La meta del hacker solía ser destruir o robar información, pero hoy lo que intenta es obtener beneficios a cambio de ella. Vemos cómo se profesionalizan los ataques y se crea un negocio a su alrededor: hace unos años no era tan fácil comprar ransomware o alquilar un bot para atacar. Xavier Mertens, consultor de ciberseguridad independiente y bloguero reconocido en el sector de la seguridad informática, insiste en la importancia de la seguridad tradicional para hacer frente a estas nuevas amenazas altamente eficaces. La participación de Mertens como voluntario en el SANS Internet Storm Center, el sistema mundial cooperativo de alertas de ciberamenazas, lo convierte en un profesional conocedor de los ataques de vanguardia.
PS: ¿Cómo pueden los profesionales del sector adaptarse a las nuevas necesidades?
XM: Las medidas de protección habituales no dejan de tener importancia. Si los empleados pueden adherirse a las medidas clásicas: implementar una segmentación adecuada, contraseñas seguras, configurar los dispositivos correctamente y no exponer información o herramientas importantes en la web, creo que podrían estar protegidos ante cualquier amenaza moderna.
La mayoría de los problemas de seguridad ocurren porque la gente necesita llevar a cabo sus tareas diarias, y no conocen los planteamientos básicos para solucionarlos. Recientemente intenté escanear un documento y, tras haber revisado credenciales y firewall y verificado que la impresora funcionaba correctamente, me di cuenta de que no funcionaba porque tenía configurado el protocolo Server Message Block version 1 (SMBv1), que ya ha sido ampliamente desaprobado. Por tanto, tienes que decidir si lo habilitas o no. Por lo general, los usuarios habilitarán la configuración predeterminada porque no saben cómo cambiarla o no tienen tiempo para hacerlo y necesitan seguir con su día a día. Pero no es tan complicado, como expertos del sector, solucionar estos problemas básicos y proteger la seguridad de herramientas tan comunes en las empresa como las impresoras.
Esperemos que las empresas hayan tomado las medidas necesarias para adaptarse al GDPR
PS: ¿Qué es el Internet Storm Center? ¿Cuál es tu labor como ISC Handler?
XM: El Internet Storm Center es una organización cuyo propósito es monitorizar Internet y velar por su correcto funcionamiento. Por medio de herramientas automatizadas, recolectamos información para los profesionales del sector, generamos contenido útil a modo de diario de ciberseguridad e intentamos aumentar la sensibilidad ante el problema. Por ejemplo, con el dshield project permitimos que las personas envíen sus registros de firewall para incrementar nuestra base de datos y construir un sistema de análisis en base a la repetición. Fuimos capaces de detectar el botnet Mirai porque tenemos herramientas que demostraban picos de actividad en puertos específicos. Somos “los bomberos del Internet”.
PS: ¿Cómo podemos evitar ataques recientes como los que tienen como finalidad el minado de criptomonedas?
XM: La protección sigue siendo la misma que para otro tipo de malware, porque el minado de criptomonedas se realiza con un código malicioso que se ejecuta en tu ordenador. Los consejos básicos: una solución de ciberseguridad que te proteja de forma completa y no clicar o descargar archivos desconocidos. Sin embargo, creo que el cryptojacking es uno de los ataques más brillantes que he visto. Los criminales se están pasando del ransomware a la minería porque es mucho menos intrusivo y no necesitas utilizar tantos recursos para evitar ser detectado. Con el ransomware no sabes si la víctima pagará el rescate porque podría tener una copia de seguridad de sus archivos. En cambio, con la minería de criptomonedas es seguro que recuperarás el dinero invertido, y es mucho menos invasivo. Se puede ejecutar la minería en cualquier tipo de dispositivo, no está restringido a Windows, Mac o Linux como el ransomware, y el sistema de la víctima seguirá funcionando a pesar del ataque.
Uno de mis compañeros en el ISC estudió la potencia de su ordenador mientras minaba criptomonedas. Los ventiladores y el CPU del ordenador estuvieron siempre ocupados y operando al máximo. Imaginemos las consecuencias que podría tener el minado en una empresa con múltiples ordenadores: crece el consumo de electricidad, tiene un impacto importante en el tráfico al centro de datos y puede incluso aumentar la temperatura de la oficina.
PS: Tienes un certificado GIAC en ingeniería inversa de malware. ¿Crees que las empresas deberían invertir en este tipo de análisis?
XM: No creo que se deba invertir en reverse engineering a menos que se disponga de mucho presupuesto y mucho tiempo. El propósito de las empresas no es entender el comportamiento del malware; su meta es volver a la actividad lo antes posible. Al analizar archivos maliciosos, lo que buscamos es saber por qué reacciona de esa manera para generar una lista de indicadores (Indicators of Compromise) para compartirlo con investigadores del sector y ofrecer esta inteligencia a los clientes.
PS: ¿Cómo elaboras un plan de respuesta a incidentes eficaz?
XM: Los planes de respuesta a incidentes son complicados de abordar, especialmente si se trata de compañías que no tienen los recursos o el personal adecuado. En mi opinión, siempre se puede empezar por cosas pequeñas. El primer paso es estar preparados, aumentar la sensibilidad e involucrar a todos los empleados, y esto lo puede hacer cualquier empresa.
PS: Ya que se acerca la fecha límite, ¿cómo pueden prepararse las empresas para el cumplimiento del GDPR?
XM: Con el GDPR lo que se pretende es proteger la privacidad de los usuarios. Tomando en cuenta esto, si has implementado una estrategia de seguridad exhaustiva, si sabes dónde se encuentra tu información y cómo está protegida, y si solo recolectaste la información estrictamente necesaria para tu negocio, el GDPR no debería ser un problema para ti. Este reglamento nos devuelve a las raíces, a los consejos básicos: encripta tu información, no almacenes contraseñas en archivos públicos, no expongas bases de datos en internet… Posiblemente el mayor reto será para las empresas pequeñas que no dispongan de un inventario de toda la información que poseen, no solo datos internos sino también lo que comparten con proveedores y usuarios. Estamos viviendo un proceso de revisión de toda la información que poseen las empresas y esperemos que las empresas hayan tomado las medidas para adaptarse al GDPR.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
