La peor pesadilla de un CIO: Recibir una llamada de la Business Software Alliance (BSA) a través de la cual le notifican que algunos de los programas de Microsoft que utiliza su empresa podrían ser piratas.
Investiga y descubre que no solo tiene software ilegal, sino que fue vendido por una empresa que es manejada en secreto por nada menos que su propio administrador de sistemas TI, su empleado de confianza por siete años. Cuando empieza indagar a fondo las actividades de su administrador, encuentra una página pornográfica de pago que ha estado corriendo en uno de los servidores corporativos. Descubre también que ha descargado 400 números de tarjetas de crédito de los clientes desde el servidor de comercio electrónico.
¿Podría haber algo peor? Sí, el administrador es el único que tiene las contraseñas.
¿No puede creerlo? Pues sucedió, a decir un consultor de seguridad que fue llamado para ayudar a la víctima, una tienda de 250 millones de dólares e Pennsylvania. Nunca se supo de ello porque la empresa lo mantuvo en secreto.
A pesar de las noticias ocasionales sobre administradores de TI corruptos (¿recuerda a Terry Childs, el administrador de red que secuestró la red de la ciudad de San Francisco?), muchas empresas esconden este tipo de situaciones bajo la alfombra de una manera rápida y silenciosa.
La encuesta anual de la revista CSO, el Servicio Secreto de los Estados Unidos y CERT (un programa del Software Engineering Institute de la Universidad Carnegie Mellon) reveló que tres cuartas partes de las empresas que son víctimas de este tipo de fraudes los manejan internamente, señala Dawn Cappelli, directora técnica del equipo de gestión amenazas e incidencias del CERT. “Así que sabemos que [lo que se hace público] es solo la punta del iceberg”, añade.
Sin embargo, al mantener las cosas tranquilas las empresas víctimas le niegan a otras la oportunidad de aprender de sus experiencias. CERT ha tratado de llenar ese vacío. Ha estudiado las amenazas internas desde 2001, recogiendo información sobre más de 400 casos. En su último informe del 2009 llamado “Guía del sentido común para la prevención y detección de amenazas internas” (descargar PDF – en inglés), que analiza más de 250 casos, CERT identifica algunos de los errores más frecuentes que cometen las empresas: depuración inadecuada durante el proceso de contratación, la insuficiencia de supervisión y seguimiento de los privilegios de acceso, y pasar por alto las banderas rojas en el comportamiento.
Pero las amenazas de los empleados de TI privilegiados son particularmente difíciles de detectar. Por un lado, las actividades de empleados “nefastos” se ven igual que sus funciones regulares. Los empleados de TI rutinariamente “editan y escriben scripts, editan código y escriben programas, por lo que no aparenta una actividad anómala”, señala Cappelli. Y ellos saben dónde es que su seguridad es más débil y cómo cubrir sus huellas. No se puede confiar en la tecnología, o cualquier medida de precaución para protegerse de los delincuentes corruptos de TI. Hay que pensar en grande.
“Se requiere mirar no solo lo que están haciendo en línea, sino también lo que está sucediendo en el lugar de trabajo”, agrega Cappelli. “La gente realmente necesita entender los patrones, la historia detrás de los números”.
CIO fue a buscar algunas de esas historias detrás de los números, los incidentes que no han sido ampliamente reportados. Aunque las empresas víctimas no hablarán, los consultores de seguridad que ayudaron a limpiar la suciedad sí lo hacen.
Si bien cada historia tiene circunstancias únicas, juntas muestran algunos de los patrones típicos que destaca CERT. Empleador, tenga cuidado.
Una empresa pirata
La historia del terror de la tienda de Pennsylvania comenzó a principios de 2008, cuando la BSA les notificó que Microsoft había descubierto discrepancias en la concesión de las licencias, de acuerdo con John Linkous. Hoy en día, Linkous es jefe de seguridad y cumplimiento de redes en eIQ Networks, una consultora de seguridad. Su experiencia con el incidente de esta tienda es de su trabajo anterior, cuando era vicepresidente de operaciones de Sabera, una consultora de seguridad que ya no existe.
Microsoft había rastreado la venta del software sospechoso hasta un administrador de sistemas de una empresa cliente. Para los propósitos de esta historia, vamos a llamarlo “Ed”. Cuando Linkous y otros miembros del equipo de Sabera fueron convocados secretamente para investigar, descubrieron que Ed había vendido a su emrpesa más de medio millón de dólares en software pirata de Microsoft, Adobe y SAP.
Los investigadores también notaron que el uso de ancho de banda era anormalmente alto. “Pensamos que era algún tipo de ataque basado en la red”, señala Linkous. Rastrearon la actividad hasta un servidor con más de 50 mil imágenes pornográficas fijas y más de 2,500 videos, de acuerdo con Linkous.
