¿Smartphone o tablet? ¿Redes fijas o inalámbricas? ¿BYOD o no BYOD? ¿Nube pública o privada? Estas preguntas se las hacen actualmente miles de empresas en toda España. El cloud computing y la lluvia de dispositivos ha disparado el número de plataformas y de modalidades capaces de gestionar la información. A más tráfico, más desafíos en seguridad. A más dispositivos, más control de los mismos. Obviamente, las organizaciones ven en estas tecnologías un aliado que puede fomentar el trabajo y la productividad. Pero ninguna ignora que un descuido puede resultar catastrófico. Mientras tanto, en la sombra, los cibercriminales se frotan las manos y planean cuál es su siguiente víctima. El malware crece, se multiplica a pasos agigantados, se especializa, se hace más fuerte, más inteligente e invisible. El usuario final, antaño el blanco de casi todos los ataques, ya no es el foco único y principal de estos ladrones de datos. Las organizaciones han pasado a ocupar un lugar privilegiado en su diana, ya que éstas mueven dinero, y el dinero mueve montañas. No hay que olvidar los organismos públicos y los gobiernos, un blanco atractivo y novedoso que desde hace un tiempo se está empezando a acostumbrar a los invitados no deseados. Por si fuera poco, las instituciones públicas no sólo deben hacer frente a ataques diseñados para obtener beneficios, sino que ahora reciben amenazas por parte de grupos y de usuarios que simplemente desean mostrar su disconformidad por un periodo de crisis que está llevando a la sociedad occidental al hartazgo generalizado. Numerosas páginas web de corporaciones, compañías, partidos políticos y gobiernos han sido hackeadas fruto de esa crispación que recorre hoy el globo.
Este es el escenario y estos son sus actores principales. Un mundo global, conectado, en el que los entornos laborales y profesionales se fusionan en tendencias recientes como BYOD. En definitiva, un gran océano por el que circulan miles de millones de datos. Y un montón de “pescadores” con su caña preparada, esperando el momento de debilidad en su presa, sabedores de que hay ventanas que se abren y que dejan escapar información muy valiosa y muy lucrativa. REDES & TELECOM ha charlado con ocho empresas que viven muy de cerca el mundo de la seguridad en las redes y en los dispositivos: Arsys, Trend Micro, CA Technologies, Osiatis, Enterasys, Check Point, Stonesoft, Corero Network Security y Fortinet. Nos han dado su visión sobre el estado actual de la seguridad en las redes tanto en el entorno empresarial como en la Administración Pública, desgranando los ataques más nocivos a los que todo tipo de organizaciones deben hacer frente.
Ataques más activos
¿Cuáles son los ataques más de moda entre los cibercriminales? Olof Sandstrom, director de Operaciones de Arsys, explica que “aunque los más mediáticos suelen ser los ataques de Denegación de Servicio (DoS) o los deface (cambiar la apariencia de un site), las familias de ataques más habituales son los escaneos de puertos y de vulnerabilidades, que buscan tratan de explotar las debilidades en los sistemas de las organizaciones. Esto deriva en herramientas de hacking más concretas que en muchas ocasiones persiguen al usuario final, como el phising, pharming, iframes, SQL Injection o spyware, entre otras”. Olof reconoce que hay muchos ataques, y es muy explícito cuando revela que “hoy en día cualquier servidor que esté conectado a Internet es atacado en cuanto está online”.
MaríaRamírez, senior sales engineer de Trend Micro, apunta que en las compañías de mediano y gran tamaño “se observa que existen, en su mayoría, infecciones provocadas por malware de robo de información, sistemas infectados por bots capaces de realizar acciones en una máquina bajo las órdenes de un sistema remoto que los controla, denegaciones de servicio distribuidas, etcétera”. María añade que los ataques ya no se diseñan de forma genérica, sino que están especialmente dirigidos a organizaciones que ya han sido estudiadas, en las que han buscado puntos débiles dentro de sus redes y donde pueden propagarse y conocer qué recursos tienen y qué desean conseguir. La integrante de Trend Micro se refiere a las denominadas Amenazas Persistentes Avanzadas (Advanced Persisten Threats en inglés) o APT. “Actualmente podemos decir que se configuran como uno de los grandes retos de la seguridad”, confirma Martínez.
