"El mundo ya no está dirigido por las armas o energía, o dinero. Está dirigido por los ínfimos unos y ceros, pequeños trozos de datos". —Sneakers (1992)

En una era en que los países están en una nueva carrera armamentista, no por territorio o armas, sino por los hackers informáticos o los atacantes, la guerra estalla. Algunos atacantes están asignados a infiltrarse en redes extranjeras para exponer y prevenir ataques terroristas, mientras que otros están a cargo de poner en peligro los números de Seguro Social y venderlos al mejor postor.

Las violaciones de la seguridad de las computadoras empeoran todos los años. En 2013, el número total de infracciones fue de 62 por ciento más que en 2012.¹ La tendencia continuó en 2013-2014 con infracciones en compañías de Fortune 500, como Sony, Home Depot, Target y JPMorgan. Ahora, el 2015 comenzó con una de las peores violaciones de la industria financiera con el ataque cibernético del malware Carbanak. Estos son los hechos que hacen los titulares y nos recuerdan que la seguridad informática es real y necesaria.

Como los ataques cibernéticos siguen ocurriendo, los legisladores y las autoridades de control legal han comenzado a hacer la ley del delito cibernético un punto focal. La promulgación de leyes como la Ley del Patriota permite a las autoridades de control legal de los EE.UU. vigilar las comunicaciones de Internet para interceptar y potencialmente prevenir los ataques cibernéticos. Cuando se produce un ataque de interés, los funcionarios encargados de hacer cumplir la ley asignarán investigadores especializados y expertos forenses digitales al caso en los intentos de identificar y procesar al atacante o los atacantes.

Con la gran cantidad de información sensible y de identificación personal (por ejemplo, la fecha de nacimiento, números de Seguro Social y cuentas bancarias) almacenados en una variedad de entornos informáticos, la protección es crucial. Este artículo analiza las metodologías de ataque comunes, vectores de ataque y las mejores prácticas para protegerse de estas amenazas.

Metodologías y Vectores de Ataque Comunes

Los atacantes utilizan una variedad de técnicas para infiltrar los entornos de la red. Cada metodología se caracteriza por su serie de desafíos y depende en gran medida del entorno de destino. Algunos ataques comunes utilizados para infiltrar entornos implican software obsoleto², seguridad de la contraseña y la ingeniería social.

Software Anticuado

Los atacantes suelen comenzar enumerando un entorno para ejecutar servicios y/o software. Si identifican un servicio o software obsoleto, la investigación comienza a buscar vulnerabilidades y puntos flojos existentes. Un atacante crea o bien modifica un punto flojo existente del sistema informático que contiene el software obsoleto. Una vez que el ataque se ha ejecutado con éxito, el atacante obtendrá un punto de entrada y, posiblemente, se infiltrará en el sistema de ordenador en su totalidad. Un ejemplo real de una componenda debida al software obsoleto es la violación de Sony PlayStation.

En 2011, los atacantes comprometieron aproximadamente 77 millones de cuentas de la red de Sony PlayStation debido al software obsoleto.¹ Los atacantes aprovecharon el servicio de Apache³ para infiltrarse en las redes de Sony, exponer información de tarjetas de crédito de los usuarios y negar la disponibilidad de la red PlayStation. Sony reveló una pérdida de $171 millones debido al ataque cibernético.⁴

Seguridad de la Contraseña

Según la investigación de SplashData, la contraseña más común durante tres años consecutivos es 123456.⁵ Un atacante con el último hardware descifrador de contraseñas puede romper esa contraseña en 0,0000111 segundos, si no más rápidamente. Los usuarios que utilicen esta o contraseñas similares deben cambiar sus contraseñas de inmediato.

De manera similar a la metodología del software obsoleto, los atacantes enumeran el medio ambiente y los servicios de red. Una vez que un servicio que requiere autenticación se identifica, un atacante procederá a tratar de adivinar la contraseña. Un atacante suele comenzar adivinando las contraseñas por defecto para el servicio respectivo y luego procede con el enfoque de fuerza bruta. Los ataques de fuerza bruta en este contexto son un intento de obtener acceso no autorizado a un servicio utilizando varias combinaciones de contraseñas junto con herramientas automatizadas. Con el hardware adecuado, los ataques de fuerza bruta pueden lograr más de mil millones de contraseñas por segundo.

Ingeniería Social

La ingeniería social es el uso de la influencia y la persuasión para manipular a personas para que revelen información confidencial. Los métodos comunes de ingeniería social incluyen llamadas pretexto, los correos electrónicos de phishing y entregas de USB.

