Ciberseguridad (Una Estrategia Informático/Militar) PDF
Document Details
Uploaded by RiskFreeSulfur
Jardín Infantil Pepe Grillo
2017
Alejandro Corletti Estrada
Tags
Summary
This book, "Ciberseguridad (Una Estrategia Informático/Militar)" by Alejandro Corletti Estrada, explores cybersecurity from a combined information technology and military perspective. It delves into strategies, methodologies, and technologies for protecting against contemporary threats, emphasizing the global nature of cybersecurity challenges. It also discusses the importance of international cooperation in addressing these issues.
Full Transcript
“Ciberseguridad” (Una Estrategia Informático/Militar) Madrid, noviembre de 2017 Este libro puede ser descargado gratuitamente para emplearse en cualquier tipo de actividad docente, quedando prohibida toda acción y/o actividad comercial o lucr...
“Ciberseguridad” (Una Estrategia Informático/Militar) Madrid, noviembre de 2017 Este libro puede ser descargado gratuitamente para emplearse en cualquier tipo de actividad docente, quedando prohibida toda acción y/o actividad comercial o lucrativa, como así también su derivación y/o modificación sin autorización expresa del autor. RPI (Madrid): M-006991/2017 ISBN: 978-84-697-7205-8 Alejandro Corletti Estrada ([email protected] - [email protected]) www.darFe.es Alejandro Corletti Estrada “La tercera Guerra Mundial será una Ciber guerra” John McAffe Página 3 www.darFe.es Alejandro Corletti Estrada Agradecimientos A Julián, Carla Iván y Miri Página 5 www.darFe.es Alejandro Corletti Estrada Índice 1. Presentación 13 2. Introducción 15 3. Presentación, conceptos y situación de Ciberseguridad. 27 ¿De quién nos defendemos? 3.1. Desarrollo 27 3.1.1. Conceptos 27 3.2. Situación 34 3.3. La visión de Cisco 35 3.4. La visión de Fortinet 41 3.5. De quién nos defendemos 43 3.6. Análisis de situación desde un punto de vista militar 46 3.7. Reflexión final 48 3.8. Tareas para el hogar (deberes) 49 4. Estrategias de Ciberseguridad en grandes redes (Seguir 53 y perseguir - proteger y proceder) 4.1. Planteo inicial 53 4.2. Las Operaciones Militares 58 4.3. Defensa Informática por Acción Retardante 65 4.4. Resumen final 72 4.5. Tareas para el hogar (deberes) 74 5. Ciberdefensa en profundidad y en altura (la conquista de 79 las cumbres) 5.1. Planteo inicial 80 5.2. Conceptos militares 82 5.3. Planos de altura (niveles TCP/IP) 91 5.4. Planos de segmentación de las redes de: Gestión y Servicio 97 5.5. Tareas para el hogar (deberes) 99 6. Ciberseguridad: La importancia de los procesos 101 Página 7 www.darFe.es Alejandro Corletti Estrada 6.1. Planteo inicial 101 6.2. Presentación de los procesos 103 6.3. Tareas para el hogar (deberes) 117 7. Ciberseguridad: Plataformas / infraestructuras de 119 Seguridad en Red 7.1. Planteo inicial 120 7.2. Unos breves minutos 121 7.3. Tema base de hoy 126 7.4. Tareas para el hogar (deberes) 134 8. Ciberseguridad: Cómo son las entrañas de esta gran red 135 mundial 8.1. Planteo inicial 136 8.2. Tubos 136 8.3. Carriers 140 8.4. Protocolo BGP 144 8.5. Sistema DNS (Domain Name System) 146 8.6. Tareas para el hogar (deberes) 151 9. Ciberseguridad: empleo de SOC y NOC 153 9.1. NOC (Network Operation Center) 154 9.2. SOC (Security Operation Center) 159 9.3. Tareas para el hogar (deberes) 162 10. Ciberseguridad: la importancia de saber gestionar 165 "Logs" 10.1. Presentación 166 10.2. El sistema Syslog de Unix (syslog como estándar) 169 10.3. Plataformas SIEM 175 10.4. Herramientas Open Source p/ el trabajo con Logs 179 10.5. Tareas para el hogar (deberes) 182 11. Juegos de Ciberguerra 185 11.1. Metodología de evaluación, auditoría y acción de mejora 186 sobre un potencial incidente de Ciberseguridad 11.2. Desarrollo, preparación y realización del Juego de 188 Ciberguerra Página 8 www.darFe.es Alejandro Corletti Estrada 11.3. Resumen de la doctrina militar sobre “Juegos de Guerra” 192 12. Ciberdefensa: nuevos conceptos, nuevas metodologías, 201 nuevos desafíos 12.1. Presentación 202 12.2. Nuestra visión del problema 203 12.3. Análisis por zonas 215 12.4. Nuevos desafíos 220 12.4.1. Protocolo 802.1x 220 12.4.2. Protocolo 802.1Q (Virtual LAN) 222 12.4.3. Segmentación a nivel 3 225 12.4.4. Seguridad en WiFi 228 12.4.5. Protocolos 802.1ae y 802.1.af 230 12.4.6. Protocolo 802.1D (STP) y 802.1aq (SPB) 232 12.4.7. Virtualización de host 234 12.4.8. “Compartimentación” de red 237 12.4.9. Virtualización de red 239 12.4.10. Resiliencia 241 12.4.11. Ruido de red 243 Página 9 www.darFe.es Alejandro Corletti Estrada Prólogo Una de las principales necesidades que tenemos los seres humanos es la seguridad. Desde que nacemos necesitamos “seguridad” en los distintos aspectos de nuestra vida, y ello es algo que siempre nos acompaña y forma parte de nuestra naturaleza. Hace unos 40 años, la tecnología de la información trajo consigo la introducción de la seguridad informática con el objetivo de proteger los sistemas tecnológicos que utilizamos. Hace unos 15 años, este concepto se fue transformando en la seguridad de la información con el objetivo de proteger la información (nuestra información) que se encuentra almacenada en los sistemas tecnológicos que utilizamos. Y más recientemente, comenzamos a hablar de ciberseguridad, ya que actualmente el objetivo se extendió no solo a proteger nuestra información, sino también a proteger la infraestructura tecnológica que la soporta y nos hace funcionar como sociedad. La ciberseguridad incluye una serie de estrategias, metodologías y tecnologías para protegernos de las amenazas actuales y es un nuevo punto de partida para lo que vendrá en el futuro. Las amenazas tecnológicas que veíamos en una película hace algunos años y que parecían de ciencia ficción, hoy están sucediendo, y afectan a todo el mundo sin distinción de país, ideología o raza… nos afectan a todos. En Latinoamérica vemos cada vez más ataques a sistemas financieros e industriales, a infraestructuras críticas y gobiernos, … hoy en día nadie está a salvo. Muchas de estas amenazas están llegando al borde de una ciberguerra y con este concepto se suma a la ciberseguridad un nuevo jugador que hasta ahora venía mirando de costado: el entorno militar. Ya dejó de ser un juego de chicos. Este excelente libro que Alejandro ha escrito recorre la problemática actual a la cual nos estamos enfrentando y describe claramente conceptos, Página 11 www.darFe.es Alejandro Corletti Estrada metodologías, herramientas e ideas que nos ayudarán a estar más preparados para prevenir y contener estas nuevas amenazas. A Alejandro lo conocí en 1999, hace 18 años, y juntos creamos en el año 2000 el CISIAR, un Centro de Investigaciones en Seguridad Informática en Buenos Aires, Argentina que fue un generador de ideas, proyectos, empresas y, sobre todo, de grandes personas que hoy siguen resonando en el mundo de la ciberseguridad a nivel mundial. Creamos al CISIAR como una organización sin fines de lucro, con el objetivo de promover el desarrollo de la seguridad informática, y esta línea de compartir el conocimiento es algo que Alejandro siempre ha mantenido toda su vida. Un claro ejemplo de ello son sus dos libros anteriores publicados y el desinteresado esfuerzo de Alejandro por concientizar y compartir su conocimiento. Realmente es para mí un gran orgullo presentar el libro “Ciberseguridad (una Estrategia Informático/Militar)” ya que considero que será un pilar fundamental en la educación de las futuras generaciones que nos ayudarán a tener un mundo más seguro. Buenos Aires - Argentina, Noviembre 2017 Julio César Ardita Experto en Seguridad de la Información y Amigo de Alejandro Página 12 www.darFe.es Alejandro Corletti Estrada 1. Presentación Si bien vivo en Madrid, en virtud de mi trabajo, viajo mucho por sud y centro América. Sigue siendo “mi casa” y como buen latinoamericano, me siento a gusto con su gente, su amistad, su “calor latino”, su sencillez, su alegría, sus diferentes acentos y miles de detalles más que nos unen mucho más de lo que pensamos. También me duele cada más el egoísmo y la soberbia de sus gobernantes, su falta de empatía y solidaridad para su propia gente, pero mucho más aún para sus vecinos. Tenemos uno de los continentes más bonitos y ricos del planeta, pero somos incapaces de ponernos de acuerdo en nada. Todo esto viene a cuento porque desde el punto de vista de Ciberseguridad, cada país aislado NO PUEDE HACER NADA…… ABSOLUTAMENTE NADA (así de duro). Todos los informes, estudios y resultados serios sobre Ciberseguridad, sólo pudieron realizarse a través de la unión de grandes (enormes) empresas internacionales. Esas que tienen acceso a las grandes troncales, a los grandes routers, firewalls, DNSs, a los masivos volúmenes de datos, a millones de cuentas de usuarios, a bases de datos de contenidos masivos e internacionales, al código fuente de las grandes plataformas o infraestructuras, a las salas de cómputo que operan miles de procesadores en paralelo, etc. No podemos pensar que un país de habla hispana pueda llegar a las fuentes del problema de Ciberseguridad por sí solo (sin incluir a España que, a través de la Unión Europea, ha encontrado alianzas importantes). En este tema “la unión hace la fuerza” más que nunca. Tenemos una situación privilegiada como continente, pues es probable que seamos el único que tiene tan sencillas sus telecomunicaciones y habla un único lenguaje (con mi mayor cariño a Brasil, con quienes, sin hablar su idioma, me comunico perfectamente cada vez que viajo). Página 13 www.darFe.es Alejandro Corletti Estrada Está rodeada por una fibra óptica con puntos de amarre en cada uno de los países y salida internacional únicamente por Centroamérica, cuestión que permitiría (si hiciéramos las cosas bien y UNIDOS) poder hacer un análisis detallado de los flujos de información y como