1 2 3 4 5 6 7 8

PREDICCIONES DE SEGURIDAD2014

2014 PREDICCIONES DE SEGURIDAD

1

2

3

4

5

6

7

8

El volumen de malware avanzado se reducirá.

Java continuará siendo altamente explotable y explotado, con repercusiones extendidas.

Habrá un ataque importante de destrucción de datos.

Los atacantes engañarán cada vez más a los ejecutivos y pondrán en peligro a las organizaciones a través de las redes sociales profesionales.

Redkit, Neutrino y otros kits de explotación lucharán por el poder tras el arresto del autor de Blackhole.

Se cometerán errores en seguridad “ofensiva” debido a la atribución errónea del origen de un ataque.

Los atacantes estarán más interesados en los datos en la nube que en su red.

Los delincuentes cibernéticos se concentrarán en los eslabones más débiles de la “cadena de intercambio de datos”.

Todos los otoños, los investigadores de Websense® Security Labs™ predicen las amenazas clave contra las que debe estar preparada su organización el año siguiente. Llegan a sus predicciones después de un atento análisis de datos de diversas fuentes que incluyen las tecnologías centrales y la inteligencia de seguridad de Websense que proporcionan información a nuestras soluciones de seguridad líderes de la industria, y también tendencias de amenazas cibernéticas, tecnología, política, economía y más.

Las ocho predicciones y recomendaciones que se presentan a continuación indican que los profesionales de seguridad cibernética tendrán otro año agitado en 2014. Algunos de los mayores desafíos vendrán de áreas que la mayoría de los proveedores de seguridad ni siquiera tienen en cuenta. Puede usar esta información para revisar sus defensas actuales, identificar brechas de seguridad y preparar nuevas protecciones.

INTRODUCCIÓN

ÍNDICE

1 EL VOLUMEN DE MALWARE AVANZADO SE REDUCIRÁ.

Probablemente le sorprenda escuchar esto de una compañía de seguridad cibernética, pero según los datos obtenidos de telemetría en tiempo real con la inteligencia ThreatSeeker® de Websense, que detecta amenazas en la nube, la cantidad de malware nuevo está comenzando a disminuir. Lamentablemente, estas no son buenas noticias.

Los delincuentes cibernéticos utilizarán menos el malware avanzado de gran volumen porque, con el tiempo, corre un mayor riesgo de detección. En lugar de esto, utilizarán ataques más dirigidos, de menor volumen, para afianzar su posición, robar credenciales de usuarios y moverse unilateralmente en las redes infiltradas. Si bien el volumen de los ataques disminuirá, el riesgo es aún mayor debido a la naturaleza cada vez más furtiva de las amenazas. En muchos casos, un sólo punto de entrada en la red de una organización es suficiente para crear un complejo ataque de extracción de datos.

Además, si los delincuentes cibernéticos roban credenciales de usuarios, pueden tener acceso directo a servicios en la nube e infraestructura de movilidad (por ej., VPN o RDP). Este acceso les permitiría a los delincuentes establecer su presencia mediante la creación de nuevas cuentas de usuario a nivel de dominio sin tener que recurrir a la distribución de malware masivo.

RECOMENDACIÓNLas organizaciones no pueden confiar en antivirus (AV), firewalls u otras medidas tradicionales de seguridad para proteger sus redes. Los equipos de seguridad necesitan una solución de seguridad integral que no sólo detecte la actividad de malware, sino que también esté un paso adelante y pueda detectar y brindar protección contra la actividad anómala. Es hora de transformar el pensamiento de seguridad y cambiar el enfoque de “instalar y olvidar” por el uso de una tecnología que pueda detener las amenazas mediante el análisis de conductas irregulares y el seguimiento de los datos. Para detener los ataques dirigidos más avanzados se necesita una recopilación de información amplificada que investigue la conducta de las amenazas en tiempo real.

2HABRÁ UN ATAQUE IMPORTANTE DE DESTRUCCIÓN DE DATOS.

La mayoría de los atacantes históricamente utilizaron una filtración de red para robar información con fines de lucro. En 2014, las organizaciones deben preocuparse por los estados nación (nation-states) y los delincuentes cibernéticos que utilizan una filtración para destruir datos. En esta tendencia desempeñará un papel importante el ransomware, en el que los delincuentes cibernéticos secuestran datos corporativos y exigen el pago de un rescate a cambio de la liberación de los datos. De hecho, la reaparición de CryptoLocker en 2013 demostró cómo una pequeña porción de malware en una sola computadora puede secuestrar toda una organización mediante el bloqueo de los controladores de red. Esta y otras campañas de ransomware fueron sólo la punta del iceberg. Se estima que esta tendencia afectará a las organizaciones pequeñas y medianas.

