¿Smartphone o tablet?
¿Redes fijas o inalámbricas? ¿BYOD o no BYOD? ¿Nube pública o privada?
Estas preguntas se las hacen actualmente miles de empresas en toda
España. El cloud computing y la lluvia de dispositivos ha disparado el número de plataformas y de modalidades capaces de gestionar la información. A más tráfico, más desafíos en seguridad. A más dispositivos, más control de los mismos.
Obviamente, las organizaciones ven en estas tecnologías un aliado que
puede fomentar el trabajo y la productividad. Pero ninguna ignora que un
descuido puede resultar catastrófico. Mientras tanto, en la sombra, los
cibercriminales se frotan las manos y planean cuál es su siguiente
víctima. El malware crece, se multiplica a pasos agigantados,
se especializa, se hace más fuerte, más inteligente e invisible. El
usuario final, antaño el blanco de casi todos los ataques, ya no es el
foco único y principal de estos ladrones de datos. Las organizaciones han pasado a ocupar un lugar privilegiado en su diana,
ya que éstas mueven dinero, y el dinero mueve montañas. No hay que
olvidar los organismos públicos y los gobiernos, un blanco atractivo y
novedoso que desde hace un tiempo se está empezando a acostumbrar a los
invitados no deseados. Por si fuera poco, las instituciones públicas no
sólo deben hacer frente a ataques diseñados para obtener beneficios,
sino que ahora reciben amenazas por parte de grupos y de usuarios que
simplemente desean mostrar su disconformidad por un periodo de crisis
que está llevando a la sociedad occidental al hartazgo generalizado.
Numerosas páginas web de corporaciones, compañías, partidos
políticos y gobiernos han sido hackeadas fruto de esa crispación que
recorre hoy el globo.
Este es el escenario y estos
son sus actores principales. Un mundo global, conectado, en el que los
entornos laborales y profesionales se fusionan en tendencias recientes como BYOD.
En definitiva, un gran océano por el que circulan miles de millones de
datos. Y un montón de “pescadores” con su caña preparada, esperando el
momento de debilidad en su presa, sabedores de que hay ventanas que se
abren y que dejan escapar información muy valiosa y muy lucrativa. REDES & TELECOM
ha charlado con ocho empresas que viven muy de cerca el mundo de la
seguridad en las redes y en los dispositivos: Arsys, Trend Micro, CA
Technologies, Osiatis, Enterasys, Check Point, Stonesoft, Corero Network
Security y Fortinet. Nos han dado su visión sobre el estado actual de
la seguridad en las redes tanto en el entorno empresarial como en la
Administración Pública, desgranando los ataques más nocivos a los que
todo tipo de organizaciones deben hacer frente.
Ataques más activos
¿Cuáles son los ataques más de moda entre los cibercriminales? Olof Sandstrom, director de Operaciones de Arsys,
explica que “aunque los más mediáticos suelen ser los ataques de
Denegación de Servicio (DoS) o los deface (cambiar la apariencia de un
site), las familias de ataques más habituales son los escaneos de
puertos y de vulnerabilidades, que buscan tratan de explotar las
debilidades en los sistemas de las organizaciones. Esto deriva en
herramientas de hacking más concretas que en muchas ocasiones persiguen al usuario final, como el phising, pharming, iframes, SQL Injection o spyware,
entre otras”. Olof reconoce que hay muchos ataques, y es muy explícito
cuando revela que “hoy en día cualquier servidor que esté conectado a
Internet es atacado en cuanto está online”.
MaríaRamírez, senior sales engineer de Trend Micro, apunta que en las compañías de mediano y gran tamaño “se observa que existen, en su mayoría, infecciones provocadas por malware de robo de información, sistemas infectados por bots
capaces de realizar acciones en una máquina bajo las órdenes de un
sistema remoto que los controla, denegaciones de servicio distribuidas,
etcétera”. María añade que los ataques ya no se diseñan de forma
genérica, sino que están especialmente dirigidos a organizaciones que ya
han sido estudiadas, en las que han buscado puntos débiles dentro de
sus redes y donde pueden propagarse y conocer qué recursos tienen y qué
desean conseguir. La integrante de Trend Micro se refiere a las
denominadas Amenazas Persistentes Avanzadas (Advanced
Persisten Threats en inglés) o APT. “Actualmente podemos decir que se
configuran como uno de los grandes retos de la seguridad”, confirma
Martínez.
