Cuando los ataques informáticos no siempre le ocurren a los otros: Advanced Persistent Threats
Autor: Gabriel Marcos – Marketing Specialist Datacenter & Security – Global Crossing Colombia
Confieso que no sé de dónde surgió la denominación de “Advanced Persistent Threats” (APT, por sus siglas en Inglés, o también “Amenazas Avanzadas Persistentes” según la traducción más cercana al significado original que se me ocurre), pero me resulta muy atractiva para denominar a los ataques que recientemente han captado tanta atención de los medios, y que presumiblemente la seguirán captando en el futuro cercano.
Lo cierto es que aún sin ser un experto en seguridad de la información, resulta evidente que para atacar objetivos como la ONU (Organización de las Naciones Unidas), el Departamento Administrativo de Seguridad en Colombia (DAS), la página web del municipio de Guayaquil o los datos personales de miles de policías en Ecuador, las cuentas de Twitter y Facebook de figuras principales de la política Latinoamericana y similares objetivos en Europa y Estados Unidos, es necesario un nivel de conocimiento y coordinación que exigen recursos más allá de los disponibles para el entusiasta del hacking universitario (o pre-universitario).
Más aún, las amenazas que se han divulgado a través de Internet acerca de la posibilidad de que tanto nuevos sitios públicos como también empresas privadas sean víctimas de este tipo de ataques próximamente, deberían hacernos ver que estamos ante un tipo de motivación nunca antes visto.
En este punto, conviene advertir que si bien Advanced Persistent Threats es el tipo de ataques que ejecutan ciertos grupos de acción social y de ciberterrorismo a nivel global (y con alcance comprobado en Latinoamérica), más que catalogar filosófica y políticamente a quien ejecuta este tipo de ataques, deberíamos tomar en serio la amenaza y darnos cuenta que la globalización del conocimiento y de la información hace que este tipo de técnicas esté disponible para cualquiera que posea la motivación y el tiempo suficiente para utilizarlas.
Sin duda, circunstancias excepcionales requieren de acciones excepcionales, y quizás sea hora de reconocer que los ataques informáticos no siempre les ocurren solamente a los otros; debemos tomar conciencia y anticiparnos para estar preparados y minimizar la exposición a los riesgos de un ataque de este tipo, tanto para nuestra organización como para sus principales figuras.
Asesinando al ego (…y algunos mitos también)
Tenemos entonces, para este tipo de ataques, los tres elementos principales de un delito: motivo, medio y oportunidad; sobre el primero no tenemos demasiadas posibilidades de influir, pero sobre los otros dos sí que tenemos mucho por hacer… de más está decir que sin alguno de estos elementos, ¡el crimen no es posible!
En primer lugar, derribar el mito a través del cual quien todavía no sufrió un ataque informático de grandes proporciones sostiene que la seguridad de la información no es una prioridad, o directamente (en el peor de los casos) que no es directamente un tema importante. Esto es quizás una herida al ego de muchos administradores de seguridad, pero seamos sinceros: es preferible sentirse aludido por un artículo de divulgación que nos permita prepararnos y anticiparnos, antes que sufrir un ataque de consecuencias mayores.
Como profesional, sin duda que es uno de los peores argumentos que puedo escuchar por parte de quien tiene la responsabilidad de gestionar una infraestructura de servicios de TI, ya que (entre muchas otras cosas) desconoce la característica principal de esta nueva generación de ataques: ¡su sigilosidad!
Hace 15 años, cuando un virus infectaba el PC la peor amenaza era que se borraran todos los datos del disco duro; luego, con la masificación de las redes de área local primero y de Internet después, los virus tenían la posibilidad de acelerar su difusión y borrar el disco duro de más computadores, lo cual era sin duda muy incómodo pero al menos tenía la ventaja de que uno no tenía duda de cuándo había sido infectado y de que, una vez reinstalado el computador, la infección se había superado.
Hoy en día la realidad es bien diferente: las amenazas que se distribuyen a nivel global buscan como primera medida evitar generar el tipo de desastres de antaño para evitar ser descubiertas! La clandestinidad paga mejor que borrar un disco duro ya que permite seguir perpetrando delitos digitales de forma sigilosa durante más tiempo.
