Hace algún tiempo nos encontrábamos revisando las políticas de nuestro Antispam, dado que no estaba filtrando un porcentaje adecuado de correo basura, e incluso habíamos detectado correos de estafa llegando a los usuarios. Durante ese período, nuestro CIO nos avisó que había recibido un correo de estafa muy particular.

El correo decía algo como lo siguiente (el nombre no es el real del CIO):

Hola Álvaro,

Soy un hacker con conocimientos avanzados y tengo acceso a todos tus dispositivos y fotos privadas. Accedí a tus dispositivos usando vulnerabilidades de día cero que los fabricantes desconocen.

Como prueba de esto, sé que tu password del correo alvaro@dominio.cl es Metallica1990

Tengo en mi poder fotos muy comprometedoras tuyas que voy a divulgar si no me transfieres la siguiente cantidad a mi Wallet…

Lo que desconcertó al CIO era que justamente “Metallica1990” era una antigua password de su correo, que ya hace años que no utilizaba. Con risas de por medio, nos aclaró que no temía por las “fotos comprometedoras”, pero de todas maneras quería que le dijéramos qué tan probable era que sus dispositivos hubieran sido comprometidos.

Nuestra respuesta fue que no había de qué preocuparse, pero que de todas formas se asegurara que esa password no fuera reutilizada en ningún otro de sus correos o cuentas de redes sociales.

“¿Y cómo pueden estar tan seguros?”

Mmmm la verdad no podemos asegurar que la red de su hogar no tenía algún tipo de malware o un intruso, pero sí que el correo que recibió no era fruto de un ataque muy sofisticado.

Vamos por partes. Actualmente escuchamos muy a menudo que hubo una gran fuga de datos en empresas de tamaño importante. Millones de datos de clientes se filtraron. Bases de datos completas fueron publicadas. Se divulgaron datos privados de millones de usuarios. Y así, estas noticias son tan frecuentes que no nos sorprenden y han pasado a ser parte del paisaje.

Esta acumulación de filtraciones contribuye a alimentar las bases de datos de los criminales y a establecer patrones habituales de uso de claves en los usuarios.

Una forma popular de saber si nuestras credenciales han sido publicadas como parte de filtraciones masivas es “haveIbeenpowned”.

Así, podemos ver habitualmente rankings de las passwords “más usadas”. Los especialistas analizan estos datos masivos y pueden construir modelos de comportamiento de los usuarios.

Finalmente, tomando un conjunto de credenciales cualquiera de estas filtraciones, es sencillo construir un correo de estafa de este tipo, con un texto llamativo y una amenaza de filtración.

No obstante lo simple de este tipo de amenazas, hay un aspecto más alarmante que resalta la segunda parte de nuestra respuesta al CIO.

• ¿Estás ocupando esta clave en alguna de tus otras cuentas?

• ¿Estás utilizando esta combinación en algún acceso a información confidencial o sensible?

• ¿Qué tan fácil sería para un atacante tener acceso a tu información personal usando estas combinaciones?

• ¿Reciclas tus claves en cuentas importantes?

Continuando acerca de cómo podemos evitar la materialización de riesgos tecnológicos e incidentes de ciberseguridad, con el foco de ser ciber resilientes en nuestra organización, es importante lograr sinergia entre los equipos de TI, Ciberseguridad y Riesgo. Concientizarnos a nosotros mismos y entender a qué estamos expuestos, qué impactos tienen nuestras configuraciones en plataformas, desde habilitar una regla a modificar privilegios a una cuenta de usuario, subir servicios, ejecutar comandos, bajar servidores productivos, etc.

Si puedes hacer lo anterior, entonces eres una persona de altos privilegios en tu organización, y tu comportamiento debe ser prudente, no hacer un uso inadecuado de tus privilegios y ser consciente de las consecuencias que podrían traer a futuro, ya que no sabemos si el atacante ya está en tu red, e inició la etapa de reconocimiento de un incidente de ciberseguridad.