ningún otro continente está en capacidad de hacerlo. Este desafío es IMPOSIBLE de realizar si no existe un acuerdo común y unívoco al respecto por parte del 100% de sus integrantes… pero si lo lográramos, podríamos hacer maravillas. La presentación de este libro intenta ser un llamado a esta unión de esfuerzos sobre ciberseguridad, pero no solo compartiendo conocimientos, trabajos, monografías, seminarios, sino creando uno o dos centros únicos para todo LATAM con recursos unificados para ello. Si nuestros gobernantes fueran capaces de dejar egoísmos y protagonismos de lado podríamos tener un verdadero protagonismo en Ciberseguridad, obteniendo resultados concretos que beneficiarían de forma concreta a cada uno de sus países. Si no somos capaces de seguir una línea de acción de este tipo, afirmo categóricamente que lo que haga cada país de forma aislada no producirá el más mínimo impacto sobre su propia “Ciberdefensa”, solo lograrán apagar algún que otro fuego menor. Página 14 www.darFe.es Alejandro Corletti Estrada 2. Introducción Sobre la experiencia y la difusión de los anteriores libros: Seguridad por Niveles Seguridad en Redes He pensado que podría ser de utilidad a la comunidad que ha participado y leído los temas allí expuestos, seguir avanzando en los mismos, con esta nueva visión que estamos escuchando casi a diario de “Ciberseguridad”. Durante el 2017 he impartido una serie de Webinar y charlas sobre “Ciberseguridad”. En este libro, se encuentran la mayoría de ellas, más algunos conceptos y temas adicionales que he desarrollado en diferentes secciones de la presente obra. “La tercera Guerra Mundial será una Ciberguerra” John McAffe Así comenzamos este libro… ¿Será cierto? Lo que sí es una realidad según se afirmó en la cumbre de la OTAN en Varsovia 2016 textualmente: “Habiéndose constatado que un ciberataque puede ser tan perjudicial como un ataque convencional, en el campo de la ciberdefensa se han adoptado varias decisiones relevantes, una de ellas es que: El ciberespacio se reconoce como un nuevo dominio de las operaciones, al lado de los de tierra, mar, aire y espacio”. La historia de los conflictos bélicos nace con dos dominios: tierra y agua. Cuando aparecen los primeros aviones, se abre un nuevo escenario en los Página 15 www.darFe.es Alejandro Corletti Estrada cielos y comienza el temido espacio aéreo como una herramienta de combate que desestabilizaba cualquier batalla. Estos tres dominios fueron los dominantes hasta muy pasada la segunda guerra mundial. Recordemos que luego de esta última, comienza lo que todos conocimos como “guerra fría”. Esta etapa histórica es muy importante para lo que trataremos más adelante, pues este tipo de guerra se definía por una “capacidad potencial” que tenía un determinado país, y sobre esa base podía disuadir más o menos a sus oponentes. La escalada nuclear llevó a una nueva doctrina denominada “Destrucción Mutua Organizada”, o también "Mutua Destrucción Asegurada". Como su nombre lo indica con total claridad, este nuevo escenario nos lleva a un conflicto en el cual su nivel de escalada ocasionaría un nivel de destrucción que afectaría al planeta en su totalidad. Cabe mencionar que esta doctrina está aún vigente y continuamos viendo a diario cómo diferentes países siguen avanzando en esta línea, ignorando que es un camino de autodestrucción asegurado… Estos nuevos misiles, comenzaron a elevar sus alturas de vuelo, llegando a lo que conocemos como espacio. Un hito muy significativo sucedió hace pocos años cuando el gobierno chino tuvo la brillante ocurrencia de derribar con un misil un satélite de su propio país. Con ello demostró que estaba en capacidad de hacerlo con cualquier otro. A caballo de estos hechos, se acuerda en definir un nuevo dominio de conflicto: el espacio. Hoy en día, todos sabemos que ese mismo satélite chino, podría haber sido igualmente dejado fuera de combate si comprometemos sus sistemas informáticos o de telecomunicaciones. Esta realidad aplica también a los sistemas de un barco, avión, sistema antiaéreo, de comunicaciones, sistemas C3I (Comando Control Comunicaciones e Informática), un misil, un tanque, etc. ANÉCDOTA DE EXPERIENCIA PROPIA: Desearía poner de manifiesto un hecho para mí muy significativo. En el año 1987, me encontraba realizando el “curso de teniente” (una fase de la formación militar, previa al ascenso a teniente primero, que capacita para conducir unidades más grandes: Compañías). Mientras realizaba ese curso, yo estaba destinado en una unidad Página 16 www.darFe.es Alejandro Corletti Estrada Mecanizada (tanques, pero para el transporte de personal de infantería), esos tanques eran de última generación para esa época. Durante la realización de ese curso, me tocó preparar y conducir un “ejercicio militar” (tema que trataremos al final del libro). Como en esa época ya me dedicaba a temas informáticos, con mi “Commodore 64” preparé un ejercicio de ataque, en el cual el enemigo interceptaba las comunicaciones de una “sección de tanques” (4 tanques); por lo tanto, una vez interceptada (hoy en día podríamos decir: “hackeada”), no existía contacto de voz entre estos cuatro. Por supuesto que, lanzada la operación, los tanques debían continuar su avance (a 80 km/h, a una distancia mínima entre sí de unos 50 m y un recorrido de unos 3 km, que a esta velocidad es cuestión de un par de minutos). A partir del momento en que se cortaban las comunicaciones, aparecía un obstáculo cubierto por fuego, ante el cual, al menos dos de esos tanques debían cambiar su rumbo. En el monitor (único que soportaba un Commodore 64) se veía como los cuatro tanques avanzaban en el rumbo que se había establecido inicialmente, el jefe de sección debía impartir órdenes por señales, pues ya no podía hacerlo por voz…. Mientras los tanques, por software, seguían avanzando recto hasta no recibir nuevas órdenes (si las recibía y el jefe de ese tanque le respondía su “comprendido” todo por medio de las señales pertinentes, yo iba modificando por teclado la trayectoria en tiempo real, tanque a tanque, caso contrario no). El ejercicio, se repitió en varias oportunidades, el obstáculo que aparecía tenía programada sólo cuatro “ocurrencias” diferentes. No recuerdo exactamente cuántas veces lo ejecutamos, serían cerca de diez… en ninguna de ellas el jefe de sección (que iba cambiando) pudo controlar sus cuatro tanques por señales y reconducir la situación una vez que fuera “hackeado” su sistema de radio… Volviendo a nuestro texto, con el dominio del espacio, se presentaban cuatro escenarios de conflicto. Como acabamos de desarrollar, en la actualidad es posible dejar fuera de combate por medio de un “Ciberataque” las más sofisticadas maquinarias bélicas, entonces es Página 17 www.darFe.es Alejandro Corletti Estrada natural lo que se ha decidido en Varsovia y reconozcamos como un nuevo dominio el “Ciberespacio”, con lo cual podemos concluir que los dominios para el arte de la guerra son: Tierra Mar Aire Espacio Ciberespacio Sigamos adelante con este análisis. En los tiempos de la guerra fría, el avance nuclear iba determinando la capacidad de “tierra arrasada”. Es decir, un país que tuviera suficiente fuerza nuclear podía arrasar un territorio al completo, este fue el hecho desencadenante de la rendición de Japón luego de Hiroshima y Nagasaki. Por otro lado, si su rival también posee un nivel semejante, llegamos nuevamente a la "Mutua Destrucción Asegurada". Ante esta realidad los países conscientes de ello, poco a poco fueron adoptando medidas para tranquilizar a la población mundial e intentar demostrar que no tienen intención de ni siquiera “aproximarse” a esta situación, aunque continuamos viendo ciertos estados al límite de la demencia que no lo ven así. Sea cual fuere el enfoque, cuando aún se consideraban “cuatro dominios” e Internet no entraba en juego, el tema era radicalmente distinto por las siguientes razones: 1) Identificación del enemigo o agresor 2) Hipótesis de conflicto 3) Mutua Destrucción Asegurada 4) Capacidad bélica 5) Tipo de respuesta 6) Por último, el gran interrogante: El ciberespacio ¿Es un dominio militar? Página 18 www.darFe.es Alejandro Corletti Estrada Desarrollemos estos puntos: 1) Identificación del enemigo o agresor. En los tres primeros dominios, es bastante claro quién es el enemigo. Con los misiles intercontinentales, ojivas nucleares, ataques empleando el espacio, etc. Puede caber alguna posibilidad que en los primeros instantes surja algún tipo de incertidumbre, pero en poco tiempo se aclarará el panorama y a nivel mundial se aclararán rápidamente los actores. Tal vez el primer problema del “ciberespacio”, es que existen muchas probabilidades que el enemigo no pueda ser identificado. Esta realidad la vivimos a diario con cualquier tipo de incidente de seguridad informática, el cuál cuando está bien organizado, se hace cada vez más difícil su análisis forense. Hoy en día, las medidas de “velo y engaño” (como se denominan militarmente) del Ciberespacio no tienen límites. Un principio básico y por excelencia de todo intruso es “no dejar rastros”, todo Internet ofrece millones de posibilidades para cumplir este objetivo. A nivel Ciberataques a grandes países, tenemos varios ejemplos ya que aún no se ha podido afirmar con total certeza su origen. Algunos de ellos son: Las elecciones de EEUU (siguen las sospechas, pero la certeza de quien fue no está). El ministerio de Exteriores italiano sufrió hace un par de años un ciberataque masivo (siguen las sospechas, pero la certeza de quien fue no está). Del Ciberataque a la red SWIFT de este año (de la que le “desaparecieron” 81 Millones de Euros y sólo se recuperaron 15) aún no se ha podido identificar, quién, ni dónde está el dinero… y estamos hablando de unos 70M de euros…. Convengamos que justamente el dinero es uno de