Español | English
rss facebook linkedin Twitter

Nuevos tiempos en las amenazas en la red

La velocidad con la que evolucionan los riesgos de utilizar Internet es tan rápida que es prácticamente imposible pararse un momento a reflexionar y mirar hacia atrás: sólo es posible mirar hacia el futuro si no se quiere perder el equilibrio, y por supuesto, el control. Esta transformación tan frenética está presente en la Seguridad de la Información, área cada vez más importante en todas las organizaciones, por lo que se exige tener que adaptarse continuamente a las evoluciones de los peligros que acechan sin descanso: no hay vacaciones, horas de cierre o descansos; la presencia y uso de Internet por parte de una organización implica estar disponible (online) 24 horas al día, 365 días al año (y consecuentemente, proteger los activos de la organización en el mismo horario).

Existen diferentes factores a tener en cuenta, necesarios para las futuras decisiones que habrá que tomar: el primero de ellos, el origen de los ataques que se pueden sufrir; hace tiempo que terminó la “época romántica”, en la que muchos de los ataques eran fruto de la curiosidad y de demostrar la valía de ciertos adolescentes. La realidad actual es bien distinta. Existen bandas de crimen organizado que utilizan todos los recursos y tecnologías presentes en Internet para garantizar su anonimato y cometer todo tipo de felonías: phishing, pharming, scam, clickfraud, worms, zero-day exploits, spam, ataques de denegación de servicio distribuidos (DDoS) y un largo etcétera de amenazas a las que todos somos vulnerables. El objetivo que subyace en la mayoría de los ataques es siempre un motivo económico, pero muchas veces también ya se intercalan motivos políticos o relacionados con el espionaje industrial.



Estas bandas organizadas, que se encuentran en ciertas áreas del mundo, pero muchas veces con presencia local en todos los países, utilizan a su antojo cualquier tecnología que les favorezca: programación de malware para el robo de información, balanceo de carga y alta disponibilidad en sus infraestructuras (como por ejemplo fast-flux), utilización de proxies inversos encadenados utilizando máquinas comprometidas para ocultar su centro neurálgico, o el uso de XML o AJAX en sus paneles de control para manejar todos sus recursos.

Aquí se nota uno de los factores de cambio que se ha comentado: la utilización, cada vez mayor, de malware para el robo de información y la posterior utilización de las máquinas infectadas para otro tipo de delitos (DDoS, proxies, clickfraud, etcétera). Este factor provoca que casi toda las inversiones que se han hecho en seguridad perimetral (cortafuegos, detectores de intrusos, antivirus de correo, filtrado de contenido…) pierdan gran parte de su eficiencia para prevenir estos nuevos ataques. Tanto esfuerzo en proteger el perímetro de una organización tuvo su éxito y ya son pocos los que se obstinan en romper estas protecciones. En cambio, ha aparecido un nuevo talón de Aquiles: el usuario, que al final siempre es el eslabón más débil. Porque, ¿de qué nos sirve contar con cortafuegos, IDS, antivirus, filtrado de contenidos o tecnologías similares si un empleado se infecta con un código malicioso simplemente visitando una página con un exploit zero-day? Este código no es detectado por los antivirus, y utiliza una conexión HTTP normal para enviar los datos robados y recibir órdenes. De hecho, las propias casas antivirus reconocen que no son capaces de soportar la gran cantidad de códigos maliciosos que se generan todos los días, y muchas veces existe esa ventana de tiempo en la que aún teniendo el sistema operativo con todos los parches, los sistemas son vulnerables.

No bajar la guardia
Las protecciones en el perímetro por supuesto que son necesarias, pero también es fundamental añadir más capas centrándonos en otros puntos que antes estaban más descuidados. Durante el año 2008, la unidad S21sec e-crime detectó y remedió más de 3.000 casos de fraude; este dato es tan sólo la punta del iceberg, puesto que realmente la cantidad de amenazas con las que nos enfrentamos crece de forma exponencial. ¿Cuántos intentos de intrusión se reciben todos los años? ¿Cuántas fugas de información no se detectan?¿Cuántas páginas que se visitan intentan infectarnos?¿Cuántas veces las redes inalámbricas son atacadas?¿Cuántos dispositivos externos no fiables se conectan a computadoras corporativas o se conectan a redes públicas (aeropuertos, congresos, etcétera) o de no confianza? ¿Las computadoras corporativas tienen el disco duro cifrado en caso de pérdida o robo?¿Y los backups de la computadoras?

Todas estas preguntas son simplemente un ejemplo de todos los riesgos que se sufren día a día y que forman parte del escenario. La seguridad al 100% no existe; sin embargo, todas las acciones que ponemos en práctica, por pequeñas que sean, permiten minimizar el riesgo frente a todas las amenazas. Al final el objetivo principal es proteger la información como tal, sin descuidar su famosa triada sobre la que se sustentan la mayoría de capas de protección existentes: confidencialidad, integridad y disponibilidad, valores que seguramente en el pasado se controlaban dentro de una organización, pero que ahora son necesarios aplicar fuera de ella, puesto que la información referente a la misma se encuentra dispersa en multitud de fuentes. Qué se comenta sobre la organización o ciertos directivos en ciertos blogs, qué ficheros con información confidencial están en las redes P2P o quiénes están usando una marca o copyright sin autorización son, entre otras, preguntas que hay que formular para conocer de forma más global las amenazas. Éstas ya no sólo afectan a los activos de una organización, sino que afectan a activos más intangibles que muchas veces puede olvidarse de su existencia.

En definitiva, es imposible negar que los esfuerzos que se realizaban a finales de la década de los 90 en el área de la Seguridad de la Información no se parezcan mucho a los de hoy en día, ya que ni siquiera los esfuerzos realizados durante 2008 se parecerán a los de 2009. La sensación está en que en vez de cambiar unas actividades por otras, cada año se añaden nuevas capas pero no se quitan las anteriores, obteniendo como resultado la necesidad de un mayor presupuesto, recursos, procedimientos o formación.

No todo está perdido, ya que al igual que las amenazas crecen y evolucionan, la capacitación y las herramientas que tenemos disponibles para hacer frente a estas amenazas, crecen y evolucionan. Tan sólo es necesario recabar todas las opiniones, dejarse aconsejar, y aunar esfuerzos para aproximarse cada vez más a un estado de seguridad controlada: evitando todos los riesgos que sea capaz, y protegiéndose contra los que asume.


David Barroso
S21sec e-crime

2 comentarios:

Anónimo dijo...

"No hay vacaciones, horas de cierre o descansos; la presencia y uso de Internet por parte de una organización implica estar disponible (online) 24 horas al día, 365 días al año"

Uff, lo leo y ya me canso.

Mc Arthur dijo...

Hoy blogeando un rato he visto esta noticia:

http://www.idg.es/dealer/actualidad.asp?id=83170

Por lo visto es una guia Panda de seguridad para el verano, no se si servirá para las empresas.

Sl2tes!


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login