El valor monetario del ransomware puede resultar extremo; esta es la razón de la motivación continua de emplear esta estrategia de ataque. Lamentablemente, no hay garantías de que los datos secuestrados serán devueltos. Muchos delincuentes cibernéticos cobran rescate sin devolver los datos a sus propietarios legítimos.

RECOMENDACIÓNAsegúrese de que su organización esté protegida contra los ataques dirigidos, que se realicen copias de respaldo de datos de forma apropiada y que se segmente cada red. Esto eliminará la ventaja del atacante si logra tener acceso a la red, destruir sus datos o intenta secuestrar información confidencial. También sugerimos implementar una solución integral de prevención contra la pérdida de datos (DLP, por sus siglas en inglés) para permitir que su equipo pueda realizar un seguimiento y monitorear el movimiento de sus datos más confidenciales.

3LOS ATACANTES ESTARÁN MÁS INTERESADOS EN LOS DATOS EN LA NUBE QUE EN SU RED.

Los delincuentes cibernéticos concentrarán más sus ataques en los datos almacenados en la nube. Este cambio táctico sigue el movimiento de los datos empresariales críticos hacia soluciones basadas en la nube, como Google, Microsoft Office 365 y Confluence. Los atacantes descubrirán que penetrar la nube rica en datos puede ser más fácil y más rentable que atravesar las “paredes” de una red empresarial.

Sin duda, los atacantes continuarán infiltrándose en las redes empresariales para atacar usuarios, robar información y poner en peligro sus sistemas. Sin embargo, estos ataques servirán como un paso intermedio para tener acceso a servicios de terceros en la nube en lugar de a un almacén de datos interno.

RECOMENDACIÓNSugerimos implementar una solución de DLP integral que pueda ayudarlo a identificar qué datos están en la nube y dónde residen. Debe conocer quién tiene acceso a sus datos y asegurarse de que estas personas tengan controles de acceso optimizados y cuenten con la capacitación en seguridad apropiada. Además, debe asegurarse de que la base de datos que contiene su información más confidencial tenga protección adicional.

4REDKIT, NEUTRINO Y OTROS KITS DE EXPLOTACIÓN LUCHARÁN POR EL PODER TRAS EL ARRESTO DEL AUTOR DE BLACKHOLE.

Podría decirse que el kit de explotación Blackhole fue el más exitoso de la historia. Todo cambió en octubre de 2013 cuando “Paunch” el supuesto pirata informático y autor del famoso kit, fue arrestado en Rusia. Websense Security Labs predice que en 2014 presenciaremos una lucha por el liderazgo del mercado entre varios kits de explotación existentes y nuevos candidatos. Al igual que las organizaciones criminales del mundo real, ahora que el cabecilla ha sido eliminado, otros aumentarán en popularidad y lucharán por el dominio.

Hasta el arresto de Paunch, Blackhole obtuvo el porcetaje de utilización más alto de la actividad de explotación y por un buen motivo: su dueño era experto en mantenerse actualizado sobre las vulnerabilidades más recientes. A Blackhole le seguían en popularidad los kits de explotación Cool, Gong da y Redkit. Pero el mercado de kits de explotación se derrumbó casi de inmediato; en el transcurso de un mes desde el arresto de Paunch, Blackhole había caído del primer puesto al octavo puesto detrás de Redkit.

Para llenar el vacío, anticipamos que Redkit y Neutrino afianzarán su posición el año próximo. Neutrino ha incorporado rápidamente las vulnerabilidades del día cero de Microsoft Internet Explorer y se ha convertido en forma acelerada en el reemplazo de Blackhole. También anticipamos que se verán aparecer kits de explotación fragmentados con más frecuencia que los kits importantes. Esta fragmentación aumentará el volumen de kits de explotación que los profesionales de seguridad de la información deben monitorear.

RECOMENDACIÓNLos profesionales de seguridad de la información necesitan estar actualizados sobre cómo cambiará el mercado de kits de explotación en 2014. Visite el blog de Websense Security Labs para conocer las últimas novedades sobre desarrollos de kits de explotación: http://community.websense.com/blogs/securitylabs.

5 JAVA CONTINUARÁ SIENDO ALTAMENTE EXPLOTABLE Y EXPLOTADO, CON REPERCUSIONES EXTENDIDAS.

A pesar de las muy publicitadas y exitosas explotaciones de vulnerabilidades de Java durante todo 2013, la mayoría de los puntos finales continúa utilizando versiones más antiguas de Java y, por lo tanto, permanecen extremadamente expuestos a explotaciones.1 No se espera que la situación cambie en 2014.

Detrás de la mayoría de las decisiones de no actualizar Java está el pragmatismo, no la ignorancia. Los parches continúan siendo una opción inviable para muchas organizaciones, en particular las que utilizan aplicaciones críticas para la empresa que no se han actualizado para respaldar versiones más recientes de la plataforma. Y los enfoques alternativos que combinan tácticas diferentes le consumen mucho tiempo al departamento de Tecnología para el diseño y la implementación.

