Actualmente la mayor parte de las amenazas informáticas son creadas por una nueva forma de delincuencia organizada, la cual busca crear brechas de seguridad y se vale de prácticas bien conocidas en el mundo real, tales como la extorsión, la coacción y el secuestro informático.
Al mencionar la palabra “hacker” es usual pensar en personas con habilidades informáticas sobresalientes capaces de irrumpir en sistemas computacionales y robar información. Esto es técnicamente correcto; sin embargo, a lo largo de las últimas décadas los medios se encargaron de forjar un perfil del “hacker” que no corresponde, necesariamente, con el contexto actual.
La imagen de los jóvenes solitarios, buscando probar sus habilidades por el mero interés de exponer la debilidad de la seguridad de instituciones o individuos se quedó muy atrás. Actualmente quienes dirigen ataques cibernéticos son verdaderos grupos criminales bien estructurados, y en busca de cuantiosas ganancias, es decir, se trata de delincuencia organizada.
Del mismo modo, las personas que crean código malicioso ya no están interesados en “molestar” a los usuarios con infecciones masivas como en los años 90; hoy en día los desarrolladores de malware buscan obtener un beneficio económico tangible y han encontrado en la extorsión una fuente rentable de ingresos.
Evolución
A pesar de ser una forma relativamente vieja, los ataques distribuidos de negación de servicio siguen existiendo y consisten en dirigir una andanada de solicitudes a un servidor desde cientos de miles de equipos infectados y controlados remotamente (botnet), con la finalidad de saturar la capacidad de respuesta de una página web o un servicio en línea. Más adelante se agregó un componente de extorsión, donde se exigía un pago para cesar dicho ataque, el cual originaba pérdidas a las empresas por tener caídos sus servicios. Naturalmente, la seguridad informática se reforzó para mitigar este tipo de brechas.
Como en una ciudad antigua bajo sitio, la lógica para defenderse fue construir mejores murallas para impedir el acceso a los atacantes. En este sentido, la manera de burlar las murallas es infiltrarse. Basta recordar la historia del Caballo de Troya, al igual que en este relato, una vez que logran entrar, los invasores son capaces de anular las defensas y ocasionar severos daños.
Cuando se trata de seguridad informática, es necesario tomar en cuenta que aquello que mantiene la continuidad del negocio en una empresa no son sus instalaciones, ni su personal, ni sus bienes, sino su información, así como los sistemas que la generan, almacenan y gestionan.
Bajo esta lógica, los grupos delictivos, además de enfocar sus esfuerzos en identificar posibles víctimas de las cuales obtener un beneficio económico, han puesto su mira en las corporaciones y sus bienes intangibles.
El hilo se rompe por lo más delgado
Siguiendo con las comparaciones; en la naturaleza los depredadores siempre atacan a las presas más fáciles y los cibercriminales también dirigen sus esfuerzos a los puntos más frágiles de la red: los usuarios. Utilizando técnicas de ingeniería social y valiéndose del poco o nulo cuidado de la privacidad que algunos tienen en las redes sociales, los delincuentes informáticos pueden identificar víctimas potenciales, específicamente empleados de importantes empresas o instituciones, las cuales, al caer en elaborados engaños, revelan información personal, misma que más adelante se utilizará para extorsionarlos y obligarlos a dar acceso a la red de la empresa. Nuevamente, las murallas dejan de ser efectivas pues alguien con un acceso legítimo, bajo coacción, se convierte en la puerta de entrada.
Pensemos en otro escenario. Actualmente miles de empresas han implementado el modelo BYOD (Bring Your Own Device) que permite a los empleados usar equipos de su propiedad para tener acceso a la red corporativa. Imaginemos. El hijo de un alto directivo cae en la trampa e instala en su teléfono un juego de dudosa procedencia, dicha app, modificada previamente por delincuentes, infecta el equipo y se propaga por la red doméstica, llegando a los equipos que el padre de familia usa tanto en casa, como en su trabajo. Al conectarse a la red corporativa, el malware se propaga creando una brecha que permite a los invasores robar información privilegiada o, en algunos casos, secuestrar la información en equipos de la compañía, encriptándola y solicitando el pago de un rescate para restaurar dichos datos. A esta práctica se le conoce como “ransomware”.
