Otro de los blancos de WikiLeaks, el Bank of America, ante rumores de que el sitio publicaría documentos internos reflejando posibles prácticas irregulares, pronto se une al boicot y solicita la ayuda de HBGary Federal, una firma contratista que presta servicios de seguridad al gobierno de los EEUU, con el objetivo de deshabilitar a WikiLeaks. El plan orquestado por HBGary y su ahora tristemente famoso CEO Aaron Barr, incluía una serie de ridículas tácticas nixonianas de desinformación, contraataque e intimidación contra WikiLeaks y sus seguidores. Barr incluso alegó haber infiltrado el grupo de hackers Anonymous y tener información sobre la identidad de sus miembros.

La respuesta de Anonymous fue contundente y severa. Miembros del grupo penetraron las redes de HBGary, alteraron el sitio web de la empresa colocando mensajes despreciativos y obtuvieron acceso a miles de documentos y mensajes de correo electrónico de Aaron Barr, donde se exponían con lujo de detalle los planes y artimañas orientados a lograr este objetivo poco viable.

Existen otros detalles en torno a legalidades, procesos judiciales y acoso sexual que, aunque no menos intrigantes, omitiremos de esta publicación por el momento. Aparte del aspecto fabulesco, esta historia refleja algunas lecciones valiosas sobre seguridad y manejo de incidentes resaltan a la vista de los profesionales en nuestra área.

En primer lugar, muchos de los documentos que WikiLeaks obtiene y publica son el resultado de fugas de datos atribuibles a prácticas de seguridad informática deficientes. Si tan sólo estas empresas y gobiernos invirtieran en proteger sus informaciones la misma energía y recursos que emplean en tratar de encubrir los hechos, la historia fuera muy distinta.

El caso de WikiLeaks debe alertarnos sobre una realidad inminente: Los incidentes de seguridad no podrán mantenerse en secreto. Aún más grave, es que podemos prever el surgimiento de otros “Leaks” dedicados a divulgar datos confidenciales y exponer secretos de organizaciones en múltiples sectores. De hecho, el establecimiento de “AnonLeaks” por parte del grupo Anonymous es un presagio de este fenómeno. Si hay algo que debamos aprender de todo esto es que nuestra mejor defensa contra una brecha de datos y el daño resultante es evitar que sucedan, y para esto necesitamos implantar prácticas efectivas de seguridad, a través de un esfuerzo sistemático que nos permita identificar y tratar continuamente nuestros riesgos de información.

Muchas organizaciones poseen un nivel de conciencia de seguridad adecuado y hacen un buen trabajo en este sentido, estas son las organizaciones que brillan por su ausencia en los titulares de los diarios y en las historias publicadas de estos Leaks. Lamentablemente hay un igual o superior número de organizaciones que deciden ignorar la amenaza. Estas aprenden con el golpe, la forma más costosa de aprender, y enseñan al resto una valiosa lección sobre el potencial impacto de una brecha y la importancia de integrar seguridad en todas las actividades de la empresa.

Por otro lado, los precedentes parecen indicar que intentar desarticular e ir detrás de grupos de hackers organizados es algo que se debe abordar con sumo cuidado. Estos grupos son como fantasmas: están en un lugar y en ninguno al mismo tiempo, desaparecen y resurgen, se mutan, se transforman. Perseguirlos es como perseguir a un espíritu, un concepto que raya en la demencia.

En lugar de intentar erradicar las amenazas, la estrategia de seguridad debe centrarse en protegerse de ellas pues estas siempre existirán, siempre estarán ahí y evolucionarán para adaptarse a los cambios en los entornos y adelantos en la tecnología.

A medida que las buenas prácticas de seguridad de información continúen difundiéndose y se hagan más populares, gracias en parte a las exigencias regulatorias, se puede apostar a que más organizaciones se unan al grupo de empresas que deciden actuar de forma proactiva y evitar el alto precio de la publicidad negativa. Mientras tanto, estemos atentos a los próximos capítulos de esta saga que tan sólo se estrena.

