Latinoamerica en la mira de la seguridad
Por: ADRIAN E. RODRIGUEZ, Director de consultoría Digiware del Perú
Durante los últimos 5 años se ha mantenido un confortable silencio en términos de seguridad de la información en países de la región de América del sur como Perú, Colombia y Ecuador, entre otros. La sensación de no ser un blanco directo de ataques, o de no ser potencias de la programación, ha relegado el avance de la conciencia corporativa de seguridad de la información en nuestros mercados.
Básicamente creemos estar seguros de que en nuestros países no pasa nada más grave de un virus informático; y probablemente nunca asociamos eventos sospechosos, o tratamos de mantener un silencio ante incidentes de seguridad que particularmente se podrían considerar menores.
La realidad oculta tras la cortina de humo que nosotros mismos hemos puesto en la zona es claramente más oscura y alarmante de lo que podríamos querer.
Inicialmente es conveniente saber que la crisis económica global, además de reducir presupuestos (especialmente los destinados a temas como seguridad), implica un crecimiento en los métodos alternativos de lucro personal. En otras palabras, al dinero fácil y al crimen. Y es en momentos como estos donde se puede percibir un repentino interés por el desarrollo de metodologías más avanzadas, organizadas y sistemáticas que aprovechan los puntos más vulnerables de la economía general.
Particularmente interesante, la realización de ataques con fines lucrativos, ya sean directos, por contratación de grupos delincuenciales, por espionaje industrial (competencia desleal), por difamación, o por el simple hecho de que un ex empleado descontento con el recorte presupuestal que lo dejó cesante, ahora busca algún tipo de venganza o “método alterno de lucro”.
Nuestra realidad nos permite afirmar que en culturas como la nuestra, predomina el “aseguramiento por obscuridad”. Es decir, un sistema del que no se conoce su funcionamiento o sus problemas, no puede ser inseguro. Aseguramos nuestra organización, manteniendo en secreto su funcionamiento, así como las plataformas que soportan su operación y los incidentes de seguridad que “nunca sucedieron”.
Durante los últimos 2 años se han venido sofisticando y casi que profesionalizando las metodologías de ataque, y más grave aún, se han venido parametrizando dichos ataques para aprovechar esta falsa sensación de seguridad de regiones como la nuestra.
Por un lado, se configura un ataque para que cumpla los horarios típicos más vulnerables, por ejemplo, configurar una red de zombis (máquinas que ya han sido comprometidas y se mantienen bajo el poder de un atacante como un “ejército silencioso”) para que ataquen de forma discreta y pausada, en intervalos lentos de conexión y de diferentes direcciones IP, justo en horario de almuerzo. Se eligen estos horarios porque estadísticamente durante el día se sospecha mucho menos de actividades de la red y porque culturalmente son horas mucho más susceptibles a abrir correo o navegar en páginas no corporativas.
Por otro lado se han encontrado virus y troyanos con fechas de propagación relativas a cada país, como las fiestas patrias en Julio, para el caso de Perú y Colombia, y similares para Ecuador.
El más popular es quizás el detalle con el que se ha conseguido suplantar entidades financieras de la región por medio de phishing. De hecho no ha sido difícil encontrar tecnologías de phishing en la región que incluyen tecnologías AJAX, ataques DNS, javascript avanzado y hasta intentos de suplantación en los certificados digitales. Todo esto teniendo muy en cuenta que para materializarlo en un ataque, antes ha habido un estudio del objetivo atacado.
Ha sido posible recoger evidencia de actividades inclusive totalmente centradas en la región, como es el caso de variaciones de virus codificadas solamente para la zona, con nombres y ataques de cada región. Como un ejemplo sencillo, el virus Medellín; variante creada y lanzada en Colombia con características típicas de la zona y para la zona.
Análisis como estos nos han permitido establecer zonas de particular interés en la región, como lo son las capitales de estos países, como fuente de ataques particulares, como zonas de implementación de metodologías y también como foco de interés para la adecuada implementación de metodologías de seguridad.
Se espera que este comportamiento siga su incremento exponencial en los próximos años. Primero por ser regiones cuya economía se considera en crecimiento. Segundo porque son zonas de refugio comercial para grandes multinacionales e inversionistas. Tercero porque ya se ha propagado la noticia de que nuestros niveles de conciencia e inversión en temas de seguridad de la información no son los suficientemente aceptables para el reto que se avecina.
Se han recopilado datos concernientes al origen de los ataques parametrizados, y es curioso identificar por ejemplo que un gusano que ha sido diseñado para atacar entidades financieras de nuestra zona, es lanzado desde direcciones IP de China o Rumania. Un alto porcentaje de las máquinas zombi que participan en los ataques coordinados, tienen IPs de Rusia o de República Checa.
Lo que todo esto nos dice que rápidamente nos estamos convirtiendo en un blanco de ataques realmente apetecible y muy atractivo para el lucro de grupos formalmente definidos, que ya han sido identificados como responsables por ataques altamente sistemáticos y organizados.
Si bien la seguridad se rompe desde el eslabón más débil, que es el factor humano, es un gran error el pensar que nuestro factor humano no tiene el nivel competente para realizar un ataque mucho más técnico o elaborado; o más aún, que no tiene los contactos o las comunicaciones con personas del resto del mundo que si los tienen.
No todo es negativo. Afortunadamente se ha venido lentamente despertando el interés particular de los gobiernos de la zona en la institucionalización de normativas para tratamiento y protección adecuados y seguros de la información, lo que ha creado algo de expectativa entre algunas organizaciones. Aunque el tema debe madurarse mucho aún, se tienen claros los principios de la seguridad. Desafortunadamente nuestras culturas se orientan mucho a la remediación en vez de la prevención; y son pocos los ejemplos de organizaciones que por iniciativa y conciencia, invierten esfuerzos adecuados y suficientes en la protección de uno de sus activos más valiosos: La información.
Acerca de Digiware
Digiware es una compañía especializada en seguridad de la información con una trayectoria de más de doce años en el mercado y con un enfoque integral en cuanto a las estrategias de protección de datos, lo cual le ha permitido profundizar en conocimiento y experiencia, para dar solución a las necesidades de sus clientes. Posee un portafolio integral de seguridad que incluyen soluciones, consultoría, capacitaciones y servicios gestionados de seguridad de la información. Posee, además, un grupo de expertos en seguridad de la información, con certificaciones internacionales - como CISSP®, CISM®, Lead Auditor ISO 27001®, CEH®, CBCP®, PMP®, GSEC®, GCFA®, CISA® - y experiencia en proyectos de seguridad en más de seiscientos clientes, principalmente en los sectores de Telecomunicaciones, Gobierno, Financiero, Industrial y Educativo. Actualmente Digiware tiene operaciones propias en Colombia, Ecuador, Perú y Estados Unidos y con alcance regional en Latinoamérica.