El viejo dicho «nada es seguro excepto la muerte y los impuestos» debería ampliarse para incluir los cambios en el panorama de la ciberseguridad. Los profesionales de la ciberseguridad y los líderes empresariales pueden ayudar a reducir las amenazas contra sus organizaciones si conocen lo que está ocurriendo en ese panorama en constante cambio.

Dado que las ciberamenazas siguen poniendo a prueba incluso a las empresas más aguerridas, mirar hacia 2023 puede ayudarnos a ponernos las pilas.

He aquí un vistazo a cinco tendencias en ciberseguridad de cara a 2023.

Los seres humanos siguen siendo un objetivo en ciberseguridad

El factor humano en la ciberseguridad ha sido un reto en todos los sectores durante muchos años. Los seres humanos son un eslabón débil en una compleja cadena que conduce a violaciones de datos, infecciones por ransomware y otros desastres. Los ciberdelincuentes explotan a los empleados; esta táctica ha experimentado grandes avances en el éxito de las estafas y los ciberataques debido a la falibilidad del operador humano.

La pandemia del Covid-19 hizo que los ciberdelincuentes se aficionaran a los ciberataques centrados en tácticas como las estafas y el phishing. Como prueba, el análisis de  ISACA ha descubierto que la mitad de las violaciones de datos están relacionadas con acciones de los empleados. Los ciberdelincuentes consideran que apuntar a un empleado es una fruta al alcance de la mano, ya que puede proporcionar un punto de entrada a la red corporativa más amplia. Una vez dentro de la red, pueden producirse ciberataques, como la infección por ransomware, el compromiso del correo electrónico empresarial (BEC) y otros ataques de malware.

Tendencia en ciberseguridad: el Informe de Verizon sobre investigaciones de violaciones de datos (DBIR) para 2021 y 2022 muestra que el error humano estuvo detrás del 85% y el 82% de las violaciones de datos, respectivamente. Es probable que el factor humano en un ciberataque se mantenga a este nivel en 2023.

Cómo mitigar esta tendencia de ciberseguridad: ayude a minimizar el riesgo humano en la máquina cibernética llevando a cabo simulaciones regulares de phishing y formación de concienciación sobre seguridad.

Deepfakes y extorsión

La tecnología Deepfake se utiliza para muchos fines legítimos, como crear avatares de juegos o impartir lecciones. Sin embargo, esta misma tecnología es una herramienta ideal para engañar a la gente para que crea o haga algo que beneficie a un ciberdelincuente. El problema es que los vídeos y audios deepfake pueden ser difíciles de distinguir de los reales. En una encuesta realizada por  iProov, el 43% de los encuestados dijeron que no podían distinguir entre un vídeo real y un deepfake.

Tendencia en ciberseguridad: Los deepfakes ya se han utilizado en estafas BEC. El ejemplo clásico es el  CEO al que estafaron 243.000 dólares (210.000 libras) con un deepfake de voz (Deepfake Vishing). Otro ámbito en el que los deepfakes podrían convertirse en un grave problema es el de las estafas de extorsión.

Por ejemplo, imagine un deepfake que incluya un vídeo convincente de un director general o un miembro del consejo de administración en una posición comprometida o expresando un discurso de odio. Este escenario es destacado por  Europol, que espera que la tecnología deepfake se utilice en ataques a ejecutivos de alto nivel, así como para la manipulación de pruebas y la producción de pornografía no consentida.

Cómo mitigar esta tendencia de ciberseguridad: una mezcla de tecnología y vigilancia centrada en el ser humano puede ayudar a paliar esta tendencia creciente. Los empleados deben ser conscientes del problema inminente de la extorsión deepfake. Los CXO y la junta directiva deben ser incluidos en la concienciación sobre la seguridad de las estafas deepfake. Además, añada controles para las transferencias de dinero que superen una determinada cantidad. Las soluciones de ciberseguridad basadas en IA también pueden ayudar en la prevención de deepfake.

Continuación del fraude de identidad sintética

El robo de identidad es un problema creciente en todo el mundo. Según un  2022 de Experian, la mitad de los consumidores ha sido víctima de un fraude o conoce a alguien que lo ha sufrido.

Es probable que estas identificaciones fraudulentas pasen a formar parte de más de Se prevén 48.000 millones de dólares en pérdidas por fraude en el comercio electrónico en 2023: para crear una identidad sintética, los estafadores utilizan una mezcla de datos personales robados y falsos; cada vez se utilizan más falsificaciones profundas para aumentar los datos. Estas identidades sintéticas se utilizan después para crear cuentas bancarias, cuentas en redes sociales y otras cuentas de identidad aparentemente legítimas.

