En los últimos días hemos visto problemas de seguridad en empresas tan diversas que aparentemente cualquier corporación será vulnerada. Tenemos los ejemplos de RSA, Gawker y PlayStation Network:

Gawker es una empresa que se dedica a proveer información en línea tipo blogs, y es una compañía reconocida en los Estados Unidos para publicación de notas, usualmente farándula, tecnología (a través de Gizmodo) y personajes públicos. En diciembre de 2010, el código fuente y las más de 1 millón de cuentas fueron extraídos por un grupo de hackers llamados Gnosis. El peligro no
radica en la información que Gawker publica (como Gnosis indicó), sino en los correos registrados y su relación con otros sitios, como sociales o banca electrónica. Muchas de las cuentas registradas tenían contraseñas débiles, las cuales fueron probadas con el popular programa John The Ripper y usadas en las cuentas de correo electrónico asociadas, teniendo acceso a los buzones de las cuentas vulnerables.

RSA sufrió una fuga de información confidencial respecto al modo de operación de su popular solución de Tokens RSA SecurID en marzo de 2011. Esto provocó que RSA lanzara un comunicado donde indicaba que fueron el objetivo de un ataque APT (amenaza persistente avanzada, por sus siglas en inglés), sin declarar qué vectores pudieron ser usados para el ataque. RSA es conocido también por sus contribuciones en investigación, seguridad de gobierno y el algoritmo de cifrado RSA ideado por sus fundadores.

El peligro en este caso no fue solo conocer cómo opera el producto SecurID, sino el golpe de imagen, pérdida de confianza en el producto y una sensación de vulnerabilidad, ya que los propios vendedores de seguridad han sufrido ataques; RSA SecurID domina el mercado de factor de doble autenticación. Barracuda Networks sufrió un ataque similar justo durante una ventana de mantenimiento a uno de sus firewalls, lo cual despertó muchas dudas respecto a la coincidencia de las acciones, y en este ataque se obtuvo información de clientes. En el ámbito de seguridad, los propios vendedores intentan minimizar sus fallas a través de mensajes de mercadeo, por lo que suelen no proveer la suficiente información y solución en tiempo para apoyar a sus clientes.

Durante la revisión del documento, Lockheed Martin, uno de los máximos proveedores en la milicia de los Estados Unidos, fue objeto de un ataque a partir de accesos controlados por el producto SecurID. Esto puede suponer un ataque dirigido (ciberwarfare) hacia inteligencia militar.

El caso de PlayStation Network (PSN) causó mucho revuelo puesto que se pudieron obtener 77 millones de cuentas a nivel mundial con, al parecer, toda la información personal – contacto, dirección, teléfono, contraseña, correo electrónico asociado, y posiblemente datos de la tarjeta de crédito asociada. Numerosas publicaciones cuestionaron el proceder de Sony, debido a que no presentó un comunicado inmediato, a que parecía no estar comprometido con PCI, y a la falta de un CISO que pudiera implementar más y mejores controles en la red. El impacto fue significativo: PSN estuvo fuera por tres semanas, por lo que sobra indicar que hubo una importante pérdida económica.

.

Evolución en los ataques

Tomé estos tres casos porque tenemos diferentes tipos de compañía bajo ataque con negocios totalmente diferentes entre sí. Hace cuestión de cinco años era común tener gusanos que se esparcían por la red atacando vulnerabilidades (Code Red II, Slammer, Sasser). Parecía que lo divertido era interrumpir las operaciones de la red o del negocio. No había un objetivo en específico, adicional al de conseguir replicar el código lo más rápido posible (con algunas consecuencias), y demostrar vulnerabilidades a los vendedores.

Con el boom de la Web 2.0, contenidos dinámicos y proliferación de aplicaciones para el mundo en general, los autores de malware vieron una mejor utilidad en los códigos maliciosos que generaban. En 2006 observamos cómo empezaron a tomar fuerza los ataques de phishing, scams, pharming, entre otros.

A la par de estos temas, las redes sociales empezaron a emerger para conectar a muchas personas, incluso con aquellas con las que se perdió contacto. El uso indiscriminado de las redes sociales, la cercanía con la información y una Web más dinámica fueron una mezcla determinante que los creadores de malware aprovecharon eficazmente. El código malicioso empezó a ser más dirigido, más liviano, más compacto y más escurridizo; veamos por qué:

  • Más dirigido: Arroja más valor entender a quién se quiere infectar y por qué, que simplemente enviar código malicioso hacia Internet, del cual 99% será bloqueado por equipos de seguridad. Si queremos infectar a un director de finanzas de una compañía, podríamos conseguirlo de muchas maneras y la “recompensa” puede ser mucho mayor.

.

 
Costo por intrusión (dólares americanos por
registro)

2008

225

2009

214

2010

318

Fuente: Ponemon

.

  • Más liviano: Codificar es un arte, y parte de ello tiene que ver con el rendimiento de la máquina. Si tenemos un equipo cuyo rendimiento se ve afectado (memoria, carga de programas, espacio en disco, entre otros efectos), cualquier usuario puede
    sentir que algo está mal y hablarle a soporte técnico, cuando lo que se quiere es que el código malicioso permanezca indetectable.
  • Más compacto: No se emplearán 200 mil líneas de código si con 50 se gana el control de la máquina, o se obtiene la contraseña, o se redirige al usuario a una página ficticia.
  • Más escurridizo: No se quiere que se sepa que detrás de un Tetris hay un backdoor. No se quiere que se le realice ingeniería inversa a un código. No se quiere que se pruebe el código en ambientes “controlados”. Para ello, el malware es ofuscado, se rehúsa a correr en ambientes controlados (como debuggers o máquinas virtuales), o simplemente ejecuta cosas sin sentido si no corre en el ambiente donde debiera ejecutarse. Hoy por hoy hay malware que se ejecuta por un periodo de tiempo y después se autodestruye (una vez conseguido el objetivo).