Eduard Palomeras, consultor senior de Seguridad en CA Technologies, se muestra de acuerdo con María Ramírez y señala a las APT como el tipo de ataques “más sofisticados”. Palomeras también destaca el auge de las amenazas “provenientes del interior de la organización ejecutados por un usuario con privilegios no controlados o insuficientemente monitorizados”. Y lo mismo ocurre con Mario García, director general de Check Point Iberia, que sostiene que las APT “continuarán mientras los gobiernos y otras organizaciones bien financiadas miren hacia el ciberespacio para llevar a cabo su espionaje”. Mario continúa y subraya que estamos en un momento en el que las amenazas contra los dispositivos se multiplican, al igual que los ataques “relacionados con la tecnología HTML5 o tecnología cloud, que debido a su funcionamiento multiplataforma permiten aumentar el número de vectores de ataque por parte de los hackers”.
María Campos, country manager de Stonesoft Iberia, ahonda en las APT por su versatilidad, “que les permite operar sobre distintos protocolos como IPv4, IPv6, TCP y HTTP y actúan sin dejar rastro, por lo que suponen un peligro real y grave. Lo más peligroso, de todos modos, no es lo que ya conocemos, sino lo que está por venir”. Por su parte, José Carlos García, responsable técnico de Enterasys, declara que los ataques más activos en la actualidad son los “masivos DDoS, los dirigidos de forma específica contra grandes empresas y organismos públicos con sabotajes y espionaje entre estados, amenazas internas y fugas de información, así como los derivados de toda la explosión de dispositivos con capacidad para conectarse a una red de comunicaciones”.
Cómo contrarrestar los ataques
Toda acción conlleva una reacción. Por ello, las empresas de seguridad se encargan de diseñar soluciones basadas en distintas tecnologías para que las redes y los dispositivos sean entornos seguros. Alain Karioty, regional sales manager para Iberia y Latam de Corero Network Security, dice que “habitualmente se utilizan WAF (Web Application Firewall) o sistemas IPS. Su problema o limitación es que sólo inspeccionan el tráfico HTTP (no DNS) y suelen instalarse en la red interna, por lo que el firewall limita el tráfico de la conexión”. Alain prosigue en su intervención y revela que muchos fabricantes de firewalls “han creado, en general comprando otras compañías, una nueva generación de soluciones de seguridad dedicadas para posicionarlas delante de sus cortafuegos, a las que se suman otras especializadas cuyo fin es asegurar una protección más global frente a ataques DDoS, ataques contra servidores o amenazas en la capa de aplicación. Es interesante destacar que estos mismos fabricantes decían protegerse ante estas amenazas con sus tecnologías habituales”.
Mario García, de Check Point, asegura que en su compañía consideran “que para hacer frente a estas amenazas hay adoptar soluciones que vayan más allá de la tecnología y definir la seguridad como un proceso de negocio, esto es la denominada Seguridad 3D, donde se combina la política, las personas y el cumplimiento para lograr una mayor protección de los activos de la información”. El director general de Check Point en Iberia explica que hablando estrictamente de tecnología “es importante contar con una arquitectura dinámica flexible, con soluciones sencillas que se adapten a las necesidades de cada cliente o negocio. IPS, Application Control, URL Filtering, antivirius y antibots son imprescindibles porque actúan contra las amenazas más recientes. También es esencial contar con tecnología puntera de colaboración, una solución en red capaz de alimentar los gateways con inteligencia en tiempo real y firmas. Por su parte, las soluciones DLP ayudan a proteger de forma preventiva la información sensible ante pérdidas no intencionadas y fugas de datos. Por último, podemos complementar todo esto con una solución para la emulación de amenazas”.
Desde Enterasys, José Carlos García recalca algunas “novedades reseñables como las soluciones MDM y MDP que se aplican al campo de la movilidad”. Además, el responsable técnico de Enterasys cree que tecnologías de seguridad perimetral “como los firewalls de nueva generación y las soluciones de control y gestión de acceso a las redes (NAC/NAM)” son otras opciones que merecen ser destacadas por su relevancia en entornos BYOD.
Olof Sandstrom, director de operaciones de Arsys, cree en la eficacia de sistemas como los firewalls o los que previenen y detectan intrusos (IPS-IDS). Olof aclara que estas tecnologías “se vienen utilizando desde hace años porque, a pesar de la irrupción del cloud, las amenazas a las que se enfrentan los entornos en la nube hoy son muy parecidas a las que atacaban a sistemas físicos hace años. Los grandes avances están viniendo por los correladores de eventos que recopilan la información de los múltiples sistemas de seguridad y que pueden desencadenar automáticamente acciones de defensa”. Para finalizar, Sandstrom destaca la importancia de “la experiencia de un equipo de seguridad que reaccione ante los ataques ya que estas medidas puramente tecnológica difícilmente pueden garantizar por sí mismas la seguridad que requieren las organizaciones”.
