La seguridad digital actual es un tema realmente complejo que ha superado con creces el enfoque tradicional. Las empresas hoy día están expuestas a ataques que pueden extraer información sobre sus clientes, propiedad intelectual o incluso causar daños físicos, por lo que se impone que las empresas e individuos adopten nuevas estrategias para protegerse
La seguridad digital de empresas e individuos es actualmente algo muy diferente a lo que solía ser. Los enfoques tradicionales, basados en aislamiento de sistemas, contraseñas, usuarios y potentes firewalls no parece ser suficiente. Los ataques modernos ocurren de diferentes maneras: la ingeniería social se combina con la tecnología más avanzada, incluso con BigData, para realizar nuevos ataques que obligan a las instituciones a tener que considerar nuevos paradigmas.
Los daños traspasan el ámbito digital
Un ataque cibernético causó daños en una acerería en Alemania, según se vio en un reporte liberado a finales del año pasado. No se trata del primero en su estilo –basta con recordar a Stuxnet, desarrollado por los gobiernos de USA e Israel para afectar las fabricas enriquecedoras de uranio en Iran—y estuvo basado en el mismo principio: la manipulación de un sistema de control interno, que no cuenta con ningún tipo de protección avanzada contra la intromisión.
El ataque fue realizado de manera bastante tradicional: envío de correos electrónicos infectados a personal de la fábrica, para buscar que estos abrieran los correos desde PCs conectadas a la red interna, desde donde avanzaron para controlar los sistemas internos de producción. El daño al parecer provino de el malfuncionamiento de los sistemas, que causaron que algunos componentes trabajaran fuera de sus límites de seguridad.
Esto es parte del panorama aterrador al que nos enfrentamos, y el ataque en Alemania sólo parece ser el anunció de una época –temible y terrible—que puede estar por suceder.
Los datos de los usuarios: el “target” más apreciado
En la pasada navidad las redes de juego en línea de Sony y Microsoft sufrieron importantes ataques. Los ataques sufridos por ambas empresas lograron sacar de línea los servicios que ofrecen a los cientos de millones de suscriptores, 110 en la red de Sony y 48 millones en la red de Microsoft.
Un grupo de hackers conocidos como Lizard Squad –el Escuadrón Lagarto—se atribuyó el ataque. Este grupo se había atribuido con anterioridad otros ataques contra la plataforma de Sony, aunque no hay evidencia sólida que permita saber si en realidad se trata del mismo grupo.
Este ataque ha tenido como resultado el que los millones de suscriptores de ambas plataformas no pudieran conectarse a los servidores centrales de cada plataforma. Al parecer se trató de sencillo ataques DDoS (Denegación de servicio) que son bastante complicados de resolver.
Sony acababa de sufrir un ataque a sus servidores donde se supone se perdieron una gran cantidad de datos. Justo antes del planificado estreno de la película titulada “The Interview” la empresa recibió gran cantidad de amenazas de posibles ataques al punto de suspender su estreno. La película tiene una trama basada en un complot para asesinar al líder de Corea del Norte, Kim Jongun, y las amenazas se supone provinieron de piratas informáticos ubicados en ese país.
Y en este tipo de ataques nadie está a salvo. El gobierno de EUA sufrió este año una brecha de seguridad masiva, que expuso a más de cuatro millones de empleados del gobierno federal, y los obligó a desviar y cerrar gran parte del tráfico web hacia las instituciones comprometidas, que son prácticamente todas las agencias del país, durante más de un día. Las oficinas de recursos humanos de la mayoría de las agencias gubernamentales de EUA fueron atacadas y los datos personales de los empleados vulnerados.
Desde hace tiempo China –país que se supone fue el anfitrión del ataque– controla el acceso a la Internet con su “Gran Muralla de Fuego: o “The Great Firewall” como se le conoce. Este cortafuegos gigante filtra todas las peticiones web de China hacia fuera y solo deja pasar las que están autorizadas. Pero recientemente el gobierno chino empezó a usarla para modificar las peticiones de páginas dentro de China. Allí cambiaba el código para incluir comandos propios en las páginas, que ha usado para atacar sitios web que buscan evadir la censura china en Internet, principalmente, pero que pueden ser utilizados para atacar cualquier sitio web en general.
