| Foto: Getty Images

CIBERSEGURIDAD

Guía de ciberseguridad para el 2019

¿Cuáles son las tendencias y retos este año en materia de ciberseguridad?

6 de enero de 2019

A pesar de las lecciones que ha dejado el mundo corporativo en los últimos años en cuanto a las vulnerabilidades que implica estar conectados, un reporte de la consultora EY que consultó a 1.400 líderes de riesgo y seguridad cibernética de algunas de las organizaciones más grandes del planeta, reflejó que el 80% de las juntas directivas no hacen de la ciberseguridad un tema estratégico para sus compañías. 

El 87% de las organizaciones todavía operan con niveles limitados de ciberseguridad y resiliencia, mientras que el 77% trabaja con medidas de protección básicas en materia de ciberseguridad y buscan avanzar hacia capacidades más alineadas con la realidad.

Entre tanto, la mayoría de las organizaciones (el 77%) están dispuestas a buscar este año más allá de las técnicas básicas de seguridad cibernética para perfecciones sus capacidades, haciendo uso de tecnologías avanzadas como inteligencia artificial, automatización robótica de procesos y analítica de datos, entre otras.

De acuerdo con Juan Mario Posada, líder de Asesoría en Ciberseguridad de EY Colombia, las organizaciones están invirtiendo cada vez más en tecnologías emergentes como parte de sus programas de transformación digital, y si bien han creado nuevas posibilidades de negocio, también se generan nuevas vulnerabilidades y amenazas.

Le puede interesar: Los ataques cibernéticos se incrementaron este año

“Las compañías deben ser conscientes de que desarrollar un nivel de confianza con los clientes es fundamental para el éxito de sus programas de transformación. Para construir esta confianza, la seguridad cibernética debe estar integrada en el ADN de la organización, comenzando por convertirla en una parte integral de la estrategia empresarial y, como no, de la agenda de la alta gerencia", asegura Posada.

Entre las principales preocupaciones de las organizaciones están que los empleados inconscientes se clasifican como la mayor debilidad (34%), sumado a que la mayoría de las organizaciones podrían no identificar todas las violaciones e incidentes de las que son víctimas (82%).

Luisa Esguerra, directora regional de Symantec, le dijo a Dinero que a pesar de que han pasado más de dos décadas desde que el ‘pishing’ acaparó las instituciones, este método de engaño para conseguir información o datos como contraseñas, todavía sigue siendo una de las principales amenazas.

Según análisis de Symantec, en 2019 los ciberterroristas explotarán los sistemas de inteligencia artificial (IA) y la utilizarán como herramienta estratégica para sus ataques. En este sentido, los defensores dependerán cada vez más de la inteligencia artificial para contrarrestar los ataques e identificar las vulnerabilidades.

Así mismo, el aumento en la implementación y adopción de conexiones en la red 5G comenzará a expandir el área de superficie de ataque, mientras que los eventos basados en internet de las cosas (IoT, por sus siglas en inglés) irán más allá de los asaltos masivos a nuevas formas de ataque más peligrosas.

Los grupos de ataque capturarán cada vez más datos en tránsitos, los ataques que explotan la cadena de suministro crecerán en frecuencia e impacto y las crecientes preocupaciones en materia de seguridad y privacidad impulsarán el aumento de la actividad legislativa y reglamentaria.

“El 2018 dejó consigo una actividad acelerada de amenazas en diferentes tipos de víctimas. Los ataques cibernéticos de los principales sistemas corporativos y sitios web continuarán a buen ritmo y formarán parte de la escena de ciberseguridad durante el 2019. Adelántese, pero sobre todo esté preparado para los retos y desafíos que se presentarán este nuevo año”, sugiere Symantec.

Ojo con la protección de datos

Si algo dejó el 2018 fue la preocupación por la privacidad. Esta se volvió la principal preocupación de muchas empresas en el marco de escándalos de filtración masivas de datos que pusieron en el ojo del huracán a compañías como Facebook, Google y Amazon.

