Etiqueta: Neutrino

Análisis de las predicciones de seguridad TI para 2014

Fausto Cepeda predicciones seguridadNo puede iniciar un nuevo año sin predicciones de seguridad informática. En esta ocasión no es diferente, ya que hay varias empresas e individuos que se convierten en profetas del futuro.

Si me preguntan, considero a la mayoría de estas “predicciones” muy predecibles. No puede faltar la que dice que “Habrá más malware” y no hay que ser adivino para prever que así será tanto en los sistemas operativos tradicionales como en los móviles. O está la típica de “Los ataques se incrementarán” que, bueno, sobra decir, así será.

Pero a veces uno se topa con un par de listas de predicciones interesantes. En esta ocasión me topé con unas de Symantec y otras de WebSense. Voy a analizar algunas de ellas.

“Las personas finalmente comenzarán a tomar medidas para asegurar su información privada” (Symantec). Lo dudo. A la mayoría de los usuarios típicos de Internet no les interesa realmente este tema o no están dispuestos a hacer algo al respecto. Son los menos los que se preocupan por este tema y que sí toman medidas efectivas para protegerse.

Los estafadores, recolectores de datos y cibercriminales no ignorarán ninguna red social, sin importarles que sea de nicho o misteriosa” (Symantec). Interesante predicción. Al irse fortaleciendo la seguridad de las redes sociales tradicionales, quedarán las poco populares que típicamente tienen insuficiente seguridad.

El ‘Internet de las cosas’ se convertirá en el Internet de las vulnerabilidades” (Symantec). El Internet de las Cosas se refiere a que el tostador, refrigerador, lavadora y otros electrodomésticos y aparatos estarán (o están ya) conectados a Internet. Desconozco la situación en otros países, pero en México no veo que en 2014 se dispare el boom del Internet de las Cosas con suficiente amplitud como para que sea un objetivo jugoso para los atacantes. Para variar, veo a México varios años atrás en la adopción del Internet de las Cosas. Y además, la mayoría de los criminales de hoy quieren sacar un provecho económico por sus ataques, así es que adicionalmente debe de existir ese tipo de “motivación” para atacar a un tostador.

El volumen del malware avanzado va a disminuir” (Websense). Esta predicción me desorientó ya que Websense confunde el malware avanzado, el malware dirigido y el malware de volumen. Aclaremos: el malware avanzado por lo general va a ser dirigido, y es el tipo de código que hacen gobiernos (ejemplo: StuxNet). Un gusano dirigido a una organización o a un individuo va a ser avanzado y probablemente use debilidades de día cero. Por otro lado, el malware que yo le llamo genérico y volumétrico, es el que se crea “a ver quién cae”.

Los criminales lo mandan por correo spam, por redes sociales vía links, o bien, ejecutables cuidadosamente disfrazados. No es dirigido a alguien en especial, lo que se desea es tener la mayor cantidad de víctimas posible. No es “avanzado y complejo”, saben que los usuarios tienen malas prácticas de seguridad y si no cae uno, seguro caerá el siguiente. Ahí está el CryptoLocker, por ejemplo. Y retomando lo que predice WebSense, no veo a ningún tipo de malware disminuyendo y aunque lo hiciera ligeramente, las estrategias en el combate de código malicioso en las empresas no cambiarían ni un poco. Una predicción totalmente inútil.

“Una destrucción de datos significativa va a suceder” (Websense). Hasta ahora los ataques en línea roban información, pero no la destruyen. La predicción es que existirá un importante ataque informático cuyo objetivo sea destruir datos. En general, la gente y organizaciones son mucho más tolerantes al robo de datos que a su destrucción. Así es que tiene que haber una fuerte motivación de venganza o un afán de advertencia extraordinario para destruir datos ajenos, a sabiendas de que a diferencia del robo de datos, ahora sí puede existir una respuesta de la víctima. Falta ver que se concrete y bajo qué condiciones sucedería esa destrucción “significativa”.

“Java va a seguir siendo débil y altamente explotable” (Websense). Bueno, esta no es una predicción. Ya lo es desde hace tiempo y sabemos que así permanecerá en los siguientes años a venir. Nadie debería de poner este tipo de predicciones tan obvias.

