A fondo: Whaling, deepfake, stalkerware… así cambia el vocabulario de seguridad

Las amenazas de seguridad continuarán copando titulares en 2021 y manteniendo a los departamentos de TI ocupados. Los expertos lo tienen claro y han comenzado a elaborar sus previsiones sobre todo lo que nos deparará el nuevo año.

HP, por ejemplo, tiene claro que las ciberamenazas crecerán. Y lo harán por la necesidad de las empresas de seguir apoyándose en el teletrabajo mientras no se derrota la pandemia de coronavirus, por las vulnerabilidades de algunas herramientas de acceso remoto y por la escasez de personal para mejorar la adaptación a una obligada nueva normalidad. Este entorno de trabajo virtual, o híbrido, les proporciona más oportunidades a los delincuentes.

Para empezar, el ransomware seguirá vivo. “Lo que veremos”, vaticinan desde la compañía norteamericana, “es un aumento en los ataques ransomware as a service, en los que la amenaza ya no es el ‘secuestro’ de datos, sino la liberación pública de los mismos“. Es decir, se buscará un doble chantaje en el que “los que los datos de las víctimas se extraen antes de ser cifrados”. En este caso, aunque la víctima pague el rescate, algo que siempre se ha desaconsejado, “no hay garantía de que los autores de la amenaza no vendan más adelante los datos robados”.

La previsión es que la acción de este nuevo tipo de ransomware afecte sobre todo al sector público, que maneja información personal identificable. Otros sectores en riesgo son el sanitario, incluyendo las firmas farmacéuticas, el educativo y el industrial. Es probable que los ataques se vayan adaptando a objetivos específicos a lo largo de los próximos meses y afecten a diferentes verticales.

Golpe a la sanidad

“La atención sanitaria ha sido un objetivo perfecto ya que la sociedad depende de ella y estas organizaciones suelen tener pocos recursos, son reacias al cambio y lentas para innovar”, algo que no cambiará en 2021. “La educación también se ajusta a este criterio y podría ser otro de los objetivos principales”, valora HP. “Debido a la carrera por desarrollar una nueva vacuna, las compañías farmacéuticas y las instalaciones de investigación también seguirán enfrentándose a riesgos y situaciones adversas”.

Por otro lado, se espera innovación en el phishing mediante ataques whaling y thread hijacking, que irán acompañados de señuelos más convincentes. El whaling es phishing dirigido especialmente a ejecutivos de alto nivel con el que se compromete el correo corporativo. La técnica de thread hijacking automatiza la creación de esos señuelos al robar datos de los sistemas afectados por un ataque y aprovecharlos para emitir respuestas que contienen malware.

Otra empresa tecnológica, como es Avast, anticipa estafas que tendrán que ver con la vacunación contra la COVID-19. Durante este 2020 ya se han detectado campañas de phishing que instrumentalizaban el tema de la pandemia para llamar la atención de los usuarios y acabar instalando malware en sus dispositivos o robar información de valor. Por ejemplo, con supuestas guías de recomendaciones para no contagiarse o la promesa de rastrear enfermos cercanos y alertar sobre su proximidad.

La llegada de la vacuna acrecienta este tipo de estafas, incluyendo ofertas de dosis en tiendas falsas o anuncios en redes sociales. Los ciudadanos deben estar alerta. “Si las personas ven ofertas de vacunación circulando en internet, deben tener en cuenta que es probable que la venta sea demasiado buena para ser verdad, ya que las vacunas deben distribuirse únicamente a través de fuentes oficiales”, razona Jakub Kroustek, líder de equipo del laboratorio de amenazas de Avast, que anima a confiar únicamente en los “médicos e instituciones locales”.

Los peligros del teletrabajo

Igualmente, las instituciones sanitarias y de investigación seguirán viéndose las caras con el ransomware, la exfiltración de datos y el espionaje. Los atacantes se dirigirán probablemente a proveedores de redes virtuales para acabar colándose allí donde les está prohibido y hacerse con propiedad intelectual jugosa.

Desde Avast hablan de “ataques dirigidos específicamente a las empresas e instituciones farmacéuticas para recopilar información confidencial de los clientes para el chantaje y el espionaje industrial”. Aunque otros sectores también “corren el riesgo de ser víctimas de ataques dirigidos a través de su infraestructura VPN y aplicaciones de escritorio remoto que pueden estar usando para mantener conectados a los empleados que trabajan desde casa”.

