En 2017, los atacantes continuarán explotando a seres humanos con el fin de instalar malware, transferir fondos y robar información, con cambios significativos en las técnicas y en el comportamiento en todos los tres principales vectores que se dirigen a las personas: correo electrónico, redes sociales y aplicaciones móviles.
Las amenazas avanzadas bajarán el volumen
Durante 2016, casi cada semana se presentó un nuevo punto álgido sin precedentes en las campañas de correo electrónico que entregaban el ransomware Locky. Esas campañas se dirigen a cienes de millones de posibles víctimas a nivel global y se aseguran de que aún con bajos índices de entrega, varios miles de mensajes aún lleguen a su objetivo. No obstante, también aumentan el riesgo que los proveedores e investigadores de seguridad observarán y se analizarán sus técnicas y cargas dañinas. A pesar de las cada vez más complejas técnicas de filtrado diseñadas para ocultar sus campañas, los actores de kits de explotación también se dan cuenta de que esa escala puede conllevar la misma cantidad de riesgos y beneficios.
Prevemos que para 2017, la tendencia será reducir el volumen, dado que los atacantes de amenazas sofisticadas volverán a realizar campañas más pequeñas y más selectivas para entregar sus cargas dañinas de malware. Las campañas de correo electrónico de alto volumen continuarán, pero se reservarán para cargas dañinas de ‘productos’, tales como archivos ejecutables comprimidos (incluyendo JavaScript) que entregan variantes de ransomware listas para usarse, mientras que las campañas más pequeñas y más selectivas aumentarán tanto en número como en complejidad. Los kits de explotación continuarán con la tendencia reciente de operar a una menor escala y de cambiar la focalización a fin de centrarse en regiones donde haya menos probabilidad de que los investigadores y proveedores monitoricen sus actividades.
Las macros malintencionadas finalmente se quedarán sin combustible
El año pasado, predijimos que las campañas con macros malintencionadas de gran volumen de 2015 se desvanecerían para mediados de 2016. Esa predicción se cumplió de manera amplia: para cuando se produjeron las campañas masivas que siguieron tras la interrupción ocasionada por el botnet Necurs en junio, otras campañas con JavaScript y con otros archivos adjuntos ejecutables comprimidos que distribuían Locky (respaldadas por actores de Dridex) habían reemplazado en gran manera los archivos adjuntos que contenían macros malintencionadas. No obstante, las macros malévolas continuaron utilizándose de forma amplia en campañas más pequeñas y más focalizadas que distribuían troyanos bancarios, tales como Dridex, Ursnif y Vawtrak, y, en la segunda mitad de 2016, en una extensa variedad de otras cargas dañinas, desde registradores de pulsaciones de teclas y RAT, hasta descargadores y ladrones de información. Las innovaciones continuas en la evasión de entornos aislados de malware dieron nueva vida a esos ataques con macros, pero se espera que para abril de 2017 aun esas medidas ya no sean suficientes para aumentar las tasas de efectividad que generan retorno de la inversión en esas campañas. Los ataques con archivos de JavaScript (js, wsf, hta, vbs) comprimidos continuarán ocupando el mismo intervalo de bajo valor a modo de archivos ejecutables comprimidos. Al mismo tiempo, los cibercriminales continuarán mejorando y ampliando la automatización de las campañas de phishing con arpón en campañas ‘personalizadas’ de mayor escala, por medio de la adición de más detalles personales de identificación con el fin de aumentar la credibilidad de los mensajes. Es muy poco probable que los atacantes con documentos guiados por explotaciones vuelvan a tener prominencia (véase la sección siguiente); en su lugar, los atacantes se centrarán de manera más intensa en la ingeniería social como parte central de la cadena de infección, al lograr que los usuarios hagan clic en archivos ejecutables incorporados en los documentos, al engañar a los usuarios para que instalen cargas dañinas malintencionadas disfrazadas de aplicaciones legítimas que se entregan a modo de archivo adjunto, de vínculos de servicios legítimos de alojamiento y uso compartido de archivos, o al enmascararse como componentes conocidos de la experiencia de usuario en Windows.
Los kits de explotación darán paso a los ‘kits dirigidos a seres humanos’
Como su nombre lo implica, los kits de explotación son impulsados por la disponibilidad de explotaciones de eficacia fiable que se pueden dirigir a los equipos de las víctimas potenciales. Desde esa perspectiva, la constante disminución en los últimos años tanto en el número total de vulnerabilidades divulgadas y, de manera más importante, en las explotaciones publicadas con el fin de dirigirlas, representa un riesgo para el modelo comercial de este componente de los kits de herramientas de los cibercriminales. Con las cada vez más escasas nuevas vulnerabilidades explotables, con la constante aplicación de parches que realizan las organizaciones y los usuarios, y con la necesidad que tienen los atacantes de encadenar varias explotaciones en conjunto, el colapso del panorama de los kits de explotación a lo largo de 2016 se puede ver al menos en parte como un reconocimiento por parte de los actores de amenazas de la nueva realidad de los ataques basados en explotaciones: las explotación tienen una vida útil breve y son cada vez menos fiables como medio para distribuir malware. Vimos un despertar similar en 2015 en el panorama del correo electrónico, cuando los ataques basados en ingeniería social a modo de documentos adjuntos con macros malintencionadas reemplazaron en gran manera los ataques centrados en explotaciones de documentos PDF y de Office.
