Son “mitos de seguridad”, conceptos repetidos y generalmente aceptados sobre la seguridad informática que no son ciertos, en otras palabras, solo mitos. Invitamos a los expertos en seguridad, asesores, vendedores y gerentes de seguridad de las empresas a que compartan sus mitos favoritos de seguridad con nosotros. Aquí están 13 de ellos:
Mito 1: “Más seguridad siempre es mejor”
Bruce Schneier, experto en seguridad y autor de varios libros, incluyendo su más reciente, “Mentirosos y Falsos”, explica por qué este concepto de seguridad de “no puede conseguir lo suficiente” que a menudo está muy de moda, carece de fundamento. Schneier explica: “Más seguridad no es necesariamente lo mejor. En primer lugar, la seguridad siempre es una concesión, y algunas veces, los costos adicionales cuestan más de lo que valen. Por ejemplo, no vale la pena gastar 100 mil dólares para proteger una rosquilla. Sí, la rosquilla estará más segura, pero no tendría más sentido arriesgar a la rosquilla”.
También señala que “la seguridad adicional está sujeta a rendimientos decrecientes; es decir, medidas que reduzcan un delito en particular – por ejemplo, robos en tiendas- en un 25%, cuestan una cierta cantidad de dinero. Pero las medidas adicionales para reducir otros 25% cuestan más. Siempre habrá un punto en el que no vale la pena más seguridad. Y como corolario, la seguridad absoluta es inalcanzable. “A veces, la seguridad incluso puede convertirse en una opción moral y el cumplimiento podría ser una decisión inmoral, ya que podría pertenecer a un sistema totalitario, por ejemplo. “La seguridad exige el cumplimiento, y en ocasiones el cumplimiento no es lo correcto”.
Mito 2: “El problema de DDoS tiene que ver con el ancho de banda”
“Hay una gran cantidad de mitos urbanos que se escuchan a través del tiempo y que no están respaldados por evidencia real”, señala Carl Herberger, vicepresidente de soluciones de seguridad en Radware, quien dice que hay una creencia generalizada entre los administradores de TI que solo si tienen suficiente ancho de banda, se evitarían los ataques distribuidos de denegación de servicio (DDoS). La realidad, según él, es que desde el año pasado, se ha hecho evidente que más de la mitad de los ataques DDoS no se caracterizan por el ancho de banda en absoluto; fueron orientados a la aplicación, donde los atacantes se enfocaron en la pila de aplicaciones, y explotaron los estándares con el fin de interrumpir el servicio. En estas circunstancias, tener más ancho de banda en realidad ayuda al atacante. De hecho, solo una cuarta parte de los ataques DDoS en la actualidad se ven mitigados por la adición de ancho de banda, sostiene Herberger.
Mito 3: “La fecha de vencimiento regular (por lo general cada 90 días) fortalece los sistemas de contraseñas”
“Creo que esto es como el consejo nutricional que nos impulsa a beber ocho vasos de agua al día”, comenta Ari Juels, científico en jefe de RSA, la división de seguridad de EMC, sobre su mito favorito, que es que las contraseñas deben ser renovadas regularmente. Nadie sabe de dónde salió o si es un buen consejo a todos, añade. “De hecho, investigaciones recientes sugieren que la expiración regular de contraseñas no puede ser útil”, indica Juels. La investigación que RSA Labs ha hecho sugiere que si una organización va a cambiar contraseñas, debe hacerlo en un horario aleatorio, no en uno fijo.
Mito 4: “Puede confiar en la sabiduría de las multitudes”
“Una y otra vez, un empleado recibirá un correo electrónico de alguien diciéndole que hay un nuevo virus”, o que algún otro tipo de peligro inminente ha surgido a través de Internet y que van a ponerse en contacto con el departamento de TI, señala Bill Bolt, vicepresidente de la información tecnología para el equipo de baloncesto Phoenix Suns. Sin embargo, tras varias investigaciones, estos conceptos compartidos no son nada nuevos, añade. De hecho, la mayor parte del tiempo, el pánico trata de amenazas de malware que se conocieron por primera vez hace una década.
Mito 5: “La virtualización del lado del cliente resolverá los problemas de seguridad de BYOD
“El mito que sigo oyendo es que los problemas de seguridad de BYOD se resolverán al tener una máquina virtual para el “trabajo” y otra para el “personal”, señala el analista de Gartner, John Pescatore. “De esa manera, todos los riesgos en el aspecto personal serán contenidos y no se filtrará ningún dato del lado del trabajo hacia el lado del juego”. Sin embargo, Pescatore señala que es escéptico. “La comunidad de inteligencia trató hacer esto hace años -NSA le pagó a una pequeña empresa (en ese momento) llamada VMware para desarrollar un producto llamado NetTop para su uso en análisis inteligente, que creó máquinas virtuales separadas para Secreto, Ultra secreto, No clasificado, etc.
