Los incidentes de ciberseguridad en España se han multiplicado por siete desde 2014 alcanzado los 111 mil en 2018 según el Instituto Nacional de Ciberseguridad (INCIBE). El CiberSOC de Grupo ICA viene monitorizando una serie de tendencias que afectarán, cada vez más, a las empresas españolas.
El desarrollo de las tecnologías ya existentes y la aparición de otras nuevas como la IA, el IoT, la nube o el 5G traen consigo nuevos vectores de ataque que los actores de amenazas no dudan en explotar, ya sea para atacar Estados, infraestructuras críticas, grandes organizaciones o pequeñas empresas.
El phishing, la técnica en la que el atacante se hace pasar por una empresa, un proveedor o una persona conocida para engañar al destinatario, se está sofisticando. Mientras que la mayor parte de los ataques de phishing se realizaban a través de correo electrónico, es cada vez más frecuente el fraude realizado por SMS (smishing) y por teléfono (vishing). España fue el sexto país del mundo que más ataques de phishing sufrió en 2019.
Hoy en día, ningún entorno empresarial está aislado y conforma un ecosistema de negocios que se comunican y relacionan entre sí: clientes, socios, proveedores, colaboradores… Las empresas deben entender que su nivel de vulnerabilidad aumenta cuantos más actores desprotegidos haya presentes en su ecosistema. Por ejemplo, en 2019 vimos cómo Airbus fue atacado en repetidas ocasiones empleando hasta 4 de sus proveedores. Es importante que las organizaciones sean conscientes del daño que esto puede causarles.
Este pasado año, también presenciamos multitud de ataques contra proveedores de servicios gestionados de ciberseguridad con el objetivo de acceder a sus clientes. Cada vez es más importante para las organizaciones confiar su seguridad a proveedores certificados así como conocer mediante servicios específicos de CiberInteligencia el nivel de seguridad de sus proveedores.
Como explica INCIBE, “la recolección de datos personales de los usuarios es inherente al funcionamiento de los dispositivos IoT.” Existen una serie de retos que los dispositivos IoT deben superar para aumentar su ciberseguridad. Muchos dispositivos, ya sea por los recursos de hardware limitados con los que han sido construidos, por coste y precio, por priorización de la usabilidad frente a la seguridad o por fallos en el diseño debido al afán de las marcas por acortar el tiempo de lanzamiento al mercado, no cuentan con las capacidades suficientes para aplicar controles de seguridad.
Según Gartner, en 2020 habrá más de 20 mil millones de dispositivos IoT en uso y un 25% de los ataques a empresas estarán dirigidos a este tipo de dispositivos, pasando a representar una de la mayores preocupaciones de los equipos de TI. Aun así, en las empresas, la seguridad destinada al IoT no representará más del 10% de los presupuestos totales de la seguridad informática.
La Inteligencia Artificial (IA) ya se encuentra integrada en nuestros métodos defensivos de numerosas maneras, pero no debemos olvidar que es una tecnología a la que los ciberdelincuentes también tienen acceso.
La IA aún está aprendiendo, por lo que hay que cuidar los datos de entrenamiento que nutren los algoritmos de aprendizaje automático ya que, de ser manipulados, podrían no solo boicotear este aprendizaje sino conseguir crear sesgos en estos modelos. Esto daría lugar a una pérdida de eficacia en la detección de amenazas, la aparición de puntos ciegos y falsos positivos que disminuirían nuestra ciberseguridad.
También sabemos que la inteligencia artificial sirve a los actores de amenazas para lanzar ataques más sofisticados, incrementando su efectividad y viralidad. Defensores y atacantes empleamos la misma tecnología. La clave estará en quién será capaz de innovar más rápido y, por tanto, llevar la delantera.
Según avanza la digitalización, se multiplican los datos almacenados en ordenadores, bases de datos, sitios web, la nube, etc. El aumento de los ataques cuyo objetivo es el secuestro o robo de datos ha sido significativo estos últimos años. En 2019, Televisión Española, Prosegur, Agencia EFE, Vodafone, Bicimad, Wallapop, el Instituto de Empleo de Zaragoza, Everis, Cadena SER, Facebook y el Ayuntamiento de Jerez, entre otros, sufrieron ataques. Los autores no eligen a sus víctimas según el tipo de organización, sector, facturación o tamaño. Son conscientes del valor de los datos y seguirán intentando apropiarse de ellos para su explotación.
