Este jueves 25 puedes prevenir los ataques informáticos en tu empresa.

Ante la alarma por los ataques informáticos

Conferencia: Gestión de riesgos de seguridad como estrategia empresarial

En Uruguay hay una alta vulnerabilidad a los ataques informáticos. En todo momento nuestras computadoras están siendo atacadas. Las empresas invierten en seguridad, pero cuando no se toman todos los recaudos, se es víctima de un ataque exitoso. Es cuestión de los dirigentes de empresa y no solo del personal dedicado a la informática, ya que deben tener el tema incorporado a la planificación y ejecución de las actividades de seguridad.

A continuación brindamos lo que fue la exposición delIng. Ignacio Lagomarsino Gerente de respuesta a incidentes de seguridad informática en Uruguay y del Ing. Santiago Paz, director de seguridad de la información en AGESIC

Una de las cosas que queremos acercar y bajar a tierra, es que esto no es de la televisión, esto realmente pasa. Y de hecho es de lo que yo trabajo. Una de las cosas a las que estamos expuestos, esta es la más conocida, es el malware. Antes les decíamos los virus. Después a los más que estaban en el temate pedía si era un gusano, si era un troyano, si era un backdoor, si era un dialer. Todos tenían funcionalidades distintas, todos tenían comportamientos distintos, claramente no eran iguales. Pero ya a esta altura el nombre genérico que les ponemos es malware. Porque no importa si es un gusano o un troyano, tenemos que poder hablar de una manera genérica cuando es un software malicioso. Y bueno, el nombre que tiene en la comunidad es malware. Y que salta en relevancia ahora por los sucesos recientemente pasados, que son el tema este de WannaCry, que seguramente lo escucharon en la empresa, o lo leyeron en algún wallpaper o alguna cosa de esas.Realmente empezó a mover la aguja de varios indicadores.

