Ataques persistentes, lo que hay que saber
Gobiernos y compañías son blanco de esta nueva y temible ofensiva de los delincuentes informáticos
Por Cintia Perazo
Algunas
compañías los llaman ataques sociales porque se filtran en las empresas
a través de los Web mails de los empleados y de los datos que
suministran en las redes sociales. A este tipo de ataques planeados y a
los que se dedica tiempo y recursos se los denomina ataques persistentes.
Al ser persistentes, las técnicas de seguridad son más
complejas, ya que la acción de detección y bloqueo del ataque no es
única, sino que también debe sostenerse a lo largo del tiempo. "Un
ataque no persistente puede ser, por ejemplo, la infección con un
troyano. En ese caso, si al momento de la ejecución el usuario posee un
antivirus, éste detectará la amenaza y bloqueará la ejecución, por única
vez", explica Sebastián Bortnik, coordinador de Educación e
Investigación de ESET Latinoamérica.
Detrás de los ataques dirigidos nunca se encuentra una
sola persona, sino todo un equipo de gente que trabaja en algún módulo
específico del ataque. Todo el trabajo del desarrollo e implementación
suele tomar meses, según fuentes consultadas. "Por lo general, antes de
lanzar un ataque dirigido se realiza un trabajo minucioso de la
inteligencia física. Es decir existe personal adentro de las empresas
que con su consentimiento o sin él facilita la información básica
necesaria acerca de los sistemas y las plataformas tecnológicos",
asegura Dmitry Bestuzhev, director para América latina del Equipo Global
de Investigación y Análisis de Kaspersky Lab.
"Normalmente este tipo de ataque era dirigido a un país
para obtener información gubernamental sobre armamento, defensa y
secretos militares. Ahora se expandió y buscan, también, bienes
digitales, es decir, información crítica o cualquier propiedad
intelectual que pueda estar dentro de la red. También tratan de acceder a
sistemas críticos de un país o a su infraestructura", cuenta Marcelo
Fandiño, gerente Regional de EMC Cono Sur, propietaria de la firma de
seguridad RSA.
Nadie se salva
"Existen dos tipos de empresas: las que fueron atacadas y
las que van a serlo." Esta frase se escucha dentro de la mayoría de las
compañías de seguridad, porque incluso los especialistas saben que
ninguna empresa es inviolable. Incluso las más chicas están siendo
objeto de ataques no sólo por la información que guardan, sino porque
pueden, a través de sus redes, ingresar a otras empresas, que son el
verdadero objetivo. "Aunque los incidentes a gobiernos o grandes
empresas suelen tener mayor difusión, las pymes también son blanco, y
pensar que una amenaza no los afectará sólo por el tamaño de la empresa
es uno de los principales errores en materia de estrategias de seguridad
que puede cometer una organización", dice Bortnik.
Según Bestuzhev, no hay cifras confiables sobre la
cantidad de ataques dirigidos. "Es que, generalmente, las víctimas
prefieren no divulgar la información al respecto porque al hacerlo esto
podría llevar a un conflicto político o a la bancarrota. Muchos de los
ataques dirigidos que están sucediendo en este mismo momento permanecen,
al menos por un largo tiempo, inadvertidos; muchos de éstos nunca
saldrán a la luz", revela el directivo de Kaspersky Lab.
Este año se supo que fueron atacadas Google, McAfee y
RSA, la división de seguridad de EMC, fabricante de dispositivos de
acceso a computadoras utilizados por miles de compañías, incluidos
grandes bancos. Según explicaron ejecutivos de RSA, en su caso se trató
de un ataque más social que técnico ya que lograron ingresar al sistema
de la empresa a través de un e-mail con un adjunto. Cuando el empleado
lo abrió introdujo un virus en la red de RSA, dando acceso a datos de la
compañía y de sus clientes.
En este tipo de ataques se averiguan perfiles de la
gente, identifican cuál es la persona indicada y la atacan. "El objetivo
final del ataque no era RSA, sino sus clientes", comentan desde esta
compañía.
"Las organizaciones atacadas tienen que compartir más
información, porque los atacantes están comunicándose, tienen mejor
diálogo, mientras que para las compañías, aún es casi un tema tabú:
nadie quiere contar si les pasó algo, salvo que deba reportarlo", resume
Fandiño.
Medidas por tomar
Las organizaciones deben comenzar a gestionar de forma
más eficiente su seguridad de la información, poniendo foco en la
educación de los usuarios. "Los responsables de la seguridad deben
apoyarse en tres pilares: las tecnologías de protección, una correcta
gestión de la seguridad, y educación y concienciación a los usuarios",
recomienda el ejecutivo de ESET.
Bestuzhev, por su parte, aconseja no interconectar los
sistemas Web con los sistemas internos. Además asegura que todos los
empleados deben poder distinguir los ataques dirigidos. "Para esto es
fundamental instruirlos", dice.
El ejecutivo de EMC destaca que la primera medida por
tomarse debe ser desarrollar dentro de la empresa una cultura de estar
atento y de darse cuenta de que las personas somos el perímetro, ya no
es una máquina sólo accesible a dos o tres personas. "Todos utilizamos
dispositivos móviles trabajando desde casa, recibimos archivos en todos
los medios, el movimiento de la información es mucho más rápido y
expansivo, se divulga fácilmente. Eso quiere decir que tenemos que estar
mucho más atentos que antes, lo que ya de por sí es un desafío enorme.
Lo fundamental es que el usuario tome conciencia, aprenda, conozca el
problema y se reconozca como el perímetro", resalta Fandiño.
Por último, el ejecutivo de Kaspersky destaca que las
personas que manejen las redes sociales deben ser consideradas como los
primeros blancos de ataques dirigidos, ya que exponen sus perfiles e
intereses profesionales a todo el mundo. "Dichos empleados deben tener
un entrenamiento especial en cuanto al manejo de la información y toma
de acciones en las situaciones críticas, de sospecha y de cada día",
detalla.
Antes de concluir, Bortnik les aconseja a las empresas
pequeñas y medianas que también tomen recaudos en materia de seguridad
de la información. "Según un informe de The Small Business
Administration, en Estados Unidos, el 70% de las pequeñas empresas que
sufren un incidente de fuga de información están quebradas en el lapso
de un año. Por lo tanto consideramos fundamental que todas las
organizaciones y los gobiernos tomen conciencia de la importancia de una
buena gestión de la seguridad de la información y de una correcta
capacitación de todos los empleados", resalta.
Los 10 mandamientos de la seguridad corporativa
1. Contar con una política de seguridad clara y definida
2. Utilizar tecnologías de seguridad
3. Educar a los usuarios
4. Controlar el acceso físico a la información
5. Mantener el software actualizado
6. No delegar la seguridad sólo en el equipo de IT
7. No utilizar cuentas Administrador para uso cotidiano
8. No invertir dinero en seguridad sin medir
9. Considerar la seguridad como un proceso continuo
10. No subestimar la ocurrencia de ataques
Fuente: lanacion.com.ar y ESET
No hay comentarios:
Publicar un comentario