Algo anda totalmente mal con la ciberseguridad. Han sido dos décadas de inversión en hardware, software y servicios de seguridad, ¿y qué tienen que mostrar las empresas y los gobiernos? lo que hemos visto sido una continua sucesión de brechas de seguridad. Los exitosos ataques de ransomware abarcan desde expedientes de hospitales hasta datos de investigaciones policiales. Se ha hurtado información personal de maestros de escuela con el fin de utilizarla para robos de identidad. Llueven las acusaciones de acciones cibernéticas patrocinadas por gobiernos.
Todo, desde las redes sociales a los teléfonos móviles hasta los servicios basados en la nube, son vulnerables al delito cibernético. Afortunadamente hay nuevas áreas de innovación que podrían revertir la situación, ofreciendo el potencial de dar a las víctimas (o potenciales víctimas) la capacidad de defenderse. O si se prefiere, no de defenderse sino de contar con la mayor eficacia posible para prevenir ciberataques.
Los fundamentos de la seguridad importan
¿Por qué la ciberseguridad sigue siendo un problema tan formidable? ¿Se debe acaso a que los “buenos” no tienen las herramientas adecuadas, o no han comprado la tecnología adecuada? “Por el contrario”, dijo Dave Lewis, un consultor de seguridad, a cuyo juicio la razón verdadera es que las empresas no están manteniendo prácticas adecuadas, como mantenerse al día con parches de software y alertas de seguridad. “Lo único que a mi entender es un problema fundamental es nuestra incapacidad como defensores de hacer un buen trabajo asegurándonos de que tenemos todos los parches al día, que estamos monitorizando las conexiones, y sabemos que está circulando por nuestras redes”.
Lewis continuó: “Consideremos la brecha que afectó a la empresa Target. Tenían todas las herramientas. Tenían todo lo que necesitaban. Desafortunadamente, nadie estaba prestando atención a las herramientas; es decir, no se estaba cumpliendo la labor principal de los defensores. Podemos comprar todas las cajas con luces multicolores, suscribirnos a todos los servicios imaginables, pero nada cambia el problema fundamental de la actitud frente a la seguridad informática”.
“El desafío de contar con una base segura es que, bueno, la seguridad es un problema complejo que no puede simplificarse”, dijo Lloyd Webb, Sales Engineering Director en Cylance. “La complejidad es una consecuencia natural de lo que estamos haciendo. Es nuestro ámbito de acción. Estamos lidiando con la complejidad. Es casi como quejarse de que el mar está mojado. Debido a que en nuestras organizaciones hacemos más cosas, cuya diversidad va en aumento, también aumentamos la superficie de ataque. Ahora bien, esto puede ser visto como una versión matemática en las capas de desarrollo de software, en términos de cuantos puertos están en realidad abiertos, y que pueden ser atacados”.
Una de las principales razones de dicha complejidad radica en las interfaces entre diferentes partes de sistemas, que Webb denomina bordes. “Son los bordes entre el chip y el sistema operativo, entre el sistema operativo y las aplicaciones, entre las aplicaciones y los usuarios. Tenemos cada vez más bordes a tener presentes en nuestra tarea; por lo tanto, esa es una oportunidad para que algún intruso introduzca una cuña digital que le permita entrar a su organización”.
Webb añadió que “Mientras tanto, las viejas amenazas siguen apareciendo también. No estamos resolviendo todos los problemas a medida que avanzamos. Resolvemos algunos, pero no siempre. Tomemos, por ejemplo, las inyecciones SQL. Aunque sabemos perfectamente cómo funcionan las inyecciones SQL, éstas siguen siendo utilizadas como forma de ataque”.
“Definitivamente tenemos un problema si nos quedamos en la parte básica”, dijo Anton Grashion, Director Senior de Marketing de Producto de Cylance. “Sin embargo, estamos espoleando a un caballo muerto si creemos que nuestros usuarios van a hacer lo correcto. Están haciendo constantemente lo incorrecto. Tenemos que empoderarlos con tecnología para ayudar a prevenir que algunas de estas cosas se lleven a cabo. Aunque la educación del usuario y la conciencia son importantes, nunca debemos esperar que ellos hagan lo correcto. Siempre hacen lo incorrecto y tampoco creo que debamos culparlos por ello”.
