Resulta habitual que cuando llega el final del año reflexionemos sobre lo que este nos ha deparado en términos personales y profesionales. Del mismo modo, es habitual que nos planteemos la pregunta de qué podemos esperar para los próximos 365 días.
Un salto al vacío
En el mundo de la ciberseguridad esa reflexión se convierte a menudo en un salto al vacío en el que descubrimos, ya sin sorpresa, cómo los ciberdelincuentes apuestan por técnicas conocidas para las que deberíamos estar preparados y que aun así siguen teniendo éxito.
Desde All4Sec, una vez más, queremos revisar algunas de estas técnicas y cómo pueden adquirir mayor protagonismo a la luz de acontecimientos y novedades que ciertamente se producirán en 2025.
Suplantación de identidad
La suplantación de la identidad y los ataques a las cadenas de suministros se están mostrando como estrategias demasiado exitosas en los tiempos actuales.
La proliferación de técnicas de IA Gen, útiles, por ejemplo, para el robo de credenciales, están facilitando el escalado de privilegios en las infraestructuras de víctimas y el acceso a servicios de terceras partes confiables.
El desarrollo de normativas como la NIS-2 o DORA han puesto énfasis precisamente en estos aspectos, la identidad y la autenticación, que afectan a entidades catalogadas como esenciales o importantes.
Sin embargo, es muy posible que no deban de quedarse ahí. Muy probablemente habrá que trasladar estos controles también a los proveedores: esas pymes que forman parte de sus cadenas de suministros y que a su vez disponen de sus propios agentes proveedores que presentan fortalezas y debilidades —con criterios para la identificación y también con requisitos de autenticación—.
Servicios en la nube
La migración de servicios a la nube está poniendo en evidencia la necesidad de plantear esquemas de protección contra las configuraciones erróneas, los ataques a sus API de integración o a los mecanismos de control que actúan como barrera frente a las amenazas que surgen en estas infraestructuras.
Con el despliegue de servicios en la nube, día a día, se amplía la superficie de ataques y se ofrecen nuevas puertas de entrada a servicios internos en las compañías que, llegado el momento, pueden quedar expuestas a la ciberdelincuencia.
La monitorización, la priorización de sus riesgos y/o vulnerabilidades junto con los procedimientos proactivos de validación —conocida como CTEM, Continuous Threat Exposure Management— de los controles de seguridad que implementan serán cada vez más indispensables en un ecosistema donde los ciberdelincuentes dispondrán de un campo de acción aún más amplio.
Dispositivos IoT
Los dispositivos IoT crecen de manera exponencial en el mercado y con ellos la posibilidad de sufrir ciberataques. Algunos estudios hablan de que en 2025 podrían alcanzarse los 32.000 millones de elementos IoT interconectados.
Normativas europeas como la CRA —Cyber Resilience Act— acaban de ver la luz para, entre otras cosas, tratar de combatir estas amenazas. Sin embargo, su lenta adopción seguirá dando oportunidades para que equipos domóticos, sensores electrónicos o dispositivos de control industrial, junto con sus débiles protocolos de comunicación, sean objeto de interés de la ciberdelincuencia, cuando no incluso de actores de desestabilización geopolítica.
Prestar atención a estas infraestructuras debería ser una máxima en los próximos meses, sino incluso en próximos años.
Exfiltración de datos
Las fugas de información, consecuencia de la cantidad de datos que manejan las nuevas herramientas de inteligencia artificial, harán de la propiedad intelectual un elemento clave de protección en 2025.
De igual manera, la gestión de datos personales será fundamental. Empresas débilmente preparadas para su conservación y protección pueden convertir a ciertos colectivos — pensemos, por ejemplo, en los datos gestionados por la hospedería o los servicios turísticos—, en objetivos estratégicos de los ciberdelincuentes.
La compraventa ilegal de datos, combinadas con extorsiones de ransomware, exigirá que el sector de la ciberseguridad redoble sus esfuerzos para la monitorización y el seguimiento de la información que sobre una compañía o persona se ofrecerá en la Dark Web.
Desinformación
Los cambios en las normas de funcionamiento de algunas redes sociales junto con las técnicas de Deepfake están haciendo de la desinformación una técnica de manipulación difícil de acotar.
La ausencia de verificadores, humanos o automáticos, junto con la predisposición a asumir como válidos determinados sesgos en las comunicaciones han convertido a los usuarios finales en víctimas propicias de ciberataques.
La concienciación en ciberseguridad seguirá siendo necesaria, pero no suficiente, y eso es algo que los ciberdelincuentes saben.
Conclusión
En definitiva, “identidad”, “nube”, “IoT”, “datos personales” y “desinformación” seguirán siendo términos clave en el sector de la ciberseguridad durante 2025. Y la verdad es que nos hemos olvidado ya de cuántos años llevan siéndolo.
