Radiografía de las amenazas más comunes para las empresas

Joaquín Gómez Gonzalo    1 septiembre, 2014

Cisco ha publicado recientemente el informe Cisco 2014 Midyear Security Report en el que analiza las redes de 16 grandes multinacionales y hace una radiografía de las amenazas más comunes que se ciernen sobre nosotros.

Haciendo una interpretación libre del mismo, resaltaría cuatro titulares que comparto por completo:

1. Nuestra seguridad en Internet depende en gran medida de la seguridad de los demás

Este hecho queda demostrado, por ejemplo, por la existencia de las botnets: redes de miles de equipos con un nivel de seguridad bajo que son utilizados por los cibercriminales, entre otras cosas, para lanzar ataques de denegación de servicio distribuidos (DDoS). Es decir, que estos ordenadores sean convertidos en zombis afecta no sólo a sus propietarios, sino también a la seguridad global de la red.

Otros ejemplos citados en el informe son la potencial peligrosidad de los sitios web “abandonados” o los ataques DDoS amplificados mediante la utilización de servidores NTP (servidores empleados para sincronizar los relojes de los sistemas informáticos). Este último tipo de ataque consiste en lanzar una petición maliciosa a un servidor NTP para que remita a la víctima un tráfico 200 veces superior al originado inicialmente por el atacante. Así pues, alguien con una línea ADLS de 1 Mbps de subida podría generar un ataque de más de 200 Mbps, ancho de banda suficiente para dejar fuera de servicio los portales web de no pocas empresas del IBEX35.

Para poder realizar este ataque se tienen que dar dos circunstancias:

  • Que el proveedor de Internet del atacante no controle la posible falsificación de las direcciones IP de origen con un filtro antispoofing.
  • Que el servidor NTP esté configurado para responder a este tipo de peticiones (se estima que en Internet hay más de un millón de servidores en esta situación).

En cualquier caso, parece claro que las medidas de seguridad aplicadas en el proveedor de Internet del atacante y en el servidor NTP inciden de manera decisiva en la seguridad de la víctima.

2. Una empresa es tan segura como lo es su “eslabón más débil”

Cuando se habla del eslabón más débil en la cadena de seguridad de una empresa casi todo el mundo señala a quien se encuentra entre la silla y el teclado. Para explotar esta vulnerabilidad existe la ingeniería social, que trata de “hackear personas” para lograr comprometer los activos de una empresa. De poco sirve invertir grandes cantidades de dinero en seguridad si la mayoría de los empleados dan por teléfono su usuario/contraseña de acceso VPN a cualquiera que se hace pasar por técnico del departamento informático.

En empresas fuertemente securizadas y con empleados concienciados en materia de seguridad, los hackers buscan otro eslabón débil al que atacar. En muchas ocasiones lo encuentran en empresas de suministradores que disponen de acceso remoto a la red de la compañía a comprometer y cuentan con un nivel de seguridad mucho menor.

Desde el punto de vista del atacante, este método, aunque menos directo, es mucho más efectivo y sencillo de ejecutar, tal y como se demostró en el caso Target.

3. Una política de parcheado “ágil” reduciría en gran medida el riesgo de una empresa a ser comprometida

Un atacante habitualmente trata de explotar la vulnerabilidad más sencilla o conocida para tratar de comprometer una red y/o robar información, ya que es la táctica que le proporcionará un mejor retorno de la inversión.

Sin perder de vista que existen vulnerabilidades más complejas y que son críticas, parece necesario un mejor balanceo de la inversión por parte de las empresas para centrar sus esfuerzos no solo en parchear las vulnerabilidades más críticas –o con una mayor repercusión mediática-, sino también en contar con una política de parcheo permanente que incluya en su alcance las vulnerabilidades explotadas con una mayor frecuencia por los hackers y que se encuentran incluidas en los exploit kits.

Otro hecho destacable en este sentido es el de que un porcentaje nada despreciable de empresas continúa utilizando software fuera de soporte para el que ya no se desarrollan parches de seguridad (Windows XP, Java 6, etc.), lo que parece, cuando menos, una política poco recomendable, ya que cualquier nueva vulnerabilidad descubierta en ellos hará que ese activo quede potencialmente comprometido.

4. Hay variables que inciden de manera crítica en la seguridad de las empresas y que están fuera de su control

Incluso las empresas más maduras en seguridad pueden verse afectadas por incidentes globales que son difícilmente predecibles. El informe hace referencia a Heartbleed, agujero de seguridad que permite a un atacante leer la memoria de un servidor y obtener de ella información privada de los usuarios finales y del propio servidor. En este sentido cabe destacar también el reciente descubrimiento anunciado en la Black Hat según el cual los dispositivos USB son inseguros por diseño. En él se detalla cómo el firmware de cualquier dispositivo USB puede ser alterado para emular dispositivos adicionales sin que dicha modificación pueda ser detectada por ningún software de endpoint. Explotando este fallo de seguridad un potencial atacante podría, por ejemplo, emular una tarjeta de red para así modificar el servidor DNS del sistema. De esta manera sería capaz de redirigir todo el tráfico de la máquina al servidor que él decidiera. Y todo ello sin necesidad de que la víctima tenga ningún comportamiento imprudente ni vulnerabilidad explotable, lo que parece bastante preocupante.

Estos últimos incidentes demuestran que es difícil – pero no imposible- una política de seguridad preventiva.

Imagen: Johnson Cameraface

Comentarios

  1. En cuestiones de seguridad es algo que se debe estar frecuentemente analizando sus posibles fallas… así como existen personas con intenciones ilícitas tratando de explotar continuamente vulnerabilidades y robar información… hay informáticos que están del otro lado del mal como lo dice Alonso Chema, osea del lado bueno tratando de buscar soluciones a todas esas vulnerabilidades que existen y hacer un entorno mas seguro tanto para el usuario como para la empresa que presta algún determinado servicio.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *