ESCUCHAR EL EPISODIO | SEGUIR EN TWITTER
El 2018 ha llegado a su fin y el nuevo año ya comenzó. ¿Qué nos depara el año 2019 en materia de ciberseguridad? En este episodio de “Cyber Security Sauna”, tenemos cinco expertos para discutir sobre esta pregunta, y para analizar las tendencias vistas en el 2018. Los temas abarcan desde phishing, pasando por inteligencia artificial, ataques a la cadena de suministro, Internet de las Cosas, privacidad de datos y más. Nuestra mesa redonda le mantendrá al tanto de dichas tendencias. En esta ocasión con nosotros los expertos: Adam Sheehan, de MWR Infosecurity, y Laura Kankaala, Tom Van de Wiele, Artturi Lehtiö y Andy Patel, todos de F-Secure. Escuche o siga leyendo la transcripción.
Janne: Adam, recapitulando el 2018, ¿qué fue lo que más te llamó la atención?
Adam: Creo que la tendencia más notable observada el 2018 fue el aumento del phishing móvil entre los empleados de empresas. Se trató tanto del phishing – suplantación de identidad – utilizando para ello mensajes de texto como del phishing en general que se envía a diversos dispositivos móviles. Este es un aumento fue no sólo en términos de frecuencia, sino también en términos de eficacia. Nosotros hemos detectado un crecimiento dramático en la cantidad de phishing que está entrando a través de dispositivos móviles, eso lo corroboran nuestros propios datos internos, los cuales revelan un aumento en la vulnerabilidad de los usuarios.
Okay.
Adam: Las razones por las cuales ocurre esto son bastante interesantes. Lo que trato de decir es que obviamente hay un gran aumento en el uso de sistemas portátiles, éstos además se están volviendo, funcionalmente hablando, similares a los equipos fijos de escritorio. A esto se le suma que también hay un patrón de comportamiento registrado aqui. Sabes? tenemos un comportamiento diferente cuando nos sentimos relajados o cómodos.
Nosotros los usuarios tenemos una manera de utilizar nuestros equipos de escritorio o portátiles en un contexto de trabajo, en la oficina, por ejemplo. Mientras que el phishing móvil nos atrapa en momentos débiles, creo. Por ejemplo cuando estamos en el metro o un viernes por la noche tomando algo. El término científico para este tipo de comportamiento es la “comodidad cognitiva”. Cuando nos encontramos en un estado de “comodidad cognitiva” tendemos a sentirnos más confiados, nos sentimos más acogidos y somos más vulnerables. Por eso puedo decir que el phishing móvil es en realidad un método de ataque casi más poderoso que el que de correo electrónico.
Foto
De izquierda a derecha: Laura Kankaala, Janne Kauhanen, Artturi Lehtiö, and Andy Patel
El hecho de que nos sentimos cómodos con el dispositivo en nuestras manos hace menos probable que sospechemos.
Adam: exacto, eso tiene mucho que ver con esto. También creo que podemos superar el phishing en general teniendo entrenamientos en seguridad. En realidad, la formación de sensibilización con respecto a seguridad de los dispositivos se realiza a menudo en la oficina, en los trabajos. Esto realza aún más lo implícito de que la seguridad es algo que tiene sólo relevancia en el trabajo. Si las personas no necesariamente aplican estos conocimientos a sus dispositivos móviles en casa, entonces la capacitación obtenida, ya que está dedicada a un contexto en particular, probablemente no tenga un impacto más allá en la conducta de los usuarios, ya que ellos lo aplicarán intuitivamente sólo en una área.
Al respecto hay un interesante estudio sobre ciencias del comportamiento. Allí se ve que las personas que estudian para exámenes en un entorno similar al en el que finalmente se llevará a cabo el examen, obtienen mejores resultados que aquellas que estudian en casa o en cualquier otro contexto diferente. Creo que algo similar ocurre con los entrenamientos de sensibilzación hacia la seguridad. Por ello si nos enfocamos a hacer la formación de seguridad – que hoy en día es muy centrada en la oficina, en el trabajo – de la misma forma pero enfocada hacia formación puntual sobre dispositivos móviles, probablemente sea ésta la manera de cómo podemos solucionar este problema”.
Hablando del aspecto técnico, obviamente muchos dispositivos no son administrados. Lo que podemos hacer es optar por el uso de dispositivos administrados, la protección de puntos finales móviles y el aumento de los controles en los equipos portátiles. Las contraseñas o claves también son un tema a abordar. La gente tiende a pensar: “Bueno, no necesariamente tengo que protegerlos de la misma manera. Los peligros en el dispositivo móvil no son los mismos ” y eso es cada vez más erróneo, creo.
