Es justo decir que 2017 fue el año en que la ciberseguridad acaparó los titulares con una serie de filtraciones de datos mundiales muy publicitadas.
Ciberataques como el del ransomware WannaCry, que infectó a más de 400.000 máquinas en 150 países, y el anuncio de Equifax de que más de 100 millones de personas habían visto filtrados sus datos privados, demostraron cuán paralizantes y de gran alcance pueden ser estos ataques.
En las últimas semanas, el director del Centro Nacional de Ciberseguridad del Reino Unido advirtió de que un ciberataque importante contra el Reino Unido es una cuestión de "cuándo, no de si", por lo que está claro que los ciberataques siguen estando muy presentes en el radar de los expertos en seguridad de todo el mundo.
Entonces, ¿qué podemos esperar ver en los próximos meses? El año 2018 ya ha tenido su parte justa de ciberataques y hay una serie de tendencias que están surgiendo y que podrían darnos una idea de lo que está por venir en el año que viene.
1. El Internet de las cosas (IoT) es muy vulnerable a los ataques
La Internet de los objetos no muestra signos de desaceleración. El crecimiento de los dispositivos (IoT) ha sido asombroso, con 8.400 millones de dispositivos actualmente en uso, y un total de 25.000 millones de dispositivos previstos para 2020. El Internet de las cosas permite un sinfín de oportunidades y conexiones, pero, por desgracia, también abre la puerta a muchos riesgos y plantea una serie de problemas de seguridad.
El problema de los dispositivos IoT es que tienen muy poca seguridad y están bastante desprotegidos. Por lo general, no funcionan con los mismos sistemas operativos estándar que admiten muchas de las herramientas de seguridad informática más utilizadas y carecen de la capacidad de ser actualizados. Esto hace que sea prácticamente imposible parchear cualquier vulnerabilidad de seguridad, lo que coloca al dispositivo en un alto riesgo de ser hackeado.
Los ciberdelincuentes están encantados de aprovechar estos fallos de seguridad y ahora se dirigen activamente a los dispositivos IoT, como los routers Wi-Fi y las cámaras web, para lanzar ataques selectivos. La potencia combinada de estos dispositivos puede, a su vez, utilizarse para paralizar un servidor y esto fue exactamente lo que ocurrió hace más de un año cuando la infame red de bots Mirai derribó docenas de los mayores servicios web del mundo.
2. Medidas de presión del RGPD
El Reglamento General de Protección de Datos (RGPD) entrará en vigor el 25 de mayo y revisará por completo la actual Directiva de Protección de Datos, adaptándola al mundo digital.
El incumplimiento del RGPD conllevará multas de hasta 20 millones de euros, o el 4% de la facturación anual mundial, y según un reciente informe de Forrester, "el 80% de las empresas no cumplirán el RGPD". Esto deja a muchas empresas en la zona de peligro y expuestas a grandes multas y daños a la reputación.
Todavía se especula mucho sobre lo que ocurrirá exactamente cuando esta normativa entre en vigor, pero es muy probable que los reguladores traten de dar un ejemplo mundial a las organizaciones que no la cumplan.
3. Evolución del ransomware
2017 fue el año que nos trajo los mayores ataques de ransomware de la historia y, a pesar de una mayor concienciación pública sobre este software malicioso, sigue siendo una de las mayores amenazas de ciberseguridad en 2018.
El ransomware sigue siendo extremadamente lucrativo para los ciberdelincuentes debido al gran número de objetivos que pueden ser infectados. Todo el mundo, desde los usuarios individuales hasta las grandes empresas, ha sido atacado y no parece que vaya a ceder en un futuro próximo.
A lo largo del último año, los hackers han perfeccionado y ajustado su ransomware para causar el máximo daño y, mientras sigan haciendo caja, seguirán apuntando a aquellos usuarios que les reporten más beneficios. Esto se ha puesto de manifiesto cuando los estafadores se dirigen cada vez más a sectores como el de la sanidad, que son objetivos más fáciles y más propensos a pagar un rescate.
La tendencia creciente de este año será la entrega de ransomware a los usuarios individuales de teléfonos inteligentes. Como los smartphones siguen siendo el dispositivo más utilizado para conectarse a Internet, serán un objetivo fácil para los hackers que buscan infectar a las víctimas y extorsionarlas.
4. Crecimiento de la ingeniería social
El número de ataques de ingeniería social ha aumentado considerablemente, ya que los estafadores obtienen grandes beneficios al explotar el comportamiento humano en lugar de utilizar las técnicas tradicionales de piratería.
La ingeniería social es extremadamente selectiva e implica el uso de alguna forma de manipulación psicológica para estafar a usuarios desprevenidos para que entreguen información sensible.
Mediante una combinación de correos electrónicos falsos, mensajes de texto, llamadas telefónicas o a través de las redes sociales, las víctimas son engañadas para que compartan información confidencial.
El 91% de los ciberataques comienzan con un correo electrónico de phishing, que sigue siendo la forma de ataque número 1. Sin embargo, los estafadores están recurriendo cada vez más a las campañas de spear phishing, ya que son más específicas y difíciles de detectar. Estos ataques se dirigen a una persona específica de alto nivel y son especialmente eficaces, ya que parecen proceder de una fuente de confianza e incluyen información que será específica para el destinatario.
A pesar de contar con las tecnologías de seguridad y defensa más potentes, los ciberdelincuentes suelen aprovechar el eslabón más débil de las defensas de una empresa, que suelen ser sus empleados. Un solo error humano puede provocar una pérdida masiva de datos sensibles. Los estafadores suelen aprovecharse de la falta de concienciación en materia de ciberseguridad de los empleados.
Para combatir esta creciente amenaza, será clave que las empresas implementen un programa eficaz de formación y concienciación en ciberseguridad para protegerse de estos ataques de bajo coste y gran recompensa.
Para saber cómo MetaCompliance puede ayudarle a mantenerse ciberseguro, haga clic aquí
