Las amenazas que acechan a las nuevas tecnologías

Inteligencia artificial

La inteligencia artificial presenta un conjunto variado de problemáticas relacionadas con la seguridad, partiendo de que es un riesgo potencial para el software malicioso. Hace dos años, un grupo de investigadores de IBM demostraron cómo ciertos modelos de IA existentes, combinados con técnicas utilizadas actualmente para el desarrollo de malware, puede impulsar la creación de una nueva variante de malware. Este se mantenía oculto hasta alcanzar a una víctima específica, desplegando su acción maliciosa en el momento en el que el modelo de inteligencia artificial aplicado detectaba a la víctima mediante indicadores como el reconocimiento facial, geolocalización o reconocimiento de la voz. Este es el tipo de amenaza que podría pasar «bajo el radar» de soluciones de seguridad hasta el momento de la infección.

Martina López, ESET.

«Las aplicaciones y plataformas que utilizamos a diario utilizan inteligencia artificial para tomar decisiones a partir de la enorme cantidad de datos precisos que obtienen de nuestras cuentas y de la información presente en nuestros perfiles. A partir del procesamiento de estos datos mediante la IA, estructuran los gustos y preferencias de los usuarios y monetizan esta información, entre otras cosas, contribuyendo a la personalización que implementan los anunciantes para llegar a usuarios específicos», explica Martina López, investigadora de ESET Latinoamérica.

Entre las amenazas más destacadas se encuentran los deepfakes o simulaciones humanas. Se conoce como «deepfake» a la técnica de síntesis de imágenes humanas basada en inteligencia artificial que se utiliza para crear contenido falso, ya sea desde cero o usando un video existente, con el objetivo de replicar la apariencia y el sonido de un humano real. Tales videos pueden parecer increíblemente reales y, actualmente, muchos de estos involucran a celebridades o figuras públicas que dicen algo escandaloso o falso.

De hecho, ya se han registrado casos en los que se utiliza esta tecnología para el fraude, donde, según los informes, se utilizó una voz falsa para estafar a un CEO con una gran suma de dinero. «Se cree que el CEO de una firma británica pensó que estaba hablando por teléfono con el CEO de la empresa matriz alemana y fue convencido para transferir, de forma inmediata, € 220,000 (aproximadamente US$ 244,000) a la cuenta bancaria de un proveedor falso. También hay evidencia de que la producción de estos videos se está convirtiendo en un negocio lucrativo, especialmente en la industria de la pornografía. Informes indican que el mayor porcentaje de estos videos son de celebridades femeninas cuyas imágenes fueron utilizadas para crear videos sexuales falsos sin su conocimiento o consentimiento», destaca la experta de ESET.

Walter Montenegro, Cisco.

Walter Montenegro, gerente de ciberseguridad de Cisco Chile, advierte que la inteligencia artificial es una tecnología que cada día es más común en ciberseguridad, donde se utiliza para detectar, en forma no supervisada, patrones de ataque, comportamiento, análisis predictivos e incluso soluciones productivas de análisis de tráfico cifrado, sin el desgaste tecnológico de tener que descifrar dicho tráfico para realizar un análisis de amenazas.

Al ser la inteligencia artificial una técnica más, también los atacantes la utilizan para perpetrar sus delitos. A menudo, la usan para tener un conocimiento mayor de las víctimas, aprender de ellas y realizar ataques dirigidos. También se utiliza para encontrar patrones de claves, por ejemplo, y desarrollar amenazas que se adapten al entorno que están atacando. «Como tecnología, también puede presentar debilidades, dependiendo del desarrollo que se realice o como se implemente. Desarrollo y algoritmos que no están ajenos a sufrir vulnerabilidades», dice el ejecutivo.

Redes 5G

A medida que más empresas hacen la transición a la tecnología 5G, tanto los proveedores de servicios como los consumidores deberán enfrentar asuntos de seguridad y sus posibles consecuencias.

Los expertos señalan que las empresas enfrentarán tres desafíos principales. Primero, cuestiones de seguridad arrastradas de las generaciones anteriores de protocolos de telecomunicaciones y estándares no resueltos para 5G, como la falta de funciones de autenticación. Además, nuevas interrogantes que surgen de características de seguridad de la tecnología 5G, incluyendo la virtualización que expande la superficie de ataque y el rastreo hiperexacto de la ubicación de ataques, lo que puede aumentar los problemas de privacidad de los usuarios. También, las preocupaciones de seguridad por el aumento del volumen y la velocidad de la red.