Además, anticipamos repercusiones en todo el panorama de amenazas.Las mismas incluyen:

• Al poder elegir entre numerosas explotaciones de Java probadas, los delincuentes cibernéticos dedicarán más tiempo a buscar nuevos usos para ataques probados y confiables o para diseñar otros aspectos de sus ataques avanzados de varias etapas.2

• Los delincuentes cibernéticos buscarán en otra parte oportunidades igualmente explotables. Nuestros investigadores están prestando especial atención a Flash, kits web y a muchas otras plataformas populares que, al igual que Java, son populares, fáciles de explotar y están actualizadas de forma incongruente.

• Los delincuentes cibernéticos reservarán el uso de explotaciones Java del día cero para atacar redes de gran valor con buenas prácticas de parches Java.

RECOMENDACIÓNPara compensar las necesidades comerciales con los requerimientos de seguridad empresarial, las mejores prácticas son una combinación de tácticas. Utilice parches, desinstale Java cuando no lo necesite e implemente un enfoque de “navegador alternativo”. El enfoque de navegador alternativo destina máquinas y navegadores para el uso de aplicaciones basadas en Java y todos los demás equipos se mantienen seguros contra vulnerabilidades de Java. También sugerimos que implemente soluciones de seguridad cibernética integrales e integradas.

1 Blog de Websense Security Labs, 5/9/13, “New Java and Flash Research Shows a Dangerous Update Gap” (Nueva investi gación de Java y Flash muestra una brecha de actualización peligrosa), http://wb-sn.com/16p9YPz2 Obtenga más información sobre las Siete etapas de las amenazas avanzadas en www.websense.com/sevenstages.

6LOS ATACANTES ENGAÑARÁN CADA VEZ MÁS A LOS EJECUTIVOS Y PONDRÁN EN PELIGRO A LAS ORGANIZACIONES A TRAVÉS DE LAS REDES SOCIALES PROFESIONALES.

Durante la primera etapa de la cadena de ataques avanzados, los delincuentes cibernéticos realizan un reconocimiento para obtener información sobre sus víctimas potenciales.3 En 2014, los atacantes usarán cada vez más las redes sociales orientadas al trabajo, como LinkedIn, en lugar de redes sociales personales (por ej., Facebook) para orientar sus ataques a los profesionales. La información obtenida de este modo se utilizará para poner en peligro las redes.

Predecimos que muchas de las tácticas de los delincuentes cibernéticos que son exitosas cuando están orientadas a usuarios de redes sociales personales se aplicarán de maneras nuevas e innovadoras en las redes sociales profesionales. Por ejemplo, en octubre de 2013, los investigadores de Websense Security Labs descubrieron un perfil falso de LinkedIn que identificaba blancos para una próxima campaña de phishing.4 Un falso usuario llamado “Jessica Reinsch” se comunicaba con usuarios específicos de LinkedIn elegidos por sus puestos de trabajo, el tamaño de la empresa y otra información. Los delincuentes cibernéticos luego engañaban a estos contactos para que aprobaran la cuenta falsificada y visitaran su sitio web malicioso. Esto agregaba credibilidad al perfil falso y proporcionaba a los atacantes información sobre la red profesional de cada blanco.

RECOMENDACIÓNLas redes son una poderosa herramienta comercial. Lamentablemente, pueden proporcionar a los delincuentes cibernéticos acceso a las conexiones sociales de un profesional y convertirse en un canal de comunicación directo para esparcir malware. Para evitar ser víctimas de ataques cibernéticos diseñados para las redes sociales, los miembros de LinkedIn y otras redes profesionales sociales deben estar atentos a las personas que intentan conectarse con ellos. Es necesario verificar que una relación es legítima antes de agregar conexiones y determinar por qué esta persona quiere interactuar. Además, como mejor práctica, sugerimos educar a su fuerza de trabajo

3 Obtenga más información sobre la cadena de ataques avanzados en www.websense.com/sevenstages.4 Blog de Websense Security Labs, 31/10/13, “LinkedIn Lure Looking for Love-ly Profiles, Possibly More” (Señuelo de LinkedIn en

busca de perfiles encantadores; posiblemente más), http://wb-sn.com/1b6yO8y. 5 Vuelva a verlo en www.websense.com/sevenstages.

7LOS DELINCUENTES CIBERNÉTICOS SE CONCENTRARÁN EN LOS ESLABONES MÁS DÉBILES DE LA “CADENA DE INTERCAMBIO DE DATOS”.

