Ataques persistentes, lo que hay que saber

Gobiernos y compañías son blanco de esta nueva y temible ofensiva de los delincuentes informáticos

Por Cintia Perazo

 

 

 

Marcelo Fandiño, de EMC Cono Sur. 

Foto: LA NACION

Algunas compañías los llaman ataques sociales porque se filtran en las empresas a través de los Web mails de los empleados y de los datos que suministran en las redes sociales. A este tipo de ataques planeados y a los que se dedica tiempo y recursos se los denomina ataques persistentes.

Al ser persistentes, las técnicas de seguridad son más complejas, ya que la acción de detección y bloqueo del ataque no es única, sino que también debe sostenerse a lo largo del tiempo. "Un ataque no persistente puede ser, por ejemplo, la infección con un troyano. En ese caso, si al momento de la ejecución el usuario posee un antivirus, éste detectará la amenaza y bloqueará la ejecución, por única vez", explica Sebastián Bortnik, coordinador de Educación e Investigación de ESET Latinoamérica.

Detrás de los ataques dirigidos nunca se encuentra una sola persona, sino todo un equipo de gente que trabaja en algún módulo específico del ataque. Todo el trabajo del desarrollo e implementación suele tomar meses, según fuentes consultadas. "Por lo general, antes de lanzar un ataque dirigido se realiza un trabajo minucioso de la inteligencia física. Es decir existe personal adentro de las empresas que con su consentimiento o sin él facilita la información básica necesaria acerca de los sistemas y las plataformas tecnológicos", asegura Dmitry Bestuzhev, director para América latina del Equipo Global de Investigación y Análisis de Kaspersky Lab.

"Normalmente este tipo de ataque era dirigido a un país para obtener información gubernamental sobre armamento, defensa y secretos militares. Ahora se expandió y buscan, también, bienes digitales, es decir, información crítica o cualquier propiedad intelectual que pueda estar dentro de la red. También tratan de acceder a sistemas críticos de un país o a su infraestructura", cuenta Marcelo Fandiño, gerente Regional de EMC Cono Sur, propietaria de la firma de seguridad RSA.

Nadie se salva

"Existen dos tipos de empresas: las que fueron atacadas y las que van a serlo." Esta frase se escucha dentro de la mayoría de las compañías de seguridad, porque incluso los especialistas saben que ninguna empresa es inviolable. Incluso las más chicas están siendo objeto de ataques no sólo por la información que guardan, sino porque pueden, a través de sus redes, ingresar a otras empresas, que son el verdadero objetivo. "Aunque los incidentes a gobiernos o grandes empresas suelen tener mayor difusión, las pymes también son blanco, y pensar que una amenaza no los afectará sólo por el tamaño de la empresa es uno de los principales errores en materia de estrategias de seguridad que puede cometer una organización", dice Bortnik.

Según Bestuzhev, no hay cifras confiables sobre la cantidad de ataques dirigidos. "Es que, generalmente, las víctimas prefieren no divulgar la información al respecto porque al hacerlo esto podría llevar a un conflicto político o a la bancarrota. Muchos de los ataques dirigidos que están sucediendo en este mismo momento permanecen, al menos por un largo tiempo, inadvertidos; muchos de éstos nunca saldrán a la luz", revela el directivo de Kaspersky Lab.

Este año se supo que fueron atacadas Google, McAfee y RSA, la división de seguridad de EMC, fabricante de dispositivos de acceso a computadoras utilizados por miles de compañías, incluidos grandes bancos. Según explicaron ejecutivos de RSA, en su caso se trató de un ataque más social que técnico ya que lograron ingresar al sistema de la empresa a través de un e-mail con un adjunto. Cuando el empleado lo abrió introdujo un virus en la red de RSA, dando acceso a datos de la compañía y de sus clientes.

En este tipo de ataques se averiguan perfiles de la gente, identifican cuál es la persona indicada y la atacan. "El objetivo final del ataque no era RSA, sino sus clientes", comentan desde esta compañía.

"Las organizaciones atacadas tienen que compartir más información, porque los atacantes están comunicándose, tienen mejor diálogo, mientras que para las compañías, aún es casi un tema tabú: nadie quiere contar si les pasó algo, salvo que deba reportarlo", resume Fandiño.

Medidas por tomar

Las organizaciones deben comenzar a gestionar de forma más eficiente su seguridad de la información, poniendo foco en la educación de los usuarios. "Los responsables de la seguridad deben apoyarse en tres pilares: las tecnologías de protección, una correcta gestión de la seguridad, y educación y concienciación a los usuarios", recomienda el ejecutivo de ESET.

Bestuzhev, por su parte, aconseja no interconectar los sistemas Web con los sistemas internos. Además asegura que todos los empleados deben poder distinguir los ataques dirigidos. "Para esto es fundamental instruirlos", dice.

El ejecutivo de EMC destaca que la primera medida por tomarse debe ser desarrollar dentro de la empresa una cultura de estar atento y de darse cuenta de que las personas somos el perímetro, ya no es una máquina sólo accesible a dos o tres personas. "Todos utilizamos dispositivos móviles trabajando desde casa, recibimos archivos en todos los medios, el movimiento de la información es mucho más rápido y expansivo, se divulga fácilmente. Eso quiere decir que tenemos que estar mucho más atentos que antes, lo que ya de por sí es un desafío enorme. Lo fundamental es que el usuario tome conciencia, aprenda, conozca el problema y se reconozca como el perímetro", resalta Fandiño.

Por último, el ejecutivo de Kaspersky destaca que las personas que manejen las redes sociales deben ser consideradas como los primeros blancos de ataques dirigidos, ya que exponen sus perfiles e intereses profesionales a todo el mundo. "Dichos empleados deben tener un entrenamiento especial en cuanto al manejo de la información y toma de acciones en las situaciones críticas, de sospecha y de cada día", detalla.

Antes de concluir, Bortnik les aconseja a las empresas pequeñas y medianas que también tomen recaudos en materia de seguridad de la información. "Según un informe de The Small Business Administration, en Estados Unidos, el 70% de las pequeñas empresas que sufren un incidente de fuga de información están quebradas en el lapso de un año. Por lo tanto consideramos fundamental que todas las organizaciones y los gobiernos tomen conciencia de la importancia de una buena gestión de la seguridad de la información y de una correcta capacitación de todos los empleados", resalta.

Los 10 mandamientos de la seguridad corporativa

1. Contar con una política de seguridad clara y definida

2. Utilizar tecnologías de seguridad

3. Educar a los usuarios

4. Controlar el acceso físico a la información

5. Mantener el software actualizado

6. No delegar la seguridad sólo en el equipo de IT

7. No utilizar cuentas Administrador para uso cotidiano

8. No invertir dinero en seguridad sin medir

9. Considerar la seguridad como un proceso continuo

10. No subestimar la ocurrencia de ataques

Fuente: lanacion.com.ar y ESET