Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

10 octubre 2015

Ciberataques: por dónde van los tiros


Con ese título tuvo lugar un encuentro de profesionales organizado por la Revista SIC , cuyo propósito era analizar la tendencias en malware e ingeniería social y ver qué podemos esperar en un futuro. Para ello, se contó con la colaboración de dos expertos en ingeniería social y malware y de representantes de distintas empresas, cuyo negocio son las herramientas de seguridad, que compartieron con el público su dilatada experiencia en la materia. Al finalizar, tuvo lugar un coloquio entre todos los participantes, al que se unieron representantes de dos CERT españoles, como son el INCIBE y el CCN-CERT.

Ingeniería social y código malicioso

En esta primera parte, Carlos Fragoso y Andrés Tarascó compartieron con nosotros algunas ideas y anécdotas interesantes sobre la manera que tienen los atacantes de aproximarse al objetivo. Por ejemplo, el caso de un alto mando de defensa de Estados Unidos que recibió un correo urgente fingiendo venir de la escuela de su hija, comunicándole un problema (más información adjunta, por supuesto, y en el adjunto ya os podéis imaginar). Un modo ingenioso de llegar a un objetivo protegido, por un camino lateral. Algo que también puede hacer vulnerable a una organización es que se difundan su puntos débiles (por sabotaje o sin percatarse de ello). Carlos ha visto de todo y por eso, no le extraña saber que, además de las personas, otras vías de ataque pueden ser: el propio hardware o el firmware, la virtualización o el uso de estaciones 3G falsas en eventos importantes, entre muchos otros.

No sorprende entonces que Andrés dijera que cada tres meses borra todo su ordenador y lo instala de nuevo. Algo menos precavida es una empresa que reconoció saber que el 100% de las startups que había adquirido estaban comprometidas. Y es que, si tu organización o empresa absorbe a otras, te llevas también en el paquete el desgaste de seguridad de éstas tuvieran. Y si no, que se lo digan a Experian, pensé, recordando este artículo de Krebs

Sus consejos finales fueron: hay que concienciar a los usuarios en un lenguaje sin tecnicismos, "de tú a tú" y "cuidado con el todo gratis" (las cosas gratuitas a veces encierran grandes peligros).



Hallazgos y previsiones de la industria antimalware

Representantes de Blue Coat, FireEye, Fortinet, Kaspersky Lab, Palo Alto, Panda y Trend Micro nos explicaron cómo trabajan sus equipos para compartir inteligencia de ciberseguridad con la comunidad. El juego de la seguridad no consiste solo en comprar "cacharritos": las organizaciones necesitan una estrategia de inteligencia para saber, no solo que está siendo atacada, sino por quién y cómo responder; ya que el malware, por si solo, sin información de contexto, no aporta mucha inteligencia. Pero los expertos son difíciles de encontrar y caros de conservar. Como las muestras de malware van cambiando, es mucho más importante investigar y detener a la gente que hay detrás, cosa que hacen posible estos equipos, mediante su colaboración con las fuerzas del orden de los distintos países.

También nos explicaron algunas de las amenazas y tendencias que han visto en sus investigaciones y lo que piensan que pueda desarrollarse el próximo año. Por ejemplo:

Mucho del malware viene por los anuncios (web ads), con backdoors incluidas en el sitio web que se ejecutan sin conocimiento del administrador del mismo. Ni siquiera hace falta que el usuario haga click en ningún enlace. Solo por aparecer el anuncio, ya te infectas. (Un ejemplo que me viene a la cabeza es el de los sitios de descargas de pelis, infectados con un ransomware que está haciendo estragos en España). El ransomware en general está aumentando y seguirá llegando por fuentes varias. Kaspersky ha puesto a disposición de la comunidad una herramienta fruto de su colaboración con la policía holandesa: https://noransom.kaspersky.com

El 95% de las APTs empiezan por el phishing, con ejemplares que son de diseño a veces muy básico, pero eficaces y que pasan desapercibidos para los antivirus.

Qué podemos esperar: más ingeniería social (dado que funciona), aumento de ataques por el Internet of Things, aprovechamiendo de vulnerabilidades en el software de seguridad, más arrestos de cibercriminales, más ataques a pagos móviles, otro país europeo se añadirá a la lista de los "pillados in fraganti" espiando, se mantendrá la tendencia vista en Sony y Ashley Maddison de entrar a robar datos y diseminarlos para intentar destruir totalmente una compañía.

¿Se cumplirán sus predicciones?

Debate


Recomendaciones realistas de los expertos para que nos preparemos para lo que viene: concienciación continua de los usuarios, pero sin dejarles toda la responsabilidad a ellos; a la concienciación hay que añadir el forzar unas políticas de uso seguro, como tener puestos de trabajo con privilegios mínimos; el concepto de "zero trust" (en español: no te fies ni de tu padre) y asumir que no somos autosuficientes y que hay que compartir inteligencia. Y por encima de todo: asumir que, por mucho que hagamos para protegernos, lo inevitable va a ocurrir y tenemos que estar preparados para reaccionar al respecto, teniendo unos procedimientos bien establecidos y guardando todos los logs necesarios. Un problema habitual es que cuando se va a investigar un incidente, se encuentra uno con que no hay bastantes logs o que se ha limpiado el equipo sin hacer antes una imagen.

Esperemos que todas estas ideas y buenos consejos puedan ayudarnos durante el próximo año a defendernos de los ciberataques que nos esperan.

Fue un placer desvirtualizar a algunos de mis seguridores y volver a charlar con Carlos, a quien tuve el gusto de tener como profe en mi último curso.

Muchas gracias a la Revista SIC por invitarnos a tan interesante iniciativa. ¡Y por guardarme el paraguas olvidado! ;)

Nos vemos en la próxima. Stay safe.



No hay comentarios:

Publicar un comentario

A penny for your thoughts