TÜV Rheinland ha publicado su séptimo informe anual sobre Tendencias de ciberseguridad para 2020. En él, el proveedor de servicios internacionales de pruebas, inspección y certificación con sede en Colonia, Alemania, identifica ataques a cadenas de suministro inteligentes, amenazas a equipos médicos y debilidades en los sistemas operativos en tiempo real.
El informe es una colaboración entre muchos de los expertos en seguridad cibernética de TÜV Rheinland a nivel mundial, y analiza siete tendencias clave de seguridad cibernética que será importante tener en cuenta en 2020.
Siete tendencias de ciberseguridad para 2020 por profesionales líderes mundiales
Los desarrollos en el área de Ciberseguridad son alarmantes. A medida que aumenta el número de dispositivos inteligentes en hogares privados, también aumentan las oportunidades para que los ciberdelincuentes ataquen. El acceso incontrolado a los datos personales socava la confianza en la sociedad digital. Los piratas informáticos atacan cada vez más a la industria de la logística y los vehículos privados. Los expertos en seguridad cibernética de TÜV Rheinland consideran que estas tendencias son fundamentales para comprender en 2020.
"Desde nuestro punto de vista, es particularmente grave que el delito cibernético afecte cada vez más nuestra seguridad personal y la estabilidad de la sociedad en su conjunto", explica Petr Láhner, vicepresidente ejecutivo de negocios para el flujo de negocios Industry Service & Cybersecurity en TÜV Rheinland. “Una de las razones de esto es que los sistemas digitales están llegando a más y más áreas de nuestra vida diaria. La digitalización ofrece muchas ventajas, pero es importante que estos sistemas y, por lo tanto, las personas estén a salvo de los ataques ".
El acceso incontrolado a los datos personales conlleva el riesgo de desestabilizar la sociedad digital.
En 2017, la francesa Judith Duportail le pidió a una compañía de aplicaciones de citas que le enviara cualquier información personal que tuvieran sobre ella. En respuesta, recibió un documento de 800 páginas que la contenía Facebook Me gusta y no me gusta, la edad de los hombres en los que había expresado interés y todas las conversaciones en línea que había tenido con los 870 contactos coincidentes desde 2013.
El hecho de que Judith Duportail recibió tantos datos personales después de varios años de usar una sola aplicación subraya el hecho de que la protección de datos ahora es muy desafiante. Además, este ejemplo muestra la poca transparencia que existe sobre la seguridad y el procesamiento de datos que se pueden utilizar para obtener una imagen precisa de los intereses y el comportamiento de un individuo.
Sociedad de infografía digital. Gráfico: TÜV Rheinland
Los dispositivos inteligentes de consumo se están extendiendo más rápido de lo que se puede asegurar
Los altavoces inteligentes, los rastreadores de ejercicios, los relojes inteligentes, los termostatos, los medidores de energía, las cámaras de seguridad para el hogar inteligentes, las cerraduras inteligentes y las luces son los ejemplos más conocidos de la democratización aparentemente imparable de la "Internet de muchas cosas". Los dispositivos inteligentes ya no son solo juguetes o innovaciones tecnológicas. La cantidad y el rendimiento de los dispositivos "inteligentes" individuales aumentan cada año, ya que estos tipos de dispositivos se están convirtiendo rápidamente en una parte integral de la vida cotidiana. Es fácil ver un futuro en el que la economía y la sociedad dependerán de ellos, lo que los convierte en un objetivo muy atractivo para los ciberdelincuentes. Hasta ahora, el desafío para la Ciberseguridad ha sido proteger mil millones de servidores y PC. Con la proliferación de dispositivos inteligentes, la superficie de ataque podría aumentar rápidamente cientos o miles de veces.
Dispositivos inteligentes de infografía. Gráfico: TÜV Rheinland
La tendencia a poseer un dispositivo médico aumenta el riesgo de una crisis de salud en Internet
En los últimos diez años, dispositivos médicos personales como bombas de insulina, monitores de corazón y glucosa, desfibriladores y marcapasos se han conectado a Internet como parte de la "Internet de las cosas médicas" (IoMT). Al mismo tiempo, los investigadores han identificado un número creciente de vulnerabilidades de software y han demostrado la viabilidad de los ataques a estos productos. Esto puede conducir a ataques dirigidos tanto a individuos como a clases de productos completos. En algunos casos, la información de salud generada por los dispositivos también puede ser interceptada. Hasta ahora, la industria de la salud ha tenido problemas para responder al problema, especialmente cuando la vida oficial del equipo ha expirado. Al igual que con tantos dispositivos IoT de esta generación, la creación de redes era más importante que la necesidad de ciberseguridad. La compleja tarea de mantener y reparar equipos está mal organizada, es inadecuada o está completamente ausente.