Este skimmer en particular se encontró el 6 de diciembre de 2009, colocado en la parte delantera de un cajero automático de Citibank, en Woodland Hills, California ¿habría usted sido capaz de detectar esto?

Este es un trabajo bastante profesional: Observe cómo la mayor parte de la electrónica encaja en la solapa debajo de la ranura de aceptación de la tarjeta. Además, note la cámara diminuta (foto abajo), diseñada para activarse y registrar los movimientos de la víctima mientras él o ella digita su PIN en el cajero automático.

Es difícil saber si se trata de un skimmer de fabricación casera, o uno comprado en los foros criminales de Internet. Algunos de los skimmers vendidos en estos foros son extremadamente sofisticados, incorporando características como la capacidad de enviar un mensaje de texto SMS al teléfono móvil de los delincuentes cuando se desliza una nueva tarjeta.

Este tipo de fraude es en realidad mucho más común de lo que usted podría pensar: una consulta rápida en Twitter sobre “cajero automático skimmer” por lo general trae un montón de informes de prensa locales acerca de estos dispositivos siendo encontrados en los cajeros automáticos.

Use precauciones básicas en los cajeros automáticos y usted tendrá poco que temer a estos skimmers: Si usted ve algo que no se ve bien – tal como un componente extraño que sobresalga o de algún color diferente adherido al cajero automático – Considere ir a otro cajero. Además, manténgase alejado de los cajeros automáticos que no se encuentren en lugares visibles para el público y bien iluminados.

Sin embargo, esta práctica de jugar a la ruleta rusa con el riesgo de la información ha demostrado ser el talón de Aquiles para muchas organizaciones que probablemente se encontraban en una postura similar. Si analizamos los incidentes sufridos por TJX, Heartland, RBS Worldpay y otras instituciones que han sido víctimas de las brechas de datos más grandes de la historia, las cuales han ocasionado pérdidas multi-millonarias y han puesto a las mismas al borde de la quiebra, podemos especular que las mismas probablemente no preveían un ataque de este tipo, probablemente nunca fueron advertidas, no tenían experiencia previa con incidentes de esta magnitud ni se imaginaban que podían estar siendo atacadas o en la mira de los criminales. Los hechos indican, que tanto en el caso de TJX como de Heartland, los hackers habían comprometido los sistemas hacía meses, y se encontraban capturando datos silenciosamente.

Dónde estuvo la falla? La respuesta puede radicar en cualquier fase del ciclo de seguridad, pero lo que podemos inferir por los detalles revelados sobre estas brechas, es que probablemente no detectaron correctamente las amenazas, la actividad sospechosa en la red y las vulnerabilidades en sus sistemas. Tal vez subestimaron el riesgo, tal vez no tenían las herramientas, procesos o personas para basar sus análisis de riesgo en datos concretos. Quizás no sabían lo que estaba pasando en su red y consideraron que la falta de noticias eran buenas noticias. La falla pudo haber estado en la detección, capacidad de respuesta y/o prevención. Lo que sí sabemos es que el atacante encontró una debilidad y la aprovechó.

Otra vez, me parece que Schneier está en lo cierto. Él dice que en seguridad el atacante tiene la ventaja, ya que los que defienden tienen que proteger contra cada posible vulnerabilidad, mientras el atacante sólo tiene que encontrar una vulnerabilidad para comprometer el sistema completo.

Aún estas empresas nunca hayan sido atacadas, lo que es muy poco probable, la estrategia de depender de la suerte para permanecer desapercibido es una mala práctica de seguridad que raya en la negligencia. La próxima vez que nos veamos tentados a pensar que no nos puede pasar a nosotros, pensemos que en todos estos grandes casos probablemente los atacantes no necesitaron hacer inteligencia por varios meses, orquestar el ciberataque más sofisticado de toda la historia, y quizás no escogieron estos objetivos por considerarlos el “Santo Grial”. Probablemente todo lo que necesitaron fue un día, un hueco, y dejaron como resultado una enorme brecha.