Eduard Palomeras, consultor senior de Seguridad en CA Technologies,
se muestra de acuerdo con María Ramírez y señala a las APT como el tipo
de ataques “más sofisticados”. Palomeras también destaca el auge de las
amenazas “provenientes del interior de la organización ejecutados por
un usuario con privilegios no controlados o insuficientemente
monitorizados”. Y lo mismo ocurre con Mario García, director general de Check Point Iberia,
que sostiene que las APT “continuarán mientras los gobiernos y otras
organizaciones bien financiadas miren hacia el ciberespacio para llevar a
cabo su espionaje”. Mario continúa y subraya que estamos en un momento
en el que las amenazas contra los dispositivos se multiplican, al igual
que los ataques “relacionados con la tecnología HTML5 o tecnología cloud, que debido a su funcionamiento multiplataforma permiten aumentar el número de vectores de ataque por parte de los hackers”.
María Campos, country manager de Stonesoft Iberia,
ahonda en las APT por su versatilidad, “que les permite operar sobre
distintos protocolos como IPv4, IPv6, TCP y HTTP y actúan sin dejar
rastro, por lo que suponen un peligro real y grave. Lo más peligroso, de
todos modos, no es lo que ya conocemos, sino lo que está por venir”.
Por su parte, José Carlos García, responsable técnico de Enterasys,
declara que los ataques más activos en la actualidad son los “masivos
DDoS, los dirigidos de forma específica contra grandes empresas y
organismos públicos con sabotajes y espionaje entre estados, amenazas
internas y fugas de información, así como los derivados de toda la
explosión de dispositivos con capacidad para conectarse a una red de
comunicaciones”.
Cómo contrarrestar los ataques
Toda
acción conlleva una reacción. Por ello, las empresas de seguridad se
encargan de diseñar soluciones basadas en distintas tecnologías para que
las redes y los dispositivos sean entornos seguros. Alain Karioty, regional sales manager para Iberia y Latam de Corero Network Security,
dice que “habitualmente se utilizan WAF (Web Application Firewall) o
sistemas IPS. Su problema o limitación es que sólo inspeccionan el
tráfico HTTP (no DNS) y suelen instalarse en la red interna, por lo que
el firewall limita el tráfico de la conexión”. Alain prosigue en su intervención y revela que muchos fabricantes de firewalls
“han creado, en general comprando otras compañías, una nueva generación
de soluciones de seguridad dedicadas para posicionarlas delante de sus
cortafuegos, a las que se suman otras especializadas cuyo fin es
asegurar una protección más global frente a ataques DDoS, ataques contra
servidores o amenazas en la capa de aplicación. Es interesante destacar
que estos mismos fabricantes decían protegerse ante estas amenazas con
sus tecnologías habituales”.
Mario García, de Check Point,
asegura que en su compañía consideran “que para hacer frente a estas
amenazas hay adoptar soluciones que vayan más allá de la tecnología y
definir la seguridad como un proceso de negocio, esto es la denominada
Seguridad 3D, donde se combina la política, las personas y el
cumplimiento para lograr una mayor protección de los activos de la
información”. El director general de Check Point en Iberia explica que
hablando estrictamente de tecnología “es importante contar con una
arquitectura dinámica flexible, con soluciones sencillas que se adapten a
las necesidades de cada cliente o negocio. IPS, Application Control,
URL Filtering, antivirius y antibots son imprescindibles porque
actúan contra las amenazas más recientes. También es esencial contar
con tecnología puntera de colaboración, una solución en red capaz de
alimentar los gateways con inteligencia en tiempo real y
firmas. Por su parte, las soluciones DLP ayudan a proteger de forma
preventiva la información sensible ante pérdidas no intencionadas y
fugas de datos. Por último, podemos complementar todo esto con una
solución para la emulación de amenazas”.
Desde Enterasys, José Carlos García
recalca algunas “novedades reseñables como las soluciones MDM y MDP que
se aplican al campo de la movilidad”. Además, el responsable técnico de
Enterasys cree que tecnologías de seguridad perimetral “como los firewalls
de nueva generación y las soluciones de control y gestión de acceso a
las redes (NAC/NAM)” son otras opciones que merecen ser destacadas por
su relevancia en entornos BYOD.
Olof Sandstrom,
director de operaciones de Arsys, cree en la eficacia de sistemas como
los firewalls o los que previenen y detectan intrusos (IPS-IDS). Olof
aclara que estas tecnologías “se vienen utilizando desde hace años
porque, a pesar de la irrupción del cloud, las amenazas a las
que se enfrentan los entornos en la nube hoy son muy parecidas a las que
atacaban a sistemas físicos hace años. Los grandes avances están
viniendo por los correladores de eventos que recopilan la información de
los múltiples sistemas de seguridad y que pueden desencadenar
automáticamente acciones de defensa”. Para finalizar, Sandstrom destaca
la importancia de “la experiencia de un equipo de seguridad que
reaccione ante los ataques ya que estas medidas puramente tecnológica
difícilmente pueden garantizar por sí mismas la seguridad que requieren
las organizaciones”.
