BSI predice las tendencias de ciberseguridad de 2020

20 de enero de 2020

 

El centro de excelencia global de BSI para la Ciberseguridad y la Resiliencia de la Información ha pronosticado cinco tendencias clave en el panorama de la ciberseguridad para el año 2020.

1.    Ataques a la Autentificación de múltiples factores (MFA por sus siglas en inglés)

Un informe de LastPass* ha puesto de relieve que el 57% de las empresas mundiales están utilizando MFA, en comparación con el 45% del 2018. Si bien esto indica una fuerte aceptación del MFA en 2019, que se prevé que aumente en 2020, significa que los ataques contra el MFA también aumentarán inevitablemente.

Stephen O’Boyle, Jefe Global de los Servicios de Ciberseguridad y de Resiliencia de la Información en BSI dice: "El MFA es un método de autentificación desarrollado para añadir una capa adicional de protección para los usuarios y, aunque hemos visto un despliegue positivo del mismo en 2019, esperamos ver a los atacantes aumentar sus intentos de eludirlo. Un ejemplo de ello es lo que llamamos un "ataque a las 9am", en el que el atacante intenta iniciar la sesión alrededor de las 9am hora local del usuario. El usuario final llega a la oficina, y al iniciar la sesión, obtiene un aviso en su aplicación de autentificación para que lo apruebe, y si el atacante lo tiene cronometrado correctamente el usuario lo aprueba y sin querer le concede acceso al atacante".

"Esto junto con otros ataques dirigidos como Evilqinx o el SIM swapping serán más prominentes este año. Siempre que los ataques de phishing sigan siendo una propuesta de 'alto rendimiento y bajo riesgo', seguirán siendo atractivos para los atacantes. Las organizaciones deben tener la capacidad de detectar y reaccionar a los ataques avanzados para mantener seguros a sus clientes, empleados e información".

 2.    Terceros / Gestión del riesgo de los proveedores

La gestión eficaz del riesgo de los proveedores se ha visto reforzada por una serie de nuevas directivas y reglamentos que tienen un amplio alcance, entre ellos la Directiva sobre la Seguridad de las Redes y la Información (NIS) y el Reglamento General de Protección de Datos (GDPR). Mientras que las empresas están siguiendo la norma ISO/IEC 27002 Tecnología de la información - Técnicas de seguridad - Código de prácticas para los controles de seguridad de la información y la norma ISO/IEC 27036 Tecnología de la información - Técnicas de seguridad - Seguridad de la información para las relaciones con los proveedores para mejorar su capacidad de gestionar los riesgos y están aumentando sustancialmente su control de la seguridad, los riesgos relacionados con las relaciones con los proveedores seguirán ampliándose en 2020. 

O’Boyle explica, "La gestión del riesgo de los proveedores permite a las organizaciones identificar, evaluar, gestionar y tratar el riesgo de los proveedores. Este año las empresas necesitarán mejorar aún más sus soluciones cuando se trate de reducir los riesgos asociados con la gestión de terceros. Esto incluye el procesamiento de la información, el desarrollo de sistemas subcontratados, las integraciones, las configuraciones y la procedencia de los productos de hardware. Hacerlo les permitirá estar en una mejor posición desde el punto de vista de la seguridad para alcanzar sus objetivos y cumplir con sus requisitos de cumplimiento".

 3.    Protección continua de la privacidad

La globalización y el incesante avance de la tecnología hacen que las salvaguardias de la privacidad sean necesarias para garantizar la protección de los derechos fundamentales de los ciudadanos. La necesidad de adoptar un programa de privacidad basado en principios para establecer un enfoque de controles centrado en los derechos será aún más imprescindible este año a medida que se avance en la aplicación de las regulaciones, como el GDPR - en 2019, se informó que se emitieron 134 multas bajo el GDPR, lo que equivale a más de 417 millones de euros.