Además, una búsqueda forense de la estación de trabajo de Ed descubrió una hoja de cálculo que contenía cientos de números de tarjeta de crédito válidos del sitio de comercio electrónico de la compañía. Si bien no hubo indicios de que los números hayan sido utilizados, el hecho de que esta información estuviera contenida en una hoja de cálculo, implicaba que Ed estaba contemplando utilizarlos o venderlos a un tercero, de acuerdo con Linkous.
El director de finanzas -que había recibido inicialmente la llamada de la BSA- y otros en el equipo directivo, temían lo que Ed pudiera hacer cuando lo confrontaran. Él era el único que sabía ciertas contraseñas administrativas -incluidas las contraseñas para el ruteador de la red principal / firewall, conmutadores de red, la VPN corporativa, el sistema de recursos humanos, la administración del servidor de correo electrónico, la administración de Windows Active Directory y la administración de escritorio de Windows.
Eso significaba que Ed podría haber secuestrado casi todos los principales procesos comerciales de la compañía, incluyendo el sitio web corporativo, correo electrónico, sistema de información financiera y de planilla. “Este tipo tenía las llaves del reino”, agrega Linkous.
Así que la compañía y la firma de Linkous pusieron en marcha una operación al estilo de Misión Imposible. Inventaron un ardid que requería que Ed volara a California por una noche. El largo vuelo le dio al equipo de Linkous una ventana de aproximadamente cinco horas y media en la que Ed no podría acceder al sistema. Trabajando tan rápido como podía, el equipo hizo un mapa de la red y reinició todas las contraseñas. Cuando Ed aterrizó en California”, el director de operaciones estaba allí para reunirse con él. Fue despedido en el acto”.
El costo para la empresa: Linkous estima que el incidente le costó a la compañía un total de entre 250 mil a 300 mil dólares, que incluye los honorarios de Sabera, el costo de hacer volar a Ed a la Costa Oeste en poco tiempo, el costo del litigio en contra de Ed, los costos asociados con la contratación de un administrador de red temporal y un nuevo CIO, y el costo de legitimar todas sus licencias de software.
Medidas preventivas: ¿Qué podría haber evitado este desastre? Obviamente, por lo menos otra persona debería de haber conocido las contraseñas. Pero más importante fue la falta de separación de funciones. La empresa tenía un pequeño equipo de TI (solo seis empleados), por lo que a Ed se le confiaron tanto las responsabilidades administrativas como las de seguridad. Eso significaba que se estaba supervisando a sí mismo.
La separación de funciones puede ser un desafío particularmente difícil para las empresas con poco personal de TI, reconoce Linkous. Él sugiere que las compañías pequeñas deben supervisar todo, incluyendo los registros, el tráfico de red y los cambios de configuración del sistema, y que los resultados sean evaluados por una persona distinta al administrador del sistema y sus subordinados directos. Lo más importante, señala, es dejar que la gente sepa que están siendo observados.
En segundo lugar, la empresa no verificó los antecedentes a fondo cuando contrató a Ed. En la investigación del CERT, 30% de los empleados que cometieron sabotaje en TI tenían antecedentes. De hecho, cualquier tipo de credenciales falsas debería activar la alarma. Aunque la compañía había hecho una revisión de los antecedentes penales de Ed (que estaba limpio), no verificó las credenciales en su currículum, algunas de las cuales eran fraudulentas, como se descubrió más tarde. (Por ejemplo, el no tenía la maestría que aseguraba tener).
En tercer lugar, la personalidad de Ed podría haber sido vista como una señal de alerta. “Parecía creer que era más inteligente que todos los demás en la sala”, indica Linkous, quien se reunió cara a cara con Ed haciéndose pasar por un proveedor de ERP antes de la operación encubierta. La arrogancia de Ed hizo que Linkous recordara a los infames ejecutivos de Enron. “Estaba muy confiado, arrogante y muy desdeñoso con la gente”.
CERT ha comprobado que los corruptos suelen tener personalidades agradables. “No tenemos ningún caso en que, después de los hechos, la gente no diga, ‘No puedo creerlo -era un buen tipo'”, añade Cappelli.
Empleada indignada
“Sally”, una administradora de sistemas y de base de datos, había estado con una compañía de productos de consumo Fortune 500 durante diez años y fue una de sus empleadas de TI de mayor confianza y de las más capaces, de acuerdo con Larry Ponemon, fundador y presidente del Instituto Ponemon, una firma de investigación en seguridad TI.
“Sally”, una administradora de sistemas y de base de datos, había estado con una compañía de productos de consumo Fortune 500 durante diez años y fue una de sus empleadas de TI de mayor confianza y de las más capaces, de acuerdo con Larry Ponemon, fundador y presidente del Instituto Ponemon, una firma de investigación en seguridad TI.
