"La seguridad debe estar presente en todas las decisiones corporativas, no sólo en las de TI"
Federico de Dios, Service Line Manager, Southern Europe de Akamai Technologies, habla con ComputerWorld.
Recientemente publicaron su Informe sobre el Estado de Internet del tercer trimestre de 2014. De la información recogida por ustedes a través su Plataforma Inteligente, llama la atención la relacionada con los riesgos en las redes, la ciberseguridad, y los ataques que califican como tráfico de ataques en Internet. ¿Podría explicarnos en qué consisten y cómo actúan este tipo de ataques?
Según los datos analizados por nuestro SOC (Security Operation Center) global, hacia finales de 2014 hemos notado una tendencia de crecimiento en los vectores de ataque volumétrico por amplificación. En comparación con los datos del 2013, en el año 2014 detectamos un crecimiento del 57% en ataques DdoS. No sólo ha crecido la cantidad, sino que dicho crecimiento también se ha visto acompañado de un incremento en la intensidad de los ataques: hemos pasado de una media de 4,21 Gbps a una de 6,41 Gbps. Por último, también ha aumentado la duración media alcanzando un valor de 29 horas. En resumen, hay diversos tipos de ataques, pero los que más han crecido en los últimos meses son los ataques volumétricos dirigidos.
En su informe, ustedes se hicieron eco, asimismo, de haber identificado a 201 países o regiones que originaron ataques observados, en comparación con los 161 del segundo trimestre, y más en línea con los 194 del primer trimestre. ¿De dónde procede la mayoría de los ataques, y hacia qué objetivos van dirigidos principalmente?
Durante el tercer trimestre del 2014 hubo un incremento del bloque conocido como BRIC: Brasil, Rusia, India y China. Sin embargo, a finales de año los países de donde procedía el mayor volumen de ataques fueron Estados Unidos y China. A lo largo del año hubo diferentes objetivos, pero es digno de mencionar el alto porcentaje de empresas del sector de juego (gaming) que fueron atacadas. Durante 3 trimestres consecutivos, el sector de juego estuvo a la cabeza de víctimas de ataques.
Estamos siendo testigos de ciberataques que abren importantes brechas en los sistemas de grandes organizaciones, sacando a la luz pública información personal de millones de personas. El último caso fue la semana pasada a la empresa Anthem de Estados Unidos, a quién extrajeron datos de 80 millones de usuarios. ¿Qué opina de estos grandes ataques y cómo podrían protegerse las organizaciones?
Desafortunadamente creo que seguiremos viendo este tipo de ataques. La lecturahipositiva de todo esto es que el nivel de atención ha crecido y hoy en día todas las organizaciones toman las amenazas como un problema real, que hay que atender y que la seguridad debe estar presente en todas las decisiones corporativas, no sólo en el área de tecnología. Todavía queda mucho camino por recorrer y la inversión en controles de seguridad debe crecer, pero creo que estamos en el camino correcto. La mejor forma de protección que tienen las organizaciones es tomar conciencia y adoptar la seguridad como un elemento clave de su ADN.
¿A qué tipo de amenazas se enfrentan los sistemas de usuarios y empresas en la actualidad?
El conjunto de amenazas es muy diverso, no existe una tipología general de amenazas sino que varían mucho según el objetivo. En nuestro sector, que es el mundo de Internet, las amenazas más frecuentes son la denegación de servicio, el robo de credenciales, robo de información, suplantación de identidad y ciertos tipos de estafas acompañadas normalmente de ingeniería social. Akamai ofrece servicios que hacen que Internet sea un entorno más rápido, más fiable y más seguro. Nuestro valor diferencial es la característica global de nuestra plataforma, la gran capacidad de escalar ante picos inesperados.
¿Cómo actúa un ataque de denegación de servicios DDOS y cómo podemos protegernos?
El objetivo fundamental que persigue un ataque DDoS (Distributed Denial of Service) es comprometer el normal funcionamiento de un servicio, en algunos casos llegando a interrumpirlo por completo. La característica principal es justamente la distribución: se trata de hacer determinado tipo de peticiones desde multitud de nodos, localizados en geografías dispersas y de manera concurrente. Esta estrategia genera una avalancha de tráfico que satura los recursos y la infraestructura que soporta dicho servicio, y, por lo tanto, causando una degradación en la calidad del servicio. Normalmente, estos ataques se realizan utilizando técnicas de amplificación, con el fin de producir mayor daño.
Como apuntaba en mis anteriores respuestas, este tipo de ataques es peligroso y su tendencia es creciente. No es fácil, pero hay algunas técnicas para protegernos de estas amenazas. La estrategia que mejor resultado ofrece actualmente es utilizar una arquitectura global y distribuida que, en esencia, es lo que hacen las botnets que se usan para atacar. De esta forma, una plataforma globalmente distribuida, cerca del atacante, permite hacer frente a los picos de accesos consecuencia de un ataque DDoS. También es clave la participación activa de expertos durante la mitigación de los ataques. No debemos ol-vidar que detrás de algunos ataques hay organizaciones profesionales de la delincuencia con recursos y conocimiento para adaptar el ataque conforme se despliegan contramedidas. No siempre es así, pero según nuestra experiencia haciendo frente a este tipo de amenazas, es clave tener la capacidad de combinar ambas estrategias.
