Las organizaciones actuales están sometidas a un panorama de amenazas en constante cambio y evolución. En esta "nueva normalidad", aplicar estrategias convencionales a retos como el ransomware ya no es suficiente. Es vital que los equipos de TI, los equipos de seguridad y los miembros de la junta directiva sepan dónde centrar sus esfuerzos de seguridad y resistencia empresarial para que puedan anticiparse, resistir y recuperarse de los ciberataques modernos.
A medida que nos acercamos al último trimestre de 2023, echamos un vistazo a las tres principales tendencias de amenazas de ciberseguridad que los profesionales de la seguridad deben prepararse para repeler.
1. Técnicas "Living Off the Land" (LOL)
Los ataques silenciosos que permanecen ocultos durante largos periodos de tiempo suponen un riesgo único para los negocios. Los hackers actuales utilizan mucho menos malware. En su lugar, utilizan el sistema operativo contra sí mismo aprovechando herramientas legítimas nativas como binarios firmados (LOLBins), scripts (LOLScripts) y bibliotecas para camuflar la actividad maliciosa, pasar desapercibidos y eludir incluso las defensas de seguridad más avanzadas.
A diferencia de los ataques tradicionales que aprovechan el malware, los ataques LOL utilizan utilidades nativas del sistema operativo que son necesarias para ejecutar el sistema operativo y ayudar a las operaciones de TI. Intrínsecamente, no son maliciosos. Por eso, aunque las herramientas convencionales registran las actividades de LOL en cada endpoint, no alertan sobre ellas. Por ejemplo, Cmd.exe, el intérprete de línea de comandos predeterminado de Windows, puede utilizarse para eludir contramedidas defensivas o para ocultarse como mecanismo de persistencia.
Esto crea un difícil dilema para la seguridad. ¿Cómo pueden alertar cuando se utilizan herramientas legítimas, tal y como están diseñadas, pero por motivos nefastos? ¿Es siquiera posible alertar sobre la intención? Los LOLBins se están convirtiendo en la técnica preferida porque pasan desapercibidos. Se trata de un método utilizado por el grupo Volt Typhoon para vigilar los servicios públicos de agua y electricidad que abastecen a instalaciones militares en Estados Unidos y en el extranjero.
Las herramientas de seguridad tradicionales recogen pruebas de malicia en la red y en el punto final. Constituyen una capa crítica de defensa que detecta archivos y actividades maliciosos, pero no están diseñadas para detectar las técnicas furtivas, como los LOLBins, utilizadas por el grupo Volt Typhoon. Para defender los datos frente a este tipo de ataques, las organizaciones tendrán que dar un paso adelante en sus defensas, introduciendo señuelos realistas que engañen a los malos actores para que se involucren con estos recursos falsos y expongan sus técnicas; un movimiento que, a su vez, alerte a los equipos de seguridad de la organización de una posible amenaza al acecho.
CTO de Seguridad Metálica en Commvault
2. Inteligencia Artificial (IA)
Los hackers actuales utilizan herramientas avanzadas como la IA y el aprendizaje automático para automatizar y coordinar los ataques y aumentar su eficacia. También están utilizando la IA para comprender las defensas que las organizaciones han puesto en marcha para evitar que los atacantes penetren en sus entornos. Los ciberdelincuentes ya no están limitados por la necesidad de producir manualmente sus campañas de amenazas, sino que utilizan herramientas de IA generativa fácilmente disponibles, como ChatGPT, y las ajustan para satisfacer sus necesidades, ya sea creando contenido de phishing altamente personalizado a escala o generando malware de pulsación de teclas y código de malware básico adaptado para "descifrar" específicamente las credenciales y algoritmos de un sistema objetivo.
Según un informe reciente, los expertos en ciberseguridad de las grandes empresas afirman que la IA generativa ya ha impulsado un aumento significativo de los ataques. Para combatir el creciente volumen, las organizaciones tendrán que hacer uso de la IA defensiva y el aprendizaje automático que hace posible: automatizar la detección y corrección de los sistemas no conformes; aplicar parches, configuración y actualizaciones automatizadas para los activos de software; y manejar actividades tradicionalmente intensivas en mano de obra, como la gestión de identidad y acceso (IAM) y la presentación de informes. En otras palabras, utilizar la IA para impulsar el cumplimiento con una arquitectura reforzada de confianza cero y hacer frente a las amenazas de frente con visibilidad en tiempo real y alertas tempranas que respalden una postura de defensa proactiva.
3. Ransomware como servicio
El ransomware plantea una de las mayores amenazas para las empresas de cualquier tamaño, en todos los sectores de la industria. Grupos altamente organizados han desarrollado sofisticados modelos de suscripción y distribución de Ransomware-as-a-Service (RaaS) que facilitan a los actores de amenazas, con poca o ninguna experiencia, componer un ataque de última generación compuesto por las técnicas más modernas a lo largo del ciclo de vida del ataque.
Especializados en elementos específicos del proceso de ataque, los actuales operadores de RaaS ofrecen kits que incluyen desde portales de pago y "servicios de asistencia" para las víctimas hasta una selección de variantes de ransomware (como LockBit, Revil y Dharma). Otros actúan como intermediarios de acceso especializados en el descubrimiento. Los afiliados que compran o alquilan estos kits RaaS son entonces libres de reunir todos estos elementos para ejecutar un ataque de ransomware, pagando una cuota o compartiendo una parte de sus beneficios.
La aparición del modelo de negocio RaaS significa que la frecuencia y sofisticación de los ataques de ransomware está aumentando. Teniendo esto en cuenta, las organizaciones tendrán que redoblar sus actividades de ciberseguridad. Ya sea reforzando las estrategias de gestión de vulnerabilidades e implementando herramientas de ciberdetección de alerta temprana o desplegando la reparación automatizada y la copia de seguridad y recuperación de datos en entornos de producción, para asegurarse de que pueden recuperarse rápidamente tras un ataque.
Adoptar una mentalidad de resistencia
La proliferación de amenazas cibernéticas nuevas y emergentes significa que las organizaciones tendrán que romper los silos entre la seguridad y las operaciones de TI y cambiar su forma de pensar hacia una estrategia de resiliencia colaborativa y una infraestructura de TI que luche contra los ciberataques. Se trata de una responsabilidad compartida que incluye segmentación, redundancia, engaño, conciencia contextual, restricción de privilegios y mucho más.
Entendiendo que la probabilidad de un ciberataque es un caso de "cuándo", no de "si", tendrán que iniciar capacidades de detección temprana y asegurarse de que están proactivamente atentos a las amenazas, para poder responder rápidamente a los ataques e incidentes de seguridad. La vuelta a la normalidad de las operaciones tras un incidente de seguridad debe ser ahora una de las principales ambiciones en materia de seguridad, por lo que es imprescindible contar con unos procedimientos de recuperación de datos sólidos como una roca.
