Ataques nuevos y ataques viejos convertidos en nuevos

Por Derek Manky, estratega de Seguridad global en Fortinet

Si bien los ciberdelincuentes dependen de la innovación para mantenerse a la vanguardia de los mecanismos de seguridad, también buscan mantener sus costos bajo control y maximizar su rentabilidad. Como resultado, los ataques genuinamente nuevos no sólo son raros, sino que son superados en gran medida por el malware reconfigurado y la resurrección de ataques antiguos en una nueva envoltura.

El Informe del Panorama de Amenazas de Fortinet para el cuarto trimestre de 2018 volvió a corroborarlo, lo que demuestra que el uso de malware existente o el uso indebido de las herramientas de seguridad de software de fuente abierta (FOSS, por sus siglas en inglés) aumentó un 10 por ciento durante ese trimestre. Al mismo tiempo, los exploits únicos solo aumentaron un 5 por ciento. El informe también destacó cuatro escenarios adicionales que deben considerarse:

  1. Adware: El adware ha superado ya a una cuarta parte de todos los tipos de infección en América del Norte, América Latina y Oceanía, y casi ha alcanzado esa marca en Europa. Parte del motivo es que el adware se encuentra cada vez más en aplicaciones publicadas en tiendas de aplicaciones legítimas.
  2. Herramientas de openware: las herramientas de FOSS publicadas en sitios de intercambio como GitHub proporcionan soluciones asequibles y flexibles para la prueba de penetración, la gestión de eventos o registros y la detección de malware. Por lo general, incluyen códigos y herramientas de fuente abierta para que puedan ser personalizados para las necesidades específicas de un investigador, capacitador u organización. Sin embargo, los ciberdelincuentes también tienen acceso a ellos, y los están aprovechando cada vez más en nuevas amenazas, especialmente en el ransomware.
  3. Estenografía: esta estrategia de ataque ha existido durante años y se utiliza para ocultar algo (código malicioso, por ejemplo) dentro de otra cosa que parece inocente o inocua, como una foto o un video. La estrategia es muy antigua, sin embargo, FortiGuard Labs observó nuevas muestras de estenografía en feeds de redes sociales con cargas maliciosas ocultas dentro de los memes. Una vez cargado, el software le indica al malware que busque imágenes adicionales en un feed de Twitter asociado que contenga comandos ocultos, actualizando así un antiguo ataque con una nueva estrategia.
  4. Convergencia de físico e IP: los actores malintencionados apuntan cada vez más a las cámaras de seguridad conectadas porque carecen de los protocoles de seguridad de red necesarios para la protección. Es por eso que un tercio de los 12 principales exploits globales identificados en el cuarto trimestre de 2018 fueron dirigidos a estas cámaras de seguridad.

¿Cómo responder?

El tipo de ataque contra el que una organización necesita defenderse es generalmente menos importante que la estrategia de ataque y los vectores de ataque que se están explotando. Las defensas deben evolucionar para abordar estas nuevas estrategias de ataque, incluyendo elementos como el control de acceso a la red, combinado con una segmentación avanzada basada en intención. En el futuro, las organizaciones deberán incluir elementos como inteligencia artificial y aprendizaje automático para combatir nuevos ataques generados por máquinas.

El reto será triple. Primero, los ataques serán más rápidos que nunca, especialmente cuando las redes adopten por ejemplo las conexiones 5G. En segundo lugar, al igual que los dispositivos de red, los ataques estarán interconectados, lo que les permitirá realizar ataques coordinados dirigidos a múltiples vectores simultáneamente. Y tercero, los escenarios de ataque se volverán más complejos a medida que los actores criminales adopten nuevas estrategias para acelerar y automatizar las intrusiones mientras evaden la detección.

Para contrarrestar estos ataques se requiere una visibilidad transparente en toda la superficie de ataque potencial, incluidas las redes sociales y dispositivos móviles, y un control fuerte y centralizado para una estrategia de defensa integral y unificada. La combinación de fuentes de inteligencia de amenazas en tiempo real con una estrategia de seguridad unificada permite a las organizaciones detectar y mitigar la avalancha de nuevos ataques que enfrentan continuamente.