No se me pasó por la mente que el entorno de la capacitación afecta el comportamiento. Eso es interesante, pero ¿cree usted que es tan fácil para nosotros comportarnos correctamente en el caso de un dispositivo móvil? Es decir, no es fácil controlar los diferentes links para ver adonde llevan realmente.
Adam: Por cierto. Esto en términos de nuestra capacidad intrínseca y eso sin siquiera mencionar la psicología humana del uso de los dispositivos. Creo que hay muchos desafíos vinculados a ésto, por ejemplo, no se puede pasar el ratón por encima de los link tan fácilmente en algunos dispositivos y menos investigar estas cosas. A ésto se suma que es más difícil comprobar la URL o el dominio. Ya hay desafíos técnicos allí aún antes de hablar de las diferencias en términos de cómo la gente usa estos dispositivos y el hecho de que intuitivamente confiamos más en ellos.
“El phishing móvil es en realidad un método de ataque casi más poderoso que el phishing por correo electrónico”.
Adam Sheehan, MWR Infosecurity
Andy: ¿Lo observado se refiere a phishing en general o hay casos de ‘spear phishing’ (tipo lanza)?
Adam: Creo que la diferencia entre este phishing en particular y el phishing regular no es significativa en términos de frecuencia. Cuántos hay de cada uno de ellos es similar a lo que entra por medio del correo electrónico en relación a lo que entra a través de un computador portátil. No creo que haya necesariamente más o menos.
¿La naturaleza de lo que clasificaríamos como phishing de lanza o dirigido con respecto a los dispositivos móviles es algo interesante, verdad? Por ejemplo, es usual recibir ataques que parecen ser idénticos a los mensajes de su banco o en los que suele estar involucrado su banco. Se sabe que eso tiene la credibilidad, la confiabilidad y la eficacia del phishing específico, aunque éste tal vez pueda hacerse masivo también. Debido a ello, es muy importante que las personas entiendan cómo funciona esto y que ellas también son vulnerables usando dispositivos móviles.
Artturi: En ciertos casos de espionaje, por ejemplo, no es necesario más que comprometer el dispositivo móvil de la persona para poder ver una gran parte de su vida. Incluso se han registrado casos en los que presuntos delincuentes patrocinados por algún estado atacan únicamente los dispositivos móviles de sus objetivos. A través de ellos realizan, por ejemplo, el phishing por mensaje de texto y tratan de colocar malware en esos dispositivos móviles, ya que la mayoría de las personas tienen sus correos electrónicos en sus teléfonos. Se suelen hacer muchas cosas desde allí, llamadas telefónicas, mensajes de texto etc. Esto tiene un considerable valor visto también desde la perspectiva de inteligencia artifical.
Adam: si, absolutamente.
Adam ¿Cuáles son sus pronósticos para el 2019? ¿Qué vamos a ver con frecuencia el próximo año?
Adam: Algo visto este año y creo que realmente va a aumentar el año que viene, es la tendencia de las empresas a estar interesadas no sólo en lo que sus empleados están haciendo en términos de clics, tasa de descargas, respuesta a la suplantación de identidad – phishing – de voz y ese tipo de cosas, sino también en el porqué ellos están haciendo estas cosas.
Creo que durante mucho tiempo se ha asumido que si una empresa A tiene una alta tasa de clics, digamos en el phishing de correo electrónico, y si una empresa B tiene la misma tasa de clics observable en este tipo de phishing, se le ofrece más o menos la misma solución. De hecho eso es como ir al médico con un fuerte dolor de cabeza y que el médico diga “Sí, tenemos una pastilla que trata todo tipo de dolores de cabeza”. Sin embargo, en un caso el problema podría ser una enfermedad o un déficit y en otro caso el problema podría ser bastante diferente. Entonces creo que es necesario profundizar el análisis de las causas que originan estas situaciones, eso nos permite buscar soluciones diferenciadas y a la medida. Esto creo que es lo que probablemente aumentará en el 2019, ese análisis detallado de lo que realmente está sucediendo.
Laura: A futuro es muy importante para las empresas el invertir en la capacitación y entrenamiento de seguridad. La mayor parte del tiempo el atacante elige el camino que ofrece menor resistencia, es decir, a través de los empleados usando el phishing y ataques similares. Por eso creo que esto también va a ser cada vez más relevante a futuro.
Adam: Sí, por supuesto.
Tom, ¿qué más sería digno de ser mencionado respecto al 2018 ?
Tom: En cuanto a las tendencias del 2018, creo que hemos llegado a la cúspide de los programas de ransomware, por lo menos en lo referente a la sensibilización de los usuarios. Las empresas están más conscientes de que pueden ser invadidas por atacantes muy oportunistas que intentan introducirse en su organización, ya sea a través de recursos expuestos al Internet o a través de campañas de phishing. Hemos visto muchas empresas grandes que han sido infiltradas y eso ha llevado a otras compañias a centrarse realmente en esto para ver cómo podrían ser víctimas de esto y evitarlo. Es algo positivo a la hora de analizar el mercado de seguridad de la información.
