Los expertos en inteligencia de amenazas de Fortinet, FortiGuard Labs, han emitido un comunicado en el que advierten que el año pasado quedó demostrado que las redes de muchas organizaciones y las herramientas de seguridad implementadas no estaban a la altura del nivel de protección que se requería, y que es poco probable que las ciberamenazas disminuyan en 2022.
Además, avisan que es probable que las compañías que todavía tratan de integrar y gestionar un conjunto de soluciones de propósito único, con la complejidad y la falta de visibilidad que ello conlleva, pondrán en riesgo a su organización.
Aunque nadie puede predecir el futuro, los expertos de FortiGuard Labs, han querido llamar la atención sobre las cinco ciberamenazas que se avecinan y sobre las que este año deberemos estar especialmente atentos. A continuación las repasamos siguiendo la información que han proporcionado en su comunicado.
1. Ataques a la red de satélites
A medida que aumente la conectividad mediante Internet por satélite, también se incrementará la probabilidad de que se produzcan nuevos exploits dirigidos a estas redes.
Actualmente, ya hay una media docena de grandes proveedores de Internet por satélite. Los mayores objetivos de estos ataques serán las organizaciones que dependen de la conectividad por satélite para apoyar actividades de baja latencia, como los juegos online o la prestación de servicios críticos a lugares remotos, así como las oficinas en remoto, los oleoductos o los cruceros y las aerolíneas. Esto también ampliará la superficie potencial de ataque a medida que las organizaciones añadan redes satelitales para conectar a sus redes interconectadas sistemas que antes estaban fuera de la red, como pueden ser los dispositivos remotos de OT.
2. Ataques dirigidos a las criptocarteras
Las criptocarteras están en peligro, ya que el aumento del malware diseñado para atacar la información almacenada permite a los ciberdelincuentes robar credenciales como la clave privada de bitcoin, la dirección de bitcoin, la dirección de la criptocartera, además de otra información significativa.
Los ataques suelen comenzar como una campaña de phishing que utiliza la clásica estrategia de adjuntar un documento malicioso de Microsoft Word a un correo electrónico de spam. El malware se entrega mediante una macro de Word, que está diseñada para robar la información y las credenciales de la criptocartera de los dispositivos infectados de las víctimas. Una vez que los atacantes consiguen estos datos, pueden vaciar el monedero digital.
En la misma línea, se ha detectado un nuevo generador de tarjetas de regalo falsas de Amazon que tiene como objetivo las carteras digitales, sustituyendo la cartera de la víctima por la del cibercriminal. Y también se ha identificado un nuevo troyano de acceso remoto (RAT) que tiene como objetivo las criptomonedas. Se llama ElectroRAT, combina la ingeniería social con aplicaciones de criptomonedas personalizadas y tiene la capacidad de registrar pulsaciones del teclado, tomar capturas de pantalla, cargar y descargar archivos y ejecutar comandos.
3. Ataques Linux
Hasta hace poco, los ciberdelincuentes ignoraban en gran medida a Linux, pero eso está cambiando. Linux ejecuta los sistemas back-end de muchas redes y soluciones basadas en contenedores para dispositivos IoT y aplicaciones de misión crítica, por lo que se está convirtiendo en un objetivo cada vez más popular para los atacantes. De hecho, ahora mismo los ataques contra los sistemas operativos Linux y las aplicaciones que se ejecutan en ellos son tan frecuentes como los ataques a los sistemas operativos Windows.
Muchas organizaciones están acostumbradas a defenderse de los ataques de Windows, pero no están acostumbradas a mantenerse al día en Linux desde un punto de vista defensivo y de análisis de malware. Y lo que es peor, los entornos Linux suelen tener datos valiosos como credenciales SSH, certificados, nombres de usuario de aplicaciones y contraseñas.
4. Ataques a sistemas críticos OT
Los ataques de ransomware se dirigen cada vez más a las infraestructuras críticas y estos incidentes son cada vez más conocidos como "killware". Aunque son ataques que no afectan directamente en las vidas humanas, se utiliza este término porque el malware que interrumpe hospitales, oleoductos, plantas de tratamiento de agua y otras infraestructuras críticas. Además, se diferencian de los exploits habituales por el impacto directo que pueden tener en las personas.
Los ciberdelincuentes pueden estar dejando de lado los objetivos más pequeños para centrarse en ataques más grandes y públicos que afectan al mundo físico y a un mayor número de víctimas. La convergencia casi universal de las redes de TI y de tecnología operativa (OT) ha facilitado a los atacantes el acceso a los sistemas OT a través de redes domésticas comprometidas y de los dispositivos de los teletrabajadores. A este riesgo se suma el hecho de que los atacantes ya no deben tener conocimientos técnicos especializados de los sistemas de control industrial y SCADA, puesto que ahora pueden comprar kits de ataque en la dark web.
5. Ataques en el perímetro
El aumento del número de teletrabajadores ha expuesto a las redes corporativas a muchas amenazas que hasta ahora habían estado circunscritas a las redes residenciales. El incremento del perímetro de la red implica más lugares para que se escondan las amenazas del tipo LotL ("Living off the Land"). Con esta técnica, los atacantes "viven de la tierra" utilizando malware elaborado a partir de herramientas o software existentes dentro de entornos comprometidos, de modo que sus ataques y la exfiltración de datos parecen una actividad normal del sistema.
Los ataques LotL también pueden combinarse con troyanos de acceso al perímetro (EAT), de modo que los nuevos ataques vivirán del perímetro, no sólo de la tierra. Al mismo tiempo que evita la detección, el malware situado en estos entornos perimetrales puede utilizar los recursos locales para vigilar las actividades y los datos en el perímetro y luego robar, secuestrar o incluso pedir un rescate por sistemas, aplicaciones e información críticos.
Las recomendaciones de Fortinet a las organizaciones
En su comunicado, los expertos de la compañía de ciberseguridad también han ofrecido unos consejos a las empresas para que se preparen de cara a 2022. En primer lugar, destaca que las organizaciones deberían dar prioridad a la protección de los sistemas basados en Linux y Windows y que, cuando adopten una nueva tecnología, el enfoque de seguridad debe ocupar un lugar privilegiado. Asimismo, recuerda que antes de añadir nuevas conexiones, como la conectividad por satélite, hay que asegurarse de que está protegida.
Por otra parte, recalca que además de prepararse para las nuevas amenazas, no se pueden olvidar de las ya existentes, lo que requiere un enfoque integrado de la seguridad.
"En la lucha contra las amenazas actuales en evolución, las organizaciones deben buscar una plataforma de seguridad basada en una arquitectura de malla de ciberseguridad con soluciones de seguridad diseñadas para trabajar de forma conjunta", concluye Fortinet en su comunicado.