Por supuesto que en algún momento el atacante (es decir, el “dueño” de esas amenazas distribuidas por toda la Internet) deberá activar algún tipo de mecanismo para generar un ataque y de esa forma hará detectable la amenaza que estaba latente, pero al haber permanecido mucho tiempo dentro de la red de una organización es muy probable que haya dejado otras amenazas plantadas para futuras oportunidades. Si le suena el término “redes botnet”, entonces sabe de qué estoy hablando…
Sin embargo, esta larga disertación comenzó por la afirmación de que sobre el medio y la oportunidad tenemos posibilidad de actuar; veamos de qué manera.
La oportunidad para no quedar en medio de un ataque
Respecto a los medios y la oportunidad, si bien más adelante entraremos en detalles acerca de cuestiones técnicas referidas a los ataques de tipo APT, podemos nombrar algunos puntos importantes a tener en cuenta:
1) Para que exista una explotación, debe existir una vulnerabilidad: todos los ataques se basan en vulnerabilidades (es decir, posibilidades concretas de materializar una amenaza); si bien hay cuestiones topológicas o a nivel de protocolo que son muy difíciles (a veces, imposible) de evitar, la mayoría de las veces comprobamos que existen vulnerabilidades en aplicaciones, sistemas operativos y a través de configuraciones que son previsibles y evitables.
2) En estrecha relación con el punto anterior, muchas de las vulnerabilidades mencionadas poseen su causa de origen en la deficiencia (y por qué no: en la inexistencia) de un proceso que garantice su detección temprana, corrección y verificación. Para decirlo lo más claramente posible con un ejemplo de la vida real, hay organizaciones en las que existen procesos documentados e implementados para solicitar nuevos insumos de oficina que requieren de hasta tres niveles de aprobación, pero no para chequear la seguridad del código de una aplicación antes de su salida a producción.
En definitiva, la cuestión se trata básicamente de no facilitar los caminos por los cuales convertirnos en blanco de un ataque informático cuando podríamos evitarlo.
No podemos evitar que haya gente con el conocimiento y la motivación necesaria como para producir este tipo de ataques, pero sí podemos:
1) Hacer todo lo que está a nuestro alcance por corrernos de su camino, o al menos tratar de desmotivarlos haciendo que el ataque requiera un esfuerzo tan grande que no se justifique la inversión de tiempo.
2) Proteger nuestros activos de información de forma tal que aunque un atacante consiga hacerse de ellos, luego no pueda utilizarlos (algo así como esos sistemas que poseen algunos vehículos de alta gama: esos carros no necesitan alarma, porque aunque uno consiga abrirlos, si no se tiene la llave electrónica, el carro no arranca!).
Ahora sí: ¿qué es un ataque de tipo Advanced Persistent Threat (APT)?
Desconstruyamos los tres elementos que forman la denominación de este tipo de ataques para tener una idea acabada de a qué nos estamos enfrentando:
Advanced (avanzadas)
No me va a decir que no le genera miedo que le hablen de un ataque utilizando la palabra “avanzado”! Bueno, tiene razón: la razón por la cual esa palabra aparece en la descripción de los APTs es porque en este tipo de ataques se utilizan distintos tipos de técnicas para llegar al objetivo; se consideran “avanzados” por el hecho de que el atacante tiene a su disposición distintos tipos de técnicas y no está suscripto solamente a un tema específico (como ocurre por ejemplo en los ataques a nivel de aplicación).
Algunas de las técnicas que se han utilizado en los ataques de tipo APT realizados a escala global son, entre otras:
– DDoS (distributed denial of service): ataques de denegación de servicio distribuidos.
– Redes botnet
– Phishing
– Ingeniería social
– SPAM
– Aplicaciones fraudulentas en redes sociales
– Análisis de vulnerabilidades
– Rootkits
– Explotación de vulnerabilidades en aplicaciones
Por favor, ni por un instante crea que esta es una lista completa! Solamente es un ejemplo que muestra la gran diversidad de conocimiento y capacidades que hay detrás de un ataque de tipo APT.
Podríamos incluso agregar a esta definición que la realización y ejecución de este tipo de técnicas requiere la interacción de más de una persona; en la práctica, es casi imposible que este tipo de ataques sean realizados por individuos, no solamente por el nivel de conocimientos necesario sino también por cuestiones de tiempo y recursos.
