Llegamos a ustedes gracias a:



Reportajes y análisis

Seis fugas de seguridad que debe atender ahora

Hágales frente antes de que sea demasiado tarde

[15/10/2010] Se pensaba que el Titanic era insumergible, un testimonio de la destreza de ingeniería de su época y la muestra de que los cruceros de lujo rara vez chocan con enormes témpanos de hielo. En las empresas modernas, hay una percepción similar de invulnerabilidad. Sin embargo, para todas las organizaciones de gran tamaño, que se deslizan a lo largo del año sin ningún tipo de contratiempos, hay muchas historias sobre robos peligrosos, y metidas de pata.

He aquí un vistazo a los seis agujeros de seguridad que suelen estar abiertos, incluso en empresas que se enorgullecen de sus precauciones de seguridad. Conversamos con consultores de seguridad para saber que se puede hacer con ellos, antes que la nave de su empresa choque contra un muro de hielo.
Teléfonos inteligentes no autorizados en redes Wi-Fi
Los teléfonos inteligentes crean uno de los mayores riesgos para la seguridad de la empresa, sobre todo porque son muy comunes y porque algunos empleados simplemente no pueden resistirse a usar dispositivos personales en la oficina -incluso si sus empleadores tienen políticas claramente establecidas que prohíben su uso.
"El peligro es que los teléfonos celulares son dispositivos que alojan tres tecnologías -Bluetooth, WiFi y GSM inalámbrico", señala Robert Hansen, fundador de la firma de consultoría de seguridad en Internet SecTheory. Los empleados que utilizan sus teléfonos inteligentes personales en el trabajo "introducen un conducto que es vulnerable a posibles puntos de ataque", explica.
Si utiliza un dispositivo como un teléfono inteligente que se extiende por varios espectros inalámbricos, "alguien en un estacionamiento podría usar un rifle de francotirador Bluetooth que pueda leer Bluetooth desde una milla de distancia, conectarse a un teléfono inteligente, y a continuación, conectarse a la red inalámbrica de la empresa", indica Hansen, quien también es conocido por su alias, RSnake. El Bluetooth es el portal abierto que le permite a un hacker tener acceso a Wi-Fi y, por lo tanto, a la red corporativa.
Hansen señala que las políticas que no permiten el uso de teléfonos inteligentes no son efectivas -los empleados estarán tentados de utilizar sus gadgets en el trabajo, aunque estén prohibidos. En cambio, indica, que el área de TI debería permitir que solo los dispositivos autorizados puedan acceder a la red. Y que el acceso debe basarse en las direcciones MAC, que son códigos únicos que están vinculados a dispositivos específicos -haciéndolos más rastreables.
Otra táctica consiste en utilizar el control de acceso a la red para asegurarse de que quien se está conectando está, de hecho, autorizado a conectarse. En un mundo ideal, las empresas también deben separar las redes Wi-Fi de acceso para invitados de las redes corporativas, indica Hansen, incluso si el tener las dos redes significa algo de redundancia y sobrepasar los gastos generales de administración.
Otro enfoque: Proporcionar smartphones robustos en plataformas populares, como el Android de Google, y con ello disuadir a los empleados del uso de dispositivos no compatibles. Al fomentar el uso de teléfonos aprobados, TI puede centrarse en las medidas de seguridad para un subconjunto de los dispositivos en lugar de tener que lidiar con numerosas marcas y plataformas.
Abrir puertos en una impresora de red
La impresora de oficina es otro dispositivo aparentemente inocuo que representa un riesgo de seguridad, aunque la mayoría de las empresas ignoran este peligro. Las impresoras se han vuelto Wi-Fi en los últimos años, y algunas incluso utilizan acceso 3G y líneas telefónicas para los faxes. Algunos modelos bloquean el acceso a ciertos puertos en las impresoras, pero, como señala Hansen, si hay 200 puertos bloqueados para impresoras en una compañía grande, puede haber otros mil puertos que están abiertos. Los hackers pueden entrar en las redes corporativas a través de estos puertos. Un truco más nefasto es capturar todas las impresiones como una forma de robar información confidencial de la empresa.
"Una de las razones por las que no se oye hablar de esto es porque no hay forma eficaz para cerrarlos", señala Jay Valentine, experto en seguridad. "Vemos todo el tiempo el acceso a través de puertos de red en la industria eléctrica, que es un grave accidente a punto de ocurrir".
La mejor manera de lidiar con este problema es deshabilitar por completo las opciones inalámbricas de las impresoras. Si eso no es posible, debería asegurarse de que todos los puertos estén bloqueados a cualquier acceso no autorizado, indica Hansen. También es importante usar herramientas de gestión de la seguridad que controlan e informan sobre los puertos de impresión de archivos. Una de esas herramientas es el software de ActiveXperts, Active Monitor.
Aplicaciones web personalizadas desarrolladas con un mal código
Casi todos los profesionales de seguridad empresarial viven con el temor de los agujeros creados por una programación descuidada. Esto puede ocurrir con el software desarrollado a medida, así como con el software comercial y de código abierto. Hansen señala que un truco común es aprovechar la rutina xp_cmdshell en un servidor, que un programador o administrador de sistemas sin experiencia, puede dejar abierta para el ataque. Los hackers que lo hacen pueden tener acceso completo a la base de datos, proporcionándoles una puerta de entrada a los datos y una puerta trasera a las redes.
Hansen señala que las rutinas de PHP en un servidor web también pueden ser blanco de ataques. Pequeños errores de codificación, tales como las salvaguardias inadecuadas cuando se jala un archivo remoto desde una aplicación, proporcionan una ruta para que los piratas informáticos puedan agregar su propio código incrustado. Esto puede ocurrir si el desarrollador no se cuidó de restringir los archivos que se podrían llamar sobre la base del acceso de usuario, o un blog de la compañía con una característica de trackback que informa sobre los enlaces en los posts, sin una desinfección previa de las URL para prevenir requerimientos inadecuados a la base de datos.