Lo primero que hay que tener en cuenta es que cambió las estadísticas nacionales. El 50% de los incidentes que nosotros teníamos erande Spam &Phishing. Hay un 14, un 20% que se lo comió el ransomware. Ransomware no sé si todos saben, pero básicamente es un malware que te infecta la computadora y te cifra todos los archivos. Si en esa computadora tenés un servidor que la base de datos es un archivo, te la va a cifrar en lo que te cifrla base de datos. Ahora los ransomwares son suficientemente inteligentes como para detectar que hay un servidor de base de datos corriendo y descifra el archivo de la base de datos. ¿Por qué hay tanto crecimiento en este tipo de ataques? ¿Por qué son tan efectivos? Y, ¿por qué hay tanto furor con esto? Porque tienen un callout muy rápido y los que atacan se hacen de plata de manera muy rápida.Entonces vos tenés un ransomware y si te toca en una empresa y te cifraron algo importante y vos capaz que querés pagar dos mil dólares… Nosotros siempre lo desaconsejamos porque es como alimentar un mercado que no queremos que exista, pero hay gente que va y paga. Imagínense en su casa, si lo que te cifró fue tu computadora y lo que perdiste fue la foto de los nenes. Y vos capaz que querés poner quinientos dólares y recuperar las fotos de cuando los chiquilines eran pibes. Entonces realmente tiene una rápida difusión y tiene un retorno inmediato. Porque te infectaste y en 3 días estás poniendo la plata. Si bien en esta instancia de WannaCry no hubo una cantidad significativa de afectados en Uruguay, ya existían otras versiones de ransomware que ustedes ya las escucharon. Como el virus de la policía seguramente en alguna otra oportunidad escucharon en las noticias del virus de la policía, en varias versiones, hubo varias. El tema es que siempre hay uno distinto que se propaga de manera distinta. Lo que tenía de raro este ransomware era como se propagaba y con qué velocidad se propagaba. Antes lo que había te lo mandaban por mail y si descargabas el adjunto, le dabas click y te contagiabas. Ahora no, ahora te escaneaban la raíz y te ibas contagiando como antes era el conficker. Entonces bueno, vemos que hay un crecimiento realmente muy grande como les decía que cambió las estadísticas nacionales y las cambió no sólo en Uruguay, sino que las cambió en el mundo. Con lo cual, vamos a ver mucho esto. Lo gracioso de esto es que pareciera mentira, pero esto se soluciona con tener un respaldo. Y la mitad de la gente termina pagando un rescate porque no tiene un respaldo de sus archivos. Y eso tendría que ser un llamador de atención para nosotros y bueno, para todos. Porque este problema, este virus que causó furor a nivel mundial se arreglaba con tener un respaldo de la información. Otra cosa a las que estamos expuestos es a las botnets. Las botnets son de alguna manera otro tipo de software que se instala en la máquina, que básicamente una vez que te infecta una máquina una botnet, no hace nada. Y por eso son muy difíciles de detectar. Yo te infecto una máquina y, ¿para qué lo hago? Para nada. Hasta que alguien de algún centro de comando y control le dice empezá a hacer tal o cual cosa. Y es: mandame los archivos de esa máquina, escaneame la red, mandame de datos, espiá. Básicamente lo que te pongo es un primumcounter en una máquina y luego le puedo mandar instrucciones a esa computadora. Las botnetspor supuesto se usan para mandarse datos y todas esas cosas, pero uno de los usos más comunes que tienen las botnets es para hacer ataques de negaciones de servicios. Ya vamos a discutir más adelante que es un ataque de negaciones de servicios. Pero lo interesante es que las botnets se alquilan. Entonces yo de repente quiero hacer un ataque de negación de servicios a la computadora de Santiago, o al servidor de Santiago, y lo que hago es voy y alquilo una botnet. Una botnet de 150 mil nodos creo que cuesta U$S 50 (cincuenta dólares) el día, o alguna cosa de esas. Entonces 150 mil nodos es una botnet respetable. Hay pocos enlaces que sobreviven a un ataque de 150 mil equipos. Con lo cual a esto también estamos expuestos. Otra cosa interesante es que de repente nos puede sonar un teléfono y nos digan “miren señores, los llamo de Interpol para decirles que ustedes están atacando al gobierno