Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Informe OBS: Ciberseguridad y Hackers

81 views

Published on

Informe de investigación sobre el plano cibernético o ciberespacio. De esta forma, toda la estructura de defensa local (o física) a la que estábamos acostumbrados se convierte en una estrategia de ciberdefensa y se empieza a acuñar el concepto de ciberseguridad para hacer referencia a todas las medidas de protección y defensa que deben emplearse en el plano cibernético.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Informe OBS: Ciberseguridad y Hackers

  1. 1. Ciberseguridad y hackers obs-edu.com Vicenç Oliveras Profesor de OBS Business School Septiembre, 2019 Partners Académicos:
  2. 2. 2
  3. 3. Introducción ¿Qué es la ciberseguridad? ¿es necesaria? Ataques cibernéticos Evolución de los ataques cibernéticos y de la ciberseguridad Prevención de los ataques cibernéticos y la figura del hacker Empresas que tienen contratados hackers Próximas tendencias de ciberataques El futuro de la ciberseguridad Conclusiones Referencias Bibliográficas Capítulo 1 Capítulo 2 Capítulo 3 Capítulo 4 Capítulo 6 04 09 11 14 17 22 29 Índice Capítulo 8 Capítulo 9 Capítulo 7 Capítulo 5 19 06 27 3obs-edu.com
  4. 4. 4
  5. 5. - Departamento de Seguridad IT en Ajuntament de Barcelona - CISA (Certified Information System Auditor) y ISO 27001 Lead Auditor - Máster en Seguridad y Protección de Datos.Universitat Autónoma de Barcelona - Licenciado en Informática.Universitat Autónoma de Barcelona Autor Vicenç Oliveras 5obs-edu.com
  6. 6. Capítulo 1 Introducción 6
  7. 7. Desde los inicios de la historia,siempre ha existido una pugna entre aquellos que tenían la información y entre los que deseaban tenerla.Los primeros definían e implementaban toda una serie de medidas físicas para la protección de la información, mientras que los segundos tenían el objetivo de encontrar rendijas por las que evitar estas medidas de seguridad y así poder acceder a esta. Esta pugna se remonta hasta antes de la aparición de la informática, en los años o en la época, cuando consistía en obtener planos de castillos y fortalezas. Posteriormente, con la llegada de la informática, la información se fue convirtiendo en un activo cada vez más importante, debido al incremento en la capacidad de almacenaje y la obtención de la misma, aumentando su valor proporcionalmente a estas capacidades. La irrupción de Internet y la consiguiente globalización han dado paso a acceder a informaciones a las que anteriormente las barreras que imponían el espacio o el tiempo necesario para su obtención hacían desistir en el intento. Al proceso de globalización de los mercados hay que añadir un nuevo elemento que no es otro que el concepto de movilidad, que comporta la posibilidad o la necesidad de poder acceder a la información desde cualquier lugar y en cualquier momento. Para poder facilitar esta movilidad,ya han entrado a formar parte de la ecuación los dispositivos móviles, que utilizando Internet permiten a las personas tener acceso a diferentes espacios, tales como: - Los sistemas de información corporativos desde fuera de su lugar habitual de trabajo (dentro o fuera de los límites de la organización). - Las administraciones públicas. - Las plataformas de compras online, la banca online, etc. Además, la apertura de las organizaciones al mundo globalizado, y en concreto a Internet, supone una mayor exposición de la información almacenada a un número ingente de posibles candidatos a querer obtenerla. Este nuevo paradigma traslada esta pugna del plano físico hacia el plano cibernético o ciberespacio. De esta forma, toda la estructura de defensa local (o física) a la que estábamos acostumbrados se convierte en una estrategia de ciberdefensa y se empieza a acuñar el concepto de ciberseguridad para hacer referencia a todas las medidas de protección y defensa que deben emplearse en el plano cibernético. 7obs-edu.com
  8. 8. Antes de empezar, deberíamos establecer qué entendemos por Ciberseguridad. Esta tarea no resulta sencilla porque existen variadas definiciones de este concepto. Por su parte,ISACA1 . define la ciberseguridad como: “Protección de activos de información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados”. Esta definición se podría completar con la que el Centro Criptológico Nacional2 realiza de los conceptos de Activo y de Sistema de información, definiéndolos como: “Activo – Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos,recursos físicos y recursos humanos”. “Sistema de Información - Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar,compartir,distribuir,poner a disposición,presentar o transmitir“. Hasta hace unos años, solamente se hablaba de seguridad de la información puesto que las diferentes amenazas que podían plantearse, lo eran de forma localizada y con unas características determinadas.Dado que los diferentes tipos de ataque requerían de procedimientos y herramientas que les eran propios, las medidas de seguridad para proteger los diferentes canales de ataque eran predecibles. Capítulo 2 ¿Qué es la ciberseguridad ¿Es necesaria? 1 Information Systems Audit and Control Association – Asociación de Auditoría y Control sobre los Sistemas de Información 2 Definiciones contenidas en la Guía CCN-STIC-800 - ENS – Glosario de Términos y Abreviaturas 8
