La ciberdefensa parece estar más vulnerable de lo que se informa. ¿Será la incorporación de la estrategia militar una solución?, ¿será tiempo de ocupar el Manual de Tallin?
"Este mundo, el ciberespacio, es un mundo del que todos dependemos cada día ... [que] nos ha hecho más interconectados que en cualquier otro momento en la historia humana", dice el Presidente Barack Obama, al encabezar el informe 'International Strategy for Cyberspace-Prosperity, Security, and Openness in a Networked World', de mayo del 2011.
Obama tenía razón, pero dejó de lado lo más importante: esta hiperconexión en la cual vivimos en la actualidad está haciendo día tras día más vulnerables a gobiernos, compañías, organizaciones y a individuos, que ven cómo la ciberseguridad es sobrepasada cada vez con mayor frecuencia y sofistificación. Al parecer, la estrategia hasta ahora ejecutada no es la más indicada.
Los hechos hablan por sí solos por mencionar solo lo acontecido este 2014. Este año RSA, la división de seguridad de EMC, descubrió el mayor ciberdelito de la historia latinoamericana conocido como ‘Boleto’, hablamos del ataque a más de 30 diferentes bancos brasileños por un monto de US$3.700 millones, que se calcula en base a las más de 495.000 transacciones fraudulentas detectadas. Mientras que Kaspersky Lab también realizó su trabajo al descubrir una campaña de ciberespionaje con el nombre clave de 'Machete', dirigida a víctimas de alto perfil, incluyendo gobiernos, fuerzas militares, embajadas y fuerzas del orden desde hace por lo menos 4 años. El campo principal de su operación ha sido América Latina.
Tampoco dejó indiferente el reciente ataque, detectado por el equipo de ESET, del gusano de la familia VBS/Agent.NDH, una de las amenazas con mayor índice de propagación en Latinoamérica, tal como refiere la web de la compañía. Los países más afectados a nivel mundial corresponden a esta región acaparando casi 60% de las infecciones en 2014.
(Se trata de un gusano con capacidades de propagación similares a las de la familia Win32/Dorkbot, que tiene la capacidad de infectar dispositivos USB.)
Los ataques antes descritos no son simples ataques de denegación de servicio (DoS), ni jugarretas de Anonymous o Lulzsec, son sendos ataques a estructuras complejas de gobiernos y compañías, que se suponen, deberían tener sistemas que prevengan y eviten estas vulneraciones. “La proliferación de ataques informáticos de gran escala y el surgimiento de avezadas organizaciones criminales internacionales, son amenazas que pueden llegar a comprometer la seguridad de los países, puesto que significan riesgos económicos, políticos e incluso militares”, dice Juliana Salazar, directora de ventas para el conosur de Latinoamérica de McAfee. La experta explica que la “ciberdefensa” se ha convertido de esta manera en un tema prioritario, que “involucra desde aspectos éticos y políticos, hasta legales nacionales e internacionales, además de los propiamente tecnológicos. Existen países que han tomado medidas y establecido políticas de seguridad de la información que los hacen estar mejor preparados”.
Precisamente ese “estar mejor preparados” es donde aún se observan flaquezas importantes, más aún sabiendo que ahora los ataques tienen la capacidad para destruir complejos industriales críticos para un país, tal como lo ocurrido con Irán hace un par de años con los malwares Stuxnet, Duqu, Flame y Gauss. “Proteger sistemas de infraestructura crítica de energía es muy importante para un país. Este desafío existe desde hace años y, con hechos como 'Medre', 'Machete' o 'Boleto', se ha vuelto a poner sobre la mesa la discusión sobre cómo proteger activos críticos para diferentes industrias”, dice Pablo Ramos, especialista en seguridad de ESET Latinoamérica. “Por otra parte, si algo tienen en común las industrias de Energía, Transporte, Salud y Banca es la importancia de la disponibilidad de los servicios y la información confidencial que manejan. Durante los últimos meses hemos visto múltiples ataques al sector de Salud en dónde el principal objetivo de los cibercriminales fue obtener registros de pacientes e historiales clínicos”, señala Ramos.
