A principios de 2020 se vio evolucionar en múltiples aspectos del panorama de las amenazas cibernéticas. Esto fue principalmente como hilos individuales, más que simbióticamente. Sin embargo, a medida que avancemos hacia la última parte de la década, veremos una gran convergencia de estos. En los últimos cinco años, nos hemos resignado al hecho de que la cadena de suministro se ha convertido en una de nuestras mayores amenazas, la geopolítica y los conflictos han generado efectos en el mundo real en el dominio cibernético, los proveedores de tecnología aún no entregan productos seguros, los gobiernos fallan reconocer el entorno digital como la nueva infraestructura nacional crítica (CNI) y la inteligencia artificial (IA) se está infiltrando en las herramientas ofensivas utilizadas por los actores de amenazas.
A medida que nos acercamos al final de la década y principios de la década de 2030, todavía no habremos abordado estas amenazas individuales y se unirán, causando perturbaciones y daños significativos.
Durante los últimos años, se ha vuelto más evidente que los proveedores de tecnología se centran en llevar productos al mercado, sin preocuparse por su seguridad. Recientemente, incluso hemos visto que los proveedores de demanda del FBI y CISA comienzan a adoptar adecuadamente la seguridad por diseño. Este enfoque de laissez-faire ya ha dado lugar a un gran número de compromisos innecesarios y a que las entidades han tenido que invertir significativamente en EASM (Gestión de la superficie de ataque externo) y programas de inteligencia de vulnerabilidades.
Para muchos de mis clientes, la mayoría de las “infracciones” que sufren emanan de su cadena de suministro. Tradicionalmente, la cadena de suministro era el objetivo de actores sofisticados de los Estados-nación, ya que entendían perfectamente y podían aprovechar el ataque de “uno a muchos”. Sin embargo, a medida que los actores criminales se volvieron más conscientes y capaces, comenzaron a adoptar esta técnica también. Y más recientemente también hemos visto a hacktivistas, alineados con cuestiones sociales y geopolíticas, adoptar este enfoque.
A medida que ellos y nosotros nos alejamos de los “viejos medios” hacia plataformas sociales y abiertas más nuevas, donde proliferan tanto la información errónea como la desinformación, también veremos un conjunto más amplio de entidades en el punto de mira, lo que aumentará la necesidad de que las entidades supervisen una conjunto más amplio de plataformas para comentarios y sentimientos negativos. Ya hemos comenzado a ver funciones centralizadas que han sido subcontratadas y que son atacadas por este tipo de actores luego de campañas de desinformación en estas plataformas.
Estos y futuros ataques exitosos se deben al hecho de que la mayoría de los gobiernos, e incluso los reguladores, no comprenden completamente o, incluso si lo entienden, no pueden mapear adecuadamente estos proveedores críticos y funciones centrales en el entorno digital. Como tal, no han implementado la legislación o regulación necesaria para protegerlo adecuadamente, ni a la sociedad que depende de ellos.
Finalmente, llegamos a la IA; no el tipo de Hollywood, sino la IA estrecha, que estamos empezando a aprovechar ahora y que probablemente la usaremos hasta el final de la década, aunque volvamos un poco más capaces y avanzadas. Si bien la IA será excelente para la ciberdefensa, por supuesto será utilizada por actores nefastos. Algunos de los usos probables de la IA en operaciones ofensivas ya se están viendo; ingeniería social mejorada (como mejores correos electrónicos de phishing y la adopción de videos y notas de voz deepfake respaldados por IA) hasta el desarrollo de infraestructura de soporte de ataques y el desarrollo e implementación de malware. Este no es un artículo sobre la IA y todos sus usos por parte de los malos actores, pero un área importante de preocupación es el uso de la IA para identificar vulnerabilidades (y variantes) y desarrollar e implementar rápida y automáticamente código de explotación, reduciendo los tiempos de explotación de n días. hasta minutos… o peor.
Entonces, a medida que nos acercamos al final de la década, ¿qué veo en mi bola mística mágica, también conocida como evaluación de inteligencia? Es la convergencia de todo esto. El software seguirá siendo como el queso suizo, más actores tendrán más capacidades debido a la IA, el compromiso de la cadena de suministro será algo común, la CNI digital no habrá sido protegida y los ataques de punto único de falla contra la cadena de suministro desconectarán de manera constituyente servicios críticos. A medida que más naciones con economías en desarrollo adquieren capacidades ofensivas, la geopolítica se fractura más. El entorno digital simplemente será un lugar más peligroso para hacer negocios y, aunque es poco probable, algunas naciones pueden incluso quedar desconectadas durante días.