VMware ofrece sus predicciones sobre ciberseguridad para 2023
2022 fue un año lleno de titulares sobre brechas de datos críticos y los ciberataques que han eclipsado los hitos de defensa que lograron los equipos de seguridad en todo el mundo. Aunque las empresas han ido actualizando sus tácticas de respuesta en consonancia con el aumento de la actividad ciberdelictiva, está claro que siguen luchando por proteger adecuadamente sus activos.
Solo en los últimos doce meses los ciberdelincuentes han atacado con éxito a grandes organizaciones de diversos sectores, como Toyota, que sufrió una filtración de datos después de que un tercero pudiera acceder a un servidor de la empresa con credenciales obtenidas a partir de un código fuente publicado en GitHub por un contratista externo. Cisco también confirmó un ciberataque después de que se comprometieran las credenciales de un empleado y se observara al atacante moverse lateralmente por el entorno.
“Estas brechas de seguridad debidas a estrategias de movimiento lateral, ataques masivos de phishing y ransomware sofisticado, han socavado sustancialmente la seguridad de la red, lo que ha provocado daños en la reputación de muchas empresas y, en última instancia, pérdida de confianza por parte de los clientes”, afirmaba Francisco Verdugo, Senior Partner Solution Engineer de VMware Iberia. “Después de lo ocurrido en 2022, se debe tener claro que, si bien es importante reconocer los numerosos éxitos de los equipos de seguridad, también es crucial extraer aprendizajes de estas brechas de alto perfil para evitar que la historia se repita”.
Para los equipos de ciberseguridad de VMware, la inversión en tecnología de respuesta, el movimiento lateral, los ataques agresivos a las API, el aumento de los deepfakes y la guerra cibernética serán los cinco retos clave para 2023:
- Los instintos de innovación hacen frente a las tácticas de evasión
La innovación en la respuesta a las amenazas ha sido el área de crecimiento más destacada del sector en 2022. El informe Global Incident Response Threat Report (GIRTR) de VMware descubrió que los profesionales de la ciberseguridad despliegan activamente nuevas técnicas, como la aplicación de parches virtuales, para dar respuesta a los incidentes y contrarrestar la actividad ciberdelictiva. Aunque los actuales actores de amenazas poseen una impresionante cartera de tácticas de evasión, el estudio reveló que la mayoría de los ciberdelincuentes siguen dentro del entorno objetivo sólo horas (43%) o minutos (26%) antes de que se investigue el ataque.
Dado que el tiempo de respuesta a las amenazas es fundamental para la defensa de la red, es crucial enfrentarse a los actores de amenazas sofisticadas a su nivel y así lograr proteger los sistemas. El uso de tácticas innovadoras para actualizar las técnicas de respuesta es el primer punto de referencia para detener las intenciones maliciosas antes de que se intensifiquen, y en el que hay que centrarse prioritariamente.
- El nuevo campo de batalla
No se puede detener lo que no se ve, y los casos de movimiento lateral dentro de un entorno representan un campo de batalla en constante expansión para los equipos de seguridad, puesto que representan una cuarta parte de todos los ataques notificados en el GIRTR de VMware. En 2022, las organizaciones han pasado por alto e infravalorado estas técnicas de infiltración. Solo en abril y mayo de 2022, casi la mitad de las intrusiones contenían un evento de movimiento lateral, y la mayoría implicaba el uso de herramientas de acceso remoto RAT o el uso de servicios existentes, como el protocolo de escritorio remoto RDP o PsExec.
En VMware preven que durante 2023 los ciberdelincuentes seguirán utilizando el protocolo de escritorio remoto para hacerse pasar por administradores de sistemas. A medida que nos adentramos en el nuevo año, los CISO deben priorizar la integración de EDR y NDR para defender los centros de datos, los puntos de acceso y las infraestructuras críticas que los hackers puedan infectar una vez que se superan las barreras externas.
- API no supervisadas
En 2023 continuará la evolución de las tácticas de acceso inicial a medida que los ciberdelincuentes intenten hacerse un hueco en las organizaciones. Uno de los principales objetivos de este tipo de acceso es llevar a cabo ataques agresivos a las API contra la infraestructura moderna y explotar las vulnerabilidades de la carga de trabajo dentro de un entorno.
La mayor parte del tráfico dentro de esas aplicaciones modernas suele ser tráfico de API no supervisado, lo que favorece el movimiento lateral y permite a los ciberdelincuentes seguir utilizando técnicas evasivas una vez dentro del entorno para desviar la detección en VDI, VM y aplicaciones tradicionales. Estas técnicas de acceso inicial serán cada vez más atractivas para los actores maliciosos, conscientes de las limitaciones de supervisión de las organizaciones, y detectarán posibles vulnerabilidades.
- Deepfakes
En 2022, los ataques deepfake se han disparado. Han pasado de la esfera del entretenimiento a los negocios y las empresas. De hecho, dos tercios (66%) de las empresas han declarado haber sido testigos de un ataque de deepfake en los últimos doce meses. Esta tecnología obliga a los equipos de seguridad a luchar contra la información falsa y el fraude de identidad, diseñados para comprometer la integridad y la reputación de una organización. Los ataques deepfake, identificados en el correo electrónico, la mensajería móvil, las grabaciones de voz y las redes sociales, son lo suficientemente flexibles como para convertirse en el arma preferida de los estafadores.
Este año se disparará el número de deepfakes. Las empresas deben tomar medidas proactivas para mitigar el riesgo de ser víctimas de estafas basadas en deepfakes mediante inversiones en software de detección y formación de los empleados para asegurarse de que son capaces de detectar este tipo de ataques.
- El gran botón rojo (digital)
Las infraestructuras críticas se enfrentan a un año de vulnerabilidad, puesto que los conjuntos de herramientas que utilicen los ciberdelincuentes se desarrollarán sin duda tras las fronteras. La mayoría (65%) de los encuestados en el GIRTR de VMware declararon un aumento de los ciberataques relacionados con la invasión rusa de Ucrania. La ofensiva digital de Rusia ha revelado una nueva era de guerra, diseñada para corromper servicios clave de la industria y paralizar infraestructuras como las redes eléctricas. La preparación de Ucrania para responder a las amenazas es vital para su defensa, y las tácticas cibernéticas se convertirán sin duda en un componente central de los conflictos armados modernos. La ciberguerra, por tanto, pone de relieve que la vigilancia es el quid de una estrategia de ciberseguridad eficaz.
Campo de entrenamiento de seguridad para 2023
Aunque llevamos ya un trimestre de año, el objetivo principal de los ciberdelincuentes seguirá con el mismo foco: hacerse con las llaves del reino, robar credenciales, moverse lateralmente, adquirir datos y luego monetizarlos.
Para mejorar la eficacia de la defensa en el futuro, los equipos de seguridad deben centrarse en proteger las cargas de trabajo de forma holística, inspeccionar el tráfico en banda, integrar NDR con EDR de detección y respuesta de puntos finales, adoptar los principios de Zero Trust y llevar a cabo una caza continua de amenazas.
Esta es la única ruta posible que tendrán que seguir las organizaciones para capacitar a los equipos de seguridad de tal forma que puedan afrontar los retos que se avecinan.