El desafío de las Predicciones de ciberseguridad para 2023
Este año, Corey Nachreiner, CSO de WatchGuard Technologies, y Marc Laliberte, director de operaciones de seguridad en la compañía, se enfrentan en un desafío de predicciones, ofreciendo diferentes puntos de vista sobre posibles ataques y hackeos en estas categorías.
Las aseguradoras incrementan sus ya elevados requisitos de seguridad
Los seguros de ciberseguridad son un tema de gran importancia últimamente, ya que tanto los costes como los requisitos de cumplimiento han aumentado en los últimos años. Las aseguradoras han sufrido grandes pérdidas desde que empezaron a ofrecer opciones de cobertura frente a extorsión cibernética, ya que su estrategia inicial de pagar rescates disparó sus costes. Como consecuencia, han empezado a repercutir esos mayores costes en sus clientes y han aumentado significativamente los requisitos técnicos de seguridad que exigen a los clientes antes de asegurarlos.
Aunque los clientes están sorprendidos por los nuevos e importantes requisitos y las facturas más elevadas para renovar sus pólizas, creemos que algunos verticales lo tendrán más difícil que otros durante 2023. Las aseguradoras son conscientes de que determinados sectores son objetivos más atractivos para los ciberdelincuentes y les obligarán a cumplir normativas más estrictas y a soportar costes más elevados. Los sectores más afectados son también los que aparecen en los titulares debido a los ciberataques. Por ejemplo, sospechamos que Sanidad, Infraestructuras Críticas, Finanzas y Proveedores de Servicios Gestionados (MSP) estarán sujetos a requisitos de ciberseguridad más severos por parte de las aseguradoras. También creemos que los proveedores de ciberseguridad serán objeto de precios y requisitos más elevados. Algunas aseguradoras incluso adoptarán “listas de proveedores de seguridad aprobados”, suscribiendo únicamente pólizas para empresas que utilicen soluciones de seguridad de proveedores concretos. En definitiva, si su vertical es objetivo de los ciberatacantes, es posible que deba prever un aumento de las primas y más obstáculos que superar.
La evaluación y validación de la ciberseguridad se convierte en un factor primordial a la hora de seleccionar proveedores y partners
Los dos últimos años han estado repletos de lo que parecen cinco años de brechas en la cadena de suministro digital. Una brecha en la cadena de suministro digital es aquella en la que la falta de seguridad en el software o hardware de uno de sus proveedores, ya sea por un defecto del producto o por una brecha en su propia red, introduce un agujero de seguridad que le expone a usted o a su organización a una brecha. Algunos ejemplos comunes son los ataques a SolarWinds y Piriform, en los que una brecha en sus redes provocó que los atacantes pusieran trampas en productos populares como Orion y CCleaner. Otro ejemplo es el suceso de Kaseya, en el que una vulnerabilidad zero-day en el popular producto VSA de la empresa expuso a los clientes que lo utilizaban a un ataque de ransomware. Estos son solo tres de los muchos incidentes de la cadena de suministro digital que se han producido en los últimos dos años.
Con el aumento de estos ataques a la cadena de suministro, las organizaciones están cada vez más preocupadas por la seguridad de los partners y proveedores con los que hacen negocios. Después de dedicar tanto tiempo a perfeccionar sus propias defensas, sería especialmente frustrante caer por los errores de seguridad de otro. Como resultado, las empresas están haciendo de las propias prácticas de seguridad interna de un proveedor una parte clave en la decisión de selección del producto. De hecho, la validación de proveedores y el análisis de riesgos de terceros se han convertido incluso en un nuevo vertical del sector, con productos que ayudan a inspeccionar y hacer un seguimiento de los programas de seguridad de sus proveedores externos. En resumen, en 2023, la seguridad interna de los proveedores se convertirá en un factor de selección fundamental para los productos y servicios de software y hardware, justo por debajo del precio y el rendimiento.
