Que haya más ciberataques y verticales más atractivos para los ciberdelincuentes está llevando a las aseguradoras a incrementar sus requisitos de seguridad. Según las predicciones de ciberseguridad de WatchGuard para 2023, las aseguradoras son conscientes de que determinados sectores son objetivos más atractivos para los ciberdelincuentes y les obligarán a cumplir normativas más estrictas y a soportar costes más elevados. Mencionan Sanidad, Infraestructuras Críticas, Finanzas y Proveedores de Servicios Gestionados (MSP) como los sectores que estarán sujetos a requisitos de ciberseguridad más severos por parte de las aseguradoras.
En el extremo, habrá aseguradoras incluso adoptarán «listas de proveedores de seguridad aprobados», suscribiendo únicamente pólizas para empresas que utilicen soluciones de seguridad de proveedores concretos.
Los problemas de seguridad que genera la cadena de suministro provocarán una mayor atención a la misma. Dicen desde WatchGuard que después de dedicar tanto tiempo a perfeccionar sus propias defensas, “sería especialmente frustrante caer por los errores de seguridad de otro”. Como resultado, en 2023, la seguridad interna de los proveedores se convertirá en un factor de selección fundamental para los productos y servicios de software y hardware, justo por debajo del precio y el rendimiento.
Metaverso, ingeniería social, productividad y MFA, cóctel explosivo. El metaverso está de moda; son muchas las empresas que están invirtiendo miles de millones en la creación de mundos conectados, virtuales, mixtos y aumentados, que creen que se convertirán en parte integrante de la sociedad en un futuro no muy lejano. El primer impacto que tienen estos entornos es la cantidad de información que compartiremos en ellos y que en malas manos pueden ser explota mediante ingeniería social para lanzar ataques dirigidos.
Recuerdan los investigadores que a finales de 2022, Meta lanzó el Meta Quest Pro como un auricular «empresarial» de RV/RM para casos de uso de productividad y creatividad. Entre otras cosas, Meta Quest Pro aprovecha las mismas tecnologías de escritorio remoto que el Escritorio Remoto de Microsoft, o Virtual Network Computing (VNC) – el mismo tipo de tecnologías de escritorio remoto que los ciberdelincuentes han atacado y explotado innumerables veces en el pasado. “Por este motivo, creemos que en 2023 el primer gran ataque del metaverso que afecte a una empresa será el resultado de una vulnerabilidad en las nuevas funciones de productividad empresarial, como el escritorio remoto, utilizadas en la última generación de auriculares VR/MR destinados a casos de uso empresarial”, dicen los investigadores.
Que las empresas estén adoptando MFA para proteger mejor las credenciales no hace sino que los ciberdelincuentes tengan necesidad de atacarlas. Es decir, el aumento de la adopción de MFA obliga a los atacantes a encontrar alguna forma de eludir estas soluciones de validación de seguridad. Recuerdan los investigadores que la forma más común en que los ciberdelincuentes eludan estas soluciones es a través de ingeniería social sofisticada.
El coche autónomo vuelve a ser protagonista de las predicciones de seguridad. Ya hay investigaciones que han demostrado que los coches conectados a Internet pueden ser hackeados, y los humanos ya han demostrado que se puede diseñar socialmente (¿o deberíamos decir «visualmente»?) la IA. Cuando se combinan estas dos cosas con un servicio basado en la telefonía móvil que cualquiera puede utilizar, seguramente veremos al menos un incidente de ciberseguridad en el que los actores de amenazas ataquen a los robotaxis por diversión y afán de lucro.
Aunque el machine learning (ML) y la inteligencia artificial (IA) no han llegado a ser tan poderosos como afirman algunos evangelistas del mundo de la tecnología, han evolucionado significativamente para ofrecer muchas nuevas capacidades prácticas, como escribir código. Copilot de GitHub es una de esas herramientas de codificación automatizada. El problema es que si se alimenta a la IA con código malo o inseguro tendrás problemas. Los estudios ya han demostrado que hasta el 40% del código generado por Copilot incluye vulnerabilidades de seguridad explotables, y este porcentaje aumenta cuando el propio código del desarrollador contiene vulnerabilidades. “En 2023, predecimos que un desarrollador ignorante y/o inexperto que confíe demasiado en Copilot, o en una herramienta de codificación de IA similar, lanzará una aplicación que incluya una vulnerabilidad crítica introducida por el código automatizado”, aseguran los investigadores de WartGuard.
