Llegamos a ustedes gracias a:



Conversando con...

Sebastián Bortnik, analista de seguridad de ESET Latinoamérica

"Atacar a alguien en un alto cargo puede representar un beneficio económico mayor"

[01/06/2010] Hace unos días pasó por Lima Sebastián Bortnik, analista de seguridad de ESET Latinoamérica. Con él conversamos sobre las actuales amenazas que se pueden encontrar en la web, y hacia donde están yendo las técnicas de protección contras las mismas.

¿Cuales son las amenazas modernas que enfrentan las empresas y usuarios?
Dejamos de hablar de virus porque los virus eran un tipo de código malicioso que apareció a principios de los años 80, pero con el pasar de los años se empiezan a desarrollar otros tipos de códigos maliciosos. Y por otros tipos nos referimos a diferentes métodos de propagación, diferentes estrategias de engaño. Entonces aparece lo que muchos usuarios han escuchado: gusanos, troyanos, malware. Por eso, cuando hablamos de código malicioso hablamos de malware y la realidad es que los virus están desapareciendo.
Nuestras últimas mediciones, del primer trimestre de este año, nos dicen que los virus son el 3% de las detecciones que estamos haciendo hoy en día. Por eso ya no se habla más de ellos.
Las amenazas más fuerte, que tienen mayor índice de propagación son los gusanos y los troyanos, con dos vectores de ataque bastante distintos, porque los troyanos son los que explotan bastante la ingeniería social y los gusanos explotan las vulnerabilidades.
Podría decirse que son las mismas amenazas las que afectan a usuarios hogareños y usuarios corporativos, pero el impacto es muy distinto. Para las empresas hay ciertos tipos de amenazas que le representan mayor preocupación como aquellas que roban información porque tiene mucho más valor para la empresa.
¿Las empresas tienen formas distintas de defenderse?
Para las empresas hay mecanismos de defensa distinto, y no solo por las amenazas sino también por lo que hay que proteger. Las empresas pueden contar con ciertas medidas que el usuario hogareño no tiene pero son diferentes métodos porque tienen que defender una estructura más compleja. El usuario del hogar tiene que proteger una o dos máquinas. En cambio la empresa tiene que proteger distintos tipos de equipos, desde finales hasta servidores, en diferentes plataformas, en redes y topologías distintas. Lo que cambia es que hay más tecnologías para protegerse de las mismas amenazas.
Un usuario hogareño instala un antivirus y es suficiente. Una empresa debe tener un servidor desde donde administrar toda la topología porque no puede ir equipo por equipo. Este ejemplo se puede extender a otros tipos de tecnologías. Y además en la empresa tienes que gestionar la seguridad. Un usuario hogareño puede tener una buena práctica como tener una contraseña fuerte; en la empresa tenemos que tener una tecnología que fuerce a los usuarios a tener contraseñas fuertes.
Actualmente se esta extendiendo el phishing ¿es igual el phishing a un usuario hogareño que un corporativo?
No es lo mismo para el atacante robarle información a un usuario hogareño que a un gerente, en un principio por el segmento económico que puedan representar pero también porque el robarle la contraseña a un gerente de una gran empresa puede representar el acceso a información y dinero mucho mayor.
Además aunque el phishing apunta a ambos tipos de usuario, han comenzado a aparecer lo que algunos han llamado whaling, que son ataques dirigidos a personas de alto cargo. No es masivo pero es algo que nos está señalando que atacar a alguien en un alto cargo puede representar un beneficio económico mucho mayor.
Volvemos a lo anterior, las medidas de protección son en parte las mismas pero como el impacto es distinto se vuelve mucho más imperativo en la empresa detener estos ataques. Y en los ataques de phishing al tener un alto contenido de ingeniería social se vuelve imperiosa la educación del usuario. Por ello hacemos tanto hincapié en que en la seguridad, la tecnología es una parte importante y primordial de la protección pero hay que acompañarla de educación. Y en las empresas tienes que educar a 500 o mil usuarios y por ello es importante considerar planes de concientización que sean para todos, incluso para los cargos jerárquicos donde el impacto puede ser mayor.
El beneficio de este tipo de ataques es que al no ser masivo se tarde más en dar de baja al sitio web o en denunciarlo.
Se dice que el software ya no puede ser en base a firmas ¿hacia que nos estamos yendo entonces?
Hacia métodos proactivos de detección que en el caso del software antivirus usamos heurística antivirus. ¿Cuál es la diferencia? En la base de firmas tenemos un método reactivo, necesito que el malware llegue al laboratorio para poder generar una firma y detectarlo. Lo que esta pasando es que hace 15 años este método era valido pero ahora aparecen miles de códigos maliciosos por día y además en el tiempo en que me demoro en generar la firma, que puede ser de dos a ocho horas, se pueden infectar miles de usuarios, con Internet esa ventana de tiempo es demasiado grande.
Entonces para complementar los métodos de firmas aparece la heurística antivirus. Esto implica utilizar ciertos parámetros de los códigos maliciosos para detectar proactivamente una amenaza. Entonces, si un archivo tiene propias conductas de un código malicioso, aunque no ha llegado aún y no se ha creado una firm,a los algoritmos de heurística detectan que es una amenaza.
Jose Antonio Trujillo, CIO Perú