viernes, 17 de junio de 2011

En guardia contra los hackers

Cuando la compañía de marketing por correo electrónico Epsilon Data Management descubrió en marzo que un grupo de hackers había robado la lista de direcciones de email y nombres de consumidores que administra para grandes bancos y minoristas, su presidente ejecutivo, Bryan Kennedy, se encontró ante un dilema: hacer público que había sido blanco de un ataque o guardar silencio.

Epsilon, filial de Alliance Data Systems Corp. que organiza promociones y campañas de marketing por email a nombre de otras compañías, no estaba obligada legalmente a revelar el incidente. No obstante, no tuvo problema en anunciar públicamente lo sucedido. "La gente reconoce que estas cosas pasan", dijo Kennedy.

En las 48 horas posteriores al ataque, Epsilon formó un equipo para resolver la crisis. Se apoyó en un plan de respuesta que había desarrollado con anterioridad, informando a clientes como Target Corp. y J.P. Morgan Chase & Co. sobre el robo de información y aconsejó qué palabras usar cuando tuvieran que notificar a los afectados.

Epsilon publicó su propio comunicado de prensa "para darle cierto respaldo a nuestros clientes", dijo Kennedy. "Estaba claro que la estrategia más pragmática era dar la cara".

La forma en la que Epsilon manejó el ataque cibernético es una muestra de cómo las compañías están modificando sus respuestas a los asaltos de piratería en línea. En el pasado, las compañías solían ser tomadas por sorpresa y sus respuestas a menudo eran torpes y tenían después que ofrecer clarificaciones a sus preocupados clientes.

Ahora las respuestas son cada vez más sofisticadas. Ha surgido un sector de expertos —entre ellos abogados, especialistas de relaciones públicas e investigadores forenses— para ayudar a las compañías a decidir qué revelar y como tranquilizar a las víctimas. Los ejecutivos fuera de la sala de computadoras también son más conscientes de la amenaza representada por los ataques informáticos, lo que ha llevado a las compañías a formular planes de respuesta a casos de piratería antes de que siquiera ocurra un incidente.

Entre las compañías que han hablado abiertamente sobre la violación de sus sistemas está Google Inc., que reveló que hackers que rastreó a China habían robado parte de su propiedad intelectual a comienzos de 2010. Citigroup Inc. dijo esta semana que unos piratas informáticos habían robado casi el doble de números de tarjetas de crédito que lo revelado una semana antes.

Las compañías aún cometen errores al responder a incidentes de piratería cibernética. La red de juegos PlayStation, de Sony Corp., estuvo fuera de servicio por varios días antes de que la empresa revelara en abril que había suspendido su servicio por un ataque que comprometió datos de 100 millones de personas. Incluso entonces la empresa no pudo decir de manera concluyente si habían sido robados números de tarjetas de crédito.

Para calmar a los clientes, es cada vez más común que las compañías comuniquen exactamente lo que ocurrió en un ataque cibernético y qué riesgos hay.

Citigroup reveló el tipo de información que fue robada: números de tarjetas de crédito, nombres y direcciones de correo electrónico, pero también dijo que el hacker no accedió a números de Seguro Social o fechas de nacimiento y que los datos no serían suficientes para ejecutar fraude con tarjetas de crédito.

Citigroup enfrentó críticas por esperar hasta tres semanas para notificar a los clientes afectados, pero los expertos en piratería informática dijeron que es apropiado tomarse el tiempo para descubrir el verdadero alcance del incidente. Un portavoz de Citigroup dijo que la firma está adoptando medidas adicionales para protegerse contra el fraude, incluso la vigilancia de las cuentas afectadas para detectar actividades sospechosas.

—Randall Smith contribuyó a este artículo.

lunes, 13 de junio de 2011

La mayoría del malware está ligado al mercado de 'pago-por-instalación'


Una sospechosa industria permite a los spammers y a otros delincuentes cibernéticos pagar por llegar a nuestros ordenadores.

Por Brian Krebs

Una nueva investigación sugiere que la mayoría de los ordenadores personales infectados con software malicioso podrían haber llegado a ese estado gracias a un bullicioso mercado que vincula bandas criminales que pagan por instalaciones de software malicioso con piratas informáticos emprendedores que buscan vender el acceso a ordenadores comprometidas.

Los servicios PPI (pay-per-install) se anuncian en sospechosos foros underground de Internet. Los clientes envían sus programas maliciosos—un robot de spam, software antivirus falso, o troyanos para robar contraseñas—al servicio de PPI, que a su vez cobra tarifas desde 7 a 180 dólares por cada mil instalaciones llevadas a cabo con éxito, dependiendo de la ubicación geográfica solicitada de las víctimas deseadas.

