Sólo un dispositivo no conectado a la red o a otros dispositivos – es decir, no promiscuo – puede considerarse a salvo de infección. No es el caso, porque carecería de interés. En estas fechas propicias para los buenos propósitos y las predicciones, los especialistas en ciberseguridad presentan las suyas para 2015: de entrada hay que decir que son una pesadilla. Desde el malware que intentará colarse de mil maneras, hasta el ascenso del ransonware, pasando por la probabilidad de ciberguerra y el miedo a hackers patrocinados. Los chicos malos van por delante de los chicos buenos… y nadie se libra de su amenaza, ni siquiera los más ufanos como Apple o el mismísimo Pentágono.
Puesto que 2014 trajo el doble de malas noticias que 2013 en materia de seguridad, lo normal es prepararse para un 2015 que probablemente las traerá peores. Como por algún peligro hay que empezar, ahí está la moda del pago móvil y la entrada de Apple en ese negocio. Es proverbial que el marketing de la casa de la manzana jalee las debilidades de sus rivales, pero algunos especialistas creen que en 2015 va a estar ella misma bajo la lupa. «Si Apple Pay llega a ser tan popular como el resto de sus servicios móviles, pronto tendremos que hablar de ataques contra este servicio», asegura el boletín de Kaspersky Lab. Coincidente con esta admonición de TrendMicro: «Apple Pay, ciertamente, resuelve algunas debilidades detectadas recientemente en otros sistemas de pago, pero no le servirá de excusa, porque los hackers ya están buscando por dónde atacarla».
El código abierto estará sometido a repetidos intentos de violación. El año pasado, algunas vulnerabilidades detectadas – y explotadas – de perfil alto (Shellshock y Heartbleed) provocaron un debate acerca de la seguridad del software open source, y el debate continuará en 2015 porque será más abundante en la dotación informática de las empresas: los delincuentes están sobre la pista de otras vulnerabilidades durmientes, advierte WebSense: «el código abierto es el nuevo caballo de Troya esperando ser explotado, y este es sólo el principio».
¿Qué decir de las redes sociales? Que el malware y el malvertising (sic) apuntan un crecimiento exponencial. Según los estudios, el volumen de spam dirigido a redes sociales aumentó un 650% en 2014 sobre 2013, una base para este augurio de BitDefender: «los contenidos inapropiados y/o maliciosos crecerán un 400% en las redes sociales», en parte motivados por la atracción que ejerce sobre los jóvenes descubrir lo que hay en videos morbosos». El malvertising- malware distribuído- a través de anuncios online, será una amenaza al alza, añade, «con ataques más refinados».
El mundo de Internet de las Cosas (IoT) tampoco será inexpugnable. La diversidad tecnológica salvará a sus dispositivos de ataques masivos, pero el consuelo no vale para los datos que procesan. Esta es la opinión de Symantec: «los ataques sobre IoT se cebarán en la creciente popularidad de los hogares inteligentes y sus circuitos (cámaras, controles de acceso remoto, alarmas, iluminación y clima automatizados), susceptibles de ser explotados en busca de información privada sensible». WebSense contradice esta opinión, al suponer que «los ataques a las cosas conectadas se enfocarán más a las empresas que a los gadgets de consumo» ¿Habrá que esperar a 2016 pasa saber quién tenía razón?
Nuevas pócimas de malware hierven en el caldero de la ciberdelincuencia: «los malos van donde hay dinero, y uno de sus reinos es la información que pueden obtener de los TPV (terminales punto de venta)», señala un whitepaper publicado por FireEye. Como una cosa lleva a la otra, hay serio peligro de que acaben siendo afectadas las empresas que procesan las transacciones (véase el caso Target, que a punto estuvo de arruinar a esta cadena de supermercados). Por descontado, se recrudecerán los ataques a la banca online, «en la medida que sigan existiendo prácticas de autenticación débiles», recuerda TrendMicro.
Las cadenas de suministro se verán involucradas en sofisticadas formas de ciberataques. Un gran problema, según FireEye, es la brecha entre las prácticas de las organizaciones y las normas de seguridad óptimas. Esto se traducirá en que los atacantes se dirigirán a comprometer a las empresas menos seguras de la cadena para utilizarlas como punto de entrada en las más maduras: «el conocimiento del ecosistema de suministro será una pieza clave en las estrategias delictivas».
