¿WannaCry? No se vale llorar

“El ciberataque más grande de la historia”, “Ciberataque de dimensiones nunca antes vista”, “Ataque de un nivel sin precedentes”. Titulares y calificativos que bien pudieran salir de una película de ciencia-ficción. La realidad es que el ciberataque basado en el malware conocido como WannaCry, suscitado ayer, se trata de un evento de gran relevancia que evidentemente no podemos minimizar, sobre todo por el alcance en la magnitud de su afectación, y el impacto mediático que derivado de éste se ha generado. Al momento de escribir esta publicación se estimaban cerca de 75.000 afectados, destacando hospitales, empresas, gobiernos, ciudadanos de a pie; más de 100 países involucrados y titulares en medios informativos globales. Una locura, sin duda.

wannacry_05

Sin embargo, es importante señalar que en los últimos años hemos sido testigos de incidentes que demuestran la evolución de los ciberataques, una recurrencia que intensifica su frecuencia, y lo más importante: la trascendencia que han tenido en eventos significativos de la vida pública. Y para muestra un botón:  el descubrimiento en 2010 del gusano Stuxnet impactando a una planta nuclear en Irán, el daño a una fábrica de acero en Alemania por un ciberataque a finales de 2014, el corte de energía en Ucrania que intensificó la tensión en la región de Crimea en 2016,  el ataque de denegación de servicio a través de una botnet de dispositivos domésticos conectados a Internet infectados por el malware Mirai, y la reciente sospecha de la intervención en las elecciones presidenciales de los Estados Unidos a través de la filtración de información sensible por medio de hackeos de gobiernos extranjeros. Todos estos incidentes han tenido en gran medida un detonador político cuyo hilo de alimentación es un conjunto de ciber-artefactos maliciosos. Increíble, ¿no?

election-system-hack

La historia de WannaCry no inició ayer. Hace algunas semanas salió a la luz que el grupo cibercriminal “Shadow Brokers” dio a conocer un set de herramientas maliciosas, entre las cuales se incluía a Eternal Blue, que por cierto se le atribuye su desarrollo a la Agencia Nacional de Seguridad (NSA) de los Estados Unidos, situación que evidentemente no ha sido -y seguramente no será – confirmada. Pero más allá de su origen y del escándalo, que ya de por sí inquieta en demasía por las implicaciones en cuestión de privacidad; en el contexto del evento de ayer, se destaca que Eternal Blue explotaba una vulnerabilidad del sistema operativo Windows. Después de que se tuvo conocimiento sobre la vulnerabilidad, Microsoft publicó una actualización de seguridad crítica el pasado 14 de marzo.  Esto significa que existió una ventana de tiempo considerable -prácticamente un mes hasta la fecha del ataque masivo- para actualizar los sistemas vulnerables. ¿Qué pasó entonces? ¿Por qué un evento de tal magnitud?

Shadow-Brokers-Hacking-Group-Claim-to-Have-NSA-Hacking-Tools-for-Sale

La realidad es que es un tema complejo y multifactorial. Podríamos hablar en el contexto de este acontecimiento, particularmente de áreas de oportunidad en la gestión de vulnerabilidades, en los controles de seguridad en los end-points y por supuesto en la falta de planes de concienciación para el personal en las organizaciones, sin embargo destacaría la ausencia -o ineficacia en el mejor de los casos- de una gestión de riesgos en esta materia, ya que a partir de ésta se genera la estrategia, las tácticas y la operatividad que rige a una organización en términos de seguridad de la información. Hace un par de semanas, en el marco del Infosecurity México 2017, Shay Zandani, CEO de Cytegic, nos compartía precisamente del enfoque proactivo que las organizaciones pueden adoptar, el cual está basado en 3 grandes pilares:

  1. Identificar los activos críticos que soportan sus procesos de negocio.
  2. Medir la madurez de los controles de seguridad (es decir, identificar si son capaces de detectar y contener incidentes de seguridad).
  3. Monitorear el panorama de amenazas, analizar y pronosticar.