Los servicios de PPI también atraen a distribuidores emprendedores de software malicioso, o "afiliados", hackers que tienen la tarea de encontrar la manera de instalar el software malicioso en los ordenadores de las víctimas. Los esquemas de instalación típicos consisten en cargar programas contaminados en redes públicas de intercambio de archivos; pirateando sitios web legítimos para descargar automáticamente los archivos en los visitantes; y en la ejecución silenciosa de los programas en los ordenadores que ya han sido comprometidos. Los afiliados únicamente reciben dinero por las instalaciones realizadas con éxito, a través de un código de afiliado único y estático cosido a los programas de instalación y comunicado de vuelta al servicio de PPI después de cada instalación.

En un nuevo documento realizado por investigadores de la Universidad de California, en Berkeley, y el Instituto Madrileño de Estudios Avanzados en Tecnologías de Desarrollo de Software, se describe la infiltración en cuatro servicios de PPI competidores entre sí en agosto de 2010, mediante el secuestro subrepticio de varias cuentas de afiliados. El equipo construyó un sistema automatizado para descargar periódicamente los instaladores que enviaban los distintos servicios de PPI.

Los investigadores analizaron más de un millón de instaladores ofrecidos por servicios de PPI. Ese análisis llevó a un descubrimiento sorprendente: de los mejores 20 tipos de malware del mundo, 12 empleaban servicios de PPI para comprar las infecciones.

"Al comenzar este estudio, no sabía que los PPI son potencialmente el vector número uno responsable de todas las infecciones", explicó Vern Paxson, profesor asociado de ingeniería eléctrica y ciencias informáticas en la Universidad de Berkeley. "Ahora sabemos que las botnets potencialmente valen millones [de dólares] al año, debido a que proporcionan un medio para que los delincuentes externalicen la difusión mundial de sus programas maliciosos".

Los investigadores se propusieron determinar la distribución geográfica del malware enviado por estos servicios, por lo que idearon una forma automatizada de descargar instaladores. Utilizaron servicios tales como la plataforma de computación en la nube EC2 de Amazon, y "Tor", un servicio gratuito que permite a los usuarios comunicarse de forma anónima mediante el enrutamiento de sus conexiones a través de varios ordenadores en todo el mundo, para así engañar a los programas de pago-por-instalación y hacerles creer que las solicitudes venían de lugares de todo el mundo.

El sistema clasificó el malware recogido según el tipo de tráfico de red generado por cada muestra al ser ejecutada en un sistema de prueba. Los investigadores afirmaron haber tomado precauciones para evitar que las cuentas de los afiliados no fueran acreditadas con las instalaciones de prueba.

El análisis de los servicios de PPI indica que con más frecuencia tienen como objetivo PCs en Europa y los Estados Unidos. Estas regiones son más ricas que la mayoría de las demás, y ofrecen a los afiliados las tarifas por instalación más altas.

Sin embargo, los investigadores suponen que hay factores más allá del precio que pueden influir en la elección del país de un cliente PPI. Por ejemplo, un robot de spam como Rustock requiere poco más que una dirección de Internet exclusiva para enviar spam, mientras que el software antivirus falso se basa en que la víctima haga un pago con una tarjeta de crédito o domiciliación bancaria, y por lo tanto es posible que tuviera que soportar múltiples idiomas o métodos de compra.

El equipo también encontró que los programas de PPI casi siempre instalaban robots que involucraban a los sistemas infectados en una variedad de acciones de tipo "fraude de clics", que consisten en hacer clics fraudulentos o automatizados en anuncios para generar falsos ingresos por publicidad.

Un hallazgo inesperado podría ayudar a explicar por qué los PCs infectados con un tipo de malware a menudo se empantanan rápidamente con infecciones múltiples: los descargadores que forman parte de un esquema a menudo atraen a descargadores de otro. En otras palabras, los afiliados de un servicio de PPI a veces actúan como clientes de otros servicios. En consecuencia, muchos de los instaladores enviados por los afiliados abruman a los PCs receptores con muchos tipos de software malicioso.

"Creemos que algunos de estos afiliados multi-servicio-PPI intentan aprovecharse de las diferencias de precios entre las tarifas de instalación (más altas) que se pagan a los afiliados de un servicio de alguna región geográfica en comparación con las tarifas (inferiores) de instalación cobradas a los clientes de otro servicio de PPI", escribieron los investigadores.

Esta dinámica genera un conflicto de intereses inherente en el mercado de PPI que perjudica tanto a los clientes como a los afiliados: Cuantas más instalaciones proporcione un afiliado, mayor será el pago recibido. Sin embargo, cuanto más malware se instale, mayor será la probabilidad de que el propietario de un sistema infectado se dé cuenta de un problema y tome medidas para erradicar el malware.

