Este jueves 25 puedes prevenir los ataques informáticos en tu empresa.

Ante la alarma por los ataques informáticos

Conferencia: Gestión de riesgos de seguridad como estrategia empresarial

En Uruguay hay una alta vulnerabilidad a los ataques informáticos. En todo momento nuestras computadoras están siendo atacadas. Las empresas invierten en seguridad, pero cuando no se toman todos los recaudos, se es víctima de un ataque exitoso. Es cuestión de los dirigentes de empresa y no solo del personal dedicado a la informática, ya que deben tener el tema incorporado a la planificación y ejecución de las actividades de seguridad.

A continuación brindamos lo que fue la exposición delIng. Ignacio Lagomarsino Gerente de respuesta a incidentes de seguridad informática en Uruguay y del Ing. Santiago Paz, director de seguridad de la información en AGESIC

Una de las cosas que queremos acercar y bajar a tierra, es que esto no es de la televisión, esto realmente pasa. Y de hecho es de lo que yo trabajo. Una de las cosas a las que estamos expuestos, esta es la más conocida, es el malware. Antes les decíamos los virus. Después a los más que estaban en el temate pedía si era un gusano, si era un troyano, si era un backdoor, si era un dialer. Todos tenían funcionalidades distintas, todos tenían comportamientos distintos, claramente no eran iguales. Pero ya a esta altura el nombre genérico que les ponemos es malware. Porque no importa si es un gusano o un troyano, tenemos que poder hablar de una manera genérica cuando es un software malicioso. Y bueno, el nombre que tiene en la comunidad es malware. Y que salta en relevancia ahora por los sucesos recientemente pasados, que son el tema este de WannaCry, que seguramente lo escucharon en la empresa, o lo leyeron en algún wallpaper o alguna cosa de esas.Realmente empezó a mover la aguja de varios indicadores.