de Argentina”. ¿Cómo que estoy atancando…? Si, tu empresa está haciendo un ataque de negación de servicios a… Pero yo no estoy haciendo nada. Bueno, lo que está haciendo la botnet que vos tenésdistribuida o que estuvo latente en tu computadora, porque no tenemos antivirus, porque no tenemos controles, porque no tenemos emparchados, un montón de cosas, hasta el día que se prenden y empezamos a atacar a alguien. Por supuesto, nuestro enlace de internet deja de funcionar, nuestros servidores empiezan a andar lento, las computadoras no funcionan, etc., etc. Y el día que queremos ver qué está pasando y poder sacarlo, si no tenemos músculo para trabajar en eso… Y el día que nos pasa estamos en el horno. Bueno, los ataques de negación de servicios, negación de servicios y negación de servicios distribuida, básicamente lo que son… Te pido, genero más demanda de la que alguien puede satisfacer. Entonces, en este caso es… Hay una señora con un servidor, que su trabajo es firmar cosas.De alguna manera ese ataque de negación de servicios le va a negar 2 millones de documentos para que los firme. Saquémoslo del ambiente informático, pensémoslo en… Vamos a hacer un ataque de negación de servicios en el supermercado de la esquina de casa. Yo sé que el supermercado de la esquina de casa tiene 2 cajeras y que el 24 de diciembre está explotado. Imagínense si yo me enojé con el cajero de la esquina y nosotros somos una banda y le vamos a hacer un ataque de negación de servicio a las cajas. ¿Qué vamos a hacer? ¿Vamos a secuestrar a las personas? No. Vamos a ir a comprar cosas. Pero, ¿cómo comprar cosas en un supermercado es un ataque de negación de servicios? Bueno, vamos a hacer así. Yo voy a comprar un caramelo, lo voy a pagar con $ 1.000 (mil pesos), o lo pago con justo. Después voy a comer mi caramelo, voy a salir, voy a volver a entrar y lo voy a volver a pedir. Entonces estamos en ese bucle infinito. La gente, los legítimos compradores quieren comprar, cada uno viene con su carrito y tienen que esperar que todos nosotros compremos un caramelo. Y además creamos ese bucle infinito. ¿Qué es lo que va a terminar pasando?El legítimo comprador que viene con su carrito va a ir a paso de tortuga. Entonces, eso es un ataque de negación de servicios. En el mundo de las computadoras es empezar a negar respuestas a un servidor. Lo único que no lo quiero yo solo, tengo una botnet de 150 mil bots que empieza a tirar contra una web, contra una base de datos, contra un servidor de archivos, contra lo que sea. No sé si hay alguna pregunta con esto. Hemos visto y a nivel mundial ha crecido, tienen un crecimiento sostenido los ataques de negación de servicios. Hace poquito con esto de IOT vimos que empezaban a haber ataques de negación de servicios astronómicos, enormes. No sé si alguno escuchó algo, que este año hubo un ataque muy grande, se habla de todo un terabyte de tráfico. Realmente vieron que es todo un tema el IOT. Los IOT son cualquier cosita que es una lámpara, un timbre inalámbrico, una camarita, lo que sea, están todos conectados a internet.Como el negocio es fabricarlo lo más barato posible para venderlo mejor. Evidentemente la calidad del software no es muy buena, ¿no? Entonces, la bombita de luz que cuesta un dólar, no esperes que tenga una gran calidad de software. Entonces, yo la conecto, queda directamente conectada a internet y después completar el software y hacer que esa bombita empiece a tirar paquetes para un lado y para otro. Como estamos en pleno apogeo de internet app fins, lo que termina pasando es que encontramos trillones de cámaras en el mundo, que las barremos con algún… Desde Google las encontramos. Porque con algún bulldoor las encontramos esos dispositivos que son vulnerables, o que podemos usar, y le decimos a todas las lamparitas, a todas las cámaras, a todo lo que sea, ataquen a la página web de Nacho. O a las redes de Nacho. Así fue que tiraron un buen ratoredes enormes. Y esto empieza a ser un problema sostenido que hay que empezar a mirar y hay que empezar a salir. Y ya empezar a ser un buen vecino es decir bueno, en mi red no me puede pasar esto. O yo tengo que tener controladas mis cosas. Porque por supuesto, como les decía hoy es, dos mil lamparitas me consumen mi ancho de banda.