BYOD y concienciación
La época en la que los empleados iban al trabajo con dos teléfonos en los bolsillos, el suyo y el de la empresa, comienza a disiparse. Cada vez es más común que estos trabajadores utilicen un mismo dispositivo para trabajar y para llevar sus asuntos personales. Los smartphones y las tabletas manejan aplicaciones de negocio que permiten a los usuarios trabajar en cualquier momento y lugar. Algo positivo para las empresas y traicionero para los empleados, que ahora pueden estar al pie del cañón 24 horas al día sin excusas. Sin embargo, el auténtico reto que plantea esta tendencia es la seguridad en esos dispositivos. Un robo o una pérdida pueden liberar información importante y perjudicar gravemente el negocio de una compañía.
“El fenómeno BYOD supone un peligro para cualquier corporación ya que puede producir una fisura en el perímetro de seguridad de la red. Si no disponemos de una política que contemple este fenómeno las consecuencias pueden ser desastrosas”, declara Acacio Martín, director general de Fortinet Iberia. ¿Se pueden asegurar esos dispositivos con garantías? Acacio Martín reconoce que “actuar sobre ellos como tal es muy complejo por la gran variedad de sistemas operativos y aplicaciones que se utilizan, y obligar a los empleados a contar con un software de seguridad es una misión casi imposible. Nosotros apostamos por asegurar el núcleo de la red, lo que supone llevar la seguridad a nivel de red más que a nivel de endpoint”.
Mario García opina que “la consumerización de las TI es una de las principales preocupaciones de los CIOs, sobre todo por el tema de la privacidad de la información confidencial almacenada en los aparatos usados. Por ello, las organizaciones están demandando una estrategia de seguridad que va mucho más allá de los antivirus y que pasa por establecer unas políticas correctas de seguridad móvil, educar a los empleados en las mismas y aplicar controles adecuados de acceso de datos y recursos empresariales”.
José Carlos García señala que BYOD “ha hecho mucha más evidente la falta de visibilidad y control que se da en muchas organizaciones. La incapacidad para caracterizar cada uno de los dispositivos y usuarios que intentan hacer uso de nuestra infraestructura de comunicaciones es una de las causas que impiden plantear controles de forma distribuida. Además está la falta de control sobre las aplicaciones o determinados tipos de tráfico, que puede afectar a la disponibilidad de la red a nivel global”.
Mario Romero, director de Consultoría y Proyectos en Osiatis, dice que hay que buscar “el equilibrio entre la mejora de la productividad que supone el uso de dispositivos móviles y la necesidad de seguridad que implica el hecho de que almacenen datos corporativos. Las soluciones de gestión de dispositivos móviles ayudan a controlar las operaciones con rapidez y seguridad, a la que vez que reducen costes al obtener visibilidad y control sobre el consumo de los mismos, así como a fomentar el autocontrol y la productividad”.
Eduard Palomeras, de CA Technologies, defiende que el uso de dispositivos personales en el trabajo sirve, por un lado, como factor de autenticación de la identidad del usuario y, por otro, como medio permeable a la manipulación por parte de terceros. Por ello, conviene poner más énfasis en la gestión del riesgo en tiempo real y en la autenticación versátil para dar acceso a los datos y a las redes desde esos dispositivos”.
En Trend Micro, María Ramírez sostiene que es “fundamental” implantar políticas de seguridad específicas para BYOD. María avisa de que no hablamos únicamente de malware, “sino también de otros problemas como fugas de información confidencial que pueden ocasionar la extracción de datos sensibles. O el uso de aplicaciones no apropiadas que se ejecutan en los dispositivos y que pueden ocasionar infecciones y pérdidas de productividad”. María Campos, de Stonesoft, valora el acceso remoto como “el eslabón más débil de la red, por ello, las empresas han de desplegar una gestión global que unifique las reglas de acceso y establecer niveles jerárquicos con privilegios escalables”.
¿Y la concienciación? ¿Realmente están preparadas las empresas para BYOD? Olof Sandstrom deja claro que el cliente pide “confianza y seriedad a la hora de tratar sus datos”. Olof habla desde la perspectiva de Arsys, que es un proveedor cloud, y cuenta cómo este tipo de compañías “deben garantizar la seguridad y anticiparse a los posibles riesgos a través de actualizaciones constantes de software, firewalls, antivirus, sistemas de monitorización, etcétera. La elección del proveedor cloud es clave para que una empresa cuente con la mayor disponibilidad de sus datos de negocio y para garantizarse el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD). Es indispensable que las empresa sepa si su proveedor tiene infraestructura propia y dónde se encuentra ésta”.