los bienes más fácilmente rastrearles dentro del planeta y de la red (en Página 19 www.darFe.es Alejandro Corletti Estrada algún momento se convierte en papel y allí es donde suele cerrarse la investigación) Los sistemas informáticos de los medios de comunicación surcoreanos sufrieron un importante ciberataque que inutilizó numerosos ordenadores (siguen las sospechas, pero la certeza de quien fue no está). En 2013, Corea del Norte denunció un ciberataque contra varios de los sistemas informáticos del país, incluidas páginas oficiales (Se acusó a EEUU, siguen las sospechas, pero la certeza de quien fue no está). En Ucrania, el Banco Central, el metro de Kiev, la compañía estatal de la energía o la red informática del Gobierno ucranio, han sido atacados (siguen las sospechas, pero la certeza de quien fue no está). En 2016 varios ataques de denegación de servicio (DDoS) fueron registrados contra los servidores de grandes empresas estadounidenses de internet como Twitter, Spotify, Github o el diario The New York Times (siguen las sospechas, pero la certeza de quien fue no está). En 2014 Canadá responsabilizó públicamente a China sobre un ciberataque contra el Consejo Nacional de Investigación, el principal centro de investigación de este país. Los portavoces de la Embajada china en Ottawa calificaron las conclusiones de “especulaciones sin base alguna” y condenó la conducta canadiense asegurando que esta no era “ni responsable ni profesional”. (siguen las sospechas, pero la certeza de si fue China o no, aún no está). El gusano Stuxnet infectó mil máquinas de la planta nuclear de Natanz de Irán. El reconocido experto Ralph Langner dijo que el gusano fue creado en laboratorio por Estados Unidos e Israel para sabotear el programa nuclear de Irán, pero las autoridades jamás han confirmado esa afirmación. (siguen las sospechas, pero la certeza de quien fue no está). Página 20 www.darFe.es Alejandro Corletti Estrada Evidentemente en este nuevo dominio, no será nada fácil identificar con certeza al enemigo. 2) Hipótesis de conflicto. “La guerra es la continuación de la política por otros medios” Carl von Clausewitz Clásicamente, un conflicto se origina por una cuestión de intereses contrapuestos. Se puede solucionar por medio del diálogo, la negociación, la política o en un caso extremo, con la violencia, hasta que una de las partes asuma su victoria o derrota. Cuando dos estados, tienen intereses contrapuestos, se origina un conflicto y mientras estos intereses se mantengan, continuará existiendo el conflicto, o para ser más estrictos un “posible” conflicto. La probabilidad de que el mismo se materialice, es un factor clave. Ejemplos de esto tenemos cientos: Islas Malvinas, Peñón de Gibraltar, Tíbet. En todos ellos el conflicto de intereses está, pero la probabilidad de escalada en estos momentos es lejana. Sobre la base de su probabilidad, los diferentes estados, organizan sus “Hipótesis de conflicto” y esta debería ser la base de la asignación presupuestaria para defensa. Sobre este análisis, se invierte más (o se debería…) en ciertas tecnologías, dominios, armamento, ubicaciones geográficas, capacitación, personal, recursos en general, etc. Para el dominio de “Ciberespacio” aparecen varios interrogantes nuevos. a) Tradicionalmente el principal origen de conflicto eran factores geográficos, limítrofes o intereses cercanos. ¿Hoy es así? b) ¿Cuál debería ser el destino de estas asignaciones presupuestarias? c) ¿Cómo se planifica la capacidad de reacción ante esta nueva hipótesis? d) ¿Es dominio de las Fuerzas armadas? Página 21 www.darFe.es Alejandro Corletti Estrada e) ¿Cuáles son los posibles destinos de estos ataques potenciales? f) ¿Qué impacto puede causar un conflicto de este dominio? g) ¿Está acotado a países, gobiernos, estados, o puede involucrar más actores? h) ¿Se puede identificar el potencial enemigo? i) Si el conflicto busca destrucción masiva, ¿se puede pensar como estrategia de Mutua Destrucción Asegurada? j) …… Seguramente podríamos seguir con muchos interrogantes más. 3) Mutua Destrucción Asegurada. Este tema ya lo hemos presentado, pero lo determinante ahora es que esta estrategia antes del dominio del “ciberespacio” era un hecho suficientemente claro, en relación directa a la envergadura de la “potencia bélica” de cada actor, y los actores eran perfectamente identificables, tema que como acabamos de ver ya no es así. Cuando analizamos el ciberespacio sobre los puntos anteriores, perfectamente podemos presentar el supuesto de comprometer informáticamente las máximas estructuras bélicas y de destrucción masiva del oponente, con lo que llegamos por este medio al mismo efecto devastador de las cabezas o centrales nucleares. 4) Capacidad bélica. A diferencia de los cuatro dominios anteriores, donde la capacidad bélica de las partes era un claro factor de éxito. En Este nuevo dominio, la misma no guarda absolutamente ninguna relación. Hoy la más grande potencia bélica mundial puede ser desbordada por una nación que no tenga ni ejército. Es más, hasta podríamos pensar que cuanto mayor sea su potencial bélico o tecnológico, mayor riesgo tiene. Un parámetro clásico de Página 22 www.darFe.es Alejandro Corletti Estrada toda defensa (militar e informática) es “reducir la superficie de ataque” (tema que veremos más adelante). Es decir, ofrecer lo mínimo posible, pues todo recurso expuesto, es un potencial foco a ser atacado u ofrecer problemas de seguridad. No cabe duda que la dependencia tecnológica de los países del primer mundo es infinitamente superior al resto, por lo tanto, es probable que, por ejemplo: sin la red de telefonía móvil pueda morir gente, cosa que sin duda en Uganda es probable que no sea así. Hoy en día la capacidad bélica de un país no necesariamente es un factor de éxito en el ciberespacio. Ya se ha demostrado en reiteradas oportunidades, que un adolescente que opere sólo puede tirar por tierra la infraestructura de una gran empresa y/o gobierno. ¿Cuánto más puede hacer un pequeño grupo organizado que cuente con el apoyo de un gobierno, por mínimo que sea este? En estos nuevos conflictos, ya no existe el concepto de capacidad bélica dominante o equiparable. 5) Tipo de respuesta. La respuesta ante una agresión convencional está suficientemente estudiada. Pueden cometerse infinitos errores en la forma de aplicarla, pero es claro que ante un ataque terrestre se tienen opciones adecuadas, estudiadas e históricamente probadas para su respuesta. ¿Cómo debemos plantearnos la respuesta ante agresiones del ciberespacio?: ¿pasivas?, ¿ofensivas?, ¿preventivas?, ¿reactivas?, ¿en el mismo orden de magnitud?, ¿con qué fronteras?, Página 23 www.darFe.es Alejandro Corletti Estrada ¿tengo derecho o no a “escuchar” en Internet?, ¿puedo interpretar datos?, ¿hacer Big Data? ¿Puedo interferir tráfico?, Sobre este tema, por ejemplo, uno de las filtraciones que más ruido mediático ocasionó de las que difundió el ex agente de la NSA (Agencia Nacional de Seguridad) Edward Snowden, fue la del programa “Politerain” que se había puesto en marcha por parte de esta agencia, y cuyo objetivo es diseñar estrategias de combates en Internet destinados a infiltrar y paralizar las redes de ordenadores enemigas y, de esta forma, tener acceso al suministro de agua potable, electricidad, fábricas, aeropuertos, sistemas de pago, etc. enemigos…… pero…… ¿esto está bien, o está mal? Por qué razón nadie critica que existe una bomba nuclear capaza de arrasar una provincia entera o contaminar todos los ríos, o sistemas de interferencia de las comunicaciones, o lanzallamas. ¿En el ciberespacio, aplican otras reglas de juego? 6) Por último, el gran interrogante: El ciber espacio ¿Es un dominio militar? Hasta las últimas guerras de este siglo, no nos cabe duda que una vez que se declara el estado de guerra, los principales actores son las Fuerzas Armadas, para ello fueron creadas, dotadas y entrenadas. Con el cuarto dominio “El espacio”, la cuestión ya empieza a cambiar, pues nace un aparato militar cuyo diseño, implementación, operación y control está en manos de ingenieros. El “Know How” necesario para todo el ciclo de vida de este tipo de herramientas, no necesita de la experiencia militar. Así y todo, hasta este dominio, podemos todavía considerar como importante el rol del comandante en la toma de decisiones Página 24 www.darFe.es Alejandro Corletti Estrada sobre objetivos, respuesta, planificación y operación de este tipo de armas. En el Ciberespacio, ¿la situación es similar?, o debemos pensar en otro tipo de estrategia. En principio, analicemos las diferentes hipótesis de conflicto, ¿Dónde creemos que pueden estar dirigidos estos ataques?: Instalaciones o redes de energía (eléctrica, gas o combustibles). Redes de telecomunicaciones (telefonía, voz, datos, satélites). Infraestructuras de potabilización y distribución de agua. Infraestructuras de comunicaciones (trenes, transportes, barcos, aviones, control de tránsito, control aéreo y marítimo). Infraestructuras sanitarias y bioquímicas. Infraestructuras financieras (bancos, medios de pago, cajeros, tarjetas, etc.). Infraestructuras de investigación de cualquier área. Infraestructuras de tratamiento alimentario. Medios de comunicación (televisión, radio, prensa, internet). Industrias de producción importantes. Infraestructuras gubernamentales. Aparato bélico (centros de control, barcos de guerra, aeronaves, blindados, sistemas, C3I, sistemas de navegación, sistemas antiaéreos, misiles, instalaciones o infraestructuras militares, etc.). ….. Ante cualquiera de los supuestos anteriores (tal vez, con excepción del aparato bélico), ¿en qué difiere la respuesta que Página 25 www.darFe.es Alejandro Corletti Estrada pueden ofrecer las Fuerzas Armadas, respecto a cualquier ente civil especializado en el tema? No estoy para nada seguro que este nuevo quinto dominio del arte de la guerra deba ser tratado desde el punto de vista militar. Tal vez sí sea claro que deba tener dependencia del Ministerio de Defensa, pero ¿No será que debemos crear una nueva “arma”, fuerza o disciplina? sobre la cual, tal vez la instrucción, formación y jerarquía militar no sea necesaria sino un importantísimo componente técnico. Sería un tema muy interesante para debatir y obtener conclusiones desde varios puntos de vista. Página 26 www.darFe.es Alejandro Corletti Estrada 3. Presentación, conceptos y situación de Ciberseguridad. ¿De quién nos defendemos? Resumen del tema Como primera charla, se presentarán diferentes enfoques sobre Ciberseguridad, se desarrollarán conceptos que son base de esta nueva línea de pensamiento y realizaremos un resumen de la situación en que se encuentran las grandes empresas en este tema frente a las ciberamenazas vigentes. Luego de estos conceptos pasaremos al foco de esta charla donde definiremos: ¿De quién nos defendemos? Como suelo hacerlo, nos basaremos en el “análisis de situación” que se aplica en la metodología militar, simularemos una situación de guerra (pues estamos hablando de una Ciberguerra: Ciberataques y Ciberdefensa). Cada uno de los pasos a seguir, se confrontarán con la metodología de ¿Cómo opera un intruso en una infraestructura informática? 