¿Qué nos depara el 2023 con respecto a ciberseguridad? Durante el último año fuimos testigos de una gran evolución de la ciberseguridad, caracterizada por grandes hackeos a gobiernos y la evolución de la ingeniería social. En 2023, será vital replantear la práctica de seguridad y prepararse para responder a las amenazas más complejas y nuevas técnicas de los ciberdelincuentes.
Por ello, para el próximo año, los expertos de Tenable observan tres principales tendencias que marcarán el camino para la protección frente a los nuevos riesgos y el perfeccionamiento de tácticas para robar datos. Quienes comprendan estas tendencias tendrán la capacidad para hacer frente a los nuevos riesgos en ciberseguridad y potenciar su protección ante las vulnerabilidades por venir.
Estos son los temas que marcarán tendencia en lo relacionado con ciberseguridad en 2023:
Metaverso
El metaverso es uno de los temas de los que más escucharemos en 2023. Con algunas organizaciones ya moviéndose hacia ese espacio, esta dimensión digital ofrece un nuevo sitio para hacer negocios, colaborar y crear nuevas formas de relacionarnos; sin embargo, será un nuevo escenario para los ataques cibernéticos, por lo que será importante pensar en los retos relacionados con seguridad y privacidad que se avecinan.
Pese a que muchos piensan en el metaverso como un mundo en línea que ofrecerá experiencias de realidad virtual (VR) y realidad aumentada (AR), estas son solo algunas de las posibilidades potenciales que escucharemos el próximo año. Bloomberg estima que para 2024 el metaverso será un mercado de 800,000 millones de dólares impulsado por industrias de entretenimiento, videojuegos, contenido deportivo y oportunidades en redes sociales. Por ello, hay cuatro principales verticales relacionadas con seguridad cibernética sobre el metaverso:
- Clonación de voz y rasgos faciales de avatares
- Espionaje en videollamadas y otros servicios del metaverso usando avatares invisibles.
- Nuevas maneras de atraer a usuarios y convertirlos en víctimas de ataques de phishing, malware y ransomware.
- Robo de identidades con equipos comprometidos y transacciones de API.
“Las empresas casi siempre corren por delante de la seguridad para buscar nuevas fuentes de ingresos, y veremos mucho de eso con el metaverso en 2023. Si la migración masiva a la computación en la nube es una indicación de qué tan bien irá, muchas organizaciones saltarán con los pies por delante sin probar las aguas de seguridad y se encuentran en la parte más profunda”, Bob Huber, director de seguridad en Tenable.
Deepfakes
Los videos en los que se falsifica la identidad de otra persona de manera virtual se han vuelto virales. Algunos hasta realizados de forma “profesional” cada vez es más común encontrar contenido que utiliza esta técnica que usa inteligencia artificial para recopilar datos sobre expresiones y movimientos físicos que luego se procesan para crear un video falso que después es compartido en redes sociales y aplicaciones de mensajería como WhatsApp como primer punto de manipulación en un scam.
Algunos tipos de deepfake son:
- Reconstrucción facial: se utiliza un software avanzado para manipular las características del rostro de una persona real.
- Generación de caras: utilizando un software se puede crear una cara completamente nueva utilizando datos de imágenes de caras reales.
- Síntesis de voz: Utilizando un software, es posible crear la voz de una persona.
En 2023, el uso de estos videos tomará un rol esencial en los engaños impulsados por el incremento en el consumo en formato video en plataformas de redes sociales y búsqueda de empleo. Las empresas también están en un gran riesgo pues la capacidad de verse y sonar como cualquier persona, incluidos aquellos autorizados para aprobar pagos en una compañía, brinda a los estafadores la oportunidad de inmiscuirse en procesos internos y extraer sumas de dinero potencialmente grandes.
Ataques de ingeniería social impulsarán fraudes financieros
Las usar técnicas de ingeniería social para realizar el robo oportunista de datos y amenazas a sus víctimas causaron revuelo este año. Para el 2023, seguiremos viendo cibercriminales que utilicen este tipo de técnicas para manipular a las víctimas con el objetivo de sacar información para obtener accesos ilegítimos a sus equipos o datos bancarios, entre otros.
Los ataques de ingeniería social se realizan de estas formas:
- Por correo electrónico, mediante ataques de phishing o en mensajes de texto (smishing) al suplantar la identidad de una compañía y con el que los cibercriminales intentan que las víctimas caigan en un enlace malicioso o llamen a un número de teléfono falso para pedirles datos confidenciales.
- Por teléfono suplantando identidades, de una persona o compañía, para conseguir información confidencial de las víctimas.
- A través de redes sociales después de robar las credenciales de acceso de los usuarios y usando información privada para extorsionar.
Saber identificar los ataques de ingeniería social será esencial para reducir el riesgo de fraudes financieros. “Si es demasiado bueno para ser cierto, probablemente lo sea”, debe ser la regla de oro a seguir por usuarios para defenderse, seguido de no revelar información personal ni datos confidenciales como datos de acceso, números de tarjeta de crédito, etcétera, por teléfono, correo o servicios de mensajería.