La seguridad informática de hoy es muy diferente a la del año 2000. A principios del nuevo milenio, las fronteras que existían en las organizaciones estaban muy bien delimitadas, los datos eran trasladados en discos de 3½”, CD y algunos incluso tenían quemadores de DVD; la mayoría los celulares eran equipos solo para llamadas telefónicas y mensajes de texto; un “ladrillo” llamado BlackBerry iniciaba su auge como oficina remota y las conexiones típicas en las casas eran de 256 Kbps con un incipiente y caro DSL asimétrico.

El panorama a once años del cambio de milenio, tomando el inicio en 2001, se ha transformado totalmente. Los seres humanos vivimos en una era diferente donde los datos viajan a velocidades cincuenta veces más rápido, se almacenan en cantidades impensables en la época del error Y2K y, sobre todo, en dispositivos más y más pequeños.

El exceso de información con el que vivimos hace que cualquier equipo en la red “deba” por defecto tener algún tipo de acceso a Internet y hoy es inimaginable una compañía que no tenga un servicio, propaganda o flujo de comunicación que viaje a través de redes públicas o privadas. Por otro lado, las computadoras caseras están conectadas a Internet desde el mismo momento en que son encendidas, algo comprensible para los que nos dedicamos a esta profesión pero muchas veces pasado por alto por la mayoría de la población.

Y todo esto, ¿qué tiene que ver con el título que ofrezco al lector? Mi objetivo inicial es sensibilizar en cómo ha cambiado el punto de vista de ubicación de la información y conectividad. Hace 10 años, era estática y con dificultad para moverse. Hoy la información viaja entre redes públicas y privadas, dispositivos y redes celulares con poco control. Mi artículo anterior versó sobre DLP y no es la intención en este de entrar en detalles respecto a la solución; ahora el foco es recalcar que las amenazas provienen de donde sea, lo cual brinda amplia ventaja a los atacantes.

Los ataques en los que quiero hacer hincapié son aquellos en los que se usan equipos personales “de quien sea” (literalmente hablando). Mucha gente ha oído hablar de los equipos zombies o las famosas botnets, sin embargo parece que en la industria se piensa en las botnets/zombies como equipos que se ubican en otra red y nunca se consideran en el equipo que está DENTRO de la red propia, pero lo cierto es que cualquiera, incluso «el equipo de mi abuelita», es susceptible de sufrir ataques que tomen el control de equipos personales, teléfonos inteligentes, etcétera.

Los ataques APT (advanced persistent threat) son sofisticados, perpetrados por gente experta y con un objetivo perfectamente identificado. Saben dónde atacar, por cuánto tiempo y son hábiles eliminando prácticamente cualquier traza que denote su “visita”. Los equipos zombies o botnets son herramientas básicas para sus ataques a equipos estratégicos en las organizaciones.

Considero que la protección del equipo de cómputo personal es el área más difícil de asegurar y a la vez el punto más descuidado de cualquier infraestructura. Esto obedece a que el factor humano es el siguiente eslabón en la interacción, y es donde suele romperse la cadena de seguridad. Es probable que la mayoría de la gente implemente un antivirus como la única protección, o al menos la mejor, para las computadoras personales, lo cual dista mucho de la realidad.

Muchas instituciones, sobre todo las gubernamentales, piensan que la seguridad es un tema perimetral, pero bien sabemos que dentro de cada organización hay gente que requiere accesos especiales y por ello los dispositivos de seguridad como firewalls e IPS les permiten acceso privilegiado. Las posibilidades para un incidente de seguridad son infinitas: ¿Qué información puede capturar un equipo que recibe pagos de proveedores? ¿Qué nivel de criticidad puede tener una laptop con permisos para accesos a sistemas SCADA? ¿Cuánta información “sabe” la computadora de la asistente del CEO de cualquier compañía? Y solo la asistente, ¿cuánta información se mueve entre los diferentes dispositivos de los altos ejecutivos (los llamados nivel-C)?

En otras ocasiones he mencionado que muchos ataques no tienen por objetivo vulnerar sistemas de protección como firewalls, IPS, filtrado de contenido o VPN ¿Qué mejor que inducir al usuario a que “coopere” voluntaria o involuntariamente con la instalación de un pequeño programa que permita el control remoto de su equipo o que sea su equipo el que envíe la información necesaria para perpetrar un ataque mayor: contraseñas, navegación, acceso remoto, denegación de servicios, esa hoja de cálculo con información confidencial, etcétera?

Peor todavía es común en el ámbito de seguridad generar políticas “permisivas” para usuarios VIP, y es exactamente este tipo de usuarios los que son objetivos frecuentes cuando de ataques persistentes se trata. Al parecer las políticas de seguridad no se alinean con la criticidad de la información que pretenden proteger.

Todo tiene sentido con la estadística que conocemos: 70% o más de los ataques provienen desde dentro de nuestras redes. Hoy más que nunca nuestras estaciones de trabajo se vuelven contra nosotros. No podemos considerar la seguridad completa si no tomamos a las estaciones de trabajo como equipos a proteger y creemos que un firewall y un IPS solucionarán todas las necesidades de seguridad de la organización.

