sábado, 29 de septiembre de 2018

"Los ciberataques más peligrosos son aquellos que se llevan lo más valioso de una organización": Eduardo Rico, Director de Ingeniería de Symantec

Eduardo Rico, Director de Ingeniería de Symantec



Faltan pocos meses para que termine 2018 y a principios de año, incluso, a finales de 2017 se lanzaron algunas predicciones acerca del tema de la Seguridad Informática. Pero en este momento ¿cuáles de estas predicciones se hicieron realidad?, ¿cuáles aún no se manifiestan? y ¿qué otras situaciones se presentaron y no estaban consideradas dentro de las tendencias?


En Silikn tuvimos la oportunidad de conversar con Eduardo Rico, Director de Ingeniería de Symantec, quien nos compartió detalles interesantes acerca de este tema.


"Definitivamente la predicción se ha hecho realidad en algunos casos en los que, por ejemplo, hemos visto a la BotNet llamada Mirai iniciar algunos ataques ahora para realizar Minería de Cibermonedas, lo cual cambia la complejidad del ataque y utiliza recursos de “otros” en beneficio de los cibercriminales. Sin embargo, a pesar de que no se ha realizado aún el cierre de las estadísticas del año, podemos mencionar que la mayoría de las veces, los cibercriminales logran vulnerar la seguridad de una organización mediante el uso de una sola forma de incursión o ataque. Son la minoría de las veces que se están haciendo uso de técnicas multifacéticas para el ataque efectivo. Esto corrobora que aún tenemos espacio de acción en las organizaciones para educar a nuestros usuarios y proveedores para no que no caigan en los engaños que se presentan cada vez más convincentes.

Por ejemplo, para este último trimestre del año, con el periodo electoral en los Estados Unidos, uno de los puntos de mayor atención que se tienen son los sistemas de votación electrónica. Estos sistemas, que incluyen varios componentes como los equipos de votación en sí mismos, las rede inalámbricas a las que están conectados, los dispositivos móviles, los sistemas en la nube, así como los sistemas de apoyo que ofrecen los proveedores de los comicios. Para ello en Symantec hemos estado monitoreando 140 grupos de ataque y hemos encontrado que 70% de los ataques que han tenido éxito fueron iniciados mediante un engaño dirigido (spear phishing)", señaló Eduardo Rico.



Ante tantos ataques, de diferentes tipos y magnitudes, preguntamos al directivo ¿cuáles son los tipos de ciberataques más peligrosos en la actualidad? ¿Siguen siendo un factor de riesgo los ataques DDoS, el malware o ya hay nuevas amenazas que impactan directamente en el Internet de las Cosas?

"En Symantec pensamos que los ciberataques más peligrosos son aquellos que se llevan lo más valioso de una organización. La forma en la que se llevan a cabo corresponde al segundo orden de ideas para la investigación y, si, por último, durante el ataque, dejan sembrado código que pueda facilitar futuros ataques o aprovechar la infraestructura del cliente para formar parte de una red BotNet es un tercer factor a considerar. Con esto en mente es que desarrollamos nuestros productos y servicios para distintos ámbitos y elementos que forman parte de la creación, envío y almacenamiento de la información de nuestros clientes.

En cuanto a los ataques de DDoS, sí, estos siguen siendo utilizados como mecanismo para bloquear el acceso a las aplicaciones o los sitios de oferta de productos o servicios de los afectados. También los distintos tipos de malware y la migración de algunos cibercriminales de Ransomware para realizar ahora Cripto-jacking o Cripto-mining es una tendencia que sigue al alza, puesto que esto representa un mejor método de acceso a recursos tanto de cómputo como financieros más lucrativos que el propio Ransomware. Por último, aunque no menos importante, el fenómeno del Internet de las Cosas (o IoT), dados los altos volúmenes de crecimiento, han convertido a estos dispositivos en un blanco jugoso para los cibercriminales. Solamente en 2017, vimos un incremento del 600% en los ataques en el segmento de IoT y de un 29% en ataques a Sistemas de Control Industrial (ICS) o también conocidos como Sistemas de Supervisión, Control y Adquisición de Datos (SCADA). (Referencia https://www.symantec.com/blogs/expert-perspectives/new-urgency-healthcare-combat-4-emerging-security-threats)", explicó.



