Y, como todos los años por esta época, es momento de analizar lo sucedido en materia de ciberseguridad durante 2023, ver tendencias, revisar el estado del arte de las tecnologías emergentes, estudiar datos, contrastar la información de analistas y empresas del sector y de hacer “cábalas” para tratar de averiguar cuáles serán las principales amenazas de seguridad con las que nos encontraremos en 2024.
Aunque aún no muchas organizaciones, empresas del sector y analistas han publicado sus predicciones para el año que viene, algunos de ellos ya lo están haciendo y, en breve, durante el mes de diciembre (máxime cuando nos estemos acercando al fin de año), veremos una avalancha de ellas.
Desgraciadamente, no tenemos la bola de cristal. Por ese motivo, éste es un artículo de opinión, no empírico ni científico, aunque sí basado en nuestra experiencia y en toda la información recabada y analizada de otras reconocidas fuentes como expertos, analistas y empresas del sector, con sus puntos en común, discrepancias y coincidencias.
A priori, las amenazas que los expertos apuntan se llevarán la palma en 2024, son los ataques a la Inteligencia Artificial (IA) y al Machine Learning (ML) o aprendizaje automatizado. En todas las previsiones consultadas hasta el momento, aparece en primer lugar, como la que más podrá ser explotada el año que viene.
Le siguen, a mucha distancia, pero en segunda posición, los ataques a la cadena de suministro y blockchain, de terceros (proveedores, socios, colaboradores, etc.). Este es un aspecto que se ha tratado mucho durante 2023 y en donde ha emergido una gran preocupación, tanto en materia de ciberseguridad como tal, como en los que a privacidad y cumplimiento normativo se refiere.
Finalmente, en tercera posición, aparece u bloque de amenazas 100% relacionadas con el factor humano, la debilidad humana y el ataque a las personas. Éstas son amenazas que pretenden lograr los objetivos manipulando las voluntades de las personas y lanzando ataques dirigidos contra ellas.
Entre ese tipo de ataques a las personas, el primordial a día de hoy y el que parece se mantendrá e incrementará en 2024 es el de los ataques de phishing (en cualquiera de sus variantes y sabores) y la ingeniería social.
Otro de ellos, aunque relacionado con lo anterior de un modo u otro, es el riesgo que supone la falta de concienciación, conocimiento, formación y habilidades de los empleados en materia de ciberseguridad.
En este sentido, se habla de los insiders que, con su comportamiento (intencionado o no), pueden dar al traste con el negocio en un solo clic, ya sea por falta de conocimiento, por despiste, por errores humanos, por configuraciones inadecuadas, por engaños en los que pican, o incluso realizando acciones de forma totalmente intencionada buscando objetivos concretos (económicos, políticos, sociales, de reconocimiento, descontento laboral, etc.).
Estos podrían ser los principales riesgos de ciberseguridad a los que nos enfrentaremos en 2024, pero podemos identificar muchos otros más. De nuestra experiencia y del análisis de quienes ya se han pronunciado al respecto, podríamos esbozar un primer ranking de amenazas de ciberseguridad que veremos en 2024:
- Ataques a la Inteligencia Artificial (IA) y al aprendizaje automático (Machine Learning / ML). Es la principal amenaza que se prevé nos encontremos en 2024 y en la que coinciden la mayoría de los expertos y analistas. Esto quizá se derive de las últimas importantes evoluciones y novedades de la IA que parece estar despejando como tecnología emergente (quizá en su momento hype). En este sentido, del mismo modo que será una tecnología interesante y muy útil para la seguridad, prevención y protección, también se prevé que sea el foco de multitud de ataques o, más bien, que sea utilizada por los ciberdelincuentes en el sentido opuesto. Éstos podrán emplearla, entre muchas otras cosas, para la evasión inteligente de detecciones, para el descubrimiento y explotación automatizada de nuevas vulnerabilidades, para generación inmediata de fakes (fake news, deepfakes, falsificaciones de voz, contenidos), para la generación de código malicioso, etc. Por otro lado, la ética, las normas, la regulación y el control del uso de esta tecnología, aunque parece arrancar, aun tiene mucho camino que recorrer y esto puede ser algo que se aproveche inadecuadamente.