Ella era conocida como bateadora emergente -alguien que era capaz de ayudar a resolver todo tipo de problemas. Por esa razón, había acumulado muchos privilegios en la red de alto nivel que iban más allá de lo que su trabajo requería. “Hay una tendencia a dar más privilegios de los que necesitan a estas personas, porque nunca se sabe cuándo tendrá que estar ayudando a alguien más”, señala Ponemon.
A veces trabajaba en casa, con su computadora portátil, que había configurado con privilegios de alto nivel. La cultura de la compañía fue tal, que a estrellas de TI como Sally se les dio un trato especial, según Ponemon. “La gente de TI realizó una carrera final alrededor de determinadas políticas”, agrega. “Podían decidir qué herramientas querían en sus sistemas”.
Pero cuando la empresa decidió tercerizar la mayoría de sus operaciones de TI a la India, Sally no se sentía tan especial. Aunque la empresa aún no lo había notificado formalmente al personal de TI; según Ponemon, era obvio para los privilegiados de TI que el tiempo se acaba para la mayoría de los empleados del departamento.
Sally quería venganza. Antes de que oficialmente soltara la operación, plantó bombas lógicas que causaron que racks completos de servidores se bloquearan una vez que ella se había ido.
Al principio, la compañía no tenía ni idea de lo que estaba pasando. Pasaron a sus servidores redundantes, pero Sally había plantado bombas en esos también. La empresa tenía dificultades para contener los daños ya que no seguían ninguna rima o razón aparente.
“Un empleado que está enojado puede hacer mucho daño de una manera que es difícil de descubrir de inmediato y difícil de rastrear más tarde”, señala Ponemon.
Finalmente, siguieron el sabotaje hasta Sally y se le enfrentó. A cambio de un acuerdo con Sally para que ayude a reparar los sistemas, la empresa no tomó ninguna acción judicial. Además, Sally tuvo que aceptar no hablar públicamente sobre el incidente. “No querían que ella vaya al programa de Oprah y hable acerca de cómo rompió la columna vertebral de una compañía Fortune 500”.
El costo para la empresa: El costo total estimado: siete millones de dólares, lo que incluyó cinco millones de dólares en costos de oportunidad (tiempo de inactividad, la interrupción del negocio y la pérdida potencial de clientes) y dos millones de dólares en honorarios de consultores de seguridad y análisis forense, entre otras cosas.
Medidas preventivas: ¿Qué hizo mal la empresa? En primer lugar, el incidente es un ejemplo clásico de la “escalada de privilegios”, que es lo que sucede cuando se dan privilegios a una persona para manejar una tarea específica, pero no se revocan cuando la persona ya no los necesita, según Ponemon.
En segundo lugar, una cultura de títulos no llevó a la separación de funciones y muy poca supervisión de TI. Por eso, la administración no percibió una importante señal de alerta. Tras el incidente, la compañía descubrió que Sally había “perdido” once computadoras portátiles en los últimos tres años. El personal del servicio de asistencia era consciente de ello, pero nadie lo reportó a la gerencia, en parte debido al estatus de Sally en la organización. Nadie sabe lo que hizo con las computadoras portátiles, podría ser que no se trató más que de un descuido -pero “eso es un problema de por sí, si usted es un administrador de sistemas”, apunta Ponemon.
En tercer lugar, dada la tensa atmósfera creada por la decisión de tercerizar, la empresa debería haber sido más vigilante y proactiva en el seguimiento de los empleados potencialmente enojados.
Incluso si no le ha anunciado nada a sus empleados, es un error pensar que no saben lo que está pasando, dice Ponemon. “El trabajador promedio que maneja archivos sabe en un nanosegundo cuando el CEO firma el contrato de outsourcing”, agrega. Si aún no está supervisando a su personal de TI, ahora es momento de empezar. Para obtener los mejores resultados, ponga en marcha el programa con un pronunciamiento muy público que ahora está haciendo el seguimiento del personal.
Según el CERT, muchos casos de sabotaje son el resultado de un empleado descontento actuando por venganza. Y esos actos pueden ocurrir en un abrir y cerrar de ojos, como ilustra la siguiente historia.
El tiro por la culata
Cuando esta compañía Fortune 100 mejoró su seguridad, hizo un descubrimiento desagradable. Uno de sus administradores de sistema de alto nivel, que había trabajado allí por lo menos ocho años, había agregado subrepticiamente una página al sitio web de comercio electrónico de la empresa. Si se escribía la dirección en la empresa seguido de una determinada cadena de caracteres, llegaba a una página donde este administrador, a quien llamaremos “Phil”, estaba haciendo un buen negocio vendiendo equipos piratas de televisión satelital, principalmente de China, de acuerdo con Jon Heimerl, director de seguridad estratégica para Solutionary, un proveedor de servicios administrados de seguridad contratado para abordar el problema.
