¿Es 2021 el año en que los ciberataques obligan a las leyes de privacidad a hacer crecer algunos dientes?

 privacidad de los datos y seguridad de los piratas informáticos

Los ataques cibernéticos son cada vez más frecuentes, aumentando las amenazas a la privacidad de los datos que representan tanto para las agencias gubernamentales como para las empresas. Los gobiernos, tanto nacionales como extranjeros, deben intensificar sus esfuerzos para aprobar una legislación que refuerce las defensas tecnológicas este año, advierten los grupos de privacidad.

Las leyes de privacidad más estrictas se están revisando y firmando gradualmente en el mercado estadounidense. Pero ese proceso se está llevando a cabo principalmente a nivel estatal.

Mientras tanto, los ciberataques presentan a los expertos en tecnologías de la información y a los legisladores una guerra en dos frentes. La industria del software se enfrenta a problemas de seguridad que hacen viables los ciberataques. Los funcionarios gubernamentales y los ejecutivos de empresas luchan con complicados problemas legales que involucran protecciones de privacidad obsoletas o faltantes.

Las incursiones más grandes y exitosas en computadoras gubernamentales, comerciales y personales son eventos comunes. Las campañas de phishing y ataques de ransomware encuentran nuevas víctimas con regularidad. La situación es muy parecida a un juego de Whack-a-Mole.

Los defensores de la privacidad ven mejores oportunidades para que las leyes de privacidad se arraiguen a medida que se enfocan en presionar a los legisladores federales para que promulguen leyes de privacidad del consumidor más fuertes en los próximos años. Estas nuevas leyes deben prestar especial atención a las tecnologías emergentes como la inteligencia artificial (IA), el aprendizaje automático (ML), la computación en la nube y la cadena de bloques.

"Espero una mayor regulación, especialmente cuando se trata de leyes estatales que se centran en datos personales confidenciales ", dice Scott Pink abogado especial en la oficina de Silicon Valley del bufete de abogados internacional O'Melveny & Myers, y miembro del Grupo de Privacidad y Seguridad de Datos de la firma.

Pink asesora regularmente empresas de medios y tecnología sobre cómo cumplir con el mosaico actual de regulaciones de privacidad estatales y específicas de la industria. Él cree que 2021 podría marcar una nueva era en las leyes de privacidad destinadas a salvaguardar una amplia gama de información digital valiosa.

"Los datos de salud de COVID-19 son una preocupación inmediata a medida que avanzamos hacia la siguiente fase de la pandemia. Gobiernos y sistemas de atención médica están recopilando grandes cantidades de información relacionada con las vacunas y el rastreo de contactos. La implementación de leyes, políticas y procedimientos para garantizar la integridad de esos datos será clave ", dijo Pink a TechNewsWorld.

Los ciberataques son un riesgo significativo, especialmente como trabajo remoto y La creciente sofisticación de los ataques de phishing e ingeniería social crea más vulnerabilidades que nunca, enfatizó. Los ciberataques y su impacto en la privacidad de los datos pueden afectar gravemente las operaciones de agencias gubernamentales, empresas, escuelas y más.

RATs en la mezcla de ataques

Las amenazas más frecuentes que acechan en 2021 son las infestaciones de RAT. El acrónimo RAT significa Troyano de acceso remoto, una forma de malware que permite a los piratas informáticos controlar dispositivos de forma remota.

Una vez que un programa RAT está conectado a una computadora, un pirata informático puede mirar archivos locales, adquirir credenciales de inicio de sesión y otra información personal, o utilizar la conexión para descargar virus que luego, sin el conocimiento del usuario, se pueden propagar a otros.

Las intrusiones de acceso remoto pueden ser problemáticas, especialmente con millones de personas que ahora trabajan desde casa, señaló Robert Siciliano, instructor de protección de identidad cibernética social en ProtectNow .

"El protocolo de escritorio remoto de Microsoft y numerosos servicios de tecnología de acceso remoto de terceros aumentan drásticamente la superficie de ataque para los piratas informáticos que desean ingresar a redes corporativas y gubernamentales", dijo a TechNewsWorld.

Algunos de los ciberataques se basan en tácticas intensificadas disponibles desde la pandemia y son diferentes de las anteriores al año pasado, señaló. Ni las corporaciones estadounidenses ni los gobiernos locales, estatales y federales nunca vieron venir esto.