  9. 9. Sin embargo, hoy en día todos, o prácticamente todos los ataques pueden llevarse a cabo sentados tranquilamente delante de un ordenador, lo cual dificulta la adopción de las medidas oportunas para su protección. Este hecho, conjuntamente con el aumento de las capacidades (velocidad de proceso, capacidad de almacenaje,etc.) de los equipos usados para estos fines,así como la mejora de las redes de comunicaciones (Internet de banda ancha, fibra óptica…) pueden ser un factor que favorezca la mejora de los ataques existentes o la aparición de nuevos ataques. No se puede olvidar un último factor que, relacionado con los aspectos de movilidad,puedeconvertirseenotropuntodeentradaalossistemascorporativos, y que no es otro que el uso de conexiones remotas bajo protocolo RDP (Remote Desktop Protocol) que ofrece al empleado que se encuentra fuera de las oficinas un acceso a un escritorio como si se encontrara sentado en su oficina. Aunquellegadosaestepuntosepuedatenerlasensacióndequelaciberseguridad consiste en protegernos de los ataques exteriores, no se puede olvidar que para que unos (los “atacantes”) puedan entrar, los otros (los “atacados”) deben haber dejado una“puerta abierta”. Muchas veces no se tiene presente que los recursos expuestos a Internet se convierten rápidamente en objetivo de ataques indiscriminados,escaneos y todo tipo de malos tratos, de forma que si no disponen de las medidas de seguridad adecuadas se acaban convirtiendo en un problema para la organización. Así, tal y como se establece en el documento Stronger Cybersecurity Starts with Data Management publicado por el International Institute for Analytics3 , la industria de la ciberseguridad está cambiando en cierta manera sus objetivos y sus prioridades. 3 https://www.sas.com/content/dam/SAS/en_us/doc/research2/iia-stronger-cybersecurity- starts-with-data-management-108342.pdf 9obs-edu.com
  10. 10. Este cambio de foco no significa que se abandone el campo de la prevención, puesto que es importante impedir que los atacantes puedan penetrar el perímetro de seguridad de nuestra organización, sino que, habida cuenta de que los atacantes cada vez están más capacitados para poder superar las medidas de seguridad preventiva más sofisticadas,la criticidad se traslada al hecho de poder detectar lo más rápido posible si un atacante ha podido evitar las medidas de seguridad implantadas,y así poder detenerlo antes de que cometa algún daño,o que al menos éste sea el menor posible. Es por ello que la industria de la ciberseguridad está invirtiendo mayores esfuerzos en cómo detectar a un atacante que ha conseguido superar las líneas de defensa que en fortalecer estas líneas. También influye el hecho de considerar que un posible atacante no es peligroso mientras se encuentre fuera del perímetro, albergando la esperanza de que se aburra o se canse de intentar superar las barreras de defensa. Con este cambio de paradigma, los analistas de seguridad pueden concentrarse en la monitorización del comportamiento de la red, pudiendo detectar rápidamente aquellos dispositivos que se comportarán de forma anómala o extraña, focalizando así rápidamente el análisis de los motivos de dicho comportamiento de forma mucho más rápida y eficaz. 10
  11. 11. 4 Según https://es.wikipedia.org/wiki/Ciberataque 5 Según https://news.sophos.com/es-es/2019/03/25/informatico-despedido-elimina-23- servidores-aws-de-su-antigua-empresa/ Un ataque cibernético (o ciberataque) se puede definir como: “cualquier tipo de maniobra ofensiva hecha por individuos u organizaciones que atacan a sistemas de información como lo son infraestructuras, redes computacionales o bases de datos que están albergadas en servidores remotos por medio de actos maliciosos usualmente originados de fuentes anónimas que también roban, alteran o destruyen un blanco específico mediante hackeo de un sistema vulnerable.”4 Se tiende a tener la sensación de que, al hablar de ataques cibernéticos, estos se producen porque el atacante, que se encuentra fuera del perímetrodeseguridaddelaorganizaciónobjetivo,pretendesobrepasar las defensas del perímetro y acceder a las redes y sistemas internos de la organización. Sin embargo, esto no es siempre así, puesto que un empleado descontentopodríalanzarunataquecontralossistemasdeinformación de la organización, pero desde dentro. De esta manera, tiene una cierta ventaja porque ya no debe preocuparse de las defensas perimetrales y focalizarse directamente en los sistemas que desea atacar. Como ejemplodeataquesdesdedentrodelaorganización, encontramos la noticia que publicó la empresa Sophos, en la que bajo el titular “Informático despedido elimina 23 servidores AWS de su antigua empresa”5 se comentaba lo siguiente: Capítulo 3 Ataques cibernéticos 11obs-edu.com
  12. 12. “Un informático ha sido encarcelado después de que fuera despedido por haber tenido un rendimiento muy bajo en las últimas cuatro semanas. El motivo de su encarcelamiento fue apropiarse de las credenciales de un antiguo compañero, con las que se conectó a las cuentas Amazon Web Services (AWS) de su antigua empresa y eliminó 23 servidores. (…) El resultado para la empresa supuso pérdidas de grandes contratos con empresas del transporte. (…) el suceso causó unas pérdidas estimadas de 580.000€.” En este caso,cuando el ataque se produce desde dentro del perímetro de seguridad, las barreras de seguridad preventiva no sirven más que para poder detectar una posible fuga de información. Es por ello que no hemos de focalizar únicamente los esfuerzos en proteger nuestros sistemas de ataques externos, que también, sino que hemos de tomar las medidas necesarias para evitar la presencia de “empleadosdescontentos”quepuedenserelprincipalfocodeproblemas de seguridad generados desde dentro de la propia organización. 12
