2011 fue un año dorado para los hackers. Se sucedieron las denominadas Amenazas Persistentes Avanzadas (APT, por sus siglas en inglés), los robos de información y los ataques a los cimientos de la infraestructura de Internet, incluso en forma de ciber-asaltos sobre autoridades de certificación. Fue un año en el que la seguridad corporativa se enfrentó a un nuevo nivel de desafío, y, en este sentido, 2012 ya se ha orientado con una situación igual de desafiante.

Publicidad

En los meses recorridos de 2012, la comunidad TI ha asistido ya a ataques contra la industria de defensa y aeroespacial, utilizando el troyano MSUpdater, además de la revelación de que varios hackers fueron capaces de mantener el acceso a los ordenadores de Nortel Networks hasta diez años después de que la compañía se declarara en bancarrota. Para las organizaciones, este desafiante panorama del mercado TI tiene un número importante de retos que deberán abordase en 2012, en especial, la prevalencia de las mencionadas Amenazas Persistentes Avanzadas (APTs) y la creciente inteligencia de la ingeniería social.

Los ataques de ingeniería social se dirigen a gente con un conocimiento tácito o acceso a información sensible. Los hackers, hoy en día, utilizan una gran variedad de técnicas de ingeniería social y se apoyan precisamente en las redes sociales para reunir información personal y profesional de individuos y así hallar el eslabón más débil para entrar en una organización.

Abordar los retos de seguridad actuales se traduce a menudo en tres puntos clave: políticas de seguridad, ejecución y formación. Los empleados deben ser conscientes de las amenazas a las que está sometida su compañía y las organizaciones necesitan  políticas y capacidades para controlar el nivel de acceso a la red, a las aplicaciones, así como los dispositivos corporativos, para de esta forma mejorar su estrategia de seguridad. Aunque es más fácil hablar de educación que ponerla en práctica, es un punto clave de la seguridad que con frecuencia se pasa por alto.

Una reciente encuesta de Check Point y Dimensional Researh realizada a profesionales de TI reveló que los nuevos empleados y las empresas contratantes creían sufrir un alto riesgo de ataques de ingeniería social. Sin embargo, sólo el 26 por ciento de las 853 respuestas reconocían prácticas de formación sobre esta materia, y el 34 por ciento señaló que no hacían nada por formar a sus empleados.

Considerando estas estadísticas, se constata el hecho de que una de las brechas más publicitadas de 2011, el caso de RSA, ocurrió  como resultado de un ataque de phising enmascarado en un mensaje de correo electrónico para un empleado sobre el “Plan de contratación de 2011” de la compañía. Reconocer las amenazas de ingeniería social puede marcar una gran diferencia y evitar los accidentes y las llamadas nocturnas de emergencia  del CISO (Chief Information Security Officer). La clave del éxito de cualquier ataque de phising es, por supuesto, la información y, cuando el objetivo es considerado de alto valor, los hackers reúnen todos los datos que sean posibles antes de lanzar su ataque.

Esto incluye utilizar redes sociales para lograr información sobre empleados u organizaciones concretas, que puede ser muy útil para realizar ataques dirigidos como los comentados en el caso de RSA. Dado el precio que adquieren las vulnerabilidades en el mercado negro -desde 50.000 a más de 100.000 dólares-, es mucho más fácil y económico intentar engañar a un usuario final para que instale malware que utilizar una vulnerabilidad desconocida.

Las Botnet y las APTs pueden ser la excepción. El virus Stuxnet, por ejemplo, necesitó de cuatro vulnerabilidades de Windows antes de extender su ataque por todo el mundo. El sello distintivo de un APT es que puede funcionar sin ser detectado y permanecer en las redes de toda la organización. Los hackers que se marcan como objetivo organizaciones concretas, están utilizando en la actualidad una combinación de técnicas de ataque, sigilosas y sofisticadas, aprovechando los bots para deambular de forma subrepticia  por la red de las organizaciones y conseguir reunir toda la información posible. Con frecuencia, el objetivo es robar datos sensibles que pueden salir de las redes corporativas de formas sobre las que es difícil sospechar, como información colocada en un archivo mp3 y descargada desde un servicio SoundCloud, por ejemplo.

Mientras que el robo de información es un objetivo inicial para muchos cibercriminales actuales, cada hacker o activista tiene sus propias motivaciones y objetivos, desde ganancias económicas hasta destrucción de activos empresariales. Por ejemplo, Stuxnet cambió la forma de pensar de muchos profesionales de seguridad, al advertir del modo en que el malware puede ser utilizado como arma y destruir la infraestructura entera de una organización. Ahora más que nunca, para frenar APTs y otras amenazas sigilosas, es preciso contar con una estrategia de defensa completa y multinivel.

Los profesionales en seguridad creen que todas las empresas deberían pensar que en algún momento pueden ser atacadas. Con esta idea en la cabeza, las organizaciones deberían prestar atención a las formas en que los atacantes intentan hacerse con la información, recreando y analizando los ataques del pasado para comprender dónde suelen estar los fallos y qué formas de prevención y protección deben implantarse. Esto puede suponer utilizar tecnologías de prevención de pérdida de datos, inspección de tráfico SSL, bloqueo de transferencias de archivos encriptados, así como reforzar la formación acerca de las buenas prácticas para la seguridad de los usuarios.

2011 fue un año dorado para los hackers. Puede que éste lo sea para la seguridad.