3.1. Desarrollo 3.1.1. Conceptos Según la RAE: ciber: “Del ingl. cyber-, acort. de cybernetic 'cibernético'. Indica relación con redes informáticas. Ciberespacio, cibernauta”. Cibernética: “Ciencia que estudia las analogías entre los sistemas de control y comunicación de los seres vivos y los de las máquinas”. Ciberespacio: “Ámbito artificial creado por medios informáticos”. Cibernauta: “Persona que navega por el ciberespacio”. Página 27 www.darFe.es Alejandro Corletti Estrada ISACA (Information Systems Audit and Control Association) también nos da una definición de Ciberseguridad. De acuerdo con esta asociación, puede entenderse como: “Protección de activos de información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados”. Como una buena práctica a la hora de comenzar un análisis sobre un tema, recurriremos a “Wikipedia”. Presentamos en el primer párrafo la definición que nos da la versión inglesa de esta Web: http://Wikipedia.org: “Computer security, also known as cybersecurity or IT security, is the protection of computer systems from the theft or damage to the hardware, software or the information on them, as well as from disruption or misdirection of the services they provide.” Traducción: "La seguridad informática, también conocida como ciberseguridad o seguridad de las tecnologías de la información, es la protección de los sistemas informáticos contra el robo o daño al hardware, software o la información sobre los mismos, así como a la interrupción o la redirección de los servicios que proveen". Partimos de la definición en inglés pues esta consulta en la misma Web en versión española, también nos redirige al concepto de “Seguridad Informática”, como presentamos a continuación, pero vemos que hay diferencias entre ambos puntos de vista. Por nuestra parte vamos a remarcar en azul algo que nos llama la atención. Página 28 www.darFe.es Alejandro Corletti Estrada http://es.wikipedia.org “La seguridad informática, también conocida como ciberseguridad o seguridad de tecnologías de la información, es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada. La definición de “seguridad de la información” no debe ser confundida con la de “seguridad informática”, ya que esta última solo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.” A lo largo de este artículo, iremos presentando una serie de conceptos (como los resaltados en el párrafo anterior) como tema de debate, sobre los que profundizaremos bastante. Independientemente de estas diferencias y debates, un dato interesante que sí nos ofrece es.wikipedia.org es que, cuando escribimos “ciberseguridad” nos ofrece un artículo denominado “Ciberseguridad en la Unión Europea” sobre el que merece la pena que nos detengamos unos minutos. Uno de los primeros párrafos que nos llaman la atención es el siguiente: “Cómo medio para combatir las actividades ilícitas en internet la Unión Europea ha desarrollado una política de ciberseguridad, un ámbito relativamente reciente, que está basado en la importancia a la protección tanto de los usuarios como de las Página 29 www.darFe.es Alejandro Corletti Estrada redes de comunicación y los sistemas de información frente a posibles ataques”. “Junto con estos programas, se han desplegado una serie de actuaciones como la creación de la Agencia Europea de Seguridad de las redes y de la información (ENISA), la elaboración de una “Estrategia para una sociedad de la información segura” o el “Plan de Ciberseguridad de la Unión Europea”. En 2013 se propuso, dentro del Plan mencionado anteriormente, la elaboración de una Directiva de la Comisión Europea sobre la seguridad de las redes y de la información (SRI).” Esta estrategia articula la visión de la UE sobre la ciberseguridad en torno a cinco prioridades: Lograr la ciberresiliencia. La reducción drástica del Cibercrimen. El desarrollo de una política de ciberdefensa y de las capacidades correspondientes en el ámbito de la Política Común de Seguridad y Defensa (PCSD) (En inglés: Common Security and Defence Policy, CSDP). El desarrollo de los recursos industriales y tecnológicos necesarios en materia de ciberseguridad. El establecimiento de una política internacional coherente del ciberespacio en la Unión Europea y la promoción de los valores europeos esenciales. De estas cinco prioridades nos centraremos en la primera de ellas: “La ciberresiliencia”. Primero comprendamos bien el concepto de “Resiliencia”. En ingeniería, se llama resiliencia de un material a la energía de Página 30 www.darFe.es Alejandro Corletti Estrada deformación (por unidad de volumen) que puede ser recuperada de un cuerpo deformado cuando cesa el esfuerzo que causa la deformación. En palabras más sencillas, es su límite elástico. Es decir, una vez superado este límite, el material ya no se puede recuperar y queda “deformado”. El ejemplo clásico es un alambre de acero templado u otro de hierro negro, el primero se podrá “flexionar” y retornará a su estado normal, es “elástico”; y el segundo es totalmente maleable (en términos de ingeniería es totalmente “Plástico”). Cuando hablamos de “Resiliencia” de nuestras infraestructuras informáticas, nos estamos refiriendo justamente a esta capacidad de recuperar su estado inicial (capacidad “elástica”). Por lo tanto, podríamos definirla como: Capacidad de respuesta y recuperación ante incidentes de seguridad (Para: ciberataques à ciberresiliencia). Para este primer postulado de la UE “La ciberresiliencia”, esta comisión ha desarrollado una política de “Network and Information Security” (NIS). Dentro de la misma propone: Establecer los requerimientos mínimos comunes para este NIS que obliguen a los estados miembros a: o Designar autoridades competentes a nivel Nacional para el NIS. o Lanzar y mantener sus propios CERT (Computer Emergency Response Team). o Adoptar una estrategia y un plan de cooperación nacional sobre el NIS. Establecer mecanismos coordinados de prevención, detección, mitigación y respuesta, compartiendo información entre las autoridades nacionales competentes, respecto al NIS. Esta cooperación deberá contemplar planes de respuesta ante Página 31 www.darFe.es Alejandro Corletti Estrada incidentes. Mejorar la preparación y el compromiso del sector privado. Dado que la gran mayoría de los sistemas de red y de información son de propiedad y operados por la industria privada, es crucial mejorar la participación con este sector para fomentar la ciberseguridad. El sector privado debería desarrollar, a nivel técnico, sus propias capacidades de resiliencia cibernética y compartir las mejores prácticas en todos los sectores. Las herramientas desarrolladas por la industria para responder a incidentes, identificar causas y realizar investigaciones forenses también deberían beneficiar al sector público. Sin embargo, los actores privados aún carecen de incentivos efectivos para proporcionar datos confiables sobre la existencia o el impacto de los incidentes de NIS, adoptar una cultura de gestión de riesgos o invertir en soluciones de seguridad. Por lo tanto, la propuesta de ley tiene por objeto garantizar que los actores de una serie de ámbitos clave (energía, transporte, banca, bolsas de valores y facilitadores de servicios clave de Internet, así como las administraciones públicas) evalúen los riesgos de seguridad cibernética que enfrentan, garanticen que sus sistemas de información son fiables y resistentes a través de una gestión apropiada de los riesgos y compartan la información identificada con las autoridades nacionales competentes de este NIS. La adopción de una cultura de la seguridad cibernética podría mejorar las oportunidades de negocio y la competitividad en el sector privado. Otro aspecto fundamental que trata este punto es la “Sensibilización”: Asegurar la ciberseguridad es una responsabilidad común. Los usuarios finales desempeñan un papel crucial para garantizar la seguridad de las redes y los sistemas de información: necesitan ser conscientes de los riesgos que enfrentan en línea y estar facultados para tomar medidas sencillas para protegerse contra ellos. A nivel Nacional, Volvemos al punto clave: “La propuesta de ley tiene por objeto garantizar que los actores de una serie de ámbitos clave (energía, transporte, Página 32 www.darFe.es Alejandro Corletti Estrada banca, bolsas de valores y facilitadores de servicios clave de Internet, así como las administraciones públicas)”. A nivel Estado hace cientos de años que el concepto de Defensa