Llegamos a ustedes gracias a:



Reportajes y análisis

Los días de la seguridad de ESET

[08/09/2015] La semana pasada se realizó en Lima el evento Security Days 2015, realizado por ESET por quinto año consecutivo en la ciudad de Lima; en la reunión, la firma especializada en seguridad de la información mostró las amenazas que más frecuentemente tienen que enfrentar las organizaciones. Para ello las dividió en tres grandes grupos: Explotación de vulnerabilidades, códigos maliciosos e ingeniería social.

Por supuesto, junto con las amenazas también ofreció información sobre las herramientas de las que dispone para hacerles frente, además de un ameno conversatorio entre tres especialistas locales y una presentación de la experiencia de una organización local.

Camilo Gutiérrez, security researcher de ESET América Latina.
Eset, Camilo Gutierez
Los tres tipos de incidentes a la seguridad.

De acuerdo a Camilo Gutiérrez, security researcher de ESET América Latina, podemos agrupar a las amenazas a la seguridad en tres grandes bloques. El primero de ellos corresponde a la explotación de las vulnerabilidades.

El ejecutivo sostuvo que las vulnerabilidades han tenido un perfil alto desde hace algún tiempo. Todos recuerdan los nombres de algunas de las vulnerabilidades más conocidas, como Heartbleed, Poodle o Shellshock. De hecho, aunque estos nombres resonaron bastante durante el 2014 fueron más de siete mil las vulnerabilidades que se reportaron durante este año. Haciendo las cuentas esa cifra implica casi 20 vulnerabilidades que se reportaron por día.

Los sistemas operativos fueron bastante afectados por las vulnerabilidades. Y, sorprendentemente, fue el sistema Mac OS el que más vulnerabilidades reportadas presentó durante el 2014, 147 en total, de las cuales se pueden considerar críticas -es decir, que toman el control del dispositivo infectado- el 40% de ellas, aproximadamente.

Luego, le sigue su hermano menor, iOS, con 127 vulnerabilidades reportadas, seguido por Linux y Windows. Todos los presentes pensábamos que el sistema con mayor número de vulnerabilidades sería Android, pero nos equivocamos. Este sistema apenas ha reportado seis vulnerabilidades durante el periodo, y a pesar de ello la cifra no es como para alegrarse.

La curiosa y pequeña cantidad de vulnerabilidades reportadas se debe a que Android es un sistema abierto que permite a una aplicación tomar el control de varios elementos del dispositivo, algo que generalmente los usuarios no revisamos al momento de instalar la aplicación. Con tal apertura, dijo el especialista, no es necesario explotar una vulnerabilidad, Android está lo suficientemente abierto como para entrar sin hacer ese esfuerzo.

La otra sorpresa fue Windows. Los asistentes esperaban ver al sistema en una posición más elevada entre los que más vulnerabilidades tienen, pero aquí la explicación va por el lado de las varias versiones que existen del sistema operativo. En total se han encontrado 70 vulnerabilidades, pero éstas se repiten en varias oportunidades en las diferentes versiones del sistema operativo.

Estas cifras no hacen sino indicarnos que todos los sistemas tienen vulnerabilidades reportadas, y el que uno tenga más que el otro no implica que sea menos seguro. Eso se puede ver al momento de observar cuál sistema tiene más vulnerabilidades realmente explotadas (no solo reportadas, pues éstas se pudieron corregir).

En el caso de las aplicaciones, la aplicación (o tipo de aplicación) más vulnerable es el navegador.

Y de entre todos los navegadores, el que más vulnerabilidades ha reportado es Internet Explorer. En este navegador, en sus diferentes versiones, se han hallado 190 vulnerabilidades durante el periodo (2014), 90% de ellas fueron consideradas críticas. Esta cifra es preocupante si se toma en cuenta que IE -sumando todas sus versiones- es el navegador más utilizado (60%), y que incluso hasta ahora se siguen utilizando las versiones 8 y 9 (20%) que son las más antiguas y las más vulnerables.

¿Qué se puede hacer ante esto? Implementar adecuadas políticas de gestión de los dispositivos; actualizar los servicios, los dispositivos, las aplicaciones y los sistemas operativos; realizar una revisión periódica de las vulnerabilidades; utilizar el doble factor de autenticación; e implementar una buena solución de seguridad.

El segundo tipo de incidente de seguridad es el perpetrado por los códigos maliciosos.

Los paradójico del malware, es decir, los códigos maliciosos, es que este problema ya lleva mucho tiempo entre la comunidad y se mantiene vigente. De acuerdo, el ESET Security Report 2015, la preocupación por el malware es inversamente proporcional al tamaño de la empresa; o sea, son las empresas más pequeñas las que más se preocupan de él, aunque las cifras no se alejan mucho entre los diversos tamaños de firmas.

Para el 63% de las firmas pequeñas el malware es una preocupación, este mismo sentimiento se puede apreciar en el 61% de las empresas medianas y en el 57% de las empresas grandes.

