Predicciones de Seguridad 2018 ¿Cómo vamos hasta ahora?

Si bien estamos satisfechos con nuestra precisión, la realidad puede ser hasta cierto punto decepcionante, ya que muchas de estas predicciones plantean un riesgo adicional para las empresas.

El objetivo de nuestras Predicciones de Seguridad es ayudar a entender mejor los riesgos que enfrentan las organizaciones y cómo pueden defenderse mejor contra ellos. Ofrezco mis principales consejos para mitigarlos al final de este blog.

Nuestras ocho predicciones para 2018 giraron alrededor del tema de la privacidad con regulaciones como GDPR, que incitan a las organizaciones a pensar de manera crítica sobre cómo están protegiendo los datos personales y la propiedad intelectual. También abordamos la encripción ubicua, la agregación de datos, las criptomonedas y el ransomware.

La privacidad contraataca

Nuestra primera predicción anticipó “Las Guerras de la Privacidad”, un debate que polariza a tecnólogos y miembros del público, dividiendo la opinión en el gobierno, el trabajo y el hogar.

Este debate se ha generalizado en parte al sonado caso de Cambridge Analytica, en el que Facebook está involucrado. Las revelaciones se han dado a conocer por la prensa, destacando hasta qué punto se han recolectado y utilizado los datos privados de la gente durante muchos años por dicha red social y la firma de consultoría. Mark Zuckerberg se presentó ante el Congreso de Estados Unidos mientras los usuarios de Facebook y periodistas están siguiendo muy de cerca el caso. Uno podría haber anticipado esto como una “sorpresa predecible” con una tormenta perfecta de compartir, reunir y procesar que sólo se podría imaginar hace diez años. Como una historia destacada de 2018, el resultado despertará el debate en el dominio público de los próximos años.

Los sistemas activados por voz se están integrando en decenas de millones de hogares capturando y respondiendo a comandos. Si está interesado en lo que Apple, Google y Amazon han estado recabando, este artículo describe cómo eliminar el historial de comandos de voz de dispositivos como Alexa.

No se trata sólo de lo que nos gusta, a quién seguimos o por qué nos agradan los videos de gatos, lo que es objeto del debate. Los datos biométricos ahora se utilizan en las calles de las ciudades para identificar a individuos que han despertado el interés de la policía como en este ejemplo de lectores portátiles de huellas digitales que se utilizan en el Reino Unido.

GDPR hará mucho por salvaguardar la privacidad y los datos personales de los ciudadanos de Estados Unidos, en particular, asegurándose de que la información se utilice para el propósito previsto, estén protegidos y no terminen en manos de los criminales que puedan abusar de ellos. Esto nos lleva a nuestra segunda predicción.

GDPR: Postergar hoy, entrar en pánico mañana

Anticipamos que muchas organizaciones tardarían en prepararse para GDPR y al parecer muchas apenas están iniciando hoy programas con miras a estar “listos para GDPR”. ¿No es esto “demasiado tarde”? Espero que no.

El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) entrará en vigor a partir del 25 de mayo de 2018. La fecha está cada vez más cerca y a juzgar por la discusión en conferencias de seguridad cibernética y ferias de negocio de los últimos seis meses, muchas empresas simplemente no están conscientes de sus responsabilidades respecto a las regulaciones y no están preparadas para responder frente a una brecha de datos personales.

Si bien la tecnología no es la respuesta total para el rompecabezas de Personas, Procesos y Tecnología, puede ser un indicador importante para descubrir problemas alrededor de la pérdida de datos y el comportamiento anómalo. Evidentemente, Forcepoint puede ayudar; revise nuestros Paquetes de Recursos para GDPR, así como mis 5 Mejores Consejos para iniciar el cambio en las organizaciones.

Creo que todos están esperando ver cómo se desarrollan las cosas después de mayo.

Disrupción de las cosas

Pronosticamos que los dispositivos de Internet de las Cosas (IoT) no serían objeto de secuestro tanto como son aprovechados para la destrucción en 2018. Eso no impidió que el Oxford English Dictionary añadiera “ransomware” a sus páginas en 2018.

