¿Cuáles fueron las principales fugas de seguridad de este año? Lo que las organizaciones pueden aprender de éstas
2011 ha sido un año ocupado hasta ahora para los cibercriminales. Nadie puede decir que los 
incidentes de seguridad TI no fueron reportados; han aparecido en los titulares de los medios y han sido bastante divulgados por las organizaciones blanco.
- El año comenzó con la fuga RSA un ataque de phishing sofisticado y dirigido donde un grupo pequeño de empleados fueron engañados para que abrieran un correo electrónico corrupto con una línea de asunto atractiva “Plan de Reclutamiento 2011”. En realidad el correo escondía una hoja de cálculo envenenada. Los atacantes pudieron comprometer los tokens de autenticación securID de RSA poniendo en riesgo potencial a decenas de empresas Fortune 500 y costar millones de dólares.
- HBGary Federal, una firma de seguridad TI del gobierno de Estados Unidos fue violada a principios de año. La agencia que fue blanco de un grupo determinado de hackers vio la descarga y distribución de datos confidenciales, miles de correos electrónicos corporativos, datos de malware y documentos financieros pertenecientes a sus clientes. La meta del grupo activista de Internet “Anonymous” era perjudicar y avergonzar a la firma como represalia a la declaración de su CEO de que había infiltrado el grupo y que revelaría datos de los miembros de Anonymous.
- En abril, Epsilon uno de los proveedores más grandes del mundo de servicios de mercadotecnia por correo electrónico, que despacha alrededor de 40 billones de e-mails al año a clientes como Mc Kinsey & Company, Marriott Rewards, Citibank, Walgreens, Tivo, etc., sufrió una de las pérdidas de datos más severas de la historia exponiendo millones de direcciones de correo individuales. Los criminales intentaron capturar tanta información de los clientes como fuera posible para crear estafas por correo electrónico avanzadas, personalizadas y creíbles con el fin de usarlas después contra los receptores de los correos violados.
- Luego en ese mes la red Playstation de Sony tuvo la fuga de información personal de más de 70 millones de suscriptores – incluyendo correos electrónicos, contraseñas, PINs, detalles de contacto, posiblemente datos de tarjetas de crédito y todo tipo de otros registros – dejando a los clientes de Sony vulnerables a las campañas de phishing y al robo de identidad. Es más la compañía confesó haber sufrido una segunda fuga de datos a principios de mayo y una pérdida extra de 24.6 millones de usuarios de juegos de computadora – sin revelar mayor información sobre qué causó la fuga.
- Citibank reveló en junio que información personal y de cuentas de aproximadamente 200,000 clientes de tarjetas bancarias en Norteamérica fue extraída. Los datos hurtados pudieron incluir información de tarjetas de crédito, así como nombres de los clientes y direcciones de correo electrónico.
Todos estos ataques combinados han expuesto millones de archivos de clientes, información personal y otros datos organizacionales confidenciales. Por el lado positivo las compañías han comenzado a tomar cartas en el asunto y se han vuelto más proactivas con la seguridad. Están reportando las fugas cuando ocurren y – en la mayoría de los casos – están notificando prontamente a sus clientes y a la gente acerca de lo que pasa.
Veamos los puntos comunes de estos incidentes y los patrones emergentes detrás de éstos.
Ataques Dirigidos
El primer diagnóstico que podemos establecer de estas fugas es el siguiente: Estos ataques han sido planeados, orquestados y ejecutados cuidadosamente. Son ataques altamente sofisticados que califican como Amenazas Avanzadas Persistentes (APT por sus siglas en inglés), creadas específicamente contra compañías blanco. El alcance de las organizaciones impactadas es impresionante. Con la excepción de HBGary las empresas blanco son todas grandes corporaciones con más de diez mil empleados, que operan volúmenes significativos de bienes, información de clientes y datos confidenciales – una mina de oro para los cibercriminales.
Los atacantes son expertos en seguridad sumamente entrenados que están motivados por un apetito de reto y ganancias financieras. Estos ataques son planeados y organizados con la precisión de un asalto militar, donde los hackers primero tratan y reproducen la red entera de la organización blanco con el fin de simular el ataque en su propio entorno de laboratorio antes de ejecutar su escenario. Como evidencia en el caso HBGary los criminales están mostrando un alto grado de paciencia y determinación. También están dispuestos a tomar riesgos considerables – incluyendo años de cárcel – para llevar a cabo sus misiones.
Ataques de Ingeniería Social
Otra similaridad es que estos ataques resultan de técnicas de ingeniería social. Los cibercriminales se dirigen ahora y manipulan a los empleados dentro de la organización “hackeando la mente humana” para violar los sistemas de la organización. En el caso de Epsilon, engañaron a uno de los empleados de la compañía para que abriera un correo de phishing y oprimiera en un vínculo malicioso. Los hackers obtuvieron acceso a las credenciales del empleado y las explotaron para alcanzar la base de datos corporativa.
