Llegamos a ustedes gracias a:



Reportajes y análisis

¿Quiere reducir el riesgo? Baje el ROI de los hackers

[28/04/2014] El hacking ya no es solo un juego de adolescentes conocedores de la tecnología en busca de los derechos para fanfarronear. Es un negocio con fines de lucro -un negocio muy grande. Sí, se emplea para el espionaje industrial y político, el activismo ("hacktivismo") o incluso actos de guerra cibernética, pero la mayoría de los que están en esto, lo hacen por dinero.
Por lo tanto, los expertos en seguridad señalan que una buena manera de que las empresas reduzcan su riesgo, es disminuyendo el retorno de la inversión (ROI) de los hackers, haciéndose más caros y requiriendo mucho tiempo para ser hackeados, y por lo tanto volviéndose un objetivo menos tentador. Esto se parece algo al chiste sobre los dos tipos que huyen de un león hambriento. "Yo no tengo que correr más rápido que él", dice uno al otro". Solo tengo que correr más rápido que tú".
Por supuesto, esto solo se aplica a los ataques de amplia base que buscan objetivos de oportunidad -no a un ataque enfocado en una empresa determinada. En esos casos, ser un poco más seguro que otros es generalmente suficiente.
David Meltzer hizo este argumento recientemente en un post sobre Tripwire. "¿Cómo detener a un atacante inteligente? Simple: reducir su retorno de la inversión para hacer que tratar de vulnerarlo a usted sea fiscalmente irresponsable".
Ese es el consenso de otros expertos. "Si hace que sea más difícil y menos recompensado para un atacante sin objetivo específico y financieramente motivado, él o ella probablemente se moverá a un punto más fácil, señala Deena Coffman , directora general de IDT911 Consulting.
Bob West, director de confianza en CipherCloud, está de acuerdo. "La comercialización de la delincuencia informática en la última década ha elevado el ROI como un factor muy importante en muchos ataques", anota.
Lo mismo comenta Bogdan "Bob" Botezatu, analista senior de e-amenazas en Bitdefender. "Los hackers comerciales no patrocinados por el estado usualmente intentan conseguir el máximo provecho con mínimos montos de dinero, señala. Cuanto más difícil sea el ataque, menos interesados están".
Eso, por supuesto, plantea la pregunta obvia: ¿Qué, específicamente, deben hacer las empresas para hacerse blancos menos tentadores, sobre todo porque es más barato que nunca lanzar ataques de amplia base?
A pesar de que es caro, consume tiempo y demanda grandes habilidades lanzar un ataque sofisticado a un solo objetivo, el mercado de la llamada Web Oscura ofrece apps de software que los ladrones menos calificados pueden comprar por poco dinero y usar para atacar compañías que dejan sus redes expuestas o tienen una sola capa de seguridad, señala Coffman.
Hay consenso en que una empresa debe empezar por evaluar sus activos en base a lo que el atacante podría encontrar atractivo. Pero hay diferencias entre los expertos acerca de su valor. La mayoría coincide en que el valor de los datos de las tarjetas de crédito disminuye rápidamente -tan pronto como se conoce la vulnerabilidad, las tarjetas son destruidas y reemplazadas.
Russ Spitler, vicepresidente de estrategia de producto de AlienVault, dijo que las tarjetas de crédito "son fáciles de robar, pero en realidad bastante difíciles de convertir en dinero a gran escala, debido a la detección de fraudes que los proveedores de tarjetas han desarrollado. Pero, añade que las tarjetas de crédito siguen siendo un activo valioso para las empresas, "y el más fácil de vender".
Él cree que las listas de correo electrónico tienen mucho menos valor. "Ellos realmente requieren volúmenes muy altos para revender. Las listas de correo electrónico son prácticamente gratuitas en estos días", añade.
Pero no todos sus colegas están de acuerdo. Botezatu señala que los correos electrónicos de los clientes, "son la base de cualquier negocio. Son vendidos o arrendados en foros clandestinos por una cantidad específica de dinero. A menudo se venden a varios delincuentes cibernéticos, por lo que el beneficio, aunque sea pequeño, es constante".