  13. 13. Desde el año 2017 hasta la actualidad se viene observando un cambio de estrategia por parte de los ciberatacantes que, según puede observarse en los informes emitidos por las principales compañías del sector, están empezando a abandonar los ataques ruidosos (con mucha repercusión mediática) para ir preparando ataques más silenciosos (sin tanta repercusión mediática pero igual de efectivos). Dentro del grupo de ataques ruidosos se pueden incluir WanaCry6 y Peyta7 ,que tomaban posesión de los equipos infectados,dándose a conocer de forma muy ostensible (pantallas,mensajes con información de cómo liberar previo pago de una suculenta cantidad de dinero, etc.). Y en los ataques s ilenciosos se pueden encontrar el cryptojacking (comprometer un equipo con el objetivo de utilizar para minar cryptomoneda, o lo que sería lo mismo, generar criptomoneda), los ataques a protocolos RDP, y finalmente el Ramsomware As a Service, que serían los ataques estrella del año 2018. Pero como se ha mencionado anteriormente,si un atacante puede tener éxito en su cometido es básicamente porque la entidad atacada, voluntaria o involuntariamente, ha dejado una puerta abierta. Capítulo 4 6 Los ataques ransomware de la variedad WannaCry (en inglés WannaCry ransomware attack o Wanna Cry Doble Pulsar Attack), son ataques informáticos que usan el criptogusano conocido como WannaCry (también denominado WannaCrypt, WanaCrypt0r 2.0, Wanna Decryptor) y están dirigidos al sistema operativo Windows de Microsoft. Durante el ataque, los datos de la víctima son encriptados, y se solicita un rescate económico pagado con la criptomoneda Bitcoin para permitir el acceso a los datos. El ataque empezó el viernes 12 de mayo de 2017 y ha sido descrito como sin precedentes en tamaño, infectando más de 230.000 computadoras en más de 150 países (https://es.wikipedia.org/wiki/Ataques_ransomware_WannaCry). 7 Los ataques de ransomware Petya comenz aron a infectar computadoras el martes 27 de junio de 2017 en varios países (Rusia, Ucrania, Francia, India y Estados Unidos entre otros), y exigen un rescate de 300$; Peyta no han sido diseñado con la intención de restaurar las computadoras. (https://thehackernews.com/2017/06/petya-ransomware-wiper-malware.html). Evolución de los ataques cibernéticos y de la ciberseguridad 13obs-edu.com
  14. 14. 14 Según determina la empresa Panda en su documento “Informe anual PandaLabs 2018”, se calcula que aproximadamente un 33% del presupuesto de seguridad se destina a la protección del endpoint, que es el dispositivo donde se puede encontrar la información más valiosa para el atacante, puesto que almacena información relativa a las credenciales de usuario,de manera que si se consigue comprometer este dispositivo se pueden obtener esas credenciales que posteriormente van a servir al atacante para poder atacar, ya de forma interna, a otras redes y/o sistemas de la organización. Como puede apreciarse en la Figura 1, los perfiles de los atacantes han ido evolucionando, e incluso especializándose, en función de los objetivos perseguidos. Así podemos encontrar desde los de perfil Recreational que llevan a cabo ataques para probar sus conocimientos o simplemente para divertirse mediante exploits ya conocidos, y que dispone de medios técnicos limitados,hasta los State sponsored que disponen de un perfil altamente especializado, con recursos prácticamente ilimitados y que tienen por objetivo la obtención de información clasificada sobre seguridad nacional. Recreational Criminal Hacktivist Organized Crime State Sponsored - Fame and notoriety - Limited technical resources - Know exploits - Vandalism - Limited technical capabilities - Statement - Relentless emotionally committed - Vast networks - Targeted attacks - Economic gain - Significant technical resources and capabilities - Established syndicates -Adware crimeware, IP theft - Cyberwar, state secrets, industrial espionage - Highly sophisticated - Nearly unlimited resources - Advance persistent threats TIPOLOGÍAS DE ATAQUESFigura I Fuente: : The CyberSecurity Hub INCREASING RESOURCES AND SOPHISTICATION The expansion of attacker types, their resources, and their sophistication. 14
  15. 15. Entonces, ante la vista de esta especialización de los atacantes, y como consecuencia de los ataques, la pregunta a formular a las organizaciones que han sufrido, o sean susceptibles de ser objeto de estos ataques, es ¿por qué siguen manteniendo estrategias de protección tal y como venían haciendo hasta ahora con los sistemas de información tradicionales? Esta falta de evolución puede llevar hacia el escenario en el que el atacante invierta menos tiempo en comprometer los sistemas corporativos que el tiempo que la organización invertirá en descubrir el ataque y al atacante. En determinados casos, si el atacante es lo suficientemente sigiloso, la organización puede no darse cuenta de que ha sido atacada. Este desajuste también viene propiciado por la falta de profesionales especializados en el campo de la ciberseguridad,siendo este uno de los campos relacionados con las tecnologías de la información que mayor proyección futura presenta, más aún si se tiene