No hay una solución perfecta, no hay productos mágicos
Jason Steer, arquitecto de soluciones para Menlo Security, hizo referencia a una creencia común: “Que si sólo encontramos el producto adecuado, la solución definitiva, su empresa estará segura. Algo que he visto cómo vendedor de tecnología de seguridad, es que muchos clientes piensan que pueden tapar con papel las grietas fundamentales de seguridad. No se puede esperar que un producto que resuelve una pieza del rompecabezas solucione el rompecabezas completo y por lo tanto, si compro este producto ahora estaré seguro”.
El mismo punto fue repetido por Carl Gottlieb, CTO & Founder de Cognition. “Cada cliente que alguna vez ha comprado algo como antivirus se ha dicho a sí mismo: ‘esto es bueno’ – pero luego si sufren una brecha se dan cuenta que no les gusta y a futuro buscarán un producto distinto”. ¿Por qué? “La gente está adquiriendo tecnología mal vendida porque ningún proveedor admitirá dónde están sus defectos”.
El resultado, insiste Gottlieb, es la falta de credibilidad en la industria, lo cual es un problema porque los clientes están igual de interesados en la honestidad como en las especificidades del producto de tecnología en particular. “Por ello, algo que veo constantemente es clientes que preguntan ¿quiénes son los vendedores más honestos? ¿Quiénes son los que realmente están mostrando credibilidad ya sea en el canal o el mercado en general? los clientes se están verdaderamente conectando con quienes demuestran tener credibilidad”.
De seguimiento -y automatice- los procesos definibles y repetibles
Recogiendo el tema de las personas que hacen lo equivocado: “Hemos estado hablando de la automatización como la cura para el error humano en los últimos 30 años”, dijo Steve Broadhead, fundador y director en Broadband-Testing. “Se ha alcanzado varios niveles de automatización, pero todavía no hay nada, en general, que impida que la gente de forma deliberada o accidental ocasione un problema. Entonces, ¿cómo podrá la industria impedir que la gente haga algo estúpido cuando su intención no es causar daño?”
“Definir procesos repetibles”, respondió el consultor de seguridad informática Lewis. “Este es un viejo concepto que constantemente pasa inadvertido en los entornos de TI. Si hemos identificado los procesos definidos y repetibles, podemos bajar las tasas de incidencia. Eso nos permite dedicar más tiempo a trabajar en proyectos que son relevantes para la organización”.
Es algo que potencialmente puede afectar a toda la industria, dijo Lewis. “No es un caso de usuarios estúpidos. Porque no lo son. Ellos saben lo que necesitan hacer. El problema es más bien que a veces necesitan ayuda para definir sus necesidades y requisitos. Si les vendes un producto que no les ayude, se enojarán, se molestarán, anularan el pedido, comentarán la situación a sus amigos, y estos a los suyos; en conclusión, un revés para el vendedor”.
Webb, de Cylance estuvo de acuerdo, haciendo referencia a los incesantes falsos positivos que inundan muchos equipos de seguridad. “Si has tenido un ataque y estás siendo inundado por todas estas alertas, es realmente una cuestión de volumen. ¿Cómo puedes, en tal situación, realmente identificar los elementos cotidianos verdaderamente relevantes? Por lo tanto, si podemos ayudar a reducir algo de ese ruido y realmente identificar para ellos las cosas más importantes, tal vez con alguna automatización, ahí es donde debemos dirigirnos como industria”.
¿Quién toma las decisiones sobre los procesos, procedimientos y protocolos? “Eso puede ser problemático”, señaló Jason Steer, de Menlo Security. “A menudo pedimos a los usuarios -y no estoy hablando de profesionales de la seguridad- tomar decisiones sobre incidencias frente a las cuales no tienen capacidad de tomar decisiones. En mi propio caso, hace muchos años, cuando por primera vez instalé un firewall personal en mi PC, constantemente recibía mensajes que esta o aquella dirección IP quiere conectarse a este o ese otro puerto utilizando este o aquel servicio, permitir ¿sí o no? Seguro, ¿por qué no? Sí, déjate llevar”.
