Autores: Morey J. Haber, Chief Security Officer, Christopher Hills, Chief Security Strategist, y James Maude, Director de Investigación de BeyondTrust
A medida que nos acercamos del final de 2023, es hora de examinar las tendencias de ciberseguridad que han tomado forma a lo largo del año y comenzar a planificar las que se avecinan. Para esta edición, compartimos nuestros principales pronósticos para 2024, y comentamos sobre las tendencias clave que prevemos que se afianzarán en los próximos cinco años.
Pero primero, consideremos dónde residimos actualmente. La Inteligencia Artificial (IA) llegó con toda su fuerza en 2023. En particular, la IA generativa hizo un debut disruptivo especialmente con el ChatGPT. La aceptación generalizada de la IA en varios aspectos de las operaciones comerciales, desde la codificación hasta la contabilidad, promete numerosos beneficios para la productividad en el lugar de trabajo, pero también cambia las reglas del juego cuando se trata de amenazas cibernéticas.
Siga leyendo para conocer los desarrollos que predecimos que afectarán el panorama de la ciberseguridad en los próximos años.
Tendencias de Ciberseguridad para 2024
1. La Evolución de las Amenazas de la IA
Podemos esperar que la aparición de la IA continúe hasta 2024, pero también deberíamos esperar que la evolución de las amenazas de la IA se desarrollen en tres partes:
Parte I – Los actores de amenazas de IA suben al escenario
Los actores de amenazas humanos se verán cada vez más aumentados con capacidades de IA. Estas capacidades actuarán como un multiplicador de fuerza, ampliando rápidamente el alcance y las capacidades técnicas que los atacantes pueden ejercer.
Ya hemos sido testigos del aprovechamiento de las capacidades de la IA para generar ransomware y malware, pero aún no hemos sido probados completamente por ella como una amenaza cibernética empresarial. La IA generativa (piense en tecnologías como ChatGPT) ya ha allanado el camino para lo que está por venir: Weak IA (también llamada Narrow IA), que se centra en tareas específicas limitadas. La IA Weak prosperará en 2024, proporcionando una ventaja para los actores de amenazas en áreas específicas, como el descubrimiento de vulnerabilidades y la evasión de la detección.
También esperamos ver un crecimiento significativo de la Strong IA, que ofrece una inteligencia mucho más amplia y similar a la humana. La Strong IA también se conoce como Inteligencia General Artificial (AGI) o Superinteligencia Artificial (ASI). Podría conducir a la aparición de actores de amenazas basados en computadoras que puedan realizar ciberataques end-to-end forma autónoma.
Una Strong IA también permitirá que un solo actor de amenazas actúe como un gran grupo. Esto suplantará las habilidades técnicas que alguna vez proporcionaron otros humanos, mientras que, al mismo tiempo, le dará al atacante una ventaja competitiva en velocidad y escala para capitalizar el mercado negro contra los actores de amenazas heredados y solo humanos.
Parte II – Surgen nuevos vectores de amenazas de IA
La IA seguirá mejorando los vectores de ataque existentes, como el phishing, el vishing y el smishing. También creará nuevos vectores de ataque que se elaborarán en función de la calidad de los resultados de la propia IA generativa.
La IA generativa será tan disruptiva para el mundo como lo fue la era punto com (.com) a principios de la década de 2000. Algunos argumentarán que la IA será tan revolucionaria como la propia Internet.
Los actores de amenazas siempre han encontrado una manera de aprovechar las nuevas tecnologías para el comportamiento malicioso. Algunos de los primeros indicadores de este potencial ya se han materializado en forma de artículos de noticias falsas de publicaciones periódicas, casos legales falsos y correspondencia y anuncios falsos de organizaciones reconocidas. Estos se materializarán en forma de videos, voces, anuncios e incluso historial falso o anuncios de productos falsos que desafiarán nuestra capacidad para determinar qué es real y qué es una estafa.
Parte III: Las asistentes de código de IA introducen más vulnerabilidades
El aumento de la adopción de asistentes de IA introducirá, tal vez de forma contradictoria, más errores en el desarrollo de software. Es decir, escribir vulnerabilidades de seguridad en el código fuente.
