Las ciber-amenazas que vienen

Recomendado para CEOs, CIOs y CISOs.

En este informe se describen las principales ciber-amenazas que retarán al sector financiero próximamente. Asímismo, y con independencia del sector en el que te encuentres, encontrarás útiles sugerencias para ir implementándolas entu organización.

1.- Los ataques a la cadena de suministro se enfoca en software y servicios esenciales

El ataque a Solarwinds o Microsoft confirma esta tendencia. Los criminales se centran en atacar a nuestros principales proveedores de servicios y software, incluyendo proveedores de ciberseguridad, y posiblemente seguirán aumentándose en tiempos venideros. Estos ataques permiten al crimen organizado ganar acceso fraudulento a múltiples entornos internos (cloud incluido) para causar miedo, pérdida de integridad en los sistemas y posiblemente dañando la fidelidad de la información procesada en los sistemas corrompidos.

Para reducir ataques asociados a la cadena de suministro cibernética, Accenture recomienda:

-         revisar y fortalecer los niveles de acceso y los privilegios provenientes y dirigidos a software externos

-         acordar con los proveedores de software niveles de servicio que optimicen la localización y remediación de vulnerabilidades del software previo a su despliegue

-         implementar nuevas herramientas para detectar anomalías y securizar software.

-         referirse a las mejores practices recomendadas por NIST ( Microsoft Word - Workshop Brief on Cyber Supply Chain Best Practices.docx (nist.gov) ) para revisar las acciones de ciberseguridad implementadas relativas a la cadena de suministro.

Estas prácticas son parte de los servicios ofrecidos bajo la denominación “Application Security Services”.

2.- Nuevos actores y vectores de ataque disruptivos aumentan el ciber fraude

El fraude y el compromiso de los correos electrónicos corporativos floreció en 2020. Esto, sumado a la mayor captación de fondos por parte del cibercrimen derivado de acciones desarrolladas durante la pandemia, les permitió “innovar” en nuevos TTP (técnicas, tácticas y procedimientos) centradas en el robo de credenciales, incluso a pequeñas organizaciones. Adicionalmente se observó un incremento en la cooperación de diferentes células de crimen organizado, cada vez con roles más especializados (señuelos en idiomas regionales, diseño de malware, spam dirigido, control de mulas, etc) distribuidos por todo el mundo, lo cual les facilita monetizar las credenciales bancarias robadas. Se extiende el concepto de fraude como servicio (FaaS – Fraud as a Service) aplicándolo en algunas prácticas como la puesta a disposición de cuentas bancarias inactivas, el incremento en venta y precio de credenciales bancarias en la darkweb, el registro de reclamaciones de desempleo con identidades falsas o el desvío de beneficios financieros a cuentas fraudulentas.

Para mitigar las amenazas del ciber-fraude, Accenture recomienda:

-         Incrementar las medidas de concienciación que combatan el phishing y la ingeniería social, con enfoque especial en grupos con acceso a información sensible (p. ejem. con accesos a sistemas de pago o empleados miembros del área Customer Service)

-         Limitar el RDP (Remote Desktop Protocol)

-         Búsqueda de alternativas al envío de SMS como doble factor de autenticación

-         Adopción de protocolos de autenticación fuertes para e-mail (p. ejem. DMARC)

Estas prácticas son parte de los servicios ofrecidos bajo la denominación “Applied Security Services”.

3.- Las amenazas internas se incrementan con la llegada del trabajo remoto

En 2020, un empleado de Tesla informó que un conspirador criminal le ofreció US$1 millón para ayudar con un esquema que implicaba simultáneamente la distracción por DDoS - denegación de servicio), proporcionando información sobre exfiltración e introduciendo un ransomware con el que completar la extorsión. Foros criminales anuncian rutinariamente los servicios de los internos en sectores tales como servicios financieros y telecomunicaciones, que entre otras acciones facilitan el SIM swapping para retomar el control de ciertas credenciales.

Estas acciones derivan en perdida financiera, daño en la marca y multas a consecuencia de la pérdida de información. Para minimizar el riesgo de las amenazas internas, Accenture sugiere informar y sensibilizar a los empleados sobre su responsabilidad en la organización, así como aplicar los principios de Zero-trust en las arquitecturas de seguridad (one-time-used-passwords, revocando sesiones inactivas, limitando uso de USBs, monitoreando la DarkWeb con servicios de ciber-inteligencia, etc.).