¿Y en el caso de otro de los temas más consultados hoy en día? ¿de qué forma estos ataques están perjudicando el sector de Blockchain y criptomonedas?


"En términos concretos, la cadena de suministro (Supply-chain) está también siendo afectada por atacantes que buscan aprovechar la confiabilidad ya establecida por los procesos propios de dicha cadena para entrar de forma inadvertida en las organizaciones. Como muestra podemos mencionar la actividad detectada por el grupo de ataque conocido como Orangeworm. Este grupo de ataque ha venido utilizando un ataque que deja una puerta trasera abierta (backdoor) identificada como Kwampirs. Una vez que se infiltra el malware, los atacantes tienen acceso remoto a la computadora afectada y realizan una serie de comandos para:

- Identificar servicios, aplicaciones y documentos locales
- Identificar el tipo de red y posibles directorios compartidos
- Identificar dispositivos de red disponibles para el equipo.

La información recabada es luego enviada a una larga lista de servidores de Comando y Control (C&C). (Referencia https://www.symantec.com/blogs/threat-intelligence/orangeworm-targets-healthcare-us-europe-asia)

En el rubro de las criptomonedas, el entorno es distinto. Los cibercriminales han desarrollado la habilidad para participar en el “modo de operación” de este mercado para realizar la necesaria Cripto-minería que respalda las propias operaciones de intercambio de estas nuevas monedas, entre otras actividades que pueden generar nuevos ingresos, pero contemplando que están utilizando el poder de cómputo de los equipos infectados. De esta forma pueden obtener recursos adicionales con un muy bajo costo de operación y muy alto rendimiento de poder de cómputo, dado que sus operaciones tienen a tomar la mayor porción de tiempo de operación del CPU de una computadora afectada. (Referencia https://www.symantec.com/blogs/expert-perspectives/new-urgency-healthcare-combat-4-emerging-security-threats)", comentó el directivo.


Y para profundizar en el tópico, ¿de qué forma los ciberdelincuentes aprovechan los elementos como inteligencia artificial o aprendizaje automático para hacer daño en los sistemas de los usuarios y en las empresas?

Eduardo Rico nos comentó al respecto: "Como se menciona en el caso del Malware Kwampirs, los cibercriminales han venido desarrollando formas automatizadas para conocer el interior de los equipos infectados, así como su entorno de red inmediato. Desde ahí, logran desarrollar nuevos mecanismos de infección y control de más equipos ya sea de forma directa o de forma indirecta. Este tipo de fenómenos son los que hicieron tan exitosa la infección del Ransomware WannaCry y PetYa, ya que combinaban diversas técnicas de dispersión dentro de la red aprovechando la falta de actualización de los equipos identificados. A pesar de que en este año 2018, no se han presentado ataques similares a los comentados del año anterior, no debemos bajar la guardia dado que algunos de los equipos corporativos y muchos de los personales siguen teniendo retrasos en la distribución de mejoras o parches necesarios para una protección eficiente o no cuentan con herramientas de nueva generación que los puedan proteger, por lo que un ataque de gran escala ya sea corporativo o en la red en general aún puede ser posible.

Por otro lado, la proliferación de los dispositivos móviles inteligentes que no cuentan con una protección y actualización apropiadas presenta una situación similar en cuanto a ataques que puedan perpetrarse desde ellos. El creciente número de código malicioso dirigido a estas plataformas es un indicativo de lo atractivo que comienza a ser estas plataformas.

Dado el entorno mencionado, en Symantec hemos continuado nuestra expansión en investigación y desarrollo para ofrecer a nuestros clientes, tanto corporativos como de casa, la mejor protección posible en nuestras soluciones para los puntos finales, en los que ya incluimos los dispositivos móviles junto con los computadores, las laptops y las tabletas. Nuestra familia de protección les ayudará a estar prevenidos, y aunado a sus propios procesos y políticas de protección podemos colaborar para que, aun cuando ocurriera una posible infección, ella pueda ser contenida y mitigada, evitando una afectación superior".


Hay mucho esfuerzo detrás del combate al malware y al ransomware ¿cómo ha sido la actividad del malware y del ransomware? ¿Se han convertido en elementos más complejos? ¿Cuáles son los principales riesgos de ambos?