es uno de sus pilares básicos pues hace a la soberanía de todo País y a lo largo de la historia de guerras convencionales se ha demostrado su necesidad. Desde principios de este siglo, las guerras ya no son tan convencionales, el armamento y las técnicas van cambiando, hubo escaramuzas cada vez más tecnológicas, pero aún no se ha desatado ninguna operación bélica abierta o encubierta de escala en el ámbito de la red…. Es sólo cuestión de tiempo. La dependencia tecnológica está llegando a una masa crítica que, cuando se explote adecuadamente, podrá llegar a dejar fuera de combate a una población o territorio al completo. Hoy en día sería imposible reaccionar a cualquiera de las grandes potencias mundiales si no contaran con satélites, sistemas de telecomunicaciones, energía eléctrica, abastecimiento de combustible, sistemas médicos avanzados, radares, visores nocturnos, sistemas teleguiados, sistemas de detección temprana, sistemas electrónicos de defensa, electrónica en sus aeronaves o barcos, internet, etc. Quedaría totalmente fuera de combate. Por supuesto ya existen excepciones, pero dentro del mundo occidental a nuestro alcance, aún no parece que se estén destinado recursos suficientes al concepto de “Ciberdefensa”. Recordemos que la analogía actual es lo que se destina, por ejemplo, a la compra de cualquier elemento bélico (tanque, avión caza, barco, misil, etc.) cuyos costes unitarios oscilan en los siete ceros como mínimo. ¿Estamos hablando de tantos ceros para la “ciber” defensa? Más allá del enfoque monetario, lo que más nos llama la atención es la implementación de un área dedicada exclusivamente a esta actividad al máximo nivel. Tal cual existen Ministerios de Defensa en todo estado, ya debería existir en los diferentes Países, a ese mismo nivel o formar parte de las máximas jerarquías de esos Ministerios el área de “ciberdefensa”, no pareciera que haya un alto nivel de madurez en este sentido o que se encuentren emplazados en lo más alto de los Página 33 www.darFe.es Alejandro Corletti Estrada organigramas. Los primeros indicadores de esta actividad “sí o sí” deben partir de un análisis de niveles: Estratégico. Táctico. Operacional. 3.2. Situación Este enfoque de niveles de Ciberseguridad lo desarrollaremos en profundidad a lo largo de este ciclo de charlas, por ahora lo dejamos planteado para dar inicio al concepto, pero seguiremos adelante con el objetivo del presente texto y analicemos la situación en que se encuentran las grandes empresas frente a las ciberamenazas vigentes. Durante todo este ciclo, trataremos el problema de Ciberseguridad desde una visión amplia del tema. No podemos detenernos en incidentes menores, debemos evaluar el tema con la envergadura que merece, hoy no hablamos de personas aisladas sino de “Organizaciones mafiosas”. El problema de Ciberseguridad a nivel mundial es un tema de “crimen organizado”, como lo son los Cárteles de droga, o lo fueron las mafias de los años sesenta (Incluyendo en este campo, políticas de algunos Gobiernos que buscan el caos). Esta organización es celular y segregada en funciones: Búsqueda y obtención de usuarios y contraseñas. Búsqueda y obtención de tarjetas de crédito y cuentas bancarias (carding). Búsqueda de vulnerabilidades. Búsqueda y obtención de sistemas vulnerables (botnets). Venta/re-venta de: listados, productos, servicios y zombies. Ofuscación u ocultamiento de rastro/información Oferta de productos (de dudoso empleo). Infección de hosts. Página 34 www.darFe.es Alejandro Corletti Estrada Diseñadores de malware (Punto de partida de secuencia: Código primario, ajuste/personalización, implementación, explotación). Analistas de reversing (ingeniería inversa). Diseñadores de exploits. Analizadores de target e impacto/beneficio. Ejecutores de herramientas. Control, supervisión y blanqueo de dinero obtenido. Muleros/transportistas (eslabón final). Cuando cada una de estas actividades se “realizan adecuadamente”, es justamente cuando no nos enteramos. Si salen a la luz es porque algo falló en su organización, ya se ha rentabilizado lo suficiente, son producto de poca “expertiz”, o de alguien paralelo (o ajeno) a estas organizaciones. LO REALMENTE DAÑINO ESTÁ OCULTO Cualquier persona que desee comprender como operan estas mafias, debe primero analizar sus métodos de operación, técnicas, jerarquías, procedimientos, su día a día; y esto es lo que iremos desarrollando en este ciclo, pero no perdamos de mira la magnitud de lo que nos vamos a enfrentar, no nos quedemos con un concepto de “hacker”, este tal vez sea de los últimos eslabones de esta cadena, la cabeza de este fenómeno mundial son “Mafias organizadas” que cuando necesitan mano de obra contratan estos perfiles para el área de actividad que les haga falta. Y no olvidemos que cuando aparecen en los medios de difusión es porque ya no les genera tanto beneficio. 3.3. La visión de Cisco Para seguir en la línea de pensamiento sobre la “Magnitud” a la que nos enfrentamos, iniciaremos este punto sobre la base del “Informe anual de seguridad Cisco 2016” (empresa que, en lo personal, no deja de admirarme por lo bien que difunde su información y el nivel de detalle técnico que siempre podemos encontrar en sus papers). Página 35 www.darFe.es Alejandro Corletti Estrada Lo podemos descargar en la siguiente URL: http://www.cisco.com/c/dam/r/es/la/internet-of-everything- ioe/assets/pdfs/annual_security_report_2016_es-xl.pdf Este informe que contó con la colaboración de “Level 3” (el mayor carrier mundial) y la cooperación del proveedor de alojamiento “Limestone Network”, comienza hablando del kit de ataque Angler como uno de los más grandes y eficaces del mercado. “afectaba a 90.000 víctimas por día y generaba decenas de millones de dólares al año. Se lo ha vinculado con diversas campañas de ransomware y publicidad maliciosa de alto perfil”. “Como se explica en el Informe semestral de seguridad 2015 de Cisco, las criptomonedas como bitcoin y las redes de anonimato como Tor permiten que los atacantes ingresen en el mercado de malware de manera fácil y comiencen a generar ingresos rápidamente”. Para que podamos ir “abriendo la mente” sobre la envergadura del problema, me he permitido a continuación citar textualmente algunos de los párrafos de este informe: “Las empresas habían estado lidiando con excesivas cancelaciones de pagos con tarjeta de crédito todos los meses porque los atacantes usaban nombres y tarjetas de crédito fraudulentas para comprar lotes aleatorios de sus servidores valuados en miles de dólares”. “Para investigar esta actividad, Cisco obtuvo ayuda de Level 3 Threat Research Labs y de OpenDNS, una empresa de Cisco. Level 3 Threat Research Labs pudo brindar una mayor perspectiva global de la amenaza, lo que proporcionó a Cisco la capacidad de ver en mayor profundidad el alcance y la trascendencia de esta en su punto máximo. Por su parte, OpenDNS proporcionó una mirada única de la actividad del dominio asociada con la amenaza, lo que brindó a Cisco una comprensión más exhaustiva de cómo los atacantes estaban incorporando técnicas como domain shadowing (camuflaje de Página 36 www.darFe.es Alejandro Corletti Estrada dominio)”. “Los investigadores detectaron que los usuarios eran redirigidos al kit de ataque Angler a través de publicidad maliciosa incluida en sitios web populares. Los anuncios falsos eran colocados en cientos de sitios importantes de noticias, bienes raíces y cultura popular. Estos tipos de sitio comúnmente se conocen en la comunidad de seguridad como sitios “buenos conocidos””. “Encontramos más de 15.000 sitios únicos que redirigían a las personas al kit de ataque Angler, de los cuales el 99,8% se usaba menos de 10 veces”. “Cisco también descubrió que, en realidad, los servidores a los que los usuarios estaban conectados no alojaban ninguna de las actividades maliciosas de Angler. Servían como conductos”. “La colaboración en el sector fue un componente fundamental en la capacidad de Cisco para investigar la actividad del kit de ataque Angler. En última instancia, permitió detener los redireccionamientos a los servidores proxy con Angler en un proveedor de servicios estadounidense y concientizar acerca de una operación de delito cibernético altamente sofisticada que estaba afectando a miles de usuarios todos los días”. Resumen de estos puntos: Sale a la luz por el análisis y apoyo grandes empresas (pues sería imposible analizarlo de otra forma). Manejos financieros con Bitcoins, tarjetas de crédito grandes sumas. Redes ocultas (Tor) y cambios permanentes de hosts para borrar huellas. Miles de pasarelas de hosts infectados. Sofisticadas técnicas. Diseño, complejidad y ajuste de software. Decenas de millones de dólares al año. Página 37 www.darFe.es Alejandro Corletti Estrada Hasta aquí el factor que más deseábamos destacar de este informe, es decir nuestra postura de “Organizaciones mafiosas” pues sería imposible haber realizado todo esto con individuos aislados, y por otro lado, si prestamos atención, esto sale a la luz a través de una investigación de muy alto nivel empresarial. Si seguimos analizando este mismo reporte (pido disculpas por hacer tan extenso el análisis de este informe, pero a mi juicio es excelente), también nos ofrece una perspectiva de ciberseguridad que es útil a tener en cuenta por las empresas. Cisco ha detectado un incremento en el uso de Bitcoins, del protocolo TLS y de la red Tor que, tal cual acabamos de presentar, que permiten la comunicación anónima a través de la web. “El malware cifrado HTTPS (Hiper Text Transfer Protocol Secure) utilizado, creció un 300% entre diciembre de 2015 y marzo de 2016. Tengamos en cuenta que el malware cifrado facilita aún más la capacidad de los adversarios para ocultar su actividad web y ampliar su tiempo de operación”. “Herramientas como: Angler, Ransomware, SSHPsychos (también conocido como Group 93 para DDoS), en forma conjunta, Bedep, Gamarue y Miuref (otro troyano) representaron más del 65% de la actividad de comando y control mediante botnets en la base de usuarios que analizamos”. El análisis de malware validado como “malo conocido” de Cisco determinó que la mayor parte del malware (91,3%) usa el servicio de nombre de dominio de una de estas tres formas”: Para obtener comando y control Para exfiltrar datos Para redireccionar el tráfico Cifrado: Página 38 www.darFe.es Alejandro Corletti Estrada El cifrado también plantea problemas de seguridad para las organizaciones, incluida una falsa sensación de seguridad. Las organizaciones mejoraron mucho el cifrado de datos cuando estos se transmiten entre entidades, pero los datos almacenados a menudo quedan desprotegidos. A medida que el nivel de tráfico de Internet cifrado continúe aumentando, será́ cada vez más importante que las organizaciones adopten una arquitectura de defensa ante amenazas integrada. Las soluciones puntuales no son eficaces para identificar posibles amenazas en el tráfico cifrado. Las plataformas de seguridad integrada proporcionan a los equipos de seguridad mayor visibilidad con respecto a lo que sucede en los dispositivos o las redes. Gracias a esto, pueden identificar más fácilmente los patrones sospechosos de actividad. Infraestructura obsoleta: un problema con de 10 anos de gestación Todas las empresas de hoy son empresas de TI en cierta medida, porque dependen de su infraestructura de TI y TO (tecnología operativa) para estar conectadas, digitalizadas y tener éxito. Esto significa que necesitan dar prioridad a la seguridad de TI. Sin embargo, muchas organizaciones se basan en infraestructuras de red creadas a partir de componentes obsoletos, desactualizados, que ejecutan sistemas operativos vulnerables y no tienen capacidad de recuperación informática (ciberresiliencia). Otro problema geopolítico importante que las organizaciones deben supervisar se relaciona con las vulnerabilidades y los ataques. Algunos gobiernos expresan estar realmente preocupados por el surgimiento de un mercado de vulnerabilidades sin corrección, denominadas "software como arma". Las herramientas de este tipo son vitales para la comunidad de investigación sobre seguridad, ya que busca maneras de proteger las redes en todo el mundo. Sin Página 39 www.darFe.es Alejandro Corletti Estrada embargo, en las manos incorrectas, particularmente en las de regímenes represivos, esta tecnología, diseñada para tareas útiles, podría usarse para cometer delitos financieros, robar secretos nacionales y comerciales, eliminar el disenso político o alterar la infraestructura critica. La infraestructura obsoleta está creciendo y deja a las organizaciones cada vez más vulnerables al riesgo. Analizamos 115.000 dispositivos de Cisco en Internet y descubrimos que el 92% de los dispositivos de la muestra estaba ejecutando software con vulnerabilidades conocidas. La ciberseguridad: Una preocupación para los ejecutivos Obviamente, una seguridad integral puede ayudar a las empresas a evitar violaciones y ataques catastróficos. Sin embargo... ¿puede ayudar a mejorar las oportunidades de éxito de una empresa? Según un estudio realizado por Cisco en octubre de 2015 en el que participaron ejecutivos financieros y de la línea de negocios con el objeto de analizar el rol de la ciberseguridad en la estrategia digital y comercial, los ejecutivos empresariales comprenden que proteger el negocio de amenazas puede determinar su posible éxito o fracaso. A medida que las organizaciones se digitalizan cada vez más, el crecimiento dependerá́ de la capacidad de proteger la plataforma digital. Los líderes empresariales también prevén que los inversores y organismos reguladores harán preguntas más rigurosas acerca de los procesos de seguridad, del mismo modo en que interrogan sobre otras funciones empresariales. El 92% de los encuestados estuvo de acuerdo en que los inversores y organismos reguladores esperarán que las empresas proporcionen más información sobre la exposición a riesgos de ciberseguridad en el futuro. Página 40 www.darFe.es Alejandro Corletti Estrada Los seis principios de una defensa ante amenazas integrada Los expertos en seguridad de Cisco afirmaron que la necesidad de soluciones adaptables e integradas dará́ lugar a cambios importantes en el sector de seguridad en los próximos cinco años. Los resultados serán la consolidación del sector y un movimiento unificado hacia una arquitectura de defensa ante amenazas escalable e integrada. Una arquitectura de este tipo proporcionará visibilidad, control, inteligencia y contexto a través de varias soluciones. 1. Se necesita una arquitectura de red y seguridad más eficiente. 2. Contar con la mejor tecnología de su clase no alcanza para hacer frente al panorama de amenazas actual o futuro; simplemente aumenta la complejidad del entorno de red. 3. Para un mayor tráfico cifrado, se necesitará una defensa ante amenazas integrada capaz de reunir la actividad maliciosa cifrada que hace que determinados productos puntuales se vuelvan ineficientes. 4. Las API abiertas son fundamentales para una arquitectura de defensa ante amenazas integrada. 5. Una arquitectura de defensa ante amenazas integrada requiere menos equipos y software para instalar y administrar. 6. Los aspectos de automatización y coordinación de una defensa ante amenazas integrada ayudan a reducir el tiempo de detección, contención y corrección. 3.4. La visión de Fortinet En el blog de Fortinet cuyo enlace figura a continuación, esta otra gran empresa líder en el mercado de seguridad, también nos presenta una serie de predicciones para el 2017. Página 41 www.darFe.es Alejandro Corletti Estrada https://blog.fortinet.com/2016/11/21/fortinet-2017-cybersecurity- predictions-accountability-takes-the-stage Presenta este artículo de la siguiente forma: “Con el crecimiento y la omnipresencia de los dispositivos en línea y las herramientas digitales, alcanzamos un punto crítico en 2016. La necesidad de rendir cuentas a múltiples niveles es urgente y real y nos afecta a todos. Si algo no se hace, existe el riesgo real de interrumpir la emergente Economía Digital”. Este enfoque de Fortinet se centra en las conclusiones: 1. De smart a smarter: los ataques automatizados emulando al ser humano requerirán una defensa más inteligente, el nuevo malware diseñado “emulando al ser humano” con capacidad de adaptación y de aprendizaje, para mejorar el impacto y la eficacia de los ataques. 2. Los fabricantes de dispositivos IoT serán responsables de las brechas de seguridad. Si estos fabricantes fallan a la hora de proteger mejor sus dispositivos, el impacto en la economía digital podría ser devastador. 3. 20.000 millones de dispositivos IoT, el eslabón más débil para atacar la nube. El eslabón más débil de la seguridad en la nube no se encuentra en su arquitectura en sí, sino en los millones de dispositivos remotos con acceso a los recursos albergados en la misma. 4. La smart city en su punto de mira. El incremento esperado para el próximo año en el número de sistemas de automatización y gestión de edificios, les convierte en objetivo de los hackers. 5. El ransomware era solo el malware de entrada. Se espera que se produzcan más ataques dirigidos contra perfiles Página 42 www.darFe.es Alejandro Corletti Estrada de alto nivel, como celebrities, políticos o grandes empresas. 6. La tecnología tendrá que compensar la falta de conocimiento en ciberseguridad. La actual escasez de profesionales en ciberseguridad implica que muchas organizaciones y países que desean participar de la economía digital global, asumirán un gran riesgo. 3.5. De quién nos defendemos Hemos estado viendo aspectos clave de Ciberseguridad: Malware sofisticado, pasarelas que ocultan rastros, criptografía que engaña nuestros sistemas de detección, redes ocultas paralelas (Tor), fraude con tarjetas y medios de pago…. organizaciones mafiosas…. Pero el tema no queda aquí. En la actualidad la potencia de las herramientas informáticas y su fácil acceso, nos enfrentan a todo tipo de ataques, desde los más sofisticados que acabamos de presentar, hasta un niño que descarga un explota de Internet y sin tener mayor conocimiento de lo que hace, lo ejecuta contra nuestra empresa pudiendo ocasionar un daño tremendo si no estamos preparados para defendernos adecuadamente. Bajo mi punto de vista (y es una apreciación totalmente personal), creo que merece la pena diferenciar un poco la idea de “mafias organizadas” que existen, son reales y su objetivo es millonario, con este tipo de perfiles o delincuentes. En realidad, cuando hago mención a “Ciberseguridad”, por mi parte trato de tener presente esta gran escala de “ataques organizados o mafiosos” pues al igual que con la droga actual o el alcohol de la ley seca de los EEUU el siglo pasado, existen mafias, y también delincuentes menores que consiguen la droga por su medios, la revenden, arman sus pequeñas redes de distribución, etc… Pero la raíz del problema son las grandes organizaciones delictivas, ese es el fondo de la cuestión y son los que pueden crear caos, problemas mundiales y hasta como lo enuncia Fortinet: “Si algo no se hace, Página 43 www.darFe.es Alejandro Corletti Estrada existe el riesgo real de interrumpir la emergente Economía Digital”. No nos confundamos, interrumpir la actual economía digital implica: no pagar con tarjetas, no poder hacer movimientos bancarios en la red, no cobrar nuestros haberes telemáticamente, no poder comprar nada en Internet, no poder hacer “telemediciones de nuestros servicios”, no tener alarmas de hogar, no tener cerraduras electrónicas, no automatizar NADA de un coche, no reservar hoteles, pasajes, tickets….. es decir, NADA de lo que mueve