Seguritecnia 346

Artículo Técnico 44 SEGURITECNIA Noviembre 2008 (cortafuegos, detectores de intrusos, antivirus de correo, filtrado de contenido…) pierdan gran parte de su eficien- cia para prevenir estos nuevos ataques. Tanto esfuerzo en proteger el perímetro de una organización tuvo su éxito y ya son pocos los que se obstinan en romper estas protec- ciones. En cambio, ha aparecido un nuevo talón de Aqui- les: el usuario, que al final siempre es el eslabón más dé- bil. Porque, ¿de qué nos sirve contar con cortafuegos, IDS, antivirus, filtrado de contenidos o tecnologías similares si un empleado se infecta con un código malicioso sim- plemente visitando una página con un exploit zero-day como el existente de Acrobat Reader en febrero? Este có- digo no es detectado por los antivirus, y utiliza una co- nexión HTTP normal para enviar los datos robados y re- cibir órdenes. De hecho, las propias casas antivirus reco- nocen que no son capaces de soportar la gran cantidad de códigos maliciosos que se generan todos los días, y mu- chas veces existe esa ventana de tiempo en la que aún te- niendo el sistema operativo con todos los parches, los sis- temas son vulnerables. No bajar la guardia Las protecciones en el perímetro por supuesto que son ne- cesarias, pero también es fundamental añadir más capas centrándonos en otros puntos que antes estaban más des- cuidados. Durante el año 2007, en el Centro de Operacio- E xisten diferentes factores a tener en cuenta, nece- sarios para las futuras decisiones que habrá que to- mar: el primero de ellos, el origen de los ataques que se pueden sufrir; hace tiempo que terminó la “época ro- mántica”, en la que muchos de los ataques eran fruto de la curiosidad y de demostrar la valía de ciertos adolescentes. La realidad actual es bien distinta. Existen bandas de cri- men organizado que utilizan todos los recursos y tecno- logías presentes en Internet para garantizar su anonimato y cometer todo tipo de felonías: phishing , pharming , scam , clickfraud , worms , zero-day exploits, spam , ataques de de- negación de servicio distribuidos ( DDoS ) y un largo etcé- tera de amenazas a las que todos somos vulnerables. El objetivo que subyace en la mayoría de los ataques es siem- pre un motivo económico, pero muchas veces también se intercalan motivos políticos o relacionados con el espio- naje industrial. Tecnología a antojo Estas bandas organizadas, que se encuentran en ciertas áreas del mundo, pero muchas veces con presencia local en todos los países, utilizan a su antojo cualquier tecno- logía que les favorezca: programación de malware para el robo de información, balanceo de carga y alta disponibili- dad en sus infraestructuras (como por ejemplo fast-flux ), utilización de proxies inversos encadenados utilizando máquinas comprometidas para ocultar su centro neurál- gico, o el uso de XML o AJAX en sus paneles de control para manejar todos sus recursos. Aquí se nota uno de los factores de cambio que se ha co- mentado: la utilización, cada vez mayor, de malware para el robo de información y la posterior utilización de las má- quinas infectadas para otro tipo de delitos ( DDoS , proxies , clickfraud , etcétera). Este factor provoca que casi toda las inversiones que se han hecho en seguridad perimetral Nuevos tiempos en las amenazas por la red Director de la unidad S21sec e-crime David Barroso La velocidad con la que evolucionan los riesgos de utilizar Internet es tan rápida que es prácticamente imposible pararse un momento a reflexionar y mirar hacia atrás: sólo es posible mirar hacia el futuro si no se quiere perder el equilibrio y, por supuesto, el control. Esta transformación tan frenética está presente en la Seguridad de la Información, área que es cada vez más importante en todas las organizaciones, por lo que se exige tener que adaptarse continuamente a las evoluciones de los peligros que acechan sin descanso: no hay vacaciones, horas de cierre o descansos; la presencia y uso de Internet por parte de una organización implica estar disponible (on line) 24 horas al día, 365 días al año (y consecuentemente, proteger los activos de la organización en el mismo horario) “El objetivo que subyace en la mayoría de los ataques es siempre un motivo económico, pero muchas veces también se intercalan motivos políticos o relacionados con el espionaje industrial”