Predicciones en Ciberseguridad 2019: una revisión de mitad de año

 

 

Como cada año, recopilamos las predicciones que hacen nuestros investigadores, científicos e ingenieros. Anticipamos los cambios que se darán en el mundo de las amenazas, las tendencias en la adopción de tecnología, los factores regulatorios y de cumplimiento, así como otras influencias que impactarán la manera en que usted trabaja en el actual entorno empresarial.

 

En noviembre de 2018 dimos a conocer nuestras Predicciones en Ciberseguridad 2019; ahora que hemos llegado a la mitad del año, pensamos que vale la pena hacer una revisión de los puntos clave hasta el momento.

 

El tema preponderante del Reporte de Predicciones en Ciberseguridad 2019 de Forcepoint fue la confianza. Es un hecho que la confianza sustenta las relaciones; las relaciones entre las empresas y los empleados, entre el negocio y los clientes, entre las compañías y los inversionistas, y a lo largo de la cadena de suministro. Los ataques cibernéticos (sean intencionales o accidentales) pueden socavar dicha confianza y causar pérdidas financieras importantes, reducir el valor en el mercado, afectar la reputación, dar lugar a multas por incumplimiento regulatorio (se calcula que se han impuesto  100 multas por no cumplir con el GDPR y existen 60,000 reportes de robo de datos en Europa) y provocar la pérdida de clientes. A nadie sorprende que la Encuesta Global sobre la Percepción de Riesgos 2019 del Foro Económico Mundial colocara a los ataques informáticos en el cuadrante de alto impacto y alta probabilidad.

 

Nuestras predicciones para 2019 reflejaron la confianza que ponemos en la gente, los procesos y la tecnología. A continuación, un resumen de los principales pronósticos que se han cumplido hasta ahora en 2019.

 

Nuestra Predicción: “Surgirán ‘calificaciones crediticias de la seguridad’ en la industria a medida que las organizaciones buscan garantías de que los socios y las cadenas de suministro son confiables.”

Como consumidores estamos acostumbrados a consultar nuestra calificación crediticia que las instituciones financieras utilizan para determinar si somos aptos para tener tarjetas de crédito, préstamos e hipotecas. Esto permite que dichas organizaciones gestionen el riesgo y hagan un pronóstico del resultado deseado – en este caso que paguemos lo que nos prestan. En el ámbito de la seguridad cibernética, no es posible obtener puntuaciones/calificaciones de la ciberseguridad derivadas de una variedad de factores para indicar qué tan segura es una organización, y el éxito con el que puede proteger sus datos. La calificación de una compañía que ha sido víctima del robo de datos podría ver afectada de forma muy negativa después de sufrir una brecha.

 

En 2019, hemos visto como los gobiernos le están dando gran importancia a dichas calificaciones. En enero de este año, el gobierno del Reino Unido calificó las medidas de seguridad informática de los ayuntamientos usando una escala RAG. En octubre de 2018, la Cámara de Comercio de Estados Unidos dio a conocer la primera evaluación nacional de la ciberseguridad denominada “Evaluación de la Ciberseguridad Empresarial” (ABC). Ambos sistemas buscan identificar áreas de riesgo y de mejora potencial.

 

En mayo de 2019, Equifax bajó su perspectiva – la primera vez que se hace citando problemas de seguridad como un factor relevante. La fiabilidad y confianza en la seguridad cibernética de una organización seguirá teniendo una influencia importante en el mercado bursátil.

Con el propósito de ayudarle a fortalecer la confianza que usted pone en los proveedores de nube, puede consultar el STAR Registry de la Cloud Security Alliance, en el cual se hace una evaluación de los proveedores de servicios de nube. El registro de Forcepoint es el siguiente: https://cloudsecurityalliance.org/star/registry/forcepoint-llc/

 

Nuestra Predicción: “Los atacantes van a alterar los dispositivos de Internet de las Cosas Industrial (IIoT) usando las vulnerabilidades de la infraestructura y del hardware de la nube”.

Nuestra predicción se derivó de la evolución de nuestros pronósticos previos. En nuestras Predicciones 2015 hablamos de ataques contra los dispositivos conectados, de los ataques de 2018 contra la comunicación entre dispositivos y de los ataques de 2019 a la infraestructura de nube que soporta los sistemas de IIoT.