DDoS y la computadora de la abuelita

Con la negación de servicios distribuida (DDoS) el panorama es diferente pues normalmente los ataques vienen de fuera y los atacantes tienen a su disposición cada vez más equipos caseros mal protegidos que pueden usar como zombies para atacar a otros. Anonymous se ha hecho tema común a este respecto, de todos es conocido que gustan, sobre todo, de la negación de servicios. En los ataques por invitación de organizaciones como Anonymous usualmente el móvil es hacktivismo orientado a negación de servicios, donde los involucrados publican sitios, canales IRC o hasta notas en Facebook que invitan a usar el medio para llevar a cabo el ataque. Así consiguen que que cualquiera con una conexión DSL o incluso en un café Internet, use la herramienta de ataque y “apoye” en el mismo.

Pero si no se quiere confiar en los voluntarios, ¿qué pasa si infectamos, digamos, 100 equipos con conexión DSL, para enviar un ataque volumétrico de negación de servicios? Haciendo aritmética simple, a un promedio de 512 Kbps, estamos hablando de 50 Mbps de tráfico, suficiente para poner de rodillas a muchas organizaciones ¿Qué pasa si las  computadoras atacantes mandan solicitudes de archivos como PDF, videos o simplemente autenticación en una base de datos? El volumen puede variar y tal vez no logre saturar el ancho de banda, pero probablemente sí la aplicación. Los ataques son usualmente sencillos, la idea es multiplicarlos por muchos y a veces incluso apalancarse con protocolos permisivos (ejemplo: ataque de amplificación de DNS).

¿Y cómo es que la computadora de la abuelita termina siendo parte de un ataque APT o de DDoS? Hay muchas maneras igualmente sencillas, por ejemplo, una liga de Facebook mostrando “un evento político”, un malware instalado en una página comprometida, un disco pirata con malware incluido, un USB infectado, etcétera. Todo lo que requiere el atacante es esperar poco tiempo. En las organizaciones puede haber controles como firewalls, sistema para prevenir fuga de información, control de conexiones de equipos y muchos más pero, ¿en casa habrá algo? Muchas veces no.

¿Qué hacer?

El mensaje a las organizaciones es directo: no hay que perder de vista que las estaciones de trabajo deben ser consideradas en su justa dimensión. Así como se hace una segregación de funciones con empleados y servidores, también debe haberlo a nivel sistemas y equipos personales. Usualmente en las empresas se definen zonas desmilitarizadas (DMZ por sus siglas en inglés) para proteger servidores pero los usuarios suelen quedar en un mismo segmento. Basta que un empleado falle en el seguimiento de la política de seguridad para que un atacante “salte” entre equipos hasta llegar a uno relevante para el objetivo del ataque.

No se debe dejar de evaluar el nivel de riesgo que manejan los equipos personales. Se necesita generar conciencia para que los empleados se concienticen de que la seguridad es un tema serio y sepan que a partir de sus equipos se puede obtener información en detrimento de la organización. Hay que considerar especialmente a aquellos que tienen privilegios adicionales por requerimientos del negocio o de la operación, y segregarlos conforme sea necesario.

Un antivirus no basta; la estrategia de seguridad debe ir alineada con el riesgo al que están expuestos sus activos. No conviene tratar a todos los usuarios como iguales; los usuarios VIP deben tener políticas VIP, es ahí donde está la información relevante que los atacantes buscan y por ello deben ser especialmente cuidados. En este aspecto se percibe un cambio de paradigma, pero todavía falta mucho por hacer.

En el caso de la denegación de servicios, últimamente ha ido a la cabeza el tema de protección en la nube. Hoy los proveedores de servicios de Internet están tomando las medidas de seguridad para proteger a sus clientes, pero estas soluciones van desarrollándose e implementándose a medida que Anonymous o similares hacen de las suyas (Anonymous publicó en febrero de 2012 que todos los viernes estará atacando y no dice hasta cuándo dejará de hacerlo). Una buena protección requiere de un monitoreo eficiente y una detección a tiempo, lo que convierte al proveedor de Internet en un socio de negocios y en una extensión de la seguridad en temas de disponibilidad.

Otra manera de evitar una denegación de servicio es efectuar periódicamente un análisis de capacidad. No siempre es culpa de Anonymous o quien el lector mande: la capacidad de cómputo es parte integral de la disponibilidad y, como tal, deben existir medidas que la empresa implemente para que no sea su propia operación la que cause una denegación de servicios. En este mundo de las computadoras, cualquier detalle cuenta.

Para terminar, y a raíz de que recordé que en el mantenimiento de la certificación CISSP hay maneras de obtener puntos haciendo “altruismo en seguridad” ¿Por qué no considerar apoyar a la “abuelita” y brindarle un servicio de limpieza de su computadora cada año? De esta manera la protegemos y protegemos un poco nuestra propia empresa. Es muy probable que ISC2 no tome estas acciones como puntos, pero no deberíamos dejar de hacerlo. La idea es ayudar a quienes no conocen, no quieren o no deben conocer de estos temas.

[email protected]