El panorama de amenazas actual incluye actores de estados-nación, así como atacantes que buscan poner a prueba sus habilidades o obtener ganancias. En la Conferencia de Seguridad ISC2 en Las Vegas, la asesora de CISA y ex periodista de ciberseguridad del New York Times, Nicole Perlroth, subió al escenario para discutir lo que ha cambiado en los últimos 10 años de guerra cibernética. Su presentación fue la piedra angular de la conferencia, que se celebró del 13 al 16 de octubre.
Los atacantes de estados-nación buscan víctimas ‘ricas en objetivos y ciberpobres’
Perlroth presentó una cronología de los ataques a Estados-nación que cubrió a lo largo de su carrera periodística, de 2011 a 2021. Las barreras de entrada para los atacantes han empeorado desde que comenzó su carrera, y el ransomware como servicio ha evolucionado hacia “una economía bien engrasada”. .” La interrupción de CrowdStrike demostró hasta qué punto un ataque generalizado podría alterar las operaciones.
Si bien solía ser opinión generalizada que la ubicación geográfica de Estados Unidos lo mantenía aislado de muchas amenazas, “esos océanos ya no existen” cuando se trata del panorama cibernético, dijo Perlroth. Asimismo, el “borde” digital se ha transformado en el mundo de la nube, el software como servicio y las fuerzas laborales híbridas.
“La nueva ventaja son las personas, son los puntos finales”, dijo Perlroth.
Los ataques en esta nueva frontera podrían tomar la forma de deepfakes dirigidos a directores ejecutivos o ataques de estados-nación a infraestructuras críticas. Perlroth centró su discusión en los ataques patrocinados por el Estado chino a infraestructuras y empresas estadounidenses, como el ciberataque de 2018 a la cadena de hoteles Marriott.
Marriott o Change Healthcare eran entornos “ricos en objetivos y pobres en cibernética”, afirmó Perlroth. Es posible que estos entornos no tengan grandes equipos de ciberseguridad dedicados, pero sí datos valiosos, como información personal de trabajadores gubernamentales que pueden haber utilizado el sistema de salud o visitado un hotel.
Otro entorno rico en objetivos y pobre en cibernética, según Perlroth, los defensores deberían centrarse en el tratamiento del agua. Es posible que las instalaciones locales de tratamiento de agua no cuenten con un profesional de ciberseguridad dedicado, pero un adversario que manipule las empresas de servicios de agua podría resultar catastrófico.
“El código se había convertido en la infraestructura crítica y realmente no nos habíamos molestado en darnos cuenta”, dijo Perlroth.
Rusia y China exploran ciberataques en relación con acciones militares
En términos de implicaciones geopolíticas más amplias, Perlroth señala que los profesionales de la ciberseguridad deberían estar especialmente conscientes de la ofensiva militar de Rusia y de que China contempla una posible incursión en Taiwán en 2027. Los actores de amenazas podrían intentar retrasar la movilidad militar estadounidense o utilizar la ingeniería social para influir en la opinión pública. Estados Unidos tiene un pacto de defensa mutua con Taiwán, pero China ha visto a Estados Unidos “vacilar” en la defensa de Ucrania, dijo Perlroth.
Perlroth dijo que los comentaristas geopolíticos se han sorprendido de que no haya habido más ataques cibernéticos por parte de Rusia junto con el ataque a Ucrania. Por otro lado, ha habido importantes ataques cibernéticos en Ucrania, incluidos ataques DDoS y la interrupción del servicio comercial ViaSat justo antes de que comenzara la guerra. PIPEDREAM, un malware vinculado a Rusia, puede haber tenido como objetivo atacar la infraestructura estadounidense, dijo Perlroth.
VER: Cómo crear un programa eficaz de concientización sobre ciberseguridad (TechRepublic Premium)
La IA generativa cambia el juego
“El mayor cambio en ciberseguridad ha sido la IA”, afirmó Perlroth.
La IA permite a las empresas y a los actores de amenazas crear ataques de día cero y venderlos a los gobiernos, afirmó. Los atacantes pueden generar código nuevo con IA. Al mismo tiempo, los defensores equipados con IA pueden reducir el costo y el tiempo que lleva responder a ataques importantes. Ella anticipa que el próximo ataque empresarial a gran escala, como el hack de SolarWinds, comenzará desde sistemas generativos relacionados con la IA.
Los profesionales de la ciberseguridad deberían estudiar cómo garantizar que los empleados interactúen de forma segura con los sistemas generativos de IA, dijo.
¿Cómo pueden prepararse los profesionales de la ciberseguridad para ataques a gran escala?
“Necesitamos empezar a hacer una especie de censo sector por sector para ver cuál es el cambio en la atención sanitaria de cada industria”, dijo Perlroth. “Porque sabemos que nuestros adversarios los están buscando y sería fantástico si pudiéramos llegar allí primero”.
La buena noticia, dijo, es que los profesionales de la ciberseguridad están más conscientes que nunca de las amenazas. Los ciberprofesionales saben cómo persuadir a la alta dirección en cuestiones de seguridad para el bienestar de toda la organización. Los CISO se han convertido en una especie de funcionarios de continuidad del negocio, dijo Perlroth, que tienen planes sobre cómo se puede reanudar el negocio lo más rápido posible si ocurre un ataque.
Los profesionales de la ciberseguridad deben tener en cuenta la cultura, la gestión, el presupuesto, los recursos humanos, la educación y la conciencia de sus organizaciones, así como las habilidades técnicas, dijo Perlroth. La principal pregunta que deberían plantearse los profesionales de la ciberseguridad sigue siendo “¿Cuáles son mis joyas de la corona y cómo las protejo?”
Aunque su presentación enfatizó el alcance y la prevalencia de las amenazas, Perlroth dijo que su objetivo no era asustar a la gente, una táctica que se ha utilizado para vender productos de seguridad. Sin embargo, los profesionales de la ciberseguridad deben lograr un equilibrio entre mantener la confianza en los sistemas existentes y explicar que las amenazas, incluidas las de los Estados-nación, son reales. Historias como la interrupción del ataque PIPEDREAM deberían “darnos una inmensa esperanza”, dijo.
Como concluyó: “Hemos aprendido algunos aprendizajes importantes sobre lo que podemos hacer juntos en el gobierno y el sector privado cuando nos unimos en nombre de la ciberdefensa”.
Descargo de responsabilidad: ISC2 pagó mi pasaje aéreo, alojamiento y algunas comidas para el evento del Congreso de Seguridad de ISC2 que se llevó a cabo del 13 al 16 de octubre en Las Vegas.
