2018 fue un año lleno de acontecimientos para la ciberseguridad. Apenas pasó un día sin escuchar informes de  violaciones de datos de gran repercusión, ciberataques, sofisticadas campañas de phishing e incluso ciudades fueron secuestradas por piratas informáticos.

El panorama de las amenazas ha evolucionado claramente y no dejan de surgir nuevas amenazas que ponen en peligro la seguridad de las organizaciones de todo el mundo.

Si 2018 sirvió de algo, 2019 se perfila como una montaña rusa. No hay duda de que la ciberdelincuencia seguirá dominando los titulares, y a medida que los ciberdelincuentes se vuelvan más sofisticados y enrevesados en sus métodos de ataque, las organizaciones tendrán que asegurarse de que cuentan con sistemas robustos para defenderse de estas amenazas en evolución.

Entonces, ¿qué nos espera en 2019? Pues apenas llevamos dos meses y ya hemos sufrido una de las mayores filtraciones de datos de la historia. Bautizada como  ‘collection 1’, la brecha expuso más de 770 millones de direcciones de correo electrónico únicas y 21 millones de contraseñas. Es evidente que las violaciones de datos a las que asistimos están aumentando en frecuencia y gravedad, y parece que se trata de una tendencia que no desaparecerá pronto.

También hay otras tendencias que esperamos que tengan impacto durante el próximo año

Principales tendencias en ciberseguridad

1. La ciberseguridad domina la agenda de los consejos de administración

La ciberseguridad domina la agenda de los consejos de administración

2018 ha sido el año que ha propulsado la Ciberseguridad a lo más alto de la agenda de las salas de juntas. Las prioridades han cambiado y el aumento de los ciberataques corporativos, así como la aplicación del GDPR, han impulsado un mayor sentido de urgencia en la forma en que las organizaciones gestionan el riesgo cibernético.

Según el Informe Internacional de Investigación de Consejos de Administración, la ciberseguridad es ahora la principal preocupación para el 72% de los miembros de los consejos, en comparación con hace sólo tres años, cuando ocupaba el quinto lugar en la encuesta.

Está claro que se ha caído la breva y las organizaciones son plenamente conscientes de que un ciberataque podría ser enormemente perjudicial para su negocio. Ya sea por la pérdida de clientes, la caída del precio de las acciones, las sanciones financieras o el daño a la reputación, las consecuencias de la complacencia son demasiado grandes para ignorarlas.

Los altos ejecutivos también se han convertido en el principal objetivo de los piratas informáticos malintencionados debido a su acceso de alto nivel a valiosos datos corporativos. En el último año, ha habido un  Aumento del 58% en Ataques de compromiso del correo electrónico empresarial (BEC), y Los ataques de phishing con arpón se han utilizado en El 91% de todos los ciberataques del mundo.

Con las nuevas amenazas que surgen continuamente, los ejecutivos de alto nivel tendrán que ser más proactivos en su enfoque de la ciberseguridad si quieren reducir sus posibilidades de ser atacados.

2. Aumento de los ataques a la cadena de suministro

Aumento de los ataques a la cadena de suministro

Los ataques a la cadena de suministro son una de las mayores amenazas a las que se enfrentan las organizaciones en 2019. Los ciberdelincuentes han cambiado sus estrategias y, en lugar de dirigirse directamente a una empresa, intentan infligir daños aprovechando las vulnerabilidades de su red de la cadena de suministro.

La transformación digital ha dado lugar a la aparición de nuevos modelos de servicio, y la red de suministro de una empresa puede estar formada por un montón de terceras partes diferentes, entre las que se incluyen: fabricantes, proveedores, manipuladores, distribuidores, todos ellos trabajando juntos para llevar un producto al mercado.

Normalmente, estos proveedores no dispondrán de las mismas defensas sólidas de ciberseguridad y ofrecen atractivos puntos débiles que explotar. Los ataques a la cadena de suministro tienen el potencial de infiltrarse en toda una red a través de un único compromiso y pueden ser más difíciles de detectar que los tradicionales  ataques de malware.

Los proveedores de software se han convertido en un objetivo cada vez más atractivo para este tipo de ataques. Los atacantes intentarán plantar código malicioso dentro del software en la fase de fabricación, y luego esperarán a que el proveedor distribuya el malware involuntariamente a sus usuarios finales.