El ransomware afecta tanto a usuarios finales como a grandes corporaciones, las cuales enfrentan pérdidas por el rescate al que se pueden ver obligadas a pagar, además del tiempo durante el cual sus servicios están fuera de línea y el importante impacto en su reputación.
Nuevas formas de ransomware
A pesar de no ser una amenaza nueva, cada vez se detectan más casos a nivel mundial como el caso de “Locky” y “Zepto”, ambas amenazas infectan equipos usando como transporte un archivo de Word, el cual en un principio no pudo ser detectado por los antivirus tradicionales basados en firmas. En estos casos el monto de los rescates fluctuaba entre 0.5 y 1 Bitcoin ($200 a $400 dólares) mediante instrucciones publicadas en sitios de la “Deep Web”.
RaaS (Ransomware as a Service)
Otro ransomware que hizo su aparición durante 2016 fue “Cerber”, el cual tenía como peculiaridad estar basado en un programa de “afiliados”. El creador del malware se encargaba de operar la parte técnica y servidores necesarios, en tanto que los afiliados —sitios web reclutados por el desarrollador— eran los encargados de infectar a sus visitantes; por lo cual obtenían 60% del pago del rescate.
Ante estos escenarios, las empresas requieren más que nunca herramientas de seguridad inteligentes capaces de detectar y anular nuevas amenazas, basándose en su comportamiento y realizando análisis intensivos que puedan detectarlas antes de que se activen.
Construir muros más altos y más gruesos en el perímetro de la ciudad, en este caso de la red, ya no es más un modelo efectivo y la seguridad de los bienes digitales no se puede confiar a los sistemas de una generación anterior, ya que muchas veces las amenazas entrarán caminando por la puerta principal de la empresa.
Seguridad de Redes Vs. Redes Seguras
Con un panorama de amenazas en constante evolución, es necesario cambiar el paradigma de la seguridad y dejar de construir murallas en el perímetro de la red; es por eso que, Juniper Networks ha desarrollado un nuevo concepto: Redes Seguras Definidas por Software (SDSN por sus siglas en inglés) que incluye el nuevo Policy Enforcer, el cual automatiza la aplicación de políticas de seguridad a través de toda la red y pone en cuarentena los puntos infectados para evitar amenazas en los firewalls y switches por medio de Junos® Space Security Director.
Sky ATP (Sky Advanced Threat Prevention) de Juniper Networks, es una pieza clave en la construcción de redes seguras definidas por software. Se trata de un servicio basado en la nube que ahora ha sido integrado en toda la serie SRX, la cual puede enviar archivos sospechosos para su análisis. Por medio de una red de computadoras, SKy ATP crea las condiciones para que el software malicioso se deje ver, es decir engañe al malware para que actúe como si estuviera en una red real. Cuando se comprueba la amenaza, el servicio avisa automáticamente a la red y la bloquea. Tan pronto como una nueva amenaza es identificada, Sky ATP alerta a todos los switches Serie SRX para bloquearla en cualquier lugar del mundo, donde sea detectada.
Adicionalmente Sky Advanced Threat Prevention (ATP) ahora está disponible en el firewall virtual vSRX, extendiendo la protección para malware sofisticado a través de cortafuegos físicos y virtuales. Juniper también da a sus clientes la flexibilidad para cubrir sus necesidades específicas, por medio de la nueva serie SRX4000, optimizados para ambientes de nube híbrida y de campus empresariales.
“Actualmente es importante entender que la seguridad no es un problema específico de un área dentro de las empresas. La seguridad es responsabilidad de todos dentro de las corporaciones, no importa si se trata del empleado de más bajo nivel o del CEO. Asimismo, las redes deben de estar automatizadas para poder responder a un ataque, sin importar dónde se origine. La infraestructura de la red debe ser capaz de identificar y bloquear una amenaza, ya sea desde un firewall, un switch o un ruteador.” aseguró Alexandre Cezar, especialista y consultor de seguridad de Juniper Networks.