Investigadores de Stanford publicaron los resultados de un estudio que muestra que los desarrolladores que utilizan asistentes de IA para escribir código tienen más probabilidades de introducir vulnerabilidades de seguridad que aquellos que no los utilizan.
A medida que los desarrolladores continúen adoptando herramientas diseñadas para facilitarles la vida y aumentar su productividad, veremos que el código fuente se envía a servicios en la nube que pueden ser inseguros, y esto dará lugar a riesgos. El aumento del uso de estas herramientas también comenzará a introducir vulnerabilidades no intencionales generadas por IA y configuraciones incorrectas en los softwares.
Los modelos de IA generativa que se entrenan con ejemplos de código en línea que contienen errores harán que el error de la máquina sea la causa de las vulnerabilidades del software.
2. Aplicaciones Dedicadas: Camino a la Extinción
A partir de 2024, la IA generativa dejará obsoletas las aplicaciones e iconos dedicados que tanto nos gustan.
Existe la posibilidad de que se produzca una colaboración cuando nos deshagamos de nuestras aplicaciones de dispositivos móviles y tiendas de mercado en favor de la IA. La IA generativa ya ha demostrado que puede crear itinerarios completos de viaje, indicar el estado de los datos fácticos en función de una conectividad de confianza y mostrar información de forma dinámica en función de solicitudes verbales o escritas.
Con tal flexibilidad y potencia, las aplicaciones dedicadas a la banca, los viajes y la recuperación de información pueden quedar obsoletas si se pudieran establecer conexiones de confianza utilizando conceptos como Zero Trust. Preguntas como 'cuál es mi extracto bancario', 'por favor, reserve mi viaje' o 'por favor, recupere las últimas 10 ventas de mi empresa' podrían convertirse en realidad. De hecho, las propias aplicaciones podrían convertirse en conectores que generen confianza en una interfaz común que proporcione los resultados, al igual que un navegador.
Este es el futuro de la IA generativa. Todo lo que necesitamos será un comando de voz de distancia usando una interfaz estándar. Esto puede obligar a que la necesidad de pantallas de dispositivos móviles se vuelva obsoleta, ya que el concepto de interfaces complejas para aplicaciones detalladas se basará en resultados y en funciones específicas.
3. Abajo VOIP y POTS: UCS es el Futuro
2024 marcará el comienzo de la sentencia de muerte para POTS (Plain Old Telephone System), las facturas telefónicas de larga distancia y los teléfonos de escritório; el VOIP dedicado no se quedará atrás.
La muerte de POTS no es una sorpresa para nadie. Hace veinte años, anticipamos su declive. Hoy en día, pocos sistemas POTS han evitado el reemplazo por VOIP (Voz sobre IP), teléfonos inteligentes físicos conectados a TCP/IP que utilizan diversas tecnologías para transmitir llamadas telefónicas. Los primeros sistemas VOIP tenían una compleja tecnología de gateway para comunicar las implementaciones de VOIP locales a POTS en el mundo exterior. Entonces la nube intervino. Si su organización tuviera una canalización (ancho de banda) lo suficientemente grande como para admitir llamadas telefónicas de datos, streaming y voz en función de la configuración de calidad de servicio, VOIP podría administrarse desde la nube.
Hoy en día, todo eso está cambiando a los Servicios de Comunicaciones Unificadas (UCS) y las aplicaciones. Microsoft Teams, Zoom, Ring Central, etc. han llevado las comunicaciones al siguiente nivel y han hecho que las llamadas telefónicas con teléfonos dedicados sean casi obsoletas. Podemos responder llamadas telefónicas en nuestras computadoras, usando aplicaciones en nuestros teléfonos inteligentes, y casi hemos eliminado la necesidad de VOIP y POTS dedicados. De hecho, es solo cuestión de tiempo antes de que los números de teléfono también se conviertan en un punto discutible y estén completamente ofuscados por las direcciones de correo electrónico y los alias.