Tras varios años de ser objeto de piratería y ataques, muchos blancos gubernamentales y empresariales de alto valor han mejorado significativamente sus estrategias y capacidades de defensa. Por esta razón, los delincuentes cibernéticos persiguen cada vez más a contratistas, proveedores y otras personas que forman la “cadena de intercambio de datos” junto con los blancos más valiosos y de mayor tamaño, ya que una menor cantidad de estos socios cuentas con las defensas suficientes. Cualquier organización que forme parte de la cadena de intercambio de datos es un blanco potencial o puede ser utilizada para atacar al “pez gordo”.

A medida que las transacciones dejan de utilizar dinero físico para pasar a utilizar formas digitales como las “billeteras electrónicas”, el número de organizaciones en la cadena de intercambio de datos continuará aumentando. Los delincuentes cibernéticos podrían dirigir sus ataques a cualquier organización dentro de la cadena que cobre, procese, registre o facture cualquier parte de estas transacciones.

RECOMENDACIÓNEs necesario que comprenda el alcance del flujo de datos de su organización y garantice su protección en todas las etapas del proceso. Debe examinar las medidas de seguridad que están tomando sus socios y formular preguntas según la naturaleza de su relación y la función empresarial que realizan. También sugerimos desarrollar criterios para las medidas de seguridad de correo electrónico, seguridad web, seguridad de datos y seguridad en la nube que espera que sus proveedores y socios implementen.

8SE COMETERÁN ERRORES EN SEGURIDAD “OFENSIVA” DEBIDO A LA ATRIBUCIÓN ERRÓNEA DEL ORIGEN DE UN ATAQUE.

Durante muchos años, hemos oído hablar acerca de la seguridad “ofensiva”, en la cual los gobiernos y las empresas de todo el mundo han amenazado con golpes de represalia a cualquiera que fuera atrapado atacándolos a ellos o a sus intereses. Del mismo modo que en la guerra tradicional, en estas trincheras cibernéticas se cometerán errores tácticos cada vez con mayor frecuencia.

Los equipos de seguridad podrían sentirse justificados de efectuar contraataques cibernéticos en respuesta a incidentes perjudiciales entrantes, pero la realidad es que es excepcionalmente difícil atribuir correctamente el origen real de un ataque, incluso para los expertos más experimentados. La imposibilidad de identificar con precisión al culpable podría desencadenar un golpe de represalia contra el dueño de un sitio web comprometido, usurpado en el ataque. Como resultado de esto, las organizaciones inocentes atrapadas en el fuego cruzado sufrirán consecuencias variadas y potencialmente graves.

Otras repercusiones son menos claras pero aun así capaces de causar un gran impacto. Los ataques que afectan a blancos equivocados pueden provocar numerosas demandas judiciales entre las partes afectadas, y la falta de precedente legal en este ámbito podría demorar o impedir una resolución oportuna.

RECOMENDACIÓNNunca devuelva un ataque, ya que los ataques ofensivos hacen más mal que bien. En lugar de esto, adopte una respuesta sólida ante los incidentes y un programa que dé prioridad a la seguridad para reunir la mayor cantidad de información forense posible antes de entregársela a los equipos internos o terceros confiables. Cuanta más información pueda reunir en esta etapa, mejor. Además, mejore las defensas de prevención contra ataques de su organización agregando defensas en tiempo real que se correlacionen con la cadena de amenazas avanzadas.6

6 Vuelva a verlo en www.websense.com/sevenstages.

© 2013 Websense, Inc. Todos los derechos reservados. Websense, TRITON y el logotipo de Websense son marcas comerciales registradas de Websense, Inc. en los Estados Unidos y varios países. Todas las demás marcas comerciales son propiedad de

sus respectivos dueños. [REP-SECPRED-191213-ES-LATAM-A4]

Websense, Inc. es líder global en protección de organizaciones contra el robo de datos y los últimos ataques cibernéticos. Las soluciones de seguridad integral Websense TRITON® unifican la seguridad web, la seguridad de correo electrónico, la seguridad móvil y la prevención de la pérdida de datos (DLP) al menor costo total de propiedad. Cientos de miles de empresas confían en la inteligencia de seguridad de Websense TRITON para detener amenazas persistentes avanzadas, ataques dirigidos y malware en evolución. Websense previene las fugas de datos, el robo de propiedad intelectual y aplica el cumplimiento de seguridad y las mejores prácticas. Una red global de socios de canal distribuye las soluciones Websense TRITON escalables, unificadas, basadas en la nube y basadas en appliances. Websense TRITON detiene más amenazas; visite www.websense.com/proveit para comprobarlo. Para tener acceso a la última información de seguridad de Websense y conectarse a través de los medios sociales, visite www.websense.com/smc.

Para obtener más información, visite www.websense.com/latam y http://es.websense.com/content/websense-triton-security-products.aspx.

ACERCA DE WEBSENSE