Las 6 principales tendencias en ciberseguridad en 2024

Ahora, las organizaciones y las empresas utilizan la IA para mejorar sus sistemas de detección de malware y sus protocolos de ciberseguridad... Sin embargo, los hackers y los malos actores también se mantienen al día de las últimas actualizaciones del sector y, por lo tanto, el reconocimiento de vulnerabilidades, su explotación y las amenazas de ciberseguridad asociadas a ellas han evolucionado.

Dicho esto, exploremos las 5 principales tendencias en ciberseguridad para 2024.

​1. Avances en la sofisticación de los vectores de ataque

Basándonos en nuestra experiencia, han surgido nuevos tipos y vectores de ciberataques. Conocer los tipos de amenazas posibles puede prevenir la explotación de las vulnerabilidades del sistema. Los nuevos ciberataques siguen los protocolos de los exploits técnicos y la planificación social centralizada.

Los tipos de ataques y sus vectores potenciales son los siguientes.

Ataques de ransomware

El ransomware es un tipo de software malicioso diseñado para impedir la autenticación y restringir el acceso de los usuarios a determinados archivos. La restricción se plantea a través de protocolos de cifrado.

Los ataques de ransomware suelen implicar la exigencia de un pago por permitir el acceso a los archivos, a menudo con el propósito de obtener beneficios económicos.

La "moda" de los ataques de ransomware comenzó en 2017 con el ataque mundial de ransomware WannaCry. Ahora, este tipo de ataque sigue resurgiendo y amenazando infraestructuras críticas y empresas conocidas mediante la combinación de exploits técnicos e ingeniería social.

Varios tipos de ransomware pueden ser utilizados para llevar a cabo los ataques, incluyendo:

• Bloqueadores de pantalla, que son programas que no permiten al usuario acceder a los datos y exigen pagos para continuar.
• Scareware, que muestra un falso mensaje de advertencia notificando que se ha detectado algún tipo de virus.
• Extorsión DDoS, que crea la amenaza de lanzar un ataque DDoS.

Éstas son sólo algunas de las formas más comunes de llevar a cabo ataques de ransomware. Este tipo de ataque sigue siendo una de las amenazas más extendidas para la ciberseguridad.

Amenazas dirigidas a puntos finales

Las amenazas dirigidas a puntos finales incluyen acciones dirigidas a personas que trabajan en empresas objetivo y la posible "infección de malware" no intencionada de los sistemas corporativos llevada a cabo por sus manos. Puede consistir en dejar una unidad USB con software malicioso, con la esperanza de que alguien la encuentre y sienta la curiosidad suficiente para explorar su contenido a través de la red corporativa; de esta forma, los atacantes consiguen los datos sensibles de la organización.

Los ataques a puntos finales a veces implican un dispositivo portátil entregado y dejado cerca de la infraestructura física de la organización. Este tipo de amenaza de ciberseguridad es difícil de ejecutar porque puede ser costoso, arriesgado para los propios atacantes y consumir muchos recursos si se lleva a cabo de forma remota.

Este tipo de ataque también puede llevarse a cabo de otra forma. Los atacantes que intentan plantear amenazas dirigidas también utilizan la ingeniería social para comprometer los puntos finales de los usuarios: puede parecer que envían correos electrónicos a direcciones corporativas para comprometer los puntos finales de los usuarios. Este tipo de ataque es mucho más fácil de ejecutar (incluso de forma remota); además, es más asequible, ya que se pueden dirigir las amenazas a varios usuarios a la vez durante distintos periodos.

Aunque la ejecución real de los ataques puede variar en su forma, siempre se dirige a dispositivos privilegiados, como ordenadores, teléfonos o dispositivos IoT.

Ataques basados en la identidad

Los ataques basados en la identidad aprovechan las vulnerabilidades relacionadas con la propia identidad, la autenticación y otros datos sensibles o procesos personalizados.

Este tipo de ataque está dirigido a obtener acceso a datos personales y luego amenazar con revelarlos. Los ataques basados en la identidad pueden llevarse a cabo mediante el robo de identidad, el phishing y los ataques a los sistemas SSO y los protocolos MFA.

Ataques a la nube

Los ataques a la nube se dirigen a algoritmos de autenticación débiles o defectuosos para acceder a los depósitos en la nube e intervenir en su funcionamiento.

También merecen atención los ataques al almacenamiento en la nube, que tienen su origen en la explotación de los servicios de almacenamiento. Su concepto implica desplazar el foco de atención de los puntos finales y dirigirse a los servicios de la red en la nube.

Recientes ataques a la nube consistieron en la difusión de herramientas a través de canales de Telegram, que expusieron datos de autorización de la nube.

