Fernando Thompson

Seguridad cibernética, el internet de las cosas y el balconeo del chafa espionaje que hace México.

En varias conferencias y artículos se escribe del Internet de las cosas (IoT por sus siglas en inglés), el cual ya está empezando a conectar diferentes aparatos a  internet, hace muchos años me toco estar en una casa prototipo que estaba conectada al internet desde la puerta de entrada con una videocámara así como la alarma, el refrigerador, el horno de microondas, la televisión y en los cuartos las redes sociales se proyectaban en las paredes de cada quién, casi toda la casa estaba interconectada y de hecho hablaba y recibía órdenes de voz para programar la estación de radio favorita o género musical desde internet, el garaje y el auto también estaban conectados y claro que tenía un termómetro conectado a internet. En lo personal soy un ferviente creyente que esto traerá muchos beneficios y requerirá desarrollos pero también me pongo a pensar que se multiplicarán las vulnerabilidades y amenazas, lo que nos lleva a un nuevo paradigma: la ciberseguridad (gente, procesos y tecnología para evitar afectaciones a la seguridad).

Siempre he pensado que los Presidentes de las compañías, Directores Generales, Secretarios de Estado y los miembros de los consejos ya deben empezar a incluir y concebir en sus conversaciones los temas de ciber Seguridad de su compañía, institución, etc. como un tema de gestión del riesgo de toda la empresa, lamentablemente hoy se ve como un tema que solo compete al área o la gente de TI. El top management debe estar hoy consciente que es más un tema legal operativo que puramente técnico, de hecho la seguridad es literalmente un traje hecho a la medida de cada empresa. El principal tema hoy es conciencia, el segundo planear, el tercero es asignar presupuesto, el cuarto preparar al personal, no necesariamente en ese orden pero si contemplar lo anterior; por lo pronto iniciar una conversación al más alto nivel para identificar los riesgos a evitar, armar planes específicos y crear una normatividad con procesos, procedimientos y políticas.

Hay una realidad ineludible, todas las empresas y personas estamos expuestos al hackeo, fugas de información, robos de identidad y ataques. Hay literalmente millones de variantes de malware, que no es sino software específicamente diseñado para múltiples propósitos de daño u obtención de información para fines criminales y el cual hasta cierto punto llega a ser indetectable, a menos que se cuente con el personal, tecnología y procesos adecuados.

De hecho en cuanto a las vulnerabilidades, los elementos a considerar son la gente, procesos y tecnología. Hay amenazas cada vez más sofisticadas y por lo tanto mayor probabilidad de ocurrencia, esto sumado a que en la mayoría de los usuarios actualmente impera una ignorancia sobre estos temas da como resultado un escenario de mayor riesgo y un paraíso para los Crackers.

Hay una regla de oro en temas de ciber seguridad: no basta con la pura tecnología, lo más importante es contar con analistas que sean capaces de identificar y reaccionar en base a datos y comportamientos, una condición inamovible es que literalmente el monitoreo es 7x24x365.

Recomendaciones específicas para seguridad:

  • Desarrollar matriz de control para seguimiento de las actividades de responsabilidad compartida entre el proveedor y nuestra empresa.
  • Asegurar la intervención interdisciplinaria de diferentes sectores de la organización para todos los proyectos (áreas legales, de tecnología, de seguridad informática, desarrollo de sistemas, seguridad física, etc.).
  • Ejecutar los controles y gestión de riesgos en forma continua.
  • Mitigar los riesgos a través de contratos y SLA orientados a los controles y gestión de riesgo.
  • En caso de tercerización, robustecer la seguridad con base en sus capacidades y así reducir la carga de cumplimiento al compartirla con el proveedor.

Es muy importante destacar que en el mundo del Internet de las cosas (IoT) la interacción personal es casi nula, lo que quiere decir que no existe una interacción con alguien de carne y hueso para asuntos como capturar las credenciales de acceso o decidir si un aplicativo es confiable, por lo tanto los dispositivos regularmente realizan sus propias decisiones sobre si se ejecuta o no un comando o una tarea determinada.

