Para estas fechas, todos ya deben haber escuchado sobre la desenfrenada propagación de ransomware a través de incontables artículos en la prensa y los blogs especializados.
Pero vamos a detenernos y pensar por un minuto o dos. ¿Cómo pasaron estos ataques? ¿Están las empresas enfocándose en amenazas válidas, arreglando los problemas correctos o desarrollando los procesos adecuados? ¿Han perjudicado nuestro razonamiento las llamadas tecnologías disruptivas? No seamos tácticos. En cambio, necesitamos considerar ‘¿cuál es nuestra mejor estrategia?’
Desde que el circo del NGFW (Firewall de Próxima Generación) vino a la ciudad, se puso de moda pasar más tiempo en las carpas de atracciones secundarias en vez de poner atención al evento principal. Por ejemplo, ver la forma en cómo un firewall puede manipular los detalles sobre los hábitos de las aplicaciones de los usuarios se ha vuelto bastante popular. He visto una gran cantidad de proveedores a lo largo de los años que tratan de ganar clientes mostrando los cruentos detalles de cómo un firewall empresarial puede bloquear un determinado juego en Facebook, mientras que al mismo tiempo permite que otros se ejecuten. Como resultado, las capacidades del firewall empezaron a medirse y juzgarse basándose en el número de aplicaciones de firma que éste contiene, concluyendo que entre más aplicaciones de firma tenga, mejor es el firewall empresarial.
Mientras que ésta y otras tendencias similares han estado dominando las conversaciones sobre el firewall empresarial, las recientes epidemias de WannaCry y Petya debieran hacer que tanto los proveedores como sus clientes lo piensen dos veces. La pregunta que deben hacerse es: ¿se están enfocando realmente en el problema que necesita resolverse oaún se encuentran parados dentro de una carpa de atracción secundaria derribando botellas de leche para ganar ositos de peluche?
Y después de mirar este problema con mayor detenimiento, llegué a una conclusión: tanto los proveedores de NGFW como sus clientes se están enfocando en el problema equivocado. El riesgo clave de los negocios –y como equipo de investigación de seguridad, lo hemos visto y probado una y otra vez– continúa siendo el ransomware y el malware basados en e-mails.
Echemos un vistazo al típico ataque de ransomware y cómo afecta a una empresa.
Empecemos con nuestro viejo amigo y compañero fiel: el e-mail. Actualmente, la gente está acostumbrada a recibir mensajes de spam no deseados. Pero incluso los mensajes más tontos aún siguen circulando, como – ha ganado la lotería del millón de dólares o resulta que usted es descendiente de algún monarca extranjero que no pudo esperar para compartirle su riqueza. Los esfuerzos más ingeniosos aparecen enmascarados como un mensaje de su banco informándole sobre un problema inexistente con su cuenta, el gobierno tratando de cobrarle o regresarle impuestos o información acerca de un importante paquete de mensajería esperando por usted. Y claro, también están los más aterradores como un mensaje urgente de su jefe solicitando, con poca antelación, alguna información o, aún mejor, el pago del último proyecto súper secreto en el que está trabajando para la compañía.
A estos últimos esfuerzos dirigidos los llamamos “spear phishing” (esta es una industria que no tiene problemas en inventar nuevos términos). Los e-mails spear phishingcontienen todos los nombres y detalles apropiados para parecer convincentes. A los profesionales de TI les gusta creer que ellos pueden fácilmente detectar esos errores en los correos electrónicos – tales como faltas de ortografía, gramática burda o el logo del año pasado – y reírse de éstos. Pero una empresa no está conformada sólo de profesionales en TI. De hecho, incluso una experimentada compañía dedicada a TI requiere de ayuda adicional para lograr que su negocio sea viable. Y, para el resto de las empresas comunes, si emplean a cientos, miles o más empleados, siempre existirá esa persona, ya sea un contratista, un pasante, un amigo con sobrecarga de trabajo sentado en el escritorio junto al suyo, un ejecutivo del cual nunca esperarías que cayera en este tipo de trampas – y algunas veces, usted mismo – que hará clic en un enlace o documento adjunto infectado.
Una vez que alguien haya hecho clic en el enlace, ya no puede deshacer la acción. Y así empieza la pesadilla.
El malware que lanza inmediatamente comienza a buscar lo valioso y lo vulnerable. También se sumerge dentro de las turbias profundidades de su sistema de archivos buscando las computadoras de sus compañeros dentro de la misma red que pueda infectar.
Pronto después comienza la codificación de la información y de los discos duros y así inicia el chantaje. Para poder recuperar su información, el departamento de finanzas de su empresa debe ir y comprar bitcoins (tras averiguar qué es un bitcoin y cómo conseguirlos) para ver si eso puede liberar la información que ha sido tomada como rehén. Pero eso rara vez es el fin. Surgirán otros giros y vueltas que atarán a su empresa por días, semanas e incluso los meses siguientes. Entonces, los encabezados en los periódicos aparecen y todos saben qué es lo que pasa después porque leemos sobre esto todos los días.
Este proceso, o uno muy parecido, ha estado sucediendo todos los días por años, a pesar de los miles de millones de dólares gastados en dispositivos de NGFW. ¿Por qué?
Bueno, una de las razones podría ser porque la gente que trabaja dentro de las empresas son responsables del 60% de los ataques. De éstos, tres cuartas partes son intencionalmente maliciosos, mientras el resto pasa inadvertido. Pero el punto es que todos suceden del lado equivocado del firewall, lo cual es el motivo por la que los sistemas de defensa efectivos necesitan un enfoque basado en un entramado que contenga los siguientes elementos:
1. Sistema efectivo de filtrado para malware y correos electrónicos no deseados
2. Entrenamiento de concientización para los usuarios
3. Creación de una red interna segmentada
4. Buen respaldo de información
5. Conocimiento sobre qué está compartiendo, con quién y por qué
6. Entendimiento de su sistema principal y sus vulnerabilidades
7. Creación de un Centro de Operaciones de Seguridad (SOC) coordinado
8. Buen sistema de mando y control
La seguridad requiere mucho más que sólo un firewall que pueda inhabilitar los juegos en Facebook, necesita ofrecer un enfoque integrado y holístico a la seguridad que abarque la totalidad de la red. No me malinterprete. Un dispositivo NFGW juega un papel importante en su estrategia de seguridad, pero eso no es suficiente. Gracias a que proveemos un servicio completo e integral, así como seguridad de clase empresarial, sabemos reconocer un circo cuando lo vemos.