Muchos conocemos el ciclo de seguridad en su forma más simple como una secuencia de actividades que toma la forma de Prevención, Detección y Respuesta. Es decir, implantamos controles preventivos como autenticación, autorización y prevención de malware, de forma que las amenazas sean detenidas en su intento por vulnerar los sistemas, antes de que puedan penetrar y hacer cualquier daño. Seguido esto procedemos a implantar mecanismos de detección, estos son aquellos que identifican cualquier actividad sospechosa que represente una amenaza para nuestros activos de información. Por último, a esta detección debe seguir una respuesta o acciones para contener y mitigar la amenaza antes de que ocasione el daño e impacte de forma negativa nuestra operación.

Esto parece ser el orden lógico en el que debemos proceder para implantar un ambiente de control. Sin embargo, si nos referimos a cualquier estándar o norma de seguridad reconocida nos damos cuenta que no es así. Los principales marcos de gestión de seguridad, tecnología de información y control interno, incluyendo ISO 27001, COBIT y COSO nos indican que la primera actividad para implantar correctamente un sistema de control interno es la detección. Todos hablan de identificar vulnerabilidades, amenazas, incidentes, impactos y riesgos; es decir, de tener visibilidad de la postura actual de nuestro ambiente, de forma tal que podamos diseñar las salvaguardas o contramedidas que nos ayudarán a tratar efectivamente estos riesgos. En pocas palabras, el ciclo es totalmente lo inverso de lo que tenemos establecidos como la norma, es decir: Detección, Respuesta, Prevención.

Dado esto, no es sorpresa que cobre especial importancia aplicar un balance adecuado entre tecnología, procesos y personal cuando intentemos establecer nuestro sistema de gestión de seguridad, y no sólo prestar atención a invertir en tecnología y resolver el problema instalando productos. Esto es así porque esas fases iniciales del ciclo, la detección y respuesta, requieren más de procesos definidos y personas capacitadas que de tecnología.

Cuando hacemos nuestro análisis y monitoreamos nuestro ambiente, el aspecto humano, sus habilidades y experiencias, conjuntamente con procedimientos adecuados, son los elementos que garantizan el éxito y calidad en los resultados. Estas son actividades mayormente manejadas por personal, apoyadas por la tecnología, pero en ausencia de humanos capaces, metodologías correctas y procedimientos definidos, el proceso de evaluar y diseñar los controles, así como el de responder ante amenazas o anomalías, indudablemente sufrirá defectos que se reflejan en nuestra habilidad para proteger adecuadamente nuestros sistemas y activos de información más críticos.

Aún al mismo proceso de prevención precede la detección, ya que a menos que identifiquemos positivamente algo como una amenaza no podremos detenerlo sin causar algún impacto negativo en el funcionamiento y las operaciones normales del sistema. Es decir, la detección y monitoreo diligente son los procesos clave al mecanismo preventivo y al proceso de seguridad en general.

Otra de las razones por las cuales la detección y monitoreo activo por parte de personal capacitado es crítico radica en la complejidad creciente y naturaleza evolutiva de las amenazas, lo que hace muy difícil lograr defenderse de ellas por medio de técnicas y/o productos inánimes. En este punto me refiero a lo citado por Bruce Schneier, un respetado experto en el área: Se trata de mantener un balance de poder, quienes nos atacan son humanos habilidosos y creativos, por lo tanto nuestra defensa debe estar manejada también por humanos, capaces de adaptar las salvaguardas a la situación y naturaleza de las amenazas.

En seguridad lo que hace la diferencia es quién nos está defendiendo. Las habilidades y experiencia de personal capacitado, que conoce las amenazas y enfrenta variadas técnicas de ataque regularmente, es un elemento que no debe faltar en nuestro arsenal de defensa.

