Symantec Security Response ha publicado un post en el blog analizando algunos de los desarrollos más importantes en el campo de la seguridad online a lo largo del año pasado, lo que hemos aprendido (o lo que deberíamos haber aprendido) de ellos y lo que presagian para este año recién estrenado.
Por otro lado, los principales expertos en seguridad de Symantec en Europa, Oriente Medio y África nos dan algunas claves de lo que ellos creen que nos deparará 2015. A tener en cuenta:
- Los métodos de pago electrónico estarán en el punto de mira
Vender en el mercado negro una tarjeta de crédito robada o los datos de la tarjeta de débito es un negocio muy lucrativo para los ciberdelincuentes. Dado que el sistema de chip y pin utilizado en la mayoría de tarjetas europeas ofrece una mayor seguridad que el de las tarjetas de banda magnética, es poco probable que veamos ataques a gran escala para obtener datos de pago de los clientes dirigidos a sistemas en el punto de venta (POS) que usan tarjetas con chip y pin. Sin embargo, las tarjetas con chip y pin (conocidas como “EMV” por las siglas de Europay, MasterCard y VISA) también son susceptibles de un uso fraudulento en las compras online.
Además, los métodos de pago sin contacto que utilizan la tecnología Near Field Communications (NFC) experimentarán probablemente este año un incremento en la adopción por parte de los consumidores, especialmente debido a que cada vez más smartphones soportan el estándar NFC. Los habitantes de grandes ciudades como Londres utilizan ya diariamente la tecnología NFC para pagar el transporte público. En los próximos 12 meses, los pagos sin contacto dejarán de ser una tendencia creciente y se convertirán en la norma para los consumidores de algunos mercados europeos.
Aunque los sistemas NFC son más seguros que las bandas magnéticas, se mantiene la posibilidad de que los hackers los exploten, aunque esto requeriría que los ciberdelincuentes se dirigiesen contra tarjetas individuales y nunca resultaría en brechas de seguridad o robos a gran escala como los que hemos visto en Estados Unidos. No obstante, la tecnología de pago utilizada no protegerá frente a los comerciantes que no estén almacenando los datos de las tarjetas de forma segura, por lo que se deberá mantener la vigilancia sobre la protección de los datos almacenados.
Candid Wüest, investigador de amenazas en Symantec Security Response
- Los ataques coordinados de ciberespionaje y cibersabotaje no muestran signos de decrecimiento en 2015
Las campañas de ciberespionaje y cibersabotaje apoyadas por determinados Estados, como las que vimos con DragonFly y Turla, respectivamente, en 2014, continuarán poniendo en riesgo en 2015 las infraestructuras críticas nacionales y la propiedad intelectual.
Dragonfly y Turla son solo un par de ejemplos de entre las muchas campañas de espionaje que vemos continuamente. Se trata de un problema global que no muestra signos de agotamiento, con ataques como el de Sandworm, que aprovecha las vulnerabilidades de día-cero para propagar programas backdoor (que abren “puertas traseras”).
Orla Cox, Symantec Security Response
Dado que este tipo de campañas están diseñadas para minar la inteligencia y sabotear las operaciones, las organizaciones (incluyendo las del sector público) reconsiderarán su postura de ciberseguridad actual y harán de la seguridad una prioridad de inversión. La seguridad se convertirá así en una inversión estratégica, en lugar de táctica, diseñada no solo para protegerse frente a intrusiones sino también para detectarla una vez que la intrusión ha tenido lugar, permitiendo a la organización responder de forma apropiada. También veremos proveedores de seguros que empezarán a ofrecer a las organizaciones soluciones de protección cibernética, un fenómeno que crecerá rápidamente en 2015.
Laurent Heslault, director en EMEA de Security Strategies
- Los sectores público y privado mejorarán la colaboración para combatir el cibercrimen
Vayamos ahora con algunas buenas noticias: con los recientes ataques internacionales, como los dirigidos Gameover, Zeus, Cryptolocker y Blackshades, 2014 ha sido testigo de cómo los equipos y fuerzas de seguridad adoptaban una postura más activa y agresiva contra el cibercrimen, incrementando la colaboración con la industria de seguridad online. Symantec ha firmado recientemente un acuerdo MoU con Europol para continuar coordinando sus esfuerzos. Aunque este ha sido un paso positivo para proteger a consumidores y empresas, la realidad es que el cibercrimen no desaparecerá de un día para otro. Tanto el sector privado como las fuerzas de seguridad continuarán colaborando en 2015 con el fin de lograr un impacto duradero y detener los planes de ataque de los ciberdelincuentes.
Orla Cox, Symantec Security Response
- Retos de cumplimiento normativo para las empresas de la UE, conforme se acerca la adopción de la legislación sobre protección de datos
En 2015 veremos un foco y preocupación continuos sobre la privacidad y el uso de la información, puesto que la UE tiene previsto implementar su nueva normativa sobre protección de datos.