La buena noticia: con la mejora de la seguridad se capturó al autor. La mala noticia: un defectuoso proceso de despido le dio la oportunidad de tomar una foto de despedida.
Siendo un vendedor menorista de equipos de alta tecnología, la empresa quería deshacerse de Phil y el sitio web tan pronto como sea posible, ya que temía demandas de los fabricantes de equipos de satélite. Pero mientras el gerente y los empleados de seguridad estaban en camino a la oficina de Phil, un representante de recursos humanos lo llamó y le dijo que se quede en el mismo sitio. Heimerl no está seguro exactamente de lo que la persona de recursos humanos dijo, pero al parecer fue suficiente para que Phil adivinara que el juego se había acabado.
Ya conectado a la red corporativa, eliminó inmediatamente el anillo de claves de cifrado corporativo. “Cuando estaba presionando la tecla eliminar, su jefe y la seguridad se presentaron y le dijeron: “Deje de hacer lo que está haciendo ahora mismo, y aléjese de la computadora”, de acuerdo con Heimerl. Pero ya era demasiado tarde.
El archivo tenía todas las claves de cifrado para la empresa, incluyendo la clave de depósito en garantía, una llave maestra que permite a la empresa poder descifrar cualquier archivo de cualquier empleado. La mayoría de los empleados mantienen sus propias claves de cifrado en sus sistemas locales. Sin embargo, el llavero tenía las únicas copias de las claves de cifrado para cerca de 25 empleados -la mayoría de los cuales trabajaban en los departamentos jurídicos y de contratos- y la única copia de la clave de cifrado corporativo. Eso significaba que cualquier cosa que los empleados habían cifrado en los últimos tres años, desde que habían empezado a utilizar el sistema de encriptación indescifrable, fue permanentemente borrado.
Costo para la empresa:Heimerl no ha calculado cuánto dinero le costó a la compañía, pero estima que la pérdida del archivo de claves ascendería la pérdida de la productividad de 18 personas-año, teniendo en cuenta tanto el trabajo que fue necesarios para crear archivos que están permanentemente encriptados y el tiempo dedicado a volver a crear los materiales desde borradores, viejos e-mails y otros documentos sin cifrar.
Medidas preventivas: Centrarse únicamente en lo que sucedió. Después de descubrir el sitio web corrupto, la empresa cometió dos errores cruciales, señala Heimerl. Debió haber cerrado el acceso de Phil inmediatamente después de descubrir sus actividades. Pero los directivos también fueron vulnerables al no mantener una copia de seguridad segura de la información empresarial crítica. (Irónicamente, la compañía pensó que el llavero era tan sensible que no se debía hacer copias.)
La mejor defensa es multifacética
La lección general de estas historias de horror es que no hay una sola cosa que pueda protegerlo de los delincuentes de TI. Es posible que tenga una gran seguridad técnica -como el sistema de seguridad de varios niveles que en última instancia detectaron el sitio sin autorización de Phil- y sin embargo, un simple error de Recursos Humanos puede llevarlo al desastre. No puede haber grandes banderas rojas en términos de comportamiento o personalidad que pasen desapercibidos -como las portátiles perdidas de Sally.
La lección general de estas historias de horror es que no hay una sola cosa que pueda protegerlo de los delincuentes de TI. Es posible que tenga una gran seguridad técnica -como el sistema de seguridad de varios niveles que en última instancia detectaron el sitio sin autorización de Phil- y sin embargo, un simple error de Recursos Humanos puede llevarlo al desastre. No puede haber grandes banderas rojas en términos de comportamiento o personalidad que pasen desapercibidos -como las portátiles perdidas de Sally.
Es una combinación del control de seguridad técnica y la observación humana lo que ofrece la mejor protección, señala Cappelli de CERT.
Y, sin embargo, es difícil convencer a las empresas de hacer las dos cosas. Los ejecutivos tienden a pensar que estos problemas pueden ser resueltos por la tecnología en sí, al menos en parte, porque oyen a los proveedores de herramientas de monitoreo y otros programas de seguridad, alegando que sus herramientas ofrecen protección. “Estamos tratando de averiguar cómo hacer llegar el mensaje a las personas de nivel C, lo cual no es solo un problema de TI”, señala.
Es un mensaje difícil de escuchar. Y una lección que muchas empresas no aprenden a excepción de que sea a la mala. Incluso si más empresas fueran sinceras con los detalles de sus historias de horror, la mayoría de los CEO todavía creería que eso nunca les pasará, hasta que finalmente suceda.