Tendencia en ciberseguridad: las cuentas de identidad sintéticas necesitan datos. Estos datos se compran en mercados de la web oscura o se roban por encargo a personas concretas. Una cuenta de identidad sintética se utiliza para engañar a las empresas para que concedan créditos o creen nuevas cuentas en su sistema. El resultado es una pérdida de confianza de los consumidores en las empresas y de ingresos. Aunque la identidad sintética no es un ciberdelito nuevo, sí es lucrativo, por lo que se espera que siga encontrando nuevas vías para dirigir los ataques.

Cómo mitigar esta tendencia de ciberseguridad: los datos robados o expuestos son el punto de partida del fraude sintético de identidad. Reduzca el riesgo de violación de datos tomando medidas drásticas contra la suplantación de identidad mediante ejercicios de simulación de phishing.

Aumento de las estafas de ciberseguridad debido a la recesión mundial

Según el Banco Mundial,«el mundo puede estar acercándose a una recesión global en 2023 y a una serie de crisis financieras en los mercados emergentes y las economías en desarrollo que les causarían un daño duradero«. La historia nos dice que los fraudes y las estafas aumentan cuando se producen acontecimientos adversos importantes.

Por ejemplo, durante y después del crack bancario de finales de la década de 2000, un Una encuesta realizada a expertos en fraude reveló que el 55% de los encuestados experimentó un nivel de fraude leve o significativo. La pandemia del Covid-19 registró un aumento similar de estafas y fraudes; un  Un informe de TransUnion revela un aumento del 149% en los intentos de fraude en el primer trimestre de 2021.

Tendencia en ciberseguridad: a medida que el mundo entra en recesión, espere que los estafadores aumenten la presión sobre su organización. Esta presión vendrá en forma de un aumento de los ataques de phishing, estafas BEC, infecciones de ransomware y otros ciberataques relacionados con las finanzas.

Cómo mitigar esta tendencia de ciberseguridad: la mitigación de los crecientes niveles de estafas requiere un enfoque de varios niveles. Construya una estrategia de ciberseguridad sólida que abarque medidas de ciberseguridad tanto tecnológicas como centradas en el ser humano.

Una red de malware

La guerra de desgaste entre los ciberdelincuentes y las organizaciones ha dado lugar a tácticas de evasión que dependen de complejos ecosistemas de malware. La cadena de ataque suele contener múltiples puntos de ataque y métodos cada vez más enrevesados para robar las credenciales de inicio de sesión.

Este ecosistema cada vez más complejo, utilizado para facilitar un ciberataque, fue descrito en una reciente entrada del blog de Microsoft sobre el gusano Raspberry Robin: Microsoft sospecha que se utiliza la ingeniería social para animar a los usuarios a hacer clic en un archivo .LNK o a insertar una llave USB infectada. Pero este no es el final de la historia. El Raspberry Robin forma parte, según los investigadores de Microsoft, de un ecosistema masivo de malware, que facilita la instalación de otros programas maliciosos, incluido el ransomware.

Microsoft concluye que ‘El malware de los ciberdelincuentes es una amenaza siempre presente para la mayoría de las organizaciones hoy en día, ya que se aprovecha de las debilidades comunes en las estrategias de seguridad y utiliza la ingeniería social para engañar a los usuarios. Casi todas las organizaciones corren el riesgo de encontrarse con estas amenazas».

Tendencia en ciberseguridad: Raspberry Robin es un ejemplo de cómo los ciberdelincuentes y los ecosistemas de tácticas crean graves dificultades para detectar los ciberataques. Espere que en 2023 continúe esta tendencia de ciberataques integrados y multiparte que incluyan múltiples amenazas y sitúen a los seres humanos en el centro de una red de malware.

Cómo mitigar esta tendencia de ciberseguridad: una estrategia de seguridad robusta debería responder a este ecosistema de ciberataques de múltiples capas con medidas similares de múltiples partes. Estas medidas deberían incluir medidas tecnológicas como la autenticación robusta, la seguridad de confianza cero, el cifrado y el filtrado inteligente de contenidos. Sin embargo, el factor humano seguirá abriendo puertas que los ciberdelincuentes explotan, por lo que las medidas tecnológicas deben complementarse con una formación de concienciación sobre la seguridad centrada en el factor humano.

No cabe duda de que los ciberdelincuentes seguirán explotando a nuestros empleados a lo largo de 2023 y más allá. La única forma de mitigar los complejos ecosistemas de amenazas que se basan en la ingeniería social, es proporcionar a nuestro personal las herramientas para protegerse a sí mismos y a la empresa.

La formación para la concienciación sobre la seguridad, aumentada con ejercicios de phishing simulado, debería formar parte de un enfoque amplio de la seguridad. A medida que se acerca el año 2023, es urgente poner en marcha estas medidas. Sin embargo, un esfuerzo coordinado proporcionará la protección necesaria para detener a los ciberdelincuentes en su camino.