.

“Cyberwarfare”

Hay otro grupo de ataques que parecen ciencia ficción, la tan llamada “guerra cibernética”. A diferencia de las intrusiones comunes (como el caso de Gawker), pueden presentarse ataques sofisticados que denotan a gente con experiencia en diferentes ramos de la tecnología, se tiene el tiempo suficiente para realizar las acciones necesarias y los recursos son vastos (APT). Estos ataques no son comunes todavía, pero su daño puede ser potencialmente mundial y por lo general están ligados con naciones, organizaciones criminales o grupos políticos.

Otro peligro radical de estos ataques es que puede pasar bastante tiempo antes de que el ataque sea detectado, especialmente si las empresas o instituciones de gobierno no toman en serio los conceptos de trazabilidad y auditoría, por lo que las pérdidas reales pueden no estar identificadas.

Tenemos los casos de Google (servicio de Gmail inaccesible en China), Stuxnet (planta nuclear de Irán) o Corea del Sur (negación de servicio distribuido lanzado desde Corea del Norte). Los temas van más allá de lo técnico, y pueden entrar en otros aspectos que no competen a este artículo. Lo intrigante del caso es la realidad de que si hay intereses por un servicio en particular, y si hay dinero o poder de por medio, se estará en la mira.

La criminalidad cibernética ha existido desde que se han hecho negocios en Internet. Primero estuvo el malware mediante envío masivo, pero ahora se puede comprar en el mercado un  kit de ZeuS, programa dedicado al fraude para instituciones bancarias, por $4,000 dólares americanos. La diferencia radica en que las herramientas y la conectividad actual son cada vez mayores, por lo que los intereses y el riesgo que van de por medio crecen.

.

¿Quién ganará?

Hoy hay un mejor trabajo en cuanto a parchar vulnerabilidades (aunque nunca se acaben), los malos atacan, los buenos contraatacan, y los malos contraatacan a los buenos, y así sucesivamente.

Los autores de malware saben que su problema es la ingeniería inversa, por ello el último de los contraataques involucra la fuerza bruta. Muchos vendedores podrán enojarse pero hoy por hoy la mayor parte de la detección de este código es reactiva: se requiere una firma que identifique el comportamiento para detectar y bloquear la ejecución. Actualmente no existe un dato único de cuántas piezas diferentes de malware se generan por día, lo único seguro es que las fuentes hablan de miles. Esto afecta sobremanera la capacidad de analizar cada una de estas piezas; identificar si ya hay algún antimalware que lo prevenga puede llevar poco tiempo, desarrollar la vacuna ante una nueva amenaza supondrá más esfuerzos.

El mayor conflicto radica en lo siguiente: no siempre se detectan las brechas de seguridad, y el código malicioso hoy puede desaparecer después de haber alcanzado su objetivo. Esto hace que el análisis forense sea más complicado, y que muchas veces la brecha de seguridad persista por algún tiempo antes de que la empresa por fin identifique que ha habido un incidente.

.

¿Nadie está seguro?

Si bien los ataques hacia vulnerabilidades nunca cesarán, hoy los programas de malware están más orientados hacia personas específicas, o bien hacia grupos específicos. El objetivo es obtener ahora la información relevante, o el dinero que se quiere. Ya no se vulneran capas de seguridad a base de encontrar huecos para explotar – aunque sí quiero subrayar que no por ello se deben descuidar –, sino que se evaden todas estas capas enfocando las fuerzas en obtener los accesos que tienen los usuarios con privilegios. Es mucho más sencillo, y muchas veces más redituable. Cuando todo falla, tener un contacto interno puede hacer el trabajo (ejemplo: caso DuPont con Gary Min, donde robó 400 millones de dólares en propiedad intelectual).

Con las redes sociales y las computadoras portátiles (incluyo en este rubro a teléfonos inteligentes, tabletas, y cualquier dispositivo móvil conectado a una red), un atacante tiene más conectividad que en cualquier otra época de la joven computación, y seguirá creciendo. Se debe generar más conciencia en el usuario final, no en si hay o no virus o código malicioso, sino en despertar un sentido de alerta, de no creer todo lo que se ve, de que nada es gratis, y que deben proteger su información así como protegen su persona.

El panorama es complicado, puesto que la seguridad es percibida como un gasto, pero si sabemos que el costo promedio de una intrusión en los Estados Unidos es de 7.2 millones de dólares americanos, de acuerdo con Ponemon, podemos captar de inmediato que mejorar la seguridad en nuestras empresas es el único medio por el que podremos mitigar los impactos económicos, y que “ahorrando” esfuerzos deberemos comprar el riesgo de entrar a la estadística.

Reconocemos que nadie estará 100% seguro y que no hay una fórmula mágica contra las instituciones. Las amenazas crecen rápidamente, y la tecnología o servicios nuevos parecen no considerar la seguridad. Las empresas pueden optar por mantener una
estrategia de análisis, monitoreo y mejora continua que vea a la seguridad de una manera total.

Hay que lidiar con las vulnerabilidades y los vendedores; todos tienen áreas de oportunidad. La tarea de mitigar los riesgos cada vez es más complicada, y cuando amenazas tipo APT parecen ser más comunes, el sentido de alerta y compromiso de los encargados de la seguridad deben redoblar esfuerzos y madurar cada vez más en sus procesos.

[email protected]