Llegamos a ustedes gracias a:



Reportajes y análisis

Cuatro campos de batalla en seguridad

[19/04/2011] La seguridad es un tema recurrente, y eso se debe a que los ataques a los que se encuentran expuestas las personas y organizaciones no disminuyen, por el contrario, aumentan. Esto fue lo que nos dijo Sebastián Bortnik, coordinador de Awareness & Research de EST Latinoamérica, en una reciente visita que realizó a Lima, precisamente para divulgar lo más actual sobre las amenazas y para pedir a todos que no bajen la guardia.

Básicamente son cuatro campos en los cuales se están desarrollando las amenazas actuales: las botnets, la fuga de información, las redes sociales, y los buscadores. Todos ellos tienen en común una característica: las amenazas se encuentran siempre donde se puede hallar usuarios que atacar.
Botnets
El primer campo, el de las botnets, está creciendo exponencialmente. De acuerdo a las estadísticas que maneja ESET a partir de la información proporcionada por sus propias soluciones de seguridad, los ataques de botnets se han incrementado en un 100% entre 2009 y 2010. Esto significa en cifras concretas que si en el 2009 se encontraba que una de cada 400 máquinas habían recibido algún tipo de ataque para quedar capturadas dentro de una botnet -y convertirse en una máquina zombi- en el 2010 fue una de cada 200 máquinas las que recibió este tipo de ataque.
Pero obviamente estas cifras se refieren a un universo de un poco más de 100 millones de máquinas que cuentan con las soluciones de ESET. Las cifras absolutas son mucho más grandes si se toma en cuenta el universo total de máquinas, e incluso porcentualmente puede incrementarse estos valores si se consideran que existen máquinas sin protección. La amenaza es grave.
Con estas cifras es evidente que el tipo de amenaza más frecuente para personas y organizaciones ya ha dejado de ser los clásicos virus que conocimos en las décadas de los 80 y 90, y han pasado a ser amenazas más dinámicas. Un virus es un malware que siempre ejecutará el mismo tipo de comportamiento, mientras que una botnet es una amenaza flexible pues el hacker que controla la botnet puede utilizarla para distintos fines.
Una botnet puede tomar el control de una máquina en segundo plano -es decir, el usuario no lo notará- y podría convertirse en parte de un conjunto de computadoras encargadas de llevar a cabo un ataque de denegación de servicio, envío de spam, alojamiento de sitios web maliciosos o de material pornográfico ilegal, sniffing de tráfico web, robo de información y todos los futuros usos que los delincuentes cibernéticos les quieran dar.
Sus ventajas son innegables. Cualquier investigación que las autoridades hagan sobre el origen de un spam o sobre el alojamiento de material ilegal las llevará a un usuario distraído que tiene una de las tantas máquinas zombi que conforman la botnet.
Tenemos la problemática de las botnets que son uno de los recursos más importantes del cibercrimen. En los últimos casos que hemos detectado es muy raro que aparezcan delincuentes informáticos que no están asociados a una botnet, sostiene Bortnik.
Fuga de información
El segundo campo de batalla lo constituyen los incidentes de fuga de información. Éstos no necesariamente nacen a partir de un sofisticado uso de herramientas tecnológicas, tal como lo demostró el más reciente e importante incidente de los últimos años, y tal vez de la historia: los cables de Wikileaks.
Como ya todos saben, los 250 mil cables que las embajadas de Estados Unidos afincadas en diversos países enviaban al Departamento de Estado, salieron de la seguridad de las instalaciones del gobierno a través de un simple disco. Pero sus implicancias fueron enormes.
En noviembre se hizo público el incidente. A los pocos días un anónimo justiciero salió al frente de Wikileaks y, acusándolo de poner en riesgo la seguridad de Estados Unidos, llevó a cabo una campaña de ataques cibernéticos hacia Wikileaks, con algún éxito. Luego entraron a tallar las empresas.
Amazon dejó de alojar a Wikileaks e incluso la organización perdió uno de sus nombres de dominio más importante. Posteriormente, empresas dedicadas a las transacciones de pago decidieron cortar los flujos por donaciones hacia Wikileaks, generando la respuesta de un grupo denominado Anonymous, que atacó a estas empresas.
Aproximadamente siete mil personas, usando las herramientas proporcionadas por Anonymous, lograron dar de baja por un tiempo a MasterCard. La misma organización luego reveló la identidad del vengador anónimo que dirigió los ataques contra Wikileaks, haciendo público que se trataba de un funcionario del gobierno de Estados Unidos. Posteriormente pasaron a atacarlo.
¿Qué pueden hacer las empresas para protegerse de la fuga de información? En primer lugar conocer el valor de la información. Las empresas y los usuarios deben saber qué datos no deben leer nadie y qué datos no me molestan que se expongan, sostiene Bortnik.
