Llegamos a ustedes gracias a:



Reportajes y análisis

Un mundo interconectado y amenazado

La cumbre de la seguridad de Kaspersky Lab

Kaspersky Lab

[14/08/2016] Hace unos días se desarrolló la "Cumbre Latinoamericana de Analistas de Seguridad de Kaspersky Labs en Los Cabos, México. En la reunión, la empresa de seguridad nos ofreció amplia información con respecto al panorama actual de las amenazas que tienen que enfrentar las empresas.

Durante dos días los ejecutivos de esta corporación presentaron datos sobre el panorama de las amenazas en América Latina, las amenazas a los bancos y a sus cajeros automáticos, los grupos cibercriminales de la región, las vulnerabilidades de las ciudades inteligentes, la Internet de las personas, entre otros temas.

A continuación, les ofrecemos un breve repaso sobre lo que se dijo en esos días, complementando las notas que anteriormente ya habíamos publicado sobre el evento.

Daniel Molina, director general de Mercados Estratégicos para América Latina de Kaspersky Lab.
Daniel Molina, Kaspersky
El panorama general

Kaspersky es una compañía que tiene 10 años de presencia en América Latina y en ese tiempo ha logrado crecer ostensiblemente en los diferentes mercados que conforman la región. Daniel Molina, director general de Mercados Estratégicos para América Latina de Kaspersky, explicó que este crecimiento se ha logrado gracias al trabajo que se ha realizado a través de sus socios.

Así, en la región "le estamos quitando el negocio a la competencia, señaló el ejecutivo. Y esta afirmación se basa en las cifras que pudo mostrar.

A nivel global, Kaspersky Lab mantiene un fuerte cuarto lugar y una participación de mercado de 7,3%, según IDC, al cierre del 2015. En el segmento de consumo, Kaspersky Lab es número tres con una participación de mercado de 9,2%, mientras que en el segmento corporativo es quinto, con participación de mercado de 5,4%.

En la participación de mercado en Latinoamérica, al cierre del 2015, Kaspersky Lab obtiene el primer lugar con una participación de mercado de 22,4%, de acuerdo a IDC; esta cifra representa tres veces la participación que tiene a nivel mundial. En el segmento B2C, también se mantiene el primer lugar con una participación de mercado de 28,9%, en Brasil, México y el resto de América Latina.Mientras que en el segmento B2B, alcanza el tercer lugar con una participación de 18,7%, en un mercado cada vez más segmentado, de acuerdo a IDC.

Dmitry Bestuzhev, analista de Kaspersky Lab.
Dmitry Bestuzhev, Kaspersky Lab
Las amenazas

Ciertamente, los tiempos han cambiado y fue Dmitry Bestuzhev, analista de Kaspersky Lab, quien nos ofreció una idea más pormenorizada de la situación.

El analista sostuvo que en América Latina se registró más de 398 millones de ataques de malware de agosto del 2015 a agosto del presente año; es decir, poco menos de un millón 100 mil ataques de malware por día y 12 ataques de malware por segundo.

Estos ataques se pueden dividir en dos grupos: Los que aterrizan a los equipos de los usuarios, a través de Internet, por ejemplo, mientras están navegando o recibiendo correos electrónicos; y los que llegan por fuera de Internet, a través de las redes de la compañía, puertos USB o discos. El 18% de los ataques llegaron a través de Internet; el 85% restante, llegaron por fuera de la Red.

El analista sostuvo también que el malware no es la única forma cómo los criminales pueden ganar dinero, existen aplicaciones potencialmente peligrosas como los adware.

De hecho, algunos criminales han utilizado las redes de adware para colocar anuncios que, cuando se hace clic sobre ellos, instalan un ransomware. Y muchos antivirus no lo detectan porque temen a los problemas jurídicos y las demandas que pueden tener de las compañías que se encuentran detrás de estas redes.

Los cibercriminales en America Latina aprovechan de esta situación y 20% de los ataques son adware que les hacen ganar dinero.

En cuanto a los correos electrónicos, el 57% de las amenazas que llegan a través del correo electrónico en América Latina están relacionadas de manera directa con los troyanos bancarios. Un troyano bancario está específicamente diseñado para robar el acceso a la banca en línea, a la tarjeta de crédito, su pin o a una red en la que uno puede comprar o vender.

Por otro lado, hay una amenaza creciente. Casi un tercio (uno de cada tres) de los correos recibidos en América Latina llega con el ransomware.