Los servicios de PPI tienen consecuencias nefastas dentro de la coordinación de esfuerzos para cerrar las botnets. En los últimos meses, los investigadores de seguridad, los proveedores de servicios de Internet, y las fuerzas del orden han trabajado conjuntamente para desmantelar algunas de las mayores botnets en el mundo. En marzo, por ejemplo, Microsoft se asoció con empresas de seguridad para paralizar la botnet Rustock, que desde hacía tiempo era una de las botnets de spam más activas del planeta.

Los investigadores de Berkeley sostienen que incluso si los defensores son capaces de limpiar una botnet—mediante el secuestro de sus servidores de control e incluso desinfectando remotamente los PCs—el controlador de esa botnet puede reconstruirla haciendo pequeños pagos a uno o más servicios de PPI.

"En el mercado actual, todo el proceso cuesta pocos centavos por cada host de destino—lo suficientemente barato para que los botmasters simplemente reagrupen sus filas a partir de cero en caso de que los defensores lleven a cabo grandes y energéticas acciones por desmontar la botnet", escribieron los investigadores.

Copyright Technology Review 2011.

sábado, 11 de junio de 2011

Los ataques de hackers a Citigroup desnudan la vulnerabilidad de la banca

El anuncio de Citigroup Inc. sobre que hackers accedieron a la información de decenas de miles de clientes es el más reciente entre una gran cantidad de ataques cibernéticos que generan preocupación entre los reguladores financieros y expertos en seguridad por que los bancos no estén haciendo lo suficiente para protegerse a sí mismos y sus clientes, en momentos en que estos ataques van en aumento.

El jueves Citigroup indicó que las cuentas a las que entraron los hackers ascendían a alrededor de 1% de sus clientes de tarjetas en EE.UU. y Canadá y que ha puesto el incidente en manos de las autoridades. El banco afirmó que está contactando a los clientes cuya información fue afectada y ha implementado procedimientos para impedir que se repita.

Bloomberg News

Peatones pasan frente a una sucursal de Citi en Nueva York

Otros ataques recientes han afectado a una variedad de empresas, incluidas Sony Corp. y Lockheed Martin Corp., pero expertos en seguridad afirman que las instituciones financieras siguen siendo el principal blanco de los cibercriminales. "Los hackers más sofisticados del mundo apuntan a bancos y agencias gubernamentales", señaló Tom Kellermann, un ex funcionario de ciberseguridad del Banco Mundial y actual director general de tecnología de AirPatrol Corp., una firma de seguridad inalámbrica con sede en Maryland, EE.UU.

Kellermann afirmó que las firmas financieras no hacen un trabajo lo suficientemente bueno para controlar que los proveedores externos de tecnología de la información tengan los suficientes controles de seguridad, lo que significa que los hackers pueden evadir los controles de un proveedor de servicios al banco que está comprometido. Las firmas financieras tampoco están "luchando" lo suficiente en contra de potenciales ataques, y deben probar mejor sus controles de seguridad y planes de administración antes de que se produzcan las violaciones de seguridad.

Expertos en seguridad afirman que los bancos también necesitan fortalecer los procedimientos de autenticación que usan para identificar a consumidores y empleados que acceden a cuentas en la red de las firmas. Los cuales son blancos prioritarios para los criminales. La explosión de tecnologías de banca móvil hace que esta vulnerabilidad sea más pronunciada, señalan los expertos en seguridad.

Los reguladores están de acuerdo. Un grupo que incluye a la Reserva Federal de EE.UU., la Corporación Federal de Seguro de Depósitos (FDIC) de EE.UU. y la Oficina del Controlador de la Moneda, hace meses comenzó a trabajar para actualizar las directivas de 2005 sobre la forma en que los bancos pueden autenticar mejor la identidad de los clientes que acceden a las cuentas financieras en Internet.

Los pares de Citibank defendieron la fortaleza de su seguridad. "Sabemos del ataque en Citi", sostuvo Wells Fargo & Co. en una declaración escrita. "La seguridad es clave para nuestra misión y proteger la información de nuestros clientes está en la base de todo lo que hacemos".

J.P. Morgan Chase & Co. indicó: "Chase no fue afectada por el incidente que involucra a nuestro competidor", y prefirió no hacer más comentarios.

Un ataque reciente que afectó a RSA Security, la empresa que provee dispositivos móviles de seguridad que son usados por millones de trabajadores para conectarse a los sistemas informáticos de sus empresas, disparó las alarmas de los reguladores bancarios, indicaron personas al tanto de la situación. No sólo muchísimos bancos utilizan los dispositivos para sus empleados, sino que además algunos bancos también se los ofrecen a los clientes como una forma de agregar seguridad a sus actividades bancarias en Internet.