Se topó inmediatamente con un problema: los analistas no trabajan en Secreto primero y luego en Ultra secreto; ellos trabajan en todos los dominios a la vez y necesitan mover las cosas entre esos dominios. Lo mismo ocurre hoy con el ‘trabajo’ y el ‘juego’. La primera cosa que sucede con la virtualización del lado del cliente es que tengo correo electrónico en mi entorno de trabajo que necesito usar en mi mundo personal (o viceversa); así que me escribo a mi mismo o utilizo una memoria USB para transferir todo, y se pierde toda separación. La virtualización es solo una gran pérdida de dinero. NetTop todavía está alrededor, con un uso muy limitado en la comunidad de inteligencia, y ese es el lugar donde probablemente tenga mayor éxito”.
Mito 6: “TI debería alentar a los usuarios para que utilicen contraseñas aleatorias para aumentar la seguridad, y también deben exigir que las contraseñas se cambien por lo menos cada 30 días”.
La realidad, sostiene Kevin Haley, director de respuesta en Symantec Security, es que las “contraseñas aleatorias pueden ser fuertes, pero también tienen desventajas: por lo general son difíciles de recordar y de escribir. En realidad, es bastante fácil crear contraseñas que sean tan fuertes como las aleatorias, pero mucho más fáciles de recordar mediante el uso de algunas técnicas simples. Las contraseñas que sean de al menos 14 caracteres de longitud, que utilicen mayúsculas y minúsculas, dos números y dos símbolos suelen ser bastante fuertes, y pueden ser formuladas en una bonita frase fácil a recordar”. Y añade que si bien el vencimiento de 30 días para las contraseñas podría ser un buen consejo para algunos entornos de alto riesgo, a menudo no es la mejor política, porque un periodo tan corto de tiempo tiende a inducir a que los usuarios desarrollen patrones predecibles o que disminuya la eficacia de sus contraseñas. Una duración de 90 a 120 días es “más realista”, comenta.
Mito 7: “Cualquier virus de la computadora va a producir un síntoma visible en la pantalla”
“Para el hombre de la calle, los virus informáticos son un mito. Es decir, la mayor parte de lo que cree sobre el malware le viene de la ciencia ficción, la televisión y el cine”, señala David Perry, presidente de G Data Software North América. “Mi favorita es, probablemente, la idea de que cualquier virus informático produce un síntoma visible en la pantalla, mostrando cómo los archivos se derriten o haciendo que la computadora se incendie. Esto se extrapola hacia abajo hasta que la gente culpa a los virus por todo lo malo que pasa en sus computadoras”. Añade: “Y que la falta de problemas visibles significa que un sistema está, obviamente, libre de malware”.
Mito 8: “No somos un objetivo”
“Sobre todo se lo he oído a las víctimas”, señala Alan Brill, director gerente de ciber seguridad y la práctica de seguridad de la información en Kroll. “Ellos piensan que no valen la pena para los hackers. Otros dicen que no valen la pena porque son una pequeña empresa -que no están en el radar de nadie. Otros sostienen que no recogen los números del seguro social, datos de tarjetas de crédito u otra información ‘valiosa’? Por lo general están equivocados”.
Mito 9: “El software actual no es mejor de lo que solía ser en términos de los agujeros de seguridad”
“Hay un mucha gente diciendo que el software no es mejor debido a los agujeros en él”, señala Gary McGraw, director de tecnología de Cigital. Pero, afirma, “Ha mejorado bastante” y “la densidad de defectos está bajando”. Él señala que las prácticas de seguridad de codificación se entienden mucho mejor hoy que una o dos décadas atrás, y que las herramientas para ello están disponibles. “Sabemos qué hacer”, agrega McGraw. El punto que a veces se pasa por alto, dice, es que en comparación con la era de Windows 95, se ha escrito mucho software y “las millas cuadradas de código que estamos construyendo son más grandes que nunca”. El gran volumen de código es lo que hace parecer que está lleno de vulnerabilidades tal y como se han experimentado en las últimas décadas, pero es todo lo contrario. Y añade: “La perfección es imposible”.
Mito 10: “La transferencia de información sensible a través de la sesión SSL es segura”
“Las empresas suelen utilizar SSL para enviar información confidencial de clientes o socios, bajo el supuesto de que la transferencia a través de la sesión SSL es segura”, señala Rainer Enders, CIO para las Américas de NCP Engineering. “Pero cada vez más, han surgido vulnerabilidades durante este proceso”. Él comenta que el año pasado el Citigroup sufrió una brecha que puede ser atribuida a un problema en este sentido, y no es un caso aislado.