Bueno, Spam &Phishing.Hoy sigue siendo el más grande de los problemas que tenemos. El tipo de incidente que más ocurrencia tiene,estamos cerca del 50%, como les decía hoy. Principalmente son ataques para robar credenciales. Pueden ser para robar credenciales de bancos. ¿Saben todos lo que es un Phishing? ¿Les parece que vale la pena que lo explique? Lo comento. Lo comento rapidito. Un Phishing es un tipo de ataque donde el atacante se hace pasar por alguien, una página web, un correo, lo que sea, en donde nos pide las credenciales. Seguro que a ustedes les llegó en algún momento. Su cuenta de correo está al límite de la capacidad, mandá usuario y contraseña del correo electrónico, logueate acá para ajustar. O te llegó un mail del banco donde dice que por favor vayas y cambies tu contraseña. Vos hacésclick en el link, te abre la página del banco, es igual a la del banco, vos ponés usuario y contraseña y ni te enteraste, pero en realidad no era la página del banco. Es un atacante que va, se clona la página del banco.Él hace una que es igual, porque son iguales literalmente. Las mirás las dos y no hay diferencia, solo que una está josteada en www.banco.com.uy y la otra está josteada en no sé dónde. Pero la mayoría de la gente ni mira la barra de la url y entonces cuando uno pone usuario y contraseña, tácate, te guardaron… Puede ser la contraseña del banco, puede ser la contraseña del gmail, puede ser la contraseña del facebook. En este mundo todo es plata. Las cuentas de correo valen plata. Se venden, se las pasan los hackers. Dicen mirá, yo tengo que hacer una campaña de spam, necesito cuentas. Evidentemente los que tienen cuentas viejas de gmail pueden mandar más mails por día que una cuenta que acabo de crear. Entonces evidentemente, ¿por qué me queréshackear mi cuenta? Y porque es una cuenta vieja y puedo mandar mucho spam a tu cuenta hasta que te la bloquee y no te des cuenta. Van muy de la mano el spam y el phishing porque si bien el spam es otra cosa que es que nos llegue correo no solicitado, pero el phishing se propaga a través del spam. Porque por lo general nos llega a través de un link en un correo electrónico. Esto sigue siendo un problema.Es un problema que tenemos que atender desde nuestras instituciones y desde nuestras empresas, porque tenemos que educar a nuestros usuarios. Si nosotros no queremos que nuestros usuarios caigan en phishing para que no les tomen las cuentas de correo, o no les tomen las cuentas institucionales, o no les tomen usuario y contraseña de las cuentas con las cuales acceden a nuestros servidores, los tenemos que educar y decirles bueno, mirá, esto es un ataque de phishing, son de esta manera. Ustedes cuando les llegue un correo tienen que verificar quién lo manda, si es el administrador o si no es el administrador. No hagan click en ningún lado. Si a ustedes les pide el banco que cambien la contraseña, que por lo general no lo hace el banco, pero si lo hiciera, no hagan click en el link. Vayan y escriban ustedes la dirección del correo del banco y ustedes ahí van a entrar legítimamente a la página del banco. Explíquenle a los usuarios que ustedes ni ningún administrador les va a pedir jamás las contraseñas.Y eso es educación. Nosotros particularmente tenemos una campaña que se llama “seguro te conectás”. Donde básicamente se transmiten algunos tips de cómo comportarse en internet, qué conductas tomar y esos pequeños tips nos protegen del 80% de los ataques. Es decir, teniendo una buena contraseña, leyendo quién te manda las cosas, no descargando. Con esas bobaditas uno termina protegiéndose mucho más. A veces las empresas dicen, ¿seguridad? Si. Nosotros hacemos una fuerte inversión en seguridad. Tenemos spywears, antivirus, etc. Okey pero, ¿tu usuario no sabe que la contraseña tiene que ser buena? ¿Tu usuario no sabe que no puede caer en un phishing? Y que le va a llegar permanentemente le va a llegar un phishing. Nuestro funcionario tiene que saber que eso le va a pasar y tiene que saber cómo se tiene que comportar. Porque sino esto es una cadena que no se termina nunca. Bueno, ¿con el phishing qué es lo que quieren hacer? Robarnos un usuario y una contraseña. ¿Para qué?Para impersonarnos. Nos pueden impersonar haciendo una transacción bancaria, o nos pueden impersonaractuando por nosotros en redes sociales, o haciendo transacciones. Las empresas que… Por ejemplo, hemos visto varios casos donde hay empresas que compran cosas –no sé, por decirles- en China que son baratas y hace importaciones de cosas y hemos visto varios casos donde empresas que compran sistemáticamente determinados materiales o determinados productos, en un momento el tipo le dice ah si, pero sabés que tenemos un programa en esta cuenta. Mandanos la carta a esta otra cuenta. Y es que al proveedor le tomaron la cuenta, impersona a nuestro proveedor y nos dice “te cambié la cuenta”. Y vos le giraste la plata y después cuando… Y los productos no llegan nunca. Y hay gente que les ha pasado con veinte lucas, con treinta lucas, o sea… Realmente es algo de lo que tienen que estar alertas. Es algo que pasa. Que no pasa en otro planeta. Pasa acá en Uruguay. Que yo recuerde, en la cabeza tengo tres casos que pasaron y que no había nada para hacerles. Giraste la plata equivocado en un banco en el fin del mundo y fuiste. Si te avivás rápido y pedís que tranquen las transacciones tenés 24 horas en las transacciones internacionales.No sé pero creo que el tiempo es ese y hay que estar muy cauteloso. A veces en los robos de identidad o cuando teimpersonan, no sólo te afectan a vos. Si de repente Claudio le pide el celular de alguien que yo conozco a Santiago, Santiago no se lo va a dar. Pero si se lo pido yo si se lo va a dar. Entonces de repente viene Claudio, en realidad me toma la cuenta a mí, pero no para perjudicarme a mí, para perjudicar a un tercero. Entonces, cuando a mí me roban la cuenta, no sólo me afecta a mí, afecta a todos mis vínculos. Si a mí me roban la contraseña de facebook, pueden acceder a datos de facebook de personas que son mis amigas de facebook. O si me tomás una cuenta de correo le vas a escribir a mis amigos. Entonces, no sólo me va a afectar a mí ese robo de identidad, sino que además les va afectar a las personas con las que me vinculo. Si a mí me llega un correo escrito en inglés, o mal escrito en español, de una cuenta que no conozco, ni lo abro, ni leo el texto del mensaje. Ahora, si me lo escribe Santiago… Dice, che Nacho, mandame no sé qué, o fijate el adjunto que te mando. Páh, es más difícil. Entonces, algo que le robaron la identidad a Santiago me termina afectando a mí también. De eso también tienen que ser conscientes, no sólo en las empresas sino en sus casas. Ser conscientes que las redes sociales no sólo les afecta a ustedes.

