Inteligencia artificial y ransomware redefinen el panorama de la ciberseguridad en 2024

El horizonte de la ciberseguridad en 2024 ha estado marcado por varias amenazas importantes. Como señala Javier Martín, ingeniero de Comunicaciones en Ayscom, en 2024, la ciberseguridad ha enfrentado amenazas más sofisticadas, destacando los ataques a la cadena de suministro, que comprometen proveedores clave para acceder a múltiples objetivos. “El ransomware, impulsado por el modelo ‘Ransonware como servicio’, sigue creciendo en alcance y complejidad, mientras que los ciberdelincuentes emplean inteligencia artificial para lanzar ataques más personalizados y automatizados. “La gestión de identidades y accesos sigue siendo un punto crítico, con ataques dirigidos incluso a sistemas multifactor, mientras que el auge del IoT industrial ha ampliado las superficies de ataque en entornos OT, amenazando tanto datos como operaciones críticas”, detalla Javier Martín.

Javier Martín, ingeniero de Comunicaciones en Ayscom.

De lo que no hay duda es que, el ransomware, dentro de sus distintas variantes, “continúa siendo la principal amenaza que está afectando a miles de compañías a nivel mundial”, indica José de la Cruz, director técnico de Trend Micro Iberia. “En esta categoría encontramos diversos grupos cibercriminales que combinan distintas técnicas y tácticas de ataque donde estaca el grupo LockBit. Este grupo fue desmantelado entre febrero y mayo de 2024 como resultados de la ‘operación Cronos’, un ejemplo de cooperación entre los servicios de inteligencia de diversos países, y que contó con la colaboración de Trend Micro”.

En la misma línea, Pedro Viana, Head of Presales, Kaspersky Iberia, apunta que “en 2024, el ransomware ha evolucionado hacia la 'doble extorsión', no solo cifrando datos sino también amenazando con publicarlos si no se paga el rescate, mientras los atacantes emplean inteligencia artificial para lanzar campañas de phishing personalizadas y crear deepfakes convincentes.”

Por ejemplo, “el ataque de ransomware a CDK Global, un proveedor líder de software para concesionarios de automóviles, ha sido uno de los sucesos de ciberseguridad más perjudiciales del año, y puso de manifiesto el amplio alcance de los ataques a la cadena de suministro”, añade Chester Wisniewski, Director Field CTO en Sophos; quien continúa diciendo que este “incidente, que interrumpió la actividad de miles de concesionarios de automóviles estadounidenses durante más de una semana, es un claro recordatorio de las consecuencias en cascada que estos ataques pueden tener en sectores interconectados”.

“Tampoco hay que olvidar los incidentes de seguridad en la nube (TI en la sombra, vulnerabilidades de día cero…), las filtraciones de datos o de los ataques internos, lo que está llevando a las empresas a desarrollar renovadas estrategias de control orientadas a este tipo de amenazas”, advierte por su parte Javier Jurado, director de Desarrollo de Negocio en Exclusive Network Iberia.

José de la Cruz, director técnico de Trend Micro Iberia.

Como detalla Ignacio Franzoni, Solutions Engineer Manager en Netskope, en los últimos años, la inteligencia artificial ha transformado el panorama de los ciberataques, permitiendo a los atacantes automatizar procesos, identificar vulnerabilidades con mayor precisión y lanzar ataques más personalizados. “Las credenciales comprometidas y las configuraciones incorrectas en entornos de la nube se han convertido en objetivos frecuentes, mientras que los ataques basados en ingeniería social se han adaptado a los nuevos flujos de trabajo y herramientas colaborativas. Esta combinación de tecnología avanzada y entornos distribuidos ha permitido que los ciberataques evolucionen en alcance, sofisticación y frecuencia”.

Tal y como indica Rubén López, director de Cloud y ciberseguridad en Making Science, los ataques han pasado de ser masivos y genéricos a ser dirigidos y específicos. “Los cibercriminales ahora aprovechan la inteligencia artificial para crear ataques más creíbles, como ‘spear phising’. Además, la proliferación de IoT y la adopción de arquitecturas híbridas han ampliado la superficie de ataque, fomentando tácticas como la explotación de vulnerabilidades de día cero y la inyección de código en plataformas en la nube”. Como señala Rubén López, para hacer frente a estas amenazas, “es esencial mantener los sistemas actualizados, segmentar las redes, implementar la autenticación multifactor, realizar copias de seguridad regulares, concienciar a los empleados y monitorear continuamente la actividad de la red”.

