Sxc | Foto: Sxc

Seguridad

No hay que exagerar las amenazas cibernéticas

A la luz de algunas de las amenazas y ataques cibernéticos más famosos de 2011, el experto en tecnología John Lyne asegura que la ciberseguridad es importante, pero a menudo se exageran las amenazas.

3 de enero de 2012

2011 fue el año de la toma de conciencia de la ciberseguridad, con titulares frecuentes sobre informes acerca de ciberataques graves y referencias a la "ciberguerra".

Como resultado, la "ciberseguridad" obtuvo la atención que se merece y nos permitió enfrentarnos a algunas cuestiones muy reales.

En los últimos 18 meses también hubo una avalancha de ataques a infraestructuras nacionales y sistemas de control de suma importancia utilizados por instalaciones como estaciones eléctricas y plantas de tratamiento de aguas.

Estos ataques, aunque no son nuevos del todo, hicieron que el interés entre los hackers y el público general creciera.

Estos movimientos fueron particularmente interesantes ya que se alejaron de los objetivos más comunes de los delincuentes cibernéticos durante los últimos años: el fraude y las tarjetas de crédito.

Análisis inexactos

Amenazas como las de Stuxnet y Duqu se hicieron famosas por ir contra esos sistemas. Por desgracia, también propiciaron un alud de sobreactuación en materia de seguridad y un exceso de especulaciones que alimentó a los medios de comunicación y los grupos de discusión sobre seguridad.

Hubo muchos datos inexactos y datos contradictorios que condujeron a todo tipo de conclusiones interesantes sobre los objetivos y los orígenes de los atacantes.

Por ejemplo, el número 19790509 se encontró en el código de Stuxnet.

Su significado, según la explicación de varios individuos, osciló desde un código de referencia de una solicitud de construcción de una cocina –algunos, descontentos, aseguraron que aunque las solicitudes de construcción sean probablemente irritantes, no llegan al extremo de crear "malware" para infectar sistemas de control- y la fecha de una ejecución políticamente importante de un iraní en Teherán.

Mi teoría favorita: era el cumpleaños de Rosario Dawson, protagonista de "Men in Black 2".

Dado que hay formas incontables de interpretar este número, es de sabios cuestionar los hechos, sobre todo cuando las discusiones están llenas de afirmaciones contradictorias de expertos que dicen "obviamente, la respuesta es X".

Más que intentar especular, tiene más sentido centrarse en lo que podemos hacer realmente para mitigar las cuestiones reales, conocidas.

¿La amenaza de Stuxnet?

De un modo similar, muchos anunciaron que Stuxnet era una especia de supervirus imposible de bloquear.

Me gustó especialmente la versión de que Stuxnet podría haber cerrado toda la red de transportes del Reino Unido.

Eso hubiera sido impresionante ya que la última vez que eché un vistazo al tema, esos sistemas de transporte no estaban tan integrados ni conectados.

El hecho es que, aunque Stuxnet era sin duda interesante, fue detectable y no puso en práctica ninguna de las técnicas repugnantes que vemos en gran parte del malware moderno que lo hace difícil de detectar y bloquear.

Por ejemplo, muchas de las amenazas actuales cambian frecuentemente de "apariencia" para dificultar su detección. En realidad, en SophosLabs vemos una media de 150.000 amenazas nuevas cada día y muchas de ellas utilizan ese tipo de herramientas desagradables.

Stuxnet no hizo eso, pero demostró que el uso liberal de llaves USB en entornos supuestamente aislados es una práctica habitual y que el uso de controles básicos de seguridad, incluidos programas antivirus, es por desgracia poco frecuente en sitios web afectados.

Pero, ¿qué hay del impacto potencial de esas amenazas? Supervirus o no, los sistemas de control que estaban en su punto de mira están realmente conectados a aparatos importantes de los que debemos preocuparnos.

Del mismo modo, hay agujeros de seguridad evidentes que hay que reparar, tal como demostró un hacker que aportó pruebas de haber penetrado en una planta de tratamiento de aguas en el Sur de Houston, en Estados Unidos.

Stuxnet y otros ataques muestran que en realidad lo que falla en estos sistemas son las prácticas básicas de seguridad, más que el éxito de supervirus imposibles de bloquear.

Errores básicos

Fallos en el refuerzo de software, fallos en la implementación de controles de seguridad básicos, fallos en el uso de contraseñas decentes y una confianza enorme y poco realista en el aislamiento –redes aisladas de internet y de otros computadores no seguros- son la causa real del fracaso.

Sí, es correcto, estos son problemas tradicionales de computadoras personales.

La cuestión no podría expresarse mejor que en las palabras de un hacker involucrado en uno de estos ataques, pr0f: "me introduje a un par de tipos diferentes de sistemas, pero no me engaño sobre mi nivel de habilidades. Esos son los sistemas menos seguros".

No quiero de ningún modo restar importancia a la severidad de los ataques a infraestructuras tan importantes o a la ciberseguridad en general. Claramente existe una amenaza real.

Sin embargo, la ciberseguridad depende tanto de la proporcionalidad y exactitud de esas cuestiones reales.

Sin eso, el remedio resulta más difícil, sobre todo si las compañías se inclinan hacia intentar resolver una teoría sobredimensionada más que cuestiones reales con presupuestos por lo general limitados.

En cuanto a 2012, es probable que veamos más ejemplos de este tipo de ataques.

Hay todavía muchos sistemas que no aplican las medidas adecuadas y parece que está de moda transigir.

Pero todos haríamos bien en recordar que el ataque más llamativo no es necesariamente la prioridad número uno y deberíamos ser escépticos en ciertas ocasiones, del mismo modo que lo somos con los mensajes de spam que recibimos por internet.