Durante la Segunda Guerra Mundial, los alemanes desarrollaron lo que se conoció como minas magnéticas: un tipo especial de mina naval que se puede lanzar desde un avión, y se deposita en el lecho marino (generalmente en lugares de poca profundidad): Estos sistemas se arman al detectar el campo magnético de los cascos de los barcos. Las minas no pueden distinguir si el barco es un objetivo interesante desde el punto de vista militar. Cualquiera que pase por esa zona corre peligro de ser alcanzado.
A veces, los ataques informáticos avanzados se parecen mucho a estas minas magnéticas. Solo hace falta visitar cierto sitio para que la trampa se arme, y termine explotando en el momento que puede generar el mayor daño. Técnicas de ataque vía malware, como la llamada “watering hole”, se comportan de esta forma. Sin embargo, los ataques informáticos modernos tienen varias ventajas: pueden discriminar entre sus objetivos (cosa que las minas no pueden hacer) y se mueven muy silenciosamente (a veces el daño tarda meses en ser advertido).
La comparación entre las minas magnéticas y los ataques avanzados no es ociosa. La mayoría de las compañías están operando sobre un campo minado sin la protección adecuada. Ya no se trata de usar antivirus y firewalls capaces de detectar patrones de código potencialmente malicioso. La realidad es mucho más compleja, y los activos a proteger muchas veces están fuera del perímetro tradicional de las organizaciones.
NADIE ESTÁ A SALVO
Todos navegamos por aguas peligrosas. Según el Reporte Anual de Seguridad de Cisco del 2014, hoy “el 95% de las empresas grandes son víctimas del tráfico malicioso, y el 100% de las organizaciones han interactuado con sitios web que albergan malware”.
“Hubo una evolución en los ataques —explica Juan Marino, Business Development Manager de Cisco Latinoamérica, quien el 2 de diciembre dará una charla sobre ciberseguridad, auspiciada por Cisco y Braycom —. Se habla de la industrialización del hacking. Hace diez años el propósito de atacar era diferente al que es hoy. El cibercrimen es hoy un negocio mucho más maduro”. También han madurado las modalidades de ataques, que generalmente llegan de la mano de malware sofisticado y silencioso, ante el cual la protección informática tradicional nada puede hacer.
Por si fuera poco, los nuevos modelos de negocios, que requieren de accesos desde múltiples dispositivos fijos y móviles (con diferentes sistemas operativos), y la utilización de recursos alojados en la nube, hace que establecer un sistema efectivo de protección sea mucho más difícil. Como consecuencia, la superficie de ataque (es decir, la cantidad de puntos vulnerables dentro del sistema que un criminal online puede aprovechar) se ha multiplicado. Generalmente, la respuesta de las organizaciones es instalar varias herramientas de seguridad que ofrecen una visibilidad fragmentada de los riesgos y de los ataques, y cuya gestión no es unificada.
“Las cosas cambiaron muy rápidamente, pero las empresas no se adaptaron a la misma velocidad. Siguen protegiéndose a la vieja usanza, y siguen creyendo que eso es suficiente”, diagnostica Marino, y da un ejemplo de las creencias que lastran esta evolución: “Muchas empresas creen estar a salvo de los ataques porque son medianas o pequeñas. Cualquier tipo de empresa es vulnerable y puede convertirse en víctima, porque no hay una persona de carne y hueso detrás de cada ataque mirando si el objetivo es grande o pequeño, o por nombre de empresa. Eso está automatizado. Quienes se dedican al cibercrimen monitorean vulnerabilidades, y cuando detectan un blanco fácil atacan para ver qué les pueden sacar. Tenemos estudios que dicen que la mayoría de los ataques se dan simplemente porque es fácil atacar. Es como si un delincuente observara que te dejaste la llave dentro del coche abierto. Por ahí no iba a robar ese auto, pero aprovecha la oportunidad y lo roba igual, y se fija después qué puede hacer con él”.
POR QUÉ FALLAN LOS SISTEMA TRADICIONALES DE PROTECCIÓN
“La seguridad es hoy un proceso de múltiples capas. Antes sólo necesitábamos una sola: un antivirus era capaz de reconocer código malicioso y lo eliminaba, el firewall permitía ciertos accesos a los recursos, y se oponía a otros. Pero esto se fue haciendo más complejo. Si el firewall permite ingresar al sistema sólo por el puerto 80, entonces los atacantes trabajan a través de ese puerto, y ante la posibilidad de filtrar tráfico en el puerto 80, el malware se disfraza de aplicación permitida. Los mecanismos puntuales de defensa ya no alcanzan. No significa que estos mecanismos ya no sirven, pero sí que hay que agregar otros”, asegura Marino.
Una clase particular de ataque, denominado polimórfico, utiliza malware que, a primera vista es inofensivo, o incluso se parece a las aplicaciones permitidas. Una vez que vulneró el sistema, incorpora código de otras fuentes y muta. “Cuando bajás un archivo .PDF y lo inspeccionás con tecnología que reconoce patrones, no tiene nada malo. Pero después eso se activa, y se convierte en un ataque que se dispara un mes después de que bajaste el archivo. Hoy, por suerte, estamos un pasito por delante de esto porque tenemos tecnología de Advanced Malware Protection, que permite detectar algo que mutó retrospectivamente” describe Marino.
Estos nuevos sistemas interactúan contra bases de reputación en la nube, donde se refleja lo que pasa en miles de organizaciones de distintas partes del mundo, generando inteligencia colectiva y permitiendo revisar malware que en algún momento pudo parecer código inofensivo. En este marco, Marino asegura que Cisco es hoy la única empresa que puede ofrecer una seguridad capaz de abarcar todos estos puntos. “Esto no es un lujo, es hoy una necesidad. Al incorporar la oferta de Sourcefire, podemos acceder a esa inteligencia colectiva que nos permite detectar malware avanzado y hacer análisis retrospectivo, entre otras ventajas. Nuestras soluciones pueden mostrar una foto de la red e indicarte en qué cosas sos vulnerable, dándote un curso de acción más directo. Esto no es tan fácil si se tienen un montón de herramientas diferentes, y hay que revisar decenas de logs y alertas. Esa complejidad y esa fragmentación se traducen en la incapacidad de actuar rápido. Actuar con lentitud y reparar los daños puede ser muy costoso”.
Para interiorizarse más sobre estas amenazas, la forma más adecuada de gestionar la seguridad en los entornos crecientemente complejos, y la manera más efectiva de minimizar los daños, asista a la charla organizada por Cisco y Braycom, en la que Marino dará mayores detalles y propondrá soluciones. La cita es del 2 de diciembre, a las 10.00.
Regístrese, e interactúe con los profesionales de seguridad.
(En caso de no poder asistir en persona, habrá una emisión vía web).
