Si el 2021 va a ser un año tan sorprendente como lo fue el 2020, hace bien en preocuparse más por la ciberseguridad de su empresa.
Luego de este comentario usted seguramente ya sabe que voy a hablar sobre la pandemia y Covid-19. Es una realidad que, de hecho, ambas tienen un gran peso en las transformaciones que vivimos en 2020, principalmente las vinculadas a la seguridad digital de su empresa y clientes. De todas maneras, prometo ser breve.
Vamos directo al grano: la pandemia aumentó, y mucho, la superficie de ataque de la ciberdelincuencia. Un sinnúmero de empresas aceleró o se vieron obligadas a incluir el trabajo remoto como parte de su sistema y de los procesos de negocio, lo que aumentó la incorporación y la necesidad de utilizar servicios basados en la nube, de incorporar la comunicación en línea y de adoptar a la tecnología como un aliado para el día a día de los colaboradores.
Retrospectiva 2020: el año que va a marcar la historia
En el mundo
Zoom, el conocido software de videoconferencias, presentó problemas recurrentes de seguridad y se volvió el blanco para diversos ataques: los hackers lograron descifrar contraseñas de salas de reunión. Un ataque en particular llamó la atención: el "zoombombing", que consiste en la invasión e interrupción de reuniones para exponer contenido racista o inapropiado.
Más adelante, SolarWinds, empresa norteamericana de softwares de gestión de redes, fue hackeada mediante la inserción de códigos maliciosos en la última actualización de Orion, uno de sus principales productos.
La versión contaminada del software se distribuyó de abril a junio de 2020, y presentaba un backdoor para hacer posible el acceso de los hackers. SolarWinds está vinculada al gobierno norteamericano y a 400 de las 500 empresas millonarias de la lista Fortune 500.
Empresas como Microsoft y Google también sufrieron invasiones. Google, por ejemplo, observó cierta inestabilidad en el motor de búsqueda, en Gmail y en YouTube. Microsoft, por su parte, ayudó en la identificación de la manera en que se produjo el ataque de SolarWinds.
El modus operandi de la ciberdelincuencia en 2021
Es importante decir que muchos de los ataques, fraudes y golpes que se mencionarán a continuación no son grandes novedades, incluso nosotros ya hemos comentado sobre algunos de ellos a inicios de 2020, pero se espera que aumenten en cantidad y calidad, o sea, tendremos un mayor volumen de incidencia de estos tipos de ataques con una eficacia aumentada.
Un aspecto importante es que estos ataques más comunes, tales como el phishing, ransomwares, troyanos (el famoso caballo de Troya) y botnets se están volviendo cada vez más elaborados ya que se aprovechan de la tendencia de automatización que mejora su variedad, frecuencia y escalabilidad.
Recordemos un dato importante mencionado en diversos medios a mediados de 2019: se espera que el costo de lo ciberdelincuencia hasta 2021 sea de 6 trillones de dólares. Por eso, vamos a señalar las principales amenazas y puntos de atención para que su empresa pueda seguir trabajando el siguiente año.
1) Bring (Use) your Own Device
(Traiga o use su propio dispositivo)
Existe la tendencia de que el home office se establezca como el modelo principal de trabajo en gran parte de las empresas. Esto quiere decir que la superficie de ataque en constante crecimiento continúa en 2021.
La utilización de dispositivos personales en actividades relacionadas con el trabajo ya era una pauta instalada en lo que llamábamos BYOD, sigla en inglés que significa “Traiga o use su propio dispositivo”. Al trabajar en casa, la utilización del dispositivo propio genera menos fricción para el colaborador, pero a su vez aumenta las posibilidades de ataque para los hackers.
De esta manera, se hizo muy difícil para las empresas garantizar que sus colaboradores mantuviesen los mismos estándares de seguridad que existían dentro de la oficina. El uso de VPN se volvió casi obligatorio para acceder a sistemas internos, considerando que muchos funcionarios estaban trabajando con redes domésticas con baja seguridad o, incluso peor, desde lugares públicos.
Además, no todos los colaboradores de una empresa saben cómo activar de manera correcta el firewall de su máquina de trabajo.
Son cosas aparentemente pequeñas, pero en una empresa que emplea el trabajo remoto por primera vez y que ni siquiera había imaginado hacerlo, estos cambios pueden representar un gran problema al permitir que la ciberdelincuencia tenga fácil acceso a los dispositivos de casa, credenciales de emails, redes sociales y mucho más.