Lo primero que hay que tener en cuenta es que cambió las estadísticas nacionales. El 50% de los incidentes que nosotros teníamos erande Spam &Phishing. Hay un 14, un 20% que se lo comió el ransomware. Ransomware no sé si todos saben, pero básicamente es un malware que te infecta la computadora y te cifra todos los archivos. Si en esa computadora tenés un servidor que la base de datos es un archivo, te la va a cifrar en lo que te cifrla base de datos. Ahora los ransomwares son suficientemente inteligentes como para detectar que hay un servidor de base de datos corriendo y descifra el archivo de la base de datos. ¿Por qué hay tanto crecimiento en este tipo de ataques? ¿Por qué son tan efectivos? Y, ¿por qué hay tanto furor con esto? Porque tienen un callout muy rápido y los que atacan se hacen de plata de manera muy rápida.Entonces vos tenés un ransomware y si te toca en una empresa y te cifraron algo importante y vos capaz que querés pagar dos mil dólares… Nosotros siempre lo desaconsejamos porque es como alimentar un mercado que no queremos que exista, pero hay gente que va y paga. Imagínense en su casa, si lo que te cifró fue tu computadora y lo que perdiste fue la foto de los nenes. Y vos capaz que querés poner quinientos dólares y recuperar las fotos de cuando los chiquilines eran pibes. Entonces realmente tiene una rápida difusión y tiene un retorno inmediato. Porque te infectaste y en 3 días estás poniendo la plata. Si bien en esta instancia de WannaCry no hubo una cantidad significativa de afectados en Uruguay, ya existían otras versiones de ransomware que ustedes ya las escucharon. Como el virus de la policía seguramente en alguna otra oportunidad escucharon en las noticias del virus de la policía, en varias versiones, hubo varias. El tema es que siempre hay uno distinto que se propaga de manera distinta. Lo que tenía de raro este ransomware era como se propagaba y con qué velocidad se propagaba. Antes lo que había te lo mandaban por mail y si descargabas el adjunto, le dabas click y te contagiabas. Ahora no, ahora te escaneaban la raíz y te ibas contagiando como antes era el conficker. Entonces bueno, vemos que hay un crecimiento realmente muy grande como les decía que cambió las estadísticas nacionales y las cambió no sólo en Uruguay, sino que las cambió en el mundo. Con lo cual, vamos a ver mucho esto. Lo gracioso de esto es que pareciera mentira, pero esto se soluciona con tener un respaldo. Y la mitad de la gente termina pagando un rescate porque no tiene un respaldo de sus archivos. Y eso tendría que ser un llamador de atención para nosotros y bueno, para todos. Porque este problema, este virus que causó furor a nivel mundial se arreglaba con tener un respaldo de la información. Otra cosa a las que estamos expuestos es a las botnets. Las botnets son de alguna manera otro tipo de software que se instala en la máquina, que básicamente una vez que te infecta una máquina una botnet, no hace nada. Y por eso son muy difíciles de detectar. Yo te infecto una máquina y, ¿para qué lo hago? Para nada. Hasta que alguien de algún centro de comando y control le dice empezá a hacer tal o cual cosa. Y es: mandame los archivos de esa máquina, escaneame la red, mandame de datos, espiá. Básicamente lo que te pongo es un primumcounter en una máquina y luego le puedo mandar instrucciones a esa computadora. Las botnetspor supuesto se usan para mandarse datos y todas esas cosas, pero uno de los usos más comunes que tienen las botnets es para hacer ataques de negaciones de servicios. Ya vamos a discutir más adelante que es un ataque de negaciones de servicios. Pero lo interesante es que las botnets se alquilan. Entonces yo de repente quiero hacer un ataque de negación de servicios a la computadora de Santiago, o al servidor de Santiago, y lo que hago es voy y alquilo una botnet. Una botnet de 150 mil nodos creo que cuesta U$S 50 (cincuenta dólares) el día, o alguna cosa de esas. Entonces 150 mil nodos es una botnet respetable. Hay pocos enlaces que sobreviven a un ataque de 150 mil equipos. Con lo cual a esto también estamos expuestos. Otra cosa interesante es que de repente nos puede sonar un teléfono y nos digan “miren señores, los llamo de Interpol para decirles que ustedes están atacando al gobierno