Más recientemente el sitio para Adultos conocido como Ashley Madison sufrió un ataque en el que se comprometieron los datos de 37 millones de usuarios, que acaba de ser publicada en la web –unos 10GB de datos y que están dando mucho de que hablar. Ya sea que el ataque se originó por no estar de acuerdo con el sitio, o para intentar lograr beneficios económicos que no se dieron –probablemente intentando chantajear a la compañía—este tipo de ataques revela un nuevo tipo de comportamiento malvado que requiere cambiar la forma de funcionar de las empresas
¿Estamos entonces indefensos?
La realidad parece aplastante, pero no necesariamente lo es. Ataques como los de Sony Microsoft o Ashley Madison, podrían limitarse –o al menos mitigar sus consecuencias—al usar bases de datos encriptadas, un paso adicional que pocas empresas asumen actualmente.
Algunas empresas que proporcionan soluciones de seguridad apuntan a herramientas de última generación –incluyendo BigData y Analítica—para poder contrarrestar los nuevos tipos de ataques, cada vez más sofisticados.
Sin embargo no se puede pasar por alto que muchos de los ataques que ocurren se originan dentro de las líneas de defensa de la empresa por culpa de la poca precaución de los usuarios y el uso de herramientas de ingeniería social por parte de los atacantes.
Así que la combinación de una política de seguridad completa y coherente por parte de la empresa, contar con herramientas de protección –firewalls, antivirus, administradores de dispositivos móviles y sistemas de detección de intrusos, entre otros—y la educación de los usuarios para que eviten conductas que los expongan, terminan mejorando la seguridad de la empresa enormemente.
La implementación de sistemas de doble autenticación al momento de ingresar a la red corporativa, el uso de redes privadas virtuales (VPN) y el mantener la información encriptada todo el tiempo son algunas de las recomendaciones más efectivas.
Conversando con el CIO de una reconocida empresa de manufactura venezolana –que no quiso declarar abiertamente— confesó que una de las vulnerabilidades que más preocupan a las empresas de su área son aún los viejos sistemas de control de maquinarias, que están generalmente conectadas a la red interna de la empresa y por ende, a un paso de la Internet. Sin embargo al preguntarle sobre el impacto de los hábitos de los usuarios se vio forzado a aceptar que “ellos son los que causan los mayores problemas, especialmente cuando conectan los equipos que traen de su casa”. La preocupación del CIO por el negocio es clara, intentando proteger la infraestructura de producción, pero a la larga su mayor problema han sido los usuarios poco conscientes.
Otro aspecto que influye notablemente sobre la seguridad es la dificultad para adquirir nuevas tecnologías que tienen algunos mercados de la región como Venezuela y Argentina que experimentan controles de convertibilidad de moneda que no solo limitan la disponibilidad de equipos, sino que también terminan inflando los precios de los mismos y frenando las actualizaciones de sistemas operativos y software en general.
Denise Giusto, Investigador de seguridad de Eset Latinoamérica, destaca que de acuerdo a las cifras recolectadas por el Laboratorio de Investigación de ESET para la región, durante 2014 se registró un incremento de 65% más vulnerabilidades a los equipos en comparación a hace 5 años. “En lugar de reducirse los índices de debilidades en los sistemas con el paso del tiempo y el avance de la tecnología, está sucediendo todo lo contrario porque los usuarios no están haciendo uso correcto de los aplicativos de seguridad”, explicó. Otra explicación posible es que equipos antiguos equipados con sistemas operativos caducos, como Windows XP que ya no cuenta con soporte, así como el uso de antivirus gratuitos, en lugar de soluciones de seguridad completas, que contemplan otras aristas del problema.
Giusto es enfática al señalar que “el primer rasgo de un empleado seguro es estar consciente de la seguridad y abogar porque su empresa cuente con los recursos necesarios para desarrollar políticas de seguridad adecuadas” afirma la investigadora, que señala que en muchas empresas las preocupaciones por la seguridad digital son menospreciadas hasta que sufren un primer incidente.
Al final, una empresa no puede ser segura si sus empleados no sienten que la seguridad sea una prioridad para la empresa, en especial los ejecutivos, que son los que terminan definiendo las grandes líneas de acción de la organización.
Por tanto la idea es, estimado usuario, que no estemos hablandodeti, ni de tu empresa, la próxima vez que desde este blog relatemos una brecha de seguridad.