- Ataques a la cadena de suministro / blockchain. Durante 2023 se ha hablado mucho de este asunto e incluso algunas actualizaciones de leyes, normativas y marcos de actuación, han puesto su vista en ello. Y es que tan importante es protegerse a sí mismo, como garantizar que quien nos presta infraestructura, software y/o servicios también sea seguro. Ya hemos visto en varias ocasiones casos en los que un ciberincidente que ha tenido lugar en una organización, ha sido debido no a ella sino a una empresa externa, tercera y ajena a la afectada, que le presta servicios informáticos (o de otro tipo). El software, servicios, sistemas e infraestructuras que estos proveedores, partners, socios o colaboradores comparten con la empresa víctima del incidente, pueden tener también sus propias vulnerabilidades y agujeros de seguridad que los cibercriminales aprovechan para conseguir accesos, entrar y atacar a la empresa cliente a quienes proveen no a ellos directamente.
- Phishing e ingeniería social. Tal y como lo vemos y hemos experimentado hasta la fecha, la verdad es que no es de extrañar que se encuentre entre el TOP 3 de riesgos que más se estima sucederán en 2024. En muchas (la mayoría) de las ocasiones, los ciberdelincuentes lo tienen “muy fácil” apelando a las personas, a la debilidad humana, al factor humano. En este caso, a través de un de los tipos de ataques más prolíferos y efectivos a día de hoy, conseguir engañar a las personas para que hagan algo, a través de cualquier medio, canal, o mecanismos (correo electrónico, SMS, vídeos, llamadas telefónicas, banners publicitarios, URLs fraudulentas, páginas web falsas o ilícitas, etc.).
- Factor humano, falta de concienciación, conocimiento y habilidades, e insiders. Aunque guarda una relación muy estrecha con el anterior (la ingeniería social, el phishing, etc.), va más allá. Mientras que en aquel caso se trata de engañar a las personas, aquí el matiz es diferente. Se trata de las personas en sí mismas y su condición. Esos ataques a las personas serán fructíferos, o no, y en mayor o menor medida, dependiendo del conocimiento, la aptitud y la actitud de cada persona en materia de ciberseguridad. El no estar concienciado, no estar formado y no tener habilidades para esquivar una amenaza, es muy peligroso. Asimismo, lo es el que dentro de la organización existan otras personas que funcionen descuidadamente, no tengan sentido de la importancia de aplicar correctamente los procedimientos existentes, o incluso tangan la capacidad de atacar intencionadamente desde dentro (insiders).
- Ataques a la nube. Las empresas cada vez más cuentan con servicios en la nube, propia (nube privada) pero generalmente de terceros (nube pública). En ella, las organizaciones manejan, transaccionan y almacenan información y datos de carácter privado, sensible y/o confidencial. Un caramelo para los ciberdelincuentes que, por todos los medios a su alcance, tratarán de acceder a ellos, atacando por, cualquier medio, a la nube de la empresa o atacando a la/s nube/s de su/s proveedor/es, cadena de suministro, e infraestructuras de su/s proveedor/es.
- Explotación de vulnerabilidades y ataques Zero Day. Otro clásico que seguiremos viendo durante mucho tiempo, puesto que nunca dejarán de existir errores, vulnerabilidades, bugs y agujeros de seguridad en el software que empleamos. Los ciberdelincuentes continuarán buscando estas brechas de seguridad y utilizándolas para lograr sus objetivos. Aquellas que, hasta el momento de su descubrimiento y explotación no hayan sido empleadas nunca, tendrán mayor impacto.
- Ataques a dispositivos inteligentes (IoT) y dispositivos conectados. Los dispositivos inteligentes, que transaccionan y comparten multitud de información, que dan acceso, que realizan tareas, en definitiva, el IoT (Internet of Things, Internet de las Cosas), con millones de dispositivos conectados a Internet al mismo tiempo, hace de estos elementos objetivos muy suculentos. No todos ellos están convenientemente protegidos y pueden permitir no solo la exfiltración de información confidencial, sino también el acceso a otros sistemas corporativos y su control, la realización de ataques de denegación de servicio, etc., tanto en entornos corporativos, como industriales, como domésticos.
- Ransomware. Aunque los cibersecuestros pueden llegar por muchos medios como algunos de los comentados anteriormente, en términos de malware e infecciones, el ransomware parece que continuará llevándose la palma entre todos ellos. Su especialización e incremento de complejidad tecnológica, ayudado de otros aspectos como la ingeniería social, la inteligencia artificial, los canales masivos de comunicación, etc., harán de esta amenaza una constante que podrá incluso llegar a impactar con más severidad.