Con la expansión de Internet y el creciente número de dispositivos conectados que recogen y correlacionan datos, existe una enorme cantidad de información ahí fuera (se espera que ronde los 10 ZB en 2015, de hecho) que necesita ser adecuadamente protegida y gestionada. Uno de los principales retos para las empresas de la UE será saber dónde están ubicados todos sus datos y qué está pasando con la información que contienen. El aumento de adopción del cloud computing supone que muchas empresas realmente no saben dónde están todos sus activos de datos y, de cara a recuperar la confianza de los consumidores tras las revelaciones de la NSA, las empresas tienen una necesidad y responsabilidad crecientes de saber qué es lo que ocurre exactamente con la información que guardan.
Las organizaciones deberán hacer frente a nuevos desafíos en 2015, obligadas a hacer malabarismos para garantizar el cumplimiento de las nuevas regulaciones al mismo tiempo que siguen el ritmo de la economía mundial utilizando las vastas cantidades de datos existentes para impulsar nuevos servicios y fuentes de ingresos.
Sian John, responsable de Security Strategist en EMEA
- Las plataformas de código abierto serán un flanco débil en 2015
2015 traerá nuevas vulnerabilidades descubiertas en las bases de datos y plataformas de servicios web de código abierto, y también veremos cómo los hackers explotan estas vulnerabilidades impunemente. Como ocurrió con Heartbleed y Shellshock/ Bash Bug, estas vulnerabilidades representan potencialmente una nueva área para los atacantes. No obstante, el mayor riesgo sigue ligado a las vulnerabilidades ya conocidas, pese a lo cual ni las organizaciones ni los consumidores aplican los parches correctivos.
Candid Wüest, investigador de amenazas en Symantec Security Response
- El Internet de las Cosas (IoT) seguirá siendo el Internet de las Vulnerabilidades, pero los ataques serán limitados y aislados
Con el IoT generando grandes cantidades de datos, seguiremos viendo ejemplos de cómo los ciberdelincuentes pueden explotar las vulnerabilidades de software en los dispositivos conectados, incluyendo la tecnología wearable, los dispositivos domésticos conectados, como los televisores inteligentes y los routers (¿se acuerdan de los monitores de bebés del año pasado?) y las aplicaciones en los nuevos coches conectados. Es decir, no veremos ataques a gran escala contra los dispositivos IoT, sino ataques aislados.
Candid Wüest, investigador de amenazas en Symantec Security Response
- Las organizaciones se darán cuenta de que el tradicional sistema de registro/contraseña hoy ya no sirve
A finales de verano de 2014, saltó la noticia de que los perfiles de varias famosas en Estados Unidos habían sido hackeados y sus fotos posando desnudas habían sido robadas y publicadas online. Enseguida, Apple lanzó un comunicado en el que decía que “tras más de 40 horas de investigación, hemos descubierto que determinadas cuentas de famosas se han visto comprometidas por un ataque dirigido contra nombres de usuario, contraseñas y preguntas de seguridad, una práctica muy extendida en Internet”.
Las contraseñas tienen muchos puntos débiles, pero normalmente pueden agruparse en tres problemas generales:
- Las personas utilizan contraseñas débiles que pueden adivinarse fácilmente –por ejemplo, “contraseña” o “123456”- o utilizan la misma contraseña para múltiples sitios, lo que significa que, si los ciberdelincuentes hackean una de tus cuentas online, tendrán también acceso a las otras.
- Los mecanismos para recuperar las contraseñas son defectuosos. Si pierdes u olvidas una contraseña, el método tradicional para recuperarla es contestar a preguntas de las que solo tú, el propietario real, debería saber la respuesta. Desafortunadamente, las respuestas a estas preguntas a menudo pueden deducirse de la información que puede encontrarse online fácilmente (especialmente, dada la proclividad de la gente a “compartir en exceso” en las redes sociales).
- Los ataques de phishing, con los que los usuarios dan directamente a los hackers sus claves, involuntariamente y bajo engaño.
Mientras las organizaciones intentan encontrar formas de acabar con las brechas de seguridad y proteger a sus usuarios finales, la buena noticia es que estamos empezando a ver alternativas al viejo sistema, incluyendo la autenticación de doble factor (2FA), que requiere no solo algo que el propietario real debería saber (por ejemplo, la contraseña) sino también algo que solo él tiene (por ejemplo, su teléfono móvil). Sin embargo, conforme cada servicio empiece a implementar este tipo de medidas, los consumidores dependerán cada vez más de diferentes aplicaciones, números de teléfono y preguntas de seguridad (y, además, en múltiples plataformas), y les será cada día más difícil mantener todo en orden.
Laurence Pitt, director de Seguridad de la Información en EMEA, y Paul Wood, director de Inteligencia de Ciberseguridad en Symantec