Este método se utilizó en el Ataque en 2017 a la herramienta de limpieza informática CCleaner. Los piratas informáticos lograron infiltrarse en la cadena de suministro e inyectar código malicioso dentro del software. El malware fue descargado por 2,2 millones de usuarios y se lanzaron otros ataques contra empresas tecnológicas y de telecomunicaciones situadas en el Reino Unido, Alemania, Taiwán, Japón y Estados Unidos.

3. El GDPR da forma a la protección de datos mundial

El GDPR da forma a la protección de datos mundial

El muy publicitado El GDPR entró en vigor el 25 de mayo de 2018 y sienta nuevas bases sobre cómo las organizaciones procesan y manejan los datos en el futuro. La legislación ha modernizado las normas de protección de datos y ahora ofrece a las personas un mayor control sobre quién recopila y procesa sus datos, para qué se utilizan y cómo se protegen.

La aplicación del GDPR, y un aumento dramático en el número de violaciones de datos ha llevado a muchos otros países de todo el mundo a echar un vistazo más de cerca a sus propias leyes de seguridad de datos y privacidad.

Argentina y Japón ya han comenzado a alinear su legislación nacional de protección de datos con el GDPR, y Brasil ha implementado una legislación similar llamada Ley General de Protección de Datos.

Dentro de EE.UU., los estados de California, Nueva York y Colorado han aprobado leyes locales de privacidad de datos y es probable que otros estados sigan su ejemplo a medida que aumenta la presión para lograr una protección de datos más estricta y un enfoque más normalizado en todo el país.

El GDPR ha actuado como catalizador del cambio, y países de todo el mundo están ahora buscando activamente alinear sus normas de protección de datos más estrechamente con la legislación de la UE.

4. Ataques sofisticados de IoT

Ataques sofisticados al IoT

En el último año, el mercado mundial del Internet de las cosas (IoT) ha experimentado un importante crecimiento que no muestra signos de desaceleración. Más de  Actualmente se utilizan 8.400 millones de dispositivos y se espera que esta cifra aumente hasta los 25.000 millones en 2020.

Los dispositivos IoT pueden incluir cualquier cosa, desde altavoces inteligentes hasta operaciones de fabricación a gran escala, y muchas industrias globales están adoptando ahora la tecnología IoT como medio para mejorar la eficiencia y aumentar los beneficios.

Sin embargo, a medida que ha aumentado el uso de dispositivos IoT, también lo han hecho los riesgos de seguridad asociados. El problema con los dispositivos IoT es que tienen muy poca seguridad y muchos carecen de la capacidad de actualizarse, lo que proporciona a los ciberdelincuentes puntos de acceso fáciles de explotar.

Los piratas informáticos intentarán comprometer los dispositivos IoT con una autenticación débil, firmware sin parches u otras vulnerabilidades de software. Si estas tácticas no funcionan, aplicarán ataques de fuerza bruta utilizando nombres de usuario y contraseñas predeterminados.

Esto es exactamente lo que ocurrió en 2016 cuando el infame La red de bots Mirai lanzó un ataque de denegación de servicio distribuido (DDoS) a gran escala que derribó docenas de los mayores servicios web del mundo. Este método de ataque seguirá ganando protagonismo a medida que los piratas informáticos traten de convertir en armas nuestros dispositivos cotidianos.

Para 2020 se calcula que el 25% de todos los ciberataques tendrán como objetivo dispositivos IoT, y con más industrias adoptando tecnologías IoT, podemos esperar ver un aumento continuado de estos ataques a menos que los fabricantes den prioridad a las características de seguridad dentro de estos dispositivos.

Lecturas relacionadas

5 ejemplos de violaciones de la seguridad en 2018

7 ciberhábitos para organizaciones medianas

Propósitos de Año Nuevo en materia de ciberseguridad

MetaCompliance está especializada en crear la mejor formación de concienciación sobre Ciberseguridad disponible en el mercado. Nuestros productos abordan directamente los retos específicos que plantean las amenazas cibernéticas y el gobierno corporativo, facilitando a los usuarios el compromiso con la Ciberseguridad y el cumplimiento de la normativa. Póngase en contacto con nosotros para obtener más información sobre cómo podemos ayudarle a transformar la formación en Ciberseguridad dentro de su organización.