El experto de ESET indica que, por ejemplo, en la Banca o el sector Financiero el objetivo de los ataques contempla otro tipo de información confidencial. “Usualmente los datos de las tarjetas de crédito son un blanco común para los cibercriminales. A su vez, en los últimos meses han sido víctimas de estos ataques los puntos de venta, con algunos casos en donde los atacantes obtuvieron miles de tarjetas de crédito”.
(Crédito: Check Point 2014 Security Report)
Ramos enfatiza que los equipos de una organización que deban hacer frente a diferentes ataques deben estar capacitados en seguridad, entender las metodologías de los atacantes y bloquear todos los cursos de acción posibles. Uno de los puntos más importantes a entender es que los atacantes solo necesitan encontrar un acceso, explotar una vulnerabilidad, robar una clave de acceso y solo con ello podrían causar un gran daño a cualquier sistema de infraestructura crítica. “El desafío para estos equipos es estar un paso adelante, identificar sus riesgos, contar con planes de contingencia y respuesta a incidentes son factores claves, siempre y cuando se cuenten con las herramientas de protección necesarias según el negocio”, dice Ramos.
¿Militares a la ciberseguridad?
La idea no es descabellada y tiene sus orígenes en la capital de la República de Estonia, Tallín, donde el 2013 se creó “El Manual Tallin”, a pedido del Centro de Excelencia en la Defensa Cooperativa Cibernética de la OTAN (CCDCOE), un grupo de estudios de esa organización. El manual toma las reglas vigentes sobre el comportamiento en el campo de batalla, como la Declaración de San Petersburgo de 1868 o la Convención de Ginebra de 1949, y las aplica a la ciberdefensa.
“Todos veían la internet como una especie de ‘Far West’”, dijo Michael Schmidt, profesor de la Academia de Guerra de la Marina de EE.UU. y editor del manual, antes de su publicación oficial. “Habían olvidado que el derecho internacional (DD.II) es tan válido para las armas cibernéticas como para cualquier otra arma”.
[youtube:https://www.youtube.com/watch?v=Jxvm815Z96w]
“La OTAN reconoce que la ciberdefensa es una de las tareas principales dentro de su reto de defensa colectiva. Desde hace 10 años dispone en Mons –Bélgica- del llamado Centro de Respuesta a Incidentes de Seguridad Informática, que incluye una unidad de gestión de crisis, de tipo militar, con una célula de ciberdefensa que enlaza con el resto de organismos de la Alianza en este campo”, explica Salazar de McAffe.
Para Ramos de ESET, “existen metodologías y herramientas para prevenir ataques informáticos, principalmente los relacionados con APT (Advanced Persistent Threat) que llevan al robo de información o ciberespionaje”, y que son los que precisamente intentan evitar a través de las 95 reglas o recomendaciones del Manual de Tallin.
Ramos se hace la siguiente pregunta: “ante un caso así ¿cómo se podría proteger un ente gubernamental o un sistema de infraestructura crítica? En situaciones como esta, la combinación de herramientas de seguridad es fundamental para garantizar la mayor protección de los sistemas de infraestructura y recursos críticos. Al hablar de estos modelos de seguridad, es necesario incluir diferentes capas de protección. La implementación de un IDS (Intrusion Detection Systems), Firewalls, Soluciones de Seguridad en los Endpoints, Doble Factor de Autenticación y cifrado de información confidencial son aspectos claves. Sin embargo, sin una adecuada gestión, se pueden exponer diferentes vulnerabilidades”.
Y es en dicha gestión donde el factor estratégico de “lo militar” puede jugar un papel especial.
Así lo piensa Loreto Serrano country manager para Chile y Perú de Symantec quien señala que, “alguien que tiene experiencia militar puede ver “al enemigo” donde nadie más lo ve, es una forma distinta de evaluar el riesgo, y una muy interesante visión sobre el tema”. Este método requiere de una nueva y mayor resiliencia ante el cibercrimen, requiere un cambio de juego, de inversiones en equipos de seguridad líderes. Hoy se están centrando las inversiones en controlar y detectan en lugar de prevenir intrusiones, tal como señala el estudio Transforming Information Security de RSA-EMC.
