En la mañana del pasado 16 de octubre, investigadores revelaron al mundo un nuevo “exploit” llamado KRACK que aprovecha las vulnerabilidades de seguridad de Wi-Fi y permite a los invasores leer y modificar los datos en redes inalámbricas. Las vulnerabilidades son en el protocolo de seguridad más utilizado actualmente en las redes Wi-Fi, el WPA2, y con ellas se pueden descifrar los datos, hacer ataques de repetición de paquetes, secuestrar conexiones TCP e inyectar tráfico HTTP, entre otras acciones.
El problema afecta a prácticamente todos los dispositivos con conexión Wi-Fi, ya sean computadoras con diferentes sistemas operativos, enrutadores, dispositivos móviles o de Internet de las Cosas. Lamentablemente, no está claro todavía si las vulnerabilidades ya están siendo explotadas por los delincuentes cibernéticos alrededor del mundo.
Por el momento, modificar la contraseña de los dispositivos o redes no hace ninguna diferencia, como tampoco ayudará cambiar a otros protocolos de seguridad Wi-Fi (WPA o WEP). Después de todo, el WPA también es vulnerable a estos ataques, y el WEP tiene seguridad aún más débil.
La pregunta más importante ahora es ¿qué hacer?
Las siguientes recomendaciones para los Administradores de Seguridad pueden ayudar a mitigar los riesgos asociados con las nuevas vulnerabilidades encontradas:
Análisis de la situación actual: En este momento, es vital buscar información de los fabricantes de cada uno de los productos utilizados en la red para entender si son vulnerables o no, así como para identificar si el fabricante ha publicado una actualización para solucionar el problema. Un grupo de trabajo es necesario para garantizar que dicha información esté rápidamente a la mano y ayude en la toma de las decisiones siguientes. También es fundamental mantenerse atento a las actualizaciones de los diferentes productos y asegurar que las vulnerabilidades se corrijan tan pronto como sea posible.
Cifrado integral: En sistemas críticos, el uso de una capa adicional de cifrado integral entre las computadoras de uso personal y servidores es una alternativa a considerar. Hay soluciones en el mercado que ofrecen cifrado integral a través de agentes de software que se pueden instalar de modo automático y remoto, cuya gestión está asociada a la identidad de los usuarios en la red, facilitando la administración y reduciendo costos.
Micro-segmentación: Prepárese para lo peor y tenga en cuenta que el invasor puede tener éxito al infiltrar un malware fuera del alcance de sus líneas de defensa tradicionales. Trabajar con el llamado Campo Reducido de Confianza (Reduced Scope of Trust o RSOT), según Gartner, es la mejor alternativa para aislar sistemas sensibles. Un principio similar es defendido por Forrester Research con su concepto de “Zero Trust”. Actualmente, esta metodología puede ser fácilmente implementada por soluciones avanzadas de micro-segmentación, que es la seguridad definida por software. Ella también puede incluir el uso de cifrado integral y técnicas para hacer los sistemas “invisibles” a análisis utilizados por los invasores. El resultado final es que, si un sistema crítico cualquiera (por ejemplo, una base de datos de tarjetas de crédito, sistemas de pago, sistemas de relacionamiento con clientes, etc.) es aislado mediante micro-segmentación, seguirá aislado y protegido contra malware infiltrado en la red.
Seguridad de aplicaciones móviles: Con los ataques mencionados, se aumentan los riesgos de la contaminación por malware en dispositivos móviles que puede causar incidentes de seguridad. El consumidor de una empresa es el empleado de otra y el malware que, inadvertidamente, se instaló en su smartphone en empresas que adoptan modelos BYOD (Bring Your Own Device o Traiga su Propio Dispositivo), es el malware “traído” a la empresa. Esto tiene un gran potencial para generar un incidente de seguridad de grandes proporciones. Educar a los usuarios internos resulta fundamental, pero también es esencial garantizar que las aplicaciones móviles y los recursos de la empresa estén debidamente protegidos. Soluciones de seguridad para aplicaciones móviles que utilizan conceptos de Application Wrapping (Envoltorio de Aplicaciones) son capaces de proporcionar seguridad a los datos confidenciales almacenados, transmitidos y procesados por las aplicaciones de negocio, incluso en ambientes hostiles como un smartphone infectado con malware.