Artturi: Creo que con respecto al ransomware – software malicioso – , estoy totalmente de acuerdo en que me parece que el dinero fácil, o “la fruta colgando” ya se ha recolectado y los ciberdelincuentes están tratando de descubrir nuevas formas de hacer negocios, ya que no es tan fácil como antes. Visto desde la perspectiva del consumidor ya desde hace algunos años que el ransomware ya no parece ser tan rentable. Creo que eso se debe en gran parte a que los atacantes comenzaron a dedicarse más a la extorsión. Hoy en día las empresas también se están dando cuenta de esto y creo que a medida que se les hace más difícil ganar dinero mediante extorsión y el ransomware, los hackers intentarán encontrar otro camino.
Así que van a ser criptógrafos de aquí en adelante.
Artturi: Creo que el robo de monedas virtuales o criptógrafía es probablemente una de las áreas a las cuales los atacantes se han estado dedicando, eso porque las criptomonedas se volvieron familiares para ellos y aún más debido al ransomware. Como eso ya se le es familiar, ellos saben cómo convertir las criptocurrencies en dinero del mundo real y comprar por ejemplo sus BMWs. El robo de monedas digitales ya no es complicado para ellos.
Tom: Absolutamente. Veremos un ransomware emergente, pero sobre una base más oportunista. Sin embargo, creo que como industria hemos tenido éxito a través de diferentes métodos para aumentar los costos de los ataques y eso es a la larga lo que busca la industria.
Andy: Quería preguntar hacerca de los criminales de monedas virtuales: ¿Sabemos cuánto dinero están ganando ellos realmente? Porque obviamente el ransomware es un tipo de servicio. Se necesita toda una infraestructura y gente de apoyo que ayude a conseguir un Bitcoin y pagarlo y además se necesita infraestructura para efectuar pagos o poder dar la clave cuando alguien paga y todo eso. A diferencia de los criptógrafos que son libres y no están mayormente involucrados. Si alguien tiene algún decifrador de monedas probablemente ni siquiera lo sepa y de todos modos no haría nada más al respecto. Pero mi pregunta es, habiendo una sobrecarga de trabajo para el ransomware, ¿este asunto del decifrado y hackeo está generando ganancias netas comparables con las del software malicioso?
Artturi: No tengo idea de que tan alto puede ser el monto que se gana con el robo de divisas. Pero un buen ejemplo que encontré recientemente es un caso ocurrido a principios de este verano, donde un investigador encontró múltiples contenedores Docker infectados en Docker Hub – Biblioteca y comunidad para imágenes de contenedor de vendedores de software etc. –. Esas imágenes infectadas de Docker incluían criptógrafos en ellas, de modo que cada vez que alguien usaba una de esas imágenes para su propio trabajo, se estaba indirectamente y sin saberlo buscando también criptomonedas. En ese caso, los investigadores estimaron que los criminales habían ganado cerca de $90,000 sólo en ese caso y en el de Monero.
“Las capacidades de automatización, detección y respuesta de los clientes están haciendo aumentar el precio para los atacantes para realizar sus ataques dirigidos”
Tom Van de Wiele, F-Secure
Tom: Como segunda tendencia, yo diría que estamos viendo más compañías acercándose a nosotros y a otras compañías de seguridad con preguntas referentes al diseño de sistemas y a soluciones con privacidad incorporada, no sólo debido a GDPR – reglamento general de protección de datos europeo – , pero esto es definitivamente algo de que preocuparse. Muchas empresas han pasado por lo que significa GDPR y no están dispuestas a repetir la experiencia. Así que a las empresas ahora – no todas obviamente, sino las más grandes – las vemos mirando las especificaciones de diseño y requisitos a la hora de intentar evitar que estas situaciones ocurran. Lo que se intenta es llegar a un diseño en el que la privacidad pueda ser al menos controlada.
Esta es una idea muy alentadora. Creo que como industria hemos estado atascados durante mucho tiempo en las mismas trampas, pensando que nada cambia, que la gente sigue cayendo en los mismos trucos que hace cinco años atrás. Sin embargo, se ve que en realidad las cosas están mejorando.
Tom: Bueno, vemos una ligera mejoría y si algo hay que aprender es que los seres humanos nunca aprenderán del todo la lección. Así que soy un gran partidario de la prevención y, en segundo lugar, de la buena reacción como parte de la sensibilización de seguridad y otros temas. Así que espero sinceramente que en el 2019 las empresas y organizaciones por igual inviertan más dinero en prevención y en capacitación de seguridad. Quiero decir que se necesitan ambas cosas, pero hay un cierto orden para hacerlas.