"No hay razón para creer que estas amenazas, de hecho, decrezcan, hay un claro convencimiento de que el ransomware va a golpear más duro a Latinoamérica. Tenemos ya hay indicios de desarrollos de ransomware local, en Brasil, indicó el analista.

Y en cuanto a qué países se encuentran más atacados por el malware en la región, Brasil es el primer país más atacado por los cibercriminales con 49,9%, le sigue Perú con 41,9%, Bolivia 41,8%, Chile 40%, México 39,9%, Colombia, 39,3%, Guatemala 37,5%, Ecuador 36,1% y Venezuela 36%.

Roberto Martínez, investigador de Seguridad de Kaspersky Lab.
Roberto Martínez, Kaspersky Lab
Las vulnerabilidades de las ciudades inteligentes

Ahora que las ciudades también dependen en gran medida de los sistemas informáticos, era de esperar que también se convirtieran en blancos de ataques de los cibercriminales. Roberto Martínez, investigador de Seguridad de Kaspersky Lab, fue el encargado de ofrecer detalles sobre la actual situación de la seguridad en las ciudades inteligentes y en la infraestructura crítica de ellas.

"A través de un ataque cibernético coordinado y ordenado se podrían inhabilitar ciertas infraestructuras críticas de una ciudad, específicamente las ciudades conectadas, sostuvo el ejecutivo.

Este tipo de ataques tiene tres etapas. La primera consiste en cerrar todos los sistemas de transporte para que la gente no se pueda transportar, aquí se incluyen el ferrocarril, aviones, puertos y metros.

La fase dos consiste en deshabilitar todos los sistemas financieros para evitar que las personas puedan acceder a su dinero; mientras que la tres consiste en deshabilitar los sistemas de los servicios públicos, es decir, gas, electricidad y comunicaciones.

Uno de los ejemplos más recordados de este tipo de ataques fue el realizado por Stuxnet, el gusano que fue dirigido a instalaciones nucleares en Irán. Sin embargo, no solo este tipo de instalaciones se pueden ver afectadas, este tipo de ataques pueden tener como blanco cualquier parte de una ciudad, sobre todo si ésta es una ciudad conectada, una ciudad inteligente.

Y no se trata solo de ciudades del Primer Mundo. Martínez sostuvo que, de hecho, el tema de las ciudades inteligentes se encuentra bastante maduro en América Latina.

"Desde el 2013 ya se perfilaban ciudades como Guadalajara y, recientemente, Santiago de Chile, Medellín y Buenos Aires como potenciales ciudades inteligentes, sostuvo el expositor.

Pero ¿qué es una ciudad inteligente? En muchos casos se habla de tecnología interconectada para mejorar los trámites o el funcionamiento de una ciudad, mientras que en otros casos se habla, más bien, de sustentabilidad; es decir, que haya un reciclado adecuado o que se manejen los recursos eficientemente. Al final, en todos los casos, lo cierto es que se están generando nuevos riesgos que pueden incrementar el nivel de exposición de los ciudadanos.

"Al final lo que se busca es una ciudad conectada, porque de esa manera nuestra vida es más sencilla, para que nosotros podamos hacer un trámite de manera simple e inmediata. Todo eso está bien, pero, como siempre hemos dicho, toda tecnología nueva trae nuevas vulnerabilidades, indicó el expositor.

El riesgo es que la mayoría de los sistemas son accesibles de forma remota, generalmente a través de Internet. Otro riesgo es que muchos de estos sistemas son obsoletos y no tienen parches, esto es una realidad palpable ya que no hay un marco de referencia que establezca requisitos de seguridad. Además, por lo general, no existen planes de respuesta ante incidentes.

"Es importante que los componentes de una ciudad inteligente cuenten con un marco de referencia para el análisis de riesgos y de respuesta ante incidentes, sostuvo.

Y otro tema interesante es que no se realizan auditorías de seguridad en la mayoría de los casos. Y esto se produce porque muchas veces se utiliza tecnologías propietarias en la que hay poca gente especializada.

Thiago Marques, analista de Seguridad de KasperskyLab.
Thiago Marques, Kaspersky
La ciberseguridad industrial

Luego de la exposición de Martínez fue el turno de Thiago Marques, analista de Seguridad de Kaspersky, quien expuso la visión de la compañía en torno a la ciberseguridad industrial.