 

En marzo de 2019, los senadores de Estados Unidos presentaron la “Ley de Mejoramiento de la Ciberseguridad de IoT de 2019” ante el Senado y la Cámara de Representantes de ese país. El objetivo de dicha legislación es “aprovechar el poder que tiene el Gobierno Federal para fomentar una mayor seguridad informática en los dispositivos de Internet de las Cosas, y para otros propósitos”. Dichas iniciativas pueden ayudar a promover la ciberseguridad y alentar a los fabricantes a integrar la “seguridad por diseño” a fin de mejorar los sistemas sin importar si se implementan en un entorno de consumo, industrial o de CI.

 

El Proyecto Top 10 para 2018 de OWASP Internet of Things (IoT) se dio a conocer en diciembre de 2018, en el que se hace una actualización de su listado de 2014. OWASP ofrece un inventario consolidado de los riesgos, las amenazas y las vulnerabilidades a los que se enfrentan desarrolladores, empresas y consumidores. OWASP calificó a las “contraseñas débiles, fáciles de adivinar o de código fijo” como el principal problema que afecta a los sistemas de IoT. Muchos de los problemas incluidos se aplican al espacio de ICS/IIoT, especialmente porque los dispositivos que tienen una seguridad pobre se introducen a los entornos de IIoT. El tercero de los 10 principales problemas se relaciona mucho más de cerca con nuestra predicción, mientras que los 9 restantes destacan que los obstáculos que un atacante debe superar para penetrar a dichos sistemas son muy sencillos.

En la primera mitad de 2019 ha quedado en evidencia una serie de vulnerabilidades de los sistemas de nube y del deseo del gobierno de mejorar la situación específicamente para IoT.

 

Nuestra Predicción: “Los hackers utilizarán el software de reconocimiento facial, y las organizaciones responderán con sistemas basados en el comportamiento”.

El uso de la biometría para la autenticación no es algo nuevo, pero los fabricantes de teléfonos y los bancos, entre otros, lo han popularizado. Hicimos nuestra predicción a partir de cuándo se comenzó a utilizar un escáner de rasgos faciales de una persona al descubrir que los atacantes buscan acceso, y evaden, los sistemas de autenticación para tener acceso a los datos detrás de esa puerta.

 

En 2019, las tecnologías de reconocimiento facial sufrieron un revés al citarse razones de privacidad. Destaca la ciudad de San Francisco, California, donde se prohíbe el uso del reconocimiento fácil por parte de las organizaciones gubernamentales, así como el hecho de que las autoridades del Reino Unido han cuestionado el uso de dicha tecnología. Sin embargo, con la atención (no deseada) puesta en los sistemas de reconocimiento de voz y las bases de datos nacionales de inteligencia biométrica, seguiremos pendientes de esta área. Nuestra predicción esencialmente plantea la pregunta de “Si se puede abusar de los métodos de identificación y autenticación, ¿nosotros como defensores a quién tenemos que recurrir?”

 

Nuestra Predicción: “No hay una IA real en la ciberseguridad, ni existen probabilidades de que se desarrolle en 2019”.

Nuestra predicción tal vez pudo haber causado asombro, pero la hicimos a partir de la adopción de subcampos de la inteligencia artificial (IA) en el terreno de la seguridad informática. La IA en su sentido más real tiene aún que desarrollarse en todas las industrias, pero el machine learning (ML) y los algoritmos soportados por expertos humanos definitivamente tienen que hacerlo aún más. Consulte el Índice de IA de Stanford para conocer la adopción global de dichas tecnologías.

 

Las adquisiciones y ofertas públicas iniciales de 2019 de los proveedores de seguridad informática que usan la IA/ML demuestran su apoyo para los métodos empleados mientras que otras industrias están observando de cerca el impacto que la IA tendrá en ellas; la Administración de Alimentos y Medicamentos de Estados Unidos propuso un marco regulatorio para el software basado en IA que se utiliza en los dispositivos médicos. En otros sectores observamos fallas provocadas por la IA que se utiliza para solucionar vulnerabilidades del software y avances en la generación automática de imágenes del cuerpo completas usando la IA.

 

El jefe de Forcepoint X-Labs, Raffael Marty, hizo una presentación alrededor de esta predicción en la reciente conferencia Ai4Cybersecurity. ¿Está de acuerdo con lo que expuso?

Predicciones 2020

A medida que el año avanza, van a surgir otros problemas. Para finales de este año presentaremos una evaluación completa de qué tan precisas fueron nuestras Predicciones en Ciberseguridad 2019. También daremos a conocer nuestras Predicciones en Ciberseguridad para 2020, de modo que usted sabrá qué puede esperar en los próximos años; ya estamos pensando en ellas.