Predicciones de amenazas avanzadas para 2020

Nada es tan difícil como hacer predicciones. Pero si hay que hacerlo, no recurriremos a una bola de cristal, sino que nos sustentaremos en los sucesos de los últimos 12 meses para ver cuáles de las tendencias que notamos podrían explotarse en el futuro cercano.

En este artículo, expondremos lo que creemos que podría suceder en los próximos meses, basándonos en el conocimiento de los expertos en este campo y nuestra observación de los ataques APT, ya que los actores de amenazas APT han sido históricamente el centro de la innovación.

El siguiente nivel de los ataques de bandera falsa

El uso de ataques de bandera falsa se ha convertido en un elemento importante en el libro de tácticas de varios grupos APT. En el pasado, esto generalmente implicaba tratar de hacer que la atención no recayera en los responsables del ataque. Por ejemplo, se usaban palabras rusas en el malware del grupo Lazarus o palabras rumanas en el de WildNeutron. En un caso notable, el ataque Olympic Destroyer, el grupo APT conocido como Hades buscó ir más allá de enturbiar las aguas de la atribución, y falsificó elementos del ataque para que pareciera el trabajo de otro actor de amenazas. Creemos que este fenómeno se desarrollará aún más, con actores de amenazas que no solo tratarán de evitar que se le atribuyan los ataques, sino que también intentarán por todos los medios culpar a otros.

Esto podría, por ejemplo, incluir el uso de puertas traseras establecidas por otros actores APT no relacionados, el robo y la reutilización de código (me viene a la mente el reciente caso de Turla, que reutiliza el código de un grupo iraní desconocido, descrito por el NCSC del Reino Unido y la NSA) o filtrar deliberadamente el código fuente para que otros grupos lo adopten y enturbien aún más las aguas.

Además de todo lo mencionado, deberíamos considerar cómo los actores usan continuamente malware básico, scripts, herramientas de seguridad de acceso público o software de administrador durante sus ataques y para realizar movimientos laterales, dificultando cada vez más la atribución. Introducir un par de banderas falsas en esta ecuación, donde los investigadores de seguridad están ávidos por detectar cualquier pequeña pista, podría ser suficiente para desviar la autoría hacia otros.

Del ransomware al ransomware selectivo

En los últimos dos años, hemos visto una disminución en el número de ataques de ransomware multiuso generalizados, ya que los ciberdelincuentes se han vuelto más selectivos al usar este tipo de malware, centrándose en las organizaciones que es más posible que hagan pagos sustanciales para recuperar sus datos. Llamamos a esta técnica ‘ransomware selectivo’. A lo largo del año, hemos registrado varios casos en los que los atacantes usaron ransomware selectivo, y creemos que en el futuro habrá intentos más agresivos de extorsionar por dinero. Un giro potencial podría ser que, en lugar de hacer que los archivos sean irrecuperables, los actores amenacen con publicar los datos robados a la organización víctima.

Además de usar ransomware selectivo, es inevitable que los ciberdelincuentes también intenten diversificar sus ataques para, aparte de PC o servidores, incluir otros tipos de dispositivos, como televisores inteligentes, relojes inteligentes y automóviles/casas/ciudades inteligentes. A medida que más dispositivos se conecten a Internet, los ciberdelincuentes también buscarán formas de monetizar su acceso a estos dispositivos. El ransomware es, por desgracia, la herramienta más efectiva para extraer un beneficio financiero de las víctimas.

Nuevos vectores de ataques bancarios y de pagos en línea

Un nuevo vector de ataque potencial podría abrirse para los ciberdelincuentes con las nuevas regulaciones bancarias que recientemente entraron en vigencia en toda la UE. La PSD2 (Directiva de servicios de pagos) establece requisitos reglamentarios para las empresas que brindan servicios de pago, incluyendo el uso de datos personales por parte de nuevas empresas de tecnologías financieras que no forman parte de la comunidad bancaria establecida. La seguridad de los pagos en línea, entre ellos los pagos realizados desde dispositivos móviles, es un aspecto clave de la legislación. Sin embargo, dado que los bancos deberán abrir su infraestructura y datos a terceros que deseen prestar servicios a clientes bancarios, es probable que los atacantes recurran a nuevos esquemas fraudulentos para abusar de estos nuevos mecanismos.