Las encuestas identificaron que casi una tercera parte de las compañías de electricidad no habían dedicado una consideración especial a la seguridad de las redes como parte de su implementación de IoT, una observación preocupante si esto es cierto. Los encargados de hacer pruebas de penetración se están dando cuenta de la falta de una configuración cuidadosa; en particular, una firma identificó que los sistemas de calefacción escolares son vulnerables a la manipulación.

MIT Technology Review incluyó en una lista a las ciudades inteligentes como una de las 10 Tecnologías Innovadoras para 2018, así que pareciera que la superficie que se ofrece a los criminales cibernéticos sigue aumentando. Cuando hablamos de dichas aplicaciones para IoT vale la pena mencionar que 2018 ha presentado el primer descubrimiento público de un minero de criptomonedas no autorizado en un entorno de ICS (Sistemas de Control Industrial) o SCADA (control de supervisión y adquisición de datos).

Y a propósito…

El aumento en el robo de criptomonedas

Todos sabemos que los cibercriminales van tras el dinero. Ha habido numerosos ataques a los sistemas de criptomonedas en los últimos seis meses que se apegan a nuestra predicción. De hecho, y si esto puede preverse, realmente no sorprende. (“Sorpresas predecibles” es de hecho una frase de la que el Dr. Richard Ford, nuestro Científico Jefe, ha hablado en su blog).

Durante 2018 descubrimos que subirse al carro de la criptomoneda y blockchain puede ser bueno y malo para las empresas. La compañía detrás de la criptomoneda, USDT (Tether), admitió que $31 millones de dólares se han perdido debido a los ataques externos registrados a finales de 2017. Algunas organizaciones, por otra parte, disfrutan que cambie su suerte a medida que los precios aumentan considerablemente luego de que se anunciaran programas de blockchain.

Haciendo una comparación con el método de entrega del ransomware NotPetya de mediados de 2017, la versión Windows de la billetera de criptomonedas Bitcoin Gold aparentemente se comprometió desde su origen y fue remplazada con una versión que robaba fondos.

Hemos visto reportes de que compañías británicas están acumulando BitCoin en preparación para pagar un rescate. Aunque no recomendamos pagar, algunas empresas están optando por explorar todas las opciones.

Agregadores de datos

Aunque todos los ojos están puestos en el caso de Facebook / Cambridge Analytica, aún está por conocerse su impacto real. En noviembre pronosticamos que el atractivo de grandes cantidades de datos y el complejo ingreso y egreso generará un desafío de seguridad para los agregadores de datos. Los criminales cibernéticos han conocido por mucho tiempo el valor extra de construir FULLS (series completas de información correspondientes a los individuos).

A medida que los modelos de negocio legítimos extraen y combinan el oro que son las fuentes de datos dispares, ha sido evidente que el resultado puede superar a menudo a la intención original. La creación de mapas de calor con los datos de la aplicación de entrenamiento Strava combinados con datos de GPS permitió ver la información, ubicación y patrones de recorridos de los usuarios.  

Seguridad de la nube

No es un secreto que las organizaciones se están moviendo (o planean hacerlo pronto) a la nube. Están haciendo esto en masa, como lo muestra un reporte de Okta dado a conocer en enero de 2018. Microsoft Office 365 tiene más de 120 millones de usuarios mensuales activos, de acuerdo con información de Ars Technica.

Pronosticamos que el movimiento hacia el cómputo en la nube aumentaría el riesgo de sufrir una brecha por parte de un miembro interno confiable.

En el caso de Deloitte, una de las “cuatro grandes” firmas de contabilidad, las credenciales del administrador se utilizaron para tener acceso al servidor de correo corporativo. La autenticación de dos factores (2FA) no se había implementado junto con el acceso cerrado mediante sólo una contraseña. A medida que más empresas se mueven a la nube, cerrar sistemas críticos y asegurar los datos contenidos en ellos tendrán aún mayor relevancia.

Con la notificación obligatoria de brechas que dictan regulaciones como GDPR, será interesante analizar la causa de las brechas de datos y cómo se relacionan con la seguridad de la nube después de mayo.

Encriptado de manera predeterminada – Las implicaciones para todos

A partir de julio de 2018, Google Chrome etiquetará a todos los sitios HTTP como “No Seguros” en un intento por obligar a los webmasters a utilizar HTTPS. Como lo reportamos en noviembre de 2017, únicamente 70 de los 100 principales sitios web, que no son de Google, y que representan el 25% de todo el tráfico de sitios web, están usando HTTPS de forma predeterminada. ¿Está usted usando HTTPS en sus sitios web de forma predeterminada?