Lo sucedido con RSA fue discutido por reguladores bancarios, el Departamento del Tesoro y el Departamento de Seguridad Interior de EE.UU. La Fed emitió una carta para su personal de distrito sobre el tema, y la FDIC también dispuso que sus sucursales hablaran del tema con los bancos que supervisan.

El incidente en Citi y la violación de seguridad en RSA hablan de "cuán sofisticados se han vuelto los criminales", indicó David Robertson, del Nilson Report, un boletín sobre tarjetas de crédito en Carpinteria, California.

Bancos, incluyendo a Citibank, ahora presionan por un mayor uso de tecnologías inalámbricas. Pero mientras más consumidores usen iPhones, iPads y teléfonos con sistema operativo Android para servicios financieros, más atractivos serán los aparatos móviles a los ojos de los cibercriminales.

viernes, 10 de junio de 2011

Cómo desarrollar el potencial de negocio de la Web 2.0 de una manera segura

Jesús García_Director de Canales para México y Centro América de SonicWALL

Por Jesús García, director de canales para la Zona Norte de América Latina de SonicWALL

La Web 2.0 tiene un gran potencial para las empresas. Aplicaciones como las redes sociales, redes peer to peer (P2P) para compartir archivos, mensajería instantánea, media streaming y para móviles permiten construir comunidades de redes dinámicas y fomentar la colaboración adecuada entre empleados, clientes y socios. Los trabajadores pueden realizar teleconferencias, teletrabajar y usar la mensajería instantánea, así como impulsar las ventas a través de nuevos canales como YouTube, Twitter y Facebook.

Sin embargo, la promesa de la Web 2.0 no viene sin dificultades. Las aplicaciones Web 2.0, por su naturaleza no son predecibles o contenibles y, a menudo, es difícil de definir si son buenas o malas para el negocio. Su utilidad podría variar dependiendo de la hora del día, del usuario con quién se interactúa y hasta de los acontecimientos externos, como una noticia relevante o el video de un competidor. Mientras que las aplicaciones Web 2.0 pueden mejorar la productividad al facilitar la colaboración, también pueden hundirla de una manera única e imprevisible mediante la emisión de software malicioso.

Identificando las amenazas de la Web 2.0
Todas las aplicaciones de medios interactivos o de redes sociales pueden suponer un punto de acceso potencial a la red. Las conexiones en entornos Web 2.0 se han definido por el usuario, basado en las relaciones sociales en lugar de en la autentificación. Las amenazas de la Web 2.0 no sólo se dirigen a los usuarios individuales, sino a todo el mundo, desarrollándose en toda la comunidad de las redes sociales, propagándose rápidamente y de manera impredecible. No hay un valor predeterminado - por defecto en la Web 2.0 - para prevenir que los usuarios descarguen un archivo o den click en un enlace a un sitio recomendado por un 'amigo' que en realidad sea un ciber delincuente disfrazado de amigo.

Estos 'amigos' podrían inducir a descargas de videos que requieran la instalación de un nuevo codec, que en realidad ponga en marcha un virus. Estos famosos 'amigos' farsantes atraen a las víctimas para descargar un malware o información de autenticación de manera voluntaria.

Los ciber delincuentes crean sitios maliciosos que imitan astutamente los sitios legítimos, como por ejemplo foros de malware, utilizando una URL muy similar para atrapar a las víctimas. Los hackers persuaden a los miembros de sitios de intercambio de archivos P2P para que descarguen archivos ejecutables de software malicioso disfrazado de versiones de prueba.

Las aplicaciones web 2.0 permiten a los trabajadores twittear, escribir en blogs, intercambiar archivos, jugar, comprar, escuchar música o ver videos de una manera inapropiada en su trabajo. Estas actividades no relacionadas con el negocio pueden provocar fugas de información sensible o confidencial y contener información ofensiva o discriminatoria prohibida por regulaciones internas, gubernamentales o del sector. Además, las aplicaciones web 2.0 suelen contener elementos multimedia, por lo que pueden reducir las capacidades de ancho de banda. Durante una noticia importante o un evento deportivo, el tráfico de video puede robar ancho de banda a aplicaciones de misión crítica. La productividad puede verse afectada de dos maneras: o bien los trabajadores se distraen de su trabajo, o no tienen el ancho de banda necesario para ser productivos.

