Revisión de Black Hat 2023: las siete mayores conclusiones y qué está por llegar

1 de septiembre de 2023  |  W. Perry Wortman

El mundo de la seguridad se reunió recientemente en Las Vegas en Black Hat 2023 para una semana repleta de capacitación, reuniones informativas y sesiones de proveedores sobre todo lo relacionado con la ciberseguridad. Y Dashlane estaba allí para enterarse de todo.

Aunque la conferencia fue la bomba para los entusiastas de la seguridad de todos los tipos y niveles de habilidad, lo siguiente son las discusiones más impactantes y las cuestiones más importantes que marcarán el tono de la ciberseguridad en el futuro.

No es ninguna sorpresa que la IA estuviera en el centro de la feria de este año. En su discurso de apertura, la directora general de Azeria Labs, Maria Markstedter, nos recordó que la IA tiene el poder de atacar, defender y contraatacar. Sin embargo, al igual que un humano, también se le puede engañar para que siga un enlace de phishing (¿hora de cambiar a las claves de acceso?). Está claro que apenas nos hemos adentrado en la capacidad de la IA para la seguridad ofensiva y defensiva, y hay mucho más por delante. 

¿Cómo te defiendes de un ataque de ingeniería social en el que un bot de IA le llama y habla exactamente como tu jefe? Piensa en Terminator 2, cuando la T1000 se hizo pasar por los padres adoptivos de John; el Terminator Arnold responde imitando a John y haciendo una pregunta al T1000 que solo la madre sabría para detectar la suplantación. A medida que aumentan los pirateos impulsados por IA, determinar que puede confiar en con quién se está comunicando será más importante que nunca.

Otro tema habitual era la importancia de los datos como inteligencia, como cómo usarlos para entrenar modelos de IA y aprovecharlos para prevenir, detectar y responder a amenazas. Los datos también son un hecho, y gran parte de la discusión en Black Hat se centró en cómo protegerlos y evitar el acceso y la pérdida no autorizados. Un ponente de la sesión, Brian Vecci, de Varonis, bromeó diciendo que «los datos son como el Jurassic Park: Terminarán en lugares que uno no esperaba, de una forma que no esperaba, cuando no esperaba».

Los chatbots de IA se están convirtiendo rápidamente en una herramienta cotidiana. Cómo podrían repercutir en el trabajo los Chatbots de IA como ChatGPT.

Incluso después de tantos años, en el sector de la seguridad seguimos teniendo dificultades para hacer de la identidad una parte fundamental de la seguridad. Las identidades comprometidas (las humanas, así como las usadas por las máquinas para comunicarse con otras máquinas) son y seguirán siendo la causa raíz de la mayoría de las violaciones. Afortunadamente, ahora vemos que la identidad se incorpora a casi todos los aspectos de la seguridad a medida que las organizaciones se modernizan. Cosas como la analítica del comportamiento del usuario, la confianza cero y el principio de privilegios mínimos están teniendo mucho más éxito cuando se abordan a través de una lente de identidad.

Ha habido un esfuerzo concertado de toda la industria por parte de los líderes tecnológicos para hacer que un futuro sin contraseñas sea una posibilidad real. Y el phishing, como siempre, fue un gran tema de muchas de las sesiones. Con elementos tales como el bombardeo de la autenticación multifactor (MFA), la fatiga y los proxy, la MFA ya no es el método a prueba de balas para garantizar la identidad que alguna vez pensábamos que era. Uber, Microsoft y Twilio fueron víctimas de que esta nueva clase de ataque sobrepasase su MFA por error.

El director nacional interino de ciberseguridad, Kemba Walden, habló sobre la estrategia nacional de ciberseguridad y los desafíos causados por la considerable escasez de talento en ciberseguridad. El personal de la Oficina del Director Nacional de Ciberseguridad de la Casa Blanca se ha multiplicado por seis, pero el gobierno sabe que no pueden gestionar todas las amenazas solos. ONCD, CISA y otras agencias ahora trabajan en estrecha colaboración con el sector privado, incluidos los piratas informáticos de sombrero blanco. Si ha asistido a conferencias anteriores de Black Hat o DefCon, los funcionarios gubernamentales no eran bienvenidos. Incluso había una competición de «detectar a los agentes federales» para expulsarlos. Pero este año hubo funcionarios federales de alto nivel que presentaron sesiones e incluso ponencias clave. Esta participación destaca cómo tanto el sector privado como el público reconocen que se necesitan mutuamente para mantener a raya los ataques de alto nivel de los estados nacionales y defenderse de la guerra cibernética.

Jen Easterly, director de CISA, y Victor Zhora, vicepresidente de la división de ciberseguridad de Ucrania, hablaron sobre la importancia de la asociación entre los Estados Unidos y Ucrania en la lucha contra los sofisticados ataques de los estados nacionales. Debido a los intensos desafíos a los que se enfrenta Ucrania, aprendemos tanto de ellos como ellos de nosotros. Lo que hace que los ciberataques sean más reales es la idea de los «crímenes de guerra cibernéticos» de los que habló Zhora. Estos se dan cuando los ciberataques dan como resultado la pérdida de vidas, lo que demuestra que estamos más lejos que nunca de la época de los chavales en sótanos pirateando ordenadores sin causar daño alguno por diversión.

Es reconfortante ver que tantos expertos en seguridad comparten conocimientos sobre cómo podemos abordar juntos cada nuevo desafío de forma proactiva y receptiva. Aunque el panorama de la ciberseguridad sigue evolucionando rápidamente, nosotros también lo haremos.

W. Perry Wortman

Leer más