Chester Wisniewski, Director Field CTO en Sophos.

La motivación y objetivos de los ataques también han cambiado radicalmente. “Cojamos dos de los ciberataques más comunes y veamos cómo han cambiado”, propone Gina Sanjinés, directora de Negocio de Servicios, Iberia y Norte de Europa de Alcatel-Lucent Enterprise. Como detalla esta portavoz, si nos fijamos en el Phising, en la actualidad se caracteriza por enfocarse en el individuo. “Usa información específica de la persona objetivo del ataque para poder ser más eficaz, con detalles muy específicos. Como ejemplo, los atacantes se ayudan de toda la información personal que exponemos a través de redes sociales como Facebook, LinkedIn e incluso, de la IA generativa. En el caso del ransomware, se empezó por pedir rescates de sumas sin importancia, ataques esporádicos, a convertirse en una amenaza diaria y enfocada a conseguir recompensas sustanciales. Son ciberataques que hoy en día se efectúan en su gran mayoría por grupos de ciberdelincuentes con tácticas más complejas y de doble extorsión”.

Finalmente, Pablo Juan Mejía, director general Utimaco España&LATAM observa que, a medida que más organizaciones adoptan la autenticación multifactor (MFA), los atacantes se han adaptado y son capaces de implementar ataques de phishing de tipo adversario en el medio (AiTM) y de robo de tokens, para eludir las protecciones de MFA.

Ignacio Franzoni, Solutions Engineer Manager en Netskope.

Según Borja Pérez, Country Manager Stormshield Iberia, compañía que pertenece al grupo industrial Airbus, en 2024 se ha observado un incremento de ataques a la cadena de suministro. “Y esto es peligroso ya que, aunque una empresa cuente con políticas de seguridad muy bien definidas, la naturaleza interconectada de las cadenas de suministro ofrece una puerta de entrada hacia esas empresas, que son el objetivo final. Y esto lo hemos apreciado en diferentes sectores que, como banca, energía o servicios de telecomunicaciones, tradicionalmente han prestado mayor atención a la seguridad”.

Chester Wisniewski, Sophos, apunta a la educación, administración central y la sanidad como los sectores más afectados por el ransomware, debido a su dependencia de sistemas críticos y a menudo obsoletos, combinada con la sensibilidad de los datos que gestionan.

Como explica Wisniewsk, las instituciones educativas y los gobiernos operan a menudo con presupuestos de ciberseguridad limitados, lo que les hace vulnerables a los ataques. Por su parte, las instituciones sanitarias están especialmente en riesgo porque el ransomware interrumpe operaciones esenciales que salvan vidas, obligándolas a pagar rescates de manera rápida para restablecer los servicios. “Además, estos sectores manejan grandes cantidades de datos personales sensibles (registros de estudiantes, información de ciudadanos e historiales médicos de pacientes) que son valiosos para los atacantes. Los sistemas heredados y la falta de formación del personal en materia de ciberseguridad agravan estas vulnerabilidades, convirtiéndolos en objetivos atractivos. Los atacantes también aprovechan la presión pública y política sobre estos sectores para asegurarse el pago rápido de los rescates”, señala el portavoz de Sophos.

Por tanto, los sectores financiero, publico, energético y salud reúnen los principales requisitos para ser una diana. “Acceder a datos privados es uno de los mayores objetivos”, señala Gina Sanjinés, Alcatel-Lucent Enterprise. “Cuando un atacante se hace con el control de la información, la empresa tiene dos opciones, pagar el rescate o no hacerlo, y que esos datos se filtren y/o vendan en el mercado negro. Por una vía u otra, hay un beneficio para quien provoca el ataque”.

Rubén López, director de Cloud y ciberseguridad en Making Science.

Como comenta María Isabel Arias, Cybersecurity Business Director de Westcon, la evolución de las ciberamenazas ha obligado a la industria a adoptar tecnologías cada vez más avanzadas para prevenir, detectar y mitigar ataques. “En 2024, ciertas tecnologías han destacado por su capacidad para marcar la diferencia y redefinir la estrategia de seguridad en empresas de todos los tamaños. Estas herramientas no solo son defensivas, representan un cambio de paradigma hacia la anticipación de amenazas y la resiliencia operativa”.

Por ejemplo, señala María Isabel Arias, la inteligencia artificial se ha convertido en un componente esencial en las soluciones de ciberseguridad. “En España, muchas empresas están adoptando sistemas basados en IA para prevenir el fraude financiero y responder automáticamente a intentos de acceso no autorizados. Esta tecnología actúa como un radar que detecta amenazas incluso antes de que sean visibles para los equipos humanos”.

