseguridad 2022 - Mexis
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Predicciones de Ciberseguridad 2022
E n las Predicciones de Ciberseguridad para 2022,
WatchGuard Threat Lab hace un ejercicio relacionado con los
principales titulares sobre seguridad que podríamos ver en 2022. A
continuación, se explica cómo los hackers podrían dirigirse al espacio,
cómo se explotarán las amenas a dispositivos móviles, qué pasará
con los ciberseguros o Zero-Trust, y mucho más.
1.- Las amenazas a dispositivos móviles organizaciones apoyadas por los Estados
utilizadas por los Estados acaban en el son los principales responsables de la
submundo de la ciberdelincuencia. financiación de gran parte de las sofistica-
das amenazas y vulnerabilidades dirigidas a
El malware para móviles existe, sobre todo los dispositivos móviles, como el reciente
en la plataforma Android, pero todavía no programa espía para móviles Pegasus. Por
ha alcanzado la misma magnitud que el desgracia, como en el caso de Stuxnet,
malware tradicional para ordenadores de cuando se filtran estas amenazas más sofis-
sobremesa. En parte, creemos que esto se ticadas, las organizaciones criminales
debe a que los dispositivos móviles están aprenden de ellas y copian las técnicas de
diseñados con un mecanismo seguro (por ataque.
ejemplo, el arranque seguro) desde el prin-
cipio, lo que hace mucho más difícil crear El próximo año, preevemos un aumento de
amenazas “zero-touch” que no requieran la sofisticados ataques móviles por parte de
interacción de la víctima. Sin embargo, han los ciberdelincuentes.
existido vulnerabilidades remotas graves
contra estos dispositivos, aunque son más 2.- La noticia de que los hackers apuntan al
difíciles de encontrar. espacio llega a los titulares.
Mientras tanto, los dispositivos móviles Con el creciente interés de los gobiernos y
representan un objetivo muy atractivo para del sector privado por la «carrera espacial»
los equipos de ciberseguridad de los Estados, y la reciente investigación sobre cibersegu-
tanto por las capacidades de los dispositivos ridad en las vulnerabilidades de los satéli-
como por la información que contienen. tes, creemos que un «hackeo en el espa-
En consecuencia, los grupos que venden a cio» llegará a los titulares en 2022.Recientemente, el hackeo de satélites ha últimamente ha evolucionado hacia textos
ganado la atención de la comunidad de más dirigidos que se hacen pasar por men-
ciberseguridad entre los investigadores y sajes de alguien conocido, incluido quizás
en conferencias como DEF CON. Aunque tu jefe.
los satélites pueden parecer fuera del alcan-
ce de la mayoría de las amenazas, los inves- Paralelamente, las plataformas de mensajes
tigadores han descubierto que pueden cortos de texto también han evolucionado.
comunicarse con ellos utilizando un equipo
de unos 300 dólares. Además, es posible Los usuarios, especialmente los profesio-
que los satélites más antiguos no se hayan nales, se han dado cuenta de la inseguri-
centrado en los controles de seguridad mo- dad de los mensajes de texto SMS sin
dernos, confiando en la distancia y la oscu- cifrar gracias al NIST (Instituto Nacional
ridad como defensa. de Estándares y Tecnología), a las diversas
infracciones de las operadoras y al conoci-
Mientras tanto, muchas empresas privadas miento de las debilidades de los estánda-
han iniciado su carrera espacial, que res de las operadoras, como el Sistema de
aumentará en gran medida la superficie de Señalización 7 (SS7). Esto ha hecho que
ataque en órbita. Compañías como Starlink muchos trasladen sus mensajes de texto
están lanzando miles de satélites. Entre empresariales a aplicaciones alternativas
estas dos tendencias, más el valor de los como WhatsApp, Facebook Messenger e
sistemas orbitales para los estados-nación, incluso Teams o Slack.
las economías y la sociedad, sospechamos
que los gobiernos ya han comenzado Allá donde van los usuarios legítimos, los
discretamente sus campañas de ciberdefen- ciberdelincuentes los siguen. Como resul-
sa en el espacio. No nos sorprendamos si tado, estamos empezando a ver un aumen-
algún día vemos un hackeo relacionado to en los informes de mensajes maliciosos
con el espacio en los titulares. tipo spear SMSishing a plataformas de
mensajería como WhatsApp. ¿Has recibido
3.- La propagación de SMSishing golpea a un mensaje de WhatsApp de tu director
las plataformas de mensajería. general pidiéndote que le ayudes a crear
una cuenta para un proyecto en el que está
El phishing basado en mensajes de texto, trabajando? Tal vez debas llamar o contac-
conocido como SMSishing, ha aumentado tar con él a través de algún otro medio de
de forma constante a lo largo de los años. comunicación para verificar que se trata
Al igual que la ingeniería social del correo realmente de esa persona.
electrónico, comenzó con mensajes de
señuelo no dirigidos que se enviaban como
spam a grandes grupos de usuarios, peroEn resumen, esperamos que los mensajes impresión 3D). En general, los tokens de
de phishing dirigidos a través de muchas hardware también son una opción fuerte
plataformas de mensajería se dupliquen en de factor único, pero la brecha de RSA
2022. demostró que tampoco son invencibles. Y,
francamente, los correos electrónicos de
4.- La autenticación sin contraseña falla a texto sin cifrar con una OTP son simple-
largo plazo sin MFA. mente una mala idea.