Temas de fugas de información. De esto también hemos visto varios casos. A todos nos encantan los discos duros externos. Y nos encanta tener los respaldos en discos duros externos y cuanto más grandes mejor. Eso tiene un problema. Que cuando perdemos un disco duro chico, perdemos poca información. Cuando perdemos un disco duro grande, perdemos mucha información. Fíjense que si perdemos un disco duro de 3 Tera, andá a saber qué diablos, que rayos estamos perdiendo. Yo recuerdo haber comprado en los últimos 3 años varios pendrives. Si hoy me decís, ¿dónde están todos esos pendrives? No sé si te puedo declarar sobre todos esos pendrives. Si te puedo decir dónde están los pendrives donde guardo información sensible sé perfectamente donde están. Pero no sé si todos tienen eso porque yo vivo de esto. Pero no sé si ustedes… ¿Cuántos han comprado más de 2 pendrives, o de 3 pendrives en los últimos 12 meses? ¿Ninguno ha comprado pendrives? Acá hay varias empresas. Ahí alguna mano hay. ¿Todos saben dónde están siempre sus pendrives? O hay alguno al que le perdimos el rastro hace un mes. Siempre hay alguno que se traspapela. Un disco, o un pendrive, o lo que sea. Ese pendrive tiene información. A algunos nos gusta llevarnos el trabajo para casa, a veces nos mandamos cosas por mail, a veces cuando las cosas son medio pesadas las llevamos en pendrive. Eso es algo que tienen que tener en cuenta. Cuando se pierde, no sólo perdemos la foto de los nenes sino que perdemos información corporativa. Y bueno, por supuesto a las empresas nos gusta que todo el mundo si tengo una urgencia me pueda responder desde casa, entonces llevate las cosas, llevate la computadora. Pero cuando se pierde una computadora… Si su gerente general pierde la computadora y su disco no está cifrado, es un problema mayor. Porque esas computadoras tienen mucha información. Y eso es algo que corporativamente tenemos que mirarlo, prestarle atención y saber qué vamos hacer y cómo podemos responder o mitigar los riesgos que se asocian a esto. Nosotros hemos visto casos de notebooks perdidos, etc. La información no sólo se va porque perdemos pendrives, o perdemos discos duros, o nos roban la computadora.