Y, por último, dado que las comunicaciones ya no dependen de un sistema analógico dedicado, es de esperar que las vulnerabilidades, los hackeos y los exploits vulneren lo que antes se consideraba un medio seguro para las comunicaciones.
4. Sobrecarga de Suscripciones: Hay una Suscripción para Eso
Espere que incluso los artículos simples tengan suscripciones, desde el derecho a usar su impresora de forma remota hasta la tecnología del hogar inteligente y las cuentas de redes sociales que hemos estado dando por sentado.
Cuando éramos niños, recordamos haber escuchado la expresión "si te gusta algo y puedes pagarlo, puedes comprarlo". Cuando las tarjetas de crédito estuvieron disponibles para todos en la década de 1980, millones de personas aprendieron a comprar productos y servicios a crédito. Si bien el crédito cambió los límites de la asequibilidad, todas estas compras fueron perpetuas. Lo compraste y lo poseíste.
En 2024, los pagos electrónicos seguirán sustituyendo al dinero en efectivo, pero en lugar de comprar y poseer cosas directamente, las licenciaremos cada vez más a través de una suscripción. Si desea que la dashcam del automóvil funcione, o recibir la última versión de una aplicación o si desea servicios de entrega sin costo adicional, se basarán en suscripción. De hecho, cada vez más de los artículos que compramos en el pasado estarán disponibles/utilizables solo a través de una suscripción.
Una consideración aquí es que cualquier brecha en la licencia de suscripción o la terminación de un acuerdo puede conducir a la pérdida de datos (durante la brecha) o al archivo de información que podría estar sujeta a una violación posterior. Solicitar la eliminación de datos de la terminación intencional de una suscripción puede ser el mejor recurso de un usuario para combatir la información digital almacenada durante su vigencia.
5. Los Juice Jackers Explotan la Estandarización de USB-C
Tener un conector USB estándar garantizará la compatibilidad, nos acercará al uso del mismo conector de alimentación en todo el mundo y eliminará toneladas de desechos electrónicos de los conectores propietarios. Desde el punto de vista de las amenazas, también se puede esperar un aumento del juice jacking y otros vectores de ataque relacionados con las conexiones físicas. Con un solo tipo de conexión al que los actores de amenazas pueden dirigirse, la barra se ha reducido significativamente.
6. Mapeo de Exploits para Ransomware
Es de esperar que el foco de los ataques pase de los datos para la extorsión a los explotables para la venta. Los malos actores se centrarán más en vender información sobre exploits y vulnerabilidades sobre una empresa en lugar de realizar el rescate ellos mismos.
A lo largo de este último año, ya hemos visto cómo el propósito de un ataque ha evolucionado de la información de identificación personal (PII - Personally Identifiable Information) y la información sanitaria protegida (PHI - Protected Health Information) al spyware, el malware y el ransomware. Incluso hemos visto casos en los que los ataques de ransomware han aprovechado los datos exfiltrados para extorsionar.
En 2024, podemos esperar ver un nuevo cambio en el propósito del ataque hacia la información identificable de vulnerabilidad (VII - Vulnerability Identifiable Information) y la información identificable de explotación (EII - Exploit Identifiable Information), una vez que se combine con la IA. En lugar de ensuciarse las manos (y arriesgarse a ser detectados) inyectando malware y manteniendo a las empresas como rehenes para el pago de ransomware, veremos que los actores de amenazas comenzarán a aprovecharlas para vender datos explotables, como vulnerabilidades empresariales, exploits, identidades, privilegios e higiene.
Este nuevo atacante se dirigirá a los datos que pueden llevar a alguien a un compromiso o que pueden vulnerar una organización. De manera similar a un auditor que revisa sus prácticas de seguridad y le dice lo que necesita remediar, los actores de amenazas elaborarán una lista de cómo puede ser atacado y aprovecharán esa información como parte de un rescate con una presencia persistente para demostrar su intención.
7. La Estandarización de los Seguros Cibernéticos
El seguro cibernético se estandarizará más entre los proveedores en lugar de que los brokers individuales tengan sus propios requisitos o checklists.