El ransonware no es una estrella fugaz, y este año ampliará su radio de acción. Esta modalidad de ciberchantaje roba las cuentas de la nube, bloquea los ficheros y encripta los datos de los usuarios, persiguiendo con ello un estipendio. Hasta ahora, ha hecho mucho daño en el entorno desktop, pero tiende a migrar hacia los dispositivos móviles y las redes sociales a las que están adscritas sus víctimas. Colateralmente, el rescate exigido a estas tiene novísimos canales electrónicos, como Bitcoin, Webmoney, Ukas y MoneyPak.
Los delincuentes son muy listos. A medida que los ataques se hacen más complejos, dirigidos y específicos, la seguridad tradicional se ve incapaz de localizar su origen y su alcance real. Tiempo atrás, las intrusiones podían calificarse de puntuales para aprovechar la oportunidad, pero ahora se prolongan en el tiempo camuflandose en estructuras cambiantes. TrendMicro resume la tendencia en estos términos: «con más frecuencia, los ciberdelincuentes utilizan redes opacas y plataformas de acceso exclusivas para compartir y traficar con herramientas de software criminal».
¿Redes opacas? Pues sí, la delincuencia sacará más provecho de la web profunda, así como de redes P2P (Tor, I2O, Freenet) para comercializar e intercambiar ideas y servicios. Es cierto que la colaboración entre las agencias gubernamentales ha desmantelado bandas que se mueven en esos subterráneos, pero esto les ha hecho volverse aún más clandestinas. Kaspersky Lab dictamina que «las tácticas de los ciberataques van a evolucionar con la integración de estos grupos». Por qué no decirlo, los gobiernos también actúan con clandestinidad y alevosía.
El ataque contra Sony y las ciberbatallitas entre estados, han puesto de relieve que las prácticas de seguridad de las empresas han pasado a ser materia de seguridad nacional. No se trata de robar dinero o un PIN, sino de poner en riesgo las infraestructuras nacionales. El reciente ataque a la red del Pentágono y la consiguiente respuesta de la Casa Blanca, que propone una ley que «anime al sector privado a compartir información» con el gobierno sobre amenazas, han sido las últimas escaramuzas de esta guerra.
A pesar de las medidas, en 2015 se verá un aumento de los ataques dirigidos por países, no por individuos de película. Habrá más diversidad en los objetivos y, aunque las motivaciones pueden variar, los secretos de los gobiernos, así como la información financiera y sanitaria, la propiedad intelectual y las patentes, estarán en el centro de los ataques. Las redes sociales, nuevamente, serán vectores de entrada.
Otro vector, sólo en apariencia inocuo, es Android, que recibe todas las bofetadas de los hackers interesados en husmear en los móviles. Según Luis Corrons, de Panda Security, «es cuestión de tiempo que aparezca una vulnerabilidad grave en Android que permita la ejecución remota de código y que, solo con estar navegado por Internet, instale una aplicación que abra la puerta a los datos […] es un problema que nos encontraremos de bruces más pronto que tarde».
Para ir concluyendo este repaso a las predicciones: este año se acentuará la colaboración entre empresas de seguridad y agencias gubernamentales, pero el modelo no está claro, y probablemente necesitará una redefinición legal que empezará por Estados Unidos. Hasta ahora – dicen – se ha demostrado eficaz, si bien omiten comentar las críticas que han surgido en torno a los abusos de ciertos gobiernos, en particular los de Estados Unidos y Reino Unido.
Otro rasgo de 2015 será la aplicación de la ciencia de datos (big data y analytics) a los retos de la ciberseguridad. Será útil para revelar todas las tramas de un ataque complejo, y para automatizar los procesos de prevención, detección y respuesta. Esto explicaría por qué el gasto en SIEM (Security Information and Event Management) bajará en picado – eso dice el paper de FireEye – produciendo ahorros que se desplazarán a la consecución de una mayor inteligencia sobre las amenazas y desarrollo de nuevas soluciones.
¿Hay alguna buena noticia? Quizá, con optimismo, podría llamarse así a la aparición de nuevos entrantes con enfoques innovadores orientadas a destapar las intrusiones de larga duración, que se han convertido en norma. Si así fuera, bienvenida sea la fragmentación del sector.
[informe de Lola Sánchez]