La seguridad de la información y la privacidad son temas constantemente candentes, pero a medida que avanza 2015 la temperatura parece estar particularmente alta. En los últimos meses se han producido ciberataques de alto perfil y atrocidades reales que han centrado la atención del mundo en temas relacionados con la protección de datos, el cifrado, la privacidad y la vigilancia como nunca antes. Estos acontecimientos que acaparan los titulares se superponen a un creciente nivel de fondo de filtración de datos de gobiernos, empresas y otras organizaciones, familias e individuos.
La ciberseguridad apareció recientemente en una de las plataformas más destacadas del mundo: el discurso anual sobre el estado de la Unión en los EE. UU., durante el cual el presidente Obama declaró:
“Ninguna nación extranjera, ningún hacker, debería poder cerrar nuestras redes, robar nuestros secretos comerciales o invadir la privacidad de las familias estadounidenses, especialmente de nuestros hijos. Nos estamos asegurando de que nuestro gobierno integre inteligencia para combatir las amenazas cibernéticas, tal como lo hacemos hemos hecho para combatir el terrorismo. Y esta noche, insto a este Congreso a aprobar finalmente la legislación que necesitamos para enfrentar mejor la amenaza en evolución de los ataques cibernéticos, combatir el robo de identidad y proteger la información de nuestros niños. Dejaremos a nuestra nación y a nuestra economía vulnerables. Si lo hacemos, podremos continuar protegiendo las tecnologías que han desatado oportunidades incalculables para las personas en todo el mundo”.
Quienes buscan acceso ilegal a información y comunicaciones en línea, y quienes intentan salvaguardarlas, siguen atrapados en una carrera armamentista en curso. Cada año trae consigo una cosecha de ataques dañinos, provocados por un arsenal en evolución de técnicas de ciberataque, que la industria de la seguridad se esfuerza por defender con herramientas existentes mientras recopila inteligencia sobre nuevas vulnerabilidades. Los usuarios también son parte del problema, ya que su comportamiento en línea descuidado o malicioso puede crear oportunidades aprovechables para los piratas informáticos o dar lugar directamente a violaciones de seguridad.
Principales violaciones de seguridad de 2014
Estas son algunas de las principales violaciones de seguridad en los EE. UU. el año pasado, según los expertos en seguridad web y de correo electrónico Appriver:
Fecha (2014) Compañía Número de registros expuestos tipos de registros
25 de enero
michael
2.600.000
tarjetas de pago
6 de febrero
Deposito de casa
20.000
información del empleado
14 de marzo
Belleza Sally
25.000
Tarjeta de crédito / débito
17 de abril
Hermanos Aarón
400.000
tarjetas de pago
22 abr
Universidad del Estado de Iowa
48.729
números de seguro social de estudiantes
30 mayo
Deposito de casa
30.000
Tarjeta de crédito / débito
22 de julio
Industrias de buena voluntad
868.000
sistemas de pago
18 agosto
Sistemas de salud comunitarios
4.500.000
datos del paciente
21 agosto
Servicio Postal Unido
105.000
Tarjeta de crédito / débito
28 agosto
JPMorgan Chase
1.000.000
información financiera
2 de septiembre
Deposito de casa
56.000.000
Tarjeta de crédito / débito
2 de septiembre
Viator/Asesor de viaje
880.000
tarjetas de pago
25 de septiembre
Dermatología Central
76.258
datos del paciente
7 de noviembre
Deposito de casa
53.000.000
correos electrónicos
10 de noviembre
Servicio Postal de EE. UU.
800.000
información personal
18 de noviembre
Grapas
1.200.000
Tarjeta de crédito / débito
Esta no es de ninguna manera una lista exhaustiva, pero está claro que las empresas y otras organizaciones pierden regularmente grandes cantidades de datos confidenciales a manos de ciberdelincuentes cada vez mejor organizados. Para obtener una vista gráfica clara del historial de violaciones de datos notables, consulte esta infografía interactiva de informationisbeautiful.net.