Persistent (persistentes)
En la comunidad de la seguridad de la información, y principalmente entre los especialistas en técnicas de hacking, existe la creencia de que sin importar las medidas de protección implementadas, con el suficiente tiempo y dedicación cualquier objetivo puede ser vulnerado; lamentablemente, en la mayoría de los casos esto es cierto.
De hecho, la característica de persistencia de estos ataques se refiere a que se concentran en un objetivo específico, utilizando distintos tipos de técnicas hasta conseguir el objetivo deseado.
Habitualmente, cuando se enfocan los ataques informáticos desde un punto de vista de negocios, es común decir que se trata de un negocio de volumen: es decir que se busca lanzar una amenaza de forma masiva, que solamente tendrá impacto en un número acotado de víctimas, pero que es más que suficiente como para generar ingresos que permitan recuperar la inversión y producir ganancias.
Lo novedoso de los ataques de tipo APT es que se concentran en un objetivo específico; esto no significa que la motivación del ataque sea o no económica, sino que todos los recursos están enfocados en un único objetivo.
Threat (amenaza)
Bueno, creo que después de lo que mencionamos en los puntos anteriores, queda claro por qué este tipo de ataques representa una amenaza… sin embargo, me gustaría anotar algunas cuestiones sobre un punto en particular: la motivación.
El uso de distintas técnicas y la coordinación de múltiples recursos hacia un objetivo sin duda que implican la existencia de una motivación muy fuerte: la característica de los ataques de tipo APT es que todos los individuos que participan del ataque están determinados a conseguir el objetivo.
Una amenaza es la posibilidad de materialización de un riesgo: si pensamos en un grupo de personas organizadas, con los recursos a disposición, el conocimiento necesario para utilizar esos recursos y la determinación para insistir en la realización del ataque, está claro que aquella máxima del hacking que mencionamos cobra renovado sentido!
Lo que no figura en el nombre: en caso de que con todo lo anterior no se hubiera preocupado…
Es importante tener en cuenta que este tipo de ataques se basa también en técnicas desconocidas, es decir, en vulnerabilidades o exploits no anunciados o difundidos masivamente, ya que quienes realizan este tipo de ataques tienen los conocimientos y el tiempo necesario para desarrollarlas.
Esto forma parte fundamental de las características que diferencian este tipo de ataques: mientras que en los ataques tradicionales se buscan objetivos sencillos (en función de la relación de costo – beneficio entre el esfuerzo por vulnerar y el rédito económico), en los ataques de tipo APT los atacantes están dispuestos a todo con tal de conseguir su objetivo, incluso si eso implica tener que desarrollar algún tipo de amenaza nuevo.
La utilización de amenazas desconocidas y nuevos tipos de ataque ofrece un valor agregado a las APTs que es efectivamente buscado por los atacantes: esto contribuye a dificultar su detección temprana! Como dijimos, una de las características de estos ataques es la sigilosidad, donde se busca que la amenaza permanezca inactiva o actuando también de forma indetectable robando información, por ejemplo, aumentando el tiempo de efectividad; mientras las técnicas utilizadas para infiltrar y hacer uso de la amenaza permanezcan en el anonimato, tanto mejor para los atacantes.
Identidad digital y marca… ¿no eran “intangibles”?
Si hay algo que las Advanced Performance Threats han hecho posible, es que han convertido en algo concreto a cierto tipo de bienes que habitualmente se han denominado intangibles; claro, las áreas de Marketing y de Finanzas siempre han sabido muy bien el valor (monetario) que tiene una marca (tanto en el caso de una empresa como en el caso de una línea de productos en particular), pero desde muchos departamentos de TI no se han manejado los mismos parámetros de negocio para valor y proteger estos activos.
Sin embargo, desde el ataque que vulneró la seguridad de una conocida marca de alimentos de alcance global para modificar el contenido de una de las recetas en las que se utilizaban esos productos, hasta temas mucho más complejos donde se han realizado violaciones costosas a la propiedad intelectual, las amenazas a las que hacemos referencia en este artículo nos demuestran el alto grado de exposición en el que se encuentran los activos más importantes de la empresa (de hecho, muchos autores coinciden en que la marca es el activo más valioso).