Monitoreo de incidentes: Mantenga procesos de monitoreo de incidentes e inteligencia de amenazas para asegurar que solamente alertas pertinentes sean emitidas, ya que hoy la complejidad de los entornos tecnológicos genera una gran cantidad de eventos y hace difícil mantener el foco sobre lo que es realmente pertinente, algo como buscar una aguja en un pajar. Herramientas de correlación de eventos y plataformas SIEM (Security Incident & Event Management o Gestión de Incidentes y Eventos de Seguridad) son cruciales para hacer frente a este y otros futuros retos de seguridad cibernética. Técnicas de Análisis de Seguridad –seguridad a través de análisis avanzado de datos–, que identifican comportamientos anómalos y generan alertas independientemente de firmas de ataques conocidos, son una capa adicional para SIEM e igualmente importante.
Añada a eso profesionales calificados en operaciones 24×7, bases de reglas de correlación y análisis robusto de datos, así como mecanismos para mejora continua de estas bases, procesos maduros para análisis, confirmación y priorización de incidentes para asegurar tratamiento adecuado, además de respuesta ante incidentes a través de procesos, herramientas y profesionales de alta calidad.
Seguridad con análisis avanzado de datos: Herramientas de análisis están siendo utilizadas por departamentos de Marketing y Desarrollo de Negocios para evaluar el comportamiento y la experiencia que los consumidores comparten en redes sociales. La misma tecnología puede utilizarse para monitorear las diferentes redes sociales en búsqueda de actividades delictivas, no sólo identificar comentarios relacionados con exploits, sino también ofertas de venta de datos robados, divulgación de dispositivos de red vulnerables, contraseñas y otra información sensible. Es común que delincuentes inexpertos también utilicen las redes para vanagloriarse de sus logros. Equipos de seguridad pueden contar con soluciones que hacen el monitoreo por palabras clave en modo 24×7 y en diferentes idiomas para ser notificadas cuando este tipo de mensajes es compartido. Información sobre el perfil, la hora y la ubicación del usuario que publicó la información puede ayudar en la identificación y la sanción del criminal.
Gestión de riesgos: Asegúrese que su proceso de Gestión de Riesgos evalúe constantemente cómo las nuevas amenazas, tecnologías y cambios en el entorno empresarial se reflejan en el nivel de los riesgos organizacionales. Dichos procesos deben garantizar que los riesgos serán identificados y evaluados, y que apoyarán la toma de decisiones sobre cuáles controles de seguridad son necesarios para mantenerlos siempre dentro de niveles aceptables para la organización.
El reciente estudio Unisys Security Index 2017 reveló que el ciudadano mexicano está más preocupado por la seguridad en Internet que por su capacidad de cumplir compromisos financieros.
La preocupación por temas del mundo virtual, como ataques de hackers y virus cibernéticos, fue apuntada por un 77% de los encuestados, y las transacciones en línea fueron citadas por un 72% –ambas consideradas grandes preocupaciones. Por otro lado, temas del mundo “físico”, como la seguridad personal o la seguridad financiera, se destacaron por un 77% y un 90% de los encuestados, respectivamente.
Es importante tener en cuenta que las entrevistas para la realización del citado reporte se llevaron a cabo antes de los recientes incidentes de seguridad cibernética divulgados en gran escala, como WannaCry y Petya. De esta manera, es posible que la preocupación acerca de los problemas en línea sea actualmente aún mayor que la identificada en el periodo de la realización de la encuesta.