Si analizamos el origen de la mayoría de las regulaciones, nos daremos cuenta de que por lo general surgen como respuesta ante brechas o incidentes relacionados con la fuga de datos. Así por ejemplo, la ley Sarbanes-Oxley surge como consecuencia de los escándalos de Enron, WorldCom y otras empresas que presentaban irregularidades en sus estados financieros; PCI por su lado, es producto de las numerosas brechas de seguridad en las que datos de tarjetahabientes se han visto comprometidos.

Aparentemente, las regulaciones son la respuesta de los gobiernos y/o las entidades reguladoras ante la aparente falta de compromiso o negligencia total de algunas organizaciones por implantar seguridad y gestionar los riesgos de tecnología de la información de una forma proactiva. En otras palabras, es lo que sucede cuando no hacemos nuestra tarea.

Aunque lograr conformidad con las regulaciones ayuda a mejorar la postura de seguridad, lo mismo no debe ser el único propósito de un programa de seguridad y/o gestión de riesgo. Esto es así porque las regulaciones no están formuladas sobre el contexto de cada organización que debe cumplir con ellas, en adición a que por lo general prescriben controles que buscan proteger áreas o aspectos específicos del ambiente informático (Por ejemplo, Sarbanes-Oxley se enfoca en la integridad de la información financiera mientras que PCI DSS en los datos del tarjetahabiente) y no apuntan a mitigar todos los riesgos a que está expuesta una organización.

Podemos decir que para los fines de la tecnología y activos de información, existen tres tipos principales de riesgo: operativos, comerciales y legales. Al enfocarse únicamente en cumplir con las regulaciones, se está atacando mayormente un tipo de riesgo (el legal) y olvidando el resto. Esto podría deberse a que el riesgo de incumplimiento se percibe de forma más tangible que el riesgo derivado de una brecha de seguridad. Es decir, el incumplimiento conlleva sanciones legales, posibles multas, litigios y otros impactos con los que la gerencia está más familiarizada.

No hay nada de malo en establecer como prioridad en determinado momento lograr cumplir con los requisitos regulatorios aplicables, especialmente si hay presión por parte de los órganos reguladores y/o si se percibe un riesgo legal y/o comercial elevado como consecuencia del incumplimiento. Estos son aspectos coyunturales que podrían justificar enfocarse en las regulaciones si el riesgo es correctamente analizado y hace sentido comercial. Pero establecer cumplimiento como el único objetivo de un programa de gestión de riesgo es algo así como “poner la carreta delante del caballo”.

De nuevo, un programa de cumplimiento es parte esencial de un sistema de gestión de seguridad. Así lo reflejan los estándares mundialmente reconocidos, tales como ISO 27001 e ISO 27002, donde cumplimiento es uno de los 11 dominios que en conjunto definen mejores prácticas en seguridad de la información.

Nuestra recomendación: Cumpla con las regulaciones, pero no se olvide de atacar el problema desde una perspectiva más amplia. Esto quiere decir, implementar un sistema de gestión de seguridad de información alineado a los estándares y mejores prácticas de la industria, tales como ISO 27001, COBIT, FISMA, entre otros; los cuales se basan en un análisis de los riesgos y las necesidades de seguridad particulares al ambiente de la entidad.

Un gran beneficio de implantar un sistema de gestión de seguridad de la información es que constituyen una sombrilla para lograr cumplimiento con múltiples regulaciones, las cuales deben ser debidamente identificadas y su cumplimiento gestionado al igual que los demás controles del ambiente.

Aunque los beneficios son múltiples y a menudo bien comprendidos por los profesionales de seguridad y/o gobierno de TI, el reto yace en comunicar estos beneficios a la administración e influenciarles para cambiar su enfoque y lograr apoyo para un programa integral de seguridad, gestión de riesgo y cumplimiento.