Los empleados usan las redes sociales en los PCs, portátiles, tablets y smartphones, que o bien son propiedad privada o que no estén directamente gestionados por la empresa. Estos dispositivos “no controlados” pueden ser hackeados o reconfigurados después de haber sido perdidos, robados o pedidos prestados por algún miembro de la familia, de un empleado, y de esta manera, pueden potencialmente comprometer tanto la seguridad del dispositivo como la de toda la red- una vez que el empleado se vuelve a conectar en la oficina a través de una VPN-.

Mejores Prácticas para protegerse contra las amenazas de la Web 2.0

Adoptar un enfoque por capas
No se conforme con un firewall que sólo bloquee un puerto o un protocolo específico, y le deje con un único punto donde falle la seguridad. Mire las soluciones consolidadas que integran múltiples defensas como anti-virus, anti-spam, anti-spyware, prevención de intrusiones, firewall de aplicaciones y filtrado de contenidos en una única plataforma. Esto no sólo reduce la complejidad y los costos al eliminar las consolas separadas para administrar, sino que también ayuda a cerrar las brechas de seguridad donde las amenazas emergentes podrían explotar.

Hacer cumplir las políticas de autenticación
En última instancia, cualquier cuestión de confianza en la Web 2.0 es una cuestión de confianza de la red. Por lo tanto, aplicar y hacer cumplir las políticas para autenticar a los usuarios que acceden a la red o a sus recursos, ya sea sobre la LAN, WAN, VPN, WLAN, o Internet. Del mismo modo, si bien no siempre se evitará que los usuarios accedan a sitios maliciosos usando solamente actualizaciones de firmas, si puede agregar una capa de inspección profunda de paquetes a su gateway para analizar las cargas de tráfico y evitar que los usuarios se descarguen malware en su red.

Implementar servicios integrales de firewall
Utilice firewalls de aplicaciones para bloquear la instalación de software no autorizados, como los navegadores no estándares, aplicaciones P2P o reproductores multimedia. Configure el filtrado de contenidos y los firewalls de aplicaciones para bloquear el tráfico saliente inadecuado, y alertar a los administradores que lo gestionan. Por otra parte, aplique una inspección profunda de paquetes para identificar y bloquear los ataques de botnets y otras cargas maliciosas encubiertas en streamings excesivamente grandes. Para una protección y rendimiento óptimos, estas defensas deben escanear los archivos completos (no sólo los encabezados de los paquetes) en tiempo real, en lugar de desmontar y volver a montar los paquetes.

Implantar controles de gestión de ancho de banda
Con el tráfico de la Web 2.0, la gestión de las amenazas contra la productividad va de la mano de la gestión del ancho de banda. Para contrarrestar las amenazas de la productividad, implantar herramientas de administración de ancho de banda que limiten el ancho de banda disponible para las aplicaciones no productivas, ya sea por porcentaje o por tiempo. Estas herramientas también pueden asegurar porcentajes mínimos de ancho de banda para aplicaciones críticas. El reto para las empresas es lograr un equilibrio entre la libertad de la web 2.0 y la productividad de la empresa.

Ejecutar el tráfico inalámbrico y VPN a través del firewall
Suponga que todos los puntos de entrada a la red son intrínsecamente inseguros. Enrute todo el tráfico que atraviesa la red de tecnología inalámbrica, móvil o VPN a través de un firewall de seguridad integral. El uso de firewalls que incluyen estas funciones de red extendida le evitará la necesidad de desplegar y configurar dispositivos adicionales, tales como controladores de acceso inalámbrico.

La naturaleza confiable, abierta y de colaboración que el entorno Web 2.0 tiene por sí mismo se presta a la explotación maliciosa. Como con cualquier tecnología emergente, en última instancia, las empresas deben evaluar los pros de la Web 2.0 y los contras de sus riesgos inherentes. Al establecer y hacer cumplir las prácticas recomendadas de seguridad de red, los gerentes de sistemas pueden reducir al mínimo estos riesgos y ayudar a las empresas a aprovechar todo el potencial de las aplicaciones Web 2.0.

###


Acerca de SonicWALL

Guiada por su visión de Seguridad Dinámica para la Red Global, SonicWALL desarrolla seguridad de red inteligente y avanzada así como soluciones de protección de datos que se adaptan de forma paralela a la evolución de las organizaciones y de las amenazas. Dirigida a empresas de todos los tamaños a nivel mundial, las soluciones de SonicWALL están diseñadas para detectar y controlar aplicaciones así como para proteger redes de potenciales intrusiones y ataques de malware gracias a su tecnología hardware y software así como a sus soluciones virtuales. Para más información por favor visite
http://www.sonicwall.com/

lunes, 6 de junio de 2011

A favor de la seguridad

Jerarquías con problemas: Eugene Spafford señala que los responsables de seguridad de la información a menudo no ocupan rangos suficientemente altos en las empresas.
Fuente: Purdue University


El estudioso de la seguridad de datos Eugene Spafford sostiene que el tema debe ser tomado más en serio y a los niveles más altos dentro de las empresas.