Ante esta situación, las empresas y organizaciones intentarán proteger los datos que han recopilado, mientras que los individuos que los generan lucharán por su derecho a una mayor privacidad. Si bien es cierto que los proveedores de servicios en la cloud destinan importantes presupuestos a la seguridad, también lo es que no logran una protección completa, como pudo verse con el hackeo de Yahoo, Gmail, Dropbox, Uber, Whatsapp y Tesla. Además, la responsabilidad de proteger los datos no recae en los proveedores de servicios sino en la empresa que hace uso de dichos servicio. Por eso, a medida que más empresas migren su infraestructura y servicios de cloud, veremos mayor preocupación por el refuerzo de la seguridad en la nube.
En estos años ya hemos podido ver importantes ataques informáticos con motivaciones políticas destinados al espionaje, la desinformación y las campañas difamatorias, pero a partir de 2020 veremos con mayor frecuencia ataques cuyo objetivo será el sabotaje y la inutilización de infraestructuras críticas. Como explicaba Javier Candau, jefe del departamento de ciberseguridad del Centro Criptológico Nacional (CCN) “todos los casos que hemos tenido [en España] de ataques a infraestructuras críticas han venido de otro Estado”. En 2019, fueron entre 20 y 22 los ataques críticos perpetrados contra nuestro país por otras naciones. Por eso, será importante para nuestras instituciones contar con herramientas capaces de monitorizar, en tiempo real, las tácticas de estos grupos y anticipar sus ataques.
Según CCN-CERT, los principales patrocinadores de ciberataques a infraestructuras críticas europeas son Corea del Norte, China, Irán, Rusia, Corea del Sur e India.
Si bien en 2020 aún no se espera un gran crecimiento de los dispositivos con capacidades 5G, los expertos en ciberseguridad deben ir preparándose para el boom que llegará en los próximos años. El 5G deja atrás la necesidad de conectar un dispositivo a un enrutador Wi-Fi para tener internet, puesto que se conecta directamente con la red 5G y facilita el ataque directo a los dispositivos.
Las redes de quinta generación multiplicarán por 10 su velocidad actual y, en algunos casos, hasta por 20, alcanzando las velocidades de descarga más rápidas experimentadas hasta el momento. Una latencia de 1 a 2 milisegundos frente a los 100 del 4G permitirá la transmisión de los paquetes de datos dentro de la red casi de forma instantánea. La ampliación de las capacidades de estas redes darán solución a las necesidades de conectividad del creciente número de dispositivos IoT y traerán consigo nuevos objetivos de ataque para los ciberdelincuentes.
En España, el 99,8% de las empresas son pymes (3,3 millones de empresas), según el Ministerio de Trabajo, Migraciones y Seguridad Social de nuestro país. Un estudio elaborado por Google ha descubierto que únicamente el 12% de estas pequeñas y medianas empresas considera estar ciberprotegida. ¿Quién querría atacar una pyme cuando podría obtener mayores beneficios de una multinacional? Pues bien, INCIBE asegura que cerca de la mitad de los ataques informáticos que detectan diariamente van dirigidos a pymes, exactamente un 43%. Y no solo eso. Para los delincuentes informáticos es más rentable atacar a pymes desprotegidas que a grandes empresas preparadas para defenderse. Los autores de ataques hasta han adaptado sus exigencias económicas a las micropymes, llegando a registrar solicitudes de rescate de archivos secuestrados por valor de 100 y 200€.
En nuestro país, un ciberataque a una pyme ocasiona unos costes aproximados de 35.000€ de media. El 60% de las pequeñas y medianas empresas que han sido víctimas de los ciberdelincuentes no son capaces de asumir los costes y terminan cerrando.
Hasta ahora, las pymes no disponían de los recursos necesarios para estar al día en materia de seguridad. El coste y la formación del personal eran sus principales barreras. En 2020, los ataques a pymes crecerán y veremos la salida al mercado de nuevos productos de ciberseguridad adaptados a las necesidades y presupuestos de estas empresas. Gerardo Cueva, presidente de la Confederación Española de la Pequeña y Mediana Empresa (Cepyme), anima a poner la ciberseguridad en manos de empresas especializadas a las organizaciones incapaces de cubrir este servicio de forma interna.
Conociendo las nuevas tendencias y frente a unos adversarios cada vez más hábiles y con acceso a las mismas tecnologías que nosotros, muchos aseguran que nos encontramos ante una ‘carrera ciberarmamentística’ en la que es más importante que nunca obtener ventaja en el eterno ciclo del ataque y la defensa.