Al respecto, Eduardo Rico mencionó lo siguiente: "La actividad del malware y particularmente de ransomware ha continuado muy activa durante este año. Las estadísticas están siendo procesadas, y aunque no hemos visto brotes como WannaCry o PetYa, se han identificado diversos ataques en distintas regiones del planeta que varían por estacionalidad y regionalidad, pero sin las proporciones antes mencionadas. Lo que si seguimos viendo es la transición de los grupos atacantes para que, utilizando la misma vía de dispersión de Ransomware, ahora están entregando códigos que realizan Crypto-Jacking.

El riesgo de malware y ransomware no ha variado a lo largo de este año. Lo que debemos cuidar de forma específica, además de los ataques globales, son los ataques dirigidos, que por su especificidad en la acción son cada vez más difíciles de identificar o quizá prevenir, y que regularmente se manifiestan ya que han completado el ataque o la incursión en la infraestructura de los clientes cuando intentan extraer o tomar control remoto de equipos desde el exterior de la infraestructura. Esto se hace más complicado si el ataque se realiza en cualquier infraestructura de la Nube, porque en ese caso, lo que usualmente se realiza es un robo de identidad para poder acceder a los datos enmascarados con unas credenciales válidas en el sistema. De ahí que es importante también ahora contar con soluciones que permitan el análisis del comportamiento de los usuarios. Esta situación la hemos logrado resolver de una manera fácil y más sencilla habilitando un servicio que obligue a un doble factor de autenticación y la encripción de datos de forma discrecional. En este y otros escenarios, como se comenta en otras preguntas de este artículo, podemos ofrecer soluciones robustas, integradas y confiables para los retos que hoy presenta el uso de los sistemas informáticos en apoyo al desarrollo de nuestros negocios".


En cuanto a la seguridad como servicio (SaaS) ¿ha funcionado? ¿Cuáles han sido los resultados obtenidos por Symantec en este tema?

"En una palabra, la respuesta es positiva. Sí, la seguridad como servicio es una opción más con la que pueden contar las organizaciones y que flexibiliza y al mismo tiempo completa la postura de seguridad de cualquier organización en el uso de las soluciones y servicios en la Nube.

Esta solución está siendo implementada en distintas verticales, siendo las más recurrentes empresas de manufactura, instituciones de salud, tiendas comerciales de venta al menudeo e instituciones educativas o escuelas. Para todas y cada una de ellas hemos podido resolver diversos escenarios o circunstancias que, derivadas de los distintos casos de uso, han requerido expandir sus actuales posturas y políticas de seguridad para incluir como un componente necesario la utilización de la oferta de soluciones en la Nube", dijo Eduardo Rico.


En otro tema polémico, ¿qué ha pasado con las nuevas leyes de privacidad y protección de datos? ¿Cómo respalda Symantec a sus usuarios en este tema?

"La protección de los datos personales y comerciales han incrementado su validez y vigencia, incluso a nivel global, como lo demuestra la ley conocida como GDPR que protege a cualquier ciudadano de los países de la Unión Europea en sus operaciones a nivel mundial. Eso hace que el mal uso de la información personal ya sea en su uso, su tránsito o su almacenamiento, o que no se puedan comprobar el cumplimiento establecido por GDPR, puede generar para la organización multas muy considerables.

Para apoyar en el cumplimiento Symantec tiene soluciones que permite hacer la protección de la información para asegurar que solo las personas indicadas tengan acceso a los datos sensibles, y que estos solo puedan estar almacenados en sitios aprobados y monitoreados, incluyendo los almacenamientos en la nube. Adicionalmente, es posible incluir e integrar soluciones de validación de identidad, de encripción, de monitoreo y de identificación de violaciones a las políticas establecidas o incluso la identificación y bloqueo de posibles infiltraciones de cibercriminales que quieran acceder a los datos desde la red. Adicionalmente, podemos apoyar a nuestros clientes y sus usuarios, proveedores y clientes, en el seguimiento y comprobación del cumplimiento necesarios que son muy útiles en el caso de ser sometidos a cualquier tipo de auditoría.

En resumen, Symantec, como empresa líder en ciberseguridad, está preparada para el entorno de operación actual de sus sistemas productivos (ya sea en Nube, local o híbrido) y facilita y reduce los costos de operación, ayudando a reducir el riesgo y la respuesta en caso de ataques cibernéticos o en su caso de auditorías requeridas", aclaró el director de Ingeniería de Symantec.