Por Brian Krebs

Recientemente, las grandes corporaciones han cometido errores graves relacionados con la seguridad de la información, lo que ha dado como resultado fracasos espectaculares a la hora de proteger los registros de los clientes y los de la propia empresa. Después de años de advertencias, ¿por qué todavía muchas empresas siguen sin tratar adecuadamente este problema? Eugene H. Spafford, profesor de ciencias informáticas en la Universidad Purdue, y que con frecuencia asesora al Gobierno, a los órganos de aplicación de la ley, y a grandes empresas, tiene algunas ideas. Sostuvo una charla con el periodista de tecnología Brian Krebs para Technology Review.

TR: Usted recientemente testificó ante el Congreso sobre la filtración de Sony, que tuvo lugar después que la compañía ignorase ominosas señales de advertencia sobre los agujeros en su red de PlayStation. ¿Cómo una organización tan grande y tecnológicamente avanzada como Sony ha podido fallar de forma tan masiva en relación a la seguridad?

Spafford: Algunas organizaciones de gestión de negocios simplemente no poseen una organización de seguridad de TI adecuada, y muchas veces esa función sigue estando sujeta al director de información (CIO, chief information officer) de la compañía. Cuando eso sucede, las personas que se ocupan de la seguridad están muy por debajo de la línea de mando, y no tienen acceso al director general o a la junta de la compañía. Por tanto, la función de seguridad de esa organización no se financia y no tiene autoridad a un nivel lo suficientemente alto como para realmente operar de la forma que debería hacerlo. Muchas organizaciones de TI se han formado a partir del nivel de administradores de sistemas que comenzaron en la parte inferior de la jerarquía de la organización. Estas personas suelen poseer conocimientos técnicos e informáticos, pero no hablan el lenguaje de los negocios. No siempre comprenden el riesgo o el análisis del coste-beneficio. Como resultado, no son capaces de presentar un buen análisis desde el punto de vista de los negocios para las cuestiones de seguridad y privacidad. Nos enteramos hace poco que Sony no tenía un director de seguridad de la información [CISO, chief information security officer] antes de los ataques que expusieron los datos personales y financieros de más de 100 millones de clientes.

Pero, ¿existe alguna evidencia de que la falta de CISO en Sony contribuyese a la filtración? En otras palabras, ¿la respuesta a este tipo de filtraciones consiste realmente en gastar más dinero en seguridad y en agregar capas adicionales de burocracia dentro de la organización?

Bien, los CISO no están ahí exactamente para duplicar el trabajo de otra persona. Por un lado, existe un poco de un conflicto entre la definición del CIO y el CISO de una compañía. El trabajo del CIO consiste en hacer que la información esté disponible, y el trabajo del CISO es asegurarse de que cierta información no esté disponible—limitando los lugares a los que va la información, estableciendo normas sobre quién debe tener acceso a ella, y estableciendo reglas y consecuencias para cuando esas normas hayan sido violadas.

En relación a su segunda pregunta, hay muchas cosas que las empresas necesitan hacer, y recursos en los que deben invertir, que no tienen un retorno evidente a corto plazo, incluyendo el mantenimiento de sus edificios y terrenos, o la formación para la igualdad de oportunidades y contra la discriminación. Ocurre lo mismo con las políticas de seguridad: si no se gasta lo suficiente en ellas y se mantienen, en algún momento sucederá algo malo y se termina pagando muchísimo más de lo que se tendría que pagar si se hubiese adoptado una actitud más proactiva. Es responsabilidad de las partes informadas dentro de una organización entender los riesgos y planificar de forma adecuada la inversión inicial para construir defensas contra los riesgos más caros, y hacer planes sobre cómo hacer frente a lo que ocurre cuando se producen. Eso tiene que ser parte de la planificación general del negocio, pero alguien a un nivel lo suficientemente alto dentro de la organización tiene que entenderlo.

El caso de Sony no parece ser una anomalía. Parece que, en la actualidad, escuchamos casos casi a diario sobre filtraciones que exponen grandes cantidades de información de consumidores. ¿A qué cree que se debe esto?