Ya es oficial. Windows ha pasado a no La única solución robusta para la vali-
tener contraseñas. Mientras celebramos el dación de la identidad digital es la
abandono de las contraseñas para la autenticación multifactor (MFA). En
validación digital, también creemos que el nuestra opinión, Microsoft (y otros)
enfoque actual de la autenticación de un podrían haber resuelto realmente este pro-
solo factor para los inicios de sesión de blema haciendo que MFA fuera obligatoria
Windows simplemente repite los errores y fácil en Windows. Se puede seguir utili-
del pasado. Windows 10 y 11 permitirán zando Hello como un factor de autentica-
ahora configurar una autenticación com- ción, pero las organizaciones deberían
pletamente sin contraseña, utilizando obligar a los usuarios a emparejarlo con
opciones como Hello (la biometría de otro, como una aprobación push a su telé-
Microsoft), un token de hardware Fido o fono móvil que se envía a través de un
un correo electrónico con una contraseña canal cifrado (sin texto o correo electrónico
de un solo uso (OTP). claro).
Aunque elogiamos a Microsoft por dar este Nuestra predicción es que la autenticación
audaz paso, creemos que todos los meca- sin contraseña de Windows despegará en
nismos de autenticación de factor único 2022, pero esperamos que los hackers y los
son una elección equivocada y repiten los investigadores encuentren formas de
errores de las contraseñas de antaño. La eludirla, demostrando que no hemos
biometría no es una píldora mágica impo- aprendido de las lecciones del pasado.
sible de derrotar: de hecho, los investigado-
res y atacantes han vencido repetidamente
a varios mecanismos biométricos. Sin
duda, la tecnología está mejorando,
pero las técnicas de ataque también
evolucionan (especialmente en un
mundo de redes sociales, fotogrametría e5.- Las empresas aumentan los ciberseguros a 6.- Y lo llamaremos Zero Trust.
pesar de que los costes se disparan.
A la mayoría de los profesionales de seguri-
Desde el éxito astronómico del ransomwa- dad se les ha inculcado el principio del
re a partir de 2013, las aseguradoras de mínimo privilegio desde el principio de sus
ciberseguridad se han dado cuenta de que carreras. Dar a los usuarios el nivel mínimo
los costes del pago para cubrir a los clientes de acceso necesario para realizar sus fun-
contra estas amenazas han aumentado ciones de trabajo es, en su mayor parte, una
drásticamente. De hecho, según un infor- buena práctica indiscutible. Lamentable-
me de S&P Global, el ratio de siniestrali- mente, las mejores prácticas no se traducen
dad de las ciberaseguradoras aumentó directamente en una amplia adopción, y
por tercer año consecutivo en 2020 en 25 menos en toda su extensión. En los últimos
puntos, es decir, más del 72%. Esto hizo que años, o décadas en realidad, hemos visto la
las primas de las pólizas de ciberseguro facilidad con la que los atacantes pueden
independientes aumentaran un 28,6% en moverse lateralmente y elevar su nivel de
2020, hasta alcanzar los 1.620 millones de acceso mientras explotan organizaciones
dólares. Como resultado, han aumentado que no han seguido los principios básicos
mucho los requisitos de ciberseguridad de seguridad.
para los clientes. No solo ha aumentado el
precio del seguro, sino que las aseguradoras Recientemente, una arquitectura de seguri-
ahora escanean y auditan activamente la dad de la información «moderna» ha creci-
seguridad de los clientes antes de ofrecer do en popularidad bajo el nombre de Zero
una cobertura relacionada con ciberseguridad. Trust. Un enfoque Zero Trust en la seguri-
dad se reduce básicamente a «asumir la
En 2022, si no tienes las protecciones ade- brecha». En otras palabras, asumir que un
cuadas, incluida la autenticación multifac- atacante ya ha puesto en peligro uno de tus
tor (MFA) en el acceso remoto, puede que activos o usuarios, y diseñar tu red y las
no consigas un seguro de ciberseguridad al protecciones de seguridad de forma
precio que te gustaría, o que no lo obten- que se limite su capacidad de moverse
gas. Al igual que otras regulaciones y lateralmente hacia sistemas más críticos.
normas de cumplimiento, este nuevo enfo-
que de las aseguradoras en la seguridad y la Verás términos como «microsegmenta-
auditoría impulsará un nuevo plantea- ción» y asserted identity en los debates
miento por parte de las empresas para me- sobre Zero Trust. Pero cualquiera que lleve
jorar las defensas en 2022. el tiempo suficiente reconocerá que estaarquitectura se basa en los principios de seguridad existentes desde hace mucho tiempo, como la verificación de identidades sólidas y la idea del mínimo privilegio. Esto no quiere decir que la arquitectura Zero Trust sea una palabra de moda o innecesaria. Al contrario, es exactamente lo que las organizaciones deberían haber estado haciendo desde los orígenes de las redes. Predecimos que, en 2022, la mayoría de las organizaciones promulgarán final- mente algunos de los conceptos de seguri- dad más antiguos en todas sus redes, y lo llamarán Zero Trust. Fuente de información: revistacloudcomputing.com
También puede leer