Al igual que un campo de batalla, nuestras infraestructuras de tecnología son una compleja formación de elementos que en conjunto albergan uno de los activos más valiosos para las empresas: los datos. Podemos visualizar esta infraestructura como una serie de capas donde los datos ocupan el último nivel, precedidos de contenedores como lo son las localidades físicas, el perímetro, la red, los servidores y las aplicaciones.

De esta forma, cada capa de nuestra infraestructura representa una barrera para el atacante en su camino hacia el objetivo final de acceder a los datos confidenciales, de manera que si falla cualquiera de los controles en una capa haya defensas adicionales que contengan la amenaza y minimicen las probabilidades de una brecha (ver gráfico).

En adición, analizar nuestro ambiente de tecnología de esta forma para fines de integrar seguridad permite dividir el problema en partes más pequeñas y manejables, contribuyendo así a mejorar la calidad de su implementación.

A continuación algunas consideraciones importantes sobre las principales defensas de este modelo:

• Políticas, procedimientos, concientización: Establecen el tono en toda la organización con relación a la protección de los activos de información, definen los objetivos y actividades de control y proveen un criterio de auditoría para el programa de seguridad. Para ser efectivas, las políticas deben ser debidamente comunicadas a todo el personal de la empresa. La concientización es clave debido a que es el personal quien maneja a diario los sistemas y las informaciones, por lo que sin su compromiso no es posible mantener la seguridad.
• Firewall: La primera línea de defensa a nivel de la red la constituye por lo general el firewall, el cual analiza las conexiones entre redes y restringe el acceso de acuerdo a una política de seguridad. Aunque el rol del firewall ha ido cambiando y su función se ha combinado con otras anteriormente dispersas, el mismo sigue siendo un componente importante de nuestro arsenal de defensas siempre que sea correctamente gestionado. Esto incluye, entre otras acciones, mantenerlos actualizados, administrar las reglas de forma que implementen correctamente las políticas y auditar los eventos.
• Sistemas de Detección / Prevención de Intrusos: Estos sistemas monitorean el tráfico de la red y alertan y/o previenen cualquier actividad sospechosa en tiempo real. El reto con estos sistemas es disminuir la cantidad de falsos positivos (actividad legítima que se detecta como maliciosa), así como monitorear los eventos de forma activa e implantar procesos adecuados de intervención.
• NAC: Aunque una tecnología todavía emergente y de relativa poca adopción, el Control de Admisiones a Redes (NAC por sus siglas en inglés) permite inspeccionar los equipos que se conectan a las redes para determinar si los mismos cumplen con las políticas y estándares de seguridad, como por ejemplo contar con software antivirus y parches de seguridad requeridos. A partir de este resultado se puede permitir, restringir o negar el acceso del equipo así como generar alertas e incluso llevar a cabo la remediación correspondiente.
• Antimalware: Las tecnologías antimalware (las cuales protegen de amenazas como los virus, troyanos, gusanos, botnets, spyware y otras formas de código malicioso) continúan su evolución hacia sistemas más inteligentes, capaces de detectar las amenazas más sofisticadas y complejas sin depender principalmente de firmas estáticas. Estas por igual requieren ser gestionadas correctamente. Asegurar su correcta actualización y monitoreo son aspectos clave para mantener su efectividad.
• Encriptación: Puede ser considerada la última línea de defensa bajo este modelo. Encriptar o cifrar los datos protege la confidencialidad de los mismos durante su almacenamiento o transmisión por las redes. De esta forma, aunque los demás controles sean comprometidos, los datos permanecen seguros pues no podrán ser leídos a menos que sean descifrados. La seguridad de este mecanismo depende del manejo adecuado de las llaves utilizadas para descifrar los datos, por lo que se debe prestar especial atención a este aspecto.
• Seguridad Física: Aún tengamos las más estrictas medidas de seguridad lógica, esto no nos protegerá de un intruso que intente sabotear o causar algún daño físico a nuestros sistemas. Por esta razón debemos mantener controles de seguridad física adecuados, tales como CCTV, control de acceso físico, alarmas y vigilancia; particularmente en áreas sensibles como el centro de cómputos.