¿Estamos realmente concientizados? Nos preocupamos del usuario final, de hacer campañas al eslabón más débil de la cadena y nosotros como especialistas seguimos cometiendo errores fatales, tales como dejar en producción servidores de desarrollo, ocupar configuraciones por defecto, ocupar datos de producción en pruebas, y sobre todo… crear cuentas genéricas con altos privilegios. Sin responsables, sin monitoreo, con clave compartida, sin expiración, sin controles mínimos ante el uso por un tercero no autorizado, entonces ¿Estamos realmente concientizados?, ¿Entendemos realmente el impacto de nuestras acciones? ¿O es un juego de niños ratas?

Debemos lograr que dentro de nuestros ámbitos de gestión y trabajo estemos siempre alertas y la ciberseguridad no esté al final, muy por el contrario, que sea parte del ciclo activo. ¡En la confianza está el peligro!

Avancemos en esta materia. Hay que robustecer a nuestras líneas de TI, monitoreo y defensa:

1. Generemos concientización efectiva a la primera línea, cápsulas aterrizadas.

2. Cursos y certificaciones periódicas, dando espacio para escuchar 100% la materia versus trabajo.

3. Establecer foros de discusión con expertos dentro de su mismo ámbito de gestión.

4. Evaluar aplicación de sanciones y claridad de tus responsabilidades como funcionario.

¡La seguridad es responsabilidad de todos!

Hace algún tiempo conversábamos con un VP de Operaciones durante un almuerzo y me contaba que asistió a una charla de Kevin Mitnick, y quedó asombrado por la facilidad con la que los hackers pueden ejecutar estafas y tomar accesos a sistemas. La conversación derivó hacia la concientización de usuarios y por mi parte le comenté lo esencial que era actualizar los sistemas, ¿qué?

Ahí hubo algo que no conectó. Mi interlocutor me comentó que eso no tenía nada que ver con el compromiso de sistemas y que eso era algo ya conocido, sobre todo a nivel de sistemas industriales y contra lo cual no se podía hacer nada, dados los costos tanto en capital como inversión. Había que convivir con ello.

Por lo breve de la conversación, no pude argumentar nada más, quedé con la palabra en la boca. Eché de menos no haber puesto más atención a las charlas de liderazgo sobre los “elevator pitch“ y la importancia del storytelling, pero claramente no supe explicar de forma simple el nexo entre lo uno y lo otro.

En recientes estudios de opinión entre profesionales de seguridad, la estrategia de seguridad a nivel personal que mejor mitigaba el riesgo en su opinión, más que las contraseñas robustas o el factor de autenticación múltiple, resultó ser la actualización de software. En su momento me llamó mucho la atención, pero luego recordé que suelo hacerlo muy a menudo casi sin pensarlo mucho.

Vamos un poco más hacia atrás. Desde la perspectiva del atacante, la primera etapa, de reconocimiento, trata de identificar puertas de entrada hacia su objetivo. Trata de revisar exhaustivamente las características de su blanco, buscando debilidades. Generalmente, si su objetivo es un software antiguo, la tarea se facilita enormemente. ¿Por qué ocurre esto?

Dentro del ciclo de vida del software, es necesario no solo remediar errores del software (bugs), sino también fallas que produzcan comportamientos no deseados que posteriormente se traduzcan en vulnerabilidades de seguridad. Desde que el software es liberado a producción, queda expuesto a este tipo de fallos. Los atacantes comienzan a probar distintas formas para vulnerar la aplicación, usando técnicas que con el tiempo se van volviendo más sofisticadas y fáciles de automatizar.

A medida que el tiempo pasa, se van publicando vulnerabilidades conocidas en el software, parches, actualizaciones, hotfixes, nuevos releases, etc.

Este lapso de tiempo en que el software queda expuesto a ataques, se van sumando las fallas y vulnerabilidades, e irremediablemente pasamos a quedar en una posición mucho más frágil de forma exponencial. Ok, no son solo nuestros temores como profesionales de seguridad, hay que considerar también que nuestros costos de reemplazo van aumentando, al ir integrando estas plataformas obsoletas y haciendo que otras plataformas críticas dependan de estas aplicaciones sin soporte.

Dándole vueltas a este asunto, encontré una frase genial que dice “el software no envejece como el vino, envejece como la leche”.

Creo que la analogía es exactamente la que debí utilizar en aquella conversación.