Mcafee predice las tendencias en ciberamenazas que asolarán a usuarios y compañías en 2020

1. Capacidades más amplias de Deepfakes para los actores de amenazas menos cualificados.
2. Adversarios para generar Deepfakes para evitar el reconocimiento facial.
3. Ataques de Ransomware para transformarse en campañas de extorsión en dos etapas.
4. Las interfaces de programación de aplicaciones (API) serán expuestas como el enlace más débil que conduce a amenazas nativas de la nube.
5. DevSecOps aumentará su importancia a medida que el crecimiento de las cargas de trabajo en contenedores haga que los controles de seguridad "se desplacen hacia la izquierda".

Introducción: del ransomware al deepfake

Con los titulares en 2019 sobre ransomware, malware y ataques de RDP muy cerca de nosotros, cambiamos nuestro enfoque a las amenazas de ciberdelincuencia que tenemos por delante. Los ciberdelincuentes están aumentando la complejidad y el volumen de sus ataques y campañas, siempre buscando formas de ir un paso por delante de las prácticas de ciberseguridad y, con mayor frecuencia, utilizando la tecnología del mundo en evolución contra nosotros.

Los continuos avances en la inteligencia artificial y el machine learning han conducido a valiosos avances tecnológicos, pero los actores de las amenazas también están aprendiendo a aprovechar la IA y el ML de maneras cada vez más siniestras. La inteligencia artificial ha extendido las capacidades de producir videos convincentes de deepfake a una clase menos calificada de actores de amenazas que intentan manipular la opinión individual y pública. El reconocimiento facial impulsado por la IA, un activo de seguridad en crecimiento, también se está utilizando para producir medios deepfakes capaces de engañar a humanos y máquinas.

Nuestros investigadores también prevén que cada vez más actores de amenazas se dirigirán a las redes corporativas para filtrar información corporativa en campañas de ransomware en dos etapas.

Con un número cada vez mayor de empresas que adoptan servicios en la nube para acelerar su negocio y promover la colaboración, la necesidad de seguridad en la nube es mayor que nunca. Como resultado, es probable que el número de organizaciones que dan prioridad a la adopción de tecnologías de contenedores siga aumentando en 2020. ¿En qué productos se basarán para ayudar a reducir los riesgos relacionados con los contenedores y acelerar DevSecOps?

La creciente adopción de la automatización de procesos robóticos y la creciente importancia de proteger las cuentas de sistema utilizadas para la automatización, plantea problemas de seguridad relacionados con la Interfaz de Programación de Aplicaciones (API) y su riqueza de datos personales.

El panorama de las amenazas de 2020 y más allá promete ser interesante para la comunidad de la ciberseguridad.

--RajSamani, Chief Scientist y Fellow de McAfee, Investigación Avanzada sobre Amenazas (@Raj_Samani)

Capacidades más amplias de Deepfakes para actores de amenazas menos cualificados

Por Steve Grobman, Jefe de Tecnología, McAfee

La capacidad de crear contenido manipulado no es nueva. Las imágenes manipuladas se utilizaron ya en la Segunda Guerra Mundial en campañas diseñadas para hacer creer a la gente cosas que no eran ciertas. Lo que ha cambiado con los avances en inteligencia artificial es que ahora se puede construir un deepfake muy convincente sin ser un experto en tecnología. Hay sitios web donde puedes subir un vídeo y recibir a cambio un deepfake. Hay capacidades muy convincentes en el dominio público que pueden ofrecer tanto capacidades de audio como de vídeo a cientos de miles de actores de amenazas potenciales con las habilidades para crear contenido falso persuasivo.

El video o texto deepfake puede ser armado para aumentar la guerra de información. Los videos de comentarios públicos disponibles de forma gratuita se pueden usar para entrenar un modelo de machine learning que puede desarrollar un deepfake que muestre las palabras de una persona saliendo de la boca de otra. Los atacantes ahora pueden crear contenido automatizado y dirigido para aumentar la probabilidad de que un individuo o grupo caiga en una campaña. De esta manera, la IA y el machine learning pueden combinarse para crear un caos masivo.