Evidentemente, este ejercicio debe estar alineado al contexto y perfil particular de cada organización, ya que, por ejemplo: las amenazas de un banco ubicado en Europa del Éste, no son necesariamente las mismas de un banco en México, y por lo tanto los controles en ambos casos deben cimentarse en escenarios acordes a su realidad. Con base en estos elementos, es que podemos definir una postura de seguridad y a través de ellos establecer la estrategia a seguir.

Estrategia Cytegic

El evento de ayer, no es más que una muestra de que estamos inmersos en un panorama de amenazas que nos presenta retos muy importantes en todos los ámbitos, y que éstas pueden afectar por igual a un individuo, a una pequeña organización, a una corporación global o a un gobierno. Curiosamente, Zandani comentó que en los próximos días el incremento de ransomware sería notorio. Y no es que él sea un mago, pero es que el enfoque que utiliza, basado en el monitoreo del panorama de amenazas, la inteligencia y el establecimiento de controles de seguridad acorde a las necesidades, son instrumentos imprescindibles para una organización proactiva en materia de seguridad de la información. Por cierto, en México particularmente, se verá un incremento importante de ataques de ransomware en las próximas semanas derivado de acontecimientos transcendentales en el ámbito político, como son las elecciones estatales en entidades clave del país y por supuesto las presidenciales del próximo año, así que ¡manos a la obra! Ya avisados, ante un futuro «WannaCry”, no se vale llorar.

Por: Juan Pablo Carsi

Nuestras civilizaciones prehistóricas ya utilizaban la gestión de seguridad de la información. 

_2000x1320

El poder acumular conocimientos y trasmitirlos a lo largo del tiempo entre las generaciones ha sido uno de los hechos más importantes que nos permitió evolucionar como sociedad a lo largo de toda nuestra historia. En la actualidad nos identificamos como una sociedad de la información o aldea global en donde la información representa poder y es la base para la toma de cualquier decisión en nuestras vidas. Sin embargo, esta evolución no hubiera sido posible si nuestros antepasados de la prehistoria no hubieran utilizado mecanismos de seguridad de la información desde hace 19.000 años a.C.

Las civilizaciones prehistóricas aplicaron los principios de confidencialidad, integridad y disponibilidad de la información desde que comenzaron a utilizar la primera tecnología de la información; la pintura sobre piedra, pintura rupestre o pictograma. Estas pinturas o mensajes contenían principalmente información sobre la caza y la recolecta de alimentos, pero se mantuvieron íntegros a lo largo del tiempo al ser realizados en el interior de la cueva, los mantuvo lejos de las naturaleza como los son la lluvia, el aire y el sol y mismos factores que a los especialistas en seguridad les preocupan en la actualidad.

Un ejemplo vivo de que la seguridad es cosa del pasado es la cueva de Lascaux, al suroeste de Francia, en donde podemos observar 963 unidades gráficas o mensajes que fueron pintados a 3 kilómetros de distancia de la entrada principal de la cueva, lo cual también garantizo la confidencialidad, al no ser accesibles los mensajes por cualquier persona, y únicamente fueran accedidos por quienes conocieran su ubicación y ruta  dentro de la cueva. Estas pinturas se mantienen vigentes hasta nuestros días gracias a lo anterior y debido a que fueron pintadas en el techo, lo que permitió evitar el desgaste del paso de los animales y el excremento de los murciélagos, y nos demuestra al permitir contemplarlas en nuestra actualidad que también los mensajes cumplieron con el principio de disponibilidad.

En la actualidad , los expertos en seguridad reconocemos que gran parte de nuestro trabajo es «ponerle piedritas en el camino al atacante» con el objetivo de que le tome más tiempo materializar su ataque y/o podamos detectarlo. Sin embargo, este concepto de seguridad es cosa del pasado ya que nuestros ancestros literalmente ponían tierra, piedritas y piedrotas en las cuevas a los posibles atacantes o personal no autorizado para el acceso a tan valiosa información.

Por: Rafael Sada