¿Se refiere a la formación de concientización, como en el caso de la formación en el aula? ¿O todo lo relacionado con ese espacio, como las campañas de phishing?
Tom: Bueno, en el caso del phishing – y hablando después de haber trabajado mucho en equipos de reacción ante emergencias – normalmente entramos enviando correos electrónicos. Les pregunto a usted y a los oyentes: ¿Quién le envía todos estos documentos de Office desde internet? Tenemos normalmente servicios locales de intercambio de archivos y Sharepoint en las redes.
Si realmente necesita obtener documentos de Office de personas que no están vinculadas a su empresa, configure una unidad compartida específica o busque una manera confiable de interactuar con esa persona. No sé, pero la idea de que a todo el mundo se le otorgue el derecho de recibir documentos que podrían contener código malicioso, incluso a personas que casi nunca tienen que recibir documentos de Office de fuera de la empresa… Yo creo en la prevención y en sustituir esos métodos por servicios muy específicos de intercambio de archivos y teniendo simples reglas y políticas al respecto, en vez de permitir un derecho general de que todo el mundo reciba código potencialmente malicioso y tratar de unificar los sistemas de defensa”.
Tratar de brindar capacitación sobre concientización de seguridad y al mismo tiempo decir: “Sé que la funcionalidad está ahí, sé que realmente no la necesita, pero intente no hacer clic en nada”, creo que eso es contraproductivo.
No sé Tom, pero creo que vas a ser súper poco popular si haces cumplir las reglas en compañías donde la gente ya no pueda recibir documentos de Word como archivos adjuntos a correos electrónicos.
Tom: claro que pueden. Pueden, pero hay que facilitárselos. Tiene que ser reemplazado por otra cosa. Si resulta fácil invitar a alguien a una llamada de Skype en Outlook en dos segundos, también debería ser posible configurar un link para compartir archivos con la persona que quiera o necesite hacerlo.
Ok, entiendo.
Tom: Esto requiere un cambio en la manera de pensar. Puede que no sea popular, pero ciertamente ayuda el dividir los ámbitos. Hemos preguntado a las compañías: “Muéstrenos los computadores que están utilizando y que pueden acceder a su nómina de pago y a sus sistemas más críticos”. Las personas en cuestión apuntan a su computador y luego les preguntamos: “¿De dónde recibes correos electrónicos? de Internet, Facebook, Youtube?” y te miran muy confundidos y apuntan al mismo computador. Si bien es cierto, los servicios de respuesta a incidentes, tanto internos como externos, no son baratos, el costo de averiguar si hay un ataque ya supera el precio de un computador, lo mismo en el caso de empezar a investigar. Por eso mi recomendación es prevenir.
Artturi: En general estoy de acuerdo y creo que se solemos culpar demasiado a los usuarios o al aspecto humano de este problema. Tenemos un largo camino por recorrer en cuanto a ciberseguridad a nivel empresarial y para ayudar a las personas a hacer las cosas bien o cometer menos errores. No creo que podamos culpar a la gente per se. Pero, por ejemplo, cuando se trata de compartir archivos, es difícil llegar a una solución 100% perfecta. Por una parte es obvio que si podríamos reducir el uso de archivos adjuntos de correo electrónico y compartir documentos de Office, entonces si un hacker envía un documento Word y quiere que hagamos clic en él, eso despertará sospecha, ya que eso no suele ocurrir.
La alternativa es empezar a usar servicios de intercambio de archivos para eso, allí surge el otro método popular entre los delincuentes, es decir, hacer abrir su documento de Office enviando un link solicitando por favor descargar un eFax o unaa factura o lo que sea.
Por lo tanto ¿nos arriesgamos a entrenar a los usuarios para que hagan clic a los link de los correos electrónicos sitios de intercambio de archivos y abran lo que sea que se descargue del Internet o mejor les solicitamos que abran todos los archivos adjuntos de correo electrónico que reciban? La pregunta clave es si ¿ hay una tercera forma de hacerlo en la que no nos veamos obligados a respaldar uno u otro comportamiento peligroso?
Me refiero a que cuando estoy intercambiando archivos no me parece sospechoso si el sistema me pide mi clave, mientras que si me la pide al abrir un documento de Word, es si sería sospechoso.
Andy: Sin mencionar que nuestros trainings de seguridad internos, por ejemplo el de phishing, incluso nos envía links con aspecto de Dropbox…
Tom: Lo ideal es llegar a una situación en la que se pueda evitar eso. Es preferible ver qué tipo de interacciones son necesarias en la empresa y ver cómo se puede aumentar la seguridad sin tener que hacer eso. En vez de ello sería mejor tener aplicaciones funcionando de la misma manera que para generar un link de Skype o de lo que sea. Así que sería bueno solo tener que entrar a la aplicación y si el link no aparece allí, eso significaría que algo está funcionando mal.