En general, los adversarios van a utilizar la mejor tecnología para lograr sus objetivos, así que si pensamos en actores de estados-nación que intentan manipular una elección, el uso de deepfakes para manipular a una audiencia tiene mucho sentido. Los adversarios intentarán meter presión y crear divisiones en la sociedad. O si un cibercriminal puede hacer que un CEO haga lo que parece ser una declaración convincente de que una compañía perdió ganancias o que hay un fallo fatal en un producto que va a requerir una retirada masiva. Este video puede ser distribuido para manipular el precio de una acción o para permitir otros delitos financieros.

Predecimos que la capacidad de una clase no entrenada para crear deepfakes aumentará la cantidad de información errónea.

Adversarios para generar Deepfakes para evitar el reconocimiento facial

Por Steve Povolny, Jefe de Investigación de Amenazas Avanzadas de McAfee

El reconocimiento facial por ordenador, en sus formas más tempranas, ha existido desde mediados de la década de 1960. Si bien desde entonces se han producido cambios drásticos, el concepto subyacente sigue siendo el siguiente: proporciona un medio para que un ordenador identifique o verifique una cara. Hay muchos casos de uso de la tecnología, la mayoría relacionados con la autenticación y para responder a una sola pregunta: ¿es esta persona quien dice ser?

A medida que pasa el tiempo, el ritmo de la tecnología ha aumentado la potencia de procesamiento, la memoria y el almacenamiento de la tecnología de reconocimiento facial. Los nuevos productos han aprovechado el reconocimiento facial de formas innovadoras para simplificar la vida diaria, desde el desbloqueo de teléfonos inteligentes hasta la verificación de pasaportes en aeropuertos, e incluso como ayuda para la aplicación de la ley para identificar a los delincuentes en la calle.

Una de las mejoras más frecuentes en el reconocimiento facial es el avance de la inteligencia artificial (IA). Una manifestación reciente de esto son las deepfakes, una técnica impulsada por IA que produce textos, imágenes y videos extremadamente realistas que son difíciles de distinguir entre los humanos y los falsos. Generative Adversarial Networks (GANs), una reciente tecnología analítica, que, en el lado negativo, puede crear imágenes, texto y videos falsos, pero increíblemente realistas. Los ordenadores mejorados pueden procesar rápidamente numerosos datos biométricos de una cara y construir o clasificar matemáticamente características humanas, entre muchas otras aplicaciones. Los ordenadores mejorados pueden procesar rápidamente numerosos datos biométricos de una cara y construir o clasificar matemáticamente características humanas, entre muchas otras aplicaciones. Aunque los beneficios técnicos son impresionantes, los defectos subyacentes inherentes a todos los tipos de modelos representan una amenaza en rápido crecimiento, que los ciberdelincuentes intentarán explotar.

A medida que se adopten las tecnologías en los próximos años, será fundamental que las empresas comprendan los riesgos de seguridad que presentan el reconocimiento facial y otros sistemas biométricos e inviertan en educarse sobre los riesgos, así como en endurecer los sistemas críticos.

Ataques de Ransomware para transformarse en campañas de extorsión en dos etapas

Por John Fokker, Jefe de Advanced Threat Research, McAfee

En el informe de McAfee sobre predicciones de amenazas de 2019, predijimos que los ciberdelincuentes se asociarían más estrechamente para aumentar las amenazas; a lo largo del año, observamos exactamente eso. Los grupos de ransomware usaron equipos preinfectados de otras campañas de malware o utilizaron el protocolo de escritorio remoto (RDP) como punto de lanzamiento inicial para su campaña. Estos tipos de ataques requerían la colaboración entre grupos. Esta asociación condujo a ataques eficaces y selectivos que aumentaron la rentabilidad y causaron más daños económicos. De hecho, la Evaluación de Amenazas del Crimen Organizado en Internet de Europol (IOCTA, por sus siglas en inglés), calificó el ransomware como la principal amenaza a la que se enfrentaron las empresas, los consumidores y el sector público en 2019.