El investigador luego señaló que existe otros nueve consejos que son los que publicaron bajo el título de Diez consejos para evitar la fuga de información en su blog y que son los siguientes:
Concientizar y disuadir. Diseñar una estrategia de concientización que incluya la responsabilidad en el manejo de la información, que funcione tanto para capacitar a las personas que podrían filtrar información por error u omisión, como para persuadir a las que deliberadamente intenten hacerlo.
Utilizar defensa en profundidad. Considerar el modelo de defensa en capas para tomar distintas medidas de diferente naturaleza, a fin de no centralizar las soluciones ni promover puntos únicos de falla.
Incluir herramientas tecnológicas. En ámbitos corporativos, contar de ser posible con una solución técnica de protección, por medio de hardware, software, o combinación de ambos.
Seguir los estándares. Alinearse con estándares internacionales de gestión de la seguridad permite disminuir el riego de que puedan ocurrir incidentes, así como también de que el negocio se vea afectado por un determinado evento de filtración.
Mantener políticas y procedimientos claros. Relacionado con el punto anterior, se debe tener una clara definición y comunicación de las políticas de seguridad y acuerdos de confidencialidad, aceptados y firmados por todos los usuarios.
Procedimientos seguros de contratación y desvinculación. En estos dos momentos se conecta o desconecta una nueva pieza externa con el motor de la organización, por lo que deben tenerse en cuenta de manera muy particular, controlando especialmente los accesos y registros de los usuarios en sus primeros o últimos momentos de trabajo.
Seguir procesos de eliminación segura de datos. Es fundamental que los datos que se desean eliminar sean efectivamente eliminados, y los medios de almacenamiento adecuadamente tratados antes de ser reutilizados.
Conocer a la propia gente. En algunos casos es posible identificar a las personas conflictivas o con un determinado grado de disconformidad, que podrían ser foco de cierto tipo de problemas relacionados con la confidencialidad.
Aceptar y entender la realidad. Seguir todos estos consejos no garantiza nada, pero ayuda a comprender que se deben tomar medidas concretas y definir un plan realista, alejado de la paranoia innecesaria.
Redes sociales y buscadores
Facebook ya tiene más de 500 millones de usuarios, y Twitter más de 150 millones, y como se señaló líneas arriba, donde se encuentran los usuarios se va a encontrar atacantes. Y es por ello que, de acuerdo a Bortnik, no existe ningún tipo de ataque importante que no haya pasado al campo de las redes sociales.
Lo que ahí se encuentra es lo que clásicamente se encontraba en el hiperespacio. Código malicioso, spam, scam (estafas), hoax (noticias falsas), phishing, robo de información, ataques a menores de edad, ciberbulling (acosos a menores por parte de otros menores), y grooming (acosos a menores de edad por parte de adultos), son todas amenazas que se pueden encontrar en las redes sociales, de la misma forma en que antes formaban parte de los correos electrónicos.
Lo destacable en este caso es que las redes son el medio usado por los cibercriminales para llegar a los usuarios. Son pocas las ocasiones en las que las propias redes sociales son objeto del ataque.
Y, finalmente, los buscadores también se han convertido en un campo en el cual se pueden hallar amenazas. Si las visitas a una red social son numerosas, lo son aún más las visitas a un buscador, y por ello es que se han convertido en otro medio para llegar a los usuarios.
La técnica usada en este caso es la llamada Black Hat SEO. El search engine optimization (SEO) es un conjunto de técnicas válidas para lograr, por ejemplo, que una búsqueda de CIO Perú lleve al portal de CIO Perú.
El inconveniente es que estas técnicas son también utilizadas por los cibercriminales (black hat) para llevar a los navegantes hacia sitios donde se pueden contaminar con código malicioso. Generalmente, lo que estas personas hacen es colmar los sitios maliciosos con metatags relativos a un acontecimiento coyuntural que llame mucho la atención.
Así, si una página común puede contener algún metatag sobre la muerte de Michael Jackson, una página con código malicioso puede contener miles de ellos con el solo propósito de atraer el tráfico generado por el acontecimiento.
Es difícil determinar si un sitio que aparece en una búsqueda en un motor es seguro o no, pero algunas pistas se pueden tener si se nota que dentro de las pequeñas porciones de páginas que aparecen junto con el resultado de búsqueda, aparece textos sin sentido. Éstos son generalmente los metatags que se han introducido a la página.
Como se puede apreciar son estos cuatro campos en los que ahora se lleva a cabo la guerra contra los cibercriminales, y una de las cosas más importantes que podemos hacer es convertirnos en usuarios más atentos a este tipo de amenazas.
Jose Antonio Trujillo, CIO Perú