En 2017, prevemos que los kits de explotación pasarán por una evolución similar al adoptar cada vez más un enfoque en la ingeniería social: los grupos sofisticados, incluyendo los de kits de explotación y de publicidad malintencionada, continuarán reduciendo su enfoque en las explotaciones y poniendo más atención al engaño de seres humanos. Los kits de explotación se convertirán en ‘kits dirigidos a seres humanos’, con un conjunto de técnicas diseñadas para engañar a los usuarios a fin de que infecten sus propias máquinas con cargas dañinas malintencionadas, con el engaño de usuarios por medio de publicidad malintencionada y señuelos de clic, o por medio de mensajes de correo electrónico convincentemente individualizados, tales como los que hemos observado en las campañas de correo electrónico “personalizadas” a lo largo de 2016. Al mismo tiempo, los kits de explotación no desaparecerán; sino que se volverán más focalizados y se dirigirán a clientes en regiones que por lo general son más lentas en aplicar parches y donde la monitorización por parte de los investigadores es menos intensa. Los nuevos actores de kits de explotación todavía incursionarán en el mercado con funciones que les permitan extraer el mayor valor posible de las vulnerabilidades disponibles, ya sea que se divulguen o que sean de día cero.
BEC continuará evolucionando y las pérdidas considerables continuarán
Desde mediados de 2015, las vulneraciones de correo electrónico de empresas (BEC) han sido una amenaza importante para las organizaciones y han ocasionado pérdidas de 3.000 millones USD, según cálculos recientes. En general, las pérdidas por BEC aumentarán a medida que los incidentes individuales de pérdidas masivas a causa de BEC disminuyan debido al mejoramiento de los procesos comerciales y de los controles financieros establecidos en las organizaciones de gran magnitud. En las empresas, los cambios hechos en los procesos comerciales casi eliminarán las exorbitantes pérdidas individuales de 2015 y 2016, al establecer más controles en los procesos de transferencia de fondos. Lamentablemente, esos cambios no serán universales y fuera de los principales entornos comerciales de Norteamérica y Europa aún será posible para las personas realizar esas transferencias. En las regiones en las que se han mejorado los controles, las empresas pequeñas y medianas siguen siendo susceptibles a esos ataques y verán su cuota de aumento en las pérdidas generales. Además, continuaremos viento algunas variantes de temporada en los ataques de BEC, de manera similar a las campañas de “solicitud de formulario W2” que marcaron el inicio de 2016, pero estas permanecerán siendo relativamente poco frecuentes.
El phishing lofiforme será totalmente automatizado
En el último año, el phishing lofiforme ha aumentado tanto en la amplitud de objetivos como en la profundidad de la ingeniería social que emplea. Sin embargo, esos ataques aún no han alcanzado los niveles de automatización que comúnmente se observan en los kits de explotación y de phishing: en 2016, todavía se ven errores de copiar y pegar, errores gramaticales y ortográficos, marcas incorrectas en los mensajes y otros errores comunes que indican que los que hacen el trabajo son seres humanos. En 2017, prevemos que los atacantes implementarán la automatización y cierto nivel leve de procesamiento de lenguaje natural (NLP) con el fin de mejorar sus técnicas de ataque. Con el aumento en la automatización, veremos que los atacantes escalarán sus objetivos hacia más marcas y que aumentarán la cantidad de víctimas a quienes enviarán mensajes en cada campaña. Los atacantes ya han mostrado la capacidad para estar al tanto del lanzamiento de productos a fin de lanzar sus campañas en momentos en los que se espera gran cantidad de comunicación en los canales de soporte social. Prevemos que esto aumentará en 2017 debido a que habrá recursos más escalables.
El ritmo de los ataques por medio de las redes sociales continuará en aumento y se explorarán nuevas fronteras
El enorme crecimiento de las redes sociales ha preparado el terreno para un crecimiento similarmente rápido en los ataques que se ven en las plataformas de redes sociales, junto con la evolución simultánea en los ataques que utilizan las redes sociales como vector. Debido a que los ataques cometidos en las redes sociales ofrecen una tasa de retorno de la inversión considerablemente elevada, prevemos que el índice de crecimiento de los ataques se incrementará en 2017. De manera específica, prevemos que en 2017:
- Las estafas y el phishing en las redes sociales aumentarán en más del 100 % de un año a otro
- El spam en las redes sociales se incrementará en más del 500 % de un año a otro
- Habrá aumentos considerables en los fraudes y las falsificaciones que utilicen cuentas de redes sociales ficticias
- Habrá incrementos significativos en las técnicas de fraude integradas que utilizan cuentas de redes sociales, aplicaciones móviles falsas, sitios web fraudulentos y correo electrónico de impostores
Una de las plataformas de redes sociales que estará particularmente en la mira en 2017 será Snapchat. Snapchat se ha vuelto una de las plataformas de redes sociales y comunicaciones más populares, aunque hasta el momento los atacantes no han llevado a cabo ataques importantes de forma constante en esa plataforma. Prevemos que en 2017 se lanzará una cantidad de campañas considerables con gran éxito o se revelará una vulnerabilidad de seguridad importante en la plataforma misma, y que se pondrá a disposición el código de prueba de concepto (POC).
