Durante los últimos años hemos asistido a un crecimiento importante de las amenazas cibernéticas, tanto en número como en sofisticación. En 2022 hemos visto como las campañas de “ransomware” se han multiplicado y sofisticado, muchas de ellas vinculadas a los escenarios de inestabilidad geopolítica actuales. Por otro lado hemos visto cómo el phishing ha saltado la barrera del correo electrónico para atacar al usuario en uno de sus terminales de uso preferido, el teléfono móvil, y ha evolucionado a smishing. El objetivo prioritario de todos estos ataques es el dato, susceptible de ser explotado para realizar estafas financieras o de cualquier otro tipo.
Las organizaciones se defienden, reforzando su pila de seguridad, mediante la orquestación de sistemas y mejorando la visibilidad sobre lo que sucede en sus infraestructuras, pero al mismo tiempo los actores de amenazas también lo hacen. Por tanto, en 2023 veremos nuevas y más sofisticadas estrategias y metodologías de ataque, orientadas a burlar sistemas de seguridad corporativos avanzados, como sistemas de autenticación multifactor (MFA) de detección y respuesta automática (EDR) o la gestión de identidad.
También podemos esperar en 2023 nuevas mutaciones en el malware, que le permitirán sofisticarse y aparecer antes en dominios maliciosos y que lo harán menos detectable. En este contexto, la monitorización preventiva en DNS y la Inteligencia de amenazas sobre campañas emergentes serán fundamentales para combatirlo. Durante 2022 hemos podido ver que una parte importante del malware, cuyo vector han sido tradicionalmente archivos Word o Excel adjuntos en correos electrónicos (aunque cada vez cobran más peso los archivos comprimidos Zip o Rar y los ataques sin fichero) utiliza dominios maliciosos como eslabón inicial y clave en la cadena del ataque, así como los mecanismos de comando y control una vez dentro para descarga de malware o iniciar movimientos laterales.
Frente a este panorama, ¿qué hacer? La mayoría de las organizaciones van a apostar por una estrategia basada en cuatro líneas de acción: prevención temprana, el uso de tecnología de Inteligencia Artificial predictiva, automatización de la respuesta ante amenazas y mejora y orquestación de la pila de seguridad para incrementar la resiliencia, minimizar el impacto en caso de ataque y garantizar la continuidad de las operaciones de negocio.
Tradicionalmente la prevención se ha basado en el uso de sistemas independientes, desde firewalls hasta filtrado de correo electrónico o sistemas de prevención de intrusiones a sistemas basados en detección y respuesta, pero hoy día esto ya no es suficiente. Dado lo sofisticado de muchos ataques, se necesita ir un paso más allá, y disponer de sistemas capaces de anticiparse a la existencia de una amenaza, incluso a aquellas que son totalmente desconocidas. En 2023 veremos un creciente uso de tecnologías de AI y ML para identificar e incluso prevenir un ataque antes de que se produzca, y también impedir la ejecución del código malicioso.
Cuando en un ataque está involucrado un dominio malicioso, la gestión segura de DNS puede ser una herramienta muy eficaz, mediante el uso de proveedores DNS capaces de denegar el acceso a los dominios comprometidos o sospechosos utilizados para alojar el código malicioso. Asimismo, utilizar proveedores que dispongan del mecanismo Response Policy Zone (RPZ) es una forma de controlar la entrega de nombres de dominio de forma segura, teniendo en cuenta la reputación de los servidores de nombres o Top Level Domains (TLDs), y definir políticas que permitan una respuesta proactiva y automatizada a peticiones a dominios sospechosos.
Una vez identificada una amenaza, la rapidez en la respuesta es fundamental para minimizar el tiempo de duración del ataque y así limitar al máximo el impacto en el negocio. Pero es imposible hacer esto de forma manual, ya que la respuesta debe de ser inmediata. La mayoría de departamentos de TI no cuentan con las herramientas o el conocimiento para dar respuesta a ataques sofisticados, por lo en 2023 se incrementará el uso de sistemas de respuesta automatizados, e inversión en sistemas de investigación y/o atribución de amenazas sobre actores o ciberdelincuentes.
Por último, mejorar el conocimiento del entorno (sin perímetro) y la visibilidad va a ser crítico para crear una postura de seguridad más sólida. Esa información ha de ser práctica, capaz de alimentar un motor de análisis y que a su vez pueda ser utilizada para lanzar acciones automatizadas de remediación.
Una organización resiliente es aquella que tiene una postura global de ciberseguridad sólida, y esa es la aspiración de muchos CEOs a nivel mundial. Según un informe de Gartner, para 2025, el 70% de CEOs encuestados tienen previsto desarrollar e implementar estrategias de resiliencia corporativa, no sólo frente a las ciberamenazas, sino también frente a otras amenazas, como inestabilidad social o política. En todo ello la seguridad de las infraestructuras críticas será esencial.
Joaquín Gómez, CyberSecurity Lead Southern Europe, Infoblox