en cuenta un nuevo factor que está irrumpiendo en el mercado y que va a complicar un poco más las tareas de los responsables de seguridad, y que no es otro que el Internet de las cosas (IoT8 ). Además,hay que tener en cuenta otro factor que,a parte del factor tecnológico, ha variado en las estrategias de los ciberataques. Se trata del objetivo del ciberataque, que ha pasado de la tecnología a las personas, de manera que en la gran mayoría de los ataques se requiere la intervención de las personas. De todos ellos,se puede considerar que el phishing9 (o suplantación de identidad) se ha convertido en el ataque estrella de nuestros días. 8 IoT – Internet of Things. El internet de las cosas es un concepto que se refiere a una interconexión digital de objetos cotidianos con internet. Es, en definitiva, la conexión de internet más con objetos que con personas.También se suele conocer como internet de todas las cosas o internet en las cosas (https://es.wikipedia.org/wiki/Internet_de_las_cosas). 9 Phishing, conocido como suplantación de identidad, es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta, haciéndose pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas (https://es.wikipedia.org/wiki/Phishing). 15obs-edu.com
  16. 16. Capítulo 5 Prevención de los ataques cibernéticos y la figura del hacker 16
  17. 17. 5.1 Hasta ahora se ha planteado la figura del hacker como la del atacante externo que pretende hacer daño a los activos de una organización, sin embargo también pueden producirse ataques internos,desde dentro de la propia organización. El término hacker,que la RAE10 inicialmente asociaba al término de pirata informático (una visión negativa) se definía como: “Traducción recomendada para la voz inglesa hacker, ‘persona con grandes habilidades en el manejo de ordenadores,que utiliza sus conocimientos para acceder ilegalmente a sistemas o redes ajenos”. Sin embargo,aproximadamente a finales del año 2017 o inicios del 2018, modificó la definición, quedando de la siguiente manera: “Persona experta en el manejo de computadoras,que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora”. Una vez establecido el concepto de hacker, la pregunta que se plantea es ¿por qué las empresas necesitan contratarlos? En los años 90 pasó algo parecido con los creadores de virus informáticos. Si se repasan las hemerotecas de la época, se podrá observar que todo aquel que era capaz de diseñar un virus que burlara las protecciones que ofrecían los programas antivirus,todavía en fases iniciales,acababa siendo fichado por una de estas empresas. ¿Para qué?,pues la respuesta es muy simple:si has sido capaz de desarrollar un código no detectable por mis antivirus,podrás desarrollar un antivirus capaz de detectar estas nuevas formas de virus o quizás podrás asesorar a los desarrolladores de soluciones de antivirus para que estas sean más robustas y eficientes. Actualmente, con los hackers está ocurriendo algo parecido. Dado que se ha establecido que un hacker es una persona experta en el manejo de computadoras,y que las organizaciones no se ven capaces de establecer mecanismos de defensa acordes con las evoluciones de los diferentes tipos de ataques,una buena práctica podría ser incorporar un hacker dentro del equipo de seguridad informática con un doble objetivo: primero poder probar la resistencia y eficacia de las medidas de seguridad implantadas, y segundo poder detectar si ciertos comportamientos que pueden parecer extraños pueden ser ataques reales. Este nuevo rol que han pasado a desarrollar los hackers ha llevado a acuñar un nuevo concepto que permita diferenciarlos de aquellos con intenciones maliciosas o dañinas. Para ello, al que no tiene malas 10 RAE – Real Academia Española 17obs-edu.com
  18. 18. intenciones se le denomina hacker ético, siendo hacker porque dispone de conceptos avanzados sobre computadoras y utiliza técnicas para poder comprometer estos equipos,pero ético al tener solamente con el objetivo de descubrir posibles fallos de seguridad que puedan existir y hayan pasado desapercibidos. Así pues,la figura del hacker,al igual que su definición,tiene dos vertientes: - El hacker, cuyo objetivo es encontrar fallos de seguridad que le permitan acceder a los sistemas corporativos para causar daño o accesos ilegales a los sistemas de información de la organización objetivo. - El hacker ético, cuyo objetivo es encontrar fallos de seguridad que le permitan acceder a los sistemas corporativos, pero para poder establecer medidas de seguridad adicionales que puedan impedir, o como mínimo dificultar, el acceso de los hackers a los sistemas de información corporativos. Visto lo expuesto hasta el momento,las empresas contratan hackers éticos, aprovechando el elevado conocimiento de los sistemas de información y de la seguridad que pueden llegar a ofrecer, para que estos pongan a prueba las líneas de defensa implantadas por la organización,detectando, si fuera el caso,aquellas vulnerabilidades que presenten los sistemas de información,la infraestructura y la electrónica de red de la organización. Su misión no debería centrarse solamente en la exposición de la información crítica de la organización hacia el exterior, sino que también deberían focalizar su atención en aquellos dispositivos móviles que la organización pone a disposición de sus empleados para facilitarles la conexión a los sistemas corporativos, aun cuando se encuentren fuera de las