Además, es muy probable que también las plataformas de pago en las redes sociales estén sujetas a ataques más prolongados en 2017. A medida que las plataformas de redes sociales actuales se vuelven cada vez más avanzadas, muchas de ellas (tales como Facebook, Wechat, Line y otras) han lanzado servicios de pago. El volumen de las transacciones en esos servicios ha aumentado, a medida que los ecosistemas de las plataformas cuentan con más funciones. En 2017, el auge del ecosistema y el volumen de las transacciones atraerán la atención de los piratas. Además, las plataformas de pago son propicias para los ataques dirigidos, tanto desde la perspectiva de vulnerabilidad como de ingeniería social.
Amenazas móviles: El genio se ha salido de la botella
2016 representó un año decisivo en el panorama de las amenazas móviles, dado que se combinaron el riesgo procedente de clones de aplicaciones populares, el mayor uso de cargas laterales para distribuir aplicaciones no autorizadas y la disponibilidad de herramientas de ataques dirigiros para dispositivos móviles, lo cual elimina toda duda de que los dispositivos móviles, y los seres humanos que los utilizan, son tan vulnerables a los ataques como lo son los PC, y quizá hasta más a causa de que esos riesgos todavía no se comprenden bien. En 2017, los ataques de día cero, tales como el kit de ataque de dispositivos móviles Pegasus y las vulnerabilidades de “Trident” relacionadas, ya no se limitarán a los actores patrocinados por gobiernos para dirigirse a disidentes, sino que afectarán a empresas y a personas. Al aprovechar esas y otras herramientas, los cibercriminales aumentarán el uso de sistemas SMS e iMessage para entregar URL malintencionadas y hasta ataques de día cero. Los mismos serán de gran amplitud, como sucede con el phishing de contraseñas de cuentas bancarias y tarjetas de débito, y también dirigidos, incluyendo ataques hacia empleados y ejecutivos. Al mismo tiempo, la categoría de aplicaciones malintencionadas y peligrosas se ampliará para incluir aplicaciones fraudulentas, en las cuales por medio de la ingeniería social se convence a los usuarios para que instalen aplicaciones que no proceden de la empresa de la que pretenden ser. Esas aplicaciones podrían diseñarse para infectar dispositivos móviles o solamente para obtener dinero por medio de una marca de empresa legítima a fin de engañar a los usuarios para que efectúen compras fraudulentas con tarjetas de crédito o hagan clic en anuncios nefastos.
Los ataques patrocinados por gobiernos aumentarán y se ampliarán más allá de la piratería y las brechas de datos
La nueva administración presidencial de los Estados Unidos trae muchas incógnitas al ámbito de la política en ese país en aspectos que van desde el comercio hasta la defensa. Las inminentes elecciones en Francia y otros países de Europa también tienen el potencial de ocasionar el mismo nivel de incertidumbre. Como resultado, en 2017 esperamos un resurgimiento en los ciberataques patrocinados por gobiernos y, en particular, intrusiones sigilosas sofisticadas (también conocidas como APT) que se dirigen a organismos del gobierno estadounidense procedentes de una amplia gama de países, incluyendo la acción renovada de silenciosos actores patrocinados por el gobierno de China. Tal y como lo demostraron las campañas informadas del 9 de noviembre, el correo electrónico seguirá siendo el principal vector para atacar a personas y organizaciones que pudieran tener acceso a datos que ayudarían a otros gobiernos a comprender y prever las políticas y los planes de las nuevas administraciones de los Estados Unidos y Europa en negociaciones diplomáticas y comerciales. Además, la naturaleza de los ciberataques se ampliará considerablemente más allá del robo de secretos y del espionaje industrial. Con la eficacia del “doxing”, el robo de datos, las divulgaciones vergonzosas y la desinformación, la cual se ha demostrado en varios países, más gobiernos intentarán cometer ciberataques para robar información y aprovechar las redes sociales y los canales de noticias con el objeto de crear discordia y trastornos en países que tengan el potencial de interferir en el avance de sus intereses. En el ámbito de las redes sociales, los ataques patrocinados por gobiernos se han utilizado para afectar a disidentes y críticos, lo cual es una práctica que ya está bien documentada en Europa Central y Oriental, y surgió una evidencia de ello en los Estados Unidos en los meses anteriores a las elecciones presidenciales. Esos ataques serán utilizados de forma más amplia y agresiva en 2017 por actores gubernamentales a fin de influenciar los debates y las políticas en el ámbito público.