La creciente inestabilidad geopolítica producto del conflicto entre Rusia y Ucrania, los ataques contra la disponibilidad y la nueva ola de hacktivismo y de ataques patrocinados por Estados en todo el mundo han marcado el panorama de amenazas de ciberseguridad de 2022, tal y como se desprende del Informe “Presente y futuro de la ciberseguridad en 2023” elaborado por el Equipo de Ciberseguridad de Seresco, compañía española especializada en soluciones tecnológicas, entre las que se encuentran los servicios de ciberseguridad para empresas.
Tras un año marcado, además, por otros componentes, como el fuerte repunte del malware, los altos niveles de ransomware, la ingeniería social y el phishing o el riesgo para las redes industriales y de corte operativo (redes OT), los expertos de ciberseguridad apuntan que 2023 continuará siendo desafiantes en la lucha contra el cibercrimen.
“Este año estará marcado por un aumento del número de intentos de ataque e intrusión, acompañando sin duda a todos los nuevos procesos de transformación digital y la adopción de nuevas tecnologías, pero que cuya base predominante de materialización será la facilidad y rapidez de éxito debido a la disposición de nuevas armas como la computación cuántica, las redes 5G, el malware como servicio, y los recursos de IA”, explica el informe del Equipo de Ciberseguridad de Seresco.
Índice de temas
2022: un año marcado por la inestabilidad geopolítica
- El conflicto entre Rusia y Ucraniaremodela el panorama de la ciberseguridad. Ha habido una concentración de ciberactividad en torno a acciones militares cinéticas, como preparación o complemento a ataques físicos de corte militar. Frecuentemente, esta actividad se ha centrado en ataques contra la disponibilidad, tanto de denegación de servicio como destructivos, hacia todo tipo de organismos e Infraestructuras Críticas.
- Aumento de las capacidades y de los actores de amenazas. Los ciberdelincuentes se valen de la divulgación de vulnerabilidades para encontrar debilidades adicionales, convertirlas en armas y explotarlas. Se ha producido el asentamiento del modelo de negocio conocido como Cybercrime as a Service (CaaS), siendo ya habitual la presencia de grupos o individuos que toman la figura de cibercriminal mercenario al servicio de quien necesite algún tipo recurso, bien o servicio ilícito.
- Los ataques contra la disponibilidad alcanzan en volumen al ransomware. Los ataques DDoS se sitúan ya en lo más alto, acompañando a los de ransomware, lo cual es un cambio notable respecto a años anteriores, cuando el ransomware despuntaba claramente respecto a todas las demás amenazas. Se ha visto también una evolución en las modalidades de extorsión derivadas de los ataques de ransomware.
- La ingeniería social y el phishing: el vector inicial por excelencia. El elevado volumen de casos de ingeniería social va a la par con su nivel de sofisticación, en concreto en lo referente al phishing. Cada vez son más sofisticados los métodos para conseguir engañar a las víctimas, y cada vez es más complejo no convertirse en una de ellas.
- El malware vuelve con fuerzas renovadas. Aumenta de nuevo su presencia, tras un detrimento temporal durante la COVID-19, esta vez asociado principalmente al sector de las criptomonedas, al sector móvil y al conocido como Internet de las Cosas (IoT).
- La Administración Pública es golpeada con fuerza. Gran número de incidentes dirigidos contra la Administración Pública y contra los proveedores de servicios gubernamentales y digitales. Esto último es de esperar dada la provisión horizontal de servicios para este sector y, por lo tanto, su impacto en muchos otros sectores.
Sofisticación de ataques y aprovechamiento de nuevas tecnologías
- Aumento de efectos e influencias geopolíticas en la ciberdelincuencia. A medida que aumenten las tensiones entre Oriente y Occidente, se sucederán gran cantidad de ataques contra la disponibilidad, tanto disruptivos como destructivos, a todo tipo de Infraestructuras Críticas, redes OT e instituciones gubernamentales. Los ataques de malware de tipo wiper irán en aumento, así aquellos dirigidos a la obtención de grandes cantidades de Inteligencia de Gobiernos y multinacionales.
- Proliferación de ataques a cadenas de suministro a gran escala. Aumentarán los ataques a proveedores de grandes servicios, como servidores de correo, alojamientos en la nube, desarrolladores de software o suministros digitales. Con ello, en lugar de afectar a una única víctima, los atacantes accederán a dichos proveedores para alcanzar múltiples objetivos dentro de su red.
- Mayor volumen y sofisticación de malware. Se prevé la difusión de malware maleable y adaptable a cada escenario, pudiendo realizar cambios de código para evadir su detección, del mismo modo que los virus biológicos mutan para pasar inadvertidos por un sistema inmunológico que estaba preparado para detectar y combatir anteriores cepas. Aparecerán alternativas de elementos maliciosos con nuevas capacidades y técnicas de evasión más avanzadas.
- El robo de datos se centrará en la nube y en las cookies. Habiendo generalizado el uso de la nube, aumentado así la superficie de ataque y relegando la seguridad a un segundo plano, es inevitable percibir aquí una tendencia mantenida al alza a corto y medio plazo. Igualmente, los ataques para capturar cookies se están volviendo cada vez más sofisticados, siendo un vector que permite eludir la autenticación multifactor (MFA).
- El cibercrimen como modelo de negocio (CaaS) aumentará. Ha demostrado ya que algunas de sus modalidades, como IAB, MaaS y RaaS, han estado realmente presentes durante este periodo. El acceso a las nuevas tecnologías facilitará la proliferación de nuevos ciberdelincuentes que podrán navegar por mercados ilícitos para hacerse con todo tipo datos, servicios o material listo para usar.
- Cuidado con la ingeniería social, especialmente con el phishing. Habrá cada vez señuelos más elaborados, y la falsificación de comunicaciones y sitios oficiales (spoofing) será muchas veces difícilmente reconocible. El fenómeno irá dirigido, en gran medida, a comprometer las credenciales de acceso de las víctimas y a eludir los sistemas MFA.
- Las IA jugarán un papel importante. La calidad del código producido por una IA depende del código con la que se la alimente y de la corrección de las órdenes que se le trasladen. Por ello, el desarrollador continúa ejerciendo un papel clave, pudiendo producirse un aumento de vulnerabilidades si éste no toma la atención necesaria.
- PYMES y Administración Pública Regional y Local: mayor vulnerabilidad percibida. Continuarán los ataques recurrentes a la Administración Pública, pero con un foco aumentado en las pequeñas Administraciones, tales como Ayuntamientos. De modo análogo, se verá un creciente interés por empresas y negocios de menor tamaño al habitual, debido a la mayor vulnerabilidad percibida en ellas.
- Focalización en redes OT, dispositivos móviles e IoT. El acercamiento de redes OT a redes IT traerá consigo un gran torrente de nuevas vulnerabilidades, lo cual se verá acentuado por el gran número de controladores industriales (ICS) obsoletos en cuanto a parches de ciberseguridad se refiere. Igualmente, generalizado el uso de dispositivos móviles e IoT, y aprovechando habituales deficiencias de configuración y obsolescencia de los mismos, serán un objetivo habitualmente amenazado.
- Avalanchas de desinformación y deepfakes. Con el continuo aumento en la cantidad de datos e información que se manejan por Internet, por las redes sociales y por los medios de comunicación, crecerá el número de focos de desinformación para aumentar audiencias o empujar la opinión social en determinados temas. El incremento en implementaciones de las IA y en recursos tecnológicos harán, por su parte, que los deepfakes sean cada vez más sofisticados, numerosos, convincentes y efectivos.