“Los investigadores suizos han publicado recientemente un memorando que describe una forma de reunir información sobre los datos transmitidos a través de un canal SSL mediante la explotación de una vulnerabilidad en las implementaciones de cifrado por bloques, tales como AES”. Él agrega que hay dudas sobre la seguridad de sesión SSL, y “tal vez la manera ideal de evitar este escollo es nunca utilizar la misma clave para cifrar dos documentos diferentes”. Ender también añade que otro de los mitos favoritos de seguridad tiene que ver con cualquier idea de que el uso de certificados de confianza de una entidad emisora es hermético. Afirma que los problemas del año pasado con falsos certificados fraudulentos han demostrado que es un mito.
Mito 11: “El software de seguridad de punto final es un producto básico”
Jon Oltsik, analista de Enterprise Strategy Group (ESG), señala que parecía que la mayoría de los profesionales de la seguridad de la empresa estaban de acuerdo con esta declaración acerca de los productos de seguridad de punto final, básicamente, cuando se les preguntó sobre ello en una encuesta de ESG. Pero Oltsik agrega que tiene que estar en desacuerdo con la idea de que todo el software de seguridad de punto final es básicamente lo mismo. “Creo que esto es un mito”, comenta. “Los productos de seguridad de punto final son muy diferentes en términos de niveles de protección y características/funcionalidad”. Oltsik añade que incluso piensa que la mayoría de las organizaciones no son conscientes de las capacidades de los productos de seguridad de punto final que han adquirido y “por lo tanto, no utilizan los productos de manera apropiada para una máxima protección”.
Mito 12: “Por supuesto, tenemos un firewall en nuestra red; por supuesto, estamos protegidos”
Kevin Butler, analista de seguridad de tecnología de la información en la facultad de ciencias médicas de la universidad de Arkansas, que asegura haber pasado una década como administrador de firewall o servidor de seguridad, señala que hay muchos mitos acerca de los firewalls. Reconociendo que podría haber creído en algunos de ellos en los últimos años, Butler señala que los que se destacan para él son los que dicen que “los firewalls siempre son una pieza de hardware” y “un firewall bien configurado le protegerá de todas las amenazas”.
Acerca de esta segunda, señala: “Nada dice hola como el contenido malicioso encapsulados en una conexión SSL que infecta a las estaciones de trabajo”. Otros mitos de firewall que él conoce incluye: “con un firewall, no hay necesidad de software antivirus”; y uno que realmente desata su ira, “la marca X de firewall protege incluso contra amenazas de día cero”. Acerca de esto, dice, “las nuevas explotaciones contra las protecciones de firewall se identifican más rápido de lo que se mitigan. Un servidor de seguridad no podrá ser nunca una solución “dispara y olvida” para la protección perimetral, ¡jamás!”.
Mito 13: “No debe enviar muestras de malware encontrados como parte de un ataque dirigido a renombrados vendedores o servicios de malware”
Joe Stewart, director de análisis de malware de Dell SecureWorks, señala que ha escuchado esta recomendación, que él considera como “asesoramiento deficiente”. Él comenta que la idea surgió debido a que, “en primer lugar, la teoría dice que el atacante puede estar monitoreando para detectar signos de su malware, y las muestras subidas durante una respuesta a un incidente le pondrá sobre aviso de que ha sido detectado”. Él señala que una razón secundaria sugerida algunas veces es que en un ataque dirigido, el malware puede tener pistas sobre quién es el objetivo, lo que lleva a la notificación no intencional del ataque.
Stewart señala que los argumentos en contra son: “El primer punto supone que el atacante tiene tiempo para ver estas cosas con regularidad. Eso no es probablemente el caso, ya que incluso en los ataques dirigidos, a menudo hay decenas de víctimas en una sola campaña, con el mismo atacante lanzando varias campañas al año. Los atacantes con un pequeño número de objetivos rara vez utilizan una cepa única de malware para cada objetivo -sino que rotan a través de una serie de troyanos preseleccionados a través del tiempo, ajustándolos en el camino para evitar la detección antivirus. Así que incluso si una muestra de malware aparece en uno de los sitios públicos de rastreo de malware, no hay garantía de que el atacante lo verifique; e incluso si lo hace, no hay garantía que tenga como objetivo encontrar la muestra y subirla”.
Stewart añade que hay un gran beneficio en compartir las muestras implicadas en los ataques dirigidos. Y en cuanto a que el malware revele los nombres de las instituciones afectadas, reconoce que “es posible, sin embargo, no se ve con frecuencia”. Y añade que el espionaje estatal/industrial se ha convertido en un “hecho de la vida moderna a través de Internet”, y nadie debería sorprenderse al escuchar que una empresa o gobierno ha sido blanco de un ataque “si tienen alguna información útil a otro estado-nación”. Stewart agrega que “en el largo plazo, tratar de mantener los informes quietos acerca de esta actividad, está perjudicando a todos menos a los atacantes”.