Interesante.
Tom: Otro pronóstico para el 2019 es que creo que las capacidades de automatización, detección y respuesta de los clientes están haciendo aumentar el precio para los atacantes para realizar sus ataques dirigidos. Me explico: después de haber realizado muchas simulaciones de ataques dirigidos a clientes vemos que ellos que cada vez más introducen software especializado y servicios de seguridad porque o están siendo atacados ellos o sus competidores. Ese aumento en la automatización de la detección por supuesto desalienta a algunos delincuentes y hace más difícil que otros intenten entrar a las empresas inadvertidamente. Esperamos que esto continúe porque queremos que el precio que conlleva atacar a una empresa suba.
¿ Laura, qué más le llamó la atención en el 2018?
Laura: Un hecho muy interesante es cómo la privacidad fue afectada tanto de manera positiva como negativa. Por ejemplo GDPR – reglamento general de protección de datos europeo –, que es una iniciativa realmente buena para mejorar la privacidad de los usuarios. Sin embargo, al mismo tiempo nos enfrentamos a grandes violaciones de la privacidad como en el caso de Facebook. Eso afectó no sólo a los usuarios de Facebook, sino también muchos más que utilizan la función de ingreso -Log-in- o inicio de sesión de la aplicación de Facebook.
Así que cuando los ciberdelicuentes pudieron obtener los tokens de acceso de estos usuarios, pudieron iniciar sesión también en las aplicaciones de terceros. Existen maneras de realizar el inicio de sesión único de forma segura, la idea es que cada vez que inicie sesión en una aplicación de terceros tenga que volver a proporcionar su clave de Facebook. Esa es una manera de prevenir ataques.
El problema es que la mayoría de las aplicaciones de inicio de sesión único que utilizan Facebook como proveedor de identidad no lo hacen de esta manera. Lo que ocurre es que sacrifican la seguridad a cambio de la comodidad del usuario. Es algo muy común tener esto en cuenta, sin embargo, cuando se producen situaciones como ésta, queda claro que quien pueda obtener estos tokens de acceso e iniciar sesión, podrá hacerlo también en Uber, Tinder y otras aplicaciones que utilizan Facebook como proveedor de identidad.
Hay que tener en claro que podrían enterarse de detalles muy delicados, no sólo sobre quién ha estado hablando con usted, sino también sobre las conversaciones que ha tenido, dónde ha estado, qué ha comprado etc. Creo que la gente está empezando a entender lo demasiado que confían en las grandes empresas de tecnología y que ellos al final representan sólo datos para ellos.
Ud ha “invocado al fantasma de GDPR”, así que la pregunta obvia es: ¿van a haber grandes multas el 2019?
Laura: Por supuesto que esperamos que todo esté bien y que no haya nada de qué preocuparse. Sin embargo, me temo que veremos algunas multas por ahí.
Andy: usted habló sobre cómo sería teóricamente posible entrar al Tinder de alguna persona o algo similar.
¿Ha visto usted algo así?
Laura: No personalmente. Lo de Tinder fue parte de una investigación realizada por algunos expertos en seguridad de información. Lo siento, no puedo recordar el nombre en este momento. El ejemplo es hipotético y pone en claro las cosas que podía hacerse teniendo la clave de acceso.
Sería posible por ejemplo iniciar una sesión de Tinder de un usuario y leer sus mensajes, éstos permanecerían en estado de no leídos. Es decir, la persona afectada no se daría ni cuenta de que terceros han accedido a esos mensajes. En cuanto a Uber creo que es posible darle propina al conductor simplemente utilizando sus tokens de acceso. La investigación aún sigue en curso, pero hasta ahora las compañías no han detectado aún un caso así. Pero no sabemos qué ocurrirá en el futuro.
“Es necesario que hayan más regulaciones sobre los niveles de seguridad deben cumplir dispositivos IoT antes de ingresar al mercado”.
Laura Kankaala, F-Secure
Laura, ¿qué nos depara el 2019?
Laura: Este año así como el año pasado hemos visto crecer el IoT – internet de las cosas – en general y los dispositivos puramente IoT. Tanto los dispositivos inteligentes particulares, como los de empresa y asimismo también los dispositivos meramente conectados al internet. Así que asumo que a medida que eso aumenta, también aumentará el ataque a esos dispositivos. Este año hemos visto equipos portátiles interferidos gracias a contraseñas deficientes, a ejecuciones remotas de código y debido a ataques de reconexión de DNS, por dar algunos ejemplos.
