La peor pesadilla de un CIO: Recibir una llamada de la Business Software Alliance (BSA) a través de la cual le notifican que algunos de los programas de Microsoft que utiliza su empresa podrÃan ser piratas.
Investiga y descubre que no solo tiene software ilegal, sino que fue vendido por una empresa que es manejada en secreto por nada menos que su propio administrador de sistemas TI, su empleado de confianza por siete años. Cuando empieza indagar a fondo las actividades de su administrador, encuentra una página pornográfica de pago que ha estado corriendo en uno de los servidores corporativos. Descubre también que ha descargado 400 números de tarjetas de crédito de los clientes desde el servidor de comercio electrónico.
¿PodrÃa haber algo peor? SÃ, el administrador es el único que tiene las contraseñas.
¿No puede creerlo? Pues sucedió, a decir un consultor de seguridad que fue llamado para ayudar a la vÃctima, una tienda de 250 millones de dólares e Pennsylvania. Nunca se supo de ello porque la empresa lo mantuvo en secreto.
A pesar de las noticias ocasionales sobre administradores de TI corruptos (¿recuerda a Terry Childs, el administrador de red que secuestró la red de la ciudad de San Francisco?), muchas empresas esconden este tipo de situaciones bajo la alfombra de una manera rápida y silenciosa.
La encuesta anual de la revista CSO, el Servicio Secreto de los Estados Unidos y CERT (un programa del Software Engineering Institute de la Universidad Carnegie Mellon) reveló que tres cuartas partes de las empresas que son vÃctimas de este tipo de fraudes los manejan internamente, señala Dawn Cappelli, directora técnica del equipo de gestión amenazas e incidencias del CERT. “Asà que sabemos que [lo que se hace público] es solo la punta del iceberg”, añade.
Sin embargo, al mantener las cosas tranquilas las empresas vÃctimas le niegan a otras la oportunidad de aprender de sus experiencias. CERT ha tratado de llenar ese vacÃo. Ha estudiado las amenazas internas desde 2001, recogiendo información sobre más de 400 casos. En su último informe del 2009 llamado “GuÃa del sentido común para la prevención y detección de amenazas internas†(descargar PDF – en inglés), que analiza más de 250 casos, CERT identifica algunos de los errores más frecuentes que cometen las empresas: depuración inadecuada durante el proceso de contratación, la insuficiencia de supervisión y seguimiento de los privilegios de acceso, y pasar por alto las banderas rojas en el comportamiento.
Pero las amenazas de los empleados de TI privilegiados son particularmente difÃciles de detectar. Por un lado, las actividades de empleados “nefastos†se ven igual que sus funciones regulares. Los empleados de TI rutinariamente “editan y escriben scripts, editan código y escriben programas, por lo que no aparenta una actividad anómala”, señala Cappelli. Y ellos saben dónde es que su seguridad es más débil y cómo cubrir sus huellas. No se puede confiar en la tecnologÃa, o cualquier medida de precaución para protegerse de los delincuentes corruptos de TI. Hay que pensar en grande.
“Se requiere mirar no solo lo que están haciendo en lÃnea, sino también lo que está sucediendo en el lugar de trabajo”, agrega Cappelli. “La gente realmente necesita entender los patrones, la historia detrás de los números”.
CIO fue a buscar algunas de esas historias detrás de los números, los incidentes que no han sido ampliamente reportados. Aunque las empresas vÃctimas no hablarán, los consultores de seguridad que ayudaron a limpiar la suciedad sà lo hacen.
Si bien cada historia tiene circunstancias únicas, juntas muestran algunos de los patrones tÃpicos que destaca CERT. Empleador, tenga cuidado.
