En 2020, el correo electrónico seguirá siendo el vector de amenaza inicial elegido por la mayoría de los atacantes para ejecutar campañas de phishing de robo de credenciales; ataques dirigidos de malware para establecer un punto de ataque dentro de las organizaciones; y para la distribución generalizada de troyanos bancarios, downloaders, backdoors y demás, según las predicciones de Proofpoint.
Además, sistemas de correo cloud como Microsoft Office 365 y GSuite serán objetivos en sí mismos, ya que suponen una buena plataforma para poder realizar ataques futuros y movimientos laterales dentro de las organizaciones.
Los investigadores de Proofpoint han analizado las principales ciberamenazas de los últimos doce meses para predecir su evolución en 2020. Durante este periodo han observado los resultados de la distribución generalizada de herramientas de administración remota (RATs) y downloaders, la significativa evolución de ataques de suplantación de identidad y amenazas cada vez más sofisticadas contra aplicaciones en cloud.
Tendencias en ciberseguridad para 2020
Ransomware
A pesar de su casi total ausencia como contenido principal en correos maliciosos, el ransomware siguió acaparando titulares en 2019, especialmente por los grandes ataques registrados. Se espera que este tipo de ataques, en los que los ciberdelincuentes centran el tiro en servidores y dispositivos de entornos de misión crítica, por los que pueden pedir rescates más altos ya que están más dispuestos a pagar por desencriptar sus archivos para recuperar rápidamente los sistemas, continúen en 2020.
Sin embargo, este tipo de infecciones suelen ser la segunda parte de ataques primarios con RATs, downloaders y troyanos bancarios, lo que hace que la prevención de las infecciones iniciales sea clave. En 2020, las organizaciones verán que, una vez que ya han sido víctimas de ataques de ransomware, se encuentran comprometidas con una versátil carga de malware que crea potenciales vulnerabilidades futuras y expone sus datos y propiedad intelectual.
Cadenas de infección complejas
En 2019, los mensajes que contenían URLs para distribución de malware superaron continuamente a los que incluían archivos adjuntos maliciosos. Aunque la mayoría de los usuarios evita en gran medida abrir archivos adjuntos de remitentes desconocidos, el uso actual de aplicaciones y sistemas de almacenamiento en cloud provoca que seamos menos reacios a hacer clic en enlaces para poder ver, compartir e interactuar con gran variedad de contenidos. Los atacantes continuarán sacando provecho de ello con mayor eficacia gracias a la ingeniería social y también porque las URLs pueden utilizarse para enmascarar cadenas de infección cada vez más complejas, que hacen que la detección sea más difícil que la de un link a una carga maliciosa. Mientras que en el pasado las URLs se enlazaban con un ejecutable de un documento malicioso, en 2020 aumentará el uso de acortadores de URL, sistemas de distribución de tráfico y otros medios para ocultar el contenido malicioso.
Al mismo tiempo, las campañas serán más complejas y los cebos de ingeniería social para engañar a los usuarios y conseguir que instalen malware se irán perfeccionando. Seguiremos viendo cómo las tácticas para comprometer los correos corporativos (BEC) se abrirán camino en las campañas de malware y phishing, utilizando múltiples puntos de contacto como LinkedIn, secuestro de cadenas de email y el envío previo de numerosos correos electrónicos inofensivos para establecer relación con la víctima antes de enviarle malware. De forma similar, el malware modular diseñado para descargar funciones adicionales o malware secundario tras la primera infección dará continuidad a la tendencia de infecciones «silenciosas» que los atacantes podrán explotar en un momento posterior.
Ataques a través de servicios y aplicaciones legítimas
En esta misma línea, los atacantes aumentarán el abuso de servicios legítimos para poder alojar y distribuir campañas maliciosas de correo electrónico, malware y kits de phishing. Por ejemplo, aunque el uso de enlaces de Microsoft SharePoint para alojar malware se ha vuelto más común desde hace algún tiempo, ya se comienza a ver su uso para phishing interno. Así, una cuenta de Office 365 comprometida se puede usar para enviar un correo electrónico interno con un vínculo a un kit de phishing alojado en SharePoint utilizando otra cuenta comprometida. De este modo, las víctimas nunca se ven redirigidas a un sitio de phishing externo y los correos electrónicos parecen proceder de usuarios legítimos. Este tipo de ataque sólo requiere un par de cuentas comprometidas dentro de la organización y es difícil de detectar, tanto para los usuarios como para muchos sistemas de seguridad. Y prevemos que esta técnica sea más frecuente en el año 2020 debido a su eficacia.
Del mismo modo, continuará el abuso generalizado de otros servicios legítimos de alojamiento en cloud para distribuir malware, aprovechando nuestra predisposición a hacer clic en enlaces a archivos compartidos y la incapacidad de la mayoría de las organizaciones para incluir servicios como Dropbox o Box en sus listas negras.