Hasta aquí el análisis de las predicciones. Microsoft tiene otras más o puedes googlear “security predictions 2014”, si te interesa el tema. En fin, después de que las leí todas me quedé con un pensamiento “¿Y luego qué”? Varias no son predicciones sino que ya están sucediendo. A las otras les falta que se concreten a ver si es cierto y restaría por ver si las estrategias de seguridad deben de cambiar a partir de que sucedan.

Así es que tomar decisiones con base a predicciones no suena muy razonable; y si no se toman decisiones entonces se quedan más en el terreno de “información interesante, pero inútil”. Mi alma está tranquila de que no soy el único que piensa así. Francamente, podríamos vivir tranquilamente sin estas predicciones anuales de seguridad que tienen más el objetivo de llenar nuestro tiempo con datos insulsos.

Pero es un deporte que disfrutan varios en el campo de seguridad informática y dudo que vayan a dejar de aparecer cada fin de año; supongo que quien las hace se divierte y cree que aumenta su prestigio por haberlas creado.

_____________

Fausto Cepeda es Maestro en Ciencias en Seguridad de la Información y cuenta con las certificaciones CISSP, CISA, CISM y CEH. Puede contactarle enfausto.cepeda@gmail.com

Ocho predicciones de seguridad TI de Websense Security Labs para 2014

Websense predicciones seguridad 2014Aunque el volumen de programas maliciosos avanzados disminuirá en 2014, el volumen de ataques dirigidos e incidentes de destrucción de datos se incrementará. Ésta es una de las ocho predicciones de ciberseguridad para el próximo año, de acuerdo con investigaciones realizadas por los Websense Security Labs.

En efecto, los feeds de telemetría en tiempo real obtenidos por la compañía señalan que la cantidad de nuevo malware está comenzando a disminuir, sin embargo, “éstas no son buenas noticias, ya que a menor volumen, más ataques dirigidos y un solo punto de entrada es suficiente”, aseveró Ramón Salas, gerente regional para México y Centroamérica de Websense.

Dijo que, a menudo, los responsables de la seguridad TI en las organizaciones condicionan o restringen el acceso interno a redes sociales y otros servicios web para los empleados, pero no así para los directivos, que “en realidad deberían ser los más protegidos, pues la información privilegiada que poseen, y a menudo comparten vía web, es precisamente el blanco de los ataques”.

Los cibercriminales cibernéticos confían menos en el malware avanzado de alto volumen porque con el tiempo se corre un mayor riesgo de detección. En su lugar usarán más ataques dirigidos de menor volumen para garantizar su presencia, robar credenciales de usuarios y moverse unilateralmente en las redes infiltradas. Esto significa que aunque el volumen de ataques disminuirá, el riesgo será aún mayor.

“Las recomendaciones de Websense consisten en tener un análisis en tiempo real y ver la cadena completa del ataque”, señaló Salas.

Los otros pronósticos de seguridad TI de Websense para 2014 son:

2. Ocurrirá un importante ataque de destrucción de datos.

“El robo de datos continuará, será dirigido por cibercriminales y será aleatorio”, aseveró Salas, y es que, según la compañía, históricamente muchos atacantes han usado una brecha en la red para robar información con fines de lucro. Sin embargo, en 2014 las organizaciones deberán preocuparse por los criminales cibernéticos que usarán esta brecha para destruir datos a nivel de estado/nación. De acuerdo con la compañía, el “ransomware” jugará un papel importante en esta tendencia y bajará de nivel hacia el mercado de empresas pequeñas y medianas.

La sugerencia aquí es usar DLP (Data Lost Prevention) para visualizar datos sensibles. Al respecto, Salas dijo que, según estimaciones de su compañía, menos del 5% de las empresas en México tiene una solución DLP”.

Agregó que también es recomendable contar con un respaldo de datos, así como segmentar la red para acotar los efectos de un posible ataque.

3. Los atacantes estarán más interesados en los datos de la nube que en los datos de la red local.

El año próximo, los cibercriminales enfocarán más sus ataques hacia datos almacenados en la nube en lugar de los datos almacenados en la red. Este cambio táctico sigue el movimiento de los datos críticos del negocio hacia las soluciones basadas en la nube.

