Te voy a decir por qué tu infraestructura es insegura. Por lo que te voy a decir normalmente te cobrarían un par de miles de dólares durante una consultoría. Me aventuraré a evaluar tu infraestructura de TI sin siquiera verla y hacerle un diagnóstico. Estoy convencido de que para la mayoría de ustedes, lo que aquí describa será su verdad.
Software comercial/libre desactualizado. El software que está viviendo en tus sistemas no está al día. Puede tratarse del mismo Windows, de Linux, o bien de las aplicaciones que en ellos viven. Cada vulnerabilidad no actualizada a la última versión representa un hueco de seguridad por donde los atacantes se pueden meter y ciertamente las debilidades de software son las preferidas de los hackers hoy en día para entrar a redes y sistemas. También es cierto que los ciber-criminales están prefiriendo atacar a las débiles aplicaciones (Adobe Flash, Adobe Reader, Java) en lugar de ir tras sistemas operativos robustos modernos que son más difíciles de penetrar; simplemente se trata del menor esfuerzo. Ve y revisa si TODO tu software comercial está al día. Mi apuesta es que en esta ocasión he acertado y hay por ahí bastante software que requiere una manita de gato.
Software hecho en casa mal hecho. Esta conclusión es fácil. No hay que ser un Oráculo para saber que el software que se hace en casa está mal hecho…al menos desde el punto de vista de seguridad. Los desarrolladores que tienen en casa no han sido instruidos en el fino arte del desarrollo seguro de software. No los culpen. Ni los desarrolladores de grandes casas como Microsoft, Adobe o Apple han podido lograrlo (de ahí los cientos de debilidades en esos programas). La única razón para pasarle una herramienta de caja blanca al código de casa (enfocada en descubrir debilidades dentro de las líneas de dicho código) es ya solamente para saber en qué línea está la vulnerabilidad, pero no para saber si hay o no debilidades que pueden ser aprovechadas por hackers para meterse hasta la cocina. Revisa el código fuente de tus aplicaciones; al menos habrá un hueco importante.
Dependes del antivirus. Para protegerte de malware (virus, troyanos, etc.) dependes de un antivirus, así como en los años noventa. No importa la marca, últimamente se parecen cada vez más y más desde el punto de vista de su capacidad de detección. Los antivirus detectan ataques conocidos y aunque digan que usan la nube y “técnicas que no entenderíamos” para detectar malware desconocido, lo cierto es que se les siguen escapando cada vez más muestras de código malicioso. Y la tendencia continuará. Sin mencionar que son incapaces de defenderse contra ataques dirigidos donde se crea malware específicamente para entrar en una empresa. No he leído por ahí lo que acabo de decir, he visto de primera mano cómo fallan olímpicamente contra ese tipo de código; sigue la dependencia de la firma o patrón de detección sin la cual están perdidos. Como quitarle un dulce a un recién nacido. Y aquí está otro hallazgo: dependes únicamente de tu pequeño antivirus para defenderte ante ataques chiquitos y los Goliat.
Redes planas que significan hackeables. Si un hacker compromete un solo sistema de tu infraestructura, puede “ver” (pinguear) a cualquier otro sistema en tu red, incluyendo los sistemas críticos. Eso es una red plana. Aquélla donde no hay pequeñas fronteras dentro de la red y por lo tanto desde una ubicación puedes ver todo el reino (tanto por dirección IP como por puerto). Fácil para los atacantes. Entran a un sistema expuesto “X” y de ahí saltan a donde deseen dentro de la infraestructura (probablemente al directorio activo y sistemas sensibles). No saben de qué manera los atacantes aman a las redes planas.
Estándares de seguridad. No es que los estándares de seguridad sean la panacea, de hecho tienen algunas deficiencias (como el 27001). Sin embargo es mejor seguir (total o parcialmente) uno que no seguir ninguno en lugar de andar adivinando el camino a seguir para gestionar la seguridad corporativa. Que yo suponga que no siguen algún estándar de seguridad es una apuesta fuerte, ya varias empresas lo hacen. Pero aún así me decidí a aventurarme.
Controles contra APT. Un APT en español es una Amenaza Avanzada y Persistente. Son ataques dirigidos y a la medida, que se caracterizan por ser persistentes en el tiempo y por su sofisticación. Los antivirus son los menos indicados para detenerlos; firewalls y los poco útiles IPS (Prevención de Intrusos) tampoco. Mi apuesta es que no tienes controles contra los APT; no te culpo, son productos relativamente nuevos y justo es decirlo, ante un ataque APT bien orquestado sólo un monitoreo muy cuidadoso puede ser la última frontera contra este tipo de hackeos. Si Adobe, Google o RSA pueden ser exitosamente penetrados por estos APT, seguro habrá otras que también pueden caer.
Conclusiones. Podría seguir con la lista, pero me debo de detener si no de otra forma dejaré sin trabajo a los consultores de seguridad informática. El mensaje final es que en corporaciones medianas y grandes, se tiene tal complejidad en las infraestructuras de TI que se vuelve cada vez más difícil detectar cada hueco en ellas. Recuerden,los atacantes siempre van a buscar la fruta bajita, el camino más rápido para lograr su fin. Ya sea un switch desactualizado, un Flash que no cuenta con la última versión, un usuario que cae víctima del phishing, un USB tirado a propósito afuera de la empresa para que su malware sea insertado, un red plana y un largo etcétera que representan ciento de posibles huecos por donde se pueden introducir.
Más que rezar por salir de la mira de estos hackers y como avestruz aguardar que pase el peligro y suceda lo mejor, tomemos medidas proactivas para detenerlos. Y mi atrevimiento final es apostar a que no las han tomado ni tomarán. A veces un hackeo en carne propia mueve más que las palabras de un artículo como este.
@FaustoCepeda
Fausto Cepeda es ingeniero en Sistemas Computacionales por el ITESM. Es Maestro de Seguridad de la Información por la Universidad de Londres (Royal Holloway). Actualmente labora en la Oficina de Seguridad Informática del Banco de México. También cuenta con las certificaciones de seguridad CISSP, CISA, CISM y CEH