Como indica la portavoz de Westcon, el aprendizaje automático (machine learning) complementa esta funcionalidad al entrenar sistemas para aprender de cada interacción y mejorar con el tiempo. “Por ejemplo, una red de retail española ha implementado algoritmos de machine learning para protegerse contra ataque de phising dirigidos. El sistema detecta correos sospechosos basándose en patrones históricos y alerta a los usuarios antes de que puedan caer en el engaño”.

SASE (Secure Access Service Edge) es otra de las tecnologías que está revolucionando la ciberseguridad, especialmente en entornos empresariales remotos. “En un mundo donde el trabajo remoto y la movilidad son la norma, SASE combina la seguridad de la red y la protección de datos en un solo marco integrado”, explica María Isabel Arias.

Borja Pérez, Country Manager Stormshield Iberia.

María Isabel también hace referencia a Zero Trust, “un enfoque que elimina la confianza implícita en cualquier acceso a la red, verificando constantemente la identidad y la actividad de los usuarios”, y a tecnologías específicas como XDR (Extended Detection and Response), que están cambiando la forma en que las empresas abordan la detección de amenazas.

Asimismo, añade Javier Martín, Ayscom, “la automatización y la orquestación en respuesta a incidentes están acelerando la contención de amenazas, mientras que tecnologías como la criptografía cuántica emergen como barreras frente a futuros ataques avanzados. Estas innovaciones refuerzan la defensa proactiva en un panorama de amenazas en constante evolución”.

Gina Sanjinés, directora de Negocio de Servicios, Iberia y Norte de Europa de Alcatel-Lucent Enterprise.

En el mundo actual impulsado por la nube, las organizaciones se enfrentan a mayores desafíos de seguridad debido a la complejidad de gestionar el acceso a través de entorno híbridos y multi-nube. “Ante ello, uno de los puntos principales de la estrategia de ciberseguridad de Exclusive Networks está basado en la necesidad de dar respuestas para afrontar los riesgos en la protección que traen la migración a la nube, el teletrabajo o el BYOD, y la necesidad de implementar seguridad de base en las soluciones que proponemos como XDR (Extended Detection and Response), SD-WAN (Software-Defined Wide Area Network) y ZTNA (Zero Trust Network Access), explica Javier Jurado.

Como proveedores que facilitan esta integración multiCloud, "en ReeVo ofrecemos una gestión integral de entornos Cloud, On-premise y multiCloud, protegiendo y almacenando los datos corporativos en nuestra caja fuerte digital", señala Alessandro Siracusa, Head of Cyber Security en Reevo Cloud & Cyber Security.

En Making Science Cloud Security Operations Center (CSOC), son también especialistas en asegurar entornos cloud híbridos y multinube. “Comenzamos con una evaluación exhaustiva de la infraestructura, identificando vulnerabilidades y diseñando una estrategia de seguridad personalizada que se adapte a necesidades específicas. Implementamos controles de seguridad consistentes en las plataformas cloud, garantizando una visibilidad completa y una gestión unificada de las amenazas. Utilizamos herramientas avanzadas de Google Cloud y arquitecturas de monitoreo centralizado para detectar y responder a amenazas en tiempo real, minimizando el impacto en su negocio”, detalla Rubén López.

Más allá de cumplir con las normativas, transforman los datos de seguridad de sus clientes en una ventaja competitiva. “Optimizamos sus recursos, reducimos costos y mejoramos la eficiencia de su infraestructura cloud. Al estar a la vanguardia de las últimas tecnologías de Google Cloud, garantizamos una protección proactiva y adaptable a las amenazas emergentes. Nuestro enfoque personalizado asegura que cada cliente reciba una solución a medida, diseñada para satisfacer sus necesidades específicas y superar sus expectativas”.

María Isabel Arias, Cybersecurity Business Director de Westcon.

Y es que, como señala Cristina López San Mateo, marketing manager de Ingecom Ignition, la ciberseguridad ya cuenta con tecnología pensada para entornos híbridos y multinube, “de manera que este tipo de integraciones son relativamente sencillas. De hecho, se está detectando una tendencia por apostar por soluciones que permiten una única consola que agregue todos los datos de los diferentes proveedores de redes, seguridad y tecnología; y de todos los activos digitales de la empresa, tanto en la nube como en ‘on-premise’, permitiendo así visualizar la información de la compañía y tomar la decisión correcta ante un incidente haciéndolo en el menor tiempo posible”.