Una empresa pirata
La historia del terror de la tienda de Pennsylvania comenzó a principios de 2008, cuando la BSA les notificó que Microsoft habÃa descubierto discrepancias en la concesión de las licencias, de acuerdo con John Linkous. Hoy en dÃa, Linkous es jefe de seguridad y cumplimiento de redes en eIQ Networks, una consultora de seguridad. Su experiencia con el incidente de esta tienda es de su trabajo anterior, cuando era vicepresidente de operaciones de Sabera, una consultora de seguridad que ya no existe.
Microsoft habÃa rastreado la venta del software sospechoso hasta un administrador de sistemas de una empresa cliente. Para los propósitos de esta historia, vamos a llamarlo “Ed”. Cuando Linkous y otros miembros del equipo de Sabera fueron convocados secretamente para investigar, descubrieron que Ed habÃa vendido a su emrpesa más de medio millón de dólares en software pirata de Microsoft, Adobe y SAP.
Los investigadores también notaron que el uso de ancho de banda era anormalmente alto. “Pensamos que era algún tipo de ataque basado en la red”, señala Linkous. Rastrearon la actividad hasta un servidor con más de 50 mil imágenes pornográficas fijas y más de 2,500 videos, de acuerdo con Linkous.
Además, una búsqueda forense de la estación de trabajo de Ed descubrió una hoja de cálculo que contenÃa cientos de números de tarjeta de crédito válidos del sitio de comercio electrónico de la compañÃa. Si bien no hubo indicios de que los números hayan sido utilizados, el hecho de que esta información estuviera contenida en una hoja de cálculo, implicaba que Ed estaba contemplando utilizarlos o venderlos a un tercero, de acuerdo con Linkous.
El director de finanzas -que habÃa recibido inicialmente la llamada de la BSA- y otros en el equipo directivo, temÃan lo que Ed pudiera hacer cuando lo confrontaran. Él era el único que sabÃa ciertas contraseñas administrativas -incluidas las contraseñas para el ruteador de la red principal / firewall, conmutadores de red, la VPN corporativa, el sistema de recursos humanos, la administración del servidor de correo electrónico, la administración de Windows Active Directory y la administración de escritorio de Windows.
Eso significaba que Ed podrÃa haber secuestrado casi todos los principales procesos comerciales de la compañÃa, incluyendo el sitio web corporativo, correo electrónico, sistema de información financiera y de planilla. “Este tipo tenÃa las llaves del reino”, agrega Linkous.
Asà que la compañÃa y la firma de Linkous pusieron en marcha una operación al estilo de Misión Imposible. Inventaron un ardid que requerÃa que Ed volara a California por una noche. El largo vuelo le dio al equipo de Linkous una ventana de aproximadamente cinco horas y media en la que Ed no podrÃa acceder al sistema. Trabajando tan rápido como podÃa, el equipo hizo un mapa de la red y reinició todas las contraseñas. Cuando Ed aterrizó en California”, el director de operaciones estaba allà para reunirse con él. Fue despedido en el acto”.
El costo para la empresa: Linkous estima que el incidente le costó a la compañÃa un total de entre 250 mil a 300 mil dólares, que incluye los honorarios de Sabera, el costo de hacer volar a Ed a la Costa Oeste en poco tiempo, el costo del litigio en contra de Ed, los costos asociados con la contratación de un administrador de red temporal y un nuevo CIO, y el costo de legitimar todas sus licencias de software.
Medidas preventivas: ¿Qué podrÃa haber evitado este desastre? Obviamente, por lo menos otra persona deberÃa de haber conocido las contraseñas. Pero más importante fue la falta de separación de funciones. La empresa tenÃa un pequeño equipo de TI (solo seis empleados), por lo que a Ed se le confiaron tanto las responsabilidades administrativas como las de seguridad. Eso significaba que se estaba supervisando a sà mismo.
La separación de funciones puede ser un desafÃo particularmente difÃcil para las empresas con poco personal de TI, reconoce Linkous. Él sugiere que las compañÃas pequeñas deben supervisar todo, incluyendo los registros, el tráfico de red y los cambios de configuración del sistema, y que los resultados sean evaluados por una persona distinta al administrador del sistema y sus subordinados directos. Lo más importante, señala, es dejar que la gente sepa que están siendo observados.
