Seguridad en Internet, ¿por dónde empezar?

Luis Fernando Heimpel Boyoli

La aparición de ciberataques y amenazas persistentes avanzadas requiere un nuevo enfoque de protección y seguridad cibernética


Siempre hemos imaginado que los ataques informáticos son llevados a cabo por verdaderos genios en programación que desarrollan complicados algoritmos para violar la seguridad implementada por organizaciones con tecnología muy alta y recursos fuertes, pero la verdad es que la realidad es tremendamente lejana a esto porque no hace falta que se cuente con una jugosa cuenta bancaria o podamos ser objetivo por nuestra exposición social debido al trabajo o mercado en el que nos encontramos, este tipo de delitos suele ser tan barato que robar los cinco mil pesos (260 dólares) que puedas haber dejado de la quincena en la cuenta para alguna emergencia son muy buenos por el esfuerzo.
Cuando uno pregunta por la seguridad de las computadoras lo primero que recibimos de información es instalar un antivirus que además pueda protegernos de programas spyware y otro tipo de código malicioso como se le conoce, algunos más aventurados comentarán sobre establecer canales “seguros” encriptando los datos con algún algoritmo “fuerte” que permita saber que estamos realmente comunicándonos con el destinatario esperado, pero lo que casi nadie platica es el componente más importante de la seguridad en cómputo… el usuario.
Sí, ese conjunto de sensaciones, pensamientos, emociones, deseos, planes, proyectos, y todo un cúmulo de experiencias previas que le generan un referente respecto de lo que “está bien” que permiten interactuar en el mundo real; esa importante pieza que se encuentra entre la silla y el teclado a la que muy pocas veces informamos o capacitamos para que tenga el conocimiento del cómo puede perder su información, su identidad e inclusive su dinero. Desde hace ya varios años Gartner Group y varios analistas especializados en seguridad informática han señalado que aproximadamente un 75% de los ataques que las empresas reciben y tienen éxito, son provocados por personal que debía tener acceso a la información y que por un error entregó a una persona que no debe tenerla ni conocerla, este proceso se lleva a cabo por medio de algo que llamaremos ingeniería social.
La ingeniería social es definida como la práctica de obtener información confidencial a través de la manipulación de los usuarios legítimos, es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga a la persona u organismo comprometido a riesgo o abusos. El principio que sustenta la ingeniería social es el que en cualquier sistema “los usuarios son el eslabón débil”.1
Quiero compartirte la información que la Universidad Nacional Autónoma de México (UNAM) comparte en la página del CERT (Equipo de Respuesta a Incidentes de Seguridad en Cómputo) perteneciente a la DGTIC (Dirección General de Cómputo y de Tecnologías de Información y Comunicación) respecto de los incidentes que detectaron en la RedUNAM durante el año 20162, uno puede pensar que una casa de estudios no es un objetivo viable, pero para sorpresa de algunos les comparto un resumen de dicha información:

Seguridad en Internet,  ¿por dónde empezar?
Lo interesante de estas mediciones por un lado es que hay una cantidad impresionante de eventos que han podido detectar en una red que se diseñó para atender los requerimientos de alumnos y académicos al interior de la casa de estudios. Por otra parte, también es muy impresionante darse cuenta de que la mayor cantidad de eventos se registran entre abril y junio, que es cuando las preparatorias ya están de vacaciones, la universidad está a punto de salir y no hay mucha labor académica en la institución. De igual manera es importante notar que si bien los ataques de fuerza bruta son el mayor número reportado, también se encontraron eventos tales como bots, malware, error de configuración, DDoS, spam y otros (entre los que se menciona son bajas incidencias y se registran desfasamientos, redireccionamientos, XSS, SQLi, phishing y web shell).
¿Y de qué me sirve saber todo esto? Muy fácil, entre más conocimientos se tengan respecto del cómo sufren ataques las organizaciones mejor preparados estaremos para evitar caer en una trampa nosotros mismos que pueda llegar a perjudicarnos, las tendencias son múltiples hoy en día, pero quiero hacer un recuento de aquellas que por su difusión y amplia aplicación entre personas y organizaciones han tenido, representan el mayor peligro para los usuarios de servicios de cómputo y en particular del Internet y las herramientas que se han desarrollado en los últimos tiempos.

Suplantación de identidad
La suplantación de identidad solía provenir del mal uso de la documentación como en el caso de una amiga a la que le hicieron el favor de generar dos líneas telefónicas celulares en su nombre abusando de su credencial del Instituto Nacional Electoral (INE), que de alguna manera obtuvieron copia y cambiaron exclusivamente la firma en ella para poder registrar los contratos, si bien definitivamente debe haber contubernio con la agencia que expidió los contratos también debemos tener cuidado de la forma en la que utilizamos dichos documentos para evitar un mal uso de los mismos.
Actualmente se han encontrado sitios de supuestos servicios en los que al registrarse se piden una serie de datos que permiten la identificación personal del objetivo de modo que puedan ser utilizados para posteriormente registrarlos en otros servicios legítimos y obtener un beneficio al utilizar una identidad que no es la propia; en alguna plática hace ya varios años un oficial de la defensa americana mencionaba que los ataques cibernéticos son extremadamente convenientes al no poner en peligro o riesgo al atacante y permitir generar beneficios con un mínimo esfuerzo.
Mi recomendación en este tipo de riesgo es poner mucha atención en dónde estamos registrando y qué datos estamos capturando, lo que pudiera parecer un servicio legítimo o la obtención de alguna ventaja puede convertirse en una pesadilla tremenda para volver a poner las cosas en orden. Algo que podemos hacer con mucha facilidad es buscar nuestro nombre en un buscador de Internet y verificar que las páginas que aparezcan efectivamente hayamos abierto una cuenta o registrado nuestros datos directamente; también nos puede servir para ver si alguna persona hizo mal uso de nuestro nombre o información sin tener que llegar a un problema legal pero de manera que pueda dañar nuestra imagen personal.