La ciberseguridad comienza, dijo el expositor, teniendo configuraciones que sean muy completas para que se pueda tener total control. Dentro de las compañías industriales se tienen ruteadores, switches, equipos de red que son utilizados para las comunicaciones -que no solo se usan para los equipos industriales, sino también para los equipos de escritorio-; pero también componentes que son un poco más avanzados, como los controladores que realizan el control de todos los datos que salen desde las máquinas físicas.

Entonces se tiene dentro de la empresa la parte de red que podría ser utilizada para un ataque, así como también la parte industrial que contiene maquinaria que puede utilizarse también para ser objeto de ataque.

En las compañías, en la infraestructura, se encuentra en la parte inferior los dispositivos físicos conformados por la maquinaría que se usa para crear los productos de la compañía y que se encuentran conectados de alguna manera. En un segundo nivel de encuentra todo lo que corresponde al control de estos dispositivos físicos, así como el control de todo lo que está pasando ahí. El tercer nivel es aquel en donde se realizan todas las gestiones, y existe un cuarto nivel que es donde todos los gerentes van a verificar todo lo que pasa con la producción.

"Todos ellos se encuentran conectados y todos ellos pueden ser utilizados como blancos de ataque, sostuvo el expositor.

En este entorno, muchas de las compañías no están tomando las precauciones necesarias para que esto sea hecho de la mejor manera. Ello ha ocasionado que las vulnerabilidades hayan crecido en número, y lo negativo de los dispositivos industriales es que cuando se detecta una vulnerabilidad -a diferencia de lo que pasa en el mundo de consumidor o TI- no se lanzan parches para corregir la vulnerabilidad. Esto se debe a que los equipos industriales generalmente se compran de una compañía y nadie más sabe cómo funciona el equipo.

De hecho, una de las vulnerabilidades más encontradas en el 2015, fue el uso de credenciales no modificables; es decir, el usuario y la contraseña no pueden ser modificadas, ni siquiera deshabilitadas. Cualquiera que tenga acceso a la documentación va a saber el usuario y la contraseña. Es decir, se tiene un equipo que es vulnerable y que se va a quedar vulnerable.

Daniel Molina siguió con la exposición. Este ejecutivo sostuvo que una parte importante para resolver el problema es la concientización de los usuarios, ya que ellos generalmente no tienen que ver con la seguridad. "Tenemos que crear la cultura correcta en estos sistemas, enfatizó. Y eso pasa por tener "control compensatorio.

Entonces, ¿cómo protegerse? Molina sostuvo que otras compañías de seguridad intentaron utilizar los productos de seguridad que usualmente ofrecían a las empresas de TI para proteger los sistemas Scada. "Fue un fracaso, indicó Molina. Son productos distintos y diferentes personas las que toman las decisiones.

Por ello es necesaria la concientización como primer paso. Una válvula puede tener un Windows NT antiguo, y eso deben entenderlo las personas que trabajan con ese dispositivo. Y, segundo, hay que crear sistemas de software correctos para estos sistemas. Un PLC, por ejemplo, no 'habla' Windows.

"Kaspersky ha desarrollado soluciones específicamente diseñadas para sistemas industriales. Y el génesis de estas soluciones viene de todo lo que desarrollamos en móviles; pues, si se ponen a pensar, éstos son sistemas que tienen poco procesador y poca memoria, sostuvo Molina, refiriéndose al Kaspersky Industrial CyberSecurity.

La importancia de educar

Nuestra participación en el evento finalizó con la entrevista que realizamos, precisamente, a Daniel Molina, sobre el nuevo entorno de las amenazas que tienen que enfrentar las empresas en la actualidad.

"Hay que empezar a atacar el problema de manera inteligente", señaló Daniel Molina en entrevista con CIO Perú.
Daniel Molina, Kaspersky Lab
¿De qué clases de amenazas son las que más están preocupadas las empresas hoy en día?

Tristemente, lo que estamos viendo es una falta de cultura y concientización. Las amenazas más importantes que vemos hoy en día no son las que atacan 100 mil personas, son las que atacan a 10. Y encontrar esa aguja en un pajar, es un reto.

Empezamos a ver una inversión fuerte en las amenazas. Hacer una amenaza cuesta entre 100 y 200 mil dólares, y estamos viendo atacantes que hacen cuatro o cinco amenazas. ¿Quién tiene 500 mil dólares disponibles para desarrollar los virus? Éste es alguien que tiene recursos y que va a conseguir una rentabilidad mayor a su inversión. Como Kaspersky nos interesa este tema, la ciberseguridad perfecta es aquella cuando el costo de atacarme es mayor de lo que vas a conseguir en el mercado, y ahí estamos buscando que una empresa se pueda proteger por menos de esa cantidad. Si al atacante le cuesta más atacarte de lo que pueda sacar, ganamos.