Los ataques a la nube han ido en aumento últimamente, y la razón más común para emitirlos es la posibilidad de obtener beneficios económicos. Y la forma en que se están emitiendo demuestra que todo el panorama de las amenazas a la ciberseguridad está evolucionando junto con las innovaciones en el frente tecnológico.

​2. Integración del aprendizaje automático y la IA en los ciberataques

La inteligencia artificial agilizó las transformaciones en la forma de integrar la tecnología en diferentes ámbitos, algunos de los cuales son cruciales para nuestra vida cotidiana, como, por ejemplo, la sanidad. Pero por mucho que afecte a todo lo demás, la IA, quizás, es la que más ha impulsado la ciberseguridad.

La IA sigue evolucionando, al igual que las ciberamenazas, y los malos actores explotan ahora las capacidades de la IA. El aprendizaje automático puede ayudar a detectar y aprovechar las vulnerabilidades del sistema, y a identificar patrones de software. Por ejemplo, los ataques de phishing realizados mediante IA pueden incluir mensajes increíblemente convincentes mediante el análisis de patrones de comunicación.

Por inquietante que pueda parecer, la IA también ayuda a integrar mecanismos de seguridad avanzados para reforzar su defensa. El aprendizaje automático puede ayudar a analizar posibles amenazas y patrones de ataque, predecir vectores de ataque y habilitar alertas para reaccionar con mayor rapidez e implementar estrategias de defensa.

3. La adopción de estrategias de proveedores de seguridad consolidadas

Dado que el abanico potencial de ciberataques crece continuamente, las empresas que utilizan muchas (o demasiadas) aplicaciones se exponen a un mayor riesgo de ciberintrusión debido a la complejidad de la gestión de las aplicaciones y a una cobertura de seguridad insuficiente.

Como estrategia de seguridad óptima, se recomienda encarecidamente a las empresas que apliquen una gestión continua de las amenazas, lo que implica una evaluación ampliada de las amenazas potenciales. Según nuestra experiencia, esto, a su vez, puede facilitar la gestión entre plataformas, una amplia cobertura y una estrategia de seguridad coherente, así como una respuesta eficaz a las amenazas para la seguridad.

​4. La aparición del ransomware 2.0

El ransomware 2.0 es el siguiente nivel de evolución del ransomware que incluye mejoras utilizando las últimas innovaciones, en la técnica de los ataques, y su mayor personalización.

El ransomware 2.0 no sólo cifra los datos para su posterior explotación, sino que también se adapta a patrones de comportamiento, filtra los datos sensibles antes de cifrarlos y, en general, crea tácticas de ataque más meditadas.

He aquí cómo se llevan a cabo los ataques de ransomware 2.0:

• Acceso y robo de datos

Los ataques comienzan con el uso de diversos métodos como phishing, malware y software comprometido para acceder al sistema. A continuación se roban datos críticos, que incluso pueden filtrarse de antemano.

• Cifrar y restringir el acceso a los datos

Una vez que los atacantes se hacen con los datos sensibles, los cifran de forma que sea imposible utilizarlos o acceder a ellos. En este escenario, el cifrado se realiza de forma que sólo los propios atacantes pueden recuperar el acceso a los datos.

Los usuarios suelen recibir notificaciones sobre el bloqueo del acceso junto con la exigencia de un pago (a menudo en criptomoneda) por la clave de descifrado o por no filtrar los datos.

• Extorsión de la presión

Este aspecto es lo que significa "2.0" en "Ransomware 2.0", y es la doble extorsión y la doble presión. No sólo un usuario individual sufre el estrés de que sus datos confidenciales se vean comprometidos, sino que también se arriesga, como afirman los atacantes, a que se hagan públicos. Junto a ello, los ataques de ransomware 2.0 a menudo implican copiar los datos a otra ubicación antes de cifrarlos.

Cuando se trata de empresas, la divulgación de datos corporativos puede dañar la reputación de la empresa y acarrear pérdidas financieras y consecuencias legales.

• Pago y posible recuperación de datos

Queremos hacer hincapié en que no hay ninguna garantía de que sus datos se recuperarán después de completar el pago exigido.

Según lo que hemos observado, la mayoría de los estafadores exigen que el pago se emita a la criptocartera. Una vez realizado el pago, los malhechores afirman que le darán la clave de descifrado que podría recuperar el acceso a los datos.

Sin embargo, no hay garantía de que sus datos no hayan sido transferidos a otro dispositivo o espacio de almacenamiento, o que no se hayan filtrado ya.

Todo esto demuestra que el ransomware 2.0 es una amenaza grave, y que deben aplicarse las mejores prácticas de ciberseguridad para prevenir el ataque o poder defender tus datos tras el incidente.