de Argentina”. ¿Cómo que estoy atancando…? Si, tu empresa está haciendo un ataque de negación de servicios a… Pero yo no estoy haciendo nada. Bueno, lo que está haciendo la botnet que vos tenésdistribuida o que estuvo latente en tu computadora, porque no tenemos antivirus, porque no tenemos controles, porque no tenemos emparchados, un montón de cosas, hasta el día que se prenden y empezamos a atacar a alguien. Por supuesto, nuestro enlace de internet deja de funcionar, nuestros servidores empiezan a andar lento, las computadoras no funcionan, etc., etc. Y el día que queremos ver qué está pasando y poder sacarlo, si no tenemos músculo para trabajar en eso… Y el día que nos pasa estamos en el horno. Bueno, los ataques de negación de servicios, negación de servicios y negación de servicios distribuida, básicamente lo que son… Te pido, genero más demanda de la que alguien puede satisfacer. Entonces, en este caso es… Hay una señora con un servidor, que su trabajo es firmar cosas.De alguna manera ese ataque de negación de servicios le va a negar 2 millones de documentos para que los firme. Saquémoslo del ambiente informático, pensémoslo en… Vamos a hacer un ataque de negación de servicios en el supermercado de la esquina de casa. Yo sé que el supermercado de la esquina de casa tiene 2 cajeras y que el 24 de diciembre está explotado. Imagínense si yo me enojé con el cajero de la esquina y nosotros somos una banda y le vamos a hacer un ataque de negación de servicio a las cajas. ¿Qué vamos a hacer? ¿Vamos a secuestrar a las personas? No. Vamos a ir a comprar cosas. Pero, ¿cómo comprar cosas en un supermercado es un ataque de negación de servicios? Bueno, vamos a hacer así. Yo voy a comprar un caramelo, lo voy a pagar con $ 1.000 (mil pesos), o lo pago con justo. Después voy a comer mi caramelo, voy a salir, voy a volver a entrar y lo voy a volver a pedir. Entonces estamos en ese bucle infinito. La gente, los legítimos compradores quieren comprar, cada uno viene con su carrito y tienen que esperar que todos nosotros compremos un caramelo. Y además creamos ese bucle infinito. ¿Qué es lo que va a terminar pasando?El legítimo comprador que viene con su carrito va a ir a paso de tortuga. Entonces, eso es un ataque de negación de servicios. En el mundo de las computadoras es empezar a negar respuestas a un servidor. Lo único que no lo quiero yo solo, tengo una botnet de 150 mil bots que empieza a tirar contra una web, contra una base de datos, contra un servidor de archivos, contra lo que sea. No sé si hay alguna pregunta con esto. Hemos visto y a nivel mundial ha crecido, tienen un crecimiento sostenido los ataques de negación de servicios. Hace poquito con esto de IOT vimos que empezaban a haber ataques de negación de servicios astronómicos, enormes. No sé si alguno escuchó algo, que este año hubo un ataque muy grande, se habla de todo un terabyte de tráfico. Realmente vieron que es todo un tema el IOT. Los IOT son cualquier cosita que es una lámpara, un timbre inalámbrico, una camarita, lo que sea, están todos conectados a internet.Como el negocio es fabricarlo lo más barato posible para venderlo mejor. Evidentemente la calidad del software no es muy buena, ¿no? Entonces, la bombita de luz que cuesta un dólar, no esperes que tenga una gran calidad de software. Entonces, yo la conecto, queda directamente conectada a internet y después completar el software y hacer que esa bombita empiece a tirar paquetes para un lado y para otro. Como estamos en pleno apogeo de internet app fins, lo que termina pasando es que encontramos trillones de cámaras en el mundo, que las barremos con algún… Desde Google las encontramos. Porque con algún bulldoor las encontramos esos dispositivos que son vulnerables, o que podemos usar, y le decimos a todas las lamparitas, a todas las cámaras, a todo lo que sea, ataquen a la página web de Nacho. O a las redes de Nacho. Así fue que tiraron un buen ratoredes enormes. Y esto empieza a ser un problema sostenido que hay que empezar a mirar y hay que empezar a salir. Y ya empezar a ser un buen vecino es decir bueno, en mi red no me puede pasar esto. O yo tengo que tener controladas mis cosas. Porque por supuesto, como les decía hoy es, dos mil lamparitas me consumen mi ancho de banda.