Por último, también se han observado altos niveles de actividad de malware asociados al sistema de distribución de tráfico (TDS) Keitaro. Se trata de un servicio legítimo con una gama de aplicaciones utilizadas fundamentalmente en publicidad web, pero es cada vez más utilizado por los atacantes para dirigir a víctimas hacia amenazas específicas, según su localización geográfica o su sistema operativo. Se espera la expansión de esta táctica en 2020, de nuevo debido, en gran parte, a la dificultad de las organizaciones de incluir en su lista negra las IPs asociadas a este tipo de servicios.
Ataques de fuerza bruta más inteligentes
A medida que las organizaciones han ido adoptando software en cloud para mejorar la colaboración y la productividad, este tipo de plataformas se han convertido en objetivos cada vez más atractivos para los atacantes. Dada la prevalencia de campañas de phishing para el robo de credenciales de Microsoft Office 365, la atención seguirá centrada en ser capaces de comprometer estas cuentas para su uso en futuros ataques, poder realizar movimientos laterales dentro de las organizaciones y explotar servicios relacionados, como Microsoft SharePoint.
Aunque los ataques tradicionales de fuerza bruta a estos y otros servicios cloud continuarán en 2020, se espera que sean cada vez más sofisticados:
- El número de ataques se incrementa habitualmente cuando lotes de credenciales robadas pasan a estar disponibles; los atacantes confiarán en una mayor automatización para mejorar la introducción de contraseñas y algoritmos para introducir variaciones sobre contraseñas robadas o cruzadas sobre múltiples volcados.
- Los dispositivos de red secuestrados continuarán impulsando ataques a gran escala y los atacantes seguirán aprovechándose de los protocolos de correo electrónico heredados para evitar barreras de autenticación (como el MFA).
- Aumentará la automatización de los ataques de fuerza bruta mediante herramientas como Python y Powershell, así como los ataques híbridos que utilizan tanto protocolos heredados como otras técnicas de infiltración para obtener acceso no autorizado.
Y a pesar de que la adopción de la autenticación multifactor está ayudando a mitigar los riesgos asociados con los ataques en la cloud, tanto proveedores como organizaciones están descubriendo que una implementación robusta conlleva también muchos desafíos, lo que lleva a las organizaciones a considerar la biometría y otras soluciones potenciales para asegurar su infraestructura, ya sea propia o adquirida como servicio.
Cadenas de suministro comprometidas horizontal y verticalmente
Las vulnerabilidades de la cadena de suministro han sido el centro de las mayores brechas de seguridad de los grandes retailers los últimos años. Y a pesar de que los atacantes han seguido explotando la cadena de suministro para todo, desde el robo de tarjetas de crédito hasta el compromiso del correo electrónico empresarial (BEC), esperamos que esta táctica se haga más sofisticada en 2020.
Por ejemplo, muchas organizaciones permiten a sus proveedores enviar correos electrónicos en su nombre para realizar acciones comerciales o de marketing. Pero ya hemos visto campañas generalizadas de phishing contra las marcas debido a ello. Por eso cada vez más organizaciones exigen a los proveedores que utilicen sus propios dominios de correo electrónico para realizar un mejor seguimiento de las campañas y mitigar los posibles riesgos.
También se espera que las organizaciones empiecen a examinar mejor la gran cantidad de proveedores con los que se relacionan. Un reciente análisis realizado con una muestra de organizaciones de atención sanitaria reveló como las redes de proveedores no aplican en numerosas ocasiones los mismos criterios de seguridad para el correo electrónico que estas organizaciones, lo que implica un gran riesgo. Conocer bien a los proveedores y exigir que apliquen el mismo tipo de seguridad para el uso del correo electrónico en los contratos puede ser clave para limitar el riesgo.
Más allá de los ataques para comprometer los correos corporativos, asociados a menudo con las cadenas de suministro, la capacidad de aumentar la credibilidad de los ataques de phishing haciéndose pasar por un proveedor o utilizando cuentas comprometidas en los proveedores seguirá impulsando los ataques a las cuentas en cloud. Este tipo de riesgos también impulsará una mayor adopción de protocolos como DMARC, ya que los equipos de seguridad se reunirán con los departamentos de compras para exigir enfoques basados en estándares para la seguridad de los proveedores.
La formación asume un papel clave
Aunque los sistemas automatizados pueden evitar que muchas amenazas lleguen a las bandejas de entrada, los usuarios siguen siendo la última línea de defensa, especialmente cuando los atacantes recurren al phishing de voz y SMS y a los ataques multicanal. Por eso la formación supone un componente crítico para preservar la seguridad, aunque los pocos recursos en las organizaciones hacen que suelan ser selectivas en cuanto a la formación que proporcionan al usuario. De este modo, podemos esperar:
- Que las prioridades formación se enfoquen en los tipos de amenazas que las organizaciones experimentan en la actualidad.
- Que cada vez más organizaciones se centren en el usuario final para identificar los ataques de phishing que se cuelan a través de las defensas del perímetro; que haya una mayor adopción de mecanismos de reporte de correo electrónico en el cliente, incluida la automatización para evitar la saturación de los recursos de TI.
- Que las organizaciones centren la formación en el phishing interno y en el compromiso de las cuentas de correo electrónico, ya que son difíciles de detectar por los sistemas automatizados.