Más ataques contra infraestructura y contra objetivos distintos a PCs

Determinados actores de amenazas han estado, durante algún tiempo, extendiendo sus conjuntos de herramientas más allá de Windows. Por ejemplo, VPNFilter y Slingshot apuntan al hardware de red. El beneficio para los atacantes, por supuesto, es que una vez que han comprometido tales dispositivos, ganan flexibilidad. Podrían entonces optar por una infección masiva de botnets para usarlas en el futuro con diferentes objetivos, o podrían lanzar más ataques clandestinos contra determinados objetivos. En nuestras predicciones de amenazas para 2019, consideramos la posibilidad de ataques ‘sin malware’, donde la apertura de un túnel VPN para duplicar o redirigir el tráfico podría proporcionar toda la información necesaria a los atacantes. En junio, se reveló que los piratas informáticos se habían infiltrado en las redes de al menos 10 empresas de telecomunicaciones en todo el mundo donde habían permanecido ocultos durante años. En algunos casos, parece que lograron implementar sus propios servicios VPN en la infraestructura de telecomunicaciones. La convergencia de mundos reales y cibernéticos provocada por la profusión de dispositivos IoT ofrece crecientes oportunidades para los atacantes y es evidente que los actores de amenazas son conscientes de este potencial. Este año se informó que atacantes desconocidos robaron 500 MB de datos del Laboratorio de Propulsión a Chorro de la NASA usando una Raspberry Pi. En diciembre del año pasado, el aeropuerto de Gatwick del Reino Unido se detuvo por temor a una posible colisión después de que al menos un avión no tripulado fuese avistado sobre una de las pistas. Si bien no está claro que esto fuera el resultado de un aficionado a los drones o de determinado atacante DDoS, el hecho es que parte de la infraestructura crítica del país se detuvo debido al uso de este dron. El número de ataques como este sin duda crecerá.

En los últimos años, hemos visto una serie de ataques de alto perfil en instalaciones de infraestructura crítica, y que en su mayoría estaban alineados con objetivos geopolíticos más amplios. Si bien la mayoría de las infecciones en las instalaciones industriales siguen siendo de malware ‘convencional’, este hecho en sí mismo resalta cuán vulnerables pueden ser estas instalaciones. Aunque es poco probable que los ataques selectivos a instalaciones de infraestructura crítica se conviertan en una actividad criminal convencional, prevemos que aumenten en el futuro. Los conflictos geopolíticos ahora se desarrollan en un mundo donde lo físico y lo cibernético convergen cada vez más; y, como hemos observado antes, tales ataques brindan a los gobiernos formas de tomar represalias que están a medio camino entre la diplomacia y la guerra.

Aumento de los ataques en regiones a lo largo de las rutas comerciales entre Asia y Europa

El dicho de Clausewitz: “La guerra es simplemente la continuación de la política por otros medios”, puede extenderse para incluir el ciberconflicto, con ataques cibernéticos que reflejan tensiones y conflictos más amplios en el mundo real. Hemos visto numerosos ejemplos. Consideremos, por ejemplo, las acusaciones de interferencia rusa en las elecciones estadounidenses y el temor a que se repitan en el período previo a las elecciones de 2020. También lo hemos visto en las acusaciones de Estados Unidos, que consisten en ‘nombrar y avergonzar’ a presuntos hackers chinos. El uso generalizado de implantes móviles para vigilar a “personas de interés” es otro ejemplo.

Hay varias formas en que esto puede ocurrir, como el crecimiento del espionaje político a medida que los gobiernos buscan asegurar sus intereses en sus propios territorios y en el extranjero. Esto podría significar el monitoreo de las actividades o movimientos de personas “indeseables” dentro del país, y de posibles oponentes en el extranjero. Es probable que se extienda también al espionaje tecnológico en situaciones de crisis económica potencial o real y de la inestabilidad resultante, que podría dar lugar a nuevos ataques en regiones a lo largo de las rutas comerciales entre Asia y Europa, como Turquía, Europa del Este y del Sur y África Oriental.

Es muy posible que veamos cambios en la legislación y la política, ya que los gobiernos buscan definir con más exactitud lo que está y lo que no está permitido. Por un lado, esto podría usarse como una forma de establecer una negación plausible para evitar sanciones si un estado sospecha de otro. Por otro lado, podría permitir un uso más agresivo de la tecnología, ya que varios departamentos de justicia parecen dispuestos a abrir la puerta a diferentes tipos de ‘intercepción legal’ para extraer evidencia desde las computadoras. Una respuesta probable de los grupos criminales será un mayor uso del cifrado y la Darknet para ocultar sus operaciones.

Aumento de la sofisticación de los métodos de ataque

Es difícil saber a ciencia cierta qué tan avanzados son en realidad los atacantes de primer nivel y con qué tipo de recursos cuentan. Por supuesto, cada año aprendemos un poco más: hace unos años observamos un aparente suministro interminable de vulnerabilidades de día cero para atacantes ingeniosos que estaban dispuestos a comprarlos. Este año observamos varios ejemplos, pero quizá el más interesante haya sido el que involucró al menos 14 exploits para iOS durante los dos últimos años, según explicó Google en agosto.