nuestro dinero en la Red, es decir un verdadero caos mundial. Pero más allá de esta cuestión conceptual (que considero importante remarcar), la realidad hace que nuestra empresa, peligre tanto de estas mafias organizadas como de un chico de quince años que opera al margen de cualquiera de ellas, y el impacto que me puede ocasionar a mi empresa en concreto es tal vez el mismo. Por esta razón es que también debemos tener en cuenta que existen muchos tipos y niveles de intrusos, desde los más iniciados “Newbies o Lamers” que son millones, hasta personas con muy alto nivel de conocimientos que llegan a controlar en detalle los protocolos de comunicaciones o lo que se denomina “Pila y/o buffer” que es el verdadero cerebro desde donde se ejecutan cada uno de los programas en un ordenador como una mera secuencia de pasos en lenguaje binario. Cada una de estas personas me gusta presentarlas como una pirámide de conocimientos con varios “Niveles”, donde podemos encontrar en su base a los más nuevos y en su cumbre a menos de un 1% de estas personas que son el máximo peligro de cualquier organización. Página 44 www.darFe.es Alejandro Corletti Estrada Imagen “Pirámide de expertiz de un intruso” Lo asombroso de esta pirámide es que todos los niveles están en capacidad de hacer daño y muy significativo a los sistemas informáticos de las organizaciones, aunque la gran masa de usuarios sean inexpertos son tantos millones que producen el fenómeno “CROWD” (multitudes) que hoy se está estudiando seriamente en Internet (no solo por seguridad, sino por marketing, tendencias, I+D, etc.) y a su vez están potenciados por herramientas o software muy poderoso que está disponible con total facilidad en la red. La clasificación de esta pirámide es una visión personal que hace tiempo que expongo y representa que: Un 70 % Hacen “Click”: Es decir, curiosean por las distintas Webs y foros de hacking y cuando encuentran un software que muchas veces ni siquiera saben para qué sirve, hacen “click” y lo ejecutan, generalmente apuntándola a alguna Web novedosa, conocida, de su centro de estudios, o importante, etc. Un 15 % Ajustan herramientas: Ese software que hemos mencionado, lo estudian con más detalle y comienzan a configurarlo con más precisión: Engañan sus orígenes, acotan los ataques, ajustan los tiempos y puertos de acceso, etc. Un 10 % Aportan a herramientas: Van avanzando y a medida que conocen una o varias herramientas, descubren mejores prestaciones, módulos nuevos, optimizan su código, introducen Página 45 www.darFe.es Alejandro Corletti Estrada nuevos o proponen módulos. Este nivel en general participa activamente en foros, Webs y blogs específicos donde se debaten estos temas. Un 4 % Se agrupa: Es un nivel de más difícil acceso y en el cual se trabaja bajo cierto tipo de organización. Sus ataque y metodologías podríamos decir que son decididamente delictivas y peligrosas. Agrupan también diferentes tipos de herramientas entre sí, potenciando su ataque. Un 1 % Expertos: Algunos de ellos hoy son famosos. Son “creadores” de código, están en capacidad de llegar a lo más profundo del lenguaje binario y evaluar al detalle todos los niveles del funcionamiento del Software y hardware de los sistemas. 3.6. Análisis de situación desde un punto de vista militar Luego de esta presentación, pasemos a hacer un ejercicio de “visualización”. Para los que hemos formado parte del mundillo militar, tal vez nos resulte más sencillo, pero también cualquiera que lea este artículo es porque algún interés por la “Defensa” debe tener y no dudo que al menos habrá visto alguna de esas películas de guerra en las cuáles se encuentra reunido el “Estado Mayor” de esa Fuerza militar y está planificando la estrategia de una defensa. Nuestro ejercicio será (si queréis, hasta cerrando los ojos): Situación a visualizar: Se encuentra reunido el Estado Mayor en una tienda de campaña con una gran mesa en la cual está desplegada una carta topográfica ampliada, sobre ella dibujos y líneas que representan diferentes posiciones del despliegue de sus fuerzas, pareciera ser que están planificando una defensa. Hay varias personas alrededor de la mesa y se destaca claramente la figura del comandante, el mismo se dirige directamente al Oficial que está frente a él que es el “J2” (Oficial de Inteligencia) y le pregunta: - ¿Cuál es la situación del enemigo? El “J2” despliega un gran folio sobre la pizarra que está a un costado de la mesa y en la misma se puede leer lo siguiente: Página 46 www.darFe.es Alejandro Corletti Estrada Composición: Desconocida Disposición: Desconocida Magnitud: Desconocida Cantidad: Desconocida Capacidades: Desconocidas Experiencia: Desconocida Armamento: Desconocido Localización: En todo el mundo Movimiento: Desconocido Potencia conocida: Desconocida Identificación: Ninguna Objetivo: Desconocido Impresión: Total Desconcierto Si queréis podéis continuar la visualización imaginando la cara o reacción del comandante, pero por ahora me interesaría destacar: ¿Cómo se organizaría una defensa militar en esta situación? Si volvemos a la realidad, concretamente esta es la situación que se vive (con sus más y sus menos) en cualquier organización que tenga sus ordenadores en red y conectados a Internet. Así de crudo, duro y concreto... ¿De quién nos defendemos? La incertidumbre es total. Si los responsables de informática de nuestra organización son eficientes, cuentan con un conjunto muy sólido de herramientas, procedimientos y medidas de protección que llevan años ajustándose y mejorando, lo que nos permite un nivel de protección aceptable, pero el tema crítico no está aquí sino en la “Estrategia” de seguridad de la organización. Volviendo al mundo militar, una cosa es la “Estrategia”, otra la “Táctica”, y otro el nivel “Operacional”, son tres niveles diferentes. En el mundo empresarial, también es así, una cosa es el nivel “Directivo”, otro el “Gerencial” y otro el de “Ejecución”. Página 47 www.darFe.es Alejandro Corletti Estrada Si un directivo se contenta únicamente con las herramientas y medidas de ejecución de sus sistemas informáticos, se está equivocando de nivel. Así como el administrador de sus sistemas informáticos se debe encargar de implantar medidas, soluciones, reaccionar ante situación, el director no está para eso. Él está para definir la “Estrategia”, él está acostumbrado a moverse ante situaciones de incertidumbre y tomar decisiones trascendentes para la organización. Si un directivo le preguntara a su administrador de sistemas ¿De quién nos defendemos? Obtendría la misma respuesta que la de nuestro “J2”. Ante esta situación un directivo debe situarse en su nivel: “Estratégico”. Todo Internet se regula por una serie de recomendaciones llamadas “RFC” (Request for Comments), estos documentos ya superan los ocho mil, y establecen las “pautas” (o mejores prácticas) a seguir. Una de ellas es la RFC – 1244 (Política de seguridad), si bien ya existe una más actualizada, esta, en el punto el 2.5. propone dos estrategias de seguridad: Proteger y proceder. Seguir y perseguir. Este será el tema de la siguiente charla, pero a título de presentación podemos decir que resumidamente, la primera de ellas propone que, ante un incidente de seguridad, su reacción es apagar equipos, cortar vínculos de comunicaciones, cerrar áreas, etc. es decir “Proteger y proceder”. El gran problema reside en que una vez que se decida restablecer todo, las debilidades o los intrusos siguen allí, y volverán a hacer lo mismo, pues “Desconozco casi todo de ellos” tal cual venimos tratando en todo el texto. Os proponemos participar de la segunda charla, en la cual profundizaremos sobre ambas Estrategias. 3.7. Reflexión final Hemos ido desarrollando conceptos, definiciones, ideas, opiniones de empresas líderes del mercado, analizando niveles de intrusos, Página 48 www.darFe.es Alejandro Corletti Estrada predicciones para este año, etc… Luego hemos visto dos tipos de Estrategias posibles. De todo esto quisiera cerrar esta primera charla volviendo a uno de los primeros conceptos que desarrollamos: “Resiliencia” Esta desearía que sea nuestra reflexión final. En primer lugar, seamos conscientes que nos estamos enfrentando a organizaciones poderosas (y no hemos hablado aún de Ciberterrorismo…), a herramientas muy potentes, a un nivel tecnológico voraz y cambiante que nos abre nuevos desafíos (debilidades y problemas) a diario, a un grado de exposición que crece de forma exponencial (tanto en la empresa como en lo personal: IoT) a una interconexión mundial que no tiene límites ni fronteras. Es muy similar a lo que hemos “visualizado” como análisis de situación militar. Todo esto nos presenta una realidad sobre la que no nos podemos sentir seguros 100%, sería muy audaz creer que mi fortaleza es inexpugnable (así pensaron en Alcatraz o en las murallas de Sagunto hace 2000 años). Si no tenemos mayores capacidades, deberíamos “Proceder y Proteger”, pero con ello no erradicaremos la causa. Si deseamos “seguir y Perseguir” nuestra Estrategia nos conducirá hoy en día sobre nuestras redes y sistemas orientándolas hacia la “Resiliencia”, es decir que, si sufrimos cualquier tipo de incidente de seguridad, podamos garantizar que: En primer lugar: lo resistimos. En segundo lugar: Estamos en capacidad de Volver a su estado inicial (en un período de tiempo aceptable). Si nuestras infraestructuras, superan estos dos hechos, podremos sentirnos más que satisfechos de nuestro trabajo. 