Hacking, cracking y delitos informáticos son temas latentes en la actualidad y seguirán siéndolo en un futuro previsible. Sin embargo, hay pasos que se pueden dar para reducir el nivel de amenazas en las organizaciones.

El primer paso consiste en entender cuáles son los riesgos, las amenazas y las vulnerabilidades que existen actualmente en el entorno. El segundo paso es aprender tanto como sea posible sobre los problemas para poder articular una respuesta sólida. El tercer paso radica en desplegar inteligentemente las contramedidas y salvaguardas para construir una protección en torno a los activos más críticos.

Haciendo la tarea
No quiero decir que los atacantes penetran en su red consiguiendo su trabajo desde la escuela, pero es posible que le sorprenda lo mucho que aprenden en la escuela sobre cómo comprometer la seguridad. Los atacantes, sobre todo los atacantes externos, aprenden a superar las barreras de seguridad investigando su organización. Este proceso puede ser llamado de reconocimiento, descubrimiento o footprinting. En última instancia, esto es producto de una investigación intensiva, enfocada en obtener toda la información disponible sobre su organización de recursos públicos y no tan públicos.

Si ha realizado algún estudio o lectura sobre tácticas de guerra, es consciente de que el arma más importante que puede tener a su disposición es la información. Los atacantes lo saben y dedican mucho tiempo y esfuerzo a adquirir un completo arsenal. Lo que a menudo es desconcertante es cuánto su organización contribuye libremente al acopio del arsenal de armas de los atacantes.

La mayoría de las organizaciones son hemorragias de datos; las empresas dan libremente demasiada información que puede ser utilizada en su contra a través de diversos tipos de ataques lógicos y físicos. Aquí sólo se encuentran algunos de los ejemplos más comunes de la información que un atacante puede obtener sobre su organización, por lo general, en cuestión de minutos:

• Los nombres de sus altos ejecutivos y de cualquier empleado llamativo pueden ser obtenidos examinando sus comunicados de prensa.
• La dirección de la empresa, números telefónicos y números de fax desde el registro de nombres de dominio.
• El proveedor de servicio a Internet.
• La dirección de la casa de los empleados, sus números telefónicos, currículum vitae de los empleados, los miembros de su familia, antecedentes penales y mucho más buscando sus nombres en varios sitios de investigación gratuitos y pagos.
• Los sistemas operativos, los principales programas utilizados, los lenguajes de programación, plataformas especiales, fabricantes de los dispositivos de red utilizados y mucho más desde los anuncios en sitios de empleos.
• Debilidades físicas, puntos de ventaja, señales activas, formas de entrada, coberturas para los caminos de acceso y más a través de imágenes satelitales de su empresa y las direcciones de los empleados.
• Nombres de usuario, direcciones de correo electrónico, números de teléfono, estructura de archivos, nombres de archivos, tipos de sistemas operativos, la plataforma del servidor web, lenguajes de script, entornos de aplicaciones web y más con escaners de sitios web.
• Documentos confidenciales accidentalmente enviados a un sitio web como archivo.org o Google Hacking.
• Fallos de los productos, problemas con el personal, publicaciones internas, políticas de la empresa y muchos más desde blogs, comentarios, críticas de la empresa y servicios de inteligencia competitiva.

Como se puede ver, no hay fin a la información que un atacante puede obtener desde fuentes públicas abiertas. Esta lista de ejemplos es sólo un comienzo. Cada dato obtenido por el atacante, puede llevar al descubrimiento de más información. A menudo, un atacante gastará más del 90% de su tiempo en actividades de reconocimiento y obtención de información. Cuanto más aprende el atacante sobre el objetivo, más fácil será el posterior ataque.

En cuanto a la defensa que en última instancia está pérdida, principalmente porque ya es demasiado tarde, vale aclarar que una vez que la información se encuentra en Internet, siempre estará allí disponible. Evidentemente, puede limpiar cualquier recurso de información que se encuentre bajo su control directo. Incluso, puede ponerse en contacto con quienes poseen su información y solicitar que cambien su información.

