12 MAY 2015 | ARTÍCULO

Seguridad en la información

La gran variedad de nuevos ciberataques, sobre todo los llamados Zero-day y APT, complican a los administradores de seguridad TI. 

Cortesía / Channel News, EMB

Más que nunca el acceso seguro a la Web, al correo electrónico y a los recursos compartidos corre peligro. Tal como señala David DeWalt, perteneciente al Comité Asesor en Telecomunicaciones para la Seguridad Nacional del Presidente de los Estados Unidos; y Consejero Delegado de FireEye, a pesar de los más de 20 mil millones de dólares que se invirtieron en tecnologías de seguridad informática en 2014, los ciberdelincuentes y los responsables de las amenazas persistentes avanzadas (APT), siguen entrando de forma ilegal en prácticamente cualquier red, robando datos y perturbando el desarrollo de los negocios.

Esta afirmación, incluida en “Definitive Guide para la protección contra amenazas de próxima generación”, de Steve Piper, CISSP, publicada por CyberEdge Group, es el punto de partida para entender que, en la actualidad, las empresas no están frente a cualquier tipo de amenaza o virus aislados. Hoy, todas las compañías están expuestas a ataques persistentes, complejos y, como dice esta guía, “sigilosos”, que son exitosos cuando de comprometer las redes se trata.

Los “nuevos” riesgos

Como en muchos temas, los paradigmas tradicionales de la seguridad han cambiado drásticamente desde hace algunos años hasta ahora, y el canal especialista en seguridad, a cargo de implementar herramientas de protección de los datos en las empresas, ha visto con sorpresa cómo las amenazas ya no vienen desde dentro de las empresas como antes. Hoy, el panorama es distinto.

Una evidencia de esta nueva realidad es el estudio hecho hace tres años por la empresa Verizon, que analizó cerca de 900 incidentes de seguridad de datos ocurridos en 2011, y que determinó que el 98% de los incidentes fue originado por agentes externos.

Otro rasgo distintivo de los ataques informáticos actuales es que sus autores ya no son solo hackers motivados por alcanzar notoriedad pública. “El sector de la ciberdelincuencia se ha transformado completamente, pasando desde la piratería por pura diversión a los ciberataques con ánimo de lucro o, en algunos casos, con fines políticos. Los ciberdelincuentes actuales están bien formados e incorporan técnicas de ataque sofisticadas, que no pueden ser combatidas con las defensas tradicionales basadas en firmas, que son insuficientes”, indica Steve Piper.

El tercer elemento que caracteriza a los problemas de seguridad de datos de hoy es que su naturaleza es tan compleja como diversa. Se trata, como se describe en “Definitive Guide para la protección contra amenazas de próxima generación”, de amenazas multivectoriales y multifase, capaces de esquivar las barreras de seguridad tradicionales como firewalls, sistemas de prevención de intrusiones (IPS, Intrusion Prevention Systems), puertas de enlace seguras de la Web y del correo electrónico, y plataformas antivirus.


El daño en cifras

Las estadísticas sobre el daño provocado por las amenazas de nueva generación en las redes de las empresas son sencillamente impactantes. Durante 2014, los ciberataques a organizaciones aumentaron en un 176%, a los que se asocian pérdidas millonarias. Jorge Rojas, Gerente de Servicios de NovaRed, señala que durante los últimos cuatro años, el número de ciberataques creció en 176%, donde el tiempo necesario para resolverlo también experimentó un aumento considerable. Datos arrojados por una encuesta de Intel Security, indicó que el 74% de los encuestados piensa que las intrusiones dirigidas son una de las mayores preocupaciones en sus compañías y, más preocupante aún, solo el 24% confía en su capacidad de detectarlo en los primeros minutos, y poco menos de la mitad reportó que podrían tardar desde días hasta meses antes de observar un comportamiento inusual.

Desde NovaRed señalan que en algunos casos más complejos, las empresas tardan en promedio 170 días en detectar un ataque malicioso, el que una vez detectado demora alrededor de 45 días en ser resuelto, arrastrando costos cercanos a los 1,6 millones de dólares. Asimismo, indican que las empresas que son víctimas de algún ataque informático se enfrentan a consecuencias relacionadas al impacto en el negocio y al daño financiero. Un estudio internacional de Kaspersky Labs muestra la pérdida de acceso a información crítica (61%), como la principal consecuencia para una empresa tras un ataque de Denegación de Servicio (DDoS), seguido por un daño en su reputación con un 38%. En relación a los gastos en los que debe incurrir una compañía víctima de este tipo de ataques se encuentran las consultas a empresas especialistas en seguridad de tecnologías de la información (49%); asesorías legales (46%); el pago por mejorar y asegurar las plataformas de TI (65%), y finalmente el pago por gestores de riesgos (41%).

Peligro en la red

Según indica Piper en su libro, los ciberataques se agrupan en dos grandes categorías: amenazas tradicionales y amenazas de próxima generación. Las tradicionales son hiperconocidas, pero no por eso menos importantes, porque aún provocan daño a los sistemas de las empresas que no están suficientemente preparadas. Incluyen a gusanos, troyanos y virus, spyware y redes de bots, ataques de ingeniería social -como phishing y baiting- y desbordamientos de búfer e inyecciones SQL.

En cuanto a las amenazas de próxima generación, la situación es más compleja porque, como su nombre lo dice, son menos conocidas y predecibles. Algunas de las principales son: amenazas zeroday, amenazas persistentes avanzadas, amenazas polimórficas y las amenazas combinadas.

Las amenazas zero-day aprovechan una vulnerabilidad desconocida de una aplicación o de un sistema operativo, y debe su nombre a que el ataque ocurre al mismo tiempo que se hace pública la vulnerabilidad, o incluso antes. Son altamente efectivos debido a que pueden pasar inadvertidos durante meses o años.

Las amenazas persistentes avanzadas, conocidas como APT o ATA, son sofisticados ataques en los que un extraño obtiene acceso a una red y permanece en ella sin ser detectada, con el objetivo de robar información. Las empresas más afectadas con ellas son las que manejan información valiosa, como las instituciones financieras.

Las amenazas polimórficas son ciberataques que pueden presentarse en forma de virus, gusano, spyware o troyano, y transformarse constantemente -cambiando el nombre del archivo y su nivel de compresión- dificultando su detección.