Se trata de todo un conjunto de cosas, y no de un único factor. Tenemos más sistemas y datos disponibles en la red que nunca. Existen más personas que están en Internet y que son conocedoras de Internet, por lo que hay un conjunto mayor de objetivos y un mayor conjunto de personas que quieren explotar esos objetivos. Y estos crímenes están ocurriendo más rápido que el aumento de los recursos policiales y nuestra capacidad para tratar con ellos. Los crímenes también se están enmascarando mejor, y como resultado los criminales son capaces de ser más audaces y existe un menor valor disuasivo. Muchos de ellos van tras objetivos mucho más grandes.

En todo caso, ¿Sony no es precisamente un objetivo tradicional, verdad? ¿Por qué estamos viendo ataques contra tantas organizaciones no financieras?

Observe dónde se encuentra el valor real en la actualidad. La reciente salida a bolsa de LinkedIn es un buen ejemplo. ¿Por qué el precio de sus acciones se duplicó en cuestión de horas tras su salida a bolsa? Porque tienen una enorme cantidad de información sobre los usuarios y sus hábitos que las personas, ya sea directa o indirectamente, proporcionan sobre sí mismas, y es la misma razón por la que Facebook está valorada en decenas de miles de millones de dólares: la información puede ser extraída, agregada, y utilizada para propósitos de marketing. Esta es una información muy valiosa.

¿Eso significa que los consumidores corren el riesgo de ver su información filtrada o robada sin importar los servicios que utilicen?

Muchos de nosotros aceptamos la idea de que la información acerca de nosotros mismos no es algo sobre lo que tengamos control, y en la mayoría de los casos no tenemos idea de a dónde va cuando está fuera de nuestras manos. Tome como ejemplo la reciente filtración en [la firma de marketing por correo electrónico] Epsilon: ¿cuántos de los consumidores afectados por este caso habían oído hablar de Epsilon antes de que empezaran a difundirse los datos de la filtración? Mientras tanto, las organizaciones que recopilan esta información a menudo no tienen un sentido tan fuerte como deberían sobre la administración de dicha información. Además, las filtraciones pueden ser mucho más graves cuando se producen en empresas que ofrecen software como servicio. Y estamos empezando a ver más casos como éstos: cuando se expone una vulnerabilidad o debilidad en una plataforma o infraestructura de tipo común, a continuación es posible observar una gran cantidad de este tipo de incidentes en cascada. Así que lo que podría haber sido una filtración en una empresa relativamente pequeña se convierte en una filtración que afecta a decenas de otras, porque las empresas dependen de ella para sus servicios de datos externos. Y creo que en el futuro observaremos más casos de este tipo.

Ha tocado una herida dolorosa—el término ampliamente utilizado y a menudo difuso de "computación en la nube". ¿Cree usted que el apetito empresarial por la externalización de datos a terceros se debilitará a corto plazo debido a las preocupaciones de seguridad?

Creo que en los próximos tres a cinco años—si el desarrollo tecnológico sigue adelante de la forma en que lo está haciendo, por diversos motivos de costes y política una gran cantidad de empresas se darán cuenta de que la computación en la nube no les da las ventajas que esperaban y volverán a mudar sus cosas a un centro de datos o nube privada.

Hace treinta o 40 años, cuando teníamos centros de datos masivos bajo el control de una gestión centralizada, ya que suponían una gran inversión en infraestructura, en general, los datos se encontraban bajo [un estricto control de las empresas]. Después comenzamos a usar medios de comunicación distribuidos y PCs de escritorio en la mayoría de las organizaciones, y creo que los 90 supusieron el punto más bajo en términos del control centralizado del negocio sobre los sistemas informáticos. Ahora estamos volviendo al punto en que las empresas se están dando cuenta—sobre todo con grandes bases de datos compartidas—de la importancia de tener más control sobre sus datos.

Copyright Technology Review 2011.

viernes, 3 de junio de 2011

Los costos de la mala seguridad

Manteniéndose al día: El Grupo de Estrategia Empresarial, una consultora, preguntó a 308 profesionales de TI de grandes empresas qué factores motivaron sus decisiones de mejorar la seguridad de los datos. El cumplimiento de la normativa encabezó la lista.
Fuente: Informe de investigación de ESG, Protecting Confidential Data Revisited, abril de 2009



Las crecientes amenazas a la seguridad de la información están obligando a las empresas a hacer un análisis costes-beneficios más sofisticado al elaborar sus estrategias de seguridad.


Por David Talbot

El mes pasado, Sony reveló el coste asociado con la reparación de la brecha masiva de seguridad que expuso la información personal de más de 100 millones de usuarios de los servicios PlayStation Network y Qriocity: como mínimo 171 millones de dólares. Ésta fue la mayor violación que ninguna empresa había experimentado nunca, según el presidente de Sony, Sir Howard Stringer, y la asombrosa suma cubrirá las mejoras de seguridad, las compensaciones a los clientes, y los servicios de investigación. Sin embargo, la cifra total será más difícil de calcular, ya que incluirá la pérdida de confianza del cliente en la empresa.