Los hackers encontrarán que penetrar nubes con datos críticos puede ser más fácil y rentable que obtener acceso a los datos tras las barreras de las redes corporativas.

Se estima que “un 64% de los ataques se producen fuera de la infraestructura de la organización, en dispositivos móviles”, por ello, explicó Salas, es recomendable asegurar el acceso a los datos, monitorear el flujo de éstos y validar la seguridad del host con certificaciones ISO 27000 e ITIL, y que éstas estén asentadas en los Acuerdos de Nivel de Servicio (SLA).

4. Redkit, Neutrino y otros kits de explotación pelearán por el poder.

El kit de explotación “Blackhole” ha sido sin dudas el más exitoso de la historia. Todo cambió en octubre de 2013, cuando el hacker “Paunch”, presunto autor del famoso kit, fue arrestado en Rusia.

Pero según Websense, en 2014 presenciaremos una lucha entre nuevos participantes y kits de explotaciones existentes, para obtener el liderazgo en este “mercado”.

Los kits de explotación Redkit y Neutrino tendrán una fuerte penetración el próximo año, por lo que la compañía sugiere monitorearlos.

5. Java seguirá siendo muy explotable y muy explotado, con repercusiones adicionales.

La mayoría de los usuarios finales seguirán ejecutando versiones antiguas de Java, lo que les dajará expuestos a la explotación. En 2014, los cibercriminales dedicarán más tiempo a la búsqueda de nuevos usos para intentar ataques y elaborar otros ataques avanzados multi-etapa.

De acuerdo con Websense Security Labs, los atacantes reservarán la explotación Java de día cero para dirigirlo hacia redes de alto valor que tengan buenas prácticas de parcheo de Java.

Lo más recomendable aquí es revisar las opciones de control de Java dentro de la organización.

6. Los atacantes cada vez más buscarán a ejecutivos de grandes empresas y comprometerán las organizaciones por medio de redes sociales profesionales.

“Más del 40% de las actualizaciones que se hacen en los muros de Facebook contienen una liga; y el 10% de éstas contienen código malicioso”, afirmó Salas. Además, dijo que sólo el 10% de las compañías tienen control en las redes sociales.

Y ya que las redes sociales continuarán atrayendo a la comunidad empresarial en 2014, Websense pronostica que los atacantes aumentarán el uso de sitios web profesionales –como LinkedIn– para atraer a ejecutivos.

Este método será utilizado para recoger inteligencia y comprometer las redes, por lo cual, se recomienda educar al personal sobre los peligros que esto representa mediante campañas y avisos, que insten a los empleados a verificar sus relaciones en las redes sociales.

7. Los cibercriminales atacarán al eslabón más débil de la cadena de “intercambio de datos”.

Los atacantes buscarán los eslabones más débiles de la cadena de información y dirigirán sus ataques hacia objetivos secundarios que están fuera de la red, tales como proveedores, contratistas, consultores y otros, quienes normalmente comparten información delicada con las grandes entidades corporativas y gubernamentales.

Algunos de estos socios tienen defensas suficientes, pero, según estimaciones de Websense, “el 85% de los casos de pérdida de datos ocurre por accidente”, manifestó Salas. Para enfrentar este riesgo, se recomienda entender los flujos de datos en la red y asegurar los datos.

8. La “seguridad ofensiva” puede ocasionar errores por malinterpretar la fuente del ataque.

La “seguridad de venganza irá en aumento”, aseveró el directivo de Websense, al señalar que por años se ha escuchado acerca de la “seguridad ofensiva”, es decir, aquella donde los gobiernos y las empresas amenazan con ataques, en represalia contra quienes sean capturados atacando sus intereses.

Pero al igual que en una guerra tradicional, los errores tácticos ocurrirán cada vez más en estas “trincheras cibernéticas”, y si no se identifica con precisión a un “agresor cibernético”, podría ocasionar que una organización inocente quede atrapada en un fuego cruzado.

Ante ello, Salas estipuló las recomendaciones elaboradas por Websense: no atacar a un presunto atacante, adoptar procesos robustos con respuesta a incidentes y seguridad probada, así como recolectar datos forenses para evitar ser atacado.