Los nuevos métodos de aislamiento implementados en Microsoft Word y otro software tradicionalmente atacado en campañas de phishing pueden tener un impacto significativo en los métodos de entrega de malware, lo que obligaría a actores menos sofisticados a cambiar sus formas de propagar malware.

Creemos que es probable que ya se estén utilizando capacidades de intercepción adicionales, similares a los ataques de inserción Quantum descritos hace unos años; y con suerte podremos descubrir algunos de ellos.

También parece probable que los atacantes extraigan datos con métodos no convencionales, como el uso de datos de señalización o Wi-Fi / 4G, especialmente cuando se usan implantes físicos (algo que también creemos que se está pasando por alto). De manera similar, creemos que más atacantes usarán DoH (DNS sobre HTTPS) en el futuro para ocultar sus actividades y hacer que sea más difícil descubrirlas. Finalmente, es posible que durante los próximos meses comencemos a descubrir más malware e infecciones UEFI ya que nuestra capacidad de ver dichos sistemas está mejorando lentamente.

El uso de las cadenas de suministro continuará siendo uno de los métodos de entrega más difíciles de abordar. Es probable que los atacantes continúen expandiendo este método, por ejemplo, a través de contenedores de software manipulados y mediante el abuso de paquetes y bibliotecas.

Un cambio de enfoque hacia los ataques móviles

Durante los últimos 10 años, se ha producido una transición importante: el almacenamiento principal de nuestras vidas digitales se ha trasladado de la PC a los móviles. Algunos actores de amenazas se dieron cuenta rápidamente de esto y comenzaron a centrarse en desarrollar herramientas de ataque para móviles. Si bien hemos estado prediciendo constantemente un gran aumento en el número de ataques contra móviles, las observaciones desde el campo no siempre han reflejado esta evolución inferida. Sin embargo, la falta de observaciones de un fenómeno no implica necesariamente que no esté sucediendo.

Ya hemos visto cómo un atacante abusó de al menos 14 vulnerabilidades de día cero en iOS para atacar a ciertas minorías en Asia. También vimos cómo Facebook demandó a la compañía israelí NSO por supuestamente hacer mal uso de sus servidores (para implementar malware que interceptaba los datos de los usuarios). También vimos cómo los exploits de Android con cero-clic y persistencia total ahora son más caros (según la lista de precios de Zerodium) que los del iPhone.

Todo esto nos dice cuánto dinero están invirtiendo los atacantes en desarrollar estas tecnologías. No es secreto que casi todos tienen un teléfono en el bolsillo y cuán valiosa es la información en esos dispositivos. Cada año vemos nuevos movimientos en esta dirección. También vemos cuán complicado puede ser para los investigadores de seguridad obtener más detalles técnicos sobre los ataques contra tales plataformas, dada la falta de visibilidad o accesibilidad.

No hay suficientes razones para pensar que esto se detendrá pronto. Sin embargo, debido a la mayor atención que comunidad de seguridad presta a este tema, creemos que también aumentará el número de ataques identificados y analizados en detalle.

El abuso de información personal: desde falsificaciones profundas hasta fugas de ADN

Ya hemos visto cómo las fugas de datos ayudan a los atacantes a crear ataques de ingeniería social más convincentes. No todos los adversarios tienen un perfil completo de sus posibles víctimas de abuso, lo que hace que la creciente cantidad de datos filtrados sea muy valiosa. Esto también es cierto para los ataques ‘menos selectivos’ como los casos de ransomware que ya hemos discutido.

En un mundo donde la cantidad de datos registrados continúa creciendo, podemos ver el peligro que representan las fugas que podrían considerarse especialmente sensibles, como las de datos biométricos. Además, los tan discutidos deepfakes están proporcionando la tecnología para hacer posibles tales ataques, especialmente cuando se los combina con vectores de ataque menos obvios como el video y el audio. No debemos olvidar que todo esto se puede automatizar y que la IA puede ayudar en el diseño y creación de este tipo de estafas.

Sí, todo esto suena futurista, pero es muy similar a algunas de las técnicas discutidas para difundir anuncios electorales a través de las redes sociales. Esta tecnología ya está en uso y es solo cuestión de tiempo antes de que algunos atacantes la aprovechen.

El futuro tiene tantas posibilidades que es probable que haya cosas que no están incluidas en nuestras predicciones. El alcance y la complejidad de los entornos en los que se desarrollan los ataques ofrecen numerosas posibilidades. Además, ningún equipo de investigación de amenazas cuenta con una visibilidad completa de las operaciones de los actores de amenazas APT. Continuaremos intentando anticipar las actividades de los grupos de APT y comprender los métodos que emplean, mientras brindamos información sobre sus campañas y el impacto que tienen.