Hace unos días leí un artículo en darkreading sobre la publicación de una gran cantidad de información sensible de los servidores de 70 agencias de las fuerzas de seguridad de los Estados Unidos por parte del grupo cyber-activista (o cyber-terrorista, para gustos) Anonymous. Entre los datos que se pueden consultar figuran las fichas de la Seguridad Social de agentes, fechas de nacimiento, direcciones postales, números de teléfonos, números de tarjetas de crédito, direcciones de email y números de permisos de conducir. Entre todos estos datos figuran información sobre agentes infiltrados e informadores.
Poco tiempo después, en otro artículo de la misma web se profundizaba sobre el tema y se hablaba de las posibles consecuencias que la publicación de esos datos podrían ocasionar a las personas que vieron sus datos recogidos en ese documento que Anonymous publicó a través de las redes P2P como un mero acto de venganza de esta organización por la detención del portavoz de otra organización similar, Lulzsec. En este caso no se trata de perder el trabajo, se trata de perder la vida.
En el segundo artículo aparece un dato importante: se pudo obtener toda esta información mediante un ataque “SQL injection”. Para los menos expertos, se trata de ejecutar código malicioso dentro de una web, base de datos o servidor mediante el aprovechamiento de agujeros de seguridad en el código SQL que se ha utilizado para crear los mismos. Prevenir este tipo de ataques no es sencillo, pero las líneas maestras para hacerlo se basan en: implementar un procedimiento de buenas prácticas a la hora de generar el código, limitar los privilegios del código en las aplicaciones Web, reducir la información del debugging (depuración) y probar las aplicaciones Web regularmente.
Continuando en el mismo artículo se nos informa de cómo un miembro del servicio informático de la oficina del Sheriff del condado de Mesa introdujo una base de datos con información sensible, sobre agentes e informantes, en un servidor no seguro que fue indexado por Google, poniéndolo a disposición de cualquiera que hiciera una consulta sobre los datos allí recogidos.
¿Dónde quiero llegar?. Sencillo, estamos en un momento en el que los ataques a cualquier organismo o entidad pública o privada, sea de la naturaleza que sea, se producen de manera continua. Hay declarada una guerra en el Mundo que tiene como campo de batalla Internet. La excusas son muchas: libertad, destruir el sistema, conseguir poder, robar, influir, manipular, evolucionar … Los gobiernos dan la imagen de que hacen todo lo que pueden para protegerse y proteger a los ciudadanos, las grandes empresas transmiten la imagen de que aquí no pasa nada, que yo estoy a salvo de todos los males. Pero resulta que a Sony la tienen amargada con la brecha de seguridad en el sistema de la PS. De Apple publicaron unas cuantas cuentas de usuarios administradores. A RSA también la han tocado. Sin olvidarnos de todas las webs de organismos públicos y de entidades privadas de diversa naturaleza que a lo largo y ancho del mundo han sido “tocadas” mediante ataques DoS (ataques de denegación de servicios) o ataques “SQL injection”. Ya va siendo hora de que la Seguridad deje de ser un gasto innecesario para muchos y se convierta en una inversión que se recupera rápidamente.
Cuando a un empresario se le indica que debe acometer una inversión en medidas de seguridad, físicas o lógicas, siempre lo verá como un gasto innecesario porque nunca pasa nada. Más en este país nuestro y en el entorno económico en el que estamos viviendo. ¿Quién me va a atacar a mi?. Esa es una de las respuestas más habituales, la otra es: ¿no es suficiente con lo que tenemos?. Pues no, no es suficiente. Hay que concienciarse que la tecnología evoluciona y, aunque no se pueda estar a la última, siempre habrá que tener lo mejor que el presupuesto pueda permitirnos. Entre estas mejoras, creo que la más importante, está la formación y selección de personal que se va a encargar de la seguridad . De nada me sirve el gastarme un montón de dinero en un software y hardware que me permiten controlar todo el sistema en el que se basa mi empresa (las conexiones, el tráfico de datos, los accesos de los usuarios, las vulnerabilidades del sistema y de la red) si resulta que para ahorrar tiempo, los administradores tienen configurados los logs=0 (no guardan nada) o mantienen las cuentas de usuarios que vienen por defecto al instalar un software de base de datos (Admin/admin, Admin/12345, Oracle/oracle) o tienen una política de passwords basada en unos folios que llevan en un pendrive o en una hoja física en la cartera.
Algo está pasando que facilita el “trabajo” de los atacantes y pocos hacen algo por solucionarlo.
En una reunión de trabajo, una web había sido atacada mediante una inyección de SQL. No era la primera vez que sucedía. En este caso, reconocían que los asaltantes se habían llevado información de una de las bases de datos que conformaban la web.
Tras hablar con los responsables de la administración de la Web, el gerente de la empresa les invitó a asistir a una reunión posterior para aclarar “conceptos”. Los señores administradores nos indicaron que no tenían actualizado el software con el que trabajaban porque era muy tedioso y laborioso, además de las incompatibilidades que surgían en estos procesos entre módulos. Un mes después, la vulnerabilidad seguía activa. Un año más tarde les entraron hasta la cocina con la misma vulnerabilidad y se llevaron todo lo que había.
Ya no se trata de un error de un usuario del equipo de informática de la empresa o de ejecutar un procedimiento de ingeniería social sobre un empleado despistado que facilita los datos de su cuenta de acceso al sistema, se trata de un problema de concienciación de la alta dirección de la empresa. No se pueden permitir actuaciones como las que acabo de describir (y tengo experiencias peores, kafkianas diría yo) y mucho menos tener a gente incompetente al mando de estos departamentos. Se debe profundizar en el asunto, es necesario que haya gente con una formación multidisciplinar que sepa interpretar, evaluar y dar respuesta a situaciones de crisis manejando un equipo que permita enfrentarse a las mismas con garantías de éxito y con un concepto básico en cualquier ámbito de la seguridad: la prevención.
La prevención en el entorno de la seguridad informática se implementa mediante una selección adecuada del personal (y su justa remuneración), formación permanente, actualización del software y hardware, utilización de herramientas auditoras, contratación de empresas especializadas en auditorías de sistemas y redes de forma periódica y el establecimiento de unos procedimientos de buenas prácticas en todos los ámbitos del departamento informático. Ya sé que son acciones costosas para una empresa, pero tendrán que valorar si les es rentable o prefieren arriesgarse a que la Agencia Nacional de Protección de Datos les haga una visita, además de asumir unas pérdidas económicas imprevisibles en caso de ser objeto de un ataque.
En los últimos años se han cerrado varias empresas de seguridad informática en nuestro país. Han surgido otras nuevas dedicadas al asesoramiento y la auditoría con grandes profesionales. Además, hay demasiadas empresas dedicadas a la “seguridad informática” que no son más que comerciales de un producto. Pero sigo echando en falta un compromiso permanente con la seguridad por parte de todos los sectores implicados, y no es un problema exclusivo de nuestro país.
La seguridad no se trata de un gasto, es una inversión que, si bien no se ven sus frutos de forma tangible e inmediata, los beneficios están ahí. Si una red se cae durante unas horas, ¿alguna empresa ha hecho el cálculo de pérdidas que eso le genera?. ¿Han valorado lo que le puede suponer financieramente un ataque DoS continuado y lo que le costaría tener un sistema redundante para recuperar su funcionamiento en breve tiempo ante una situación así? No se puede pretender que tras sufrir un ataque venga alguien a devolvernos el tiempo, las ventas o los datos perdidos por la corta visión empresarial de los que la dirigen.
Un artículo de Marcos Casais, Director de Seguridad
