Entre las amenazas que imperarán el próximo año en materia de seguridad, el ransomware o secuestro de datos continuará presente, pero desarrollará nuevos estilos. En vez de filtrarse a la red, secuestrar los datos y encriptarlos, se optará cada vez más por ensuciarlos – introducir basura – y pedir un rescate para dar solución al problema.
Así lo advirtió Fabio Assolini, director del equipo global de investigación y análisis de Kaspersky para América Latina, quien añadió que se espera la proliferación del ransomware como servicio, es decir que delincuentes no profesionales en tecnología contratan a las bandas criminales para realizar los secuestros. «Hoy se encuentran paquetes por US$40 que te dan la receta completa para efectuar un ataque», mencionó.
Otra tendencia al alza es que estos mismos grupos expertos en aprovechar vulnerabilidades para introducirse en los sistemas corporativos expondrán a quienes no saben cuidar los datos ante la opinión pública y los reguladores. En la medida en que el país tenga una legislación más robusta, será más común este tipo de ataque que busca aprovecharse del temor a recibir una multa.
Assolini explicó que las bandas criminales se introducirán en los sistemas y amenazarán a las empresas con exponerlas o denunciarlas ante la autoridad que vela por el cumplimento de la protección de datos y sanciona con multas a los infractores. Pedirán un rescate, dijo, y si la empresa no paga, los expondrán ante la Autoridad Nacional de Protección de Datos Personales (ANPD), lo cual puede dañar la confianza de los consumidores en la organización. En el sector financiero esto puede generar fuga de clientes y pérdidas enormes de dinero, comentó.
Con relación al nuevo reglamento de la ley que vela por el respeto de los datos personales, Fabio Assolini comentó que el plazo de 48 horas estipulado en la norma para informar a las autoridades sobre un incidente de seguridad que implica la filtración de datos es razonable y factible de cumplir para evitar multas. Sin embargo, tener solo 48 horas para identificar qué datos de qué clientes fueron filtrados es muy complicado, porque eso puede tardar semanas o meses si el criminal es un experto y realizó un ataque exitoso.
Bancos centrales en la mira
El experto de Kaspersky dijo que los delincuentes tienen en la mira a los sistemas de pago instantáneo que administran los bancos centrales, que en el Perú se trata del Banco Central de Reserva del Perú (BCRP). También se incluyen a todos los sistemas de open banking, banca digital o aquellos que utilizan monedas digitales entre los principales objetivos de los futuros ataques.
La banca digital crece a doble dígito en todo el mundo, comentó, lo que la vuelve atractiva para los criminales, quienes migrarán sus ataques financieros sobre todo a los móviles, que son las nuevas billeteras de los ciudadanos, mencionó. Los troyanos bancarios que se mueven en ese entorno cobrarán cada vez más víctimas, alertó.
Se espera también un incremento de ataque a la cadena de suministro en proyectos de código abierto, más incidentes relacionados con protocolos de blockchain y uso intensivo de la inteligencia artificial, añadió Assolini.