Estos datos son bastante reveladores, ya que Brasil es conocido por alarmantes estadísticas de violencia y actualmente enfrenta una tasa de desempleo récord, viviendo el tercer año de crisis política y económica sin precedentes que afecta la seguridad financiera de todos. Si las preocupaciones por la seguridad en el uso de Internet es aún mayor que la preocupación por estos otros temas, tenemos un mensaje claro: hay una crisis de confianza de los usuarios de Internet en los servicios en línea.
El ciudadano que utiliza servicios públicos digitales, así como el consumidor que compra productos y servicios digitales de las empresas no acredita que sus datos estén protegidos. Con los datos del estudio, no es posible determinar o inferir cuál es el impacto de la falta de confianza en el uso de los servicios digitales, pero es razonable asumir que él existe y es importante.
Es decir, hay miles de organizaciones públicas y privadas que están invirtiendo miles de millones en tecnología y adoptando la Transformación Digital para ofrecer servicios innovadores y beneficios para ciudadanos y consumidores. Sin embargo, muchas no están cosechando los resultados esperados, y la razón –al menos en parte– proviene de la desconfianza de los brasileños relacionada con la seguridad de sus datos.
¿Cómo revertir esta percepción de inseguridad? ¿Cómo recuperar la confianza?
En primer lugar, está el aspecto de cómo se percibe la seguridad. Deben adoptarse acciones de comunicación y mecanismos visibles (pero que no sean inconvenientes para la experiencia del usuario). Sin embargo, el más importante es asegurar que la confianza sea bien merecida y que la seguridad percibida no sea ilusoria. Esto es posible a través de medidas adecuadas que tengan por objetivo el aumento de la seguridad real.
Desde el punto de vista estratégico, es importante garantizar que elementos de seguridad sean una parte integral de las decisiones de negocios y de nuevos proyectos desde la concepción, lo que consiste en dar voz al departamento de seguridad de la información y no limitarlos a decisiones operacionales en el campo tecnológico.
Desde un punto de vista táctico, es crucial adoptar medidas de prevención (por ejemplo, la tecnología de micro-segmentación), pero es relevante no limitarse sólo a ellas. Es necesario ampliar la seguridad para predicción, detección y respuesta ante incidentes. Un reciente estudio de Gartner estima que los presupuestos de seguridad deben pasar por una transformación en los próximos años, con una fuerte aceleración de las inversiones en herramientas de predicción, detección y respuesta. Esas herramientas representarán en 2020 el 60% del presupuesto total de seguridad, superando así el presupuesto de prevención. Esto sucede en un mundo de amenazas cada vez más sofisticadas. Prevenir seguirá siendo imprescindible, pero no será suficiente.
Algunos ejemplos de tecnologías de predicción e incluso detección son el Análisis de Seguridad, Aprendizaje Automático e Inteligencia de Amenazas Cibernéticas (Security Analytics, Machine Learning y Cyber Threat Intelligence). Para respuesta ante incidentes, hay enfoques innovadores muy eficaces, como Arquitectura Adaptable de Seguridad, que dinámicamente cambia la arquitectura de red para reaccionar (aislarse) a amenazas.
Desarrollar la confianza de ciudadanos y consumidores es un punto clave en el proceso de Transformación Digital. En ese escenario, la seguridad funciona como un facilitador de la innovación, y no como una barrera.
Acciones en el nivel estratégico, como la aproximación entre las áreas de seguridad y de negocios, así como en el nivel táctico, favoreciendo la predicción o detección y respuesta ante incidentes, proporcionarán más seguridad real y, en última instancia, apoyarán el aumento de la confianza y de la adhesión a plataformas digitales en todo el país, un beneficio para el conjunto del mercado, la población y el desarrollo tecnológico.
____________
El autor de este artículo, Leonardo Carissimi, es Director de Soluciones de Seguridad de Unisys en América Latina.