Imagínese atacantes que pueden obtener contraseñas o incluso información de la cuenta bancaria con solo pedirla. Este es el arte de las llamadas pretexto. La llamada pretexto es un ejemplo perfecto de cómo un atacante puede obtener información sensible sin el uso de la tecnología. En 2011, Microsoft informó que varios atacantes estaban suplantando a representantes de Microsoft cuando hacían llamadas pretexto.⁶ Los atacantes pasaban por representantes de Microsoft y llamaban a individuos al azar, notificándoles de una supuesta infección de su computadora y cobrando por la “solución del problema o problemas”.

Los correos electrónicos de phishing son casi idénticos a su contraparte. Los atacantes pueden enviar correos electrónicos diseñados para parecer mucho como una invitación o anuncio oficial de LinkedIn o de una empresa para atraer a las personas para proporcionar información sensible o instalar accesorios. Esta fue la causa raíz en las violaciones recientes de Target y Carbanak.

En diciembre de 2013, un contratista de Target abrió e instaló una pieza de malware enviada como un archivo adjunto de correo electrónico que capturó credenciales del contratista y permitió a los atacantes infiltrarse en el entorno de red de destino. En última instancia, la violación se tradujo en comprometer las cuentas de crédito y débito de 40 millones de consumidores.⁷ Del mismo modo, los atacantes enviaron correos electrónicos de phishing a varias instituciones financieras en todo el mundo. Se adjuntó a la dirección de correo electrónico el malware Carbanak.⁸ Una vez abierto, infectaría las redes, que más tarde dieron lugar a retiros de $1 mil millones.⁹

Quizás uno de los tipos más eficaces de ataques de ingeniería social son las entregas de USB, un ataque que se alimenta de la curiosidad. Las unidades de USB se colocan o “entregan” en los estacionamientos a la espera de que las personas curiosas las recojan e inserten en sus computadoras. Los atacantes tienen la capacidad de programar los dispositivos de USB para tomar el control de una computadora segundos después de la inserción, con lo que este escenario se hace factible.

Mejores Prácticas

Ya sea en un ambiente de trabajo profesional o en el hogar, resulta imprescindible para proteger la información propia. A continuación se presentan algunas de las mejores prácticas para la defensa contra las amenazas informáticas comunes.

Actualización de Software

La actualización de software es crucial en cualquier entorno determinado, porque no aplicar parches y actualizaciones permite que persistan vectores de ataque—al igual que en la violación de Sony. La mayoría de los gigantes del software como Microsoft, Apple, Adobe y Java envían actualizaciones de software al menos una vez al mes. Estas actualizaciones suelen contener correcciones a errores o problemas de seguridad.

En un ambiente de trabajo, las políticas deben ser implementadas según cuándo y cómo hay que actualizar el software. En el hogar, los usuarios deben obtener notificaciones informándoles de actualizaciones disponibles. A modo de ejemplo, las notificaciones de Microsoft Windows suelen alertar al usuario de una actualización en la parte inferior derecha de la barra de tareas, a diferencia de Apple, que presenta las notificaciones de actualización en la parte superior derecha de la pantalla. Asegúrese de mantener su software actualizado en todo momento, esto incluye el software antivirus.

Complejidad de la Contraseña

Al crear contraseñas, utilice contraseñas complejas generadas aleatoriamente (por ejemplo, b@?t:n0xFXvh). Las aplicaciones de administrador de contraseñas son las que ayudan en la creación, almacenamiento y cifrado de contraseñas—son muy recomendables. Los gestores de contraseña únicamente requieren el recuerdo de una contraseña, la contraseña maestra. Es importante asegurar la aplicación de una contraseña maestra fuerte y compleja, ya que se utiliza para desbloquear todas las contraseñas dentro del almacenamiento cifrado.

En contraste con las contraseñas, las frases de contraseña son más largas, compuestas de varias palabras y por lo tanto son más seguras. Aquellos que no opten por utilizar gestores de contraseña, deben utilizar frases de acceso y garantizar que cumplan con los siguientes criterios de SANS:¹¹

• Tiene al menos 12 caracteres alfanuméricos
• Tiene tanto letras mayúsculas como minúsculas
• Tiene al menos un número
• Tiene al menos un carácter especial (por ejemplo, !$%^&*()_+|~-=\`{}[]:”;’<>?,/)

En un ambiente de trabajo, el personal técnico debe desarrollar e implementar políticas que describen la complejidad, caducidad y requisitos de reutilización de las contraseñas. Es importante señalar que una contraseña segura puede disuadir completamente un ataque de fuerza bruta.

Cifrar

Anthem Health, uno de los proveedores de atención de salud más grandes del país, reveló recientemente que los atacantes habían comprometido una información de identificación personal de un estimado de 80 millones de sus clientes.¹² Al momento de escribir este artículo, Anthem está trabajando con las autoridades federales y no ha revelado la causa raíz del ataque, pero una cosa está clara: Los atacantes obtuvieron la información de identificación personal debido a los controles de cifrado insuficientes de Anthem.