BYOD y concienciación
La
época en la que los empleados iban al trabajo con dos teléfonos en los
bolsillos, el suyo y el de la empresa, comienza a disiparse. Cada vez es
más común que estos trabajadores utilicen un mismo dispositivo para
trabajar y para llevar sus asuntos personales. Los smartphones y
las tabletas manejan aplicaciones de negocio que permiten a los
usuarios trabajar en cualquier momento y lugar. Algo positivo para las
empresas y traicionero para los empleados, que ahora pueden estar al pie
del cañón 24 horas al día sin excusas. Sin embargo, el auténtico reto que plantea esta tendencia es la seguridad en esos dispositivos. Un robo o una pérdida pueden liberar información importante y perjudicar gravemente el negocio de una compañía.
“El
fenómeno BYOD supone un peligro para cualquier corporación ya que puede
producir una fisura en el perímetro de seguridad de la red. Si no
disponemos de una política que contemple este fenómeno las consecuencias
pueden ser desastrosas”, declara Acacio Martín, director general de Fortinet Iberia.
¿Se pueden asegurar esos dispositivos con garantías? Acacio Martín
reconoce que “actuar sobre ellos como tal es muy complejo por la gran
variedad de sistemas operativos y aplicaciones que se utilizan, y
obligar a los empleados a contar con un software de seguridad
es una misión casi imposible. Nosotros apostamos por asegurar el núcleo
de la red, lo que supone llevar la seguridad a nivel de red más que a
nivel de endpoint”.
Mario García
opina que “la consumerización de las TI es una de las principales
preocupaciones de los CIOs, sobre todo por el tema de la privacidad de
la información confidencial almacenada en los aparatos usados. Por ello,
las organizaciones están demandando una estrategia de seguridad que va
mucho más allá de los antivirus y que pasa por establecer unas políticas
correctas de seguridad móvil, educar a los empleados en las mismas y
aplicar controles adecuados de acceso de datos y recursos
empresariales”.
José Carlos García
señala que BYOD “ha hecho mucha más evidente la falta de visibilidad y
control que se da en muchas organizaciones. La incapacidad para
caracterizar cada uno de los dispositivos y usuarios que intentan hacer
uso de nuestra infraestructura de comunicaciones es una de las causas
que impiden plantear controles de forma distribuida. Además está la
falta de control sobre las aplicaciones o determinados tipos de tráfico,
que puede afectar a la disponibilidad de la red a nivel global”.
Mario Romero, director de Consultoría y Proyectos en Osiatis,
dice que hay que buscar “el equilibrio entre la mejora de la
productividad que supone el uso de dispositivos móviles y la necesidad
de seguridad que implica el hecho de que almacenen datos corporativos.
Las soluciones de gestión de dispositivos móviles ayudan a controlar las
operaciones con rapidez y seguridad, a la que vez que reducen costes al
obtener visibilidad y control sobre el consumo de los mismos, así como a
fomentar el autocontrol y la productividad”.
Eduard Palomeras,
de CA Technologies, defiende que el uso de dispositivos personales en
el trabajo sirve, por un lado, como factor de autenticación de la
identidad del usuario y, por otro, como medio permeable a la
manipulación por parte de terceros. Por ello, conviene poner más énfasis
en la gestión del riesgo en tiempo real y en la autenticación versátil
para dar acceso a los datos y a las redes desde esos dispositivos”.
En Trend Micro, María Ramírez
sostiene que es “fundamental” implantar políticas de seguridad
específicas para BYOD. María avisa de que no hablamos únicamente de malware,
“sino también de otros problemas como fugas de información confidencial
que pueden ocasionar la extracción de datos sensibles. O el uso de
aplicaciones no apropiadas que se ejecutan en los dispositivos y que
pueden ocasionar infecciones y pérdidas de productividad”. María Campos,
de Stonesoft, valora el acceso remoto como “el eslabón más débil de la
red, por ello, las empresas han de desplegar una gestión global que
unifique las reglas de acceso y establecer niveles jerárquicos con
privilegios escalables”.
¿Y la concienciación? ¿Realmente están preparadas las empresas para BYOD? Olof Sandstrom
deja claro que el cliente pide “confianza y seriedad a la hora de
tratar sus datos”. Olof habla desde la perspectiva de Arsys, que es un
proveedor cloud, y cuenta cómo este tipo de compañías “deben garantizar
la seguridad y anticiparse a los posibles riesgos a través de
actualizaciones constantes de software, firewalls, antivirus,
sistemas de monitorización, etcétera. La elección del proveedor cloud es
clave para que una empresa cuente con la mayor disponibilidad de sus
datos de negocio y para garantizarse el cumplimiento de la Ley Orgánica
de Protección de Datos (LOPD). Es indispensable que las empresa sepa si
su proveedor tiene infraestructura propia y dónde se encuentra ésta”.