Debido a esto espero que el próximo año comencemos a crear más regulaciones con respecto al IoT. Es que tendría que haber más regulaciones sobre qué tipo de niveles de seguridad tendrían que cumplir estos dispositivos antes de que entraran al mercado. Se trata de analizar cómo van a realizarse los procesos de actualización automática y en general ver el tema de seguridad. Algunos de estos dispositivos van a dar a parar en el hogar del consumidor. Por eso también necesitamos una protección más concreta del usuario. Creo que el GDPR podría extenderse para cubrir apropiadamente los dispositivos IoT o podría existir alguna otra regulación que cumpla con este objetivo.
¿Cree que veremos más compañías IoT con programas de recompensa por detección de bugs? ¿Sería eso algo positivo?
Laura: Sería algo muy bueno. Sé de algunos problemas de las compañías que se inscriben en estos programas de recompensas de errores para dispositivos IoT porque, por ejemplo, los procesos de actualización pueden volverse más complicados. No es algo fácil el actualizar el firmware o hardware IoT con respecto a los errores que se descubren. Pero por lo que he hablado con la gente que se dedica a estas recompensas, ellos están super interesados. Estas empresas ya lo están haciendo hasta cierto grado, pero el problema es que no hay ninguna plataforma para informar acerca de este tipo de cosas. Así que espero que más empresas se decidan por este camino, especialmente teniendo en cuenta los dispositivos inteligentes para el hogar.
Tom: Observamos que cada vez más personas involucradas en el pirateo de hardware están construyendo dispositivos IoT y descubriendo cuáles son los modelos de interacción para ciertos escenarios. Esto nos ayudará a largo plazo a obtener la competencia que necesitamos ahora y que tanto nos hace falta para construir sistemas seguros. Èsto en cuanto a diseño y que también generen claves únicas y dinámicas, que cuenten con servicios de actualización de software integrados, lo que usted ya paga como parte del precio.
Son estas cosas las que realmente nos ayudarán dentro de diez años y no solo en el ámbito empresarial, sino también, por ejemplo, contra la proliferación de espacios de hackers que se centran en el hardware. Espero que el desarrollo esta área materialice las expectativas a futuro.
Aún existe la creencia errónea de que el mercado resolverá estas cosas, pero el mercado no lo va a resolver porque ni el comprador ni el vendedor están enfocados en la seguridad en este momento. No es un argumento de venta. Mikko Hypponen lo advierte una y otra vez y tiene razón. Lo que necesitamos es crear incentivos sólidos para invertir en seguridad y no sólo la espada de Damocles amenazándonos con que la legislación nos va a castigar. Vamos a tener que elaborar un conjunto de requisitos en cuanto a cómo queremos que sea el futuro.
Artturi, ¿está hablando sobre las cadenas de suministro?
Artturi: así es, creo que los ataques a las cadenas de suministro son algo de lo que ya se ha hablado bastante en los últimos años. Estas se han generado en un segundo plano durante ya hace mucho tiempo y creo que se están convirtiendo en un problema cada vez más común y supongo que aumentará a futuro. En términos de ataques a la cadena de suministro, el ataque más conocido por la gente es el caso NotPetya del verano de 2017. La forma en que el ransomware comenzó a propagarse inicialmente fue por medio de una actualización del software de contabilidad más popular en Ucrania y ese es definitivamente también un tipo de ataque a la cadena de suministro.
Otro popular método es el de comprometer a un proveedor de servicios como una forma de obtener acceso a los clientes de ese proveedor de servicios. Otro aspecto relevante en los ataques a la cadena de suministro es el abuso de confianza, en términos de que se confía mucho en los vendedores o mantenedores de software y en que continúen haciendo lo que prometen y deberían hacer.
Al respecto hubo un caso interesante hace unas dos semanas en Finlandia, donde la gente usa frecuentemente bloqueadores de anuncios en sus navegadores web. Existen incluso listas de direcciones URL que estas herramientas deben bloquear, algunas de ellas lo hacen diferenciadamente y por país. Así que hay una lista popular de redes publicitarias finlandesas o sitios publicitarios mantenidos por una persona y simplemente se bloquean cuando se detectan automáticamente esas URLs.
El encargado de llevar esa lista de sitios de publicidad decidió hacer una declaración política y un cambio a la lista argumentando que se basaba en algunas discusiones entre el gobierno finlandés y los sindicatos sobre los derechos de los trabajadores. Al final se añadieron también los sitios web de los principales sindicatos de trabajadores finlandeses a la lista de sitios bloqueados. Así de repente la gente ya no pudo acceder a las páginas de los sindicatos de trabajadores. En este caso no se trataba de un tercero con malas intenciones comprometiendo una cadena de suministro, sino que de la persona que había estado proporcionando una lista muy buena y que hasta ese minuto la actualizaba y administraba correctamente. Esa misma persona hizo de repente algo distinto de lo que la gente confiaba en que él haría.
“La forma en que los atacantes invaden su organización es algo que no está directamente bajo su control”.