Claudio Ordoñez, Accenture Chile.

«Al igual que el crecimiento de los servicios en la nube, 5G tiene el potencial de crear redes sombra que operan fuera del conocimiento y la gestión de la empresa. Como las compañías ya aprendieron en su viaje a la nube, deben gestionar la habilitación y mantener un control de potenciales problemas de seguridad. Lecciones adicionales, aprendidas del suministro de tecnología, también pueden aplicarse en el ámbito del 5G, como asegurar la integridad del dispositivo a través de todo el espectro: hardware, firmware y aplicaciones. Ya que el 5G hereda las debilidades de HTTP, XML y los protocolos TLS, la superficie de ataque puede expandirse con la convergencia IT/OT para incluir una gama de dispositivos con niveles de inteligencia cada vez mayores, incluyendo máquinas autónomas y robótica. Y ahora, lo que está en juego es aún más importante con la migración a una fuerza de trabajo remota, a medida que las personas trabajan desde cualquier lugar, utilizando computadores portátiles, tabletas y celulares. Como resultado, las empresas deben considerar cuidadosamente que los procesos y datos se mueven a un amplio espectro de los dispositivos finales y el nivel de confianza en el que se mueve cada uno», advierte Claudio Ordóñez, líder de ciberseguridad de Accenture Chile.

Por diseño, las redes 5G reúnen múltiples y heterogéneas redes y tecnologías, que probablemente crearán nuevas complejidades y costos de vigilancia y seguridad de la red y de la gestión. El registro del dispositivo debe incluir la autenticación, para manejar la superficie de ataque de la empresa. Sin ella, la integridad de los mensajes y la identidad del usuario no pueden ser aseguradas.

Ordoñez agrega que el número de dispositivos que se pueden conectar a la red y solicitan diferentes tipos de servicios (por ejemplo, servicios de baja latencia vs. alta fiabilidad) expone la red a la interferencia, la denegación de servicio y otros ataques dirigidos al rendimiento. «Además, cualquier configuración nueva o ajustada de la red como un servicio, basado en una petición del inquilino de la red, se suministran automáticamente para lograr una alta disponibilidad y una operación robusta. Validar y probar estas configuraciones en un delivery de integración continua requiere de la gestión de los riesgos de seguridad en las fases de desarrollo y de puesta en escena también. Uno de los avances de la 5G es el traspaso continuo a la velocidad. Para lograr esto, sin embargo, las organizaciones deben impulsar un roaming rápido y una gestión de identidad simplificada, lo que a su vez puede aumentar la exposición de la conexión a los ataques», sostiene.

Realidad extendida

La realidad extendida presenta vulnerabilidades, especialmente cuando el contenido de realidad extendida (XR, por sus siglas en inglés) se transfiere a través de la nube y las capacidades de reconocimiento de IA están también en la nube.

Estas problemáticas incluyen, por ejemplo, engañar al sistema de localización y posicionamiento; el enmascaramiento de contenido; y la transmisión expuesta a hackers que pueden ver todo el contenido.

Ahora bien, los expertos sostienen que, dado que la XR es una infraestructura soportada por la nube, muchos de los desafíos de seguridad ya los habrán enfrentado las empresas en su desarrollo de su estrategia de nube. Inicialmente, las empresas deberán implementar controles de seguridad para verificar la identidad de los usuarios de XR (quién es la persona, qué tipo de dispositivo de realidad aumentada está utilizando y qué tipo del servicio XR se accede a través de la red), mientras que también deberán desarrollar capacidades para la vigilancia, la detección y la respuesta a los ciberataques relacionados con la realidad aumentada.

«Aunque una experiencia de realidad aumentada puede estar diseñada para guiar a los trabajadores a través de una capacitación eficiente, mantenimiento, ensamblaje o mando y control, el sistema operativo de los dispositivos –como cualquier dispositivo de internet– puede estar comprometido y convertirse en un punto de entrada a la red de la compañía. Las estafas de suplantación de identidad también son tan válidas en realidad aumentada como lo son en los sistemas de la web. Manipular los sensores de los dispositivos XR para las lecturas erróneas podrían resultar en situaciones negativas o problemas de seguridad, incluyendo alterar la experiencia digital o proporcionar una experiencia no calibrada para los trabajadores. Por ejemplo, la manipulación con el lado digital de los dispositivos AR, el contenido y las recomendaciones podrían hacer que las personas realizaran acciones erróneas en el mundo físico: un hacker inserta pasos incorrectos en un procedimiento de mantenimiento, que más tarde podría causar que una máquina falle», detalla Ordóñez, de Accenture Chile.