Los seguros cibernéticos han seguido madurando en los últimos tres años. A medida que las tecnologías y los riesgos continúan diversificándose y evolucionando rápidamente con la IA, los conflictos globales y la conectividad 5G (por nombrar solo algunos), las aseguradoras cibernéticas han respondido adoptando categorías nuevas y específicas. Por ejemplo, los "actos de guerra" se han adoptado ampliamente en las pólizas de seguros y las compañías.
Desafortunadamente, varias compañías de seguros cibernéticos sopesan el riesgo de manera diferente. Pero a los actores de amenazas no les importa si eres una tienda familiar o una empresa multimillonaria. Solo ven la oportunidad.
En 2024, se espera ver un enfoque más basado en el control central o en el marco de los seguros cibernéticos. Esta evolución permitirá a los proveedores estandarizarse contra todas las amenazas cuando se trata de reducir el riesgo y la responsabilidad relacionados con las pólizas cibernéticas.
Tendencias de Ciberseguridad en los Próximos Cinco Años
1. La Era del Malware Llega a su Fin
Con la nube y las aplicaciones SaaS como la nueva normalidad, el compromiso de la identidad se convertirá en la técnica de referencia. La mayoría de las intrusiones interactivas implicarán identidades comprometidas y herramientas nativas en lugar de exploits de software y malware personalizado.
Los días en que los actores de amenazas encontraban y explotaban vulnerabilidades críticas de día cero y usaban malware personalizado están disminuyendo. El uso de malware es ruidoso y aumenta la probabilidad de ser detectado por herramientas cada vez más inteligentes. Para evadir la detección, los actores de amenazas se esforzarán por explotar las identidades y su acceso, liberándose de malware mediante el uso de herramientas nativas, APIs y acceso en ataques de tipo "living off-the-land" (LotL).
Esta poderosa combinación de identidades comprometidas e intrusiones libres de malware causará desafíos reales a las organizaciones que están acostumbradas a buscar malware y vulnerabilidades de código en su entorno para identificar a los atacantes. Esta evolución acelerará la necesidad de que los equipos de IAM y seguridad mejoren la colaboración. El resultado final será un cambio centrado en la identidad, en el descubrimiento de los riesgos de identidad y en el intento de establecer una línea de base de la actividad normal para detectar desviaciones que puedan indicar un compromiso.
2. Las Cadenas de Suministro de IA en el Punto de Mira
Los estados-nación se centrarán en explotar las cadenas de suministro de IA para introducir debilidades que luego puedan aprovecharse.
Por ejemplo, los asistentes de código de IA pueden agregar vulnerabilidades sutiles en los datos de entrenamiento e incluso en documentaciones. Este efecto puede lograrse mediante la orientación directa de los asistentes de IA o mediante la difusión de información errónea en línea, donde será consumida por el asistente de IA. Esto podría conducir a la entrada automática de vulnerabilidades en el código por parte de herramientas diseñadas para ayudar a mejorar la eficiencia de la codificación.
Por otro lado, a medida que las organizaciones confían más en las tecnologías de IA, enviarán cada vez más datos confidenciales de la empresa a los servicios de IA para su revisión. Estos datos convertirán a la infraestructura de IA en un objetivo muy preciado. Este riesgo será difícil de resolver. La empresa no siempre tendrá visibilidad de las herramientas de IA que utilizan los empleados, especialmente si ellos las utilizan para automatizar su propio trabajo, como realizar una revisión gramatical de documentaciones internas.
3. Tecnología Vintage Está de Vuelta
Espere un regreso "vintage moderno" de la electrónica nostálgica. En otras palabras, espere nuevos productos que brinden una experiencia vintage, pero con conectividad y componentes modernos.
