PDF de programación - Tendencias amenazas de seguridad 2015

Tendencias amenazas
de seguridad 2015

Predicciones sobre ciberseguridad
en el 2015 y siguientes

Por James Lyne, director de investigaciones globales de seguridad, Sophos

Ciberseguridad en el 2015

La ciberseguridad está experimentando un crecimiento importante,
tanto dentro de la industria como en la vida de las personas y las

empresas que usan medios tecnológicos modernos. Y debido a que la
tecnología no cesa de cambiar a un ritmo vertiginoso, las amenazas

tampoco dejan de evolucionar con rapidez - con cibercriminales

encontrando formas nuevas y creativas para aprovecharse en su propio

beneficio tanto de los usuarios como la tecnología todo el tiempo.

Ahora es el momento del año en el que se publican las predicciones para
la tecnología y todos los cambios y las amenazas que vendrán el año que
viene. Algunas pueden estar muy lejos, mientras que otras ya pueden estar
produciéndose. Sin embargo, nos parece que es útil analizar las tendencias
claves de la ciberseguridad, así que a continuación presentamos las 10 áreas
que pensamos tendrán un impacto significativo en el año 2015 y siguientes.

Para encontrar recursos
adicionales, visite
sophos.com/es-es/

Tendencias amenazas de seguridad 2015

Las mitigaciones de vulnerabilidades
reducen el número de vulnerabilidades
útiles.
Durante años los cibercriminales se han venido aprovechando de distintas
vulnerabilidades para difundir de forma inadvertida su código malicioso.
Remontándonos a los inicios, el principal vector de distribución de código malicioso
era el spam, pero hoy en día son los ataques basados en web y el aprovechamiento
de las brechas de seguridad de los navegadores los que están claramente
a la cabeza. Afortunadamente, Microsoft ha investigado en mitigaciones de
vulnerabilidades como DEP (prevención de ejecución de datos, para evitar la
ejecución de código del atacante en determinadas áreas de la memoria de un
ordenador), ASLR (ejecución aleatoria de la disposición del espacio de direcciones,
que hace más difícil escribir código de ataque cambiando las direcciones de la
memoria) y un número considerable de mejoras en Windows 8 y Windows 8.1
(analizar estas en profundidad no es el objetivo de este análisis, aunque se puede
encontrar documentación completa al respecto online).

A medida que la dificultad para aprovechar las
vulnerabilidades aumenta, los exploits para
aplicaciones muy codiciadas por los atacantes, como
Internet Explorer en plataformas importantes como
Windows 7, cada vez son más escasos y su valor de
mercado está aumentando. La consecuencia directa
son cambios en las pautas de comportamiento como
las que ya hemos podido ver y otras consecuencias
que podemos anticipar. Los exploits de alto valor
se están vendiendo para ataques más específicos
y desplegando de forma más selectiva, dejando a
una parte del mercado del cibercrimen con menos
opciones.

De allí que algunos atacantes estén regresando a
la ingeniería social dejando atrás el uso de exploits.
Por lo tanto, deberemos estar alerta ante fraudes

1

1

de ingeniería social más efectivos a medida que
los cibercriminales encuentran nuevas cargas
más innovadoras. También es posible que veamos
cómo algunos atacantes centrarán su atención en
plataformas distintas a Microsoft que en ocasiones
presentan menos mitigaciones. Otra cuestión que es
necesario considerar es el gran número de usuarios
que seguirán usando plataformas ya anticuadas
durante algún tiempo (después de todo, muchos
todavía están usando XP). Las nuevas mitigaciones
están haciendo que el precio de los exploits en el
mercado negro sea cada vez más alto, unido a un
secretismo todavía mayor en la industria sumergida.
Yo estaría alerta ante ataques de ingeniería social más
sencillos y efectivos en el 2015 y estaría más encima
de la política de parches y los procesos de contención
en dispositivos de plataformas distintas a Microsoft.

Tendencias amenazas de seguridad 2015 Los ataques al Internet de las cosas se
convertirán en un riesgo general.
En el 2014 hemos podido constatar que los fabricantes de dispositivos IoT
(Internet de las cosas) no han estado a la altura a la hora de implementar
estándares de seguridad básicos - o no han aprendido de la dilatada y lamentable
historia de fallos de la informática convencional o debido a la rapidez del mercado
sencillamente no les importa.
Yo mismo he atacado routers inalámbricos con
ataques web como inyección de comandos, cámaras
de CCTV que no tenían implementado ningún bloqueo
de cuentas y puntos de conexión inalámbricos sin
nombres de usuario ni contraseñas y que en cambio
confiaban explícitamente en la red local. A pesar de
que brechas como estas se hayan ejemplificado hasta
la saciedad en distintas conferencias de seguridad,
todavía no han despertado un interés generalizado
entre los cibercriminales. No obstante, creemos que
no tardarán en aparecer ejemplos más serios fuera
las pruebas de concepto de los investigadores de
seguridad.

