jueves, 26 de octubre de 2017

La evolución de la seguridad de la información. El nuevo siglo


A finalizar el siglo XX, el gusano “Melissa” afectó a miles de usuarios de Windows a nivel mundial. Aunque los daños fueron mínimos, la rapidez de reproducción solo era una muestra de los días por venir.

Ya en el 2000, el gusano “ILOVEYOU” fué mucho más dañino y su distribución mundial.  Además de los cuantiosos daños, este gusano informático claramente demostró que las defensas informáticas de los 90 no eran efectivas contra las amenazas del nuevo siglo.

Las defensas tradicionales de una organización tales como el “firewall”, el sistema operativo y el antivirus actualizado poco pueden hacer si el usuario es partícipe de la infección.   No solo el uso sugestivo de la frase “I love you” engañó a sus víctimas sino que “ILOVEYOU” tomó ventaja del marco de programación nativo del sistema operativo Windows (conocido como VBS o Visual Basic Script). 

La explotación de vulnerabilidades del sistema operativo y otros componentes de software despega en forma acelarada con gusanos como “Red Worm” y “Nimda”. Los directores de informática deben ahora empezar a identificar que sistemas de información y respectivos componentes de software puedes ser afectados por diferentes amenazas. 

Los primeros años del siglo XXI son también testigos de un impulso adicional que dificultó la labor del agobiado director de informática. La introducción de herramientas de fácil uso como “Metasploit” y el escáner de vulnerabilidades “Nessus” propició el ascenso de los llamados “Script Kiddies”. Aunque el término es usado despectivamente para describir a atacantes de poca habilidad técnica, ésto no quiere decir que no puedan causar daño.

El proceso, aún en boga hoy en dia, es sencillo. Cuando una vulnerabilidad en un sistema o componente de software es hecha pública, el código no tarda en estar disponible en “Metasploit”, “Nessus” y programas similares.

Una vez allí, cualquier persona puede usar un scanner de vulnerabilidades como “Nessus” para identificar sistemas vulnerables. Cuando la identificación es positiva, el atacante solo dirije un programa como “Metasploit” contra el sistema vulnerable usando unos pocos clics. Nada sofisticado en realidad, pero si altamente efectivo.

Las empresas y usuarios se enfrentan no solo al tradicional virus sino a un volumen inesperado de atacantes que pueden estar localizados en cualquier lugar del globo. Por lo tando, se necesita una nueva aproximación en la defensa de activos de información.

martes, 10 de octubre de 2017

La inseguridad de Yahoo. Un ataque devastador


Finalmente Yahoo admite que todos sus usuarios fueron víctimas del ataque que hackers realizaron hace algunos años. Léase bien, todos los usuarios. Es un final triste para una empresa ícono del boom de Internet de los años noventa.

Algunos podrán pensar que poco importa que tu correo personal haya sido hackeado, pero si el usuario reconsidera y analiza bien la situación se dará cuenta que sus contactos, fotos personales y correos con información posiblemente íntima fue en algún momento accedida por quien sabe quién.

Este tipo de ataques necesitan ingentes recursos, usualmente de naciones estado, y en este caso las pistas forenses apuntan a Rusia. Sin embargo, los altos ejecutivos de Yahoo facilitaron tal devastador ataque.

Ya en esta columna he escrito sobre la responsabilidad compartida que muchas veces los directivos de las empresas afectadas tienen en estos casos. No es secreto que altos directivos de Yahoo hicieron caso omiso de las advertencias de su personal de seguridad informática.  De acuerdo al reconocido diario The New York Times, la seguridad informática nunca fue una prioridad para los directivos de Yahoo.

La razón por tal desacato y falta de atención es bien conocida. Los altos costos que la seguridad informática conlleva no son desconocidos, pero también influyó el hecho que inyectar seguridad en aplicaciones requiere cambios en el comportamiento del usuario. Los directivos de Yahoo nunca quisieron enfrentar ese arduo camino que es reentrenar al usuario en el uso de aplicaciones más seguras.

Pero las consecuencias están allí a la vista de todos. La empresa perdió valor, el nombre “Yahoo” es ahora sinónimo de mala administración y es ahora parte de un conglomerado de telecomunicaciones. Como empresa independiente Yahoo simplemente desapareció.

Ese escepticismo y la negación de que los ataques cibernéticos puedan afectar una empresa es un lugar común en el empresariado latinoamericano. Ese pensamiento no es muy diferente al dicho “ojos que no ven corazón que no siente”. Esos mismos empresarios estarían prontos a exclamar que esa actitud solo conlleva al desastre.