top of page
Search
  • Writer's pictureMarce

Updated: Sep 2, 2022

Hace algún tiempo conversábamos con un VP de Operaciones durante un almuerzo y me contaba que asistió a una charla de Kevin Mitnick, y quedó asombrado por la facilidad con la que los hackers pueden ejecutar estafas y tomar accesos a sistemas. La conversación derivó hacia la concientización de usuarios y por mi parte le comenté lo esencial que era actualizar los sistemas, ¿qué?


Ahí hubo algo que no conectó. Mi interlocutor me comentó que eso no tenía nada que ver con el compromiso de sistemas y que eso era algo ya conocido, sobre todo a nivel de sistemas industriales y contra lo cual no se podía hacer nada, dados los costos tanto en capital como inversión. Había que convivir con ello.



Por lo breve de la conversación, no pude argumentar nada más, quedé con la palabra en la boca. Eché de menos no haber puesto más atención a las charlas de liderazgo sobre los “elevator pitch“ y la importancia del storytelling, pero claramente no supe explicar de forma simple el nexo entre lo uno y lo otro.


En recientes estudios de opinión entre profesionales de seguridad, la estrategia de seguridad a nivel personal que mejor mitigaba el riesgo en su opinión, más que las contraseñas robustas o el factor de autenticación múltiple, resultó ser la actualización de software. En su momento me llamó mucho la atención, pero luego recordé que suelo hacerlo muy a menudo casi sin pensarlo mucho.


Vamos un poco más hacia atrás. Desde la perspectiva del atacante, la primera etapa, de reconocimiento, trata de identificar puertas de entrada hacia su objetivo. Trata de revisar exhaustivamente las características de su blanco, buscando debilidades. Generalmente, si su objetivo es un software antiguo, la tarea se facilita enormemente. ¿Por qué ocurre esto?


Dentro del ciclo de vida del software, es necesario no solo remediar errores del software (bugs), sino también fallas que produzcan comportamientos no deseados que posteriormente se traduzcan en vulnerabilidades de seguridad. Desde que el software es liberado a producción, queda expuesto a este tipo de fallos. Los atacantes comienzan a probar distintas formas para vulnerar la aplicación, usando técnicas que con el tiempo se van volviendo más sofisticadas y fáciles de automatizar.


A medida que el tiempo pasa, se van publicando vulnerabilidades conocidas en el software, parches, actualizaciones, hotfixes, nuevos releases, etc.


Este lapso de tiempo en que el software queda expuesto a ataques, se van sumando las fallas y vulnerabilidades, e irremediablemente pasamos a quedar en una posición mucho más frágil de forma exponencial. Ok, no son solo nuestros temores como profesionales de seguridad, hay que considerar también que nuestros costos de reemplazo van aumentando, al ir integrando estas plataformas obsoletas y haciendo que otras plataformas críticas dependan de estas aplicaciones sin soporte.


Dándole vueltas a este asunto, encontré una frase genial que dice “el software no envejece como el vino, envejece como la leche”.

Creo que la analogía es exactamente la que debí utilizar en aquella conversación.





Dado que los incidentes de ciberseguridad no se pueden evitar, debemos hacernos la siguiente pregunta: ¿Cuándo nos van a atacar?



Por definición, Ciberseguridad es el conjunto de acciones para la protección de la información presente en el ciberespacio, como también la infraestructura que la soporta que tiene por objeto evitar o mitigar los efectos adversos de sus riesgos y amenazas inherentes, incluyendo la seguridad de la información y la continuidad del negocio de la institución. En resumen, es la práctica de proteger nuestros equipos, dispositivos móviles, servidores e infraestructura de ataques maliciosos.


Pero en la práctica, hemos visto que la Ciberseguridad es mucho más amplia y prácticamente no tiene límites. Hoy en día, si no te cuidas de un ataque informático puedes sufrir robo de información, lo que lleva a extorsión, problemas legales, fraudes en clientes, cortes en la continuidad operacional, daño reputacional, y además, un impacto interno en tu equipo de trabajo… y sin tu equipo de trabajo lo que sigue es la "muerte", ya que desde la primera alerta de infección de malware se inicia una operación 7x24 de toda tu primera y segunda línea de defensa.

Podrían ser horas o días e incluso semanas de una ardua operación y el estrés, frustración, cansancio se empiezan a apoderar de tu personal.


Detrás de una crisis de ciberseguridad son muchas las personas que trabajan en paralelo con un mismo fin, con diferentes ámbitos de gestión, desde la configuración de un firewall, administración del EDR, monitoreo SOC, atención de reclamos, control y gestión, logística, seguridad física, entre otros. Y dentro del caos, todos deben tener una comunicación efectiva, sinergia, trabajo en equipo y resiliencia.


Cada minuto que pasa, el impacto es mayor y tu equipo de especialistas son quienes deben tomar las medidas de contención. Tu equipo es quien debe restablecer los sistemas y las miles de estaciones de trabajo y servidores que corren los procesos del negocio, son los que tienen que reconstruir la data perdida, llevar el catastro y reportar a los Gerentes, para entonces ellos reportar al Directorio y ser capaces de visualizar el impacto o daño que existe. Asimismo, ellos dan las explicaciones a los millones de clientes que no pueden operar, responder cartas a proveedores, dar entrevistas en programas, enviar comunicados periódicamente, responder a tu regulador y hacer seguimiento minuto a minuto de la crisis. ¡Es una cadena y todos somos importantes!


