Página quince:
Peligros en el ‘ciberespacio’
Con la cadena de suministro de
‘software’ comprometida, todos debemos entender la importancia de compartir
información y de hacerlo de manera proactiva y transparente
Roberto Sasso. Hace 15 horas
Las maldades
cibernéticas parecen estar a la orden del día. La pandemia ha aumentado los
incidentes en el ciberespacio, los motivos son especulación, aunque la
rápida digitalización de los procesos para permitir el teletrabajo, sin duda,
debe haber abierto oportunidades a los ciberdelincuentes.
En el TEDxPuraVida virtual denominado Transformación, el
experto en ciberseguridad Ryan Goss, mencionó un artículo de la CNBC en el que se
afirmaba que, durante la pandemia, las violaciones de la ciberseguridad aumentaron
un 263%, el ransomeware un 90% y los ataques
maliciosos (los que destruyen datos e infraestructura) un 102%.
En su charla, en
setiembre, también aseguró que los métodos y técnicas de ataque eran
básicamente los mismos de siempre.
Goss labora en la renombrada empresa de ciberseguridad FireEye, basada en Silicon
Valley, y dijo que no era suficiente con implementar controles —con software—
y asumir que todo iba a estar bien, pues también era necesario validar
constantemente, y de manera automática, que los controles estuvieran
funcionando como deben, en tiempo real, no mediante simulaciones.
Noticias
perturbadoras. Tres meses después estamos leyendo noticias muy perturbadoras. El 8 de
diciembre, The New York Times informó
de que FireEye había sido hackeada.
Según el reportaje, la empresa indicó que sus sistemas habían sido penetrados
por una «nación con capacidades ofensivas de primer nivel», quienes, utilizaron
«técnicas novedosas» para alzarse con herramientas de software que
podrían ser usadas para montar ataques a otras organizaciones.
El 14 de diciembre, The Economist publicó
un reportaje de ciberespionaje en el que
cuenta cómo un equipo de hackers rusos —conocidos como Cozy bear— irrumpió
en el corazón del gobierno de los Estados Unidos.
En la lista de
agencias vulneradas se incluyó a los departamentos de Tesorería, Comercio y
Seguridad Doméstica, así como al Instituto Nacional de Salud, donde
aparentemente podían leer correos a gusto.
Pero la intrusión
siguió una ruta tortuosa. Entre marzo y junio, la empresa de software Solarwinds, basada en Texas, distribuyó 18.000 copias de la
última versión de Orion, ampliamente utilizado por
organizaciones (incluyendo a FireEye) para el
monitoreo de sus redes.
Esta versión de Orion traía un programa maligno que permitía a los hackers
hacerse pasar por administradores del sistema, lo cual típicamente confiere
todo tipo de accesos y privilegios, y podían permanecer activos aun cuando Orion no lo estuviera.
El 17 de diciembre, Wired Magazine publicó un artículo de dos autoras
e investigadoras de ciberseguridad militar, haciendo una clara
diferencia entre espionaje y la guerra en el web.
El artículo
especifica que el ataque a Solarwinds fue un acto de
espionaje, no un acto de guerra. Comentan las estrategias de ciberdefensa de los Estados Unidos, una de disuasión
y otra de «defender hacia adelante».
Alegan que la
disuasión no es muy efectiva en el ciberespacio, pero defender hacia
delante consiste en atacar proactivamente las capacidades ofensivas de los
oponentes, y esa sí, aducen, puede ser más efectiva.
El 18 de diciembre, Ars Technica citó
al presidente de Microsoft diciendo que el hackeo de Solarwinds fue un acto de extrema imprudencia. De las
18.000 organizaciones expuestas, los hackers solo siguieron con la
segunda fase del ataque en el 0,2% de ellas, unas 40 empresas e instituciones.
El 44% de las
organizaciones afectadas fueron empresas de tecnología, el 18% agencias
gubernamentales y el 9% contratistas del Estado estadounidense.
El 80% de las
organizaciones vulneradas están localizadas en los Estados Unidos. Brad Smith,
el presidente de Microsoft, insistió en que no fue un acto de «espionaje común»
aún en la era digital, sino un acto de imprudencia que creó una seria
vulnerabilidad tecnológica para todo el mundo.
De hecho, aseguró
Smith, este no fue un ataque a blancos específicos, sino un ataque a la
confianza y formalidad de la infraestructura crítica del mundo, para avanzar
hacia la agencia de inteligencia de un país.
En la nube. El 21 de diciembre, Investor’s Business Daily
publicó el impacto de este incidente en el precio de las acciones de las
empresas de ciberseguridad. En esta ocasión, el mercado parece
estar favoreciendo a empresas que ofrecen servicios de seguridad en la nube,
por encima de las tradicionales que ofrecen un software que debe ser
instalado y actualizado en los equipos del cliente.
Para mí, es claro que
no hemos oído el final de esta historia, pero me preocupa profundamente que se
haya comprometido la cadena de suministro de software.
En las ocasiones que
me ha tocado revisar los resultados de la auditoría de seguridad en una
organización, las empresas auditoras siempre revisan de primero que se hayan
instalado las últimas versiones de todas las piezas de software importantes
para la seguridad.
Siempre he sostenido
que mientras no tengan las últimas versiones es una clara vulnerabilidad,
aunque tenerlas tampoco garantiza una seguridad absoluta. Estar siempre seguros
de contar con las últimas versiones es una tarea ardua, pero no suficiente.
Hay que asegurarse
que dichas versiones estén limpias y demás, hay que asegurarse que todas estén
bien configuradas, que todos los permisos y privilegios estén bien concedidos y
documentados.
Las personas
encargadas de la ciberseguridad de una organización tienen una
tarea ingrata, ya que cuando hacen todo bien, no pasa nada. Y cuando pasa algo,
son siempre malas noticias.
Hay que reconocer la
valiente actitud de FireEye, no solo reconociendo
haber sido víctima de un ataque de los que ellos defienden a sus clientes, sino
implementando una minuciosa campaña de análisis de lo ocurrido e informando a
todos los involucrados, paso a paso de sus descubrimientos, la total
transparencia es clave y necesaria.
En el Club de
Investigación Tecnológica hemos tratado el tema de ciberseguridad muchas
veces y siempre pegamos con la misma piedra. Siempre se ha sabido que la
transparencia en compartir información es la base de la seguridad de la
comunidad, ya sea de una industria, un país, o incluso el mundo libre.
Hemos intentado promover
o proveer los medios para que la información se comparta transparentemente y, a
pesar de que hay consenso en que la transparencia es fundamental para la
defensa de todos, nadie parece dispuesto a compartir.
No queda más que
intentarlo de nuevo y esperar que esta vez, con la cadena de suministro de software
comprometida, todos entendamos la importancia de compartir información y lo
hagamos de manera proactiva y transparente.
roberto@sasso.cr
El autor es ingeniero.