El phishing a menudo funciona, por desgracia
“En el entorno empresarial, los empleados de todos los niveles están bajo presión de tiempo para hacer su trabajo, incluyendo el procesamiento de grandes volúmenes de correo electrónico”, añadió Steer. “Es por eso que muchos de los ataques de phishing funcionan, es porque la gente necesita hacer su trabajo. Es la naturaleza humana. Si usted permite a la gente a cometer errores, entonces lo harán. Necesitamos procesos bien definidos. Pero también tienes que automatizar algunos de esos procesos, porque si tienes una política imposible de cumplir, entonces tienes un problema, porque la gente bajo presión hará cosas extrañas”.
“Si bien el phishing es un problema enorme, no solo debemos preocuparnos por el correo electrónico”, dijo Dennis David, fundador, CEO y presidente de Agenda LLC. “Hacen una llamada telefónica y aplican la ingeniería social: ‘Oye, soy Dennis de tu departamento de TI. Vi que tenías problemas con tu correo electrónico. ¿Cuál es tu contraseña?’ No creerías cuántas personas te dicen su contraseña sin reparo alguno”.
Los incidentes de este tipo pueden ser muy costosos. “En 2015 una compañía llamada Ubiquity en Silicon Valley sufrió pérdidas de 40 millones de dólares por ese tipo de fraude”, recordó Grilling, de Cylance. “El CFO recibió un correo electrónico del CEO donde le pedía por favor transferirle dinero a una cuenta en China. El fraude tuvo éxito porque era tarde el viernes y el CFO quería salir de la oficina. La brecha fundamental fue que nadie hizo una sola comprobación. El CFO no llamó al CEO para preguntarle ¿de verdad me enviaste este correo electrónico? Una simple llamada telefónica habría revelado la brecha. Una y otra vez constatamos que si hay algo que los atacantes hacen muy bien es encontrar las lagunas en el proceso para detectar dónde está el eslabón más débil”.
Otro ejemplo fue proporcionado por Gottlieb, de Cognition, quien planteó el caso de un empleado de recursos humanos tratando de llenar urgentemente un puesto de trabajo. “Su trabajo es considerar nuevos candidatos para la organización, y eso significa estudiar CVs y referencias. Mientras tanto, el administrador de seguridad le dice que nunca debe abrir documentos en PDF u otros de personas que no conoce. Entonces, ¿que es válido? Tienes dos políticas que están en conflicto”.
La respuesta, a juicio de Gottlieb y otros, radica en la tecnología. “El malware es un problema tecnológico que podemos resolver para permitir que la gente haga su trabajo, que les permita ayudar al negocio”, insistió. “Es una solución tecnológica. Podemos capacitar a la gente todo lo que queramos, pero todo el mundo hará clic en un correo electrónico en sus teléfonos, sin examinarlo a fondo, porque esa es la realidad. Tenemos que admitir que la capacitación es irrelevante. La tecnología es la primera línea de defensa y ahí es donde debemos concentrarnos”.
Ransomware: Efectivo pero con errores
“El ransomware es otro nombre nuevo para un viejo problema”, dijo David, de Agenda. “Ransomware equivale a un malware que, en general, es introducido mediante un correo electrónico, normalmente una campaña de phishing, y cuando el usuario hace clic en el elemento equivocado, se instala el ransomware”.
¿Qué pasa entonces? Operando en segundo plano, el ransomware va a cifrar silenciosamente todo lo que puede ver y luego tratará de enviar esa información a la unidad de control. El controlador de ransomware entonces intenta extorsionar al usuario y después que la víctima paga los criminales descifrarán los datos – en teoría. “No siempre”, dijo David. “El problema es que gran parte del malware no está escrito muy bien, por lo que no puede darse por descontado que funcionará. La mitad de las veces, no podrán encontrar tu clave de cifrado. Pueden encriptar tus datos y enviar la clave al centro de control, pero éste sencillamente no la recibe, por lo que no pueden proporcionar la clave de descifrado a la organización que está siendo extorsionada. Por lo tanto, incluso si la víctima paga, nueve de cada diez veces no va a recuperar sus datos. En tal caso, está en un problema bastante serio”.
Y las probabilidades son que si los datos perdidos o robados implicaban información financiera o de clientes, la violación de seguridad significa que la organización afectada ha incurrido en una infracción a las leyes.
La observancia de las leyes no es lo mismo que observancia de seguridad
Muchas organizaciones grandes se enfocan en el cumplimiento de la normativa vigente, demostrando que sus procedimientos, políticas y tecnologías se ajustan a las regulaciones gubernamentales, las normas de privacidad o los estándares de la industria. Simplemente porque una organización puede demostrar que está cumpliendo las normativas aplicables, no significa que la organización sea segura, pero es un comienzo.