Basándonos en lo que la Investigación de amenazas avanzada de McAfee (ATR) está viendo en el fondo, esperamos que los delincuentes exploten aún más a sus víctimas de extorsión. El aumento del ransomware selectivo creó una creciente demanda de redes corporativas comprometidas. Esta demanda es satisfecha por delincuentes que se especializan en penetrar redes corporativas y vender el acceso completo a la red de una sola vez.

Para el año 2020, prevemos que la penetración selectiva de las redes corporativas seguirá creciendo y, en última instancia, dará paso a ataques de extorsión en dos etapas. En la primera etapa, los ciberdelincuentes lanzarán un ataque de ransomware paralizante, extorsionando a las víctimas para recuperar sus archivos. En la segunda etapa, los delincuentes atacarán nuevamente a las víctimas del ransomware en recuperación con un ataque de extorsión, pero esta vez amenazarán con revelar los datos confidenciales robados antes del ataque del ransomware.

Durante nuestra investigación sobre Sodinobiki, observamos ataques en dos etapas, con minerías de criptomonedas instaladas antes de que ocurriera un ataque real de ransomware. Para 2020, prevemos que los ciberdelincuentes extraerán cada vez más información corporativa confidencial antes de un ataque de ransomware selectivo para vender los datos robados online o para extorsionar a la víctima y aumentar la monetización.

DevSecOps aumentará su importancia a medida que el crecimiento de las cargas de trabajo en contenedores haga que los controles de seguridad "se desplacen hacia la izquierda"

Por Sekhar Sarukkai, Vicepresidente de ingeniería y seguridad en la nube, McAfee

Las implementaciones en la nube basadas en contenedores están creciendo en popularidad debido a la facilidad con la que los equipos de DevOps pueden desplegar continuamente micro-servicios y componentes interactivos y reutilizables como aplicaciones. Como resultado, el número de organizaciones que dan prioridad a la adopción de tecnologías de contenedores seguirá aumentando en 2020. Gartner predice que para el año 2022, más del 75 por ciento de las organizaciones globales estarán ejecutando aplicaciones en contenedores en producción, lo que supone un aumento significativo con respecto a los menos del 30 por ciento actuales.” ¹ Las tecnologías de contenedores ayudarán a las organizaciones a modernizar las aplicaciones heredadas y a crear nuevas aplicaciones nativas de la nube que sean escalables y ágiles.

Las aplicaciones en contenedores se crean ensamblando componentes reutilizables en Infraestructura como Código (IaC) definida por software que se implementa en entornos Cloud. Las herramientas de Integración Continua / Despliegue Continuo (CI/CD) automatizan el proceso de construcción y despliegue de estas aplicaciones e IaC, creando un reto para la detección preventiva y continua de vulnerabilidades de las aplicaciones y errores de configuración de IaC. Para adaptarse al aumento de las aplicaciones contenedorizadas que operan en un modelo CI/CD, los equipos de seguridad tendrán que llevar a cabo su evaluación de riesgos en el momento de la creación del código, antes de su despliegue. Esto desplaza la seguridad "a la izquierda" en el ciclo de vida de la implementación e integra la seguridad en el proceso DevOps, un modelo al que se hace referencia con frecuencia como DevSecOps.

Además, las amenazas a las aplicaciones contenedorizadas no sólo se introducen por errores de configuración de IaC o vulnerabilidades de las aplicaciones, sino que también se abusa de los privilegios de red que permiten el movimiento lateral en un ataque. Para hacer frente a estas amenazas en tiempo de ejecución, las organizaciones recurren cada vez más a herramientas de seguridad nativas de la nube desarrolladas específicamente para entornos de contenedores. Los Cloud Access Security Brokers (CASB) se utilizan para realizar análisis de configuración y vulnerabilidades, mientras que las Cloud Workload Protection Platforms (CWPP) funcionan como agentes de tráfico para la micro-segmentación de la red basada en la identidad de la aplicación, independientemente de su IP. Este enfoque de la aplicación basada en la identidad de las aplicaciones alejará a las organizaciones del enfoque de seguridad de la red, que es cada vez más irrelevante en el contexto de los despliegues efímeros de contenedores.