Los gerentes de las áreas de tecnología y seguridad deberían prestar mucha atención a este tema, ya que si su objetivo es agregar valor al negocio y convertirse en áreas de negocio estratégicas en la organización, el hecho de que la compañía invierta mucho dinero en campañas publicitarias y de acción social para elevar el valor de la marca pero que este valor se vea afectado a través de ataques informáticos, podría no sólo hacer que la organización pierda confianza en éstas áreas sino que directamente las vea como un punto débil.
Por otro lado, la adopción de las redes sociales por los empleados y por los altos niveles de dirección de las empresas está creciendo a un ritmo mucho mayor que el de los planes de capacitación y concientización sobre su utilización de forma segura; las redes sociales son sin duda una de las principales vías de difusión de amenazas, y muchas organizaciones todavía no cuentan ni siquiera con políticas de uso adecuado, y muchas de las que sí las poseen, no han implementado herramientas de control o planes de concientización para que sus empleados puedan entender y aplicar correctamente los lineamientos.
Las identidades digitales de funcionarios de alto nivel también son valiosos objetivos de ataques de tipo APT, y por lo tanto merecen ser resguardadas y aseguradas; sin duda es un desafío, pero mientras nos seguimos preguntando dónde está el perímetro de las organizaciones y nos tranquilizamos pensando que tenemos implementado un firewall, hay un mundo allá afuera que está mucho más adelante, que no se hace tantos planteos y que no teme utilizar todos los medios a su disposición para aprovechar las vulnerabilidades de nuestros procesos y sistemas de protección y detección.
¿Quién está realizando estos ataques?
La psicología nos enseña que ponerle un nombre a una angustia puede ayudar a aliviarla, aunque también un nombre puede funcionar como ancla, atando la definición del problema a una definición que no tiene solución, asegurando su supervivencia.
En este sentido, el hecho de pensar que estos ataques son realizados exclusivamente por Lulzec, Anonymous, o cualquier otro grupo que haya reconocido la realización de ataques de tipo APT, podrían inducirnos al error de pensar que la empresa no está dentro del rango de influencia de estos grupos y por lo tantos sentirnos inmunes a su accionar.
Sin embargo, conviene recordar que las organizaciones que fueron atacadas probablemente pensaron lo mismo, desde el punto de vista que no tenían suficientes mecanismos de protección, y los resultados están a la vista.
Por otro lado, las técnicas utilizadas para generar un ataque de tipo APT están disponibles para cualquier atacante, es decir que no son de dominio exclusivo de estos grupos; por lo tanto, si no son ellos quienes las utilizan, podrían ser otros… incluso los propios empleados!
Otra discusión alrededor de quiénes realizan este tipo de ataques gira alrededor de la motivación y los objetivos que persiguen: mi punto de vista es que esto no debería preocupar a quienes tienen la obligación de ofrecer seguridad a la información de sus organizaciones, ya que sea cual sea el motivo por el cual la empresa pueda convertirse en un objetivo de ataque, igual cabe protegerla.
Esto no significa que no sea importante clasificar y determinar claramente qué es una acción válida de protesta social, un robo de identidad, un fraude o directamente un acto de ciberterrorismo, y adaptar el marco legal para cobijar adecuadamente cada uno de estos actos (o delitos); tenemos en Latinoamérica abogados especialistas con experiencia en la materia, algunos de los cuales están trabajando activamente con legisladores nacionales para promover modificaciones a la legislación como también nuevas leyes según sea necesario, sin embargo sabemos por experiencia que los ataques no esperan y que el momento para actuar es ahora.
Recomendaciones
La naturaleza de este tipo de ataques hace que sea muy complicado ofrecer recomendaciones generales para protegerse de los mismos; en estos casos, siempre conviene informarse y actualizarse con la mayor cantidad de fuentes posible, ya que todas demuestran ser útiles a la hora de luchar contra un enemigo desconocido.
A continuación, vamos a repasar algunos puntos importantes al momento de considerar cómo protegernos de ataques de tipo APT; nuevamente, cabe aclarar que no conviene tomar esto como una lista completa o exhaustiva, dado que es posible encontrar muchas otras fuentes de información con recomendaciones diferentes y altamente útiles, aunque sí recomiendo fuertemente considerar todos estos aspectos y analizar de qué manera cada uno de ellos pueden aplicar en la organización:
Análisis de riesgo: ¡realización inminente!