Nuestra predicción fue que una mayor cantidad de malware se volverá consciente de MITM; esto es, se dará cuenta cuando un producto de seguridad esté examinando el tráfico encriptado y responderá en consecuencia. Continuaremos dando seguimiento a la adopción de dichas técnicas.

Las principales propiedades web siguen batallando con HTTPS: Los gobiernos están olvidando renovar los certificados, los bancos aún no han migrado a HTTPS en sus páginas de inicio, e implementaciones de sitios web comunes están mostrando problemas.

Si se desea revisar el desempeño de la configuración de los servidores SSL, se puede utilizar el renombrado SSL Server Test que ofrece Qualys. Si el resultado no es muy bueno, se debe considerar pasar a HTTPS de forma predeterminada para ofrecer una experiencia más segura a los usuarios.

La noticia no es tan mala. Facebook ahora utiliza las listas de precarga HSTS y Chronium para cargar enlaces externos como HTTPS.

El siguiente gran avance para la industria

La migración a la nube, la determinación de los adversarios y la avalancha de brechas de datos le dificultan a los equipos de TI equilibrar la combinación correcta de recursos entre la detección, la mitigación y la prevención. Hemos estado esforzándonos para hacerlo más sencillo.

Forcepoint está a la vanguardia en ofrecer seguridad centrada en los humanos. Nuestros recientes anuncios y cobertura de la conferencia 2018 RSA demuestran cómo estamos redefiniendo la seguridad cibernética con el lanzamiento de Dynamic Data Protection para ofrecer Protección que se Adaptable a los Riesgos.

Consejos para mitigar los riesgos

• Muchas empresas reúnen datos personales para marketing, ventas o necesidades empresariales generales. Revise su política de privacidad y busque proteger esos datos.
• Trabaje para finalizar su plan de preparación para GDPR. Identifique sus datos críticos (personales y propiedad intelectual), busque protegerlos y prepare un plan de respuesta a incidentes.
• Si ha adquirido criptomonedas, busque proteger la billetera contra atacantes maliciosos.
• Considere la amenaza que representa usar aplicaciones de nube en su organización ¿Tiene las herramientas para descubrir un problema de Shadow IT, o proteger los datos dentro de las aplicaciones autorizadas?
• Si usted agrega datos, es importante entender el impacto de combinar esas fuentes y cómo eso afecta a sus usuarios y la declaración original del propósito de dicha recolección y procesamiento de datos. Revise sus políticas en consecuencia.
• Considere implementar la tecnología SSL Inspection para permitir la intercepción del tráfico de comando y control malicioso usando HTTPS.
• Migre su sitio web a HTTPS y dejar atrás HTTP. De lo contrario, a partir de junio Google Chrome lo marcará como “No Seguro”.

Nuestra calificación hasta hoy

Apenas seis meses después de que liberamos nuestras Predicciones de Seguridad para 2018, nos hemos calificado con B+. Una calificación alta para nosotros desafortunadamente significa que muchas de nuestras predicciones son acertadas. Seguiremos monitoreando su desarrollo durante el año.

Predicciones para 2019

Continuaremos haciendo un análisis de nuestras Predicciones de Seguridad para 2018, mientras trabajamos en una nueva serie de predicciones para 2019 que serán liberadas a finales del año.

Acerca de Forcepoint
Forcepoint es una empresa mundial de seguridad cibernética centrada en los humanos. Transforma a las empresas digitales al adaptar la respuesta de seguridad a los riesgos planteados por los usuarios individuales y las máquinas. El sistema Human Point de Forcepoint brinda Protección Adaptable a los Riesgos para garantizar el uso confiable de datos y sistemas. Con sede en Austin, Texas, Forcepoint protege los puntos humanos en miles de clientes corporativos y gubernamentales de más de 150 países. www.forcepointblog.com

Siga a Forcepoint en Redes Sociales

LinkedIn: https://www.linkedin.com/company/forcepoint

Twitter: https://www.twitter.com/forcepointsec  

Facebook: https://www.facebook.com/ForcepointLLC/   

Instagram: https://www.instagram.com/forcepoint