Además, las investigaciones señalan que el estrés y la distracción en el home office hacen que los colaboradores cometan más errores de ciberseguridad. Unos de los grandes errores, por ejemplo, es hacer clic en emails de phishing.
2) Phishing y smishing
El phishing es el crimen digital más utilizado por la ciberdelincuencia. Permeados por los fake news y la ansiedad generalizada relacionados con Covid, se dispararon los ataques de phishing que se utilizan en ingeniería social, principalmente ataques en WhatsApp que, de acuerdo con la investigación de PSafe, alcanzó a 2 millones de brasileros.
Solo en el segundo trimestre, observamos un aumento de 64,5 % en la incidencia de este tipo de ataque y 113 % en el acumulado de seis meses. El Black Friday también se transformó en una zona de guerra: nosotros identificamos 10 mil casos de phishing tan solo en la semana del 23 al 28 de noviembre. El viernes 27, solo en un día, se detectaron casi 2 mil casos.
Se prevé un aumento considerable del número de ataques efectuados con phishing, tomando en cuenta la inmensa utilización de emails y herramientas de comunicación instantánea en el día a día del trabajo.
Si bien por un lado esas herramientas hacen uso de inteligencia y brindan recomendaciones que ayudan a los usuarios a protegerse contra hackers y spam, por otro lado, la ciberdelincuencia es cada vez más hábil. De esta forma, veremos también un aumento en los ataques por WhatsApp, llamados “account takeover”. El smishing es la utilización de las mismas tácticas del phishing solo que mediante mensaje de texto. La tendencia es dejar de lado los emails y pasar a usar herramientas más personales, en las que los usuarios estén más propensos a confiar.
3) Cloud computing
Hoy en día, ¿quién no utiliza la nube? Muchas empresas que no estaban en la nube y utilizaban documentos físicos fueron obligados a contratar soluciones remotas que comparten en la nube.
Vamos a utilizar este término nuevamente: la superficie de ataque aumentó y, por lo tanto, las aplicaciones de servidores, el almacenamiento en la nube y los containers serán blancos destacados para la ciberdelincuencia, sin importar todos los protocolos de seguridad que grandes servidores como Google y Microsoft garanticen.
Es importante mencionar que el comportamiento de la ciberdelincuencia es buscar la facilidad, pero también los desafíos para tenerlos como “trofeos”. Esto quiere decir que dentro de los objetivos de alcance pueden estar tanto los pequeños servidores locales como los grandes nombres mundiales de cloud computing.
4) Internet de las cosas
Ni Marty McFly y el Doctor Brown (Regreso al futuro) podrían haber imaginado que tendríamos tanta cosa conectada a la internet: refrigeradores, cafeteras, asistentes virtuales, casas inteligentes, monitores de diabetes, y ni siquiera estamos nombrando los dispositivos industriales.
El aumento de la utilización de la IoT atrae cada vez más a los hackers y la ciberdelincuencia. Este interés se crea por el volumen de datos comportamentales generados, ya que estamos hablando de datos personales, financieros, sanitarios y educativos. Hasta la cafetera inteligente y los juguetes sexuales han sufrido invasiones. El ataque a dispositivos personales conectados puede redundar en un ataque con pedido de rescate por parte de la ciberdelincuencia.
5) Inteligencia artificial y grandes amenazas
Ya que estamos hablando de películas, en Yo robot, Will Smith no imaginaba que en 2020 sería posible utilizar la inteligencia artificial para beneficiar al crimen digital.
Se identificaron casos en que se utilizó la inteligencia artificial para crear algoritmos de identificación facial y encontrar fotos de rostros objetivo. Este puede ser una gran paso para la modalidad de spear phishing, que tiene blancos de ataque específicos, como por ejemplo, los ejecutivos.
Además, la creación de malwares y ransomwares puede atribuirse a la automatización basada en la IA, lo que, como ya dijimos, puede hacer que estos golpes evolucionen considerablemente en número y eficacia.
6) Fileless Malware
El Fileless Malware es un tipo de malware que está en una posición alta y la previsión es que no salga de ese ranking en todo 2021. Se ha producido una evolución a partir de los malwares y sniffers tradicionales que estamos acostumbrados a tener que enfrentar por aquí: una amenaza que no usa ningún tipo de archivo, que hace que los softwares y antivirus se vuelvan obsoletos cuando, en sus escaneos de la máquina, no encuentran el archivo .exe.