En segundo lugar, la empresa no verificó los antecedentes a fondo cuando contrató a Ed. En la investigación del CERT, 30% de los empleados que cometieron sabotaje en TI tenÃan antecedentes. De hecho, cualquier tipo de credenciales falsas deberÃa activar la alarma. Aunque la compañÃa habÃa hecho una revisión de los antecedentes penales de Ed (que estaba limpio), no verificó las credenciales en su currÃculum, algunas de las cuales eran fraudulentas, como se descubrió más tarde. (Por ejemplo, el no tenÃa la maestrÃa que aseguraba tener).
En tercer lugar, la personalidad de Ed podrÃa haber sido vista como una señal de alerta. “ParecÃa creer que era más inteligente que todos los demás en la sala”, indica Linkous, quien se reunió cara a cara con Ed haciéndose pasar por un proveedor de ERP antes de la operación encubierta. La arrogancia de Ed hizo que Linkous recordara a los infames ejecutivos de Enron. “Estaba muy confiado, arrogante y muy desdeñoso con la gente”.
CERT ha comprobado que los corruptos suelen tener personalidades agradables. “No tenemos ningún caso en que, después de los hechos, la gente no diga, ‘No puedo creerlo -era un buen tipo'”, añade Cappelli.
Empleada indignada
“Sally”, una administradora de sistemas y de base de datos, habÃa estado con una compañÃa de productos de consumo Fortune 500 durante diez años y fue una de sus empleadas de TI de mayor confianza y de las más capaces, de acuerdo con Larry Ponemon, fundador y presidente del Instituto Ponemon, una firma de investigación en seguridad TI.
“Sally”, una administradora de sistemas y de base de datos, habÃa estado con una compañÃa de productos de consumo Fortune 500 durante diez años y fue una de sus empleadas de TI de mayor confianza y de las más capaces, de acuerdo con Larry Ponemon, fundador y presidente del Instituto Ponemon, una firma de investigación en seguridad TI.
Ella era conocida como bateadora emergente -alguien que era capaz de ayudar a resolver todo tipo de problemas. Por esa razón, habÃa acumulado muchos privilegios en la red de alto nivel que iban más allá de lo que su trabajo requerÃa. “Hay una tendencia a dar más privilegios de los que necesitan a estas personas, porque nunca se sabe cuándo tendrá que estar ayudando a alguien más”, señala Ponemon.
A veces trabajaba en casa, con su computadora portátil, que habÃa configurado con privilegios de alto nivel. La cultura de la compañÃa fue tal, que a estrellas de TI como Sally se les dio un trato especial, según Ponemon. “La gente de TI realizó una carrera final alrededor de determinadas polÃticas”, agrega. “PodÃan decidir qué herramientas querÃan en sus sistemas”.
Pero cuando la empresa decidió tercerizar la mayorÃa de sus operaciones de TI a la India, Sally no se sentÃa tan especial. Aunque la empresa aún no lo habÃa notificado formalmente al personal de TI; según Ponemon, era obvio para los privilegiados de TI que el tiempo se acaba para la mayorÃa de los empleados del departamento.
Sally querÃa venganza. Antes de que oficialmente soltara la operación, plantó bombas lógicas que causaron que racks completos de servidores se bloquearan una vez que ella se habÃa ido.
Al principio, la compañÃa no tenÃa ni idea de lo que estaba pasando. Pasaron a sus servidores redundantes, pero Sally habÃa plantado bombas en esos también. La empresa tenÃa dificultades para contener los daños ya que no seguÃan ninguna rima o razón aparente.
“Un empleado que está enojado puede hacer mucho daño de una manera que es difÃcil de descubrir de inmediato y difÃcil de rastrear más tarde”, señala Ponemon.
