Entre sueños escuchas el despertador de tu celular, abres los ojos y lo apagas desde tu smartwatch. Tu Smart TV te recibe encendida, con las noticias a todo volumen. Miras la temperatura y te das cuenta de que es una helada mañana invernal. Tu auto, como todas las noches, te espera estacionado en la puerta de tu hogar, y sabes que si no lo enciendes para calentar el motor va a ser difícil que arranque. Para ahorrar tiempo, tomas tu smartphone, abres la aplicación de tu automóvil y te propones encenderlo desde la comodidad de tu cocina, pero hay un problema: el coche no enciende.
Lo intentas varias veces y hasta reinicias la app, pero aparece una notificación en tu pantalla: “Tu auto está inutilizado. Si quieres volver a encenderlo, deposita 0,5 bitcoins en esta cuenta”.
Ahora vuelve del sueño y dinos, ¿crees que esta situación es posible? ¿Acaso la Internet de las Cosas puede ser vulnerable a ataques o amenazas como el ransomware? Los investigadores de ESET nos hemos hecho estas preguntas y algunas más, y te presentamos nuestras ideas en el reporte Tendencias 2017: La seguridad como rehén.
En él, como cada año, delineamos las tendencias en seguridad informática para el año que se avecina, repasando los principales acontecimientos para analizar las próximas formas que tomará el cibercrimen. El informe se basa en nuestro constante monitoreo del panorama global de amenazas informáticas y la búsqueda de patrones para comprender sus próximos pasos y posible evolución.
Hoy presentamos una nueva edición de este documento, ya tradicional de nuestro laboratorio, que cuenta con el aporte de ocho investigadores estudiando la velocidad con la que aparecen nuevas tecnologías y se amplían las superficies de ataque. En este contexto, planteamos hacia dónde van los riesgos de seguridad y qué pueden hacer las empresas, los expertos, los gobiernos y los usuarios para afrontarlos.
Una mirada al panorama de ciberseguridad en 2017
Si 2016 fue el año del ransomware, 2017 probablemente sea el año del jackware, según sugiere Stephen Cobb. Podría ser el año en que esta despiadada amenaza se traslade a otras plataformas más allá de computadoras y smartphones, intentando tomar el control de dispositivos cuyo objetivo principal no sea el procesamiento de datos ni la comunicación digital, como por ejemplo los automóviles conectados en el ejemplo que planteábamos arriba.
Pero los dispositivos inteligentes no serán el único objetivo viable a través de la infraestructura de Internet: los atacantes seguramente sigan usándola para sondear lo que se considera infraestructura crítica. Los ataques a la infraestructura crítica, que Stephen Cobb y Cameron Camp analizan en una sección del reporte, implican el compromiso de datos y servicios esenciales para el funcionamiento de sistemas vitales para la seguridad física, económica o pública de un país. En suma, vitales para el desarrollo cotidiano de una sociedad.
Debemos seguir trabajando para que las personas dejen de ser el eslabón más débil. De lo contrario, seguiremos con tecnología de última generación gestionada con conceptos de seguridad de hace más de 10 años
Y si hablamos de cosas vitales, ¿qué podría ser más importante que proteger los sistemas de la industria de la salud? A medida que se vuelve más informatizada, son más los profesionales y pacientes que comienzan a usar dispositivos médicos y aquellos diseñados para monitorear la actividad física. Estos dispositivos suelen estar repletos de información confidencial; sin embargo, la seguridad y la privacidad en general son una preocupación secundaria, considera Lysa Myers en el apartado dedicado.
Por otro lado, la integración entre dispositivos es común también en otro sector completamente distinto: el de los videojuegos. Cassius Puodzius describe los riesgos potenciales de integrar consolas a computadoras, en un sistema cada vez más dependiente de Internet que podría dejar la puerta abierta a la explotación de vulnerabilidades o la instalación de malware, con el objetivo de acceder a todo tipo de información financiera, personal y de partidas de los gamers.
Es cierto que la explotación de vulnerabilidades continuará siendo un importante vector de ataque, como lo ha sido siempre, pero no debemos perder de vista la tendencia en este aspecto. Lucas Paus señala que, si bien el número de vulnerabilidades reportadas en 2016 no alcanza los valores de 2015, casi el 40% son críticas y esta es una proporción mayor a la registrada en años anteriores. ¿Por qué hay menos fallas reportadas pero más de ellas son críticas y qué significa esto? En la sección correspondiente, analizamos esta paradoja y las implicancias que tendrá a futuro.
Finalmente, entre los variados temas que abarcamos, hablamos de la realidad del malware móvil en un contexto de desarrollo tecnológico imparable, que implica nuevos escenarios de ataque. Lo cierto es que el auge de las tecnologías de realidad virtual incorpora nuevos riesgos de seguridad que atañen no solo a la información digital, sino al bienestar físico del usuario. Mientras estas aplicaciones concentran datos cada vez más sensibles, el malware móvil no deja de crecer y complejizarse, reforzando la importancia del desarrollo seguro.
Estos y otros temas son los ejes del informe Tendencias 2017: La seguridad como rehén, donde además se detallan los factores que dificultan la implementación de legislaciones efectivas de ciberseguridad a nivel internacional. Si bien hay normativas significativas, los Estados, las empresas y los ciudadanos alrededor del mundo se enfrentan a diversos desafíos que Miguel Mendoza abarca en la sección correspondiente.
En tanto, David Harley nos cuenta sobre la concepción actual que diferencia a la tecnología de detección de malware de “primera generación” de la de “próxima generación”, y derriba mitos en torno a ella.
Vulnerabilidades en sistemas y… ¿en personas?
Hay un tema que atraviesa todos estos ejes y es la necesidad, más grande que nunca, de educar a los usuarios, las empresas y los fabricantes para que comprendan los riesgos actuales y futuros y tomen dimensión de que la era de la conectividad implica un cambio de mentalidad. El denominador común en todas las secciones es el factor humano, y debemos seguir trabajando para que las personas dejen de ser el eslabón más débil. De lo contrario, seguiremos en un escenario con tecnología de última generación pero gestionada con conceptos de seguridad de hace más de 10 años.
Como concluimos en el informe, no se trata solamente de educar al usuario final; es necesario que los gobiernos adopten marcos legislativos que impulsen los temas de ciberseguridad, que las empresas se decidan a llevar adelante una gestión correcta de la seguridad de su información y que los desarrolladores no posterguen la seguridad de sus productos en detrimento de la usabilidad.
El informe Tendencias 2017: La seguridad como rehén también está disponible en nuestra sección de Reportes. No te quedes sin leerlo para saber lo que te depara en materia de seguridad informática el próximo año como usuario.
