Una respuesta lenta de un incidente de seguridad IT, un gran negocio creciente de publicidad y una gran brecha de desconocimiento de herramientas alientan a un escenario donde el principal protagonista es la información privada.
por Osvaldo Callegari*
Los virus, malware, códigos maliciosos o amenazas a la información en Internet muestran cada día una arista comercial más que perjudicial, es necesario decirlo ya que la gran mayoría de malware por ejemplo está orientada a generar millonarios negocios en publicidad.
Cuando uno utiliza un navegador para visitar páginas de su interés aparecen múltiples opciones de dar clicks a publicidades o nuevas ofertas, este tipo de mecanismo dejan dividendos publicitarios, ya que potenciados por malware hacen que por más antivirus que tenga instalado sea imposible removerlos y cuando uno ya se cansa lo toma como habitual que cada vez que desea explorar Internet aparezcan barras de herramientas no solicitadas con publicidades molestas y obligatorias de leer.
Esto plantea que una de las posibilidades de que persistan este tipo de amenazas sea responsabilidad exclusiva de hackers o creadores de virus, sino por organizaciones perfectamente establecidas en la trastienda.
Es más fácil culpar hoy día a tal hacker o cracker dado que la forma de comprobar la veracidad de las acusaciones en muchos casos es no verificable, dado que si bien los datos son medios electrónicos y se pueden almacenar es prácticamente imposible constatar el origen de los mismos.
¿Qué sucede a nivel de principales gobiernos de potencias?, cuando detienen a un hacker o creador de virus, generalmente le dan empleo en trabajos de contrainteligencia. ¿Está bien contratar una persona con ese perfil psicológico?
El número de personas detenidas por malware o virus es prácticamente desconocido. Los interrogantes permanecerán sin respuestas como tantas cosas en este mundo apoyado en la tecnología.
Existe un problema real y burocrático en el mantenimiento de computadores o servidores en pequeñas y medianas empresas, la falta de actualización de las políticas de los cortafuegos conlleva al acceso de amenazas de grueso calibre.
Es habitual decir “La política de seguridad de aquel computador era del gerente que se fue” esto a sabiendas puede convertirse en una brecha de seguridad desatendida.
Actualmente las redes exigen cada vez más conexiones y configuraciones que hacen dificultosa la tarea de mantener la seguridad.
La llegada de la Nube aumentó mucho más la complejidad del mantenimiento; a su vez las reglas de seguridad son mas amplias y en algunos casos desconocidas. La tendencia según Young “es ir adoptando aplicaciones en línea para mitigar este problema”.
Investigación de empresas como Symantec nos dan un panorama desde sus antecedentes.
Antecedentes
Este indicador evalúa los países en la región de América siendo ésta donde se lleva a cabo o se origina la mayor cantidad de actividad maliciosa a nivel mundial. La actividad maliciosa suele afectar a computadoras que se conectan a Internet mediante banda ancha de alta velocidad dado que estas conexiones son objetivos atractivos para los atacantes. Estas conexiones ofrecen mayor capacidad de ancho de banda que otros tipos de conexión, mejor velocidad, la posibilidad de contar con sistemas continuamente conectados y generalmente una conexión más estable.
Symantec clasifica las actividades maliciosas de la siguiente manera:
* Código malicioso - Incluye virus, gusanos y Troyanos que se introducen en forma oculta dentro de los programas. Entre los objetivos del código malicioso se encuentran la destrucción de datos, la ejecución de programas destructivos o intrusivos, el robo de información confidencial o sensible, además de poner en peligro la seguridad o integridad de los datos informáticos de la víctima.
* Zombies de Spam - Se trata de sistemas afectados que se controlan de manera remota y se utilizan para enviar grandes volúmenes de correo electrónico basura o no deseado (spam). Estos mensajes de correo electrónico pueden utilizarse para transmitir código malicioso y/o realizar intentos de phishing.
* Hosts de phishing - Un host de phishing es una computadora que ofrece servicios como aquellos de los sitios web para intentar obtener en forma ilegal información confidencial, personal y financiera simulando que la solicitud proviene de una organización confiable y reconocida. Estos sitios web están diseñados para simular los sitios de empresas legítimas.
* Computadoras infectadas por bots - Se trata de computadoras que han sido comprometidas y cuyos atacantes las controlan de manera remota. Habitualmente, el atacante remoto controla una gran cantidad de equipos afectados por medio de un canal único y confiable en una red de bots (botnet) que luego se utiliza para lanzar ataques coordinados.
* Orígenes de los ataques a redes - Se trata de las fuentes que dan origen a los ataques por Internet. Por ejemplo, los ataques pueden dirigirse a vulnerabilidades de protocolos SQL o desbordamiento de búfer.
* Orígenes de ataques basados en web - Mide las fuentes de ataques que llegan a través de la Web o por HTTP. Por lo general, esto afecta a sitios web legítimos que se utilizan para atacar a visitantes desprevenidos.
Metodología de la actividad
Para determinar la actividad malware por país, Symantec ha reunido datos geográficos sobre diversas actividades maliciosas que incluyen informes de código peligrosos zombies de spam, anfitriones de phishing, ordenadores infectados por bots y orígenes de ataques de red. Después, se determina la proporción de cada una de estas actividades originadas en cada país, según la región y se calcula el promedio de los porcentajes de cada actividad. Este cálculo permite establecer el alcance y la propagación en cada sector, pudiendo establecerse estrategias para estar a la vanguardia en defensa.