El primer gran hackeo del metaverso afecta a una empresa a través de nuevos casos de uso de la productividad
Guste o no la idea, el metaverso ha acaparado titulares últimamente. Grandes empresas como Meta (Facebook) y ByteDance, la empresa matriz de TikTok, están invirtiendo miles de millones en la creación de mundos conectados, virtuales, mixtos y aumentados, que creen que se convertirán en parte integrante de la sociedad en un futuro no muy lejano. Pero el metaverso de la realidad virtual (RV) ofrece un gran potencial para la explotación y la ingeniería social. Ya divulgamos muchos de nuestros datos privados en Internet a través del ratón y el teclado; ahora imagínese un dispositivo con numerosas cámaras, sensores infrarrojos (IR) y de profundidad que rastreen también los movimientos de la cabeza, las manos, los dedos, la cara y los ojos. Además, imagine un dispositivo que cartografíe su habitación, sus muebles e incluso su casa en 3D mientras se mueve, y que también rastree cosas como el teclado de su portátil. Todo esto ocurre hoy en día si se utiliza un moderno casco de RV o realidad mixta (RM) como el Meta Quest Pro. Ahora imagine un software que mantenga un registro histórico de todos estos datos rastreados. ¿Qué podría hacer con ellos un hacker malintencionado? Tal vez crear un deepfake virtual de su avatar online que también pueda moverse y actuar como usted.
Aunque estos posibles vectores de amenaza pueden estar aún a cinco o diez años vista, eso no significa que el metaverso no sea ya hoy un objetivo. Al contrario, creemos que el primer ataque al metaverso que afecte a las empresas provendrá de un vector de amenazas bien conocido y rediseñado para el futuro de la RV. A finales de 2022, Meta lanzó el Meta Quest Pro como un auricular “empresarial” de RV/RM para casos de uso de productividad y creatividad. Entre otras cosas, Meta Quest Pro permite crear una conexión remota con el escritorio tradicional del ordenador, lo que permite ver la pantalla del ordenador en un entorno virtual y, además, crear muchos monitores y espacios de trabajo virtuales para el ordenador. Incluso permite a un empleado remoto iniciar reuniones virtuales (en lugar de por vídeo) que supuestamente facilitan interactuar de una forma mucho más humana. Por muy extravagante que esto pueda sonar, en esencia aprovecha las mismas tecnologías de escritorio remoto que el Escritorio Remoto de Microsoft, o Virtual Network Computing (VNC) - el mismo tipo de tecnologías de escritorio remoto que los ciberdelincuentes han atacado y explotado innumerables veces en el pasado. Por este motivo, creemos que en 2023 el primer gran ataque del metaverso que afecte a una empresa será el resultado de una vulnerabilidad en las nuevas funciones de productividad empresarial, como el escritorio remoto, utilizadas en la última generación de auriculares VR/MR destinados a casos de uso empresarial.
La adopción de MFA impulsa el aumento de la ingeniería social
Los actores de amenazas atacarán agresivamente a los usuarios de autenticación multifactor (MFA) en 2023, ya que el aumento de la adopción de MFA obliga a los atacantes a encontrar alguna forma de eludir estas soluciones de validación de seguridad. Confirmando lo que hemos predicho anteriormente, la adopción de MFA ha aumentado seis puntos porcentuales hasta el 40% este año, según una encuesta de Thales realizada por 451 Research. Esto empujará a los ciberatacantes a recurrir en mayor medida a técnicas maliciosas para eludir la MFA en sus ataques dirigidos contra credenciales, ya que de lo contrario perderán a un cierto número de víctimas.
Esperamos que en 2023 aparezcan nuevas vulnerabilidades y técnicas de elusión de MFA. Sin embargo, la forma más común en que los ciberdelincuentes eludan estas soluciones es a través de ingeniería social sofisticada. Por ejemplo, el éxito del push bombing no es un fallo de MFA en sí, sino que se debe a un error humano. Los atacantes no tienen que hackear la MFA si pueden engañar a sus usuarios o simplemente cansarlos con un diluvio de solicitudes de aprobación que finalmente les llevan a hacer clic en un enlace malicioso. Los atacantes también pueden actualizar sus técnicas AitM (adversary-in-the-middle) para incluir el proceso MFA, capturando así tokens de sesión de autenticación cuando los usuarios inician sesión legítimamente. En cualquier caso, se esperan muchos más ataques de ingeniería social dirigidos a MFA durante 2023.