Estadísticas sobre ataques de ransomware 2.0

Panda Security ha informado de un reciente aumento de los ataques de ransomware con doble extorsión. En concreto, la incidencia del traslado de datos a otros dispositivos o espacios digitales ha aumentado como manifestación de la evolución de los ataques de ransomware. Los malos actores no sólo piden un rescate por una clave de descifrado de datos, sino que también exigen un pago como medida preventiva para no filtrar los datos copiados de los usuarios de las organizaciones. Así se crea el contexto de la doble extorsión.

Entre los ataques de ransomware más destacados de 2023 se encuentra la actividad del grupo LAPSU$, que atacó a Microsoft, Uber y Nvidia y luego liberó los datos robados una vez que no se cumplió la petición de rescate.

Cuando se trata de protegerse contra los ataques de ransomware, métodos como las copias de seguridad y los protocolos de recuperación ya no son suficientes para evitar la amenaza. La principal preocupación aquí es que los grupos de ransomware están construyendo un negocio sobre los ataques en la web oscura, donde los ciberdelincuentes pueden comprar toda la infraestructura de ransomware y luego utilizarla para dirigir ciberataques. Esto demuestra que el panorama del ransomware se ha ampliado con muchas complejidades maliciosas posiblemente plantadas a través de plataformas de buena reputación. Así pues, la forma en que las empresas y organizaciones abordan los ataques de ransomware 2.0 debe caracterizarse por su seriedad y amplia cobertura.

5. Cómo aprovechar la infraestructura de trabajo a distancia

El trabajo a distancia se ha convertido desde hace tiempo en un aspecto habitual de la vida cotidiana. Muchas empresas utilizan plataformas y herramientas para proporcionar acceso remoto a sus empleados, y a menudo los algoritmos de acceso remoto se convierten en objetivo de ciberataques. Un ejemplo de vulnerabilidad asociada al acceso remoto puede ser la vulnerabilidad de Citrix.

Recientemente, se han publicado recomendaciones para prevenir la explotación de una vulnerabilidad específica - CVE-2023-3519, que se originó en NetScaler Application Delivery Controller y NetScaler Gateway de Citrix. Debido a esta vulnerabilidad, Citrix NetScaler fue objeto de ataques durante casi tres meses, y el fallo no pudo solucionarse completamente con las prácticas de seguridad habituales.

El grupo de ransomware LockBit 3.0, supuestamente con sede en Rusia, lanzó un ataque contra la corporación internacional Boeing, y otras empresas explotando la vulgaridad en el software de Citrix. El grupo fue capaz de saltarse los mecanismos de autenticación e infiltrarse en las sesiones de los usuarios.

Familiarizarse con casos como éste puede ayudar a su organización a navegar y detectar las vulnerabilidades en sus entornos de trabajo remotos.

6. Amenazas crecientes en el ámbito de los ataques a la IO

En 2023, según los informes de SonicWall, se produjeron más de 77 millones de ataques, es decir, 20 millones más que en 2022, algunos de ellos dirigidos contra dispositivos IoT. Por lo tanto, la seguridad de IoT es un tema aparte que merece atención.

Las tendencias de ciberseguridad que se espera que surjan en el contexto de los dispositivos IoT incluyen mejores protocolos de autenticación y cifrado y políticas de acceso. Con ello, el refuerzo de la seguridad en todo el sector IoT puede suponer una gran diferencia, ya que los intercambios de datos entre dispositivos IoT serán más seguros y estarán protegidos frente a la posibilidad de cualquier ataque.

Lo que puede hacerse además para mejorar la seguridad es integrar la computación de borde en las estructuras de IoT. Los dispositivos periféricos pueden procesar datos localmente sin necesidad de transferencias regulares o frecuentes a través de la red.

También se prevé que el aspecto de la ciberseguridad se vea en el enfoque del diseño y desarrollo de los dispositivos IoT. La aplicación de principios de seguridad por diseño en el diseño del dispositivo reduce la cantidad de vulnerabilidades a su mínima expresión.

​Resumen

Adaptarse a los nuevos fundamentos de la ciberseguridad no es fácil, especialmente con los avances tecnológicos que se presentan con tanta frecuencia hoy en día. Sin embargo, hay que recordar que a medida que la tecnología se vuelve más sofisticada, los malos actores se vuelven más listos a la hora de explotarla.

Por lo tanto, para ir por delante de ellos no hay que descuidar el seguimiento de las tendencias en ciberseguridad ni dudar en ponerlas en práctica. Nunca se sabe hacia dónde se dirigirá el próximo ataque, pero puede predecirse en cierta medida. La cuestión es proteger suficientemente su organización y asegurarse de que sigue las últimas tendencias en ciberseguridad.