En general, sostuvo Gutiérrez, se puede identificar tres características en el código malicioso: Existe una gran variedad de opciones de propagación, existen muchos tipos de código malicioso, y ya existe una industria formada en torno a la fabricación y propagación del código malicioso.

Con estas características no es de extrañar que el 51% de las empresas pequeñas de América Latina haya sufrido alguna infección por malware, la cifra baja a 47% en el caso de las empresas medianas y a 40% en el caso de las firmas de gran tamaño.

Lo que se puede hacer para combatir este segundo tipo de amenaza a la seguridad es educar a los usuarios; proteger los endpoints; proteger el servidor de correo electrónico; instaurar políticas de gestión de las aplicaciones; y monitorear el tráfico de la red.

Finalmente, el tercer tipo de amenaza es la realizada por la ingeniería social. Esta forma de amenaza básicamente apela a la curiosidad de los usuarios; la clave para el atacante es generar la suficiente curiosidad de parte de un usuario como para que éste le entregue la llave para acceder a sus datos. Así de simple.

En términos generales, el 40% de las empresas se preocupan de que les llegue un ataque de phishing una de las formas más usuales de ingeniería social. Y su preocupación no es descabellada. Se estima que tan solo en el segundo semestre del año pasado se desarrollaron alrededor de 12.300 campañas de phishing.

Lamentablemente, no es la única herramienta de ingeniería social. Recientemente se ha popularizado una forma más escalofriante de amenaza para los usuarios. Si antes las amenazas y los ataques buscaban pasar desapercibidos para poder apropiarse de la mayor cantidad de información posible, el ransomware hace todo lo contrario. Este tipo de técnica, utilizando herramientas de ingeniería social, busca darse a conocer al usuario afectado y ha logrado su cometido, es decir, secuestrar la información del usuario.

Este secuestro se realiza a través del cifrado de la información que el usuario tiene en el disco de su computadora. Una vez que esta amenaza ha logrado su cometido genera un pantallazo que indica al usuario que su información ha sido cifrada, y que si desea volver a acceder a ella tiene que pagar una suma de dinero al hacker.

Gutiérrez nos mostró la pantalla que aparece ante el desdichado usuario que ha tenido la mala fortuna de quedar atrapado en una trampa de ransomware. La pantalla pertenece a la variante CTB-Locker que el usuario puede leer en seis idiomas diferentes. Le indica al usuario que sus archivos han sido cifrados y que si desea acceder a ellos tendrá que comprar la llave al hacker.

El especialista sostuvo que este tipo de ataques son devastadores si uno no cuenta con una copia de seguridad actualizada de sus datos pues dado que los hackers han venido sofisticando sus técnicas, es prácticamente imposible descifrar los datos. La pantalla muestra los archivos que han sido cifrados y el tiempo que tiene el usuario (96 horas en el caso de la demo que se presentó) para realizar el pago -en un contador en retroceso al más puro estilo de una película de terror- antes de que ya no pueda hacer nada.

Para causar una mayor impresión, el atacante le concede al usuario la gracia de descifrar hasta cinco archivos de su elección -gratis- para que se cerciore de que la amenaza va en serio y que la solución puede ser un sencillo pago.

Sin embargo, Gutiérrez indica que nada asegura que el atacante cumpla con su palabra. Es un delincuente, hay que recordar. A pesar de ello, se estima que el 1% de los que son víctimas de ransomware pagan el rescate de sus datos.

Para luchar contra este tipo de amenazas el especialista aconsejó realizar copias de respaldo de la información, clasificar la información de acuerdo a su importancia, cifrar la información, educar a los usuarios e instalar una solución de seguridad.

La arquitectura de la seguridad

Miguel Tejada, subgerente de Servicios de Tecnologías de Información de la Gerencia de Tecnologías de Información del Banco Central de Reserva del Perú, fue el invitado local que explicó la forma en que desarrolla seguridad al interior de su organización.

Tejada explicó que todo se debe basar en el claro conocimiento de los elementos que conforman la seguridad de la información. Para ello se debe contar con una política de seguridad de la información que tenga por objetivo proteger la confidencialidad, integridad y disponibilidad de la información al usar, ceder o administrar activos de información.

La política también debe implementar un Sistema de Gestión de la Seguridad de la Información alineado con el estándar ISO 27001:2014 para procesos críticos.

Organizacionalmente, se debe identificar tres grupos: el grupo de seguimiento y mejora, el grupo coordinador de la seguridad de la información y el grupo de las gerencias propietarias de los activos de información.

La política de seguridad de la información se desarrolla en varios dominios, y en cada uno de ellos se puede identificar tareas que se deben realizar. Por ejemplo, en el campo de los recursos humanos la política debe asegurar los niveles de acceso que tienen los trabajadores a la información antes, durante y al cese del empleo. En el control de acceso se debe administrar perfiles y gestionar contraseñas; en la seguridad de las comunicaciones debe establecer acuerdos de confidencialidad; mientras que en la continuidad del negocio debe crear planes de contingencia y de continuidad.