El aislamiento al que está sometida la población conllevará ataques dirigidos a personas que teletrabajan y que ahora tienden a compartir información en internet. A esto hay que añadirle el hecho de que los dispositivos presentes en el hogar suelen estar más expuestos a vulnerabilidades. Los hackers intentarán acceder a información de las empresas a través de aparatos personales. También crecerán las amenazas internas no intencionadas al desdibujarse la línea entre trabajo y ocio cuando se trabaja desde casa.

El análisis a futuro de CyberArk, otra firma de seguridad, se centra en esas “islas personales” que se generan con el traslado de los recursos corporativos a redes domésticas y dispositivos de uso común. En esas islas, los controles son heredados, poco eficaces y amenazantes. Esto provocará una proliferación en meses venideros de ataques hiperpersonalizados para sacar rendimiento del usuario adecuado con acceso privilegiado a una infraestructura concreta.

Al mismo tiempo, CyberArk cree que “la presión provocada por la pandemia generará malas decisiones” por parte de los trabajadores. Los ciberdelincuentes se esforzarán en sus acciones y ofrecerán cada vez más incentivos financieros para provocar brechas y filtraciones de detalles sensibles como las credenciales que sirven para acceder a servicios corporativos.

Deepfake para personalizar ataques

La desinformación en forma de deepfake y, en general, las campañas maliciosas generadas a través de inteligencia artificial marcarán 2021. Esto estará vinculado a los populares dispositivos con sistema operativo Android, que serán víctimas de ataques publicitarios agresivos, que generan ganancias cuantiosas, estafas de fleeceware que combinan el adware con apps falsas y el uso de stalkerware para espiar la ubicación física y las comunicaciones de sus dueños. Al menos así lo cree Avast.

“El modus operandi principal para esta categoría de amenaza es”, tal y como explica Ondrej David, líder del equipo de análisis de malware móvil en la compañía checa, “el sigilo”. David especifica que, “aunque la comunidad de seguridad y las tiendas de aplicaciones” oficiales “luchan cada vez más contra el adware, generalmente es muy difícil de detectar, ya que es posible que los anuncios no siempre se ejecuten inmediatamente después de la instalación de la aplicación, por lo que se necesita mucho más esfuerzo” para ponerles fin.

En el caso de los deepfakes, van ganando calidad y credibilidad. “Es probable”, pronostica Petr Somol, director de investigación de inteligencia artificial en la propia Avast, que “alcancen una calidad el próximo año en la que puedan utilizarse activamente en campañas de desinformación”.

“Las teorías de conspiración sobre el coronavirus, como su supuesta propagación a través de 5G, podrían volver a enfatizarse a través de vídeos deepfake, por ejemplo, mostrando erróneamente a los políticos como conspiradores”, baraja este investigador. También se contempla que “la pandemia, el aumento resultante de personas teletrabajando y una mayor dependencia de la conectividad en línea, así como la creciente presión económica, combinada con la incertidumbre, contribuyan a la efectividad del uso de deepfakes para difundir desinformación”.

En estos vídeos la tecnología de animación por ordenador ayuda a manipular desde la voz hasta las expresiones faciales de personas reales, de modo que a ojos del espectador su mensaje es totalmente creíble. Esto dificultará entre la opinión pública la distinción entre lo que ha sucedido y lo que nunca ocurrió. Si a esto se le suma el hecho de que las bases de conocimiento para amenazas impulsadas por inteligencia artificial y el aprovechamiento de la automatización están en auge, la situación se complica todavía más.

Sobre los deepfakes, CyberArk cree que ayudarán a los delincuentes a personalizar sus ataques empresariales para ampliar el alcance de la ingeniería social y el phishing. Mensajes manipulados que parecen auténticos, incluso a través de plataformas como el chat o las herramientas de colaboración en la nube, buscarán engañar a los empleados en un momento en el que el vídeo gana fuerza como método de comunicación. El objetivo será tanto el robo de contraseñas y el acceso a cuentas corporativas como el efecto arrastre entre clientes y socios por medio de enlaces maliciosos.

Una última predicción

Como bonus, CyberArk lanza una última predicción: 5G nos arrastrará al mayor ataque DDoS o de denegación de servicio hasta la fecha. Esta tecnología móvil impulsa la conexión de dispositivos y abre nuevas líneas de agresión a negocios online. Se espera que los ataques DDoS masivos acaben siendo habituales ¿Hasta qué punto? Si las cábalas de los expertos no fallan, a lo largo del próximo año se producirá el primer ataque de 5 Tbps, mientras que los de 2 Tbps serán frecuentes.