Muchas organizaciones se han dado cuenta de sus requisitos de cumplimiento debido al GDPR, sin embargo, la nueva y cambiante legislación mundial, como la Ley de Protección de Información Personal (APPI) de Japón, la Lei Geral de Proteção de Dados (LGPD) de Brasil, la Ley de Protección de Datos Personales (PDPA) de Tailandia y la Ley de Privacidad de los Consumidores (CCPA) de California, hacen que el cumplimiento de la privacidad de una organización siga evolucionando.  Estos requisitos globales deben ser considerados en base al alcance global de una empresa y sus jurisdicciones de datos", dice Stephen.

 4.    Técnicas avanzadas de hackeo

Las organizaciones de seguridad consolidadas suelen asignar importantes recursos humanos y financieros a sus programas de seguridad cibernética. En 2019, muchos equipos de seguridad de la industria se encargaron de probar el valor de las inversiones en seguridad de la empresa. Además de certificaciones como PCI DSS (Payment Card Industry Data Security Standard), ISO/IEC ISO 27001 Sistemas de Gestión de Seguridad de la Información y SOC 2 (Service Organization Control 2), las empresas comenzaron a realizar ejercicios de Equipo Púrpura, donde los Defensores (Equipo Azul) se enfrentan a los Atacantes (Equipo Rojo) para determinar la eficacia de sus capacidades de defensa y esto aumentará en 2020.

"Esta técnica proporciona una visión realmente efectiva de la susceptibilidad de ataque y la capacidad de defensa en un escenario de ataque cercano al mundo real. Los beneficios para las organizaciones son extremadamente valiosos, ya que los defensores adquieren experiencia en el ataque en un entorno seguro, se ponen de relieve las deficiencias y se avanzan las oportunidades para mejorar las capacidades de identificación y respuesta a través de mejoras en los procesos y la puesta a punto del sistema de vigilancia. Este año veremos a más empresas adoptar este enfoque como parte de sus actividades de evaluación anual", dice Stephen.

 5.    Seguridad en la nube - Zero Trust Networks

A medida que la adopción de la nube crezca y las organizaciones empiecen a aceptar realmente la "muerte del perímetro", el modelo Zero Trust pasará a primer plano. Las medidas de seguridad para proteger a las organizaciones más allá del cortafuegos tradicional procederán a mejorar y el acceso basado en condiciones considerando la enumeración de dispositivos, certificados, localización, biometría y secretos de usuario se convertirá en la norma para la protección de las organizaciones que aprovechan los modelos de cloud first.

"Los servicios en la nube, incluyendo Microsoft Office 365, son objetivos clave para los atacantes y los ataques de password spray y de credential stuffing son ejemplos de los métodos utilizados para obtener acceso. Las empresas que se incorporan al uso de la nube sin las herramientas y procesos adecuados de gestión de identidades y acceso podrían verse pronto comprometidas.  Aquellas con una monitorización limitada pueden esperar que la persistencia de los atacantes se mantenga durante largos periodos de tiempo", dijo O'Boyle.

Concluye: "Estamos viendo la siguiente fase de las ciberamenazas, las regulaciones relacionadas con el ciberespacio, las evoluciones tecnológicas y las soluciones específicas dentro de estas tendencias, mirando más allá del incondicional y siempre presente riesgo de seguridad que supone la aplicación de parches inadecuados. La preparación de la defensa debe seguir siendo una prioridad en la agenda para 2020 en todos los sectores de la industria, incluyendo las finanzas, el sector público, la alimentación y la sanidad. Las organizaciones deben priorizar y abordar sus esfuerzos cibernéticos y regulatorios este año y optar por un nivel más profundo de seguridad en todos los niveles. De esta manera, se asegurará que todos tengan una mayor comprensión del panorama de la ciberseguridad y que su capacidad de resiliencia de la información sea mayor en toda la organización".

 

El equipo de Ciberseguridad y Resiliencia de la Información de BSI proporciona una gama de soluciones para ayudar a las organizaciones a afrontar sus retos en materia de información, cubriendo la ciberseguridad, la gestión y privacidad de la información, la concienciación sobre la seguridad, el cumplimiento y las pruebas. Para más información visite https://www.bsigroup.com/es-ES/Nuestros-servicios/Resiliencia-de-la-informacion-y-ciberseguridad/

-FIN-

 

Notas

  • Link al informe internacional anual sobre seguridad de las contraseñas de LastPass aquí