Dispositivos médicos de infografía. Gráfico: TÜV Rheinland
Los vehículos y la infraestructura de transporte son nuevos objetivos para los ataques cibernéticos.
A través del desarrollo de plataformas de software y hardware, los vehículos y la infraestructura de transporte están cada vez más conectados. Estas aplicaciones ofrecen a los conductores más flexibilidad y funcionalidad, potencialmente más seguridad vial, y parecen inevitables dado el desarrollo de vehículos autopropulsados. La desventaja es el creciente número de vulnerabilidades que los atacantes podrían explotar, algunas con implicaciones directas de seguridad. Los ataques cibernéticos amplios dirigidos al transporte podrían afectar no solo la seguridad de los usuarios individuales de la carretera, sino que también podrían provocar una interrupción generalizada del tráfico y la seguridad urbana.
Los hackers se dirigen a las cadenas de suministro inteligentes y los hacen "tontos"
Con el objetivo de una mayor eficiencia y menores costos, las cadenas de suministro inteligentes aprovechan la automatización de Internet de las cosas (IoT), la robótica y la gestión de big data, tanto dentro de una empresa como con sus proveedores. Las cadenas de suministro inteligentes representan cada vez más el almacenamiento virtual, donde el almacén ya no es solo un edificio físico, sino cualquier lugar donde se pueda ubicar un producto o sus componentes en cualquier momento. Sin embargo, existe una creciente comprensión de que este modelo de negocio aumenta considerablemente los riesgos financieros, incluso con interrupciones relativamente menores. Las cadenas de suministro inteligentes son dinámicas y eficientes, pero también son propensas a interrupciones en los procesos. Los ciberataques pueden manipular información sobre depósitos. Por lo tanto, los componentes no estarían donde se supone que deberían estar.
Las amenazas al envío ya no son solo una amenaza teórica sino una realidad
En 2017, las mercancías con un peso estimado de alrededor de 10.7 mil millones de toneladas fueron transportadas por mar. A pesar de las actuales tensiones geopolíticas y comerciales, generalmente se espera que el comercio continúe creciendo. Existe amplia evidencia de que los estados están experimentando con ataques directos en los sistemas de navegación de buques. Al mismo tiempo, se ha informado de ataques a las redes informáticas de barcos utilizados para extorsionar el rescate. La logística portuaria ofrece una segunda área de vulnerabilidad superpuesta. Muchos aspectos del envío pueden ser la vulnerabilidad al ataque, como la navegación del barco, la logística del puerto y la red informática del barco. Los ataques pueden originarse en estados y grupos activistas. Esto hace que el monitoreo y la comprensión sean un factor clave en la Ciberseguridad marítima moderna.
Sector marítimo de infografía. Gráfico: TÜV Rheinland
Las vulnerabilidades en los sistemas operativos en tiempo real podrían anunciar el final de la era del parche
Se estima que para 2025 habrá más de 75 mil millones de dispositivos en red en Internet de las Cosas, cada uno con su propio paquete de software. Esto, a su vez, contiene muchos componentes subcontratados y potencialmente en peligro. En 2019, Armis Labs descubrió once vulnerabilidades graves (llamadas "Urgentes / 11") en el sistema operativo en tiempo real (RTOS) Wind River VxWorks. Seis de estos defectos expusieron aproximadamente 200 millones de dispositivos IoT al riesgo de ataques de ejecución remota de código (RCE). Este nivel de debilidad es un gran desafío, ya que a menudo está profundamente oculto en una gran cantidad de productos. Es posible que las organizaciones ni siquiera se den cuenta de que existen estas vulnerabilidades. En vista de esto, el procedimiento de instalar siempre las últimas actualizaciones de seguridad ya no será efectivo.
Puede encontrar más información y evaluaciones de TÜV Rheinland sobre los desafíos de 2020 en el documento técnico Tendencias de seguridad cibernética 2020 aquí.