Dado que los incidentes de ciberseguridad no se pueden evitar, debemos preguntarnos: ¿Cuándo nos van a atacar? y junto a ello generar planes de acción para dar respuestas en tiempos oportunos y el daño sea menor:

  1. Mantener un inventario de tu infraestructura actualizado.

  2. Respaldos periódicos aislados y ejecutar pruebas de funcionamiento.

  3. Documentar procedimientos de respuesta inmediata ante amenazas de ciberseguridad y probar de manera periódica junto a la primera línea de defensa.

  4. Monitoreo efectivo 7x24.

  5. Planificar y ejecutar pruebas de Red Team, emulando métodos, técnicas y tácticas de un atacante.


Cinco puntos que deben ser reales, a conciencia y efectivos, con un seguimiento concreto. Todo en base a una estrategia de ciberseguridad sólida del Directorio, entendiendo esto como un pilar clave dentro de los objetivos u hoja de ruta del negocio.


La Ciberseguridad es más que administrar un Firewall y es responsabilidad de todos los que trabajamos en una organización.


¡Todos somos parte de la cadena y debemos estar preparados!

23 views0 comments
  • Writer's pictureCybermonk

Muchas veces hemos leído en discusiones de Internet sobre vulnerabilidades públicas y aquellas descubiertas por expertos y notificadas a los propietarios o responsables de aplicaciones o negocio.



Es una realidad que vivimos en un mundo donde el concepto de propiedad es constantemente vulnerado y cuando las medidas de seguridad no existen, es necesario destacar cuando existe este tipo de problemas, y protegernos, pero también es cierto que muchas veces los análisis independientes de este tipo de situaciones involucra la vulneración de la privacidad de los propietarios.

Muchas veces hemos leído en discusiones de Internet sobre vulnerabilidades públicas y aquellas descubiertas por expertos y notificadas a los propietarios o responsables de aplicaciones o negocio.


El hacker que descubre una vulnerabilidad sobre una aplicación pública, la notifica, y al no recibir respuesta, posteriormente la difunde, lamentablemente incurre en una falta ética que tal vez se puede ilustrar con una analogía muy simple: Voy caminando por la calle, veo una reja con un candado mal cerrado. Me doy cuenta de que hay un problema de seguridad física con esa propiedad y puedo tomar varias acciones para reparar el problema de seguridad:


1) Tomo el candado y lo dejo dentro de la propiedad, para que los dueños se enteren de su problema de seguridad.

2) Escribo una nota y la dejo dentro de la propiedad, exponiendo con esto el problema y cómo posteriormente podría solucionarlo.

3) Cierro el candado para evitar cualquier problema de seguridad posterior, y evito que alguien entre a la propiedad.

4) Me asomo para ver si están los propietarios, y notificarles del problema. Si no hay nadie en la propiedad, simplemente sigo mi camino.


Dentro de todas las posibilidades disponibles, las primeras tres sugieren que quien se da cuenta del problema de seguridad tiene una inquietud por resolver dicho problema, ya sea por el deseo de ayudar, la preocupación por los propietarios, o tal vez simplemente un deseo de demostrar las habilidades de reconocer situaciones de riesgo, y la solución técnica a estos riesgos.


Un dilema ético


Es una realidad que vivimos en un mundo donde el concepto de propiedad es constantemente vulnerado y cuando las medidas de seguridad no existen, es necesario destacar cuando existe este tipo de problemas, y protegernos, pero también es cierto que muchas veces los análisis independientes de este tipo de situaciones involucra la vulneración de la privacidad de los propietarios.

Es así como en los casos 1) y 2), el vigilante, ingresa a una propiedad sin autorización de su dueño, en el caso 3) es posible que provoque que los propietarios legítimos no puedan ingresar a la propiedad y en el caso 4) el problema quede sin solución.

Estas mismas situaciones ocurren en el mundo digital, donde las aplicaciones están a merced de cualquier interacción benigna o maliciosa y son susceptibles a intrusiones.


Si aplicamos solamente el concepto de propiedad a la analogía, entenderemos que, aunque nuestra intuición nos dice que debemos notificar de situaciones de riesgo, el solo conocimiento de la situación no nos habilita para vulnerar la privacidad de los dueños.


Esta situación básica muchas veces es ignorada a nivel digital, dado el anonimato que permiten las actuales herramientas técnicas y los escasos medios de seguridad disponibles para prevenir estos hechos.

El análisis de este tipo de hechos solamente en la esfera digital típicamente ha permitido que se obvie las vulneraciones de seguridad en las cuales incurre un análisis independiente.


Siempre que vayamos a realizar este tipo de análisis es conveniente preguntarnos:


¿Será una necesidad del propietario de la aplicación el análisis de seguridad que voy a ejecutar?

¿Estoy vulnerando los derechos del propietario de la aplicación bajo análisis?

¿Está enterado el dueño de la aplicación del análisis o las pruebas que voy a ejecutar?

¿Estoy consciente de las consecuencias del análisis de seguridad sobre la aplicación que voy a ejecutar?.

15 views0 comments
1
2
bottom of page