Cristian Cabezas, NTT Chile.

En este sentido, Cristian Cabezas, director de soluciones de NTT Chile, sostiene que todo entorno digital expone la información de los usuarios y las empresas en las redes de comunicaciones. Esto puede ser muy vulnerable en ambientes de aplicaciones o dispositivos donde la prioridad es el bajo costo, aumentando de esta forma los riesgos de filtración de datos y la suplantación de identidad digital. Esta identidad puede ser objeto de robo, manipulación o reemplazo malicioso.

Pablo Dubois, Lumen.

En esto coincide Pablo Dubois, gerente de productos de seguridad de Lumen para América Latina, quien resalta que las estrategias de seguridad necesitarán ser las mismas que las que debemos tener con cualquier sistema informático: «En el caso de la realidad aumentada, como se mezclan y utilizan tanto imágenes reales como generadas, se debería tener un especial cuidado en el manejo y procesamiento de las imágenes reales ya que podrían ser considerados datos privados de las personas».

Internet de las cosas

Los especialistas señalan que, siempre que una empresa o consumidor vaya a conectar un dispositivo a internet, es necesario evaluar cómo se realizará esta conexión. Normalmente, el equipo que se «digitaliza» tiene como objetivo satisfacer la demanda de los consumidores u ofrecer un beneficio. Normalmente, no se tiene en cuenta la seguridad de este equipo y aquí es donde se encuentra el mayor riesgo, ya que estos dispositivos tendrán acceso a la red corporativa (o doméstica), y se pueden utilizar para la invasión y robo de datos confidenciales.

Un ejemplo fue el casino estadounidense que instaló un acuario «inteligente» en el recibidor. La alimentación y los niveles de sal y temperatura se regulaban de forma automática, y el termostato podía advertir a través de internet al propietario si el agua estaba demasiado caliente o fría. Pero ciberdelincuentes utilizaron una vulnerabilidad para robar 10 GB de la base de datos de los clientes del casino. Aunque no se especificó qué información contenía la fuga de datos, el daño a la reputación fue incalculable.

Roberto Martínez, Kaspersky.

«Para evitar problemas, toda la cadena de suministro debe adoptar buenas prácticas de seguridad. Aquellos que desarrollan tecnologías de IoT deben reevaluar el diseño de sus programas y asegurarse de que posibles vulnerabilidades sean identificadas y corregidas en la etapa de desarrollo. Luego, debe mantener un proceso rápido para corregir futuras vulnerabilidades, algo que es extremadamente común con Microsoft y Windows. En la etapa de instalación de la aplicación IoT, la empresa debe prestar especial atención a la configuración de la red. Nuestra recomendación es que estos dispositivos no estén en la misma red de conexión que las computadoras corporativas. Es decir, es necesario crear una red dedicada para conectarlos. Además, es necesario seguir monitoreando esta red y analizar si no hay acciones sospechosas sucediendo en ella. Esto indicará una posible violación y permitiría la respuesta inmediata del equipo de seguridad, preferiblemente antes de que ocurra algo más grave, como en el caso del casino», destaca Roberto Martínez, analista senior de seguridad de Kaspersky en Latinoamérica.

La internet de las cosas puede potenciar la creación de valor industrial al permitir una incesante variedad de nuevos modelos de negocio y aplicaciones. Pero también puede exponer a las industrias y a los consumidores a problemas de seguridad imprevistos. Al surgir de los sistemas informáticos y las tecnologías operativas, como sensores y actuadores inteligentes, IoT abarca todo, desde monitores cardíacos inalámbricos hasta los vehículos autónomos. Aunque pocos dudan de su poder transformador, muchos reconocen los nuevos riesgos de seguridad que surgen cuando las empresas incorporan IoT en el borde de sus redes.

De hecho, la mayoría de las empresas a nivel mundial encuestadas recientemente por el Foro Económico Mundial identificaron las vulnerabilidades de los ciberataques como su preocupación más importante sobre la IoT. Los puntos calientes de las amenazas incluyen aspectos críticos de la seguridad operativa, la diversidad de protocolos de comunicación que se utilizan hoy en día, parches de software vulnerables y las prácticas de gestión de acceso inseguras. Sobre todo ello están las expectativas de privacidad de los consumidores, que cada vez son más conscientes de las amenazas en línea a las que se enfrentan.