Finalmente, siguieron el sabotaje hasta Sally y se le enfrentó. A cambio de un acuerdo con Sally para que ayude a reparar los sistemas, la empresa no tomó ninguna acción judicial. Además, Sally tuvo que aceptar no hablar públicamente sobre el incidente. “No querÃan que ella vaya al programa de Oprah y hable acerca de cómo rompió la columna vertebral de una compañÃa Fortune 500”.
El costo para la empresa: El costo total estimado: siete millones de dólares, lo que incluyó cinco millones de dólares en costos de oportunidad (tiempo de inactividad, la interrupción del negocio y la pérdida potencial de clientes) y dos millones de dólares en honorarios de consultores de seguridad y análisis forense, entre otras cosas.
Medidas preventivas: ¿Qué hizo mal la empresa? En primer lugar, el incidente es un ejemplo clásico de la “escalada de privilegios”, que es lo que sucede cuando se dan privilegios a una persona para manejar una tarea especÃfica, pero no se revocan cuando la persona ya no los necesita, según Ponemon.
En segundo lugar, una cultura de tÃtulos no llevó a la separación de funciones y muy poca supervisión de TI. Por eso, la administración no percibió una importante señal de alerta. Tras el incidente, la compañÃa descubrió que Sally habÃa “perdido” once computadoras portátiles en los últimos tres años. El personal del servicio de asistencia era consciente de ello, pero nadie lo reportó a la gerencia, en parte debido al estatus de Sally en la organización. Nadie sabe lo que hizo con las computadoras portátiles, podrÃa ser que no se trató más que de un descuido -pero “eso es un problema de por sÃ, si usted es un administrador de sistemas”, apunta Ponemon.
En tercer lugar, dada la tensa atmósfera creada por la decisión de tercerizar, la empresa deberÃa haber sido más vigilante y proactiva en el seguimiento de los empleados potencialmente enojados.
Incluso si no le ha anunciado nada a sus empleados, es un error pensar que no saben lo que está pasando, dice Ponemon. “El trabajador promedio que maneja archivos sabe en un nanosegundo cuando el CEO firma el contrato de outsourcing”, agrega. Si aún no está supervisando a su personal de TI, ahora es momento de empezar. Para obtener los mejores resultados, ponga en marcha el programa con un pronunciamiento muy público que ahora está haciendo el seguimiento del personal.
Según el CERT, muchos casos de sabotaje son el resultado de un empleado descontento actuando por venganza. Y esos actos pueden ocurrir en un abrir y cerrar de ojos, como ilustra la siguiente historia.
El tiro por la culata
Cuando esta compañÃa Fortune 100 mejoró su seguridad, hizo un descubrimiento desagradable. Uno de sus administradores de sistema de alto nivel, que habÃa trabajado allà por lo menos ocho años, habÃa agregado subrepticiamente una página al sitio web de comercio electrónico de la empresa. Si se escribÃa la dirección en la empresa seguido de una determinada cadena de caracteres, llegaba a una página donde este administrador, a quien llamaremos “Phil”, estaba haciendo un buen negocio vendiendo equipos piratas de televisión satelital, principalmente de China, de acuerdo con Jon Heimerl, director de seguridad estratégica para Solutionary, un proveedor de servicios administrados de seguridad contratado para abordar el problema.
La buena noticia: con la mejora de la seguridad se capturó al autor. La mala noticia: un defectuoso proceso de despido le dio la oportunidad de tomar una foto de despedida.
Siendo un vendedor menorista de equipos de alta tecnologÃa, la empresa querÃa deshacerse de Phil y el sitio web tan pronto como sea posible, ya que temÃa demandas de los fabricantes de equipos de satélite. Pero mientras el gerente y los empleados de seguridad estaban en camino a la oficina de Phil, un representante de recursos humanos lo llamó y le dijo que se quede en el mismo sitio. Heimerl no está seguro exactamente de lo que la persona de recursos humanos dijo, pero al parecer fue suficiente para que Phil adivinara que el juego se habÃa acabado.