Ya sea que se trate de ropa vieja, muebles o discos de vinilo, tenemos una afición natural por las antigüedades y un deseo de volver a conectarnos con nuestro pasado. La mayoría de los productos electrónicos antiguos tienen poco uso práctico. Los consumidores de hoy en día esperan soporte integrado para la conectividad a Internet y otras funciones básicas que ni siquiera eran una consideración débil en décadas pasadas. Dicho esto, varias categorías de dispositivos electrónicos rompen este molde. Los videojuegos antiguos, las cámaras y algunos juguetes electrónicos todavía deleitan a los consumidores.
En los próximos cinco años, se espera que reaparezcan más productos electrónicos nostálgicos. Muchos serán casi réplicas de sus versiones anteriores, aunque modernizadas con soporte para conectividad y otros componentes "imprescindibles" para la audiencia actual. La fusión de esta tecnología también podría dar lugar a vulnerabilidades modernas, fallos y hackeos que representan nuevos vectores de ataque contra la tecnología antigua.
4. Las Cadenas de Confianza de Identidades Evolucionan para Hacer Frente a las Amenazas Modernas
Los servicios de verificación de identidad surgirán como una estrategia de mitigación en respuesta al aumento de las amenazas basadas en identidades.
Durante años, los actores de amenazas han falsificado las identidades de las personas y, en muchos casos, ellas mismas han alterado sus identidades (es decir, un menor que intenta comprar alcohol o ingresar a un establecimiento con restricción de edad). Los gobiernos estatales y federales han respondido con reglas mejoradas que tienen fotos, códigos de barras y hologramas en apoyo de las iniciativas para afirmar positivamente la identidad de una persona (RealID). De hecho, algunos sitios web de redes sociales ahora le permiten cargar estas formas de identificación para evitar vectores de ataque de identidades en línea.
Sin embargo, lo que falta es la aceptación universal de la verificación de identidades en un mundo electrónico. Algunas organizaciones utilizan el correo electrónico, los mensajes de texto SMS y otras formas de verificación en dos pasos para crear o verificar una identidad. Estos métodos de seguridad están fallando cada vez más a medida que los actores de amenazas perforan agujeros en ellos.
Lo que se necesita es un servicio de verificación que proporcione un alto nivel de confianza para las identidades. Esto es muy parecido a un servicio de informes crediticios, pero totalmente independiente en comparación con las iniciativas gubernamentales existentes. Espere que este tipo de servicios surjan y se conviertan en la mejor estrategia de mitigación para amenazas como las identidades sintéticas y los actores de amenazas de estados-nación.
5. La Evolución de la IA Establece un Objetivo para la Gobernanza
Se espera que los campos de gobernanza y cumplimiento de la IA evolucionen rápidamente en los próximos cinco años.
A medida que las tecnologías basadas en IA y machine learning (ML) amplían su huella en sistemas, procesos, productos y tecnologías, se pondrá mayor énfasis en la regulación responsable de la inteligencia artificial en el sector público y privado, y las organizaciones tendrán que cumplir cada vez más.
Las regulaciones se centrarán en cómo se construye y utiliza la IA para garantizar que cumpla con los estándares éticos y de privacidad. En las primeras etapas, estas regulaciones pueden variar ampliamente según la región. Es de esperar que este sea un objetivo de leyes, regulaciones y marcos que ampliarán lo que la IA puede hacer por región, vertical y gobierno.
6. El Control Remoto se Pierde... Y a nadie le Importa
Una de las expresiones más habladas en los muchos idiomas del mundo pronto desaparecerá de nuestro léxico compartido.
“¿Dónde está el control remoto?" (y son variaciones comunes como: "Cariño, ¿dónde está el control remoto?" "¿Has visto el control remoto?" o "¿Dónde está el @#&*? ¡¿Remoto?!") es un concepto que tendremos que explicar a las generaciones futuras.
El auge de las aplicaciones telefónicas dedicadas, los asistentes personales digitales y los comandos de voz directos anuncia el fin del control remoto físico.
Una de las formas más simples de desechos electrónicos (e-waste) son los controles remotos portátiles para televisores, equipos de música, ventiladores y otros dispositivos inteligentes. En los próximos cinco años, se espera que estos dispositivos se deshagan de los controles remotos físicos y solo permitan el control a través de aplicaciones telefónicas dedicadas, asistentes personales digitales y/o comandos de voz directos. El control remoto se logrará utilizando la tecnología de hogar inteligente elegida por el usuario final, o simplemente emparejándose con dispositivos Bluetooth (teclados y ratones) para lograr los mismos objetivos.