En las computadoras Windows, el Fileless Malware utiliza otros recursos para infectar las máquinas, como PowerShell, los protocolos .NET Framework y .NET Cora, donde el PowerShell se construye, sin hablar del famoso Regedit, el registro y base de datos con las configuraciones del propio sistema y de otras aplicaciones.
7) El creciente uso direccionado del ransomware
De acuerdo con el informe de Getapp, el 28 % de las empresas brasileras entrevistadas sufrieron un ataque de ransomware en 2020. De estas, 75 % optaron por pagar el rescate aunque violasen el código penal brasilero sobre pago de rescates a grupos criminales. Esto representa un aumento considerable en relación al año anterior.
Este número nos dice que el comportamiento va en aumento, y el hecho de que las empresas hayan cedido, de cierta forma, fue un premio a los autores de los ataques que únicamente reforzó la tasa de éxito de esta modalidad de ataque y la volvió más atractiva para la ciberdelincuencia. También se puede observar que la exfiltración y extorsión, modus operandi bastante conocido, que utiliza el robo de datos para presionar el pago del recate, también está en alza.
8) Credential Stuffing
Zoom y Spotify fueron grandes objetivos del credential stuffing en 2020. En Spotify se filtraron 350 mil credenciales, lo que fue una pésima noticia para quienes usan el mismo email y contraseña en diferentes logins.
Existe un gran movimiento para monetizar las contraseñas y credenciales filtradas o adquiridas ilegalmente. Se lo puede encontrar en sitios de la Surface, Deep y Dark Web donde se da el comercio de dichas credenciales.
Con la automatización y la intensificación del uso de bots, se espera que los números de filtraciones y credenciales robadas aumenten aún más en 2021, principalmente en el sector financiero. El propio FBI señala que 41 % de los ataques al segmento son casos de credential stuffing.
9) Deepfake
En los tiempos de la inteligencia artificial, con las herramientas correctas se puede defraudar prácticamente todo. Con eso en mente, es necesario alertar: el número de deepfakes creció un 84 % este año, principalmente debido a la evolución tecnológica de esas herramientas según Deeptrace Labs.
Deepfake es una “falsificación profunda”, bien elaborada, que utiliza la combinación de imágenes y sonidos mediante el machine learning. Incluso pueden realizar declaraciones oficiales de personas conocidas (como el propio Donald Trump “jugó” con la campaña de Biden en las elecciones norteamericanas) y hasta colocar a famosos y ejecutivos en imágenes inadecuadas o solicitar urgencia en algún depósito o transferencia de grandes valores.
10) Exposición de datos no intencional
Como vimos en el caso del Ministerio de salud, ambas filtraciones de datos fueron no intencionales. Por más que hayan podido divulgarse en plataformas que comúnmente utilizan los hackers y la ciberdelincuencia, no hubo intención de los portales del ministerio de exponer conscientemente esos datos. Se encontraron dos fallas en sus portales que fueron las causantes. Estas “pequeñas fallas” fueron sin duda la mayor violación de la privacidad de datos que hayamos vivido en el país.
Lo que quiero destacar aquí es que se trató solamente de dos fallas, pero esas simples dos fallas fueron las responsables de exponer no intencionalmente datos de todos los 210 millones de brasileros registrados en el SUS, además de 33 millones de brasileros adicionales, ya fallecidos.
Es importante entender que después de esta catástrofe, ninguna otra filtración será tan impactante. Por más que una empresa filtre el nombre y apellido, CPF, RG, nombre del padre y de la madre de sus clientes, no podrá ser responsabilizada porque esos datos ya están expuestos. La gravedad de esto es inmensa. En nuestro universo, consideramos que una filtración de 100 mil usuarios es algo impactante, imagine 243 millones.
La primera exposición es menor en número, fueron “solo” 16 millones de brasileros los que quedaron expuestos, pero fue mucho peor la profundidad de las informaciones: nombre completo, dirección y número de teléfono. Suficientes para causar estragos, ¿verdad? ¿Pero qué piensa sobre la información de la condición de la salud de esos pacientes? Historial de enfermedades, gestación y parientes relacionados. Todo lo que un ciberdelincuente necesita para abrir una cuenta en un banco, por ejemplo.