Estas prácticas son parte de los servicios ofrecidos bajo la denominación “Digital Identity Services”.

4.- Las capacidades de destrucción de la extorsión sigue avanzando

Con el escenario tan cambiante entorno al ransomware tales como nuevos vectores de ataque, incertidumbre en el resultado post-ataque, nuevos actores (incluso Estados) y tecnologías, etc., impedir un ataque de ransomware puede convertirse en un verdadero reto.

Accenture propone las siguientes acciones en función de la fase del ataque:

Prevenir el ransomware:

o  Aplicando parches de seguridad al software y entrenando a los empleados a reconocer emails con phishing.

o  Realizando ejercicios previos de contención de ransomware para entrenar a blue team adecuadamente.

o  Segmentar las redes para minimizar posibles movimientos laterales.

o  Realizar backups regularmente.

o  Implementar sistemas de detección de comportamientos anómalos

Contener el ransomware:

o  Asume la filtración de parte de tu información e intenta comprender el impacto de la intrusión.

o  Arranca el plan de comunicación para crisis

o  Colabora con legal para evitar sanciones de las autoridades

o  Despliega los playbooks de respuesta ante incidentes y los planes de continuidad del negocio

Recuperarse del ransomware:

o  Antes de pagar, infórmate sobre el actor criminal, su reputación en demandas y promesas.

o  Analizar las posibles consecuencias legales

o  Evalúa los riesgos residuales e identifica aquellos que superan los umbrales aceptados por la organización

Estas prácticas son parte de los servicios ofrecidos bajo la denominación “Cyber Defense Services”.

5.- Las tecnologías emergentes siguen reinventando el escenario de amenazas

Entre todas las nuevas tecnologías, nos enfocaremos en las repercusiones de la computación cuántica y los biométricos y cómo debemos preparar nuestras estrategias de seguridad.

Computación cuántica

Las vulnerabilidades asociadas a la encriptación están cerca de sufrir una profunda transformación. Las computadoras cuánticas podrán descifrar problemas de muy alta complejidad en uno o varios días, y que las computadoras actuales tardarían varios años en resolver. Por otro lado, el estándar NIST ya está creando el estándar criptográfico pos-cuántico (PQC), para ser publicado en 2022-23. Por otro lado, el crimen organizado también está realizando progresos en la desencriptación basada en tecnologías cuánticas.

Accenture recomienda a las organizaciones colaborar conjuntamente con socios especializados en el desarrollo de protocolos cripto-ágiles y modulares, que faciliten la interoperabilidad entre algoritmos nuevos y obsoletos, de forma que estas organizaciones puedan ir migrando hacia estas nuevas cripto-soluciones a medida que vayan emergiendo. Mientras esto sucede, Accenture propone avanzar con las siguientes medidas concretas:

-         Aumentar la longitud y complejidad de las contraseñas

-         Evaluar la nueva norma PQC y analizar el impacto en sus organizaciones

-         Automatizar la rotación de claves privadas

-         Automatizar los procesos de búsqueda de vulnerabilidades en desarrollo de código con métodos criptográficos

-         Considerar implantar métodos de autenticación no-basados en contraseñas.

-         Iniciar la implementación de funciones y métodos cripto-ágiles (SHAKE265, QKD, etc)

Biométricos

En un típico procedimiento de incorporación móvil, el nuevo cliente sube una identificación oficial (licencia de conducir) y un selfie; el banco verifica la validez de la identificación, compara el selfie con la foto de la identificación y comprueba el selfie en busca de "prueba de vida”.

Sin embargo, los deepfakes alimentados por inteligencia artificial podrían permitir a los ciber-criminales falsificar estos datos biométricos (ya existen técnicas de deepfake voice phishing). También se han conocido fugas de información en sistemas de reconocimiento de huellas digitales o faciales, que podrían ser utilizadas con objetivos fraudulentos.

En este nuevo escenario, donde la implantación de medidas de autenticación basadas en biométricos es un hecho, Accenture sugiere que las organizaciones desarrollen modelos de machine-learning, incorporando medidas de seguridad adicionales, tales como las limitaciones en los inputs de los individuos a esos sistemas. En el onboarding de nuevas cuentas, cobra alta relevancia el uso de análisis de comportamiento y geolocalización.