Artturi Lehtiö, F-Secure.
Pero también se han registrado casos en que, por ejemplo, alguien que desarrolla una aplicación complementaria para el navegador y luego deja de administrarla y venderla y alguien simplemente obtiene acceso a ella y comienza a usarla para otros fines.
Artturi: Ese es otro buen ejemplo de que estamos confiando mucho en terceros y ni siquiera nos damos cuenta de lo mucho que dependemos de ellos. A eso se le suma que realmente no tenemos una manera de verificar que ellos sigan siendo dignos de esa confianza.
Laura: Estoy totalmente de acuerdo contigo Artturi, especialmente cuando se trata de que los programadores se deciden por modelos de entrega y de integración continua. Se es más dependiente que antes debido a ello. Por ejemplo Docker y sus usuarios tienen todos estos NPM – manager – de JavaScript, esos repositorios y el usuario confía en que le proporcionan el mismo nivel de seguridad que se espera que cumplan.
Por suerte las empresas han ido encontrado formas de mitigar estos problemas al contar con repositorios privados para Docker o NPM. Lo mismo que se podría tener para los repositorios de Linux, por ejemplo. Creo que es una tendencia interesante que se vuelva más lucrativo atacar el propio código fuente en vez de atacar cualquier otra parte de la aplicación, ya que los propios frameworks se están volviendo muy avanzados. Èstos ya no son tan vulnerables a los ataques básicos, especialmente cuando se utilizan modelos de desarrollo continuo es más difícil entrar entremedio a ese ciclo de vida de desarrollo.
Artturi: Estoy totalmente de acuerdo. Ese es definitivamente otro ámbito importante y creo que está estrechamente relacionado con la forma en que el software está siendo desarrollado hoy en día, donde es muy común incorporar componentes de terceros.
Tom: Los repositorios de código fuente siempre han sido uno de los objetivos predilectos de los delincuentes. Ya cualquier tipo de cosa en Internet, software o servicio, ha sido objetivo de los hackers oportunistas. Cuando hablamos de ataques a la cadena de suministro, ¿no nos referimos simplemente a algo que puede ser usado por alguien más en Internet? Siendo algo dirigido como en el caso de RSA que fue atacada con el único propósito de entrar en Lockheed Martin – compañía global aeroespacial y de seguridad- en el 2006 creo. Eso fue realmente fue un ataque intencional y bien preparado a la cadena de suministro donde una persona o una organización se dió cuenta de la dependencia entre dos cosas y dijo, “ok, no podemos atacar esta cosa directamente, así que intentémoslo de otra manera”.
Estoy de acuerdo en que vamos a ver mucho más de estos casos, pero creo que también se debe a que las empresas están utilizando mucho más servicios en la nube. Debo decir que la mayoría de las empresas con las que hemos desarrollado projectos, tienen al router WiFi en una esquina como única infraestructura y el resto en GitHub y Azure.
¿Es posible definir los ataques a la cadena de suministro aún de forma más amplia? Quiero decir, nos encontramos con muchas empresas que eligen confiar en este o aquel componente o biblioteca porque éstos se han vuelto de uso masivo. Al ser todo esto es relacionado a la empresa, todo sería parte de la cadena de suministro.
Artturi: Yo diría que una de las claves es: La forma en que los cibercriminales invaden su empresa no es algo que esté directamente bajo su control o algo que usted piense que es su responsabilidad única. Esto se observa también en discusiones sobre IoT – ¿es un dispositivo IoT, aún manteniéndolo actualizado, responsabilidad del consumidor? ¿o que ocurre con IoT en entornos corporativos? Las compañías tratan de averiguar de qué son responsables, tratan de ocuparse de eso, pero es mucho más complicado cuando hay cosas que representan riesgos y que en realidad no se pueden controlar.
Andy, como nuestro encargado de inteligencia artificial, tú querías hablar sobre reinforcement learning – aprendizaje automático o mecánico –. ¿Qué es en términos simples un aprendizaje de este tipo? ¿Cómo definirías eso en pocas palabras?
Andy: Se trata del proceso de enseñar a un actor a interactuar con su entorno basándose en recibir recompensas, dependiendo de lo que haga. Al principio de un modelo de aprendizaje automatizado el sistema no sabe qué hacer, simplemente analiza las cosas y ve lo que pasa. Con el tiempo se da cuenta de que cosa funciona mejor. Luego pasa a predecir que puede ocurrir antes de hacer ciertas cosas y luego termina por comportarse de la manera deseada.
Es decir, que cuando tengo mi algoritmo de aprendizaje automático intentando jugar un juego de carreras, lo primero que hace chocar contra una pared y cuando eso no funciona, intenta otra cosa la próxima vez y finalmente se le ocurre quedarse en la pista.
