SG36

CIBERSEGURIDAD 52 día a la hora de fabricar algo (software, firmware, hardware, servicios, APPs, etc.) es simplemente que funcione, que tenga más facilidad de uso y al menor precio posible (la cibersegu- ridad quizás ya se pondrá más tarde si se necesita, sino para qué, sobra). Esto posibilita al malware una infi- nidad de vulnerabilidades (que son puertas-caminos de acceso) a todos los niveles: diseño, algoritmo, desarrollo, pila de protocolos TCP/IP, ingeniería, implementación, despliegue, confi- guración, cadena de suministro, etc. Según el informe titulado ‘The 2020 Cyber Hygiene Report: What You Need to Know Now’ de Automox y AimPoint Group la mitad de las empresas no son capaces de parchear las vulne- rabilidades (fallos) de ciberseguridad lo suficientemente rápido como para evitar brechas de ciberseguridad. Según IBM la mitad (50%) de las causas de las brechas en el sector sanitario corresponden a ciber-ata- ques maliciosos. La tasa de infección define las estadísticas de ciber-ata- que del malware. Actualmente se observa un crecimiento de la tasa de infección exponencial con el agravante de que la mayor parte del malware no es detectable. Existen herramientas como Google-Dark y motores de búsqueda de disposi- tivos como Shodan que permiten encontrar agujeros de ciberseguridad (como impresoras online, WebCams sin username ni password, objetos IoT vulnerables, etc.). Una investigación de Akamai ha iden- tificado numerosas vulnerabilidades en la propia forma en la que se crean y desarrollan los APIs (Application Program Interfaces) que facilitan el abuso de credenciales. Los APIs son especialmente vulnerables poniendo en riesgo datos confidenciales como información sensible, tokens, claves privadas, datos personales, registros de cuentas, etc. Los APIs generan brechas de ciberseguridad, así mismo los cam- bios en los APIs crean vulnerabilidades que abren puntos de entrada desde Internet al lugar donde operen. Cada vez que se hacen cambios en APIs se deben realizar auditorías de código (estático y dinámico) para no dejar nuevas vulnerabilidades. MarketsandMarkets vaticina que para el 2026 la inteligencia artificial en ciberseguridad generará un mercado de 35.800 millones de euros. Existen grupos de especialistas que se dedi- can a descubrir vulnerabilidades en prisiones de máxima seguridad para impedir que puedan escapar posibles presos por fallos-vulnerabilidades en la prisión. El descubrimiento (detección, predicción, inferencia, localización, etc.) de vulnerabilidades (nuevas o 0-day y viejas o N-day) en el ciberespacio es una tarea sin fin. Para ello se utilizan numerosas tecnologías, por ejemplo, la inteligencia artificial su objetivo es descubrir vulnerabilidades en todo tipo de entorno-ecosistema OT/IT (en toda clase de tecnologías, en software, firmware y hardware, en infraestruc- turas, nubes, etc.). Existen vulnerabilidades en el soft- ware de Blockchain y sus derivados (smart-contracts, criptomonedas (no cifrar wallet, etc.), NFTs (Non-Fungible- Tokens), derechos de autor con fechado temporal, gestión de iden- tidades, sistemas de ciberseguridad, etc.). Según ESG (Enterprise Strategy Group) los principales problemas rela- cionados con las APIs son un 63% de vulnerabilidades encontradas en las APIs, un 62% de pérdida de datos como resultado de un uso no seguro de las APIs, un 50% de introducción de malware y un 34% de uso de APIs no aprobadas. El sistema de puntuaciónCVSSpara esti- mar el impacto de una vulnerabilidad (utiliza un valor numérico de 0 a 10) se compone de tres grupos de métricas: grupo base (es obligatorio; son cuali- dades intrínsecas de la vulnerabilidad como: vector de acceso (local, adya- cente, red), complejidad de acceso (bajo, medio, alto), autenticación (ninguna, una, múltiple), impacto de confiden- cialidad (ninguna, parcial, completa), impacto de integridad (ninguna, parcial, completa) e impacto de disponibilidad (ninguna, parcial, completa)), grupo tem- poral (es opcional; son características que cambian con el tiempo como: explotabilidad (no probada, prueba de concepto, exploit funcional, elevado, no definido), nivel de remedio (parche oficial, parche temporal, solución, no