oficinas corporativas. En este elenco de dispositivos se pueden incluir portátiles, móviles, discos duros externos, tablets, dispositivos USB e incluso, por qué no, dispositivos wearless. Otro factor a tener en cuenta en la prevención de posibles ataques, que incluso pueden llegar a ser ataques internos,es el hecho de si la organización aplica políticas BYOD11 , mediante las cuales los empleados aportan sus dispositivos personales para un uso profesional, siendo la práctica más extendida la configuración del correo corporativo en el móvil personal. El peligro de aplicar este tipo de políticas es que la organización no puede tener un elevado control de aquellas aplicaciones o medidas de seguridad que el empleado dispone en su móvil personal o en el portátil que tiene en casa,y desde el que accede a los sistemas corporativos,posiblemente, mediante una conexión basada en el protocolo RDP. 11 BYOD (Bring Your Own Device) – El empleado, interno o colaborador externo, utiliza sus dispositivos personales con fines profesionales 18
  19. 19. Las empresas medianas o grandes,o bien aquellas altamente especializadas en el mundo de la ciberseguridad, son las que, por infraestructura organizativa y presupuestaria, pueden contar con la presencia de hackers formando parte del correspondiente departamento de seguridad. Y disponen de ellos para el desarrollo de funciones tales como: - Vigilancia preventiva de los posibles ataques recibidos. - Detección de posibles ataques. - Realización de pruebas de pen-test12 y de hacking ético para determinar la fortaleza de la seguridad implantada. Otra opción es no contratar un hacker, sobre todo en casos de organizaciones pequeñasomedianas,sinounserviciodeciberseguridadexternoquepuedamantener alerta a los responsables de las organizaciones acerca de las vulnerabilidades y/o ataques detectados.De esta forma,por una parte se produce un ahorro de costos en personal, medios técnicos, etc., pero por otra se paga el precio de confiar las debilidades de seguridad de la organización a un tercero. De igual forma, muchas empresas no disponen de su propio CERT (Computer Emergency Response Team)13 ,contratando servicios de alguno de los diferentes CERT existentes en el país o países donde puedan tener sedes. 12 Pen.test – abreviatrua dePenetratios Testing,es un conjunto de pruebas de ataque a un sistema informático con la intención de encontrar las debilidades de seguridad y todo lo que podría tener acceso a ella, su funcionalidad y datos 13 CERT (Computer Emergency Response Team) – Equipo de Respuesta ante Emergencias Informáticas es un equipo de profesionales que se encuentran en permanente vigilancia del perímetro de nuestra organización y que están preparados para responder ante un posible ataque aplicando las contramedidas necesarias Capítulo 6 Empresas que tienen contratados hackers 19obs-edu.com
  20. 20. 14 https://www.elevenpaths.com Aunque las empresas no van publicitando la contratación de hackers, en la gran mayoría de grandes expertos se cuenta con equipos de ciberseguridad que incluyen equipos especializados en pentesting y hacking ético para poder probar,básicamente, la fortaleza de las medidas de seguridad implantadas. Estos equipos pueden ser internos o contratados externamente, ya sea de forma esporádica o permanente. El caso más notorio,al menos en España y sobre todo por la relevancia de la persona contratada, es el de Telefónica que contrató como unidad de ciberseguridad a la empresa elevenpaths14 ,una reconocida empresa dentro del mundo de la seguridad informática liderada por el Dr.Chema Alonso,reputado especialista en seguridad informática y hacking ético. 20
  21. 21. A lo largo de los últimos años,los ataques cibernéticos han ido variando y evolucionando, y según predicen los informes de tendencias para el 2019, se va a seguir manteniendo esta evolución. Estos informes son desarrollados anualmente por las diferentes compañías especializadas en ciberseguridad (ESET,Verizon,Panda…).En ellos se revisan los principales logros en materia de seguridad y se plantean cuáles pueden ser los escenarios de seguridad, o ciberseguridad, con indicación de cuáles se cree que pueden ser los ciberataques del futuro y,de paso,indicar cuáles podrían ser las medidas necesarias para poder mitigarlos e incluso hacerles frente. La compañía ESET, en su documento “Tendencias 2019: Privacidad e intrusión en la aldea global”,considera que,dejando aparte los ataques tradicionales (phishing,virus,malware…),las tendencias en ciberseguridad para el año 2019 se van a centrar en los siguientes aspectos: 1.Coinminers – Hasta ahora las criptomonedas eran conocidas por el gran público por ser la moneda de pago del rescate de un equipo bloqueado por un ramsomware. La minería de criptomonedas (Bitcoins,Monero…) es muy costosa y poco rentable a menos que se haga a gran escala.Es un proceso legal que requiere una elevada capacidad de procesamiento no asumible por un solo equipo, apareciendo entonces personas que prestan voluntariamente uno o varios de sus equipos para minar criptomonedas a cambio de una cierta comisión. Pero también hay personas que están minando criptomonedas sin saberlo porque se ha tomado el control de su equipo sin que lo sepan, de forma ilegítima (criptojacking). Este criptojacking puede llevarse a cabo de tres formas diferentes: mediante “secuestro” por un malware ubicado en el disco, mediante “secuestro” por un malware sin archivo (conocido como coinminer),o a través de comandos enviados desde un sitio web (criptojacking de navegador).Entre el segundo semestre del 2017 y el primer semestre del 2018, la criptominería aumentó en un 956%, y en el primer semestre de 2018 las organizaciones afectadas se duplicaron. Capítulo 7 Próximas tendencias de ciberseguridad 21obs-edu.com
