Por Carl Leonard, Analista Principal de Seguridad de Forcepoint
En noviembre pasado
dimos a conocer
nuestras Predicciones de Seguridad para 2018. Hoy, seis meses después,
podemos revisar cuántas de nuestras predicciones ya se han cumplido. Si
bien estamos satisfechos con nuestra precisión, la realidad puede ser
hasta cierto punto decepcionante, ya que muchas
de estas predicciones plantean un riesgo adicional para las empresas.
El objetivo de nuestras
Predicciones de Seguridad es ayudar a entender mejor los riesgos que
enfrentan las organizaciones y cómo pueden defenderse mejor contra
ellos. Ofrezco mis principales
consejos para mitigarlos al final de este blog.
Nuestras
ocho predicciones para 2018 giraron alrededor del tema de la privacidad
con regulaciones como GDPR, que incitan a las organizaciones a pensar
de manera crítica sobre cómo están protegiendo
los datos personales y la propiedad intelectual. También abordamos la
encripción ubicua, la agregación de datos, las criptomonedas y el
ransomware.
La privacidad contraataca
Nuestra
primera predicción anticipó “Las Guerras de la Privacidad”, un debate
que polariza a tecnólogos y miembros del público, dividiendo la opinión
en el gobierno, el trabajo
y el hogar.
Este
debate se ha generalizado en parte al sonado caso de Cambridge
Analytica, en el que Facebook está involucrado. Las revelaciones se han
dado a conocer por la
prensa,
destacando hasta qué punto se
han recolectado y utilizado los datos privados de la gente durante
muchos años por dicha red social y la firma de consultoría. Mark
Zuckerberg se presentó
ante el Congreso de Estados Unidos mientras los usuarios de Facebook y
periodistas están siguiendo muy de cerca el caso. Uno podría haber
anticipado esto como una “sorpresa predecible” con una tormenta perfecta
de compartir, reunir y procesar que sólo se podría
imaginar hace diez años. Como una historia destacada de 2018, el
resultado despertará el debate en el dominio público de los próximos
años.
Los
sistemas activados por voz se están integrando en decenas de millones de
hogares capturando y respondiendo a comandos. Si está interesado en lo
que Apple, Google y Amazon
han estado recabando, este artículo
describe cómo eliminar el historial de comandos de voz de dispositivos como Alexa.
No
se trata sólo de lo que nos gusta, a quién seguimos o por qué nos
agradan los videos de gatos, lo que es objeto del debate. Los datos
biométricos ahora se utilizan en
las calles de las ciudades para identificar a individuos que han
despertado el interés de la policía como en este
ejemplo
de lectores portátiles de huellas digitales que se utilizan en el Reino Unido.
GDPR
hará mucho por salvaguardar la privacidad y los datos personales de los
ciudadanos de Estados Unidos, en particular, asegurándose de que la
información se utilice para
el propósito previsto, estén protegidos y no terminen en manos de los
criminales que puedan abusar de ellos. Esto nos lleva a nuestra segunda
predicción.
GDPR: Postergar hoy, entrar en pánico mañana
Anticipamos que muchas
organizaciones tardarían en prepararse para GDPR y al parecer muchas
apenas están iniciando hoy programas con miras a estar “listos para
GDPR”. ¿No es esto “demasiado
tarde”? Espero que no.
El Reglamento General de Protección de Datos
(GDPR, por sus siglas en inglés) entrará en vigor a partir del 25 de
mayo de 2018. La fecha está cada vez más cerca y a juzgar por la
discusión en conferencias de seguridad cibernética y ferias de negocio
de los últimos seis meses, muchas empresas simplemente
no están conscientes de sus responsabilidades respecto a las
regulaciones y no están preparadas para responder frente a una brecha de
datos personales.
Si bien la tecnología
no es la respuesta total para el rompecabezas de Personas, Procesos y
Tecnología, puede ser un indicador importante para descubrir problemas
alrededor de la pérdida de
datos y el comportamiento anómalo. Evidentemente, Forcepoint puede
ayudar; revise nuestros
Paquetes de Recursos para GDPR, así como mis
5 Mejores Consejos para iniciar el cambio en las organizaciones.
Creo que todos están esperando ver cómo se desarrollan las cosas después de mayo.