Un novedoso hackeo de Robotaxi dará como resultado un coche con IA aturdido y confundido
Varias empresas tecnológicas como Cruise, Baidu y Waymo han empezado a probar robotaxis en muchas ciudades de todo el mundo, entre ellas San Francisco y Pekín (China). Los robotaxis son básicamente coches autónomos que ofrecen una experiencia similar a Uber o Lyft, pero sin conductor humano. Empresas como Baidu afirman que ya han completado con éxito más de un millón de estos viajes autónomos para pasajeros en su mayoría encantados, y se puede imaginar cómo las empresas se sentirían atraídas por el ahorro de costes al eliminar su mano de obra de la economía gig o colaborativa.
Dicho esto, no todos los proyectos piloto han sido unicornios y arco iris. En junio, uno de los robotaxis de Cruise sufrió un accidente en el que resultaron heridos sus tres ocupantes y el conductor del otro vehículo. Aunque Cruise afirma que el vehículo conducido por un humano parecía tener la culpa, eso no ayuda a que la gente confíe en la inteligencia artificial (IA) que utilizan estos coches para conducirse solos, especialmente cuando trucos sencillos como la colocación de sal en la carretera los han confundido antes. Investigaciones de seguridad han demostrado que los coches conectados a Internet pueden ser hackeados, y los humanos ya han demostrado que se puede diseñar socialmente (¿o deberíamos decir “visualmente”?) la IA. Cuando se combinan estas dos cosas con un servicio basado en la telefonía móvil que cualquiera puede utilizar, seguramente veremos al menos un incidente de ciberseguridad en el que los actores de amenazas ataquen a los robotaxis por diversión y afán de lucro. Dado que estos servicios de vehículos autónomos son tan nuevos y aún están en fase de pruebas, no creemos que un hackeo provoque un accidente peligroso en un futuro próximo. Sin embargo, en 2023, sospechamos que algunos investigadores de seguridad o hackers de sombrero gris podrían perpetrar una broma técnica de robotaxi que provoque que uno de estos vehículos se quede atascado sin saber qué hacer, lo que podría entorpecer o detener el tráfico.
Las herramientas de codificación de IA introducen vulnerabilidades básicas en los proyectos de los nuevos desarrolladores
Aunque el machine learning (ML) y la inteligencia artificial (IA) no han llegado a ser tan poderosos como afirman algunos evangelistas del mundo de la tecnología, han evolucionado significativamente para ofrecer muchas nuevas capacidades prácticas. Además de generar arte nuevo a partir de instrucciones escritas, las herramientas de IA/ML ahora pueden escribir código para desarrolladores perezosos (o inteligentemente eficientes). En ambos casos, la IA se basa en el arte o el código informático existentes para generar sus nuevas creaciones.
Copilot de GitHub es una de esas herramientas de codificación automatizada. GitHub entrena a Copilot utilizando el "big data“de miles de millones de líneas de código que se encuentran en sus repositorios. Sin embargo, como ocurre con cualquier algoritmo de IA/ML, la calidad de sus resultados depende de la calidad de los datos de aprendizaje que se le introducen y de las instrucciones que se le dan. Dicho de otro modo, si alimentas a la IA con código malo o inseguro, puedes esperar que produzca lo mismo. Los estudios ya han demostrado que hasta el 40% del código generado por Copilot incluye vulnerabilidades de seguridad explotables, y este porcentaje aumenta cuando el propio código del desarrollador contiene vulnerabilidades. Se trata de un problema lo suficientemente grave como para que GitHub se apresure a advertir:”Eres responsable de garantizar la seguridad y la calidad de tu código [cuando utilizas Copilot]”.
En 2023, predecimos que un desarrollador ignorante y/o inexperto que confíe demasiado en Copilot, o en una herramienta de codificación de IA similar, lanzará una aplicación que incluya una vulnerabilidad crítica introducida por el código automatizado.