Entre tanto, entró en vigencia en la Unión Europea el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), que deben cumplir no solo las compañías basadas en el antiguo continente, sino todas las que tengan alguna relación con organizaciones o clientes en ese territorio.

 Maximiliano Cantis, gerente regional de Eset dijo a Dinero que efectivamente la privacidad y la protección de los datos seguirá como una de las principales tendencias de seguridad durante el 2018.

Esa compañía elaboró un informe en el que resaltó importancia y responsabilidad que recae en las compañías a la hora de proteger los grandes volúmenes de datos que han recopilado a lo largo de los años.

Le sugerimos: Estos son los riesgos en ciberseguridad para 2019

De acuerdo con Eset, siguiendo la regulación de la Unión Europea, otras partes del mundo tomarán ese camino y analizan también la posibilidad de la existencia de una ley global.

En cuanto a ‘malware’, el informe destaca para 2019 aquel utilizado para la minería de criptomonedas de manera ilegal. Si bien no fue el tema principal de 2018, la minería ilegal de criptomonedas tuvo un crecimiento en cuanto a la propagación (dentro de las que se destaca la práctica conocida como criptojacking) por lo cual seguramente ocupará un lugar destacado en el escenario de las amenazas para el próximo año.

Por otro lado, se destaca el rol de los hogares inteligentes a partir del uso de los asistentes de voz. Las posibilidades existentes de que los criminales pueden aprovecharse de los dispositivos de internet de las cosas interconectados en el hogar y de esta manera invadir la privacidad, además se resalta el rol de los usuarios vinculado a la cantidad y el tipo de datos que se comparte con estos artefactos.

Sector financiero

Este es uno de los sectores más sensibles a la ciberseguridad. Este año la Superintendencia Financiera de Colombia empezará  a hacer mayores exigencias a las instituciones que regula en esta materia.

David López, vicepresidente para Latinoamérica de Cyxtera expresó a Dinero que “seguro” no siempre equivale a tener seguridad; por lo tanto, los criminales y los adversarios van a comenzar a jugar con lo que se considera como seguro.

“Un canal de comunicación que hoy podemos decir que es seguro como una VPN no necesariamente genera una sensación de seguridad completa. Puede haber ataques que hoy estén abusando de VPNs, de usuarios que tienen VPNs con un sistema de autenticación inseguro, o aparentemente seguro, entonces lo que van a hacer los adversarios es comenzar a utilizar esto que parece seguro”, dijo López.

Según el ejecutivo, en lo os portales transaccionales; si el criminal le presenta al cliente como si se estuviera comunicando con su organización, con su banco de manera segura, ya sea que ese seguro significa a través de una VPN, de un software, a través de un portal que tiene el candado, eso le va a generar como empleado una falsa percepción de seguridad.

“Para el adversario cuando hay un cliente con esa falsa percepción de seguridad va a ser más fácil que entregue credenciales y que su ataque tenga éxito. Hay que tener mucho cuidado sobre todo en cómo entregamos mensajes de seguro, comenzar a retar las posiciones de lo que sí es seguro para la empresa y realmente no necesariamente lo es y comenzar ahí un supuesto general no verificado que es qué significa seguro y si eso seguro me da seguridad”, agregó López.

10 amenazas

Expertos de todo el mundo de la firma Cyxtera Technologies presentaron las principales 10 amenazas que prevén para este año.

  1. El spam se vuelve personal: Gracias a los servicios de geolocalización, los ‘phishers’ pueden fácilmente atacar personas en un área geográfica determinada con ofertas fraudulentas diseñadas para ser específicamente atractivas.