La guerra no deja de ser tal porque se desarrolla en internet
Este es el principio central del Manual de Tallin. Penetrar en los sistemas SCADA que controlan una represa para descargar el agua repentinamente, tiene el mismo efecto que destruirla con un misil tomahawk, plantean los autores. Jurídicamente un ciberataque que provoca un incendio en una base militar no se puede distinguir de un ataque con proyectiles incendiarios. Sin embargo, al igual que los ejércitos, el poderío cibernético y tecnológico no es igual ni equilibrado entre las naciones.
“Lo anterior se debe articular globalmente, pero no todos los Estados, Gobiernos o naciones, entienden por igual los riesgos y la forma de gestionarlos. Por ejemplo, algunos países, al carecer de regulaciones o leyes apropiadas, pueden ser un blanco muy atractivo para los cibercriminales o bien convertirse en una especie de refugio e impunidad para ellos”, dice la experta de McAffe. “Otros se concentran sólo en los riesgos que puedan significar desestabilizar a sus gobiernos, estableciendo restricciones y sistemas de control, muchas veces de corte militar, que dificultan la cooperación internacional en este nuevo escenario”.
¿Y qué deben hacer entonces gobiernos, empresas y organizaciones? Para poder generar una estrategia de ciberseguridad, dice Juan Rivera, Director para el cono sur de Riverbed, se debe primero que todo, “cambiar las prioridades dentro de las empresas o gobiernos en esta área de la tecnología, que hoy es más una área de apoyo que una estratégica.. la seguridad cibernética debe estar liderando todas las instancias tecnológicas. Esto implica que cualquier proyecto tecnológico debe pasar por una revisión de seguridad, tal como cuando ingresas al aeropuerto”.
Rivera señala que cada persona (dentro de un aeropuerto) es un proyecto tecnológico independiente, si estánn en primera clase o no tiene que pasar sí o sí el control de seguridad. La mejor manera, dice Rivera, de analizar una nueva estrategia es tener la analogía de los aeropuertos, “donde si cambias a las personas por actividades tecnológicas o paquetes de transacción de datos verás que todo es revisado y controlado”.
El Check Point 2014 Security Report va más allá al postular la necesidad de una nueva arquitectura de seguridad del mañana: la protección definida por software, enfatizando que un nuevo paradigma es necesario para proteger a las organizaciones proactivamente.
El informe de Check Point presenta un análisis en profundidad de las amenazas de seguridad que pueden ayudar a los tomadores de decisiones a entender la gama de amenazas que enfrentan sus organizaciones y considerar nuevas acciones para mejorar la protección de su entorno de TI.
Los aspectos más destacados del reporte son:
• El uso del malware desconocido explotó, impulsado por la tendencia del malware "personalizado en masa"
• La exposición del malware y las infecciones aumentaron, lo que refleja el creciente éxito de campañas de malware dirigidos.
• Cada categoría de ciberataque de alto riesgo aumentó su presencia en empresas de todo el mundo.
• Incidentes de pérdida de datos se incrementaron en todas las industrias y con todo tipo de datos.
Por otro lado la compañía de seguridad entrega a las empresas y organizaciones 5 preguntas claves que deben responder:
1-. Cómo la rápida evolución de la seguridad ha afectado su organización
2-. Qué amenazas les ha tocado enfrentar, y qué riesgos emergentes son los más preocupantes para la compañía.
3-. ¿Siente que posee las herramientas y estrategias a la altura del reto o se siente cada vez más abrumado por la cantidad y sofistificación de los desarrollos en ciberdelitos?
4-. Qué nuevas medidas adoptarán el año entrante
5-. Cómo ayudará a su organización para llevarla a una " base" más segura
Finalmente, Rivera nos alerta que es necesario decir que todos los datos y dispositivos deben estar pensados primero desde el punto de vista de la seguridad y luego del beneficio tecnológico. En las empresas donde este concepto esté claro el departamento de seguridad informática será el que supervise las áreas de TI y no al revés, tal como sucede aún en Latinoamérica.
“Por otro lado, las personas que conformen el equipo de inteligencia cibernética deben provenir ser de varias áreas no solo militares si no también civiles y legales”, dice el ejecutivo de Riverbed.
*NOTA:
Vea el mapa de las ciberamenazas en tiempo real (Kaspersky Lab)
Vea el sistema de alerta temprana contra amenazas emergentes en tiempo real (ESET)