Y Coffman agreha que las direcciones de correo electrónico son valiosas porque "ahora se utilizan como nombre de cuenta. Una vez que un atacante tiene una cuenta de correo electrónico, ésta se puede utilizar para restablecer el acceso a todas las demás cuentas que utilizan esa dirección de correo. Si, a continuación, su banco le enviará su nueva contraseña a su cuenta de correo electrónico, acceder a su cuenta de correo electrónico es similar tener acceso a su cuenta bancaria.
El código fuente es otro activo que genera opiniones encontradas. Coffman describe su valor como "muy alto, ya que los atacantes ahora saben cómo poner en peligro la aplicación de una manera poco probable de ser detectada".
Pero Meltzer afirma que la protección de código fuente no es dinero bien gastado, ya que el mismo código fuente esencialmente se distribuye a todos sus clientes de todos modos. ¿Por qué molestarse en irrumpir en la empresa para robar el producto fuente cuando es mucho más barato y más fácil ir y comprarlo?".
Spitler estuvo de acuerdo con Coffman en que el código fuente puede ser, "un recurso para ser utilizado en el desarrollo de futuros ataques contra la compañía u otros usuarios del software". Pero él dijo que no suele ser un objetivo en un ataque de amplia base con fines solo de lucro porque "es muy difícil de revender".
Dijo que lo mismo es cierto para la propiedad intelectual de las empresas (IP), la cual tiene "un conjunto muy limitado de compradores -los competidores de la empresa-, por lo que cuando se le apunta es probable que haya un estado-nación o un esfuerzo enfocado patrocinado por un comprador pre-determinado de los datos".
Coffman añade los números de Seguro Social  puede ser de enorme valor "porque todavía estamos utilizándolos como un medio para la verificación de identidad. Una vez que alguien tiene su nombre, dirección y fecha de nacimiento, que se obtienen fácilmente, puede, con su número de Seguro Social, asumir su identidad y obtener crédito, ser arrestado, obtener un procedimiento médico por su seguro, etc., y causar estragos en su vida, para el resto de sus días".
Cualquiera que sea el valor de distintos activos de una empresa, las formas de mejorar su seguridad no son necesariamente complejas o costosas. Meltzer recomendó la descentralización de ellos, de modo que no estén todos en un solo lugar.
Coffman coincide, añadiendo que deben ser protegidos con cifrado de alta seguridad -algo que Bob West, director de confianza en CipherCloud, señala que reducirá efectivamente el ROI de un atacante. Incluso en el caso de una violación, anota, será costoso y requiere mucho tiempo convertir a su estado normal los datos valiosos que se han cifrado fuertemente.
Una de las formas aparentemente más sencillas de reducir el retorno de la inversión de los atacantes es mantener el software actualizado. Los Laboratorios Sophos informaron recientemente que "el 91% de los documentos de trampas explosivas en nuestros informes de enero y febrero 2014 se habría neutralizado por solo dos parches de Microsoft, emitidos hace dos y cuatro años".
Los expertos son unánimes en decir que las empresas tienen que instalar los parches de inmediato. Pero Botezatu dijo que no siempre es tan sencillo para ellos como lo es para el individuo la descarga de un arreglo para una laptop.
"Las empresas son conocidas por su lento ciclo de parches -anota- pero esto es sobre todo debido a que tienen que sacar las máquinas de producción, lo que significa tiempo de inactividad y, de manera implícita, pérdida de dinero.
"Otra razón para no actualizar es que algunas aplicaciones hechas a medida para una empresa solo funcionan en una configuración específica, como por ejemplo Internet Explorer 6. Una actualización rompería las herramientas y reescribirlas podría ser demasiado costoso para la empresa".
En general, sin embargo, el consenso es que las medidas básicas de seguridad rigurosas, mantendrán a una empresa por delante del resto. "Ahora las organizaciones tienen que centrarse más en la restricción del acceso para elevar la barra, señala Yo Delmar, vicepresidente de MetricStream. "Eso significa una defensa bien pensada y una estrategia en profundidad con un monitoreo continuo".
Coffman recomienda tener una empresa externa, "escanear regularmente en busca de 'puertas abiertas' en la red que la hagan un blanco fácil para la mayoría de los ladrones potenciales de datos que solo están utilizando herramientas de bajo costo para capturar la gacela más lenta del rebaño".
Taylor Armerding, CSO (EE.UU.)