Finalmente, el involucramiento y compromiso de las distintas áreas de la empresa con los objetivos y actividades de seguridad es esencial para que se mantengan y mejoren a través del tiempo. Para tales fines es necesario promover los beneficios en términos de reducción de riesgos, protección de la imagen, continuidad comercial, cumplimiento regulatorio, entre otros.

Luego el perímetro se fue desvaneciendo, a medida que las organizaciones abrían sus redes a socios de negocio, proveedores, clientes y otros relacionados que requieren acceso a las informaciones y sistemas de la empresa. Entidades de todos tipos establecieron DMZs, VPNs, extranets y otras infraestructuras de acceso que exponen los sistemas internos ante redes externas y no confiables.

Este cambio hizo el atacar el perímetro irrelevante, pues ya no había tal perímetro según se conocía hasta entonces. Entre los años 2000 a 2005 los ataques se enfocaron en los servicios. Durante este período vimos amenazas como el gusano SQL Slammer, Sasser, Nimda, entre otros; los cuales aprovechaban vulnerabilidades en el software para atacar y propagarse. Por igual surgió una plétora de “exploits” y frameworks de los mismos, diseñados para atacar los huecos de software. La respuesta de la industria fue, como parecía lógico, atacar estas vulnerabilidades, por lo que vimos iniciativas de gigantes de la industria por mejorar las técnicas de programación y auditar el software con el objetivo de mitigarlas durante el ciclo de desarrollo.

Por un momento se llegó a pensar que esta sería la solución a todos los problemas de seguridad, ya que el software estaría libre de vulnerabilidades que atacar. Lamentablemente esto no duró mucho, ya que los atacantes adaptaron rápidamente sus técnicas y procedieron a atacar las aplicaciones web, haciendo populares los ataques de Inyección SQL y Cross-Site Scripting. Dada la “webificación” de gran cantidad de servicios, producto de lo que conocemos como web 2.0, el vector de aplicaciones web resulta crítico y ofrece al atacante un gran potencial de causar daños.

Las industrias de la tecnología y seguridad, así como entidades particulares, continúan adaptándose a este escenario. Sin embargo, todavía queda camino por recorrer e incluso hasta hoy se descubren con frecuencia huecos en el software que aprovechan amenazas como el gusano Conficker, Storm y otras formas de “malware”.

En la actualidad, la denominada capa 8 o el factor humano, así como el software cliente (Ej. navegador web) parecen ser los vectores más atacados por la última generación de amenazas. Lo cierto es que como disciplina seguimos jugando al gato y al ratón, y el gato está quedando como un tonto. Organizaciones en todos los sectores de nuestras economías, así como individuos o usuarios finales, siguen sufriendo las consecuencias de este enfoque reactivo de “descubrir y parchar”, donde son los malos quienes descubren y/o explotan nuestras debilidades y estas son corregidas sólo después de que el daño ya ha ocurrido, algo similar al hábito de “poner candado después que nos roban”.

El problema radica, en la opinión de muchos expertos, en que es más rentable emitir productos o sistemas vulnerables e ir corrigiéndolos sobre la marcha que invertir tiempo y recursos en protegerlos de forma proactiva. Lo mismo denota deficiencias en la cultura de gestión de riesgo, donde se valora funcionalidad sobre seguridad, robustez y calidad general de los productos de TI.

Podemos comenzar a atacar el problema considerando la seguridad como una dimensión fundamental de la calidad, a exigirla de nuestros proveedores así como a comprometernos con proveerla. Hasta que no logremos cambiar nuestro modelo de protección, continuaremos con un desfile de amenazas que parece no conocer límites.