“No mire el cumplimiento con la mentalidad de marcar las casillas adecuadas, para cerciorarse de que no será demandado”, aconseja el consultor Lewis. “Mírelo más bien como un vehículo para impulsar la seguridad dentro de su organización. Puede usar el cumplimiento para obtener un presupuesto y, a continuación, impulsar proyectos para obtener seguridad”. Lewis señaló que tal observancia es simplemente una referencia con normas externas: “Es sólo el mínimo. Utilice el cumplimiento como un elemento que ayude a asegurar mejor a la organización”.
Steer, de Menlo Security dijo: “Las empresas hoy en día quieren una respuesta cerrada, de una sola palabra, a un problema que es mucho más complejo que la observancia legal. Va a tomar años de lecciones aprendidas por el incumplimiento. Estos son los procesos correctos, estos son los controles correctos, estas son las medidas correctas, estas son las salidas adecuadas para medir algo que la mayoría de las empresas no tiene ahora. Los CIOs y los CISOs deben ser capaces de decir ‘No, no estamos seguros. Nunca vamos a estar seguros’, sin temor a perder su trabajo”.
“Desde el punto de vista de la ciberseguridad, las personas y las empresas necesitan entender que la ciberseguridad y la observancia legal son dos elementos diferentes”, dijo David de Agenda. “Están emparentados, pero no son la misma cosa. Hay situaciones de protección de datos, que es algo totalmente distinto a la protección de la seguridad”.
David continuó: “La seguridad cibernética procura que tu red sea segura, que tus usuarios puedan usar con seguridad los servicios y herramientas que les proporcionas, y a la vez no perder sus datos”.
¿Perímetro? ¿Qué perímetro?
Broadhead, de Broadband-Testing, apuntó a soluciones emergentes para los problemas de seguridad urgentes, y aunque ninguno de ellos está en la categoría de fórmula milagros que pueden resolver los problemas de seguridad de toda una organización, sí pueden ofrecer valiosa protección de una manera que la tecnología antigua no podía lograr. Como ejemplo citó la revolución en la protección del perímetro.
“Tienes a los tipos que han estado invirtiendo en firewalls y tecnología relacionada, filtrando durante los últimos 15, 20 años”, dijo Broadhead. “Y ahora se encuentran con una compañía que dice: ‘No, esa no es la forma de hacerlo, eso ya no funciona, necesitas usar esto.’ ¿Cómo le explicas eso a un CISO?”.
Webb, de Cylance dijo: “El perímetro duro que podías fortificar ha desaparecido. Ya no hay perímetro. Se trata de múltiples capas de protección y de hacer lo correcto para el usuario. Una de las cosas más importantes en la industria en este momento es volver a la prevención. ¿Qué podemos hacer para prevenir más ataques, para así poder disponer de la gente, el tiempo y los recursos para concentrarnos en las cosas que realmente importan a una organización?”
David, de Agenda, estuvo de acuerdo. “Vodafone perdió los números de teléfono y detalles bancarios de millones de personas. La mayoría de los errores como estos, si no todos ellos, se cometieron porque alguien dentro de su red, alguno de sus usuarios hizo algo que probablemente no debería haber hecho, ya sea accidental o deliberadamente, y debido también a que ha desaparecido el viejo adagio de con sólo tener un sólido perímetro y un gran firewall se deja fuera a todos los chicos malos. Ya no funcionan así las cosas”.
Inteligencia Artificial y Aislamiento
La inteligencia artificial es una herramienta utilizada por Cylance y otros para centrarse en la prevención, dijo Grashion, de Cylance. “La IA es una herramienta que se encuentra en una etapa evolutiva, y hay algunas cosas a las que realmente se adapta bien y algunas cosas donde es probablemente menos adecuada. Evoluciona con el aprendizaje automático, redes neuronales y nuevos avances”.
