Hace algunos años, los hackers emergieron como Robin Hoods modernos; héroes digitales que incansablemente descubrían debilidades en aplicaciones y redes con el fin de revelar los riesgos de utilizar imprudentemente la tecnología. Curiosos y provocadores, querían saber como funcionan las cosas – y cómo mejorarlas. Hoy en día, sin embargo, su prestigio de antaño se ha deteriorado.
Su buen nombre ha sido difamado por quienes, indiferentes ante nuestros legítimos intereses, actúan motivados por el dinero; atacantes que roban nuestros activos y mantienen rehenes a organizaciones como bancos y hospitales.
El año pasado, dos hospitales alemanes fueron víctimas de un ataque de ransomware, que obligaron a su personal a regresar al siglo pasado, restringiéndoles al uso de lápiz y papel. En una era de tantos avances digitales, y conectividad, los efectos de tales ataques pueden ser catastróficos. Habiendo fallado entonces los métodos tradicionales de defensa, ¿que puede hacer la industria para combatir a este tipo de adversarios?
En un panel de discusión en que participaron algunos de los especialistas más experimentados en seguridad informática, realizado en el marco de la conferencia IT-SA de Nuremberg, Alemania, se plantearon preguntas altamente relevantes sobre el predominio del malware y cómo es posible enfrentar las amenazas persistentes, en particular el ransomware.
La discusión fue presidida por Uwe Sholz, experto de la industria con base en Alemania, y contó con la participación de empresas de vanguardia en seguridad informática, como Menlo Security, Cylance, iT-CUBE SYSTEMS e Infinigate.
Sholz inició la discusión poniendo de relieve el actual panorama de la seguridad informática, caracterizado por amenazas en continua transformación y motivación, donde la industria intenta aguantar, pero al parecer se está quedando rezagada. Leif Dehio, Director de Desarrollo de Negocios en Infinigate, concordó en que “el panorama está evolucionando y las amenazas son cada vez más complejas. También ha cambiado la motivación para atacar las redes, desde el hacktivismo al botín económico”.
Según Alexander Bünning, director regional DACH en Menlo Security, la conectividad incluso ha agravado el problema: “se ha convertido en un negocio – estamos cada vez más conectados, con cada dispositivo que utilizamos, y mientras el atacante pueda hacer dinero, la empresa estará en riesgo”.
Asimismo, la evolución de la tecnología y los negocios implica que “casi por necesidad debemos incrementar la superficie expuesta a ataques”, según puso de relieve Anton Grashion, Senior Director Product Marketing EMEA, en Cylance, agregando que “es un círculo interminable; siempre estaremos creando oportunidades para los atacantes debido a que no podemos abstenernos de hacer cosas nuevas y diferentes, con el fin de mantener la competitividad en nuestros mercados”.
Un ejemplo de lo anterior es Janus Cybercrime Solutions, plataforma que facilita la distribución de ransomware, disponible para todos los interesados a cambio de un porcentaje de las ganancias de los atacantes. En julio de 2016, sus creadores anunciaron que los conocidos troyanos Petya y Mischa estaban en condiciones de operar como Ransomware-as-a-Service (RaaS), confirmando así las motivaciones financieras de quienes desean distribuir, y ampliar, la red de participación a un número incluso mayor de ciberdelincuentes.
Resumiendo brevemente lo anterior, Andreas Mertz, fundador y CEO de iT-CUBE, se refirió al ransomware como “el asalto moderno, nada más”, agregando que “la idea es que puedes tener este tipo de negocios debido a que el riesgo de ser enjuiciado es extremadamente bajo… y esa es precisamente la razón de que tengan tanto éxito”.
El apocalipsis de la seguridad – ¿hablamos de recursos o de tecnología?
Mertz explicó que “actualmente experimentamos una suerte de apocalipsis de seguridad. El problema es que el equipo técnico encargado de la seguridad de una empresa suele ser un simple anexo del departamento de TI. Es un equipo que nunca recibe el presupuesto ni las capacidades u otros recursos verdaderamente necesarios para poder responder a estas amenazas”.
El problema es de recursos y tecnología, especialmente en cuanto a la comunicación al interior de las organizaciones. En palabras de Dehio, “los equipos de seguridad no interactúan, y el CISO (Chief Information Security Officer) necesita los recursos necesarios para unir toda la información procedente de estas distintas fuentes para hacerse una idea cabal. ¿Cómo es posible conseguirlo?, señaló Dehio, a cuyo juicio “un aspecto crucial a futuro será la automación”.
