2011 fue un año extraordinario para los hackers. Hubo amenazas avanzadas persistentes, fugas de datos y ataques a la base de la infraestructura de la Internet en la forma de ciberasaltos a autoridades certificadas. Fue un año en el cual la seguridad empresarial enfrentó un Nuevo nivel de desafíos y 2012 comenzó igualmente con retos.
Hasta ahora la comunidad de TI ha visto reportes de ataques a la industria de defensa y aeronáutica que usan el troyano MSUpdater así como la revelación de que los hackers que atacaron en 2000 a la ahora quebrada Nortel Networks pudieron mantener el acceso a las computadoras de la compañía por casi un decenio. Para las organizaciones este panorama de TI peligroso tiene una serie de Colinas traicioneras que tendrán que escalar en 2012 – las principales son: La prevalencia de amenazas avanzadas persistentes (APTs) y los esfuerzos cada vez más conocedores de la ingeniería social.
Los ataques de ingeniería social se dirigen a la gente con un conocimiento o acceso implícito a información confidencial. Los hackers actuales aprovechan una variedad de técnicas y de redes sociales para acumular datos personales y profesionales de un individuo con el fin de hallar el vínculo más débil dentro de una organización.
Enfrentar los retos de seguridad actuales a menudo se trata de políticas, refuerzo y educación; los empleados deben estar conscientes de amenazas a la empresa y las organizaciones necesitan políticas y la capacidad de controlar el nivel de acceso a las aplicaciones, dispositivos y a la red para mantener su postura de seguridad. Aunque es más fácil hablar de educación que capacitar es una parte clave de la seguridad que a menudo se ignora. Una encuesta reciente hecha por Check Point Software Technologies y Dimensional Research a profesionales de TI reveló que los empleados nuevos y los contratistas son percibidos como de alto riesgo para los ataques de ingeniería social. Sin embargo solamente el 26 por ciento de los 853 encuestados dijeron que realizan entrenamientos contínuos sobre el asunto y el 34 porciento declaro que no intentan educar a los empleados.
Considere esas estadísticas; luego tenga en cuenta el hecho de que una de las fugas más anunciadas de 2011 – la fuga de RSA – ocurrió como resultado de un email phishing enmascarado como un mensaje acerca del “plan de reclutamiento 2011” de la empresa. Reconocer los intentos de ingeniería social puede ser la diferencia entre una noche de sueño plácido y una llamada telefónica de emergencia del CISO. La clave del éxito del phishing es por supuesto los datos y cuando el blanco es considerado como de alto valor los hackers recaudarán tanta inteligencia sobre el objetivo como puedan antes de lanzar el ataque.
Esto incluye utilizar redes sociales para recabar datos de empleados u organizaciones particulares –los cuales pueden ser utiles en la era de los ataques dirigidos. Dado el precio de las vulnerabilidades de día cero en el Mercado negro – van desde US$50 000 hasta US$100 000 – es generalmente más fácil y económico tratar de engañar a un usuario final para que instale malware en lugar de usar una vulnerabilidad desconocida.
Las botnets y las APTs pueden ser la excepción. Stunt por ejemplo utilizo cuatro intentos Windows de día cero a medida que se diseminó por el mundo. El sello distintivo de una APT es que puede pasar sin ser detectada y persistir en una organización. Los hackers que se dirigen hacia organizaciones específicas ahora utilizan una combinación de técnicas de ataque furtivas y sofisticadas aprovechando a los bits para explorar silenciosamente la red de una organización y recaudar datos. A menudo la meta es robar datos delicados los cuales pueden escapar a las redes corporativas en formas que pocos sospecharían – como los atacantes que roban datos, los colocan en un archivo mp3 y los cargan al servicio SoundCloud por ejemplo.
Aunque hurtar datos es el objetivo principal de muchos hackers actuales cada hacker y hacktivista tiene su propia agenda y motivaciones – desde la ganancia financiera hasta la destrucción de los bienes corporativos. Por ejemplo, Stuxnet cambió la forma como muchos profesionales de seguridad piensan sobre la seguridad pues se dieron cuenta que el malware se puede usar como un arma e interrumpir toda la infraestructura de una organización. Ahora como nunca detener las APTs y otras amenazas furtivas requiere una estrategia de defensa completa y de multicapas.
Muchos profesionales de seguridad afirman que las organizaciones deben esperar ser hackeadas en algún punto. Con esto en mente las compañías deben prestar atención a las formas como los atacantes tratan de escabullirse con los datos, recrear y analizar los ataques del pasado con el fin de comprender dónde están los vacíos y qué formas de prevención y protección se deben implementar. Este puede significar el uso de tecnologías de prevención de pérdida de datos, implementar inspección SSL en el gateway de Internet de la organización, bloquear transferencias de archivos codificados y reforzar mejores prácticas de entrenamiento para los usuarios.