Bueno, Spam &Phishing.Hoy sigue siendo el más grande de los problemas que tenemos. El tipo de incidente que más ocurrencia tiene,estamos cerca del 50%, como les decía hoy. Principalmente son ataques para robar credenciales. Pueden ser para robar credenciales de bancos. ¿Saben todos lo que es un Phishing? ¿Les parece que vale la pena que lo explique? Lo comento. Lo comento rapidito. Un Phishing es un tipo de ataque donde el atacante se hace pasar por alguien, una página web, un correo, lo que sea, en donde nos pide las credenciales. Seguro que a ustedes les llegó en algún momento. Su cuenta de correo está al límite de la capacidad, mandá usuario y contraseña del correo electrónico, logueate acá para ajustar. O te llegó un mail del banco donde dice que por favor vayas y cambies tu contraseña. Vos hacésclick en el link, te abre la página del banco, es igual a la del banco, vos ponés usuario y contraseña y ni te enteraste, pero en realidad no era la página del banco. Es un atacante que va, se clona la página del banco.Él hace una que es igual, porque son iguales literalmente. Las mirás las dos y no hay diferencia, solo que una está josteada en www.banco.com.uy y la otra está josteada en no sé dónde. Pero la mayoría de la gente ni mira la barra de la url y entonces cuando uno pone usuario y contraseña, tácate, te guardaron… Puede ser la contraseña del banco, puede ser la contraseña del gmail, puede ser la contraseña del facebook. En este mundo todo es plata. Las cuentas de correo valen plata. Se venden, se las pasan los hackers. Dicen mirá, yo tengo que hacer una campaña de spam, necesito cuentas. Evidentemente los que tienen cuentas viejas de gmail pueden mandar más mails por día que una cuenta que acabo de crear. Entonces evidentemente, ¿por qué me queréshackear mi cuenta? Y porque es una cuenta vieja y puedo mandar mucho spam a tu cuenta hasta que te la bloquee y no te des cuenta. Van muy de la mano el spam y el phishing porque si bien el spam es otra cosa que es que nos llegue correo no solicitado, pero el phishing se propaga a través del spam. Porque por lo general nos llega a través de un link en un correo electrónico. Esto sigue siendo un problema.Es un problema que tenemos que atender desde nuestras instituciones y desde nuestras empresas, porque tenemos que educar a nuestros usuarios. Si nosotros no queremos que nuestros usuarios caigan en phishing para que no les tomen las cuentas de correo, o no les tomen las cuentas institucionales, o no les tomen usuario y contraseña de las cuentas con las cuales acceden a nuestros servidores, los tenemos que educar y decirles bueno, mirá, esto es un ataque de phishing, son de esta manera. Ustedes cuando les llegue un correo tienen que verificar quién lo manda, si es el administrador o si no es el administrador. No hagan click en ningún lado. Si a ustedes les pide el banco que cambien la contraseña, que por lo general no lo hace el banco, pero si lo hiciera, no hagan click en el link. Vayan y escriban ustedes la dirección del correo del banco y ustedes ahí van a entrar legítimamente a la página del banco. Explíquenle a los usuarios que ustedes ni ningún administrador les va a pedir jamás las contraseñas.Y eso es educación. Nosotros particularmente tenemos una campaña que se llama “seguro te conectás”. Donde básicamente se transmiten algunos tips de cómo comportarse en internet, qué conductas tomar y esos pequeños tips nos protegen del 80% de los ataques. Es decir, teniendo una buena contraseña, leyendo quién te manda las cosas, no descargando. Con esas bobaditas uno termina protegiéndose mucho más. A veces las empresas dicen, ¿seguridad? Si. Nosotros hacemos una fuerte inversión en seguridad. Tenemos spywears, antivirus, etc. Okey pero, ¿tu usuario no sabe que la contraseña tiene que ser buena? ¿Tu usuario no sabe que no puede caer en un phishing? Y que le va a llegar permanentemente le va a llegar un phishing. Nuestro funcionario tiene que saber que eso le va a pasar y tiene que saber cómo se tiene que comportar. Porque sino esto es una cadena que no se termina nunca. Bueno, ¿con el phishing qué es lo que quieren hacer? Robarnos un usuario y una contraseña. ¿Para qué?Para impersonarnos. Nos pueden impersonar haciendo una transacción bancaria, o nos pueden impersonaractuando por nosotros en redes sociales, o haciendo transacciones. Las empresas que… Por ejemplo, hemos visto varios casos donde hay empresas que compran cosas –no sé, por decirles- en China que son baratas y hace importaciones de cosas y hemos visto varios casos donde empresas que compran sistemáticamente determinados materiales o determinados productos, en un momento el tipo le dice ah si, pero sabés que tenemos un programa en esta cuenta. Mandanos la carta a esta otra cuenta. Y es que al proveedor le tomaron la cuenta, impersona a nuestro proveedor y nos dice “te cambié la cuenta”. Y vos le giraste la plata y después cuando… Y los productos no llegan nunca. Y hay gente que les ha pasado con veinte lucas, con treinta lucas, o sea… Realmente es algo de lo que tienen que estar alertas. Es algo que pasa. Que no pasa en otro planeta. Pasa acá en Uruguay. Que yo recuerde, en la cabeza tengo tres casos que pasaron y que no había nada para hacerles. Giraste la plata equivocado en un banco en el fin del mundo y fuiste. Si te avivás rápido y pedís que tranquen las transacciones tenés 24 horas en las transacciones internacionales.No sé pero creo que el tiempo es ese y hay que estar muy cauteloso. A veces en los robos de identidad o cuando teimpersonan, no sólo te afectan a vos. Si de repente Claudio le pide el celular de alguien que yo conozco a Santiago, Santiago no se lo va a dar. Pero si se lo pido yo si se lo va a dar. Entonces de repente viene Claudio, en realidad me toma la cuenta a mí, pero no para perjudicarme a mí, para perjudicar a un tercero. Entonces, cuando a mí me roban la cuenta, no sólo me afecta a mí, afecta a todos mis vínculos. Si a mí me roban la contraseña de facebook, pueden acceder a datos de facebook de personas que son mis amigas de facebook. O si me tomás una cuenta de correo le vas a escribir a mis amigos. Entonces, no sólo me va a afectar a mí ese robo de identidad, sino que además les va afectar a las personas con las que me vinculo. Si a mí me llega un correo escrito en inglés, o mal escrito en español, de una cuenta que no conozco, ni lo abro, ni leo el texto del mensaje. Ahora, si me lo escribe Santiago… Dice, che Nacho, mandame no sé qué, o fijate el adjunto que te mando. Páh, es más difícil. Entonces, algo que le robaron la identidad a Santiago me termina afectando a mí también. De eso también tienen que ser conscientes, no sólo en las empresas sino en sus casas. Ser conscientes que las redes sociales no sólo les afecta a ustedes.