1. Los ataques de ransomware continuarán, especialmente contra los sectores de salud y educación
a. Las instituciones educativas y de salud suelen operar con presupuestos limitados para ciberseguridad y sistemas heredados. Ambos sectores manejan grandes cantidades de datos personales sensibles. En el caso de la salud, los ataques de ransomware interrumpen operaciones esenciales que salvan vidas, creando una tormenta perfecta de presión que incentiva a las víctimas a pagar rápidamente los rescates. Por esta razón, estos sectores seguirán siendo objetivos principales de los ataques de ransomware.
(Chester Wisniewski, director, CTO global de campo en Sophos)
Inteligencia Artificial (IA)
1. La luna de miel termina: la IA se convierte en objetivo de vulnerabilidades, malware y ataques
Toda nueva tecnología en internet tiene un periodo de “luna de miel” que termina cuando emergen vulnerabilidades y amenazas. Ese momento ha llegado para los modelos de lenguaje de última generación (LLM). Microsoft ha estado emitiendo parches para productos de IA en el último año, y ya estamos viendo cómo los atacantes utilizan LLM para desplegar malware como troyanos. En 2025, el panorama de riesgos asociados a la IA será más claro, y los usuarios de IA y los profesionales de seguridad deberán encontrar las mejores formas de mitigar vulnerabilidades, protegerse contra el malware y prevenir futuros ataques.
(Christopher Budd, director, Sophos X-Ops)
2. La IA generativa es un riesgo constante
Gracias a la IA, ciertas actividades cibercriminales se han democratizado. Atacantes con poca experiencia ahora pueden usar plataformas de IA para obtener información “educativa” sobre cómo crear desde señuelos de phishing creíbles hasta fragmentos de código de ransomware. Aunque los ataques generados por IA tienen una baja tasa de éxito y suelen ser obvios, contribuyen al creciente “ruido” en operaciones ofensivas, dificultando la identificación de amenazas reales.
(Aaron Bugal, CTO de campo)
3. En lugar de revoluciones, veremos avances incrementales en los modelos de lenguaje. Los modelos de lenguaje como ChatGPT representaron un gran avance en IA en los últimos años. Sin embargo, al igual que los avances previos en aprendizaje profundo, el progreso futuro será incremental, al menos por ahora. Se espera optimizar la eficiencia energética y de costos de los LLM actuales, lo que definirá los avances en los próximos años.
(Ben Gelman, científico de datos senior)
4. Aumento de sistemas multiagente
La próxima evolución de los LLM será su integración para realizar tareas complejas. Investigadores y potencialmente cibercriminales podrían orquestar múltiples modelos de IA para automatizar sistemas de ciberseguridad, servicios al cliente y asistentes integrados. Un ejemplo es el “scampaign” de Sophos, un generador automático de sitios de comercio electrónico falsos.
(Ben Gelman, científico de datos senior)
Estados Nación
1. Los ataques de estados nación ya no se limitan a grandes empresas
Grupos de estados nación están atacando dispositivos en el perímetro para construir redes proxy útiles para el caos y el sabotaje. Estos dispositivos suelen estar sin parches y son vulnerables, especialmente porque muchas empresas aún utilizan equipos obsoletos. Esto amplía el rango de víctimas potenciales, afectando a empresas de todos tamaños.
(Chester Wisniewski, director, CTO global de campo)
Tácticas de los atacantes
1. Los ciberdelincuentes utilizarán distracciones para desviar la atención
Crear confusión y distracción desvía la atención de la amenaza real, y los atacantes lo saben. Generan “ruido” con ataques menores o falsos incidentes, saturando a los equipos de respuesta y permitiendo que amenazas más grandes pasen desapercibidas. Esta táctica es un desafío creciente para los equipos de seguridad, debilitando las defensas organizacionales.
(Aaron Bugal, CTO de campo)
2. Los delincuentes se adelantan cuando la comunidad de seguridad reacciona
A medida que las organizaciones implementan herramientas avanzadas de seguridad y autenticación multifactor (MFA), los atacantes están dirigiendo sus esfuerzos hacia entornos en la nube. Los tokens de acceso a la nube, que a menudo carecen de MFA, se han convertido en el nuevo objetivo principal de los atacantes.
(Chester Wisniewski, director, CTO global de campo)
3. Los atacantes se enfocarán en la cadena de suministro
Algunos de los mayores eventos de ciberseguridad de 2024, como los ataques a Blue Yonder y CDK, afectaron a proveedores de software de terceros. Estos incidentes resaltan la efectividad de los ataques a la cadena de suministro, que generan consecuencias amplias y presión significativa sobre las víctimas.
(Chester Wisniewski, director, CTO global de campo)
Lecciones Aprendidas
1. Planificar para las Disrupciones. Con el aumento de los ataques a la cadena de suministro, las empresas deben planificar proactivamente para enfrentar interrupciones con sus proveedores. Esto incluye evaluar a fondo las medidas de seguridad de los proveedores y probar los planes de respuesta a incidentes durante el proceso de adquisición. Las organizaciones suelen ignorar estos puntos únicos de falla, y esto debe cambiar en 2025. (Chester Wisniewski, director y CTO global de campo)
2. Priorizar las Actualizaciones y la MFA. La mayoría de las vulneraciones todavía comienzan con software y sistemas sin parches o contraseñas robadas. Los equipos de red expuestos a internet sin MFA (autenticación multifactor) son particularmente vulnerables. Si las empresas priorizan las actualizaciones y la MFA, pueden mejorar significativamente su postura de seguridad. (Chester Wisniewski, director y CTO global de campo)
3. Fortalecer la Seguridad de los Productos. Iniciativas como "Secure by Design" y "Secure by Demand," lanzadas por la CISA del gobierno de EE. UU., son avances positivos para la comunidad de ciberseguridad. En el futuro, será crucial presionar a los proveedores de tecnología para que mejoren la seguridad y calidad de sus productos desde el inicio, protegiendo así las cadenas de suministro mundiales, que están cada vez más amenazadas. (Chester Wisniewski, director y CTO global de campo)
4. El Reporte Ayuda a la Prevención. Educar a los usuarios sobre las mejores prácticas para manejar correos electrónicos y archivos adjuntos sospechosos sigue siendo una buena práctica, pero es poco probable que detecte los señuelos más sofisticados de hoy en día. Lo más importante es entrenar a los usuarios para que reporten cualquier cosa inesperada o sospechosa, lo que permite investigar y responder a las amenazas antes de que causen más daño. Las alertas tempranas de usuarios atentos pueden proteger a otros usuarios menos sofisticados y activar una caza de amenazas antes de que los atacantes exploten completamente los sistemas. (Chester Wisniewski, director y CTO global de campo)
5. La Fatiga y el Agotamiento Ya No Son un Riesgo; Son una Realidad. El agotamiento y la fatiga ahora son la norma dentro de la comunidad de ciberseguridad. Las personas están exhaustas por la falta de recursos y el manejo de tecnologías obsoletas o subutilizadas. Además, los profesionales de ciberseguridad enfrentan procesos, responsabilidades y gobernanzas mal definidas. Las organizaciones deben buscar formas de identificar el agotamiento en sus empleados, aprovechar la tecnología y utilizar servicios de Detección y Respuesta Administrada (MDR) ofrecidos por proveedores de seguridad para ayudar a aliviar a los equipos sobrecargados. (Aaron Bugal, CTO de campo)
Información e imágenes: Prensa SOPHOS
No hay comentarios:
Publicar un comentario