Ya conectado a la red corporativa, eliminó inmediatamente el anillo de claves de cifrado corporativo. “Cuando estaba presionando la tecla eliminar, su jefe y la seguridad se presentaron y le dijeron: “Deje de hacer lo que está haciendo ahora mismo, y aléjese de la computadora”, de acuerdo con Heimerl. Pero ya era demasiado tarde.
El archivo tenÃa todas las claves de cifrado para la empresa, incluyendo la clave de depósito en garantÃa, una llave maestra que permite a la empresa poder descifrar cualquier archivo de cualquier empleado. La mayorÃa de los empleados mantienen sus propias claves de cifrado en sus sistemas locales. Sin embargo, el llavero tenÃa las únicas copias de las claves de cifrado para cerca de 25 empleados -la mayorÃa de los cuales trabajaban en los departamentos jurÃdicos y de contratos- y la única copia de la clave de cifrado corporativo. Eso significaba que cualquier cosa que los empleados habÃan cifrado en los últimos tres años, desde que habÃan empezado a utilizar el sistema de encriptación indescifrable, fue permanentemente borrado.
Costo para la empresa:Heimerl no ha calculado cuánto dinero le costó a la compañÃa, pero estima que la pérdida del archivo de claves ascenderÃa la pérdida de la productividad de 18 personas-año, teniendo en cuenta tanto el trabajo que fue necesarios para crear archivos que están permanentemente encriptados y el tiempo dedicado a volver a crear los materiales desde borradores, viejos e-mails y otros documentos sin cifrar.
Medidas preventivas: Centrarse únicamente en lo que sucedió. Después de descubrir el sitio web corrupto, la empresa cometió dos errores cruciales, señala Heimerl. Debió haber cerrado el acceso de Phil inmediatamente después de descubrir sus actividades. Pero los directivos también fueron vulnerables al no mantener una copia de seguridad segura de la información empresarial crÃtica. (Irónicamente, la compañÃa pensó que el llavero era tan sensible que no se debÃa hacer copias.)
La mejor defensa es multifacética
La lección general de estas historias de horror es que no hay una sola cosa que pueda protegerlo de los delincuentes de TI. Es posible que tenga una gran seguridad técnica -como el sistema de seguridad de varios niveles que en última instancia detectaron el sitio sin autorización de Phil- y sin embargo, un simple error de Recursos Humanos puede llevarlo al desastre. No puede haber grandes banderas rojas en términos de comportamiento o personalidad que pasen desapercibidos -como las portátiles perdidas de Sally.
La lección general de estas historias de horror es que no hay una sola cosa que pueda protegerlo de los delincuentes de TI. Es posible que tenga una gran seguridad técnica -como el sistema de seguridad de varios niveles que en última instancia detectaron el sitio sin autorización de Phil- y sin embargo, un simple error de Recursos Humanos puede llevarlo al desastre. No puede haber grandes banderas rojas en términos de comportamiento o personalidad que pasen desapercibidos -como las portátiles perdidas de Sally.
Es una combinación del control de seguridad técnica y la observación humana lo que ofrece la mejor protección, señala Cappelli de CERT.
Y, sin embargo, es difÃcil convencer a las empresas de hacer las dos cosas. Los ejecutivos tienden a pensar que estos problemas pueden ser resueltos por la tecnologÃa en sÃ, al menos en parte, porque oyen a los proveedores de herramientas de monitoreo y otros programas de seguridad, alegando que sus herramientas ofrecen protección. “Estamos tratando de averiguar cómo hacer llegar el mensaje a las personas de nivel C, lo cual no es solo un problema de TI”, señala.
Es un mensaje difÃcil de escuchar. Y una lección que muchas empresas no aprenden a excepción de que sea a la mala. Incluso si más empresas fueran sinceras con los detalles de sus historias de horror, la mayorÃa de los CEO todavÃa creerÃa que eso nunca les pasará, hasta que finalmente suceda.