Cuando las soluciones CASB y CWPP se integran con las herramientas CI/CD, los equipos de seguridad pueden alcanzar la velocidad de DevOps, desplazando la seguridad hacia la "izquierda" y creando una práctica DevSecOps dentro de su organización. La gobernanza, el cumplimiento y la seguridad general de los entornos de nube mejorarán a medida que las organizaciones aceleren su transición a DevSecOps con estas herramientas de seguridad nativas de la nube.

Las interfaces de programación de aplicaciones (API) serán expuestas como el enlace más débil que conduce a amenazas nativas de la nube

Por Sekhar Sarukkai, Vicepresidente de ingeniería y seguridad en la nube, McAfee

Un estudio reciente demostró que más de tres de cada cuatro organizaciones tratan la seguridad de la API de forma diferente a la seguridad de las aplicaciones web, lo que indica que la preparación de la seguridad de la API va por detrás de otros aspectos de la seguridad de aplicaciones. El estudio también mostró que más de dos tercios de las organizaciones exponen las API al público para que los socios y desarrolladores externos puedan acceder a sus plataformas de software y ecosistemas de aplicaciones.

Las API son una herramienta esencial en el ecosistema de aplicaciones de hoy en día, incluidos los entornos de nube, el IoT, los microservicios, las comunicaciones móviles y las comunicaciones cliente-cliente basadas en la web. La dependencia de las APIs se acelerará aún más con un ecosistema creciente de aplicaciones en nube construidas como componentes reutilizables para la automatización de back-office (como con Robotic Process Automation) y el crecimiento en el ecosistema de aplicaciones que aprovechan las APIs de servicios en nube como Office 365 y Salesforce.

Los actores de las amenazas están siguiendo al creciente número de organizaciones que utilizan aplicaciones habilitadas para API porque siguen siendo un medio fácil y vulnerable para acceder a un tesoro de datos confidenciales. A pesar de las consecuencias de las infracciones a gran escala y las amenazas actuales, las APIs a menudo todavía residen fuera de la infraestructura de seguridad de las aplicaciones y son ignoradas por los procesos y equipos de seguridad. Las vulnerabilidades continuarán incluyendo funciones de autorización y autenticación rotas, exposición excesiva a los datos, y la falta de atención a los ataques de limitación de velocidad y de recursos. Las APIs inseguras basadas en el consumo sin límites estrictos de tasas se encuentran entre las más vulnerables.

Los titulares que informan sobre las infracciones basadas en API continuarán hasta 2020, afectando a aplicaciones de alto perfil en medios sociales, peer-to-peer, mensajería, procesos financieros y otros, sumándose a los cientos de millones de transacciones y perfiles de usuarios que han sido raspados en los últimos dos años. La necesidad creciente y el ritmo acelerado de las organizaciones que adoptan las API para sus aplicaciones en 2020 expondrán la seguridad de las API como el eslabón más débil que conduce a amenazas nativas de la nube, poniendo en riesgo la privacidad y los datos de los usuarios hasta que las estrategias de seguridad maduren

Las organizaciones que buscan mejorar su estrategia de seguridad de la API deben perseguir una comprensión más completa de servicios en la nube a través de un descubrimiento completo en los entornos SaaS, PaaS e IaaaS, implementar la autorización basada en políticas y explorar la tecnología de Análisis de Comportamiento de Usuarios y Entidades (UEBA) para detectar patrones de acceso anómalos.

¹ Las mejores prácticas de Gartner para ejecutar contenedores y kubernetes en producción, Arun Chandrasekaran, 25 de febrero de 2019