El cifrado distorsiona los archivos y los hace ilegibles para el usuario no autorizado, protegiendo así su confidencialidad. Es importante activar el cifrado en los discos duros con programas como BitLocker (Windows) y FileVault (Mac) para cifrar sus respectivos sistemas de archivos. Además, los documentos que contienen información sensible deben cifrarse antes de almacenarse o transferirse.

En un ambiente de trabajo, las soluciones deben ser implementadas para cifrar archivos en tránsito o los depositados, y cifrar los sistemas de archivos completos de las computadoras. En el hogar, la información sensible se debe guardar como documentos protegidos por contraseña (Microsoft Office tiene la capacidad de cifrar documentos) o contenedores (por ejemplo, archivos zip).

Conciencia de Seguridad

Muchas veces, las organizaciones implementan las últimas tecnologías intentando asegurar su ambiente e impidiendo la entrada de los atacantes. Sin embargo, se olvidan de uno de los elementos más importantes en materia de seguridad: el elemento humano. Aquí es donde la conciencia de seguridad entra en acción.

La conciencia de seguridad es una clave importante para la prevención de las amenazas cibernéticas. Cuando hablas a un individuo, confirme su identidad y nunca proporcione información sensible por teléfono—el personal técnico nunca le pedirá su contraseña. Reporte llamadas sospechosas a los supervisores o el incidente apropiado al grupo de informes del trabajo. Esto puede ayudar a prevenir un ataque a toda la empresa.

Los correos electrónicos de phishing pueden identificarse inspeccionando cuidadosamente los encabezados de correo electrónico sospechosos, así como la supuesta identidad del remitente. Los atacantes suelen utilizar nombres de dominio que son similares a las oficiales, pero con sutiles diferencias. Abra los adjuntos de correo electrónico solamente cuando se le notifique previamente que recibirá uno, sin importar lo que parece intrigante. Una vez más, se deben reenviar correos electrónicos sospechosos a los supervisores o el grupo de notificación de incidentes para confirmar su legitimidad. El personal técnico debe tener soluciones avanzadas de correo electrónico de filtrado de spam, seguridad de correo electrónico y mucho más. En el hogar, los proveedores de correo electrónico, como Gmail, están empezando a tomar medidas enérgicas contra el phishing y alertarán a los usuarios con una alerta roja.

Además, no recoja dispositivos portátiles, como los USB. La investigación del Departamento de Seguridad Nacional de los EE.UU. concluyó que el 60 por ciento de las personas que recogían los USB de estacionamientos los conectan a las computadoras.¹³

Por último, piense antes de hacer clic. No haga clic en enlaces no acreditados o no confiables a páginas web, archivos adjuntos de correo electrónico abiertos o instale programas de fuentes no confiables. En ambientes de trabajo, el personal técnico debería haber implementado filtrado web para reducir las posibilidades de que las personas que visitan los sitios web no están acreditadas. En el hogar, instalar plugins del navegador como Web of Trust (WOT) para ayudar a identificar los sitios web seguros/reputados.

Reportando Incidentes

Los sistemas informáticos podrían actuar lentos, a veces durante las actualizaciones o cuando hay mucha actividad. Sin embargo, si ha seguido durante varios días y se ha desarrollado comportamiento anormal (por ejemplo, pop-ups, aplicaciones instaladas no familiares, procesos sospechosos en ejecución), entonces es hora de reportar un incidente.

En el hogar, reporte cualquier actividad sospechosa al Internet Crime Complaint Center (IC3). El IC3 fue inaugurado en 2000 por el FBI en colaboración con el National White Collar Crime Center (NW3C) para recibir las actividades y/o quejas sobre actividades sospechosas de Internet como intrusión informática, espionaje, extorsión, lavado de dinero, robo de identidad y mucho más.¹⁴

En el trabajo, consulte con el personal de seguridad de computación sobre incidentes informáticos sospechosos. Cuando necesario, un equipo de respuesta a incidentes quedará notificado para realizar el análisis y la investigación forense en el sistema o sistemas afectados. Es imprescindible preservar el estado actual de un equipo en el momento de contactar con el personal de seguridad de la computadora hasta que la informática forense lo considera necesario. Los que respondan a incidentes decidirán la magnitud del ataque cibernético y de los representantes de las autoridades de control legal según sea necesario. A las autoridades de control legal se les debe informar de un incidente si afecta la seguridad de varias personas, la nación y/o si el resultado es la “pérdida significativa de datos, la disponibilidad del sistema, o el control de los sistemas”.¹⁵

Además, las instituciones financieras pueden reportar operaciones de actividades sospechosas a la Red Contra los Delitos Financieros (FinCEN) mediante la creación de un reporte de operaciones sospechosas (ROS). El ROS incluye actividades financieras detalladas como las transacciones que parecen sospechosas. Estos informes ayudan a las agencias federales de control legal en la investigación de un posible fraude, el lavado de dinero, el terrorismo y más.