11) Data Privacy
No podemos dejar de mencionar que la seguridad y la protección de la privacidad de datos están pautadas. En Europa, con la GDPR (General Data Protection Regulamentation), en Estados Unidos con la CCAP (California Consumer Privacy Act) y en Brasil con la LGPD, la Ley general de protección de datos, se busca reglamentar cómo deben lidiar las empresas con la privacidad de sus clientes y usuarios, marcando incluso cómo se debe actuar en caso de infracción.
Hemos notado que en el mercado la preocupación es cada vez mayor respecto a la privacidad de los datos gestionados por las empresas. Ya no debe quedar una persona que nunca haya entrado a un sitio con el botón de “estoy de acuerdo de que este sitio analice mis cookies”, y los formularios con la opción de opt-in para boletines de información, emails promocionales, material educativo, etc. Prepárese para ver mucho más de esto y esté atento para entrar en esa tendencia. Es la contrapartida del número increíble de filtraciones de credenciales (login y contraseñas) de emails. Por ejemplo, en 2020, se filtraron más de 5 mil millones de emails y contraseñas, de acuerdo con el estudio de PSafe. Del total, 4 mil millones son de emails personales y más de 900 millones de cuentas corporativas.
Para proteger su empresa, tenemos otro punto importante: diversas instituciones de enseñanza están fomentando la formación de un nuevo (o no tan nuevo) tipo de profesional, el Data Protection Officer.
Tan importante como el CMO o el CFO de su empresa, este profesional será el guardián de los datos de su empresa y sus clientes, lo que ofrece una actitud mucho más activa en el asunto.
Esta es una necesidad urgente en Brasil, ya que los estudios indican que la chance de que sus datos se filtren en Brazil es de 43 %, comparados al 14 % de Alemania y el 17 % de Australia, países involucrados en la protección de datos y con culturas de seguridad de la información mejor estructuradas.
Entonces, ¿cuál es la manera de protegerse?
El mejor consejo en este caso es crear una cultura de ciberseguridad sólida en su empresa. Tenga en mente que, más que nunca, los datos de sus clientes son sumamente importantes y más atractivos para la ciberdelincuencia.
Sé que ya hablamos mucho sobre el asunto, pero quien alerta es amigo: los hackers van a aprovechar el escenario actual para encontrar vulnerabilidades en su empresa y las van a usar. Como sugerencia, tenemos algunos consejos para que usted y su empresa tomen precauciones:
- Utilice sistemas de computación cuya seguridad sea conocida al momento de compartir en la nube documentos corporativos.
- Haga que sus colaboradores utilicen administradores de contraseñas que, además de almacenarlas, sean responsables por generar contraseñas diferentes y fuertes para cada credencial.
- Monitoree su marca las 24 horas del día en busca de riesgos y amenazas virtuales. Además de prevenir que la reputación de su empresa se vea afectada en el mercado y a los ojos de sus clientes y clientes potenciales, los sistemas de detección automática del uso indebido de su marca en sitios, redes sociales y otros tipos de ataque ayudan a que su marca esté protegida de daños financieros que pueden producirse por millones de dólares.
- Asimismo, la automatización que estos sistemas traen aporta velocidad y escalabilidad en la detección, reacción y takedown de amenazas.
- Cree una política de seguridad digital fuerte en su empresa, con procedimientos y protocolos claros, y opte por enviar máquinas corporativas a sus colaboradores que ya cuenten con los procedimientos de seguridad necesarios. No todos son expertos en ciberseguridad.
- Actúe y opere en conformidad y atento a cualquier novedad sobre la ley de privacidad de datos. Las empresas que no se encuadren se verán fuertemente afectadas.
- Zero Trust: desconfíe de todo. Este concepto es crucial para elaborar una cultura de seguridad digital sólida, principalmente en las capas de la red.
- No subestime a la ciberdelincuencia. Su empresa no va a pasar desapercibida por ser demasiado grande o pequeña. Aunque tenga una startup o una pequeña empresa, desconfíe.
- Considere la idea de poner en práctica la idea del SOC, Security Operations Center o, en español, Centro de operaciones de seguridad. En el SOC podrá concentrar la prevención, detección, respuestas ágiles a incidentes y la identificación de vulnerabilidades.
El 2021 ya está aquí y viene con todo. Nuestro objetivo es ayudarlo a tener experiencias digitales más seguras. Siga el blog Deep Space para estar al tanto de lo último en seguridad digital.
Jornalista e entusiasta tecnológico. Acho interessante como a tecnologia e sua constante evolução remodelam nossa maneira de viver e interagir com o mundo ao nosso redor. Também sou músico e cozinheiro nas horas vagas.