Cuando se produce una brecha de seguridad, la empresa u organización afectada no sólo pierde datos valiosos y/o sensibles, sino que también sufre daños a su marca o reputación cuya reparación puede requerir mucho tiempo y dinero.
El ciberataque de más alto perfil de 2014 se descubrió a finales de noviembre e implicó el robo de datos de la empresa Sony Pictures Entertainment (SPE) por parte de un grupo de hackers autodenominado Guardianes de la Paz o GOP. Entre los 100 TB de datos supuestamente robados de SPE se encontraba información de los empleados (47.000 números de seguridad social, según se informa) y, como se cubrió ampliamente en los principales medios de comunicación, chismes de celebridades y detalles jugosos sobre las maquinaciones de la industria cinematográfica de los correos electrónicos internos. El hackeo de SPE también tuvo una dimensión política, ya que el grupo de hackers republicanos en un momento exigió que se cancelara el lanzamiento de The Interview, una comedia sobre un complot de asesinato contra el líder norcoreano Kim Jong-un. Aunque se desconoce la identidad del Partido Republicano, el gobierno de Estados Unidos ha señalado con el dedo sospechoso a Corea del Norte, que ha negado cualquier implicación.
Puede que no veamos un hack tan multifacético como el SPE/GOP, pero podemos predecir con confianza que 2015 traerá su parte de violaciones de seguridad que ocuparán los titulares, así como un nivel no disminuido de actividad de hacking en segundo plano. Veamos por qué.
Predicciones de seguridad para 2015
Proveedores, analistas y expertos han convertido en una tradición publicar predicciones anuales de ciberseguridad de fin de año para los próximos 12 meses. Aunque estas personas tienen un gran interés en “hablar” del tema, no se puede negar que la seguridad y la privacidad ocupan ahora un lugar destacado en las agendas de empresas, organizaciones, individuos y gobiernos.
Por eso es interesante intentar resumir las predicciones de la industria de la ciberseguridad para 2015. Para hacerlo, examinamos artículos prospectivos de 17 organizaciones y asignamos las 130 predicciones resultantes a una serie de categorías emergentes para producir el siguiente gráfico:
Predicciones de seguridad de: Blue Coat, Damballa, FireEye, Fortinet, Forrester, Gartner, IDC, ImmuniWeb, Kaspersky Lab, Lancope, McAfee, Neohapsis, Sophos, Symantec, Trend Micro, Varonis Systems, Websense.
Imagen: Charles McLellan/
Encabezando la lista están 'Nuevos vectores y plataformas de ataque' y 'Evolución de las soluciones de ciberseguridad existentes', dos categorías que ilustran la realidad de la carrera armamentista en ciberseguridad.
En la primera categoría, varios comentaristas destacaron “nuevos errores en código antiguo y ampliamente utilizado” (Kaspersky Lab), como Heartbleed/OpenSSL y Shellshock/Bash, mientras que Sophos notó fallas explotables en el protocolo IPv6, junto con capacidades de rootkit y bot. en el entorno de arranque rico UEFI que puede generar nuevos vectores de ataque. Apple fue la principal nueva plataforma señalada, por ejemplo por FireEye, que señaló que “la creciente presencia empresarial de Apple significa que los creadores de malware ajustarán su conjunto de herramientas”. Las recientes cifras récord de ventas sólo pueden estimular aún más el apetito de los hackers por los productos Apple.