El factor nube también cuenta

Aún así, los piratas informáticos no están teniendo éxito estrictamente mediante el uso de tácticas modernas de alta tecnología. Las amenazas actuales son una escalada de los métodos de amenazas existentes que han existido durante años y que se han acelerado por un uso aún más frecuente de la computación en la nube y el desarrollo ágil, según Naama Ben Dov, asociado de YL Ventures un Firma de capital de riesgo estadounidense-israelí que se especializa en inversiones en ciberseguridad en etapa inicial.

La migración a la nube es una gran parte de los problemas de privacidad de datos que estamos viendo hoy. Los datos siguen siendo el objetivo de mayor valor para los atacantes. Como tal, el robo de datos es la amenaza más frecuente este año, insistió Eldad Chai, cofundador y director ejecutivo de Satori Cyber ​​una empresa de acceso y gobierno de datos en Tel Aviv que es una de las empresas de cartera de YL Ventures. .

"A través del acceso a los datos de una corporación, los atacantes pueden infligir daños legales, operativos y de reputación que son desproporcionados a cualquier otro vector de ataque", dijo a TechNewsWorld.

Por supuesto, gran parte de esos datos están en la nube. La tendencia de mover datos a la nube se ha acelerado en los últimos años y ahora está en un récord con el éxito de plataformas como Snowflake y el impulso de 2020 proporcionado a los programas de migración a la nube, señaló Chai.

"La migración masiva de de datos a la nube, la democratización de los datos dentro de una organización y el entorno de trabajo desde casa han ampliado la superficie de ataque de los datos y hacen que sea extremadamente difícil operar un programa de protección de datos eficaz ", dijo Chai.

La FMH también es problemática

El escenario del trabajo desde casa ha facilitado mucho el trabajo del hacker. Los atacantes siguen a donde van sus objetivos, observó Ben Dov. En este momento, más que nunca, esos datos están colgando entre las computadoras de los trabajadores a domicilio, los espacios de trabajo en la oficina y los bancos de almacenamiento en la nube.

La sabiduría convencional siempre ha sido que los trabajadores son más productivos en un entorno de oficina; y cuando llegó el COVID, los gerentes de TI en su mayoría no estaban preparados, dijo Siciliano.

Aunque algunas compañías implementaron ayuda tecnológica para aquellos empleados que usaban sus propias computadoras y enrutadores en casa para abordar la seguridad con dispositivos fuera de la red, simplemente no fue suficiente. [19659003] "Trabajar en dispositivos domésticos que se conectan a las redes de la empresa con mala configuración es el mayor temor de un gerente de TI", dijo.

Demasiado poco, demasiado tarde

En los EE. UU., Las leyes federales existentes, como la Ley de mejora del teletrabajo de 2010, nunca anticiparon del todo este nivel de trabajo en el hogar, por ejemplo. Es poco probable que el gobierno federal realice cambios significativos en el corto plazo con tantas otras preocupaciones existenciales que amenazan la vida, en opinión de Siciliano.

Una amenaza creciente para las incursiones en la privacidad de los datos es el ransomware. Pero es un efecto y no la causa de la pérdida de privacidad. El ransomware finalmente termina siendo un efecto de una tecnología o un troyano de acceso remoto, señaló.

"Los gerentes de TI deben ser más proactivos con el hardware, las configuraciones de software y la capacitación en conciencia de seguridad", dijo Siciliano sobre la prevención de divulgaciones de privacidad de datos.

La tecnología cambiante amenaza la eficacia

Una de las amenazas a la privacidad más frecuentes que enfrentamos en 2021 proviene de la dependencia de servicios de TI de terceros que desplazan o reemplazan cada vez más las aplicaciones implementadas históricamente en las instalaciones, según Ben de YL Ventures Dov.

"Al igual que el incidente de SolarWinds, muchos ataques a la cadena de suministro tienen como objetivo sistemas de gestión de TI que estaban en uso mucho antes del surgimiento de la nube. Las organizaciones aún dependen de estas tácticas, y este ataque obligará a reconsiderar el alcance de la TI. exposición de la cadena de suministro ", dijo a TechNewsWorld.

Lo mismo se aplica a las aplicaciones de software, continuó. Los últimos años han visto una explosión en la cantidad de software de terceros. Esta realidad hace que las organizaciones pierdan visibilidad de los riesgos que conlleva la exposición a dichos componentes de terceros.