De forma general, el mejor camino que uno puede tomar para entender qué medidas proactivas es necesario adoptar para disminuir el grado de exposición y por ende el riesgo al que está expuesta la organización es realizar un análisis de riesgo.
Sin embargo, cabe aclarar que me refiero a un análisis de riesgo cuantitativo, realizado a conciencia y lo suficientemente exhaustivo para incluir a todos los activos de información de la organización; es decir, el tipo de análisis interdisciplinario que no puede ser realizado en soledad por el área de IT, sino que debe incluir necesariamente a todas las áreas de la organización, y que típicamente requiere la ayuda de un proveedor externo con un plantel de especialistas que aporte conocimiento, experiencia y recursos humanos calificados para acelerar el levantamiento y clasificación de la información.
Creo que todas las organizaciones deberían contar con este tipo de análisis, y actualizarlo al menos una vez al año; por supuesto que no se trata de un ataque de creatividad ni de una iluminación repentina de mi parte: hace muchos años existen normas internacionales que lo plantean (ISO 17779, ISO 27001, BS 7799) y metodologías que sirven de soporte para esta tarea (MAGERIT, COBIT), sin embargo al día de hoy me animo a afirmar que la mayoría de las empresas en la región nunca han realizado este tipo de análisis.
No contar con un análisis de riesgo que valore económicamente los activos de la organización y el riesgo al cual están expuestos, tiene serios impactos en la planificación estratégica de TI y de la seguridad de la información, pero también en cuestiones mucho más cercanas del día a día: la justificación de inversiones! Todos nos hemos enfrentado al desafío de conseguir la aprobación de inversiones en seguridad, y la dificultad inherente que esto representa para cualquier organización; en gran medida esto se debe a no contar con una valoración del riesgo y los activos en términos económicos, que es el único lenguaje en común entre todas las áreas de una organización, y especialmente de aquellas que manejan los presupuestos e inversiones.
Los fantasmas sí existen
He tratado de reforzar la característica de sigilosidad de los ataques de tipo APT, lo cual debería hacernos pensar que existe una posibilidad muy alta de que alguno de los componentes de nuestra organización ya haya sido infectado (o esté en vías de serlo).
De hecho, es posible encontrar que muchos especialistas van un paso más allá y proponen trabajar sobre una hipótesis concreta: asuma que su empresa ya fue infectada, y comience desde allí. Tengo que confesar que estoy de acuerdo con este enfoque!
El hecho de buscar algo que ud. no sabe si está ahí puede hacer que lo encuentre (lo cual sería el principio de la cura) o que no lo encuentre, pero en cualquier de las dos alternativas, le permitirá aprender y alimentar el análisis de riesgo (que a estas alturas espero haberlo convencido que necesita realizar!).
Asumir que la empresa ha sido infectada por algún tipo de amenaza silenciosa no significa verificar que se posee la última versión del antivirus o repasar la lista de puertos abiertos en el firewall: es un proceso de introspección profunda y autoconocimiento que debe involucrar todos los aspectos a nivel tecnológico como también los procesos y recursos humanos de la organización.
Controlar no es prohibir
Ud. considera que permanecer encerrado en su casa es una forma de protección efectiva contra la gripe? Más allá de que efectivamente logre no contagiarse (aunque nada se lo garantiza), seguramente que se va a perder muchísimas cosas!
La seguridad de la información es asimilable a este ejemplo: muchas organizaciones han decidido limitar (o directamente: prohibir) el acceso a sus empleados a redes sociales, sistemas de mensajería, y un número creciente de páginas web y aplicaciones; en la mayoría de los casos, esto surge de cuestiones tan sencillas como catalogar esos sitios como peligrosos, y en el mejor de los casos revela un profundo desconocimiento del funcionamiento de las redes sociales y del ser humano en general.
Está comprobado el hecho de que una prohibición da origen a una contramedida: si los usuarios quieren utilizar el sitio prohibido, encontrarán la forma de hacerlo, y lo más probable es que mientras lo intentan, generen otros problemas.