Andy: Lo más probable es que presione el acelerador, presione el freno, gire, gire, vuelva a acelerar. Hará mucho durante un tiempo hasta que empiece a descubrir qué cosa está bien. Después comienza a aprender que si acelera demasiado entonces choca contra una pared. Luego presiona el acelerador, gira y luego se desliza fuera de control o frena demasiado brusco y luego se detiene. Intentará muchas cosas hasta descubrir la conducta adecuada.
Algoritmos se están utilizando no solo para juegos de computador, sino que también lo está utilizando Facebook para determinar si envía una notificación a alguén o no. Asimismo se usa para ajustar sobre la marcha la calidad de la transmisión de videos o para definir la ruta de paquetes a través de redes, para modelos de operaciones financieras entre otros muchos usos.
Mi predicción para el próximo año es que creo que veremos mucho más progresos en el aprendizaje automatizado. Pero en términos de ciberseguridad, que es lo que nos preocupa, por ejemplo este año en Black Hat USA – evento de seguridad de información –, un grupo mostró este Deep Exploit, que es un modelo de aprendizaje inteligente en el que participan una serie de actores diferentes. Todos funcionan paralelamente, aunque tal vez en máquinas diferentes. Se les entrena para hacer pruebas de infiltración y luego aprenden qué ataques funcionan mejor en que casos. Creo que sigue siendo algo experimental, pero es bastante cool.
Como podrá imaginar, hay muchas otras aplicaciones similares en el área de la seguridad cibernética, sobre todo en cuanto a las pruebas de invasión que son interesantes. Como adivinar claves o como el “fuzzing” de aplicaciones – técnica utilizada para descubrir lagunas de seguridad – , cosas así. Sería bueno que la gente publicara los resultados, aunque sea sólo a nivel academico, pero al publicarlos algo de eso podría ser utilizado.
“Este es el momento en el que la gente empieza a entender lo que puede ocurrir con datos que se encuentran disponibles de manera gratuita”.
Andy Patel, F-Secure
¿Qué más fue interesante en el 2018?
Andy: Por ejemplo Cambridge Analytica y toda la gran controversia sobre cómo ellos utilizaron algunos datos, la mayoría de los cuales estaban a disposición pública, y algunas cosas turbias que hicieron con ellos. ¿Varias de esas cosas se habrían basado en el tipo de técnicas de análisis de datos que se usan habitualmente, cierto? Por ejemplo para hacer análisis en marketing o campañas publicitarias dirigidas o sistemas de recomendación y análisis predictivo. Se tomaron esos datos y los modificaron de manera de poder manipular, o, al menos, tratar de manipular al público. Pienso que éste fue el momento en el que más personas empezaron a entender lo que puede ocurrir con datos que en su mayoría se encuentran disponibles de manera gratuita.
Artturi: Me recuerdo del legendario caso en el 2012 en el que Target, una cadena de tiendas, envió publicidad sobre artículos que se necesitan cuando nace un niño. Así fue que los padres de una adolescente se enteraron de que su hija estaba embarazada, lo cual generó una gran protesta. Como se ha mencionado ya, la gente ha aprendido sobre cómo se puede dirigir la publicidad y cosas por el estilo. Sin embargo, parece que la gente es muy mala para entender que si esto se puede hacer con un tipo de datos, también se pueden hacer otro tipo de cosas con otros datos. ¿Cuándo comenzarán los consumidores a aprender que si esto sucede una vez, hay una alta probabilidad de que vuelva a suceder?
Andy: Concuerdo con eso. No creo que se haya utilizado ninguna técnica super avanzada para lograr el objetivo, para averiguar cuándo alguien está embarazada y luego enviarles la publicidad a la medida. ¿Pero ese tipo de cosas ya ha estado disponible desde hace mucho tiempo, verdad? Además que han estado ya en uso durante largo tiempo. Sin embargo, nadie se percató de los usos maliciosos que se le estaban dando. ésto ni siquiera estando motivado políticamente o algo por el estilo.
Además no nos olvidemos de la ingeniería social. Por medio de ella se puede conseguir que los usuarios hagan algo que pueda involucrarlos en phishing, una estafa o algo así. Lo que quiero decir es que cuando nos cuestionamos sobre cómo se está usando la inteligencia artificial de forma maliciosa, creo que es algo a lo que hay que hacer referencia. Es importante el preguntarse: ¿que es todo lo que podrían hacer delincuentes con nuestros datos?, reflexionar acerca de lo que cualquiera con malas intenciones podría hacer si quisiera, con datos que además se encuentran disponibles gratuitamente”.
Ese fue nuestro programa de hoy. Espero que lo hayan disfrutado y asegúrense de suscribirse al podcast. Usted puede dirigirse a nosotros con sus preguntas y comentarios a través de Twitter @CyberSauna. Gracias por su atención.
Categorías