Aparte de los incidentes que informaron adecuadamente, la industria reconoció que empresas de consultoría de seguridad informática recomiendan encarecidamente programar evaluaciones frecuentes. Estas evaluaciones identificarán las vulnerabilidades de seguridad y/o mejores prácticas desaparecidas con el objetivo general de incrementar la postura de seguridad dentro de una organización.

Una Era de la Seguridad

Al final, no se trata de la cantidad de productos de seguridad que uno compra para mantenerse a salvo, sino del proceso. Es la combinación de productos, su aplicación y la conciencia de seguridad los que mejoran la seguridad del entorno y, en última instancia, la propia.

Con el conocimiento de metodologías de ataque comunes utilizadas por los atacantes y el conocimiento de las mejores prácticas, ahora uno tiene el conjunto de habilidades para protegerse contra las amenazas cibernéticas. Sin embargo, hay mucho más que aprender. No deje de pedirle al personal de seguridad de computación en el trabajo para obtener más información sobre las mejores prácticas.

A medida que continuamos viviendo en la era de la ciberguerra, esforcémonos para aumentar y mejorar la concientización sobre la seguridad. ¡Manténgase seguro!

Jonathan H. Broche, consultor, Optiv Security, Miami, FL, EE.UU., jbroche@accuvant.com

Los puntos de vista y opiniones expresados en este artículo son responsabilidad exclusiva del autor y no reflejan necesariamente los puntos de vista de Optiv Security Inc., sus afiliados o sus empleados.

1. Symantec, “2014 Internet Security Threat Report,” http://www.symantec.com/security_response/publications/threatreport.jsp
2. Kazuo Hirai a la Cámara de Representantes de los EE.UU., “Letter to the U.S. House of Representatives,” 3 de mayo del 2011, https://www.flickr.com/photos/playstationblog/sets/72157626521862165/
3. Marc Perton, “Data security expert: Sony knew it was using obsolete software months in advance,” Consumer Reports, 4 de mayo del 2011, http://www.consumerreports.org/cro/news/2011/05/data-security-expert-sony-knew-it-was-using-obsolete-software-months-in-advance/index.htm
4. Jason Schreier, “Sony Estimates $171 Million Loss From PSN Hack,” Wired, 23 de mayo del 2011, http://www.wired.com/2011/05/sony-psn-hack-losses/
5. SplashData, “Worst Passwords,” SplashData, 20 de enero del 2015, http://splashdata.com/press/worst-passwords-of-2014.htm
6. Microsoft, “Microsoft issues warning on phone scam,” Microsoft, 26 de agosto del 2010, http://www.microsoft.com/australia/presspass/post/Microsoft-issues-warning-on-phone-scam
7. Brian Krebs, “Sources: Target Investigating Data Breach,” Kreb Security, 13 de diciembre del 2014, http://krebsonsecurity.com/2013/12/sources-target-investigating-data-breach/
8. Kaspersky, “Carbanak APT The Great Bank Robbery,” Kaspersky, 1 de febrero del 2015, https://securelist.com/files/2015/02/Carbanak_APT_eng.pdf
9. “Carbanak,” Wikipedia, https://en.wikipedia.org/wiki/Carbanak#cite_note-SangerPerlroth20150214-2
10. Tom Crosson, “Cost of Target Data Breach Exceeds $200 Million,” Consumer Bankers Association, 18 de febrero del 2014, http://www.cbanet.org/News%20and%20Media/Press%20Releases%202014/02182014_pressrelease.aspx
11. SANS, “Password Construction Guidelines,” junio de 2014, https://www.sans.org/security-resources/policies/general/pdf/password-construction-guidelines
12. Reed Abelson and Matthew Goldstein, “Anthem Hacking Points to Security Vulnerability of Health Care Industry,” Business Day, 5 de febrero del 2015, http://www.nytimes.com/2015/02/06/business/experts-suspect-lax-security-left-anthem-vulnerable-to-hackers.html?_r=0
13. Cliff Edwards, “Human Errors Fuel Hacking as Test Shows Nothing Stops Idiocy,” Bloomberg Business, 27 de junio del 2011, http://www.bloomberg.com/news/articles/2011-06-27/human-errors-fuel-hacking-as-test-shows-nothing-prevents-idiocy
14. IC3, http://www.ic3.gov/about/default.aspx
15. FBI, Law Enforcement Cyber Incident Reporting, http://www.fbi.gov/about-us/investigate/cyber/law-enforcement-cyber-incident-reporting
16. RCFL, http://www.rcfl.gov/about