  22. 22. 2. Machine Learning – Para que las máquinas puedan aprender deben disponer de una gran cantidad de datos útiles. Es de destacar que hasta no hace mucho los análisis de comportamiento del malware se hacían manualmente, pero que cada vez más se va automatizando, tendiendo hacia un futuro no muy lejano en que, si el ser humano es capaz de proveer la información adecuada en cuanto a volumen y calidad, las máquinas pueden aprender el comportamiento de los distintos malware existentes e incluso llegar a predecir si un determinado archivo sospechoso puede ser, o no, malware. Incluso se podría extender a sistemas de red o a Internet. El principal problema es que el machine learning también puede ser usado como herramienta de ataque,una vez ha aprendido el comportamiento de la víctima (información obtenida mediante rastreadores web o simplemente mediante ingeniería social). 3. GDPR hacia una ley de privacidad global – La entrada en vigor del Reglamento Europeo de Protección de Datos (GDPR) está teniendo un gran impacto en la privacidad digital, y no solamente dentro de la propia Unión Europea, sino también fueradeesta(EstadosUnidosyotrospaísesqueprestanservicios a países de la Unión Europea). Esto va a seguir durante el 2019. En Estados Unidos, el estado de California promulgó en 2018 la CCPA (California Consumer Privacy Act), hecho importante si se tiene en cuenta que en este Estado residen empresas como Google, Facebook, Apple, HP y Oracle. Otro factor determinante puede ser que los Estados promulguen sus propias leyes de privacidad como ya han hecho, por el momento, el ya citado estado de California o Brasil. 4. Asistentes de voz para el hogar – La popularización de los asistentes de voz, que permiten además de comunicarse con su propietario, comunicarse con otros dispositivos como luces, cámaras de vigilancia, sensores o electrodomésticos, los convierte en una fuente de recopilación de información sobre otros dispositivos. Así pues, el asistente de voz y el router van a ser los objetivos preferidos por los atacantes puesto que si toman el control de los mismos podrán acceder al control de los otros dispositivos IoT (se calcula que en 2020 se llegará a los 80.000 millones de dispositivos). Por su parte, la empresa Panda en el informe ya nombrado “PandaLabs 2018 Anual Report”, pronostica que las tendencias en ciberseguridad para el 2019 serán, entre otras: 22
  23. 23. 1. Hacking “en vivo”- Evolución de las técnicas de hacking hacia técnicas que no necesiten un fichero de malware para su ejecución y que, por lo tanto, van a ser más difíciles de detectar. 2. Soberanía digital europea – Establecimiento de políticas proteccionistas en el ámbito global europeo para hacer frente al grado de desconfianza creciente entre Estados Unidos, Rusia y China. Esta posición afectará a la hora de establecer políticas de ciberseguridad o a la compra de productos que se pueden establecer a nivel europeo. 3. Ataques a la cadena de suministro – Infiltración en proyectos de desarrollo legal de software para implantar código malicioso queserádistribuido,sinoesdetectadoatiempo,enlassiguientes actualizaciones de dicho software a los usuarios. 4. Uso de inteligencia artificial para realizar ataques – Uso de algoritmos utilizados para la gestión de grandes volúmenes de datos como fuente para el diseño de posibles nuevos ataques. 5. Incremento de ataques a routers y dispositivos IoT – Se incrementará el número de ataques a este tipo de dispositivos, básicamente por dos razones: la mayoría siguen utilizando contraseñas por defecto, y que estas son difíciles de actualizar (generalmente el usuario, principalmente doméstico, no sabe cómo hacerlo). 23obs-edu.com
  24. 24. Capítulo 8 El futuro de la ciberseguridad 24
  25. 25. La Ciberseguridad,como disciplina,tiene mucho margen de mejora, para ello debe empezar a ser considerada por los equipos directivos de las organizaciones como un área estratégica en la que es necesario invertir recursos (económicos, humanos, tecnológicos…), permitiendo así poder disponer de los medios necesarios para hacer frente a los ciberataques. Un ejemplo del estado de la ciberseguridad, queda perfectamente reflejado en el documento “State of cybersecurity 2019”publicado por ISACA15 , donde se pueden apreciar una serie de datos como mínimo preocupantes, o que tendrían que hacer reflexionar a los responsables, tales como: • El 40% de los graduados universitarios en Ciberseguridad no están preparados para realizar las tareas que les son encomendadas. • El 69% de las organizaciones considera que sus equipos de ciberseguridad se encuentran insuficientemente dimensionados. • El 32% de las organizaciones están tardando un promedio de 6 meses en cubrir plazas relacionadas con la ciberseguridad. • El 50% de los profesionales de ciberseguridad consideran que las organizaciones reportan un pequeño porcentaje de los ciberataques sufridos. • El 60% de los profesionales creen que recibirán o que es muy probable que reciban un ataque en 2019. • Los 3 principales actores que han participado en los ataques reportados durante 2018 son: cibercriminales (32%), hackers (23%) y ataques no maliciosos (15%). Esto muestra que, entre los profesionales que desarrollan tareas de ciberseguridad, existe una falta de formación que les permita competir en condiciones parecidas a las que disponen los atacantes de los que deben proteger sus organizaciones. Como comentaba el Sr. Ramsés Gallego, Director de Security Strategies en Symantec, en una entrevista publicada en muyseguridad.net16 : “Es perturbador saber que los atacantes están a las puertas y, al mismo tiempo, no ser consciente de que las personas que intentan defenderte se sienten superadas y exhaustas”. 