A medida que el mundo lucha contra los desechos electrónicos, cambios simples como este pueden eliminar toneladas métricas de dispositivos patentados cuando llegan al final de su vida útil. Estos cambios también pueden abrir vectores de ataque. A medida que más dispositivos se vuelven "inteligentes" y conectados, y a medida que las herramientas infrarrojas comunes que controlan una amplia variedad de tecnologías son reemplazadas por aplicaciones que utilizan tecnología de red o Bluetooth, surgen más oportunidades para que los actores de amenazas ingresen a su red.
Sé Proactivo con Respecto a la Ciberseguridad en 2024
Lo hemos dicho muchas veces antes, pero es un consejo de seguridad que nunca pasa de moda. Independientemente de los momentos, prepararse para lo que se avecina marca la diferencia en la eficacia de la gestión de riesgos.
La investigación muestra continuamente que las empresas con posturas de seguridad de TI más proactivas previenen más amenazas, identifican posibles problemas de seguridad más rápido, sufren menos infracciones y minimizan el daño de los ataques de manera más efectiva que las organizaciones menos preparadas.
Si está buscando ser proactivo con respecto a su postura de ciberseguridad, contactarnos es una excelente actidud para comenzar.
Predicciones de Ciberseguridad de BeyondTrust
El equipo de BeyondTrust tiene una larga historia de hacer predicciones de seguridad. Puedes consultar algunas de nuestras previsiones anteriores a continuación para evaluar cómo nos ha ido!
- Cybersecurity Trend Predictions for 2023 & Beyond: BeyondTrust Edition
- BeyondTrust Cybersecurity Trend Predictions for 2022 & Beyond
- Top Cybersecurity Trends to Watch for 2021: The Hacking of Time, M/L Data Poisoning, Data Privacy Implodes, & More
- BeyondTrust Cybersecurity Predictions for 2020 & Beyond
- BeyondTrust 2019 Security Predictions
- Cybersecurity Predictions for 2018 (+ 5-Year Predictions, Too!)
- 5 Cybersecurity Predictions for 2018
- 10 Cybersecurity Predictions for 2017
- 2017: Looking Forward to a New Year in Cybersecurity
- 2016 Cyber Security Predictions & Wishes
- 2022 Cyber Security Predictions: 5 Years to Plan!
- Top 5 Security Predictions for 2014
Morey J. Haber, Chief Technology Officer, BeyondTrust
With more than 20 years of IT industry experience and author of Privileged Attack Vectors, Mr. Haber joined BeyondTrust in 2012 as a part of the eEye Digital Security acquisition. He currently oversees BeyondTrust technology for both vulnerability and privileged access management solutions. In 2004, Mr. Haber joined eEye as the Director of Security Engineering and was responsible for strategic business discussions and vulnerability management architectures in Fortune 500 clients. Prior to eEye, he was a Development Manager for Computer Associates, Inc. (CA), responsible for new product beta cycles and named customer accounts. Mr. Haber began his career as a Reliability and Maintainability Engineer for a government contractor building flight and training simulators. He earned a Bachelors of Science in Electrical Engineering from the State University of New York at Stony Brook.
Christopher Hills, Chief Security Strategis
Christopher L. Hills has more than 15 years’ experience as a Senior Security and Architecture Engineer operating in highly sensitive environments. Chris is a military veteran of the United States Navy and started with BeyondTrust after his most recent role leading a Privileged Access Management (PAM) team as a Technical Director within a Fortune 500 organization. In his current position, he has responsibilities as a Senior Solutions Architect consulting on PAM implementations and reports to the Office of the CTO as Chief Security Strategist for the Americas. In his free time, Chris enjoys spending time with his family on the water with their 32-foot speedboat in the summer and taking to the sand dunes and off-roading in the winter.