Las amenazas de código malicioso se clasifican en cuatro tipos principales, puertas traseras (backdoors), virus, gusanos y Troyanos:
* Puertas traseras (backdoors) - Permiten que un atacante acceda en forma remota a computadoras afectadas.
* Troyanos - Son códigos maliciosos que los usuarios instalan en sus computadoras sin darse cuenta, por lo general abriendo adjuntos de correo electrónico o realizando descargas desde Internet. Habitualmente, es otro código malicioso el que descarga e instala el troyano. Los programas troyanos difieren de los gusanos y los virus porque no se propagan por sí mismos.
* Virus - Se propagan mediante la infección de archivos existentes en computadoras afectadas con código malicioso.
* Gusanos - Son amenazas de código malicioso que pueden replicarse en computadoras infectadas o de algún modo que facilite su copia a otro equipo por ejemplo: A través de dispositivos de almacenamiento USB.
Muchas amenazas de código malicioso tienen múltiples características. Por ejemplo, una puerta trasera siempre se encuentra junto con otra característica de código malicioso. Normalmente, los backdoor también son Troyanos; no obstante, muchos gusanos y virus también incorporan la funcionalidad de puerta trasera.
Además, muchas muestras de código malicioso pueden clasificarse como gusano y como virus debido al modo en que se propagan. Una de las razones de esto es que los desarrolladores de amenazas intentan activar el código malicioso con múltiples vectores de propagación para aumentar las probabilidades de afectar con éxito a las computadoras durante los ataques.
Este análisis se basa en muestras de código malicioso detectadas por Symantec a comienzos del 2012.
Sugerencias a empresas
* Emplear estrategias de defensa a profundidad.
* Apagar y eliminar servicios que no son necesarios.
* Si algún código malicioso o alguna otra amenaza explota uno o más servicios de red, deshabilite o bloquee el acceso a esos servicios hasta que se aplique un parche.
* Aislar las computadoras infectadas.
* Mantener los parches actualizados.
* Implementar soluciones de acceso y cumplimiento de políticas de red.
* Crear y establecer políticas efectivas de contraseñas y control de dispositivos.
* Configurar los servidores de correo para bloquear o remover los correos con archivos adjuntos que son usados con frecuencia para diseminar virus.
* Asegurarse que los procedimientos de emergencia estén vigentes y eduque a sus empleados para no abrir archivos de remitentes desconocidos ni descargar software que no ha sido escaneado previamente.
Sugerencias a los consumidores
* Tener contraseñas con una mezcla de letras y números y cambiarlas con frecuencia. Las contraseñas no deben tener palabras del diccionario
* Nunca ver, abrir o ejecutar archivos adjuntos de correo electrónico a menos que se estén esperando y que se conozca el propósito de los mismos.
* Mantener las definiciones de virus actualizadas regularmente.
* Verificar periódicamente para ver si su sistema operativo es vulnerable a las amenazas.
* Nunca revelar información personal o financiera confidencial a menos que y hasta que se pueda confirmar que la solicitud de dicha información es legítima.
* No realizar actividades de Internet de alto riesgo, como transacciones bancarias o compras en línea, desde computadoras públicas.
* Evitar pulsar clic en enlaces o archivos adjuntos en mensajes de correo electrónico o mensajes de Mensajería Instantánea, puesto que estos también pueden exponer los equipos a riesgos innecesarios.
* Utilizar una solución de seguridad de Internet que combine antivirus, firewall, detección de intrusos y gestión de vulnerabilidades para brindar máxima protección contra códigos maliciosos y otras amenazas.
* Tener parches de seguridad actualizados y que se apliquen oportunamente.
A su vez existe una problemática con la definición de los encargados de seguridad informática, es necesario hacer hincapié en la capacitación constante en pos de la mejora continua, el entrenamiento debe establecerse como obligatorio con períodos cortos entre semanas asegurando la información ante nuevas amenazas.
Como guía adicional los 20 errores críticos de seguridad según Sans, la información de esta tabla es recopilada por empresas que han pasado por este tipo de situaciones, las cuales reportan a la organización para mitigar los efectos.
1. Nuevos equipos incorporados a la red sin autorizar o nuevos dispositivos sin verificar
2. Nuevas instalaciones de software sin verificar o software sin validar.
3. Configuraciones seguras para Hardware y Software en equipos portátiles, estaciones de trabajo y servidores
4. Vulnerabilidades continuas sin protocolos de solución
5. Defensa ante códigos maliciosos
6. Sistemas para protección de la seguridad del software
7. Control de dispositivos inalámbricos
8. Capacidad en la recuperación de datos
9. Nivel de capacitación ante amenazas y detección de brechas de seguridad
10. Configuraciones seguras de cortafuegos, enrutadores y switches.
11. Limitación y control de los puertos de la red, protocolos que se usan y servicios habilitados
12. Control del uso de los privilegios administrativos
13. Defensa del perímetro de la red
14. Mantenimiento, supervisión y control de las auditorías de seguridad.
15. Control de acceso basado en ¿Quién es la persona?
16. Monitoreo y control de cuentas
17. Prevención en la pérdida de datos
18. Capacidad de respuesta ante incidentes
19. Seguridad de la ingeniería de las redes (Cableados y conexiones)
20. Test de penetración de la red y ejercitación de contramedidas.
Las marcas y productos mencionados son marcas y productos registrados de sus empresas. Análisis de Laboratorio provisto por Symantec.
*Si desea puede escribirle al autor de este artículo por consultas o inquietudes a [email protected]
Deje su comentario