En una oferta similar a la importancia de la comunicación fluida, la forma en que las nuevas tecnologías sean implementadas es fundamental. A juicio de Mertz, “la pregunta es cómo orquestar la tecnología con el panorama de procesos en la empresa … No se trata de comprar un dispositivo en particular; es necesario instrumentarlo todo y aplicar una gestión que haga posible el mayor nivel de seguridad posible”.
Asimismo, el tiempo es un factor decisivo. ¿Cómo se entiende el factor del tiempo entre atacantes y responsables de seguridad?. En palabras del Dr. Grashion, “como profesional de la seguridad no puedes crear tiempo, por lo te ves en la necesidad de fraccionarlo; el tiempo debe ser distribuido entre las distintas labores. Y con esta realidad como telón de fondo, te enfrentas a los individuos que quieren entrar a tu sistema. Ellos tienen sólo una tarea y todo el tiempo del mundo para conseguirlo”. Concordando con Dehio, el Dr. Grashion agregó: “tenemos que hacer algo; ya sea mediante la automación o una combinación de automación y más inteligencia”.
Refiriéndose a las ganancias de CryptoWall, Mertz señaló: “creo que fueron USD 80 millones el año pasado. Cuando el riesgo de enjuiciamiento es tan bajo, y los frutos de este trabajo tan elevados, no debe sorprender que los atacantes se tomen su tiempo para crear cepas más evolucionadas de malware con el fin de avanzar en sus propósitos”.
¿Requiere el ransomware ser específico para tener éxito?
Al parecer, las amenazas de seguridad llegan en oleadas. La última ola es el ransomware. Aunque la táctica fundamental no es nueva, el método de ataque continúa cambiando. Al parecer, el ransomware no sólo es un desafío técnico, sino algo que requiere ingeniería social por parte del atacante. ¿Es cierto esto? Se están informando los ciberdelincuentes sobre las organizaciones, y específicamente atacando aquellas donde identifican una mayor ganancia financiera?
“Cuando pensamos en lo que tradicionalmente ha sido el pago de rescate, siempre hablamos de objetivos específicos; sin embargo, el ransomware tiene una acepción más amplia”, dijo Bünning, a cuyo juicio “para ellos es muy fácil tener éxito debido a que hablamos de cantidad, no calidad”. El Dr. Grashion concordó con la anterior señalando: “su estrategia es disparar, impactar y esperar; esperan que una persona en la organización no tenga tiempo para revisar o mostrar escepticismo accionable, que es nuestra labor como profesionales de la seguridad”.
Mertz argumentó que actualmente la distribución es más específica: “se concentran en industrias más específicas; están buscando determinados sectores, como la industria de la sanidad, que es en extremo vulnerable debido a que carecen de capacidad financiera. Si un ransomware consigue entrar, no diferencia entre una computadora y un sistema de importancia vital, que mantienen viva a una persona en una sala de operaciones. Esto agrega una dimensión totalmente nueva al tópico”.
Este tipo de enfoque puede tener un serio efecto en las organizaciones, respondió el Dr. Grashin: “incluso cuando un atacante no dañe un elemento de importancia crítica en la infraestructura, consiguen alejar al personal de su trabajo cotidiano; la atención y cuidado de pacientes. Es algo que pude ver en el Reino Unido, y que puede ser paralizante”. La prueba de esto es el nivel de disrupción que causó un reciente ciberataque en un hospital de Lincolnshire, Reino Unido. Un virus que infectó las redes del hospital ocasionó un grave incidente que obligó a suspender durante 48 horas todas las operaciones, citas con pacientes y procedimientos de diagnóstico.
¿Pueden las actuales soluciones de seguridad resolver el problema de tiempo y dinero limitados?
El hecho de que actualmente el malware sea tan fácil de crear y distribuir plantea uno de los temas más relevantes en seguridad informática a las empresas. Los atacantes no son aquellos idealizados y estéreotípicos expertos en computación, que buscan robar secretos estatales. Dehio recalcó que “casi cualquier persona que pueda operar una computadora puede hacerlo; de hecho, puedes diseñar tu propio ransomware”. Las soluciones tradicionales de seguridad, basadas en firmas, no pueden hacer frente a estas amenazas. Tú creas un nuevo archivo, con una nueva zona de comprobación, que una solución de seguridad basada en firmas no reconocerá como malware. Por lo tanto, necesitamos otra solución, que sea más inteligente, predictiva, que sea capaz -antes que la aplicación sea ejecutada- decidir si es potencialmente malware.
