Por Fausto Cepeda

¿Alerta máxima todo mundo porque Asia viene con todo? Si así fuera, estaríamos reaccionando al compás de las noticias; significaría que si Google no hubiera hecho público su ataque, entonces todos felices y tranquilos?

El ataque informático que sufrió Google -junto con Adobe y otras compañías del Valle de Silicio- y que anunció la segunda semana de enero, pudo haberse originado en cualquier entidad externa o interna e inclusive de mayor magnitud. Tal vez ahora mismo una organización está siendo penetrada y nunca se darán cuenta o preferirán el silencio. El objetivo de los profesionales de seguridad es siempre estar alerta, asumir que pueden ser abordados digitalmente y pensar que lo peor puede suceder en cualquier momento; en efecto, en nuestra profesión no hay cabida para el optimismo.

Independientemente de lo que pasó con Google y compañía, es necesario estar a la defensiva; el hackeo del gigante de Internet es sólo un eco a la distancia que nos recuerda que la tragedia puede pasar, y de que hecho, pasa.

A continuación algunas reflexiones de lo que me llamó la atención del incidente China-Google.

Feliz Navidad: la embestida al parecer inició aproximadamente el 15 de diciembre y acabó –más o menos- el 4 de enero. ¿Coincidencia? En lo absoluto, son las fechas en donde personal toma vacaciones y en general hay menos staff de TI disponible; también hay que confesar que se baja un poco la guardia. Es el tiempo correcto e ideal para llevar a cabo la intrusión; Sun Tzu lo haría en Navidad.

Factor Sorpresa: para lograr la intrusión a Google y Adobe (entre otras), se usó una debilidad en el navegador de Microsoft, Internet Explorer (se cree que se usaron otras debilidades en diversos productos). Significa que los perpetradores de la intrusión no son novatos e inteligentemente usaron una debilidad desconocida para el resto de nosotros (aunque no hay parche, MS publicó ya una notificación de la debilidad); tal vez ellos mismos la descubrieron o la compraron en el mercado negro de vulnerabilidades. También significa que por más parchado que tengamos en la infraestructura, no es suficiente; cualquier día de la semana un ataque dirigido puede encontrar nuevas y desconocidas debilidades en sistemas operativos, aplicaciones o en el software que opera la red. Olvidémonos de los antivirus (sus firmas detectan patrones conocidos) y los firewalls personales ofrecen protección limitada (depende de la naturaleza del ataque y de la capacidad y configuración de los firewalls personales). Para contrarrestar ataques dirigidos se requiere de seguridad a profundidad: defense in depth.

Seguridad real y percepción: me extraña que una entidad gubernamental alemana haya sugerido “no usar IE hasta que haya un parche que solucione la debilidad”. Absurdo, como si no hubiera debilidades en otros navegadores o en el propio IE, y eso suponiendo que se tiene todo parchado al día. Todos los sistemas operativos y aplicaciones tienen debilidades en estos momentos que pueden ser descubiertas para usarlas en un ataque. Y si el atacante no tiene la pericia para descubrirla, podrá usar una ya conocida y esperar que la víctima no haya parchado; difícilmente se puede tener el 100% de la infraestructura al 100% de parchado en un momento dado. La sugerencia alemana da la percepción de seguridad “qué bueno que alguien hace algo al respecto”; pero la sugerencia no da seguridad real.

Información con valor: todavía a algunos les parece hueca y sin fundamento la frase “la información tiene valor, es un activo de las corporaciones”. “¿Y eso qué rayos significa en el mundo real?”, comentan algunos en voz baja para no ser escuchados. Preguntemos a Google si le gustó que accedieran a la información de usuarios que él maneja o a su código fuente; están tan furiosos que están evaluando dejar el negocio en China. Y todo por unos bits intangibles, fríos y…sin valor (?).

Adversario colosal: si Google tiene razón cuando afirma que el gobierno Chino está detrás de los ataques digitales entonces significa, queridos amigos míos, que se enfrentan a un poderoso adversario. De entre la clasificación de atacantes, los gobiernos son los Tyrannosaurus Rex. Vastos recursos monetarios, humanos y tecnológicos. Un rival formidable, hasta para Google. David, en esta situación sólo resta sostener firmemente la honda; veo a Goliat tocando los puertos del ruteador.

Detalles, detalles, detalles: estoy esperando los detalles de la operación Aurora –como ya se le conoce- y tal vez sea una espera interminable. Los detalles no sólo satisfacen la curiosidad, sino que nos hacen voltear hacia nuestra infraestructura. ¿Es cierto que usaron links para dirigir a los usuarios hacia sitios maliciosos? ¿Cómo inyectaron el troyano? ¿El código malicioso se colgó de un thread del IE? ¿Es cierto que el malware – Trojan.Hydraq -usó el puerto del navegador y el propio IExplorer para pasar inadvertido? ¿Qué protecciones/controles tuvo Google al momento del ataque y con qué configuración? ¿Cómo lo detectaron finalmente? Ahh, tan pocas respuestas y yo tan sediento.

¿Qué estamos haciendo para no ser la próxima víctima? ¿O pensamos que eso sólo le pasa a Google? Nosotros también somos un blanco, la diferencia sólo puede ser que nuestra tragedia no llegue a los titulares. Twitter @FaustoCepeda.

Fausto Cepeda es ingeniero en Sistemas Computacionales por el ITESM, CCM. Es Maestro de Seguridad de la Información por la Universidad de Londres en el Reino Unido. Ha sido Consultor de Seguridad y actualmente es Analista de Sistemas en la Oficina de Seguridad Informática del Banco de México. También cuenta con la certificación de seguridad CISSP (Certified Information Systems Security Professional.