Ejemplo de ello es la plataforma Trend Vision One, que “se caracteriza por propiciar un único panel de control (Single Panel of Glass) que centraliza la visibilidad y gestión de todos los entornos a proteger ya sean endpoints, servidores, servicios Cloud, entornos OT, etc.”, comenta José de la Cruz.

En el caso de Kaspersky, indica Pedro Viana, “integramos nuestras soluciones de forma centralizada para proteger recursos distribuidos en nubes públicas, privadas y locales, garantizando la consistencia y efectividad de las políticas de seguridad.”

Cristina López San Mateo, marketing manager de Ingecom Ignition.

La concienciación de los usuarios es una pieza clave en cualquier estrategia de ciberseguridad, ya que el error humano sigue siendo una de las principales causas de incidentes.

“El phishing es, por ejemplo, un tipo de ataque de mucho éxito cuando un usuario no es cauteloso o está bien preparado para saber cómo detectar un email de phishing y no caer en la trampa”, observa Gina Sanjinés, Alcatel-Lucent Enterprise. “Es clave que todos seamos conscientes de que formamos un papel muy importante y también podemos actuar como barrera antes los ciberataques”, señala Sanjinés.

En este sentido, Netskope complemente su tecnología avanzada con funcionalidades de ‘coaching’ que ayudan a las organizaciones a educar a sus empleados sobre las mejores prácticas de seguridad y las amenazas emergentes. “Nuestras soluciones también permiten reforzar esta formación mediante políticas de seguridad contextuales, como bloquear accesos arriesgados o alertar a los usuarios en tiempo real sobre actividades inseguras. Al combinar tecnología con formación, ayudamos a construir una cultura organizaciones más resiliente frente a las amenazas”, explica Ignacio Franzoni.

Javier Jurado, director de Desarrollo de Negocio en Exclusive Network Iberia.

Por su parte, Chester Wisniewski, señala desde Sophos como la concienciación de los usuarios está cambiando de una estrategia preventiva a una función de detección. “Educar a los usuarios sobre las mejores prácticas en relación con los correos electrónicos y archivos adjuntos sospechosos sigue siendo una buena práctica, pero es poco probable que detecte los señuelos más sofisticados de hoy en día”, advierte. “Lo más importante es que los usuarios estén formados para informar cuando algo es inesperado o sospechoso, de modo que se pueda investigar y responder potencialmente a esas amenazas antes de que causen más daño. Las advertencias tempranas de los usuarios alertados pueden ayudar a proteger a aquellos usuarios menos sofisticados, así como poner en marcha una búsqueda de amenazas antes de que los atacantes sean capaces de explotar completamente sus sistemas”, indica Wisniewski.

“Sin embargo” -apunta Cristina López San Mateo, Ingecom Ignition- “una compañía no debe conformarse con aplicar una política de concienciación y formación entre los trabajadores y quedarse ahí, porque con el tiempo las personas se relajan y bajan la guardia, favoreciendo el éxito de un nuevo ciberataque. Es necesario emplear técnicas de CTF (Capture The Flag) con las que se mida el conocimiento que han adquirido los empleados y se valore hasta qué punto la formación impartida ha sido efectiva o no. Igualmente, hay que contar con formaciones periódicas de refresco y actualización de conocimientos, ” añade Cristina López.

Alessandro Siracusa, Head of Cyber Security en Reevo Cloud & Cyber Security.

El cumplimiento de normativas como NIS2 y DORA no solo representa un desafío para las empresas, sino también una oportunidad única para los partners del canal de ciberseguridad. “En Westcon, nuestra misión no es simplemente ayudar a nuestros partners a entender estas regulaciones, sino a convertirlas en oportunidades de negocio, aprovechando el conocimiento profundo que tenemos de las soluciones de nuestros fabricantes y las necesidades del mercado”, comenta María Isabel Arias. Para la portavoz de Westcon, el primer paso es la evangelización. “Organizamos sesiones específicas como encuentros Tech&Café y Tech&Beer, donde discutimos cómo estas normativas transforman el panorama de la ciberseguridad, y qué estrategias pueden adoptar los partners para generar nuevas oportunidades comerciales…”. “Además”, añade, “nuestros 3D Labs ofrecen una experiencia práctica e inmersiva. Aquí los partners pueden interactuar directamente con las tecnologías que ayudan a cumplir con los requisitos de NIS2 y DORA, como herramientas de gestión de riesgos, encriptación y controles de acceso avanzados”.