Tejada también sostuvo que es necesario generar normas específicas para la seguridad informática. Así, se debe crear procedimientos de autorización para el uso de equipos y servicios TI, recomendaciones para el uso seguro de equipos TI, procedimientos para la conexión y traslado de los equipos TI, activación de conexiones Wi-Fi, recomendaciones para la impresión de documentos, procedimientos para las llamadas de larga distancia, recomendaciones para el uso del correo electrónico, recomendaciones para el uso de Internet, recomendaciones para el uso de discos duros externos y USB, y control de acceso a las bases de datos autorizadas.

El panel

Luego de su presentación, Tejada también participó en un panel en el que daría su punto de vista sobre la gestión de las vulnerabilidades junto con Walter Cuestas, reconocido hacker ético local; y César Vílchez, director de la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI).

Tejada sostuvo que el análisis de vulnerabilidades, el hackeo ético, es importante. La idea es que especialistas detecten las vulnerabilidades de los sistemas de una organización, y que se pueda confeccionar un análisis de los riesgos y un PTR (plan de tratamiento de riesgos).

Luego se tiene que realizar un trabajo extenso para levantar las vulnerabilidades, lo que normalmente quiere decir poner al día los sistemas operativos, colocar parches o ver los problemas de las aplicaciones web que podrían ser vulnerables, de acuerdo a las normas.

Por norma, indicó Tejada, se debe realizar cada dos años un análisis de vulnerabilidades pero es mejor hacerlo anualmente. El funcionario indicó que recientemente habían realizado un hackeo ético en su institución en las aplicaciones y en la infraestructura.

Por su parte, Vílchez afirmó que cuentan con un equipo de respuesta ante emergencias informáticas (CERT, por sus siglas en inglés) con el que se realiza un trabajo permanente de localización de las posibles vulnerabilidades que pueden existir tanto al interior de las instituciones públicas del Estado como también de organizaciones cooperantes con el CERT como la Asociación de Bancos -con el que trabaja de cerca- y otros CERT de América Latina, en el marco de la cooperación establecida a través de la Organización de Estados Americanos.

El Estado viene trabajando el tema de la seguridad formalmente desde el año 2004 y se trata de ser, en lo posible, proactivo en el trabajo de seguridad aunque manteniendo un perfil bajo. La ONGEI, ante una posible alerta y a solicitud de las entidades públicas, realiza un análisis de vulnerabilidades para mitigar el posible riesgo, un trabajo que es permanente, durante las 24 horas de los 365 días del año.

Por su parte, Cuestas indicó que es necesario definir la periodicidad en el análisis de las vulnerabilidades o pruebas de penetración, pero lamentablemente no hay un estándar que sea adecuado para todo tipo de organización. De hecho, el único estándar que establece una periodicidad es el de PCI cuyo ámbito es el de las tarjetas de crédito, y que detalla que se tiene que hacer cuatro análisis de vulnerabilidades y dos pruebas de penetración al año.

Además, no es sencillo para las organizaciones conseguir este tipo de objetivos, y uno de los más grandes inhibidores es que no es fácil contratar los servicios. Más allá de la existencia de los proveedores, la contratación no es sencilla ni por parte del Estado o del sector privado.

Este punto ha hecho que el estándar PCI admita que las pruebas puedan ser realizadas por personal interno de las compañías, lo que conlleva que ahora es también necesario ofrecer capacitación a este personal y que organizativamente sus miembros no pertenezcan a un área de TI sino de auditoría o seguridad de la información.

Por ello, el tema no es tan sencillo de tratar, pero de alguna manera los estándares lo van habilitando, indicó Cuestas.

María Gellida, channel manager de ESET Latinoamérica.
María Gellida, ESET Latinoamérica
Las soluciones

Luego de mostrar todo el escenario que se ha configurado gracias -o por culpa de- las amenazas a la seguridad, era necesario mostrar las soluciones. Y para ello se contó con la exposición de María Gellida, channel manager de ESET Latinoamérica, quien luego de dar un repaso por lo expuesto ofreció información de las alternativas que ofrece ESET.

En el campo de los servicios presentó dos de ellos. El primero fue el análisis de vulnerabilidades y prueba de penetración; y el segundo fue el análisis de GAP de la norma 27001.

En cuanto a la educación, ESET proporciona gestión de la seguridad corporativa, análisis de malware, implementación de ISO 27001 y jornadas de awareness. Además de soluciones para el doble factor de autenticación, cifrado y backup.

Y si se habla de productos específicos para el malware, Gellida presentó tecnologías específicas como el Vulnerability Shield, Exploit Blocker, Advanced Heuristics y Advanced Memory Scanner, además de la Botnet Protection.

Jose Antonio Trujillo, CIO Perú