El episodio fue un recordatorio de los retos de cuán importante es la seguridad de los datos—y un indicador de que muchas organizaciones no se están protegiendo lo suficientemente bien. "Cuando se trata de todos estos problemas de seguridad, las empresas no están invirtiendo por avanzado, pero después tienen que gastar mucho dinero para arreglar las cosas", afirma Thomas Ristenpart, investigador de seguridad informática de la Universidad de Wisconsin, en Madison.

Este mes, la serie impacto en los negocios se centra en proteger los datos contra el robo y la pérdida. Vamos a estudiar las tácticas de seguridad que las empresas deberían estar utilizando, las inversiones que deberían estar haciendo, y las preguntas que deberían estar preguntando. Vamos a examinar las prácticas inteligentes para dispositivos móviles, trabajadores remotos, y la computación en la nube, y leeremos las ideas de los pensadores más importantes del campo.

Las amenazas a la seguridad de la información se multiplican, en parte porque los almacenes de datos del mundo están creciendo rápidamente a medida que el costo de almacenamiento se desploma y la disponibilidad a los ordenadores y al acceso a redes se expande. A medida que este filón de datos crece, también crece su atractivo para los delincuentes y piratas informáticos.

Para protegerse, las empresas pueden imponer controles de acceso a datos confidenciales, cifrar estos datos y gestionar apropiadamente las claves de cifrado, realizar auditorias sobre las actividades de los usuarios, y contratar consultores para asegurarse de que sus prácticas de seguridad están al día. Además, como el eslabón débil de la cadena de seguridad, a menudo son las personas, una de las cosas más importantes que las empresas pueden hacer es formar a los empleados en prácticas básicas de seguridad de datos. La mayoría de historias de este mes sostienen que la seguridad de la información no es sólo una cuestión de la que tenga que preocuparse el departamento de TI. Tiene que tenerse en cuenta a través de toda una empresa, comenzando por los niveles más altos, donde se toman las decisiones sobre inversiones de capital.

En una hoja de ruta de investigación cibernética elaborada el 2009 por el Departamento de Seguridad Nacional de EE.UU., se informaba de un gran reto. Entre otras cosas, el estudio descubrió que debido a que las tecnologías de la información y los métodos de ataque están evolucionando tan rápido, las organizaciones tienen dificultades para determinar si sus datos se están volviendo más o menos seguros, si están más o menos seguros que en otras empresas, o si queda justificado un determinado nivel de inversión. No ayuda el hecho que muchas organizaciones evalúan cuestiones básicas de seguridad bajo una perspectiva financiera de corto plazo—a pesar de que los análisis de costes-beneficios son difíciles de hacer porque los costes de no tomar las medidas de seguridad adecuadas podrían no ser evidentes hasta varios años más adelante. "Las decisiones resultantes de estos análisis serán con frecuencia en detrimento de mejoras significativas de la seguridad a largo plazo", indica el informe.

Las cosas aún se complican más porque cuando se producen violaciones de los datos, las empresas no siempre son completamente transparentes. (Sony tardó seis días en advertir a los usuarios que su información había sido expuesta.) Una respuesta más rápida ayudaría a las empresas o personas víctimas o víctimas potenciales cuyos datos fueron expuestos a tomar medidas para mitigar los daños.

Varios posibles cambios en las regulaciones gubernamentales podrían endurecer las normas sobre cómo hay que informar sobre este tipo de infracciones qué información debe ser revelada. Actualmente, en los Estados Unidos, hay 47 leyes estatales que rigen la divulgación de las violaciones de datos que exponen datos personales, pero recientemente el presidente Obama ha propuesto que una única ley federal rija el proceso.

Eso sería de gran ayuda, comenta el criptólogo Bruce Schneier, responsable de tecnología de la empresa global de telecomunicaciones BT—aunque su utilidad dependerá de cuán completa resulte ser la ley. Lo que en este momento está claro es que las consecuencias de las violaciones de datos a menudo son poco claras. "No sabemos quién tuvo acceso a los datos—si fueron criminales, niños, o espías", destaca Schneier. "No sabemos qué vulnerabilidad provocó la violación." A veces lo único que sabemos con certeza es cuánto costaron los daños.

Copyright Technology Review 2011.

Grandes preocupaciones: La misma encuesta del Grupo de Estrategia Empresarial pidió al mismo grupo de empleados de TI que identificaran los puntos débiles de la seguridad de redes.
Fuente: Informe de investigación de ESG, Protecting Confidential Data Revisited, abril de 2009