Posiblemente, la razón por la que el nivel de
explotación de las vulnerabilidades del Internet de las
cosas sea tan bajo es que los cibercriminales todavía
tienen que encontrar el modelo de negocio que les
permita hacer dinero. Sin embargo, a medida que
aumente la diversidad de aplicaciones, la probabilidad
de que estos puedan emerger será mucho mayor.
Y viendo la trayectoria hasta ahora de la industria
de IoT, se puede decir que cuando esto suceda
todavía no habrán acordonado la seguridad. Y lo que
todavía es peor, estos distribuidores no tendrán ni
la infraestructura
necesaria
para distribuir
actualizaciones a
tiempo, a diferencia
con Microsoft que
sí pudo parchear su
sistema a las malas.

preocupación de los profesionales de la seguridad.

Sin una seguridad mejor, es más que probable que los
ataques contra estos dispositivos tengan un impacto
global real muy desagradable. Es fundamental
que la industria de seguridad evolucione para
englobar también este tipo de dispositivos, que los
distribuidores de las aplicaciones correspondientes
maduren para reconocer la importancia de la
seguridad (tanto como Microsoft se vio obligada en
su día) y que la preocupación de los consumidores
por la seguridad siga creciendo para que se convierta
en un requisito comercial y deje de ser solo una

2

Tendencias amenazas de seguridad 2015 Tendencias amenazas de seguridad 2015

El cifrado se convertirá en un estándar,
pero no satisfará a todos.
En el 2013 predijimos que el cifrado completo de discos se convertiría en un
estándar muy difundido por los fabricantes de SO o en discos duros y administrado
por fabricantes de seguridad, y esta tendencia se ha hecho realidad a gran escala
en las empresas modernas.

La creciente preocupación por la seguridad y la
privacidad surgida a raíz de las revelaciones de
espionaje gubernamental y los titulares de violaciones
de datos han convertido el cifrado en un estándar
generalizado.

Así, un análisis rápido de las aplicaciones móviles
de Android revela que un gran número de ellas usan
cifrado para proteger los datos a nivel local en los
dispositivos y al conectarse de vuelta a los servicios
en Internet. Este número ha crecido de forma notable
desde hace unos cuantos años y puede parecer un
motivo de celebración.

Desafortunadamente, aunque muchas de estas
aplicaciones han hecho el esfuerzo de usar SSL (por
ejemplo), pocas lo han implementado correctamente.
Por ejemplo, muchas no usan el “pineado” de
certificados, por lo que el cifrado es más de cara
al público en lugar de proporcionar seguridad y
privacidad real. Son los detalles los que diferencian
un cifrado efectivo de un cifrado de «marketing», pero
la realidad es que gran parte del cifrado obedece más
bien a cuestiones de marketing.

Muchas empresas y consumidores quieren cifrar los
datos que suben a los servicios de alojamiento en
la nube desde dispositivos móviles u ordenadores,
pero los defectos en el despliegue deberían hacer
que las empresas se pregunten algo más que
«¿está cifrado?». Es probable que los estándares y
los procesos de auditoría sean lentos a la hora de
detectar estos detalles, como fue el caso cuando DES
se consideró (más bien tarde) como inapropiado.

Por otra parte, algunas agencias estatales de
seguridad no están contentas con esta tendencia
de mayor cifrado, ya que piensan que afectará
negativamente a la seguridad. Sin duda alguna
su objetivo de seguridad se opone a la privacidad,
pero mantener todo sin seguridad para permitir su
trabajo forense en defensa de la legalidad no es una
estrategia sensata.

Además, en lo que se refiere a los proveedores de
seguridad de redes independientes, se plantea otra
problemática interesante en tanto que el aumento
creciente del cifrado del tráfico impide que este pueda
ser interceptado y escaneado en la red. Es probable
que esto tenga un impacto significante en la forma
en la que deba de proporcionarse la seguridad en un
futuro cercano.

3
3

Tendencias amenazas de seguridad 2015 Más fallos importantes en software de gran
difusión no detectados por la industria de
seguridad durante los últimos 15 años.
Este año ha visto un número relevante de brechas importantes en plataformas
distintas a las de Microsoft en las que la industria de seguridad centra su
atención. Desde Heartbleed a Shellshock, se ha hecho evidente que la cantidad
de código no seguro usado en un gran número de sistemas informáticos de la
actualidad es importante.

Desafortunadamente, no veo que se hayan
aprendido las lecciones y el descubrimiento de más
vulnerabilidades en sistemas distintos a Microsoft
conllevará periodos largos de exposición para un
elevado número de usuarios.

Los sucesos del 2014 han disparado el interés
de los cibercriminales en el software y sistemas
normalmente menos considerados que además se
mantendrá durante los próximos años, de modo que
es necesario