1. Seguirán proliferando los códigos QR
Aunque no son algo novedoso, los códigos QR entraron en escena el año pasado usándose en muchas campañas de phishing de credenciales y malware. Una de las razones para ello es que la gente está ahora mucho más acostumbrada a escanear estos códigos para todo, desde instrucciones hasta menús de restaurante; y los ciberdelincuentes se aprovechan de ello.
Proofpoint ha lanzado recientemente nuevas funciones de sandboxing online para defenderse mejor contra esta amenaza, que se prevé que irá a más en 2024, aunque algunos grupos de ciberdelincuencia —como los de APT o amenazas persistentes avanzadas— todavía no se han subido al carro de los QR, pero es posible que empiecen con el phishing a través de estos códigos en sus campañas.
2. Explotación de vulnerabilidades Zero-Day y N-Day
El uso creativo de vulnerabilidades, tanto conocidas como no declaradas, ha sido otra de las prácticas destacadas por los expertos. Algunos grupos de APT emplearon una amplia variedad de exploits, desde servidores de correo web como Zero-Day a un dispositivo de gateway de seguridad de correo electrónico, que obligó a los usuarios a reinstalar el hardware físico.
Pero los ciberdelincuentes también explotaron vulnerabilidades de servicio de transferencia de archivos MOVEit, con repercusiones en cascada, además del fallo ScreenConnect. Según Proofpoint, esta explotación de vulnerabilidades continuará impulsada en parte por la mejora de las defensas, que hace que técnicas de la vieja escuela sean mucho menos útiles.
3. Cambios continuos e inesperados de comportamiento
El panorama de la ciberdelincuencia es extremadamente caótico con tácticas, técnicas y procedimientos (TTP) en constante cambio a fin de averiguar qué es lo más eficaz. Proofpoint ha observado recientemente un mayor uso de sistemas de distribución de tráfico (TDS), como 404 TDS y Keitaro TDS; archivos únicos y poco frecuentes, del tipo de URL shortcut (.url) y scalable vector graphic (.svg); múltiples cargadores de malware y ladrones de información nuevos; y malware antiguo como DarkGate que resurge como payload popular. Los atacantes modificarán siempre sus comportamientos en respuesta directa a lo que hagan los defensores, por lo que se prevé que haya mucha más experimentación de TTP en 2024.
4. Inteligencia Artificial (IA)
Los atacantes explorarán formas de incorporar la IA a sus flujos de trabajo de manera similar a como lo hacen las empresas actualmente. Aunque existe mucha preocupación por los correos electrónicos y contenidos de phishing creados con IA, el impacto de estas amenazas será insignificante, porque las mismas herramientas que detectan el lenguaje malicioso, el sentimiento, el tono o el asunto son tan eficaces contra los robots como contra los humanos. Lo que sí tendrá impacto es el uso de IA para mejorar la eficacia general, como la ampliación de operaciones de información o fraude que comienzan con una conversación inofensiva; el uso de asistentes de codificación para cubrir lagunas de conocimiento; o la creación más rápida de contenido malicioso. Proofpoint utiliza la IA como motor de agrupación de malware, cuyo resultado es el ahorro de cientos de horas en búsqueda de amenazas.
5. Compartir con la comunidad es defenderla
Es destacable el apoyo que recibe el equipo de amenazas emergentes de la comunidad, intercambiando información sobre nuevo malware, TTPs, infraestructura, kits de phishing y mucho más. A medida que el panorama de las amenazas cambia, la comunidad de la ciberseguridad continúa compartiendo y defendiéndose colectivamente contra sus adversarios. Esta mentalidad comunitaria será más importante que nunca en 2024.
“Los ciberdelincuentes están mejor equipados y motivados, además de mostrarse más creativos que nunca. Incluso con un enfoque multicapa centrado en las personas, se debe permanecer en alerta y esperar lo inesperado de ellos”, afirma el equipo de investigadores de Proofpoint. “Ante esto, los profesionales de la ciberseguridad necesitan colaborar entre sí para mantenerse informados sobre las últimas amenazas y estrategias de defensa, incluso cuando estén haciendo lo mismo. El aprendizaje continuo a través de este intercambio de información mejorará el conocimiento colectivo y la capacidad de respuesta”.