15 https://www.isaca.org/info/state-of-cybersecurity-2019/index.html 16 https://www.muyseguridad.net/2019/06/25/los-responsables-de-seguridad-dan-por-perdida- la-batalla-contra-los-cibercriminales 25obs-edu.com
  26. 26. 20 Statista. https://es.statista.com/estadisticas/802419/grado-de-ocupacion-en-los-destinos-con- mas-anuncios-en-Airbnb-en-el-mundo/ “Es duro sobrellevar la amenaza que te supone un enemigo que está aprendiendo más rápido que tú. Si las organizaciones valoran la seguridad de sus datos y de sus finanzas, deben prestar atención a esta alerta y realizar inversiones estratégicas que resuelvan este vacío emergente de cualificación”. Cogiendo esta última cita, la única forma (o una de las pocas) de poder garantizar el futuro de la Ciberseguridad como mecanismo de defensa ante ataques o accesos no autorizados, radica en convencer a la dirección de la organización de que la información es un activo crítico para la misma. Si se consigue dar este primer paso y se sitúa la seguridad de la información corporativa como un proceso crítico dentro de la organización, entonces se podrá conseguir que se realicen inversiones estratégicas que permitan reducir el gap existente entre los recursos disponibles por las organizaciones y los disponibles por los atacantes, teniendo en cuenta que al hablar de recursos no solamente hacemos referencia a invertir una mayor cantidad de dinero, sino que se trata de invertirlo en aquellos aspectos que necesiten un mayor grado de mejora. Si se retoman los datos presentados por ISACA, entonces se puede apreciar que uno de los principales puntos de mejora reside en la formación del personal del área de Ciberseguridad, formación que no se da posiblemente porque el día a día de estos profesionales que, según los datos de la figura anterior, forman parte de departamentos infradimensionados, les absorbe todo el tiempo disponible. Según este mismo estudio elaborado por Symantec, en donde se entrevistó a 3045 responsables de ciberseguridad de empresas de Francia, Alemania y Reino Unido, solo el 48% de los encuestados manifiestan su convencimiento de que están perdiendo la batalla frente a los cibercriminales. Ante este dato demoledor, se torna urgente 26
  27. 27. 17 Ver referència completa en la bibliografia 18 Ver tabla completa en el documento “Estado de la ciberseguridad en el Sector Bancario en Ámerica Latina y el Caribe” referenciado en la Bibliografía revertir la situación actual de los equipos de Ciberseguridad, hecho que debe pasar imperiosamente por la implicación efectiva de las cúpulas directivas de las grandes organizaciones con el objetivo de dotar de los recursos necesarios para poder mantener a buen recaudo aquella información confidencial o crítica sobre la propia compañía. EnAméricaLatinayCaribe,segúnelestudio“Estadodelaciberseguridad en el Sector Bancario en América Latina y el Caribe17 ” publicado en 2018 por la OEA (Organización de Estados Americanos) se concluye, entre otras cosas, que: - El 74% de las entidades analizadas dispone de departamento de seguridad digital. - Los equipos de seguridad digital están compuestos, de media, por 17 personas, aunque el 82% de las entidades cree que debería incrementarse el número de personas que componen los equipos de seguridad digital. - < 50% de las entidades disponen de estrategias de gestión, respuesta y recuperación ante incidentes de seguridad. Mientras que si nos fijamos en los resultados obtenidos en función de la entidad bancaria18 , podemos concluir, entre otras cosas, que: Bancos grandes Bancos medianos Bancos pequeños Existe una única área responsable de la seguridad digital 67% 74% 79% Niveles jerárquicos entre el CEO y el máximo responsable de la seguridad digital 1 (9%) 2 (61%) 3 (18%) >3 (12%) 1 (30%) 2 (38%) 3 (24%) >3 (8%) 1 (46%) 2 (36%) 3 (12%) >3 (6%) Tamaño del equipo de seguridad digital 16-30 miembros (27%) 1-5 miembros (46%) 1-5 miembros (94%) Implementación herramientas, controles o procesos usando tecnologías digitales emergentes 74% 56% 33% Presupuesto de seguridad digital aumentó en comparación al año fiscal inmediatamente anterior 65% 47% 25% Presupuesto asignado en 2017 a un miembro promedio del equipo de seguridad digital (US $) 22.713 $ 21.766 $ 13.927 $ Retorno sobre la inversión en seguridad digital equivale aproximadamente a un 24% 23,85% 23,33% ESTUDIO “ESTADO DE LA CIBERSEGURIDAD EN EL SECTOR BANCARIO EN AMÉRICA LATINA Y EL CARIBE Figura II Fuente: SG/OEA a partir de información recolectada de entidades bancarias en América Latina y el Caribe 27obs-edu.com