- Deepfake. Como decíamos, el engaño es una de las principales argucias para un buen ataque. La desinformación, la posverdad, las fake news, los deepfakes, etc., actuarán más efectivamente y cada vez en más contra ese factor humano y su sensibilidad. Si bien no son un malware, o un tipo de ataque tecnológico como tal, debido a los avances de la tecnología en materia de inteligencia artificial y calidad de herramientas multimedia, etc., la generación de imágenes y vídeos falsos que suplantan la identidad de personas y aparentan lo que no es, serán cada vez más convincentes y conseguirán manipular la opinión pública
- Hacktivismo geopolítico y ciberespionaje. Nos encontramos inmersos en varios conflictos bélicos internacionales, como lo son la guerra de Ucrania y la de Israel con Hamas. En la mayoría de ocasiones, estos enfrentamientos tienen origen económico, religioso, geográfico, social, etc. Desde esa perspectiva y diferentes puntos de vista, se encauzan ataques de hacktivismo, unas veces originados por grupos sociales con fuerza y tendencias radicales, e incluso propiciados por estados, gobiernos y naciones, que seguiremos viendo en 2024 con el recrudecimiento de las actuales contiendas bélicas.
- Autenticación, acceso, e identidad. Debido a muchas razones, el robo de credenciales, el compromiso de cuentas en sistemas corporativos o en servicios de uso común y popular en Internet, la suplantación de identidad, etc., son objetivos de mucho valor. Durante el año que viene, continuaremos viendo como los ciberdelincuentes tratan de hacerse con esta información para saltar las barreras del perímetro corporativo, acceder a donde no deberían y hacerse pasar por quienes no son para tener privilegios y roles que les permitan realizar determinadas acciones.
- Malware. Aunque ya no es lo más habitual (si pensamos de forma independiente en el ransomware, sin considerar que, en cierta medida, se trata de un malware), seguirán existiendo infecciones, propagaciones y ataques de malware y spyware. Las amenazas de toda la vida, como los virus, los troyanos, gusanos, keyloggers, etc., seguirán estado ahí.
- Desinformación. La información es poder y con su manipulación o la invención de bulos (hoax), infoxicación y noticias falsas (fake news), se puede lograr manipular y controlar la conciencia ciudadana. Por ese motivo la utilizan grupos políticos, medios de comunicación, grupos de poder, e incluso gobiernos. Tiene capacidad de llegada, es rápido, tiene impacto, es eficiente, por lo que, como hasta ahora desde el comienzo de la humanidad, continuaremos viendo cientos de miles de casos, aunque no se trate de ciberataques o ciberincidentes como tal.
- Amenazas Persistentes Avanzadas (APT). Aun no siendo los más habituales, aquellos ataques que consiguen entrar en un sistema y permanecer en él “aletargados” durante mucho tiempo esperando el mejor momento para actuar, seguirán estando presentes. Éstos continuaran empleando una combinación de técnicas para asegurar su objetivo y proceder con toda su cadena de pasos: acceder, infiltrarse, establecerse, ocultarse, escalado de privilegios, movimientos laterales dentro de la organización, observación y actuación.
- Botnets. Esta es una amenaza que ha perdido algo de protagonismo últimamente, en lo que a la realización de ataques DoS (Denegación de Servicio) y DDoS (Denegación distribuida de servicio) se refiere, pero que en el ámbito de la tecnología Blockchain, el ataque a los bloques de esa cadena, y el minado de criptomonedas, aún tiene relevancia como para apostar por una capturar dispositivos (zombies) y montar una red de bots controlada para actuar simultáneamente y al unísono bajo las órdenes de un ciberdelincuente.
Pues bien, éstas son algunas de las amenazas y riesgos de ciberseguridad con los que nos encontraremos en 2024, tal y como podemos extraer de nuestras propias experiencias, de las previsiones de fabricantes y empresas del sector, así como de analistas y otras fuentes consultadas, entre las que destacan las siguientes: Gartner, Forbes, World Economic Forum, Google Cloud, WatchGuard, Mandiant, Virus Total, Kaspersky, SonicWall, ESET, ESED, Proofpoint, Check Point, Stellar Cyber, Fortinet, KnowBe4, SAS, BeyondTrust, Segnesys, Lenovo, TATA, IBES, Delinea, TechRepublic, etc.
¿Estará tu empresa preparada para estas ciber-amenazas y ciber-riesgos en 2024?
Quizá necesitéis la ayuda de servicios profesionales de ciberseguridad como los que ofrecemos en Zerolynx: Servicios de Ciberseguridad.
Si lo prefieres, contáctanos y hablamos.
Íñigo Ladrón Morales, Redactor de contenidos para Zerolynx.