Otro de los grandes tipos de incidentes que nosotros tenemos en nuestras estadísticas es lo que son los compromisos de sistemas. Perdemos mucha más información, información quizás más sensible si nos pican una base de datos, o si nos pican un servidor, que un servidor de producción tiene data fresca y es la que está pasando en este momento y por lo general tenemos la base de datos suave, datos de clientes, registros médicos, lo que ustedes quieran hay en la base de datos. Ni que hablar que si tenemos que cuidar los pendrives, tenemos que cuidar los servidores. Uno a veces piensa no, que no me hackeen el servidor porque sino les corto el servicio a mis clientes. Bueno, cortarles el servicio a tus clientes es el menor de tus males. El problema mayor es que uno de repente gasta en marketing, tiene una postura institucional donde quiere transmitir confianza, donde quiere marcar una diferencia en el trato y en la calidad con sus clientes y mañana de mañana porque no tuviste una buena política de seguridad, todos tus clientes se ven afectados porque están todos sus datos en internet. Los tiene todo el mundo, cuanto gastaste, si son contadores las finanzas de aquel. Si son un banco es el secreto bancario, cuanta guita tengo.Si son una institución médica son los registros médicos y si son lo que sea es información que no es de ustedes porque es de sus clientes que todos acá deben cuidar mucho y ser muy celosos con los datos de sus clientes y quedan expuestos. Entonces, el problema cuando pasan estas cosas y mirando los casos que hemos atendido, ¿no? Es una vuelta que,¡pum! Te pegaron y se fueron y te robaron todo y ta, quedaste escrachado. Por lo general son ataques que empiezan despacito, intentan, intentan, intentan y no pueden. Prueban con contraseñas, prueban vulnerabilidades. Entran, hacen un escaneo interno, se pasan a un servidor, hasta que encuentran una base de datos y se la llevan. Entonces, ¿cómo mitigamos esto? Teniendo una buena gestión de seguridad. Mirando los logs, atendiendo todas esas cosas para detectar de manera temprana cuando hay una brecha de seguridad y poder tomar alguna acción correctiva. Ni que hablar que atrás de todo esto tiene que haber equipamiento, firewall,wav, antivirus, parchado de equipos, un montón de cosas. Pero compromiso de sistemas vemos muchas veces. Lamentablemente, a veces cuando el compromiso es tan grande que es detectable, lo peor ya pasó. Cuando un cliente tiene una vulnerabilidad, siempre hay alguien que es el primero que la descubre. Si el primero que la descubre es un chiquilín, ¡pum! Te rompe el servidor y te pone un freno. Ahora, si el que encuentra la vulnerabilidad es un tipo que vive de esto, que va a vender tu servidor en un coso para mandar spam, o que va a robar tu información para después lo que sea, nunca te vas a enterar que lo tenés adentro. Por lo general cuando van y ponen un defacement en un servidor, hacía 8 meses que había gente que se estaba llevando cosas. Claro, el que le puso el defacement les arruinó la torta. Esto no es mentira, no es de ciencia ficción. Es el 18% de los incidentes que atendemos anualmente. Bueno, los defacement no solo es,¡páh! Qué fastidio, me pusiste una… Defacement es simplemente un servidor web que cambio la página y pongo lo que se me ocurre… Desde un mensaje terrorista -que también los hay-, hasta no sé: “el administrador es un salame”. Lo que sea te pone un defacement. Capaz que vos decís y buenota, que me importa, me pusieron un defacement.Ta, voy y lo arreglo. Le digo che, guardame la página principal, poné la vieja, levantá un respaldo y está todo bien. Bueno, eso es un tema. Primero si vos hacés eso, me ponés la página de vuelta, eso significa que sacaste lo que se ve, pero acá alguien entró a tu servidor y te lo pudo modificar. Y si alguien pudo modificar algo en el servidor y te pudo escribir, antes pudo leer. Y si pudo leer y leyó todo lo que había ahí, se lo llevó probablemente. Y después queda el tema del impacto institucional que pueda tener. No es lo mismo que me hackeeny me hagan un defacement a las 3 de la mañana que no lo mira nadie, que si soy una empresa que está haciendo una campaña de marketing por ejemplo, o estoy tratando de transmitir lo que sea de fidelidad, de seriedad, de calidad, etc.Y que a la hora de las noticias me pongan un defacement terrible. Porque es a la hora del noticiero… Lo que pasa a la hora del noticiero es terrible. Porque “¡ah!, a la empresa tal le pusieron tal cosa”, o “a la institución tal”... Y lo que te hicieron en el servidor capaz que es lo de menos. Lo zarpado es como llega a afectar a la imagen institucionalque vino alguien y te pone “el administrador es un salame”. Y de repente nosotros estamos invirtiendo millones en tecnología.

Otra de las cosas que vemos que pasan y que son un problema es la falta de definición de políticas. Muchas veces nosotros creemos que los usuarios se van a comportar de determinada manera y que hay cosas que no pueden pasar, que la contraseña no se la pueden pasar a nadie. Todos sabemos que la mayoría de la gente le presta la contraseña a alguien. Porque no tiene el acceso, porque se olvidó de la contraseña, porque se le olvidó al usuario, porque necesito hacer algo rápido y entonces me está fallando, no me entra entonces, ¿me pasás? O porque simplemente para no entrar y salir de la computadora la compartimos, o lo que sea. Y no hay una política definida institucional de “esto no se puede hacer”.

Yo puedo o no puedo hacer determinadas actividades. El administrador hace los respaldos a su criterio,¿o hay una política definida de cuando los tiene que hacer? Nosotros, de repente la alta gerencia o la dirección dicen “si, me imagino que la gente está respaldando”. Cuando pasan los incidentes, la mitad de las veces no están los respaldos. Entonces guarda que no me metan un ransomware, no me comprometan el sistema y no hay respaldos si yo creía que estaban. Y cuando van les dicen, ¿cómo no respa