La Evoluci??n de Los Ataques al Punto Final

Por: Andrés Lamouroux S.

Hace poco tiempo, algunas personas que trabajan para un cliente nuestro me decían que no creían que su compañía o los negocios que esta hace, fueran objetivos para un ataque de seguridad que pudiera ser realizado por un delincuente cibernético (diferente a un ataque automatizado).

Esto lo escuchaba a pesar del hecho que esta empresa ya había sufrido incidentes de seguridad en dos ocasiones diferentes y de tal manera que se indicaba (sin indicio alguno) que estos habían sido causados por el mismo atacante. Y a pesar también que esta compañía se mueve en un campo que parece especialmente propicio para que se presente un desplome proverbio ya que casi todos los empleados que laboran allí hacen montones de dinero.

Uno podría pensar que la seguridad sería un problema de mayor prioridad para estas personas, pero al parecer el mensaje no ha sido captado plenamente por todas las partes.

Esto me ha hecho pensar sobre la seguridad del punto final (endpoint security) y lo increíblemente desconsiderada, y muchas veces subestimada, que es la seguridad en estas máquinas. En muchas empresas, los puntos finales son el grupo más grande de dispositivos en la red, y estas se encuentran adueñadas y son operadas por los usuarios de la empresa menos capacitados e ignorantes de la seguridad, sin embargo, la mayoría de las empresas consideran la protección de estos sistemas como una baja prioridad. “Sólo instala el antivirus, eso solucionará el problema!” se dicen entre ellos, y si tenemos suerte, ajustarán también las configuraciones del firewall.

Al mismo tiempo, el atacante simplemente se dedicará a atraer a los usuarios incautos a que accedan a un sitio web malicioso especialmente diseñado o enviará un correo masivo con un archivo PDF infectado. A pesar de haberles ya advertido a los usuarios miles de veces de no abrir archivos adjuntos de personas desconocidas de las que no se esperan esta clase de correos, ya sabemos que alguien terminará abriéndolos de algún modo.

Y es que en verdad, todo lo que se requiere es que un solo usuario deje a un lado las precauciones y permita que se active una puerta trasera en su red. También me gustaría señalar, ya que este pensamiento parece ser común, que ninguna configuración a nivel de políticas de grupo va a cambiar el resultado. Lo que se requiere en realidad es la concientización de los usuarios y de una protección adecuada en el punto final.

Teniendo en cuenta el punto anterior y observando la evolución del propósito que tienen las botnets de malware, queda claro que el cambio ya se encuentra financieramente motivado. Hace unos años, las botnets se utilizaban principalmente para realizar ataques de denegación de servicio (DDOS), pero desde entonces están han tomado un rumbo hacia la ganancia monetaria.

A partir de ataques DDOS básicos, las botnets se desplegaron para hacer dinero a través de programas de campaña publicitaria (click-advertisement) y de estudios de tendencias de navegación de los usuarios. Después de esto aparece el robo de información financiera, muchas veces conllevando al fraude de tarjetas de crédito y robo de identidad. En la actualidad estamos viendo el resurgimiento del ransomware, donde los datos del usuario son secuestrados hasta que el usuario paga una cierta cantidad antes de una fecha límite. Si no pagan, sus datos se pierden para siempre.

Los delincuentes involucrados (comúnmente delincuencia organizada) parecen estar refinando su estrategia. Donde alguna vez hicieron relativamente pequeñas sumas de dinero con una gran cantidad de sistemas, pretenden ahora obtener mayores ingresos por sistema adquirido. Esencialmente se dieron cuenta que hay un valor monetario por cada sistema del que se adueñan, y para ser más eficientes, están elevando el valor por sistema para maximizar las ganancias.

Esta idea rondó en mi cabeza durante un tiempo: ¿Qué haría yo para hacer más dinero? Si la idea es obtener el máximo de dinero por cada sistema, entonces debería buscar los sistemas que tienen mayor potencial para permitir el robo de dinero. Para mí, estaría descartado el sistema que es usado por el usuario promedio de Internet. Tendríamos que tener mucha suerte para tropezar con un objetivo rico y desprevenido, solo que de esos no hay muchos. Además, ¿cómo podríamos saber si nuestro objetivo es realmente rico?

La respuesta era simple: las empresas. Las empresas suelen tener más dinero que un usuario promedio de Internet y las formas de explotarlas son múltiples: extorsión, el robo de información, espionaje empresarial, fraude de tarjetas de crédito, en fin. Hay otra ventaja en este enfoque: la mayoría de las empresas despliegan sus estaciones de trabajo a través del uso de imágenes clonadas.

Eso muchas veces significa que si una estación de trabajo es vulnerable a un ataque determinado, es muy probable que las demás estaciones de trabajo en la red también lo sean. Más objetivos significan más posibilidades de acceso a la información que me gustaría obtener si yo fuera el atacante. Además, en la mayoría de los casos los usuarios de dichos puestos de trabajo se encuentran mucho menos motivados para ser precavidos en lo que a seguridad se refiere, ya que no estamos hablando de su computadora o de su dinero.

Siguiendo esta lógica, el futuro de la seguridad corporativa se ve sombrío. Las estaciones de trabajo son un objetivo mucho más tentador que lo que pueden ser los servidores o los switches de red, son más fáciles de vulnerar y hay muchos más recursos almacenados en estas. Los administradores tienen que ser conscientes que los atacantes (reales y automatizados) no atacarán el escudo que mantienen, sino que irán tras el objetivo detrás de ese escudo de cualquier forma posible. Esto significa que la metodología “duro por fuera / blando por dentro” utilizada para el aseguramiento de una red, está muerta, y de hecho lo ha estado desde hace mucho tiempo.

La protección del punto final seguirá siendo el nombre del juego, y lo que los fabricantes de software antivirus están haciendo actualmente no está funcionando. Es un enfoque fallido, algo que es cada vez más evidente con cada nuevo reporte que aparece sobre un incidente de seguridad importante. Un cambio debe hacerse antes de que la delincuencia organizada se dé cuenta de su verdadero potencial.

Advertisements
This entry was posted in Uncategorized and tagged , , , , , . Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s