María Ramírez
asegura que la seguridad dentro de las empresas “es un área a la que
cada vez se le da más importancia”, aunque alerta sobre los peligros de
centrarse únicamente en herramientas antimalware porque “no es
suficiente”. María recomienda usar “tecnología de DLP (data Loss
Prevention), detección y mitigación de amenazas persistentes avanzadas,
sistemas de parcheo virtual o soluciones que detecten y prevengan
vulnerabilidades”.
José Carlos García
no es tan optimista respecto a la concienciación acerca de la seguridad
en las redes dentro de las empresas en relación a sus compañeros, o tal
vez es más realista. José Carlos responde que “seguramente no” no estén
más concienciadas. “Cada vez se pide más a los equipos de
profesionales, y al mismo tiempo los recursos y los presupuestos se
recortan. Esto es un indicador claro de que la seguridad no es una
prioridad para la empresa, o al menos indica que no se comprenden los
aspectos más básicos de la seguridad. Creo que lo más solicitado son
soluciones que permitan explotar mejor la información disponible. Las
redes y los sistemas contienen cantidades ingentes de información útil
sobre los usuarios internos, los clientes o los proveedores, y cuanto
mejor se analice y se comprenda todo esto, mejor y más rápido se puede
actuar cuando es necesario hacerlo”, matiza José Carlos. Por su parte,
Acacio Martín,
de Fortinet, añade que la seguridad “está dejando de ser una
preocupación únicamente de los CSOs y CIOs para pasar a ser un tema
comentado en los consejos de administración. Una brecha en la seguridad
puede conllevar graves pérdidas económicas y desprestigio en la
compañía. Aunque hay avances en la concienciación de la necesidad de
securizar sus redes por parte de las empresas, todavía hay muchas
organizaciones pequeñas y medianas que no invierten en esta área”.
María Campos
es más gráfica que sus compañeros reconociendo que “normalmente, hasta
que las empresas no viven en carne propia las consecuencias nefastas de
un ataque a sus activos de información, existe cierta despreocupación y
relajación sobre la seguridad de la red”.
La seguridad en la Administración Pública
Las
administraciones tampoco se salvan de los ataques. Las redes de estos
organismos también sufren amenazas diariamente en las que se mezclan
motivos económicos y políticos. ¿Cómo afronta la Administración Pública
esta situación? Mario García señala que la
Administración Pública es “una de las mayores impulsoras de la seguridad
en todos los ámbitos. Sin lugar a dudas. Las AAPP españolas son un
segmento dinámico que en líneas generales contempla la seguridad como un
valor importante dentro de sus presupuestos TI. Sin embargo, las
amenazas evolucionan con rapidez y es necesario actualizar las
infraestructuras, por lo que aún queda mucho trabajo por hacer”.
María Ramírez
opina que “hay casos muy diversos”. María reconoce que “se tiende a
pensar que en las redes de las administraciones los sistemas suelen
estar menos actualizados que en el resto de empresas, que los sistemas
operativos son antiguos y que la seguridad no está al día. Sin embargo,
tenemos muchos clientes en este ámbito con una concienciación muy buena
en materia de seguridad y están muy al día con el panorama del malware y
de los riesgos que hay en su entorno”.
José Carlos García
cree que la situación actual hace que la Administración Pública “este
sufriendo, aún más si cabe, con estas políticas de recortes. Y esto
lleva a la precariedad del servicio por múltiples razones”. Alain Karioty,
de Corero, dice que “por desgracia, la Administración Pública no está
al día en seguridad dentro de sus redes”. Alain revela que el Centro
Criptológico Nacional (CCN) publicó que durante 2012 las
administraciones registraron más de 100 incidentes catalogados con una
severidad muy alta o crítica. Alain finaliza su intervención añadiendo
que a pesar de todo esto, “las AAPP nacionales han empezado a
desarrollar proyectos para frenar problemas la introducción de código
malicioso o los ataques a páginas web”.
Por último, María Campos
explica que “los principales objetivos en una posible ciberguerra no
son los recursos militares sino las infraestructuras críticas. De hecho,
existen cada vez más ejemplos de ataques basados en sofisticados
programas de espionaje, capaces de replicar la información de las redes y
controlar los equipos que las integran”. Campos no se olvida de las
redes digitales industriales, “especialmente las de suministro de
servicios, como la de generación eléctrica, distribución de agua o
suministro de transportes, que son vitales y deben estar fuertemente
protegidas”.