Algunos sistemas de información en línea como los registros de dominios (pagos), ofrecen privacidad y seguridad en los servicios (por una cuota por supuesto). También se puede controlar o limitar la salida de información en el futuro siendo más discreto en los anuncios, los detalles de productos, comunicados de prensa, etc.

Sin embargo, esa es la información que se encuentra en Internet que no puede ser modificada o eliminada la que continuará erosionando su seguridad. La única forma de manejar la información fuera de control es modificar su entorno a fin de que ya no sea correcta o relevante. Piense en esto como un nuevo camino para apartarse de los valores por defecto o por lo menos de los conocidos con anterioridad...

Investigación y monitoreo de vulnerabilidades
Los atacantes tienen acceso a la investigación de las mismas vulnerabilidades que usted. Son capaces de leer los sitios Web, foros, blogs y otros servicios de información pública sobre problemas conocidos, publicaciones y vulnerabilidades en los dispositivos y programas. Cuanto más puede descubrir el atacante acerca de los posibles puntos de ataque, lo más probable es que puede descubrir una debilidad que todavía no ha sido solventada, protegida, o incluso descubierta.

Para combatir la investigación de vulnerabilidad por parte del atacante, tiene que estar tan atento como el atacante. Es necesario buscar los problemas con el fin de protegerse de ellos con la misma intensidad con la que el atacante busca problemas para explotar. Esto significa mantenerse informado en los grupos de discusión y sitios web de todos y cada uno de los fabricantes cuyos productos utiliza la organización.

Además, es necesario visitar los sitios web de terceros para obtener más información sobre las cuestiones relacionadas a las fallas que los fabricantes no hacen públicos o que aún no tienen soluciones sencillas. Esto incluye lugares como securityfocus.com, US CERT, hackerstorm.com y hackerwatch.org.

Sea paciente y persistente
Atacar la red de una compañía no es una tarea que típicamente que alguien puede realizar de manera completa en un período corto de tiempo. Por lo general, los atacantes investigan sus objetivos durante semanas o meses antes de comenzar sus primeras interacciones lógicas contra su objetivo con herramientas de exploración, banner-grabbing y rastreo de los servicios públicos. Y aún así, sus actividades iniciales son sondeos sutiles para verificar los datos que juntaron a través de su intensiva investigación "autónoma".

Una vez que los atacantes han creado un perfil de la organización, comienzan entonces a seleccionar un punto de ataque determinado, diseñar el ataque, probar el ataque, mejorarlo, programarlo y por último, ejecutarlo.

En la mayoría de los casos, el objetivo del atacante no es golpear la red de manera que usted pueda detectar sus actividades. Contrariamente, el atacante tiene como meta acceder al sistema de manera sutil para que nadie se percate de que un acceso no autorizado está ocurriendo. Los ataques más devastadores son los que pasan desapercibidos durante largos periodos de tiempo mientras el atacante mantiene un amplio control sobre el ambiente.

Una invasión puede permanecer no detectada casi indefinidamente si es ejecutado por un hacker que es paciente y persistente. La intrusión más exitosa es a menudo la que se realiza de a pasos pequeños uno a la vez y en períodos de tiempo significativos entre cada paso, por lo menos hasta el punto de la violación.

Una vez que el atacante ha logrado entrar, rápidamente deposita herramientas que ocultan su presencia y les brindan un mayor grado de control sobre el objetivo. Ya implantadas estas herramientas, se ocultan y se activan, para que luego puedan acceder al sistema y salir de ellos cuando quieran.

Del mismo modo, la protección contra la intrusión de los atacantes también es una tarea en la que hay que tener pacientes y persistencia. Se debe ser capaz de ver, incluso, el detalle de las actividades más pequeñas de la red con procesos de auditoría estandarizados, así como un sistema automático de IDS/IPS.

Nunca permita que cualquier anomalía quede sin investigar. Se debe tener sentido común y seguir las mejores prácticas recomendadas por los profesionales de seguridad, y mantenerse actualizado sobre los parches, actualizaciones y mejoras de los sistemas. Sin embargo, hay que ser consciente que la seguridad no es un objetivo que puede ser obtenido en su totalidad. No existe un entorno perfectamente seguro.

