Se aproxima el fin de año 2021 y se impone una revisión del año en materia de Ciberseguridad y las proyecciones para el 2022.
Nuevamente, la Criptominería, el Phishing, los Troyanos y el Ransomware continúan siendo las amenazas activas predominantes. De estas amenazas la Criptominería genera la mayor cantidad de tráfico de Internet donde tres de cada cuatro empresas presentan actividad de Criptominería no deseada. En su forma más simple puede consumir recursos como ancho de banda o reducir la vida útil del hardware, pero cuando está basada en software se transforma en una plataforma potencial para actividades cibercriminales más importantes.
El Phishing es una de las modalidades de ataque más antigua, vigente y en los hechos increíblemente difícil de defender. ¿Por qué? Esencialmente, porque se basa en el componente más débil de la cadena de seguridad (el usuario) y los cibercriminales continúan innovando con ataques cada vez más inteligentes y sofisticados. Más allá del incremento de programas de concientización de seguridad, no es extraño que continúe siendo el vector de ataques presente en el 90% de las brechas de seguridad. Usualmente, los ataques de Phishing terminan con Ransomware, Criptominería, o robo de información. La pandemia ha explotado nuestra avidez por información y con ella la proliferación de sitios con temáticas asociadas, creados con el objetivo del robo de credenciales y descarga de malware que no dejan de renovarse como ocurre actualmente con la aparición de la variante Ómicron.
Durante la primera mitad del año se experimentó un incremento de los ataques de Ransomware de casi un 100% marcando una clara tendencia con numerosos casos mediáticos como Colonial Pipeline y JBS. Cada semana más de 1200 organizaciones en el mundo son víctimas de Ransomware.
El 2020 fue marcado por la doble extorsión de los ataques de Ransomware en la que la organización recibe una extorsión adicional por la no divulgación de la información recabada. Pero una característica del 2021 fue la aparición de la denominada triple extorsión. En esta práctica además de la extorsión a la organización víctima del Ransomware original, esta se hace extensiva a sus clientes o partners con la posibilidad de divulgar información sensible de los mismos.
Ya sea para la descarga de Troyanos como ocurrió con el incidente de SolarWinds o Ransomware para el caso de Kaseya, se ha popularizado el uso de cadenas de suministros como vector de ataque planteando nuevos desafíos y es algo que continuaremos observando en el futuro.
En la segunda mitad del 2021 los ataques de denegación de servicio distribuidos (DDoS) han marcado récords incluyendo nuevos vectores de ataque dentro de la categoría. También han aparecido cambios en las estrategias de este tipo de ataque con los denominados Ransom DDoS (RDDoS). En este caso un actor malicioso amenaza a una organización con un ataque distribuido de denegación de servicio y se están viendo particularmente en las FinTech. Las predicciones para el 2022 indican un aumento en ataques de DDoS generando una preocupación adicional la utilización de dispositivos de IoT conectados a Internet que puedan ser comprometidos y formar parte de botnets.
El cierre del año está marcado por la creciente explotación de la vulnerabilidad crítica Log4Shell en el servicio Log4j sobre servidores con software Apache. Permite la ejecución remota de los sistemas afectados con lo cual los atacantes pueden tomar control remoto siendo capaces de ampliar sus ataques en la red interna. Log4j es una librería de registro de logs que es ampliamente utilizada por muchos productos, servicios y componentes de Java. La vulnerabilidad tiene el puntaje máximo en la escala de severidad y por sus características podría transformarse en una de las vulnerabilidades de mayor impacto de los últimos años y claramente nos va a acompañar en el 2022. Esta explotación activa está siendo aprovechada inicialmente por mineros y botnets, pero es de esperar que se expanda a otros actores de amenazas sobre entidades financieras y ciberespionaje.
Con el impulso de transformación digital de los últimos años las organizaciones están cambiando sus negocios con la adopción de infraestructura de Nube, DevOps, microservicios y tecnologías de contenedores como Docker y Kubernetes. A esto hay que sumar la distribución de la fuerza laboral a ambientes de trabajos híbridos. En esta evolución a un ambiente que incluye infraestructura on-premise, virtual, Cloud, y contenedores los equipos de seguridad de las organizaciones se ven cada vez más desafiados en poder lidiar con los cambios en los riesgos, requerimientos de compliance, herramientas y arquitecturas que introducen las nuevas tecnologías. A modo de ejemplo la seguridad en la Nube es una responsabilidad compartida que usualmente conduce a gaps en la seguridad y un aumento en la complejidad de la gestión de los riesgos. Nuevos paradigmas como SASE y Zero Trust ayudan en este proceso, pero su adopción es lenta.
Ante este panorama es natural preguntarse qué medidas puede adoptar una organización para estar protegida. Lo primero a tener en cuenta es que una estrategia de Ciberseguridad debe incluir procesos, recursos humanos y tecnología. En términos de tecnología existen numerosas soluciones y controles disponibles, no obstante, estas soluciones deben estar orquestadas en una arquitectura permitiendo su interacción y no se debe pensar en términos de controles puntuales. Esta arquitectura debe estar respaldada por inteligencia de seguridad en la nube que permita tener visibilidad global de amenazas para detectar y responder rápidamente.
Sin embargo, si hay algo fundamental que nos está mostrando la realidad es que tenemos que considerar la Ciberseguridad no como una meta a alcanzar, sino como una actividad continua en la que aprendemos y adaptamos constantemente, porque eso es lo que hacen los cibercriminales.