Sin duda, esa situación empeorará antes de mejorar, advirtió Ben Dov. El aumento de las violaciones de la privacidad de los datos, en particular los datos privados, se está extendiendo cada vez más.

"Mientras haya una falta de enfoques tecnológicos significativos para identificar y asegurar los datos, es probable que ocurran muchas filtraciones", dijo.

Arregle lo que no funciona

Muchas de las soluciones existentes se centran en la gobernanza de datos y el cumplimiento de la normativa. Estos objetivos son importantes pero no apuntan a la raíz del problema. Solo son buenos en la medida en que se cumplan ciertas regulaciones, según Ben Dov.

"Necesitamos soluciones que sean capaces de rastrear y monitorear datos a lo largo de un ciclo de vida completo, de una manera que se integre significativamente con las unidades comerciales existentes de las organizaciones y permitirles ejecutar en lugar de reprimir la I + D, las ventas y el marketing. La seguridad debe ser un interés y un objetivo entre empresas que respalde los procesos comerciales ", respondió.

Actualmente, el legislador se centra principalmente en nuestros derechos como individuos para intimidad. Si bien esto es bienvenido y necesario, pasa por alto la implementación de programas de privacidad, y cada empresa tiene su propia forma de cumplir con los requisitos de privacidad, ofreció Satori Cyber's Chai.

"Centrar las leyes en los resultados, como si se pierden datos te multan, no se ocupa de muchos de los problemas subyacentes en la protección real de la privacidad de las personas ", dijo.

Chai no está seguro de que sea probable que suceda este año. Pero espera que los gobiernos hagan un mejor trabajo al definir y estandarizar los programas de protección de datos de una manera que guíe a la industria en la implementación de programas efectivos y sostenibles.

Nueva privacidad, problemas de seguridad

Con la adopción tanto de la infraestructura en la nube como de los servicios en la nube (SaaS), se producirán más ataques adaptados y personalizados para eludir las barreras de protección existentes en la nube. Los piratas informáticos buscarán formas de eludir los mecanismos de autenticación en la nube, sugirió Ben Dov.

Una preocupación relacionada implica la tendencia de las empresas a desarrollar sus propias aplicaciones internas, convirtiéndose en su propia empresa de software. Eso abre la puerta a ataques específicos de aplicaciones, advirtió.

"Los piratas informáticos siempre elegirán el camino más fácil y hasta 2020 explotar errores en sistemas operativos antiguos para instalar malware o personas de ingeniería social para instalar software malicioso en sus computadoras portátiles era un camino fácil ", agregó Chai. "Con la transferencia de datos y servidores a la nube, eventualmente veremos menos ataques de este tipo y más ataques enfocados en los entornos de nube".

Un elemento clave que debe abordarse, según Siciliano, es la falta de preocupación por la El rol de seguridad que los empleados deben desempeñar. Eso es especialmente cierto con respecto al phishing. Los empleados necesitan una mejor comprensión de cómo su ineficacia podría resultar en una calamidad.

"La capacitación en conciencia de seguridad en lo que respecta a la simulación de phishing por sí sola no es suficiente y no resolverá el problema. La discusión debe pasar de la conciencia de seguridad a la seguridad agradecimiento, y ahora mismo la mayoría de las organizaciones no lo están haciendo ", se quejó.

Reflexiones finales

La principal brecha que Chai ve hoy con respecto a la seguridad y privacidad de los datos es que las soluciones existentes no son adecuadas para un modelo que aproveche el contexto legal de los datos. Los modelos para las herramientas de protección de datos existentes son principalmente en blanco o negro. O tiene o no tiene acceso a los datos, explicó.

Sin embargo, el contexto legal y de privacidad de los datos es mucho más complejo, razonó. Se podría autorizar el uso de un dato en función del consentimiento otorgado al recopilar los datos, la ubicación geográfica de los datos, el tamaño y la naturaleza del conjunto de datos, la forma en que se utilizarán los datos y un conjunto de otras consideraciones.

"Hasta que el contexto legal y de privacidad se integre en los modelos existentes para la protección de datos, todavía estaremos atrasados", dijo.

Ese proceso necesitará una mayor cooperación y asociaciones entre la industria, el gobierno y el mundo académico para compartir datos relacionados con amenazas a la ciberseguridad. También se necesitará conocimiento sobre la amenaza para contrarrestarlos, agregó Ben Dov.


Leave a Reply

Your email address will not be published. Required fields are marked *