“Siempre uso la analogía de una pistola de clavos”, continuó Grashion. “Usted puede usar una pistola de clavos para colocar clavos rápidamente, o puede usar el extremo de la pistola de clavos como martillo. Puede utilizar las herramientas de manera apropiada e inapropiada. Por el momento ni siquiera puedo ver una aplicación donde la IA sería inadecuada. Pero si no innovamos, si no mantenemos la curva de la innovación al ritmo de los actores maliciosos, entonces estamos realmente en un juego que perderemos porque nos iremos rezagando cada vez más”.
Menlo Security utiliza un nuevo enfoque denominado aislamiento, que asume que todos los archivos y sitios web son maliciosos y abre todos los sitios y documentos en un entorno seguro y aislado de la nube que protege los endpoints y redes empresariales del malware. “El aislamiento se concentra en la prevención, sin intentar determinar comportamiento bueno o malo. Después de todo, tenemos 20 años de firewalls, antivirus, sandboxes, tratando de determinar el comportamiento bueno y malo, y han fallado. Dar un paso atrás y no tener que confiar en esos datos para decidir si algo es bueno o malo es refrescante porque abandonamos la idea de tener que discernir. Convertimos algo que era malicioso en algo seguro”.
Simplemente porque construyes una mejor ratonera no significa que la gente vaya a comprarla, dijo Gottlieb, de Cognition, quien puso el ejemplo de ataques distribuidos de denegación de servicio (DDoS), recalcando que aunque la tecnología está disponible para detenerlos, no está siendo ampliamente adoptada. “¿Qué podemos hacer con DDoS? Mucho. Usted puede protegerse contra DDoS de manera muy, muy fácil si paga por el servicio. El reto es que nadie está pagando porque no lo valoran lo suficiente”.
Mantenga la cabeza en alto para evitar problemas y encontrar soluciones
Es fácil sentirse abrumado. Hay tantos ataques, tantos agentes maliciosos, y tantas soluciones en el mercado – y toneladas de afirmaciones sobre soluciones milagrosas que resolverán todos sus problemas, sin importar sus necesidades. ¿Qué debe usted hacer? Resuelva los requisitos, luego hable con los vendedores … incluso si eso significa muchos, muchos vendedores.
Webb, de Cylance dijo: “Muchos clientes están desbordados por los vendedores que los llaman y les dicen que pueden solucionar sus problemas. Hay más nuevas startups de seguridad que en cualquier otro momento en la historia de Silicon Valley. Desde la costa este y la costa oeste de Estados Unidos hasta Israel, hay un increíble nivel de innovación”.
¿Tal vez demasiada? Webb dijo: “conocí a un CIO la semana pasada, quien dijo ‘tengo 50 vendedores diciéndome que pueden resolver mi problema’. No tiene tiempo siquiera de hablar con dos de ellos, pero tiene 50 persiguiéndolo para ofrecer su ayuda. Mi reacción sería cerrar las persianas y decir, esperemos hasta el próximo año y veamos qué pasa entonces”.
Un lugar para buscar respuestas es la nube, dijo Steer, de Menlo Security. “Hay numerosos beneficios al migrar a la nube. Sin embargo, desde una perspectiva de cliente, no están muy seguros de estar listos para la nube todavía. Las empresas suponen que sólo puede replicar lo que han hecho en sus propias instalaciones durante 20 años y asumir que podrán hacer lo mismo en la nube, cuando no es así. Pero las empresas aplican un modelo con una data de 20 años sobre observancia legal, riesgo y seguridad – y piensan que eso todavía tiene sentido en la nube. No es así”.
Un consejo final de David, de Agenda: “La gente necesita ser consciente de lo que ocurre a su alrededor, es decir, tener la mirada en alto y ver lo que está pasando, en lugar de mirar hacia abajo como las ovejas que normalmente son. En realidad, son cabezas mirando las pantallas de teléfonos celulares. Pero si levantan la mirada y ven lo que ocurre a su alrededor, entonces realmente podrán identificar los problemas. Podrían eludir ese agujero de seguridad y evitar caer si realmente miran hacia arriba y se percatan de lo que está pasando”.
Por Alan Zeichick
Versión en español, exclusiva para Diario TI
Sobre el autor
Alan Zeichick es ingeniero de software y analista de sistemas. Ha trabajado como escritor, editor y analista tecnológico desde 1980. Fue fundador de SD Times y cofundador de Network Magazine, junto con desempeñarse como redactor jefe de LAN Magazine y redactor de Computer Security Journal. Sus trabajos han sido además publicados por Computer Security Institute.