¿Cuáles son los conceptos que Symantec puede destacar en la seguridad de las plataformas de infraestructura como servicio (IaaS)?

Eduardo Rico, enfatizó: "El crecimiento de la infraestructura de tecnología de información a la Nube (IaaS), lo mismo que el crecimiento de plataformas enteras (PaaS) deben conservar el mismo nivel de seguridad que las empresas o instituciones han establecido internamente. Este es un aspecto que en ocasiones no se considera cuando hacemos la “migración” a la Nube. O incluso, para emprendedores, que desde el comienzo hace uso de la misma Nube, no toman en cuenta en el desarrollo de sus productos o servicios. Pero es algo que no debemos obviar, dado que en el modelo de Nube (ya sea para IaaS como para PaaS) los proveedores de dichos modelos establecen muy claro el alance y el nivel de seguridad al que se comprometen con los clientes, y este, usualmente no incluye la información propia de cada quien. Por ello en Symantec, hemos continuado".

¿Qué estrategias desarrolla Symantec para hacer frente a estas amenazas?

"En Symantec estamos comprometidos en apoyar a nuestros clientes y nuestros socios para crear un entorno de operación y desarrollo de negocio, que aproveche al máximo la tecnología informática de una forma segura. Para ello, hemos venido ampliando nuestro portafolio con soluciones que se integran entre sí y también con productos de terceros. En ellas es posible reflejar de una forma clara las políticas propias de cada corporación para el uso tanto de la infraestructura como de la información. A partir de ahí, hemos aumentado nuestra cobertura, para que bajo el mismo principio de operación propio de cada cliente, incluya los nuevos cambios que vienen ya incluidos en esta era de “La Nube” en donde hay un incremento exponencial de dispositivos móviles como de herramientas de “Nube” que facilitan y apoyan la productividad y el esparcimiento de nuestros usuarios, proveedores y clientes. Como un ejemplo particular, podemos mencionar nuestro compromiso con los modelos de votación electrónica para los que recientemente pusimos a disposición un servicio gratuito, que opera con nuestra tecnología propietaria de Inteligencia Artificial, que permite probar la seguridad y autenticidad del sitio de cualquier candidato y su campaña electoral. Más detalles sobre este pueden localizarse en esta liga https://www.symantec.com/solutions/election-security" detalló el directivo.

Ante la gran variedad de soluciones para hacer frente a las amenazas cibernéticas (antivirus, firewalls, monitoreos, aplicaciones en hardware, etcétera) ¿por qué deberían los usuarios adquirir las soluciones de Symantec? ¿Qué los hace diferentes en el mercado?

"Symantec es un líder indiscutible en el mercado en diversas soluciones que permiten proteger a los usuarios, a su red, a su información y a su mensajería. Adicionalmente, estamos incorporando todas nuestras soluciones para crear entornos más completos que faciliten la integración de información para mejorar el nivel de protección y reducir los tiempos de respuesta a incidentes que pudiera llegar a ocurrir. Pero no solo nos detenemos ahí, estamos comprometidos en integrar nuestras soluciones con las soluciones de seguridad (como las identificadas en la pregunta) disponibles en el mercado para beneficio de nuestros clientes. Porque, aunque parezca que el cibercrimen está avanzando, la solución está en que, como fabricantes, podamos colaborar con los clientes y socios de negocio para combatirlos. Bajo esta visión y con esta línea de acción ya hemos podido evitar incursiones e infecciones en varios de nuestros clientes de todos los segmentos de mercado con un muy algo grado de eficacia", declaró Eduardo Rico.

Los productos y soluciones de Symantec para hacer frente a estos riesgos ¿están disponibles en México? ¿Cómo se pueden adquirir?

Eduardo Rico, concluyó: "Si, todas las soluciones Symantec pueden obtenerse en México a través de nuestra cadena de Socios Comerciales que pueden encontrar en toda la República y con quienes pueden asesorarse para encontrar la mejor forma de estar protegidos. Symantec no hace venta de productos corporativos de forma directa, todo lo maneja a través de nuestros Socios con quienes se desarrolla la actividad comercial en el país. De esta forma aseguramos que cuentan con especialistas calificados cercanos".

No hay comentarios.:

Publicar un comentario