Una forma en que las actuales soluciones están enfrentando la necesidad de anticiparse a las amenazas creadas por estos malignos actores anónimos es la prevención. Según Dehio, “necesitamos una solución que sea más inteligente, y que sea predictiva”. Mertz respaldó tal planteamiento señalando: “prevenga todo lo que pueda ya que si no lo hace tendrá que hacer frente a las consecuencias, con un elevado costo de tiempo y dinero”.
Durante los últimos 20 años, cada vez más elementos han sido agregados para “incrementar” la seguridad. El doctor Grashion enfatizó más aún la necesidad de impedir que los ataques ocurran, en lugar de tener que mitigarlos: “hemos agregado análisis conductual, hemos agregado heurística, hemos añadido sandboxing, hemos añadido EDR. Sin embargo, todas estas tecnologías son post ejecución”. Cylance es una empresa que está empleando un nuevo enfoque: “mediante la inteligencia artificial y el aprendizaje automático, han desarrollado una solución que puede ser instalada en el endpoint, y que antes de la ejecución podrá determinar si el archivo ejecutable es malware o no, y si es dable aceptarlo”.
El tiempo y el dinero son recursos limitados en comparación con la abundancia de variantes de malware que están siendo desarrolladas por adversarios en todo el mundo. Este problema se ve nutrido por un círculo vicioso “donde recibes alertas y es bastante difícil determinar su validez, ser crítico o no serlo”, según comentó Bunning. “Entonces, por supuesto, necesitas personal, necesitas inteligencia sobre las amenazas, y es aquí donde comienzas a hacer suposiciones. Qué pasaría entonces si no tuvieras que tomar estas decisiones, y simplemente asumir que todo es arriesgado? Tal es el enfoque de Menlo con su plataforma de aislamiento. “Colocamos un navegador suplente entre el usuario e Internet, manteniendo el contenido activo totalmente separados del endpoint”.
¿Qué recomendarían al CISO para enfrentar el problema?
Es bien sabido que los niveles de sensibilización frente a las ciberamenazas varían drásticamente de un individuo a otro, y de una organización a otra. Según un reciente informe elaborado por Ponemon Institute, el 78% de los empleados de TI encuestados en Estados Unidos y en Europa estaban en extremo inquietos por los ataques de ransomware. Sin embargo, a pesar de ello, sólo el 38% monitorizaba los archivos y actividad de correo electrónico de sus empleados; es decir, los principales vectores de ataque.
La recomendación de Bunning es “tomarse en serio la seguridad; esa es la clave”. Esta percepción es secundada por el Dr. Grashion, quien agregó: “no suponga que todo está previsto simplemente porque usted así lo cree… Usted necesita tener la absoluta certeza de que los modelos que ha aplicado para protegerse de hecho cubren los riesgos que usted está dispuesto a tomar”.
La inversión debe coincidir con el riesgo. Según señaló Dehio, “la pregunta es qué valor tiene la seguridad para usted y para su empresa. ¿Cuánto está usted dispuesto a invertir? Es claro que las soluciones de seguridad ya están asumiendo el reto. Sin embargo, esto en sí no produce un claro ganador en la competencia entre soluciones de seguridad y malware. Los atacantes son diversos, anónimos y numerosos. Incluso si esto último nos fuese cierto, en octubre de este año sólo se necesitó un joven de 18 años para accidentalmente detonar un ataque DDoS contra el servicio de emergencias 911 de Arizona.
El mensaje subyacente es urgente; es evidente el efecto que los actores malignos y su malware pueden tener, y están teniendo, en organizaciones grandes y pequeñas, individuos, e incluso en la infraestructura gubernamental. El cambio en la fuerza motriz de estas actividades; de hacktivismo a lucro, ya se ha producido. Si no queremos seguir siendo víctimas de los ciberataques, es preciso que cambiemos nuestra mentalidad, que seamos proactivos y recuperemos la ventaja que ahora tienen los malos actores.
Por Alan Zeichick
Versión en español exclusiva para Diario TI