La solución más obvia a este problema es evitar algunos tipos de software, como scripts PHP libremente disponibles, add-on de los blogs y otros códigos que pueden ser sospechosos. Si este software es necesario, las herramientas de monitoreo de seguridad, pueden detectar las vulnerabilidades, incluso en los scripts PHP más pequeños.
Suplantación de identidad en las redes sociales
Los usuarios de Facebook y Twitter pueden ser engañados para que divulguen información confidencial. Por lo general, este tipo de ataques son sutiles y no necesariamente rastreables.
"La gente que busca empleo a menudos están dispuestos a divulgar su información personal", afirma Hansen, quien dice que uno de sus clientes le dijo acerca de cómo un hacker utiliza una dirección de correo electrónico falsa de un sitio web de empleos para hacerse pasar por un reclutador. Se negó a dar detalles sobre este ejemplo, para proteger al cliente, pero es un ejemplo de lo que él llama el escenario del "suplente confuso", donde alguien que dice ser, por ejemplo, un reclutador de Monster.com contacta a un empleado, y éste cree que, en efecto, está hablando con un reclutador de Monster.com y no pedirá que muestre sus credenciales. Hansen señala que es lo mismo que recibir un sobre en el correo -solo porque el sobre tiene la dirección del remitente determinado, no significa que el contenido en realidad proceda de ese remitente.
Las empresas deben utilizar sistemas de verificación de correo electrónico que confirme la identidad de un remitente. Estas verificaciones envían un e-mail a la dirección del remitente para confirmar sus credenciales. Algunos estados -incluyendo Texas- han hecho que sea ilegal suplantar a alguien por correo electrónico.
Empleados que descargan ilegalmente música y películas
Las redes P2P simplemente no van a desaparecer. En una gran empresa, no es raro encontrar empleados que utilizan los sistemas peer-to-peer para descargar mercancías ilegales o crear sus propios servidores para distribuir software.
"Las redes P2P deben, según la política, ser completamente bloqueadas en cada empresa", señala Winn Schwartau, CEO de The Security Awareness Company, una empresa de formación en seguridad. "Los puertos P2P deben estar completamente apagados en todos los perímetros y de preferencia en los extremos de la empresa. Los programas P2P se pueden detener a través de listados en blanco y negro, y filtros en los servidores de la empresa".
Schwartau cuenta la historia de una firma de servicios financieros en Nueva York que tenía un puerto P2P corriendo todo el día, todos los días en sus oficinas. Finalmente, se descubrió y se encontró que era un servidor de archivos porno. Schwartau señala que la triste verdad acerca de lo que él llama "piratería criminal" es que los ladrones suelen ser arrastrados a actividades nefastas, así que uno de los primeros lugares a los que podrían mirar es a un servidor P2P y sus potenciales agujeros de seguridad.
"La inyección de código hostil en archivos P2P no es difícil y puede crear un ataque dentro de una organización, dependiendo del diseño del código", añade. Él sugiere una técnica llamada "el aislamiento de los recursos", que esencialmente controla las aplicaciones a las que pueden acceder los usuarios basado en los derechos de permisos. Los diferentes sistemas operativos hacen eso en formas ligeramente diferentes, indica Schwartau, pero es peor seguir en situaciones en que una política corporativa falta o no es constante.
Schwartau alienta a los departamentos de TI para que lleven a cabo redadas regulares de todas las redes y servidores de la empresa en busca de la actividad P2P, y que sean vigilantes sobre el bloqueo de cualquier actividad P2P.
Engaños por mensajes de texto SMS e infecciones de malware
Otro vector de ataque potencial: los mensajes de texto en los teléfonos inteligentes. Los hackers pueden utilizar mensajes de texto SMS para contactar a los empleados en un intento directo para llegar a divulgar información confidencial como las credenciales de inicio de sesión de la red e inteligencia de negocios, pero también pueden utilizar mensajes de texto para instalar malware en un teléfono.
"En nuestra prueba de concepto de trabajo, mostramos cómo un rootkit puede activar el micrófono del teléfono sin que el titular sepa que pasó", señala Schwartau. "Un atacante puede enviar un mensaje de texto invisible al teléfono infectado diciéndole que hay una llamada y active el micrófono". Eso sería una táctica efectiva si, por ejemplo, el dueño del teléfono está en una reunión y el atacante quiere escuchar, señala.
Schwartau señala que hay formas para filtrar la actividad de los SMS, pero por lo general se realiza a través del operador del servicio, ya que los SMS no están basados en IP, por lo que no suelen ser controlados por los administradores de la empresa. La mejor opción para bloquear este tipo de ataques es trabajar con las compañías operadoras para asegurarse de que se está usando software de bloqueo de malware, filtros SMS y redireccionamiento para ese tipo de ataques.
Y de nuevo, la creación de políticas que fomenten el uso de teléfonos inteligentes, o exigir el uso único de teléfonos de una empresa o fabricante confiables y planes de servicio, pueden reducir ese riesgo.
Por supuesto, las empresas no pueden frustrar cualquier posible ataque de seguridad con la tecnología actual, y los hackers están cambiando constantemente sus tácticas. Debe tratar de resolver estas seis fallas de seguridad y trabajar para asegurarse de que se mantengan conectados -pero también deben estar atento a nuevas formas de actividad maliciosa.
John Brandon, Computerworld (US)