3.8. Tareas para el hogar (deberes). Página 49 www.darFe.es Alejandro Corletti Estrada Es mi intención, que este texto sea de utilidad, con el objetivo de ser más eficientes capítulo a capítulo y que, en definitiva, todos estos párrafos hagan mella en nuestra forma de encarar el gran problema actual y enrome que se nos viene encima de la Ciberseguridad. Propongo que en el capítulo que viene, cada uno de los lectores haya avanzado en la medida de lo posible, al menos un escalón más de lo que nos encontramos en el día de hoy. Para ello y al mejor estilo “colegio secundario”, os propongo a todos los lectores, que no nos quedemos con lo tratado aquí, sino que lo “curremos” (como se dice en España). A continuación, os propongo una serie de líneas de acción o pensamientos para que dentro de un tiempo los hayamos “masticado” en la medida que cada uno pueda y comencemos el siguiente capítulo con una mejor posición de cada uno de nosotros en Ciberseguridad. Os propongo las siguientes “tareas para el hogar”: 1. ¿De quién nos defendemos? 2. Tratamiento de amenazas: ¿Tenemos claras cuáles son? 3. ¿Cuáles son nuestros riesgos? 4. ¿Qué impacto me producirían? 5. una serie de estándares, protocolos, métodos, reglas, herramientas y leyes. ¿Buscamos, analizamos algunas de ellas? 6. Unión Europea ha desarrollado una política de ciberseguridad…..Por Sudamérica ¿Cómo estamos? 7. Ciberresiliencia ¿Cuál es nuestra situación? 8. ¿Tenemos presente un plan global de unión de Países en Ciberseguridad? 9. ¿Estamos dispuestos, o lanzamos iniciativas conjuntas con la industria privada para afrontar el problema de la Página 50 www.darFe.es Alejandro Corletti Estrada Ciberseguridad? 10. ¿Estamos trabajando seriamente en la sensibilización sobre Ciberseguridad? 11. ¿Nuestros actores clave (energía, transporte, banca, bolsas de valores y facilitadores de servicios clave de Internet, así como las administraciones públicas) están trabajando en conjunto?¿Garantizamos su participación? Página 51 www.darFe.es Alejandro Corletti Estrada 4. Estrategias de Ciberseguridad en grandes redes (Seguir y perseguir - proteger y proceder) Resumen del tema Para hacer frente al Ciberriesgo es necesario adoptar medidas que permitan minimizarlo o mitigarlo en la mejor medida posible. Este conjunto de acciones debe responder a planes a medio y largo plazo (la improvisación es el primer factor de riesgo en estos temas). Desde el punto de vista militar, en toda operación se planifican “cursos de acción” y sobre los mismos en la relación coste/beneficio se selecciona el definitivo (en un proceso de toma de decisiones). Una vez adoptado este último, se diseña e implementa la “Estrategia a seguir”. Mezclando estos conceptos militares con metodologías de Internet, existen algunas RFCs que nos proponen dos posibles métodos) o líneas de acción): Seguir y perseguir Proteger y proceder Sobre la base del nivel de seguridad alcanzado, la experiencia, los recursos, la capacidad de reacción, etc… deberemos inclinarnos por uno o por otro y la decisión final será la clave. Esta charla es novedosa, justamente por presentar este “mix” entre operaciones militares y seguridad en Internet. 4.1. Planteo inicial Página 53 www.darFe.es Alejandro Corletti Estrada Al analizar el estado de una antigua política de seguridad que presentaba la RFC–1244, en su punto el 2.5. vemos que la misma propone dos estrategias: Proteger y proceder. Seguir y perseguir. Si prestamos atención al detalle de ambas estrategias, esta misma RFC nos presenta en qué situación puedo optar por una u otra: “Protect and Proceed 1. If assets are not well protected. 2. If continued penetration could result in great financial risk. 3. If the possibility or willingness to prosecute is not present. 4. If user base is unknown. 5. If users are unsophisticated and their work is vulnerable. 6. If the site is vulnerable to lawsuits from users, e.g., if their resources are undermined. Pursue and Prosecute 1. If assets and systems are well protected. 2. If good backups are available. 3. If the risk to the assets is outweighed by the disruption caused by the present and possibly future penetrations. 4. If this is a concentrated attack occurring with great frequency and intensity. 5. If the site has a natural attraction to intruders, and consequently regularly attracts intruders. 6. If the site is willing to incur the financial (or other) risk to assets by allowing the penetrator continue. Página 54 www.darFe.es Alejandro Corletti Estrada 7. If intruder access can be controlled. 8. If the monitoring tools are sufficiently well-developed to make the pursuit worthwhile. 9. If the support staff is sufficiently clever and knowledgable about the operating system, related utilities, and systems to make the pursuit worthwhile. 10. If there is willingness on the part of management to prosecute. 11. If the system adminitrators know in general what kind of evidence would lead to prosecution. 12. If there is established contact with knowledgeable law enforcement. 13. If there is a site representative versed in the relevant legal issues. 14. If the site is prepared for possible legal action from its own users if their data or systems become compromised during the pursuit.” Basado en estas dos estrategias básicas podemos evaluar cómo enfrentar un incidente de seguridad. Resumiendo, un poco los párrafos de esta RFC: a. Proteger y proceder: La premisa de esta es la preservación de los componentes del sistema. El gran problema es que, si el intruso no pudo ser identificado, este podrá regresar por la misma puerta o por algún otra. ¿Qué premisas se deben tener en cuenta para implementar esta estrategia? Si los recursos no están bien protegidos. Si existe un riesgo económico de magnitud al continuar la intrusión. Si no existe la posibilidad de perseguir al intruso. Si los usuarios no poseen conciencia (o experiencia) de seguridad y Página 55 www.darFe.es Alejandro Corletti Estrada sus recursos peligran. Si no poseemos capacidad de procesar evidencias robustas y contundentes ante una acción judicial. Si los recursos no están claramente establecidos o identificados. b. Seguir y perseguir: Se permite al intruso continuar sus actividades hasta identificarlo y evidenciar las vulnerabilidades del sistema que fueron aprovechadas. Se requiere aquí conocimiento en el manejo de incidentes y herramientas adecuadas pues se está arriesgando demasiado. La gran ventaja de este proceder es que es la única forma eficiente de llegar a las causas del problema para que este no vuelva a repetirse. ¿Qué premisas se deben tener en cuenta para implementar esta estrategia? Si los recursos y sistemas están bien protegidos. Si se dispone de buenos backup. Si la frecuencia de ataques es considerable y lo sabemos identificar. Si el acceso de intrusos puede ser controlado. Si se posee la capacitación suficiente para enfrentar un ataque. Si existen contactos con otros organismos que puedan prestar apoyo ante ataques. Si existe soporte legal en la organización para responder ante estos casos. La primera de ellas es un curso de acción bajo el cual, ante una intrusión, inmediatamente se procede a desconectar sistemas, apagar servidores, negar accesos, etc. Es decir, se soluciona el problema actual pero no se puede llegar al fondo del mismo, no permite determinar las causas, ante lo cual cuando se vuelva a su régimen normal, existe una gran posibilidad que la intrusión se produzca nuevamente. Las ventajas que ofrece son que el intruso en ese momento no podrá avanzar más, y la información y recursos serán Página 56 www.darFe.es Alejandro Corletti Estrada protegidos. Es una buena metodología a tener en cuenta si no se posee un alto grado de capacitación, soporte especializado ni recursos suficientes. La segunda metodología es más audaz, permitiendo llegar al origen de la vulnerabilidad, determinar las causas, los pasos que siguió el intruso, obtener toda la información probatoria, e inclusive hasta generar ataques inversos. Lo que es evidente aquí es que se está “Jugando con fuego”, es decir se debe tener mucho nivel de conocimientos, herramientas adecuadas, especialistas en apoyo y hasta soporte legal y de difusión de noticias. Este es el punto clave para el desarrollo de esta charla, pues no se aprecia que las estrategias actuales permitan llevar a cabo la actividad de “Seguimiento de intrusiones” con un cierto grado de efectividad, por lo tanto, se debe plantear una nueva línea de pensamiento para la planificación e implementación de los sistemas informáticos que oriente paso a paso al administrador de los mismos. Lo realmente crítico que posee este hecho es, tal cual presentamos en la primera charla, el absoluto desconocimiento del adversario en cuanto a su ubicación, magnitud, recursos y capacidades. Si a este hecho se suma la necesidad, u obligación actual de exponer información al público en general y a sus socios de negocios, fuente de ingresos de una empresa; y a su vez se tiene en cuenta que esta información día a día va aumentando como una estrategia competitiva de presencia en la red y de rapidez en las negociaciones, esto provoca un mayor grado de exposición y por lo tanto de vulnerabilidades. En el análisis de vulnerabilidades comienza el primer desbalance de fuerzas, pues si se ajusta a los datos de la realidad (y no a lo hipotético o teórico), no existe una sola empresa real que pueda contar con suficiente personal dedicado a las actualizaciones e investigación de seguridad como para no dejar brechas abiertas en un momento dado. Muy por el contrario, existen millones de personas en Página 57 www.darFe.es Alejandro Corletti Estrada el mundo de Internet cuya principal preocupación es descubrir vulnerabilidades en sistemas. Este es el primer factor a tener en cuenta. El segundo aspecto a analizar es estadístico, y se trata de las operaciones defensivas o de seguridad a lo largo de la historia. No se tienen antecedentes de una fortaleza invulnerable. Siempre en estas operaciones, se demoró más o menos tiempo, con armas conocidas o nuevas, esperando el momento adecuado, especulando con los imprevistos, aprovechando las actividades que se transforman en rutinaria