Phishing
El phishing es posiblemente la técnica con mayor complejidad técnica de las mencionadas aquí, debido al hecho de que en muchas ocasiones se harán copias idénticas de páginas en las que regularmente accedemos para poder realizar operaciones bancarias, revisar nuestro correo, compartir archivos o trabajar de manera colaborativa e inclusive las páginas de escuelas u otras organizaciones académicas en las que nos encontremos registrados. El objetivo principal es obtener datos de usuario y contraseña que le permitan al criminal obtener un acceso legítimo al servicio para poder realizar operaciones en nuestro nombre y representación llegando inclusive a la pérdida de nuestros recursos económicos.
Esto es en definitiva el segundo dolor de cabeza más grande después de la suplantación de identidad, debido a que las instituciones regularmente no están preparadas para atender este tipo de casos y la solución es dejarlo a uno sin servicio durante un periodo de tiempo que suele ir desde semanas hasta meses completos para poder garantizar la seguridad de la información, los recursos e inclusive la identidad del usuario que está registrado al servicio. Este es el riesgo que mayores pérdidas económicas produce de manera individual, al parecer estar ingresando al servicio auténtico y directamente darle la confianza de ingresar nuestra información, sin embargo siempre existirán diferencias sutiles entre la página original y la suplantada que nos permiten identificar este riesgo y no ser una víctima más de este delito de fraude.
Mi sugerencia es revisar siempre que la página tenga habilitada la opción de seguridad del navegador de Internet que estemos utilizando, regularmente podemos observar un candado al lado de la dirección de la página y el que la respuesta de error con un acceso inválido provenga de la misma institución a la que pretendemos ingresar; regularmente los criminales ya no cuidan este pequeño detalle y pasan una dirección de una página cualesquiera por lo que se puede identificar fácilmente “equivocándonos” la primera vez con la contraseña en caso de no estar seguros de que la página sea la correcta.

Ingeniería social
Como ya mencionamos las personas son el eslabón más débil dentro de la cadena de seguridad que deseamos implementar y la ingeniería social hace abuso de dicha situación para poder hacerse inclusive de instrucciones del cómo realizar la configuración o descargar el programa necesario para poder ingresar a la red institucional de la organización. Hay una técnica muy simple y ya demasiado conocida en la que el atacante habla al soporte técnico de la organización fingiendo ser el director general, el nombre es tremendamente fácil de obtener desde la página de Internet de la empresa o haciendo una llamada a la organización y dando un nombre que puede ser inclusive erróneo o sin actualizar para obtener el real.
En este caso la ingeniería social hace uso de la disposición de las personas por ayudar a otras y más cuando se trata del primer mando en la organización, haciendo la llamada en tono molesto o enojado e inclusive hasta desesperado porque compró una nueva computadora en casa y no puede ingresar en la red de la organización para poder revisar un asunto muy importante que puede terminar en un estupendo cierre de ventas para la organización, la persona que toma la llamada regularmente no conocerá en persona al director y por ende confiará en que se trata de dicha persona de inmediato y hará lo imposible por resolver el problema para no ser reportado como un mal elemento.
Si bien es un punto muy complicado de atacar, lo recomendable es tener políticas y procedimientos muy estrictos de aplicación general en los que se pueda contener algún intento de suplantar a las personas que tienen acceso legítimo a la información con preguntas de seguridad que permitan su plena identificación antes de proceder a cualquier ayuda o descripción de los accesos en general de la organización.

Malware
Aquí encontramos a nuestros viejos amigos los virus y algunas clasificaciones más modernas que denominaron spyware y otros tipos, lo único que puede hacerse es evitar que las personas abran archivos que no esperaban o no solicitaron, instalar un buen programa que pueda detectar este tipo de amenazas y asegurarse que tanto el programa como el sistema operativo están actualizados hasta la última revisión de seguridad o liberación de firmas de revisión de virus.

Aplicaciones “gratis”
La tentación más grande de la vida moderna, sólo quiero que pienses por un momento la razón por la cual una persona invertiría muchas horas de su tiempo en hacer un programa para regalarlo, lo más seguro es que dicho “regalo” tenga adicionalmente algo que le permita al criminal hacer algo con tu máquina como atacar otras o tomar el tiempo de procesador para generar contraseñas para un ataque de fuerza bruta. Cuidado con lo que instalas en tu computadora y asegúrate de provenga de una fuente confiable.
Lo único que podemos hacer ante la mayor exposición y necesidad de uso del Internet y compartir tanto documentos como trabajo por este medio, es capacitar a nuestro personal para que conozca y se mantenga actualizado de las diferentes formas de ataque y riesgos a los que está sujeto, de modo que no se vea afectado su trabajo, sus bienes e inclusive la organización como tal. Espero que esto pueda servir como base para el trabajo que tienes por delante, y que de verdad no quede en saco roto el consejo, capacítate y capacita a la gente a tu cargo.