María Ramírez asegura que la seguridad dentro de las empresas “es un área a la que cada vez se le da más importancia”, aunque alerta sobre los peligros de centrarse únicamente en herramientas antimalware porque “no es suficiente”. María recomienda usar “tecnología de DLP (data Loss Prevention), detección y mitigación de amenazas persistentes avanzadas, sistemas de parcheo virtual o soluciones que detecten y prevengan vulnerabilidades”.
José Carlos García no es tan optimista respecto a la concienciación acerca de la seguridad en las redes dentro de las empresas en relación a sus compañeros, o tal vez es más realista. José Carlos responde que “seguramente no” no estén más concienciadas. “Cada vez se pide más a los equipos de profesionales, y al mismo tiempo los recursos y los presupuestos se recortan. Esto es un indicador claro de que la seguridad no es una prioridad para la empresa, o al menos indica que no se comprenden los aspectos más básicos de la seguridad. Creo que lo más solicitado son soluciones que permitan explotar mejor la información disponible. Las redes y los sistemas contienen cantidades ingentes de información útil sobre los usuarios internos, los clientes o los proveedores, y cuanto mejor se analice y se comprenda todo esto, mejor y más rápido se puede actuar cuando es necesario hacerlo”, matiza José Carlos. Por su parte,
Acacio Martín, de Fortinet, añade que la seguridad “está dejando de ser una preocupación únicamente de los CSOs y CIOs para pasar a ser un tema comentado en los consejos de administración. Una brecha en la seguridad puede conllevar graves pérdidas económicas y desprestigio en la compañía. Aunque hay avances en la concienciación de la necesidad de securizar sus redes por parte de las empresas, todavía hay muchas organizaciones pequeñas y medianas que no invierten en esta área”.
María Campos es más gráfica que sus compañeros reconociendo que “normalmente, hasta que las empresas no viven en carne propia las consecuencias nefastas de un ataque a sus activos de información, existe cierta despreocupación y relajación sobre la seguridad de la red”.
La seguridad en la Administración Pública
Las administraciones tampoco se salvan de los ataques. Las redes de estos organismos también sufren amenazas diariamente en las que se mezclan motivos económicos y políticos. ¿Cómo afronta la Administración Pública esta situación? Mario García señala que la Administración Pública es “una de las mayores impulsoras de la seguridad en todos los ámbitos. Sin lugar a dudas. Las AAPP españolas son un segmento dinámico que en líneas generales contempla la seguridad como un valor importante dentro de sus presupuestos TI. Sin embargo, las amenazas evolucionan con rapidez y es necesario actualizar las infraestructuras, por lo que aún queda mucho trabajo por hacer”.
MaríaRamírez opina que “hay casos muy diversos”. María reconoce que “se tiende a pensar que en las redes de las administraciones los sistemas suelen estar menos actualizados que en el resto de empresas, que los sistemas operativos son antiguos y que la seguridad no está al día. Sin embargo, tenemos muchos clientes en este ámbito con una concienciación muy buena en materia de seguridad y están muy al día con el panorama del malware y de los riesgos que hay en su entorno”.
José Carlos García cree que la situación actual hace que la Administración Pública “este sufriendo, aún más si cabe, con estas políticas de recortes. Y esto lleva a la precariedad del servicio por múltiples razones”. Alain Karioty, de Corero, dice que “por desgracia, la Administración Pública no está al día en seguridad dentro de sus redes”. Alain revela que el Centro Criptológico Nacional (CCN) publicó que durante 2012 las administraciones registraron más de 100 incidentes catalogados con una severidad muy alta o crítica. Alain finaliza su intervención añadiendo que a pesar de todo esto, “las AAPP nacionales han empezado a desarrollar proyectos para frenar problemas la introducción de código malicioso o los ataques a páginas web”.
Por último, María Campos explica que “los principales objetivos en una posible ciberguerra no son los recursos militares sino las infraestructuras críticas. De hecho, existen cada vez más ejemplos de ataques basados en sofisticados programas de espionaje, capaces de replicar la información de las redes y controlar los equipos que las integran”. Campos no se olvida de las redes digitales industriales, “especialmente las de suministro de servicios, como la de generación eléctrica, distribución de agua o suministro de transportes, que son vitales y deben estar fuertemente protegidas”.