Aquellas organizaciones que han realizado un análisis de riesgo y determinado cuantitativamente que tales o cuales aplicaciones deben ser prohibidas porque generan un riesgo tangible para el negocio, están en el camino correcto; sin embargo, representan una cantidad mínima del total, y quienes realmente lo han hecho generalmente optan por prohibir la menor cantidad posible de sitios.
Cualquier prohibición debe estar acompañada de un plan de capacitación y concientización continúo para los usuarios: sin su complicidad, nada funciona; más aún, por lo general, a nadie le gusta que le impongan arbitrariamente un límite: si éste puede ser explicado y justificado, su efectividad estará garantizada.
Sin embargo, antes de prohibir, las organizaciones deberían considerar los beneficios de controlar el uso que se hace de esas aplicaciones potencialmente riesgosas: las redes sociales son fuentes de generación de ingresos crecientes, además de fuentes de promoción de relativamente bajo costo y amplia difusión! Muchas empresas poseen incluso personas dedicadas al manejo de canales de promoción y comercialización en redes sociales.
Si las empresas van a utilizar cada más este tipo de canales de comunicación alternativos a los tradicionales, quizás lo más sabio sea reconocer que las oportunidades y beneficios potenciales de promulgar un uso controlado que minimice los riesgos, antes de intentar prohibir algo que de cualquier manera vamos a tener que permitir tarde o temprano, sin contar con el conocimiento y la experiencia que nos hubiera aportado habilitarlo desde un principio.
Por otro lado, el hecho de prohibir algo nos da la tranquilidad de que ya no tenemos que preocuparnos por eso, lo cual también puede resultar un arma de doble filo!
Aunque los dispositivos no sean de la empresa, pueden contener su información
Hace algunos años era sencillo trazar una línea imaginaria entre la organización y el mundo exterior (“perímetro”), y enfocar los esfuerzos de protección en proteger el tráfico que circulaba a través de esa línea. El principio regulador de este enfoque era que todo lo que estaba adentro de la línea era de la empresa y por lo tanto había que protegerlo, mientras que todo lo que estaba del otro lado era el mundo exterior y el punto de origen de todas las amenazas.
A pesar de que hace varios años deberíamos haber abandonado ese mito gracias a las estadísticas que nos mostraron que más del 70% de los ataques sufridos por una organización se originaban desde la red interna (es decir, el lado de adentro del perímetro), en los últimos años hemos visto que día a día esa línea se ha venido desdibujando a un ritmo acelerado, primero a través de la expansión del teletrabajo, siguiendo con las figuras de interconexión Business to Business, y más recientemente el golpe de gracia propiciado por el crecimiento de la adopción de los servicios de Cloud Computing.
Pues bien, además de todo lo que conocemos y mencionamos, he llegado a nuestra puerta un nuevo tipo de amenaza que debemos considerar: ¡bienvenidos los smartphones, las PDAs, tablets y afines!
Estos dispositivos, que en la mayoría de los casos no son propiedad de la organización, habitualmente poseen acceso a sistemas como el correo electrónico, y poseen información crítica de la organización que más allá de encontrarse fuera del perímetro, está directamente viajando por quién sabe dónde, y sin ningún tipo de control de seguridad.
Si hemos realizado un análisis de riesgo a conciencia (perdón que insista con el tema), sabemos que el hecho de que la empresa no sea propietaria de estos dispositivos no nos exime de considerarlos dentro del plan estratégico de seguridad; para decirlo claramente: donde hay información valiosa para la empresa, no hay excusas para no protegerla.
Las organizaciones necesitan desarrollar programas de capacitación en el uso adecuado de estas tecnologías, como también estrategias completas de protección para ese tipo de dispositivos, incluso si es necesario instalar y soportar software de control y protección de forma gratuita para los usuarios, junto con los mecanismos de publicación de contenidos que permitan el acceso a los mismos sin necesidad de descargarlos.
Software ilegal, doble problema
He tocado el tema en varias entrevistas, y algunas veces he logrado despertar algunas sonrisas, pero tristemente es cierto que muchas personas utilizan software ilegal como método de protección.
Además de ser un sinsentido lógico, es un severo riesgo, ya que existen muchas amenazas documentadas que se distribuyeron ocultas en software antivirus u otro tipo de supuestos anti-malware falsos; ni hablar de los porcentajes de infección del software ilegal que se descarga habitualmente a través de sitios especializados en la materia.