Desafortunadamente los usuarios son siempre el vínculo más débil en el sistema de seguridad de una organización. Siempre hay un usuario vulnerable por hallar: puede ser un empleado nuevo que no está alerta o una secretaria demasiado amable que comparte demasiada información. Una vez adentro los hackers operan en silencio. Permanecen debajo del radar para hurtar tanta información como sea posible antes de que su presencia sea detectada y la corporación comience a investigar. Esto algunas veces puede tomar años.
Además, estos cibercriminales ya no son aficionados aislados. Pertenecen a organizaciones bien estructuradas que se parecen a células terroristas con dinero, motivación y metas. Pueden implementar inteligencia, tiempo y recursos considerables con el fin de crear ataques originales de ingeniería social y recabar bienes de información. La única pregunta del daño potencial que pueden provocar es ¿Qué tan lejos está dispuesto a ir el atacante?
Información: La mina de oro de los hackers
La información financiera no es el único dato valioso que vale la pena hurtar. Lo que vemos en estas fugas de datos es que los atacantes procuran más datos generales de clientes y menos datos específicos de facturación o de tarjetas de crédito. En verdad, tal información puede ser muy lucrativa para los remitentes de spam.
Cuando tiene un registro en la base de datos de un cliente como un nombre de usuario, ligado a un nombre y a un correo electrónico ya tiene mucha información valiosa. Estos datos se pueden usar para crear un mensaje de spam personalizado llevando el nombre del usuario, detalles e intereses lo cuales parecerán legítimos. Habrá mayores oportunidades de que un usuario abra un mensaje de spam personalizado y que cliquee en éste que si reciben spam genérico. Esto a su turno aumenta la rentabilidad de la campaña de un remitente de spam. Imagine por ejemplo enviando a 500 000 destinatarios una propuesta para comprar un producto. Si sólo un destinatario entre mil ordena su producto ya eso representa 500 órdenes nuevas. Ahora se puede imaginar la ganancia latente que puede hacer un remitente de spam con 70 millones de direcciones de correo electrónico y con datos individuales.
¡Ha sido hackeado!
Aparte del valor en efectivo que esta información representa en el mercado negro también está el costo de estos ataques para las organizaciones en términos de propiedad intelectual y daños a la marca. En el caso de HBGary o de Wikileaks por ejemplo, donde el correo confidencial y los datos secretos del gobierno fueron publicados en la Internet las fugas causaron perjuicios enormes en la reputación para estas organizaciones. En el ataque reciente a Lockheed Martin – el mayor contratista de defensa de los Estados Unidos – las consecuencias pudieran haber sido peores ya que los atacantes estaban apuntando a información ultrasecreta, gubernamental, de huella digital y planes militares que comprometen potencialmente al mismo Pentágono. Afortunadamente no se reportó ningún dato robado en este caso.
¿Qué lecciones podemos aprender y cómo las compañías pueden permanecer protegidas?
Las empresas no deben crearse la ilusión de que cumplen con sus políticas y que por lo tanto están libres de ataques. Los ataques dirigidos están en aumento y ninguna compañía es infalible. Los negocios deben erigir tantas barreras como sean posibles entre los cibercriminales y la red corporativa y los bienes.
La protección empieza con la implementación de una estrategia de seguridad profunda en la red, puntos finales y los múltiples dispositivos de seguridad que se conectan a la red. Las empresas necesitan aplicar varias capas de protección, incluyendo un firewall avanzado y un sistema de prevención de intrusiones (IPS) para detectar amenazas mezcladas; una solución de seguridad de punto final completa para proteger todos los endpoints y dispositivos móviles; una solución de prevención de pérdida de datos para proteger bienes de información. Simultáneamente necesitan definir una política de seguridad sólida y bien estructurada para reforzar las protecciones. Esta política necesita alinearse con los objetivos de negocio y que se comprenda claramente por los empleados de la organización. Además estimularía a las empresas para que analizaran cómo exponen sus bienes de datos con el fin de reevaluar cómo protegerlos mejor.
Luego de proteger y cerrar esta ‘puerta principal’ a atacantes potenciales las organizaciones deben trabajar en asegurar y cerrar su ‘puerta trasera’. El error humano es el problema de seguridad que la tecnología sola no puede arreglar y para la cual no existe un parche. Depende de las organizaciones involucrar, entrenar y educar activamente a sus empleados con el fin de convertirlos en cuidadores de puertas corporativos reales y alertas sobre la seguridad.
Cogito ergo Sum enunció el filósofo francés René Descartes – pienso luego existo. Creo que el adagio del siglo XVII podría encontrar toda una vida nueva en la era de la seguridad de la información. Como individuos pensantes los usuarios son una parte integral del proceso de seguridad. Solamente una fuerza de trabajo capacitada y consciente de la seguridad combinada con un sistema de seguridad sólido y profundo y una política de seguridad bien definida puede derrotar a los hackers actuales. Ojalá que las empresas puedan adaptarse y aprender estas lecciones para evitar mayores fugas de datos en los siguientes meses.