Disrupción de las cosas
Pronosticamos
que los dispositivos de Internet de las Cosas (IoT) no serían objeto de
secuestro tanto como son aprovechados para la destrucción en 2018. Eso
no impidió que
el Oxford English Dictionary
añadiera “ransomware” a sus páginas en 2018.
Las encuestas
identificaron que casi una
tercera parte de las compañías de electricidad no habían dedicado una
consideración especial a la seguridad de las redes como parte de su
implementación de IoT,
una observación preocupante si esto es cierto. Los encargados de hacer
pruebas de penetración se están dando cuenta de la falta de una
configuración cuidadosa; en particular, una firma identificó que los
sistemas de calefacción escolares
son vulnerables a la manipulación.
MIT Technology Review
incluyó en una lista a las
ciudades inteligentes como una de las 10 Tecnologías Innovadoras para
2018, así que pareciera que la superficie que se ofrece a los criminales
cibernéticos sigue
aumentando. Cuando hablamos de dichas aplicaciones para IoT vale la
pena mencionar que 2018 ha presentado el
primer descubrimiento público
de un minero de criptomonedas
no autorizado en un entorno de ICS (Sistemas de Control Industrial) o
SCADA (control de supervisión y adquisición de datos).
Y a propósito…
El aumento en el robo de criptomonedas
Todos
sabemos que los cibercriminales van tras el dinero. Ha habido numerosos
ataques a los sistemas de criptomonedas en los últimos seis meses que
se apegan a nuestra predicción.
De hecho, y si esto puede preverse, realmente no sorprende. (“Sorpresas
predecibles” es de hecho una frase de la que el Dr. Richard Ford,
nuestro Científico Jefe, ha hablado en su
blog).
Durante
2018 descubrimos que subirse al carro de la criptomoneda y blockchain
puede ser bueno y malo para las empresas. La compañía detrás de la
criptomoneda, USDT (Tether),
admitió
que $31 millones de dólares se
han perdido debido a los ataques externos registrados a finales de 2017.
Algunas organizaciones, por otra parte, disfrutan que cambie su suerte a
medida
que los precios aumentan considerablemente luego de que se anunciaran
programas de blockchain.
Haciendo
una comparación con el método de entrega del ransomware NotPetya de
mediados de 2017, la versión Windows de la billetera de criptomonedas
Bitcoin Gold
aparentemente se comprometió desde su origen y fue
remplazada con una versión que robaba fondos.
Hemos visto reportes de que compañías británicas están
acumulando
BitCoin en preparación para
pagar un rescate. Aunque no recomendamos pagar, algunas empresas están
optando por explorar todas las opciones.
Agregadores de datos
Aunque
todos los ojos están puestos en el caso de Facebook / Cambridge
Analytica, aún está por conocerse su impacto real. En noviembre
pronosticamos que el atractivo de grandes
cantidades de datos y el complejo ingreso y egreso generará un desafío
de seguridad para los agregadores de datos. Los criminales cibernéticos
han conocido por mucho tiempo el valor extra de construir FULLS (series
completas de información correspondientes
a los individuos).
A
medida que los modelos de negocio legítimos extraen y combinan el oro
que son las fuentes de datos dispares, ha sido evidente que el resultado
puede superar a menudo a
la intención original. La creación de mapas de calor
con los datos de la aplicación
de entrenamiento Strava combinados con datos de GPS permitió ver la
información, ubicación y patrones de recorridos de los usuarios.
Seguridad de la nube
No es un secreto que
las organizaciones se están moviendo (o planean hacerlo pronto) a la
nube. Están haciendo esto en masa, como lo muestra un
reporte de Okta dado a conocer en enero de 2018. Microsoft Office 365 tiene más de 120
millones de usuarios mensuales activos, de acuerdo con información
de Ars Technica.
Pronosticamos que el
movimiento hacia el cómputo en la nube aumentaría el riesgo de sufrir
una brecha por parte de un miembro interno confiable.
En el caso de Deloitte,
una de las “cuatro grandes” firmas de contabilidad, las credenciales
del administrador se utilizaron para tener acceso al servidor de correo
corporativo. La autenticación
de dos factores (2FA) no se había implementado junto con el acceso
cerrado mediante sólo una contraseña. A medida que más empresas se
mueven a la nube, cerrar sistemas críticos y asegurar los datos
contenidos en ellos tendrán aún mayor relevancia.