La seguridad debe estar presente desde el diseño inicial:

  • Una inicialización segura que cuide la autenticidad y la integridad del software que utiliza el dispositivo y que puede estar verificado a través de algoritmos criptográficos que involucren firmas digitales.
  • Controles de acceso robustos que limiten los privilegios de los componentes y las aplicaciones que utilizan para que realicen únicamente las actividades que requieren para completar sus tareas. En caso de que algún componente sea comprometido, un buen control de acceso limitará el acceso a otras partes del sistema. Seguir el principio del menor privilegio es el proceder más adecuado.
  • Autenticación de dispositivos. Tan pronto el dispositivo se inicializa, y antes de que reciba o transmita información, debe pasar por un proceso de autenticación. A este nivel, la autenticación entre dispositivos se da consultando información resguardada en un área segura de almacenamiento.
  • Apoyo de elementos de seguridad. Con tecnologías de inspección de paquetes a profundidad se pueden analizar adecuadamente protocolos propietarios y conjuntos de instrucciones particulares que identifiquen si una transacción específica debe ser permitida o no. Aquí ya no se trata del análisis tradicional de protocolos como HTTP, sino de soluciones y protocolos muy específicos, muchas veces propietarios.
  • Actualizaciones y parches. Como cualquier otro elemento tecnológico, los dispositivos del IoT deben ser sujetos a actualizaciones que hacen más eficiente y seguro su código de operación, sin afectar por ello la funcionalidad y el desempeño de las soluciones.

El Internet de las cosas nos llenará de dispositivos conectados a la red para múltiples funciones en la vida diaria.

En la actualidad, hacking es parte de la estrategia de ciberdefensa y se acepta que en general que todas las organizaciones, empresas y agencias de gobierno están expuestas a ataques avanzados, por lo que es solo cuestión de tiempo para que sean penetradas, ahora lo que cuenta es reaccionar rápido, para poder realizarlo se recomienda monitorear y proteger:

  • Perímetro: Son las entradas y salidas de datos de la empresa.
  • Red interna: Son los segmentos de red.
  • End point: Se refiere a servidores, equipos de cómputo personal y dispositivos móviles.

Las amenazas actuales con dinámicas, multi-vectores, no se limitan al uso de malware y están diseñadas para evadir las restricciones de seguridad tradicionales y avanzadas. Los actores que están detrás de muchos de los ataques son profesionales que han sido entrenados hasta por gobiernos.

Debe existir personal dedicado que cubra las siguientes funciones:

  • Monitoreo avanzado de seguridad.
  • Búsqueda constante de nuevas amenazas.
  • Análisis de malware.
  • Pruebas de seguridad.
  • Fortalecimiento de sistemas.
  • Contratación de especialistas en seguridad que asesoren.

Visibilidad de tráfico cifrado en equipos que están conectados a la red o que tienen información de la organización. Visibilidad de las vulnerabilidades en los activos tecnológicos.

  • Personal adecuado: contar con personal calificado tanto en el entendimiento del negocio como en los detalles técnicos.
  • Presupuestos asignados.
  • Correlación: security analytics, capacidad de análisis y bitácoras.
  • Entendimiento de los procesos de negocio.

El Gobierno del Estado de Puebla así como el Federal fueron balconeados porque espían con productos de la compañía Hacking Team, que por cierto fue hackeada este domingo pasado, curioso que una supuesta compañía especializada en ciber seguridad y espionaje fuese víctima y de gran impacto porque fueron expuestos tanto documentos internos, como código fuente y comunicaciones de correo. Hacking Team vende herramientas de vigilancia y espionaje. También se filtró que las secretarías de Marina y Defensa Nacional y el Centro de Investigación y Seguridad Nacional (CISEN) y la Policía Federal, además de los gobiernos de Durango, Querétaro, Campeche, Baja California, Tamaulipas y Yucatán.

Aunque de diga de manera elegante “vigilancia” en realidad son programas informáticos maliciosos usados para espionaje de emails, computadoras, tabletas y smartphones.

Eric Rabe, vocero de la empresa Hacking Team, dijo en un comunicado que la compañía fue víctima de un “ataque en línea”. “Creemos que se han robado documentos de la empresa”, dijo. “Estamos investigando para conocer el tamaño de este ataque y en específico lo que se han llevado”.

Los problemas de Hacking Team comenzaron el domingo por la noche cuando su cuenta de Twitter fue hackeada y comenzó a publicar imágenes de presuntos correos electrónicos de la empresa.

Fernando Thompson

Deja un comentario