«Diseñar la confianza en los productos conectados. Aplicar los principios de ‹seguridad en el diseño› a lo largo del desarrollo de los productos, desde la ideación del concepto hasta la fabricación en serie, en lugar de abordar la seguridad al final del ciclo. Los diseñadores deben incorporar controles operativos al configurar los sistemas para verificar que todos los comportamientos de los componentes se ajusten a las normas operativas previstas, y realizar un análisis completo del perfil de amenaza contra riesgo de un sistema. Las respuestas de ingeniería deben centrarse en eliminar los resultados indeseables (por ejemplo, la violación de los datos de los clientes», resalta Ordóñez, de Accenture Chile.

Pagos sin contacto

Los pagos sin contacto son una tendencia en todo el mundo y, como toda nueva tecnología, abre la posibilidad de nuevos riesgos. Al ser un medio de pago que se realiza mediante una comunicación inalámbrica, existe la posibilidad de que alguien pueda interceptar a distancia la comunicación entre el emisor y el receptor, tener acceso a la información y, en algunos casos, modificarla; todo dependerá de la implementación de los fabricantes.

«Un potencial atacante podría aprovechar alguna vulnerabilidad asociada a las tecnologías utilizadas para el manejo de las llaves de cifrado para el almacenamiento o la transmisión de la información, o en su configuración o su implementación. También existen los riesgos convencionales, relacionados con la instalación de malware en los equipos donde se conectan las terminales de recepción de pagos y que podrían robar la información de los tarjetahabientes», destaca Martínez, de Kaspersky.

Blockchain

El desafío del uso del blockchain se centra en la exigencia del desarrollo complejo de esta cadena, producida por el aumento de demanda. Esto hace que el margen de error humano aumente a la hora de implementar un sistema seguro, y es donde las fallas de seguridad entran en juego.  Como ejemplo está el caso de Zcash, una criptomoneda que utiliza un proceso matemático complejo para permitir a los usuarios realizar transacciones en privado, y que reveló públicamente que tuvieron que reparar una falla criptográfica en el protocolo que, de haber sido explotada por un atacante, podría haber permitido crear ilimitadas monedas falsas.

López, de ESET Latinoamérica, señala que en estos últimos años se registraron varios casos de ataques, de distinta naturaleza, que utilizaron malware con el fin de obtener criptomonedas mediante la minería ilegal, más conocida como criptominería, donde el atacante saca provecho de los recursos de un sistema, propio o de una víctima, para obtener criptomonedas.

«La tecnología blockchain también se utiliza para los contratos inteligentes. Un contrato inteligente es un programa informático que corre en una red blockchain y que puede ser utilizado para el intercambio de monedas, propiedades o cualquier cosa de valor. Un fondo de estas características bajo el nombre de The Dao, por ejemplo, fue víctima de un ataque informático en el que los cibercriminales robaron más de 60 millones de dólares en criptomonedas al explotar un fallo en un contrato inteligente que administraba esta organización. Este ataque dejó en evidencia que un error en un contrato inteligente activo puede tener consecuencias críticas, ya que al apoyarse en la blockchain no puede repararse con una simple actualización de seguridad, ya que, como todo contrato, no se puede reescribir. En conclusión, la tecnología blockchain continúa siendo una gran herramienta para garantizar la seguridad, aunque su desarrollo apresurado ha dejado entrever fallas de seguridad varias, y no escapa de la debilidad del factor humano», detalla la experta.

Por su parte, Montenegro, de Cisco Chile, comenta que esta tecnología, si bien no nació pensada con controles de acceso a la información, implementa una serie de mecanismos que ayudan a resguardar los datos que circulan, se almacenan y se comparten en la cadena de bloques. Los datos viajan cifrados y existen mecanismos robustos de cifrado (llave pública, llave privada) para resguardar la confidencialidad de los datos.

«Por otro lado, mantienen también una distribución de las cadenas de bloques, lo que permite funcionar en caso de indisponibilidad de alguna o varias de ellas. Esto último es una disminución del riesgo para los ataques de DDoS. Tal vez donde hay que colocar mayor cuidado es en las fuentes de información, para que no se ingresen datos no confiables. Por lo anterior, los procesos de validación de las fuentes de datos son fundamentales. No obstante, si bien parece una tecnología mucho más robusta que las bases de datos tradicionales, hay que implementar mecanismos externos para disminuir los riesgos de incidentes, tales como la autenticación robusta (Ej: multifactor de autenticación o MFA), resguardo de confianza, almacenamientos de llaves privadas, entre otros», concluye.