Los hackers están invirtiendo más, pero ¿qué están sacando?

Cuando compras o vendes una empresa y ellos saben más de ti que tú de ellos, ésta es una ventaja competitiva que te puede costar 50-100 millones de dólares. Si alguien está dispuesto a vulnerar tu teléfono para saber qué dijiste en tu reunión, si alguien está dispuesto a vulnerar el televisor para escuchar qué dijiste en la sala de reuniones, es otro nivel. De las 315 mil amenazas, 1%, es decir, 3 mil amenazas diarias, requieren de un nivel de protección diferente y esto cambia las reglas de juego.

Nos habíamos acostumbrado, por el volumen de amenazas que había, a decir, 'consolido todo y veo las cosas importantes', eso ya no se puede hacer. Cuando se tienen amenazas en las que se invirtieron 10 o 50 millones de dólares, necesitas tener un frente capacitado para investigar. Hay que ver en estas cosas todo, hay que hacer un análisis forense exhaustivo con cada ataque. Se tiene que hacer y se está empezando a hacer.

Los competidores vendían una caja por 200 mil dólares, para cada problema. Hacían que cada nuevo problema, tuviera una nueva caja; entonces nos acostumbramos a que en seguridad cada nuevo problema tuviera una nueva caja; es decir, cada nueva amenaza tiene una nueva tecnología y cada nuevo atacante es una nueva inversión y esto no puede seguir pasando.

Hay que empezar a atacar el problema de manera inteligente. En seguridad nos hemos acostumbrado a que la gente de TI no sea la que hace los datos y use los datos, pero cuando hay un problema son los responsables. Muchas veces TI es el velador de los datos. Si nosotros podemos llevar el problema hacia la persona que hizo y usa los datos, y se le puede decir el valor de no protegerlos, sabrá si tiene que invertir o no en ellos. Por ello estamos desarrollando esa cultura con la gente de TI a través del canal, y ha sido muy difícil. Estamos acostumbrados a lidiar con gente que no entiende el valor de lo que hace.

Ahora nosotros estamos utilizando una plataforma on line que tiene 12 módulos para concientizar a las personas. Si nunca has visto un phishing y no te han explicado qué es un phishing no te pueden culpar porque caíste. Ahora hay una herramienta que no solo te enseña, sino que le da un reporte a Recursos Humanos de que tomaste el curso y aprobaste o no el examen. Entonces ya hay una manera de medir la concientización de la gente, y esta clase de desarrollos de talleres educativos, de juegos, que estamos desarrollando como Kaspersky para desarrollar esta cultura ha sido sumamente difícil.

¿Estos módulos son para el canal?

Para el usuario final, y nos causa un problema interesante porque tenemos que vender esto a Recursos Humanos y nuestro canal no habla con Recursos Humanos. Este cambio culturalmente para Kaspersky ha sido difícil y para el canal ha sido más difícil.

Hay gente inteligente que llega a las empresas y quieren hacer concientización, pero cuando en una empresa se recortan los presupuestos lo primero que se recorta es educación. Hemos tenido que ir y darles para prueba de 10 días, y se enganchan. Quieren esto para su gente porque saben que el usuario no los va a dañar a propósito, la mayoría de las veces.

¿Qué tanto ha cambiado el mercado en los 10 años de presencia que tienen?

En estos 10 años en los que Kaspersky está en la región, han cambiado las cosas. Hemos visto, un cambio radical de un virus común y corriente a una amenaza persistente, la cual está buscando monetizar y descapitalizar a los bancos, a las empresas y a las infraestructuras críticas de los países. Ya no vemos que están intentando robar un banco, ahora son amenazas que roban millones de dólares de los bancos.

Es un cambio, ya no es un atacante con un virus, ya no es un atacante buscando robarse 10 pesos de cada usuario, son atacantes dispuestos a invertir seis y nueve meses para aprender la metodología de un banco, para robarse millones.

En un futuro tenemos que desarrollar herramientas que nos permitan hacer un análisis forense para ver qué hizo el atacante, que robó y a donde envió la información.

Franca Cavassa, CIO Perú