Es de reconocida importancia la necesidad de mantener
los sistemas de información actualizados para prevenir la mayoría de ataques
cibernéticos. La actualización y la instalación de los últimos parches de
software es un tema constante de este blog. Como en el caso de Apple que
describí hace unos dias.
Si una organización tiene un ciclo de actualización
corto, por ejemplo no tardar mas de 48 horas en instalar un parche de software
crítico luego de su publicación, la práctica prevendrá muchos de los ataques
que “mojan prensa”.
¿Pero que decisión debe tomar la dirección de
informática si es sabido que el software que se utiliza es vulnerable pero la
vulnerabilidad específica es desconocida? Esta es la situación que enfrentan
los usuarios de ArcSight, el reconocido software de administración de eventos e
información de seguridad (SIEM por sus siglas en inglés). De acuerdo a Reuters, Arcsight
que hasta hace poco era parte de HP (o Hewlett-Packard) permitió al gobierno
ruso la inspección del código fuente de este programa con el fin de lograr
ventas en ese pais. Esa inspección puede permitir al gobierno ruso descubrir
vulnerabilidades que serían de otra manera desconocidas.
Para entender la gravedad de esta situación primero
hay que conocer la criticidad de un sistema SIEM. Estos sistemas permite
correlacionar eventos –también conocidos como logs- en una red en un momento
dado. El tipo de eventos puede incluir ingresos a la red (el común “logearse”),
notificaciones del software antivirus, cambio de configuración de usuarios,
etc. El número de eventos en una red empresarial mediana puede alcanzar miles
de millones en un mes.
El éxito de un equipo de ciberseguridad de una
organización depende de la rápida detección de eventos anomálos como intentos
de acceso fallidos, y encontrar tales eventos en la miriada de eventos que se
generan en una red es como encontrar una aguja en un pajar. Una vez el sistema SIEM correlaciona un evento
anomálo, el analista de seguridad puede identificar una actividad maliciosa y
tomar medidas de defensa necesarias como generar alertas, bloquear usuarios o
desconectar un computador contaminado. Por lo tanto, si el sistema SIEM tiene
fallas de seguridad un hacker puede tomar ventaja de estas vulnerabilidades y
pasar desapercibidio.
Dado que es ampliamente reconocido el apoyo del
gobierno ruso a grupos cuyas operaciones en Internet son bien dudosas, no es
sorprendente el nivel de
alarma en los expertos de ciberseguridad especialmente
cuando organizaciones de defensa y militares norteamericanas como el pentágono
y el ejército de Estados Unidos son usuarios de Arcsight.
Alguien puede argumentar que esa no debe ser una
preocupación para entes latinoaméricanos. Y en la mayoría de los casos el
argumento es válido. Entidades bancarias, del mercado minorista y grandes
superficies posiblemente no ven a grupos de hackers de origen ruso como un
adversario de importancia.
Sin embargo, el riesgo para organizaciones de defensa
latinoamericanas puede ser bien diferente. Aquellos países de la zona que
tienen relaciones poco cordiales o tirantes con países donde el gobierno ruso
tiene cierta influencia deberían tener presente este caso.