Por su lado, Pablo Juan Mejía, Utimaco, detalla que en su compañía ayudan igualmente a las empresas a cumplir con las regulaciones como NIS2 y DORA, brindando soluciones que mejora la ciberseguridad y generan ciberresilencia, principios básicos de estos marcos. “Nuestras ofertas incluyen cifrado de archivos y carpetas para proteger los datos en reposo y en movimiento, así como módulos de seguridad de hardware (HSM) que sirven como raíz de confianza para la generación y almacenamiento de claves en un entorno a prueba de manipulaciones. Nuestros HSM admiten aplicaciones como infraestructura de clave pública, firmas digitales y cifrado, protegiendo el material criptográfico sensible en varios sistemas”.

“ReeVo siempre ha estado pendiente de ofrecer los más altos estándares de seguridad y aplicando las certificaciones de calidad más estrictas en todo el ciclo de vida de nuestros servicios, procesos y centros de datos”, comenta por su parte Alessandro Siracusa. “En particular, ayudamos a manejar y reducir todos los riesgos de TIC. En el caso de NIS2 ofrecemos todo lo necesario para cumplir con el artículo 21: ‘Medidas de gestión de riesgos en materia de ciberseguridad’. En el caso de DORA, desarrollamos y mantenemos una estrategia documentada de gestión de riesgos de TIC, que incluye identificación de riesgos, planes de mitigación y actualizaciones periódicas en respuesta a los cambiantes panoramas de amenazas”.

Pablo Juan Mejía, director general Utimaco España&LATAM.

Para Javier Jurado, Exclusive Networks, en líneas generales, los retos a los que nos enfrentaremos en los próximos años serán similares a los de ahora. Desde el punto de vista tecnológico, “machine learning e inteligencia artificial seguirán transformando la ciberseguridad, al ser utilizadas tanto para mejorar las funcionalidades de las soluciones de seguridad, sobre todo en lo que tiene que ver con detección y respuesta frente a amenazas, como para potenciar las técnicas y tipos de ataque. Así, los ataques basados en IA generativa aumentarán, desde la producción de correos electrónicos de phishing y estafas de ingeniería social hasta la generación de código malicioso, malware y ransomware”, comenta Jurado.

“Un desafío crítico será la multiplicación de datos y datos sensibles en múltiples ubicaciones, desde dispositivos personales hasta entornos empresariales y en la nube, lo que amplía la superficie de ataque y dificulta la gestión y protección efectiva”, señala desde Netskope Ignacio Franzoni. “Además, la necesidad de ahorro de costes operativos será un factor clave, lo que impulsará la adopción de soluciones más eficientes y automatizadas”.

“Si lo analizamos por sectores, la banca y el sector público continuarán disputándose el liderazgo en materia de incidentes o ataques recibidos, pero seguidos de cerca del sector tecnológico pues las telecomunicaciones juegan un papel fundamental en los anteriores”, comenta por su parte José de la Cruz, Trend Micro Iberia.

Borja Pérez, Stormshield señala, además de a la IA, al uso de la computación cuántica como vía para facilitar la generación de ciberataques. “Aunque pueda tardar más en llegar, la computación cuántica va a tener un impacto tan grande o mayor que las IAs. Hay que tener en cuenta que lo que hoy se considera basura criptológica, según el RGPD, en un futuro puede dejar de serlo. Datos cifrados que han sido sustraídos pueden convertirse más adelante en información útil si los cibercriminales logran romper los algoritmos de cifrado actuales. A destacar que ya hay grupos de cibercriminales almacenando esa información cifrada para poder hacer uso de ella cuando se tenga capacidad de computación”.

Por otro lado, “la escasez de talento especializado en ciberseguridad dificulta la identificación y respuesta a las amenazas emergentes”, señala Rubén López, Making Science. “Las organizaciones deben invertir en la formación continua de sus equipos y en la adopción de soluciones automatizadas para compensar esta falta de recursos, ” advierte.

• Agilidad y seguridad: el impacto transformador de SecDevOps
• Ciberseguridad, una cuestión de resiliencia y confianza empresarial
• La ciberseguridad en el núcleo estratégico del negocio: cómo afrontan los defensores los nuevos desafíos
• La ciudad inteligente y la ciberseguridad: La cuestión del alumbrado público
• NDR: La clave para cumplir con DORA y reforzar la resiliencia operativa digital
• NIS2 se pone serio: cómo pueden las empresas crear rápidamente soluciones conformes
• Redefiniendo el concepto de Ciberseguridad
• SOC, el eje operativo clave para la ciberseguridad de las organizaciones