Ian Breeze, director de Product Development para Threat Analytics, indica que en el 2019 los phishers combinarán diversas tácticas para crear campañas más avanzadas, por ejemplo, el caso de los avisos en Google Adds dirigidos específicamente a hombres de Atlanta de entre 18 y 24 años ofreciendo trabajo voluntario para el Super Bowl. “…hemos visto emails, anuncios y contenidos geo-localizados en complejas campañas lanzadas en redes sociales. Los ‘phishers’ están viendo resultados y continúan fabricando mensajes geo-dirigidos más elaborados. ¡Tenga mucho cuidado con sus emails en el 2019! “

  1. La confianza digital es un arma de doble filo para las instituciones financieras: Con casi dos tercios de los consumidores globales preocupados por la posibilidad de que sus tarjetas o cuentas bancarias sean comprometidas, generar confianza digital tiene que tratarse tanto de cultura como de tecnologías antifraude.
  1. ¿Para quién trabaja la inteligencia artificial?: De antemano sabemos que la inteligencia artificial (IA) puede ser creada y usada por estafadores para mejorar sus ciberataques. Pero en el 2019, los atacantes ni siquiera utilizarán su propia inteligencia artificial.
  1. La autenticación sin contraseñas promete mayor seguridad... Si se implementa correctamente: Debido a que un gran número de organizaciones y usuarios finales son conscientes de los riesgos presentes en las combinaciones nombre de usuario/contraseña, el próximo año verá un incremento en el uso de sistemas de autenticación sin contraseña. Aunque las contraseñas no desaparecerán del todo, cada vez son más las plataformas online que buscarán eliminar su uso. Cuando se hace bien, la autenticación sin contraseñas puede ser una herramienta poderosa y segura.                                      
  2. Las tiendas de aplicaciones son el patio de juegos del ‘malware‘: Las tiendas de aplicaciones de terceros brindan el ambiente perfecto para el malware, dándoles a los usuarios una falsa sensación de confianza al punto de llegar a descargar aplicaciones sin conocer su legitimidad.                                          
  3. Relleno de credenciales: Los estafadores saben que la mayoría de la gente reutiliza combinaciones de nombre de usuario y contraseñas a lo largo de distintos sitios web, lo que significa que un solo conjunto de credenciales puede ser una mina de oro. Los ataques de relleno de credenciales (o “credential stuffing”) brindan una forma simple y rápida de validar cuáles nombres de usuario y contraseñas aún son válidos. Esto puede ser usado ya sea para enfocar ataques en grupos específicos o inflar el precio de la información de usuarios en el mercado negro.
  1. Las empresas siguen las huellas de la banca: A medida que las empresas refuerzan sus estrategias de seguridad, “adoptarán modernas técnicas de autenticación como push, biometría, etc., las cuales tienen muy felices a los bancos”.
  1. Los riesgos de la IoT: La comunidad de seguridad ha estado advirtiendo sobre los riesgos presentes en los dispositivos IoT (Internet de las Cosas) durante un tiempo y, este año, se posicionó como la preocupación número 1. Sin embargo, la mayoría de los dispositivos IoT aún son altamente vulnerables y mientras más y más dispositivos se conectan a Internet, 2019 probablemente verá un alza considerable en incidentes relacionados.                  
  2. Publicaciones políticas falsas y ganancias reales: Un tema polémico en los últimos años ha sido la influencia política de las cuentas falsas, o “bots”, en Twitter y demás redes sociales, en donde han sido usadas para manipular la percepción del público y la opinión sobre eventos actuales. Ahora, los estafadores están comenzando a notar que pueden sacar ventaja de las crecientes tensiones y divisiones políticas en distintos países usando las redes sociales como vector de ataque.
  1. Cuando “seguro” no significa seguridad: Todos hemos visto el ícono de “seguro” o “no seguro” cuando navegamos en Internet. Pero infortunadamente, muchos usuarios falsamente creen que este símbolo significa que un sitio web no puede ser malicioso, cuando en realidad dice si un sitio web usa comunicaciones cifradas o no. Los estafadores ya están usando certificados web aparentemente legítimos (que hacen que el navegador muestre el ícono de “seguro”) para ocultar sus esquemas de ‘phishing’ y ‘malware’.