  28. 28. De este estudio sorprende el apartado correspondiente a Marcos de seguridad y/o estándares internacionales adoptados donde se obtienen los siguientes resultados: DondenodejadeserimpactantequeelestándarPCI-DSScorrespondiente al pago con tarjetas de crédito se haya adoptado en menos de la mitad de las entidades bancarias (un 41%). 70% Information Security Management System (ISMS) - ISO2700 Control Objectives for Information and Related Technology (COBIT) Information Technology Infrastructure Library (ITIL) & IT Service Management (ITSM) Paymetn Card Industry Data Security Standars (PCI - DSS) Business Continuity Management (BCM) - ISO 22301 ISO 31000 - Risk Management NIST Standard Sarbarnes Oxley (SOX) Committee of Sponsoring Organizations of the Treadway Commission (COSO) Framework 0 68% 50% Nota: 191 registros 43% 41% 40% 28% 24% 23% 10% 20% 30% 40% 50% 60% MARCOS DE SEGURIDAD Y/O ESTÁNDARES INTERNACIONALES ADOPTADO Figura III Fuente: SG/OEA a partir de información recolectada de entidades bancarias en América Latina y el Caribe 28
  29. 29. En un mundo cada vez más globalizado e interconectado, en el que se pretende que incluso las cosas (automóviles, electrodomésticos, etc.) tomen decisiones por nosotros, es evidente que la línea de defensa, de seguridad, que marcaban los límites de la organización se difumina, e incluso tiende a desaparecer con la adopción, cada vez más masiva, del modelo de Cloud Computing como escenario en el que ejecutar aplicaciones y almacenar datos. Llegados a este punto en el que se desconocen donde se encuentran, si realmente existen,esas barreras que delimitan el espacio a proteger,los equipos de seguridad IT se ven obligados a replantearse las estrategias de defensa pasando de medidas de seguridad IT a una“guerra”de medidas de seguridad, pero en el ciberespacio. En este nuevo paradigma, los hackers,entendidos como los posibles atacantes,se han estado formando y preparándose durante mucho tiempo, mientras que los equipos de seguridad IT luchaban con lo poco que tenían para defender,a la antigua usanza, sus equipos y en definitiva su organización. Establecida la existencia de esta brecha entre el conocimiento sobre seguridad adquirido por los hackers y por los equipos de seguridad, solamente quedan dos opciones que, por más dispares que parezcan, son complementarias. En una primera opción,las organizaciones deben formar URGENTEMENTE a sus equipos de seguridad IT para que puedan alcanzar el nivel de conocimientos técnicos que tienen los hackers, o bien optar por la contratación en plantilla de personal altamente cualificado (hackers), aunque eso conlleva una fuerte inversión económica en seguridad IT (o en ciberseguridad). Existe una segunda opción que consiste en la contratación de hackers éticos para que sus equipos de seguridad puedan ir aprendiendo nuevas técnicas de mano de estos profesionales (en este caso como personal externo a través de contratos de prestación de servicios de, por ejemplo, Capítulo 9 Conclusiones 29obs-edu.com
  30. 30. hacking ético o pen test). Esta opción lleva también un coste económico asociado, pero puede ser menor que para la opción anterior (prestación de servicios bajo demanda,no necesidad de que el personal esté de forma permanente en nuestra organización…). Sea bajo la forma que sea, lo que está claro, recogiendo las palabras del Sr. Ramsés Gallego: “Es duro sobrellevar la amenaza que te supone un enemigo que está aprendiendo más rápido que tú.Si las organizaciones valoran la seguridad de sus datos y de sus finanzas,deben prestar atención a esta alerta y realizar inversiones estratégicas que resuelvan este vacío emergente de cualificación.” En conclusión, hasta que la seguridad deje de ser el“hermano pequeño” dentro del mundo de los departamentos de IT, y de las organizaciones en general, para empezar a ser tratada como un área crítica dentro de la organización,se seguirá manteniendo esa brecha en cuanto a niveles de preparación técnica entre los hackers y los equipos de seguridad. Dada la velocidad de propagación que permite Internet,un fallo de seguridad puede ser difundido de forma masiva en el mismo instante en que se produce, incluso antes de que la propia empresa tenga constancia de él. Los propios medios digitales que nos ayudan a difundir la imagen de la compañía se convierten, al instante, en el peor enemigo de nuestra imagen y reputación corporativa. Así, la inversión en ciberseguridad y en su gobernanza se convierte en un elemento crítico para mantener la confianza en nuestros productos y servicios. 30
  31. 31. 1 Centro Criptológico Nacional,“Guía CCN-STIC-800 - ENS – Glosario de Términos y Abreviaturas”, Febrero 2016 (https://www.ccn-cert.cni.es/ series-ccn-stic/800-guia-esquema-nacional-de-seguridad/499-ccn-stic-800- glosario-de-terminos-y-abreviaturas-del-ens/file.html) 2 Morison, Robert,“Stronger Cybersecurity Starts with Data Management”, International Institute for Analytics, Mayo 2016 3 “Informe anual PandaLabs 2018”, Panda, Noviembre 2018 4 “2019 Data Breach Investigations Report”, Verizon 5 “Tendencias 2019: Privacidad e intrusión en la aldea global”, ESET 6 “Stronger Cybersecurity Starts with Data Management”, International Security for Analytics, Mayo 2016 7 “State of Cybersecurity 2019. Part1 – Current Trends in Workforce Deployments”, ISACA 8 “State of Cybersecurity 2019. Part2 – Current Trends in Attack Vectors, Awareness and Governance”, ISACA 9 “Estado de la ciberseguridad en el Sector Bancario en América Latina y el Caribe”, Organización de Estados Americanos, 2018 Referencias Bibliográficas 31obs-edu.com
  32. 32. obs-edu.com

×