Con
la notificación obligatoria de brechas que dictan regulaciones como
GDPR, será interesante analizar la causa de las brechas de datos y cómo
se relacionan con la seguridad de la nube después
de mayo.
Encriptado de manera predeterminada – Las implicaciones para todos
A partir de julio de 2018, Google Chrome
etiquetará
a todos los sitios HTTP como “No Seguros” en un
intento por obligar a los webmasters a utilizar HTTPS. Como lo
reportamos en noviembre de 2017, únicamente 70 de los 100 principales
sitios web, que no son
de Google, y que representan el 25% de todo el tráfico de sitios web,
están usando HTTPS de forma predeterminada. ¿Está usted usando HTTPS en
sus sitios web de forma predeterminada?
Nuestra
predicción fue que una mayor cantidad de malware se volverá consciente
de MITM; esto es, se dará cuenta cuando un producto de seguridad esté
examinando el
tráfico encriptado y responderá en consecuencia. Continuaremos dando
seguimiento a la adopción de dichas técnicas.
Las principales propiedades web siguen batallando con HTTPS: Los gobiernos están
olvidando
renovar los certificados, los bancos aún no han migrado
a HTTPS en sus páginas de inicio, e implementaciones de sitios web comunes están
mostrando
problemas.
Si se desea revisar el desempeño de la configuración de los servidores SSL, se puede utilizar el renombrado
SSL Server Test
que ofrece Qualys. Si el resultado no es muy bueno, se debe considerar
pasar a HTTPS de forma predeterminada para ofrecer una experiencia más
segura a los usuarios.
La noticia no es tan mala. Facebook ahora
utiliza
las listas de precarga HSTS y Chronium para cargar enlaces externos como HTTPS.
El siguiente gran avance para la industria
La
migración a la nube, la determinación de los adversarios y la avalancha
de brechas de datos le dificultan a los equipos de TI equilibrar la
combinación correcta
de recursos entre la detección, la mitigación y la prevención. Hemos
estado esforzándonos para hacerlo más sencillo.
Forcepoint está a la vanguardia en ofrecer seguridad centrada en los humanos. Nuestros recientes
anuncios
y cobertura de la conferencia 2018 RSA demuestran cómo estamos redefiniendo la seguridad cibernética con el lanzamiento de
Dynamic Data Protection
para ofrecer Protección que se Adaptable a los Riesgos.
Consejos para mitigar los riesgos
·
Muchas empresas reúnen datos
personales para marketing, ventas o necesidades empresariales generales.
Revise su política de privacidad y busque proteger esos datos.
·
Trabaje para finalizar su plan de
preparación para GDPR. Identifique sus datos críticos (personales y
propiedad intelectual), busque protegerlos y prepare un plan de
respuesta a incidentes.
·
Si ha adquirido criptomonedas, busque proteger la billetera contra atacantes maliciosos.
·
Considere la amenaza que representa
usar aplicaciones de nube en su organización ¿Tiene las herramientas
para descubrir un problema de Shadow IT, o proteger los datos dentro de
las
aplicaciones autorizadas?
·
Si usted agrega datos, es importante
entender el impacto de combinar esas fuentes y cómo eso afecta a sus
usuarios y la declaración original del propósito de dicha recolección y
procesamiento
de datos. Revise sus políticas en consecuencia.
·
Considere implementar la tecnología
SSL Inspection para permitir la intercepción del tráfico de comando y
control malicioso usando HTTPS.
·
Migre su sitio web a HTTPS y dejar atrás HTTP. De lo contrario, a partir de junio Google Chrome lo marcará como “No Seguro”.
Nuestra calificación hasta hoy
Apenas
seis meses después de que liberamos nuestras Predicciones de Seguridad
para 2018, nos hemos calificado con B+. Una calificación alta para
nosotros desafortunadamente significa que muchas
de nuestras predicciones son acertadas. Seguiremos monitoreando su
desarrollo durante el año.
Predicciones para 2019
Continuaremos
haciendo un análisis de nuestras Predicciones de Seguridad para 2018,
mientras trabajamos en una nueva serie de predicciones para 2019 que
serán liberadas a finales del año.
No hay comentarios:
Publicar un comentario