¿Están cambiando las formas de ciberataques? ¿Qué procedimientos de ataques más sofisticados y, por otro lado, más burdos, suelen emplear los hackers en la actualidad y cuáles son sus objetivos?
Sí, definitivamente están en cambio constante, se adaptan con mucha velocidad no sólo a las herramientas de detección y bloqueo sino también a las nuevas tecnologías. Un claro ejemplo de ello es Internet de las Cosas. En las últimas semanas durante algunos de los ataques a los que hemos tenido que hacer frente, nos hemos encontrado con nodos de ataque que eran dispositivos conectados a Internet de todo tipo. Hoy en día hay millones de dispositivos que utilizan Internet para algunas de sus funciones y son vulnerables a ser utilizados con fines no legítimos.
Los procedimientos que nos encontramos desde el SOC de Akamai normalmente siguen un patrón similar. Suelen emplear técnicas de amplificación y uso de botnets para generar mucho volumen y así comprometer servicios abiertos en Internet.
Gracias a nuestra plataforma globalmente distribuida por la que pasa aproximadamente el 30% del tráfico Web mundial, tanto legítimo como ilegítimo, tenemos la capacidad de observar en tiempo real este tipo de estrategias.
Una característica que vemos a menudo es que esosataques volumétricos son una cortina de humo, una distracción, para lanzar otros ataques más precisos que pueden pasar desapercibidos.
Nosotros insistimos mucho en la necesidad de contar con herramientas que puedan ofrecer una visión completa.
No es suficiente con utilizar una estrategia de defensa para ataques de fuerza bruta si al mismo tiempo no se están controlando ataques de robo de información a aplicaciones Web, por ejemplo.
Dibújenos el perfil de un hacker
En primer lugar me gustaría aclarar que un hacker no es un delincuente. Muchas vecesel término hacker se asocia a un contexto negativo y, realmente, no es así. Hay diversas definiciones, pero en mi opinión, un hacker es un entusiasta de la tecnología y la seguridad de la información, bien como interés personal o como carrera profesional.
Por otro lado están los atacantes que buscan cometer algún tipo de daño. En el caso de los atacantes, en Akamai nos encontramos en Internet con 3 tipos de grupos claramente diferenciados: los hacktivistas, los conocidos script kiddies y los criminales. Cada uno de ellos utiliza técnicas diferentes, pero muchas veces coinciden tanto en la estrategia como en las herramientas. En el caso claramente delictivo quizás es donde encontramos una organización más especializada ya que el ataque lo realizan organizaciones criminales con unos recursos específicos y un objetivo económico determinado.
No existe un único perfil de atacante, por eso es tan importante contar con tecnología flexible, pero también con investigadores quepuedan analizar y adaptar las contramedidas con agilidad.
Tipo de compañías que son más atacadas y por qué.
Akamai opera en todo el mundo, tenemos clientes en todos los sectores: Banca, AAPP, Comercio Electrónico, Salud, Industria, Fuerzas y Cuerpos de Seguridad.
Hace algunos años veíamos una mayor concentración de ataques en el sector público, en el comercio electrónico y en el sector financiero. Sin embargo, hoy en día todo tipo de compañías sufren ataques y no es aceptable ignorar este hecho. Si analizamos los datos de aquellos ataques que detectamos en nuestra plataforma, debemos separar escaneos automáticos en busca de vulnerabilidades de los ataques dirigidos. Es importante hacer esta distinción porque hay mucho tráfico ilegítimo generado por herramientas automatizadas que están en constante búsqueda de vulnerabilidades.
Por otro lado están los ataques dirigidos, que suelen buscar un daño concreto a una organización o grupo de organizaciones determinadas. En este último grupo debemos destacar como objetivo empresas del sector del juego que a lo largo de todo el año han sufrido diversos tipos de ataques, ocupando el primer puesto en la lista de objetivos. Uno de los motivos por el que muchas compañías son atacadas es el robo de información.
Durante todo el año hemos sido testigos de intentos de robo de credenciales y datos de carácter personal, en algunos casos intentos que han sido exitosos.
¿Cómo pueden los usuarios corporativos contribuir a reducir y/o minimizar las consecuencias de los ataques a redes y sistemas en sus empresas?
Todos los que utilizamos la tecnología debemos seguir ciertas pautas para reducir la posibilidad de los ataques. En primer lugar debemos conocer las políticas de seguridad de nuestras organizaciones y seguir todas las indicaciones en materia de uso y protección de credenciales, clasificación de la información, acceso a los sistemas y recursos, y notificación de posibles incidentes. Sin embargo, aquellos que trabajamos en el desarrollo de tecnología somos los responsables de crear herramientas y sistemas que reduzcan el riesgo al mínimo posible. No podemos delegar en los usuarios todos los controles de seguridad.
Y, con respecto a las amenazas a los sistemas móviles de los usuarios, ¿cómo están evolucionandoy cómo podemos proteger nuestros smartphones y tabletas de los ciberataques?
Akamai no ofrece servicios de seguridad en dispositivos móviles, sino que ayudamos a las compañías a proteger los servicios que están publicados en Internet. Las compañías de antivirus están trabajando arduamente para encontrar una solución óptima a la amenaza en dispositivos móviles. Probablemente nos sigamos encontrando muchos problemas en ese tipo de plataformas todavía, pero el mercado ha evolucionado mucho y hoy en día hay alternativas para gestionar las plataformas móviles de una forma más controlada.