Cada mecanismo de seguridad puede ser engañado, superado, deshabilitado, eludido, explotado o inutilizado. A menudo un atacante tiene éxito porque suele ser más persistente que el profesional de seguridad que intenta proteger un entorno.

En última instancia, es una carrera de armamentos para ver quien parpadea  o quién se queda atrás primero. Con suficiente tiempo, herramientas adecuadas, suficiente experiencia y habilidad, recolección de información y persistencia, un atacante puede encontrar una forma de violar cualquier sistema de seguridad.

Juegos de confianza
La buena noticia sobre la piratería informática de hoy es que muchos mecanismos de seguridad son muy eficaces contra la mayoría de los intentos de hacking. Firewalls, IDS, IPSes y programas antimalware han hecho de las intrusiones y del hacking una tarea difícil.

Sin embargo, la mala noticia es que muchos atacantes han ampliado sus estrategias a fin de incluir metodologías de engaño más eficaces (ingeniería social): los atacantes van en busca del eslabón más débil de la seguridad en cualquier organización: las personas.

Las personas han sido siempre el mayor problema de seguridad porque son el único elemento dentro del ambiente asegurado de las organizaciones que tienen la capacidad de decidir romper las reglas. Las personas pueden ser coaccionadas, engañadas, o forzadas a la violación de algún aspecto del sistema de seguridad con el fin de conceder un acceso al atacante.

El antiguo problema de gente explotando a otras personas aprovechándose de la naturaleza humana hoy ha regresado como un medio utilizado para eludir modernos esquemas y tecnologías de seguridad. La protección contra la ingeniería social es principalmente la educación. La capacitación del personal sobre lo que deben buscar y que debe informar toda anomalía o intención extraña pueden ser contramedidas eficaces.

Pero esto sólo es válido si cada persona dentro de la organización comprende que es el objetivo de la Ingeniería Social. De hecho, mientras más crea una persona que su posición en la empresa es de tan poca importancia que no sería un objetivo que valga la pena, más será en realidad el objetivo preferido del atacante.

Desde el interior
Con demasiada frecuencia cuando se discute sobre los atacantes, se supone que se trata de una persona desconocida del exterior. Sin embargo, varios estudios han demostrado que la mayoría de violaciones de seguridad son cometidos por los mismos empleados.

Así, una de las formas más eficaces para que un atacante viole la seguridad es siendo un empleado. Esto se puede leer de dos maneras diferentes.

En primer lugar, el atacante puede conseguir un trabajo en la empresa objetivo y luego explotar el acceso una vez que ganó confianza dentro de la organización. En segundo lugar, un empleado existente de la organización puede convertirse en un empleado disgustado y optar por causar daños a la empresa como una forma de venganza o retribución.

En cualquiera de los casos, cuando alguna persona de la organización decide atacar la red de la empresa, muchas de las defensas de seguridad implementadas contra atacantes y accesos no autorizados a menudo son ineficaces. Por el contrario, se deben desplegar defensas internas específicas para la gestión de las amenazas internas.

Esto podría incluir el monitoreo a través de teclado, estricta configuración del principio de privilegios mínimos, prevenir que los usuarios instalen programas, no permitir el uso de dispositivos extraíbles, deshabilitar todos los puertos USB, realizar auditorías exhaustivas, implementación de IDS/IPS, filtrado y monitoreo de Internet.

Conclusión
Hay muchas maneras y caminos posibles que un atacante puede tomar para obtener acceso a un entorno aparentemente seguro. Es responsabilidad de todos y cada una de las personas que forman parte de una organización apoyar los esfuerzos de seguridad y observar los eventos anormales.

Tenemos que garantizar la máxima seguridad en los entornos tecnológicos hasta donde dan nuestras capacidades y presupuestos, mientras vigilamos cualquier inevitable intento de violación. En esta continua carrera armada, se requiere atención, es necesario ser persistente y el conocimiento es un valor incalculable.

El autor de este informe, James Michael Stewart, trabaja con computadoras y tecnologías desde hace más de 20 años. Instructor en Global Knowledge es autor de varios libros sobre seguridad, certificaciones y asuntos de administración. El artículo fue traducido y publicado en español en el boletin semanal del portal Segu-Info.

(©) iProfesional.com