Esto refleja como mínimo una clara falta de concientización respecto a la seguridad de la información y una valoración errada de su información, la de su empresa, y de los riesgos que implica la manipulación de datos personales y corporativos por las manos equivocadas.
Todos somos responsables de concientizar, empresas e individuos, como también todos somos responsables de buscar el conocimiento necesario para entender el mundo en el que vivimos y disminuir nuestra exposición a riesgos.
Comprar software ilegal no es ni más ni menos que financiar a quienes están desarrollando nuevas formas de amenazas y ataques con el objetivo de conseguir aún más ganancias de forma ilegal, y queda claro que en ese tipo de organizaciones no puede quedar ninguna duda sobre cuáles son sus verdaderas intenciones.
No perder de vista el objetivo
Muchos de los ataques de tipo APT han tenido como objetivo el acceso y la exposición de información sensible para la organización.
En algunos casos, la información divulgada no era tan valiosa en sí misma como el desprestigio que provocó la divulgación.
Qué pasaría si consiguiéramos proteger la información de tal forma que aún si un atacante consiguiera accederla no podría utilizarla?. Pues bien, ¡a eso me refiero con no perder de vista el objetivo!
Algunos especialistas recomiendan la utilización de distintas técnicas de encripción (más o menos complejas y enfocadas a distintos dispositivos) como una forma de disminuir el grado de exposición de la información.
Aún si la información pudiera ser accedida y extraída de la organización, la desencriptación sería un proceso tan complejo que podría demandar cientos o miles de años con computadores de última generación, haciendo imposible su utilización práctica.
Es claro que esto plantea muchos otros desafíos de índole técnica, como por ejemplo la custodia de certificados digitales, pero si consideramos que todavía existe la oportunidad de aplicar técnicas mucho más sencillas a nivel de aplicación como el nombrado codificado de archivos y la encriptación de bases de datos a nivel de aplicación, entre otros, este tipo de técnicas de mitigación de riesgos podrían tener su espacio preferencial en el futuro cercano de la seguridad de la información.
El exceso de confianza es un mal consejero
Stuxnet, Operation Shady RAT y los ataques que vulneraron al Comité Olímpico Internacional y la Agencia Mundial Anti-Doping (que según se dice estuvieron ocultos y en actividad durante al menos 5 años), entre muchos otros, son ejemplos de lo que puede pasar pero no son determinantes a la hora de analizar el futuro: lo único que podemos afirmar, es que no sabemos qué nuevas amenazas van a surgir.
Sin embargo, todavía queda mucho por hacer antes de rendirnos, y hay quienes afirman que hasta incluso ésta es una guerra que puede ser ganada; yo considero que aún es muy pronto para afirmarlo, pero sin duda que hay muchísimo por mejorar en los sistemas de gestión de la seguridad de la información de la mayoría de las empresas y organismos públicos en Latinoamérica, y no debemos demorar ni un segundo más nuestra dedicación en actualizar nuestros sistemas de prevención y defensas para estar a la altura de las circunstancias.
Una de las recomendaciones en la que muchos especialistas coinciden es que los nuevos ataques requieren nuevas técnicas de monitoreo, detección y prevención; sin embargo, no es que estas técnicas no existan, sino que simplemente no se utilizan ampliamente.
Por mencionar solamente un ejemplo: el concepto de SIEM (Security Information and Event Management) es prácticamente desconocido y se implementa parcialmente en muchas organizaciones, desaprovechando la oportunidad de contar al menos con sistemas de monitoreo integrales que permitan detectar amenazas desde el punto de vista del comportamiento, complementando los sistemas de detección por patrones y otras técnicas heurísticas; un valor agregado de este tipo de sistemas es que permite generar pistas de auditoría, muy útiles en el caso de sufrir un ataque para minimizar su impacto!
En definitiva, si bien el nivel de exposición general a este tipo de ataques es muy alto, la buena noticia es que no hemos hecho demasiado para protegernos, por lo tanto existe una gran oportunidad de mejorar nuestro grado de exposición y mitigar las consecuencias de un posible ataque de tipo APT si estamos dispuestos a reconocer que somos vulnerables y que necesitamos echar manos a la obra inmediatamente.