Una amplia gama de predicciones cayeron en la categoría número dos ('Evolución de las soluciones de ciberseguridad existentes'), incluida la afirmación de ImmuniWeb de que “las herramientas y soluciones de seguridad automatizadas ya no serán eficientes” si se usan de forma independiente o sin intervención humana. Fortinet cree que los piratas informáticos buscarán cada vez más evadir las técnicas de sandboxing y desviar a los investigadores “lanzando más pistas falsas en sus ataques para frustrar a los investigadores y colocando intencionalmente pruebas que apunten a un atacante no asociado”. Mientras tanto, el analista IDC predice que “para 2017, el 90% de los puntos finales de una empresa utilizarán alguna forma de protección de hardware para garantizar que se mantenga la integridad de los puntos finales” y que “para 2018, el 25% de las aplicaciones de seguridad que antes se compraban de forma independiente serán incorporado directamente en aplicaciones empresariales”.
Varias de las categorías de predicción se refieren a nuevos vectores y plataformas de ataque específicos, en particular el Internet de las cosas (dentro del cual incluimos todo, desde dispositivos portátiles hasta componentes de infraestructura críticos), tecnología móvil, personas y redes sociales, big data y análisis, servicios en la nube, comercio minorista. sistemas de punto de venta y de pago, tecnología web, software de código abierto y ataques y publicidad maliciosa de terceros. Esto muestra que la gama de oportunidades para los piratas informáticos seguirá ampliándose a medida que el mundo esté cada vez más conectado a Internet; hace poco, por ejemplo, se descubrió una vulnerabilidad que permitiría secuestrar un dron (o vehículo aéreo no tripulado) a través de un puerta trasera en su software de control basado en Linux.
En cuanto al IoT (en el puesto 3 en el gráfico), Websense señala que “su refrigerador no es una amenaza para TI. Los sensores industriales sí lo son”. Es decir, es más probable que los ciberdelincuentes apunten a la comunicación M2M en industrias automatizadas como la generación de energía y la extracción de petróleo o gas que intentar “derretir la mantequilla o estropear la leche” en su refrigerador inteligente. Sophos se hace eco de esta opinión y señala que “la brecha entre ICS/SCADA y la seguridad del mundo real sólo crece”. En el otro extremo de la escala de IoT, Forrester hace la predicción específica de que “una violación de datos de salud de los dispositivos portátiles estimulará la acción de la FTC” en 2015, algo que las empresas que buscan implementar programas de bienestar de los empleados basados en dispositivos portátiles deben tener en cuenta.
Muchos comentaristas señalan que las plataformas móviles (en el cuarto lugar) serán cada vez más atractivas para los piratas informáticos y los ciberdelincuentes, especialmente ahora que los sistemas de pago móvil como Apple Pay están despegando. Websense también cree que los hackers atacarán los dispositivos móviles “no simplemente para descifrar un código telefónico y robar datos del propio dispositivo, sino como un vector hacia los crecientes recursos de datos a los que los dispositivos pueden acceder libremente en la nube”.
Las personas y las redes sociales (en el puesto 9) son otro foco cada vez mayor para los piratas informáticos, especialmente cuando diseñan ataques dirigidos, como señala Blue Coat: “Las herramientas de ataque aprovecharán cada vez más la información de las redes sociales para personalizar mejor los ataques. La mayoría de los ataques dirigidos tienen un contexto social, lo que aumenta la eficacia y es más fácil de hacer ahora, los atacantes explotarán su conocimiento de las víctimas objetivo para obtener acceso a sistemas y datos críticos”.
En cuanto a big data y análisis (en el puesto 13), Varonis Systems advierte del aumento de los 'ataques de salami': “Incluso cuando estén cifrados o anonimizados, la gran cantidad de datos que se recopilan sobre las personas a través de las redes sociales, las transacciones con tarjetas de crédito , las cámaras de seguridad y las huellas digitales se combinan cada vez más en una imagen aterradoramente completa. Esto amenaza no sólo a los individuos sino también a las organizaciones gubernamentales, las corporaciones y sus socios comerciales… En 2015, una importante iniciativa de big data en algún lugar se verá descarrilada por un ataque de salami. “. En la otra cara de la moneda del big data, Symantec predice que “el aprendizaje automático cambiará las reglas del juego en la lucha contra el cibercrimen”.
Servicios en la nube…