Nos sumamos a esta iniciativa y publicamos en nuestro blog una entrevista a Ramsés Gallego, nuestro Director General de Security & Risk Management, sobre el tema “Amenazas y Seguridad en 2008”.
P. A modo de balance del año 2007, en tu opinión Ramsés, ¿cuáles han sido las grandes amenazas a la seguridad de los pasados doce meses?
R. Lamentablemente, las grandes amenazas del 2007 en el ámbito de seguridad han continuado teniendo al usuario como objetivo y medio para lograr un beneficio económico. Los sitios web con actividad de fraude electrónico han crecido exponencialmente y todo aquello relacionado con ataques que utilizan la ingeniería social para lograr su meta han continuado en alza. Así, los ataques de phising, los correos con contenido malicioso, el spam basado en imágenes que ofertan productos, en algunos casos ilegales o inexistentes, y la evolución de éste, el spam basado en .pdfs, han representado un número importante en el ránking de peligros. Todas estas amenazas impactan en la productividad y eficacia de los puestos de trabajo de los usuarios.
P. En líneas generales, ¿cuáles son los principales riesgos a los que nos enfrentamos en 2008?
R. Existe una tendencia evidente por parte de los creadores de ataques y es la utilización de más de un vector de comunicación para conseguir el éxito de la amenaza. En mi opinión, empezamos a ver cómo las amenazas empiezan a estar ‘mezcladas’ y es cada vez más frecuente recibir un correo que en sí mismo no es dañino pero que nos invita a visitar una página web que sí lo es. Así, algunos filtros de correo dejarían pasar dicho mensaje desde un punto de contenido (no contiene ningún fichero adjunto ni otro contenido perjudicial) pero, en realidad, sólo es un ‘medio’ para lograr llegar al usuario y hacer que el ‘fin’ (la página web en cuestión que sí es perjudicial) sea alcanzado. Esto obliga a las empresas a comprender todavía más si cabe la necesidad de defensas multicapa y, sobretodo, que contemple más de un vector de comunicación (incluso protección de puertos de entrada y salida físicos).
Por otra parte, el mayor reto en seguridad consideramos que continúa siendo la gestión efectiva de la seguridad y la visibilidad en global de la misma dentro la corporación. Hasta ahora, las organizaciones se han centrado en protegerse de manera efectiva y eso, aún siendo correcto porque minimiza el impacto de cualquier amenaza, requiere un nuevo paso y la búsqueda de la eficiencia en la gestión. Es por ello por lo que predicamos con la idea de que en la necesaria alineación de seguridad con el negocio, empieza a ser tan importante ser efectivo como ser eficiente y sólo las herramientas de gestión centralizada de la seguridad y los cuadros mandos nos permitirán obtener una imagen completa de los riesgos a los que está expuesto un cliente y dónde invertir el primer Euro en seguridad para minimizar el impacto de las amenazas a las que se expone, insisto, en más de un vector de comunicación.
P. Vayamos por partes. Comencemos por el phising y el robo de datos. ¿Va a seguir tan en boga como hasta ahora, o cada vez estamos más preparados para hacerle frente?
R. El phising es uno de los ataques más complejos que existen porque utiliza, mayoritariamente, la ingeniería social para tener éxito y el coste de un ataque de este tipo es mínimo. A pesar de que existen iniciativas para acabar con él y, gracias al apoyo de los proveedores de servicios, ISPs, etc., las actividades delictivas que tienen que ver con la suplantación de la personalidad y la identidad digital continuarán creciendo ya que juegan con algo que no podemos controlar a corto plazo y es la posibilidad de que alguien crea que su banco o una organización financiera le invita a visitar tal página web de manera insegura y le pide que introduzca sus datos para ‘comprobaciones rutinarias’. Igualmente, en materia de legislación para actuar contra los creadores de ataques de phising también que tenemos que evolucionar ya que no sólo afecta a las regulaciones de nuestro país sino que tiene un ámbito internacional.
P. En cuanto al spam, ¿seguiremos sufriendo la avalancha de correo basura que inunda nuestra bandeja e-mail cada día?
R. Hay dos respuestas muy claras a esta pregunta: la creación de spam continuará creciendo pero es igualmente cierto que la tecnología y las protecciones en diferentes niveles o capas han evolucionado de manera tan efectiva que me permito afirmar que es posible minimizar la recepción de correo spam o incluso eliminarlo. Existen aproximaciones a la protección efectiva – y eficiente – del spam que hacen que dichos ataques nunca lleguen a los buzones de los usuarios e incluso hay proveedores que firman por contrato la efectividad del bloqueo de spam por encima del 98% lo que hace que podamos obtener firmes garantías – contractuales – de la efectividad de las soluciones. De esta manera, aunque dichos ataques evolucionan con nuevas técnicas (spam basado en imágenes, basado en .pdfs,…), los filtros de reputación, técnicas heurísticas de escaneo y la utilización de múltiples motores de búsqueda permiten eliminar casi en su totalidad la recepción de ataques spam.
P. Otras voces sostienen que una de las peores amenazas es el malware enviado a través de la mensajería instantánea. ¿Cuál es tu opinión al respecto?
R. Cuando hablaba de diferentes vectores de comunicación, por supuesto estaba considerando la mensajería instantánea como un vector adicional al que, por desgracia, no se le presta la atención que merece desde un punto de protección.
La mensajaría instantánea es un método más de interacción con otros usuarios por el que podemos intercambiar cualquier tipo de fichero, dato, etc. y eso lo hace especialmente sensible a la ejecución de código malicioso…sin la inspección a la que se somete el intercambio de información vía correo electrónico, por ejemplo.
Y es que, ¿hay que considerar la mensajería instantánea como corrreo o como web?; porque, en su mayoría, la mensajería instantánea ocurre ‘tunelada’ por el puerto 80 y eso es el vector de comunicaciones web y no el de email y no tiene los mismos filtros ni atención que le dedicamos a otros vectores. Esto hace que, de nuevo, nos obliguemos a ampliar nuestras miras de protección y considerar la disciplina de seguridad en múltiples capas y en múltiples dimensiones o vectores de comunicación.
P. ¿Qué puedes decirnos acerca de la seguridad inalámbrica? ¿Cuáles son los mayores retos a que se enfrentan las empresas en este sentido?
R. La seguridad inalámbrica puede representar un agujero de seguridad muy importante en las compañías y es absolutamente imprescindible que cualquier proyecto que incluya este tipo de comunicación considere un apartado de securización como necesario. Normalmente, la aproximación de un proyecto de comunicación wireless responde a una necesidad de negocio, evolución hacia nuevos retos y llegada de las comunicaciones de manera más sencilla para la organización pero se descuida la seguridad de ese entorno. Existen muchos casos en los que, aprovechando una conexión inalámbrica se ha podido llegar hasta el corazón de la organización por no haber considerado de manera correcta la autenticación y autorización de los usuarios en esa red.
P. Con respecto a los dispositivos móviles, ¿qué es lo que más debemos temer (por ejemplo, se habla mucho de mophophising o spammobile)?
R. Vivimos en un mundo cada vez más lleno de dispositivos que son una extensión de nuestro puesto de trabajo. La cantidad de tecnología que un individuo medio lleva encima en el día a día es increíble y las posibilidades de ésta es impresionante: cámaras, teléfonos, portátiles, PDAs, navegadores, etcétera. Esto genera, por una parte, ventajas importantes para que la comunicación sea pervasiva y nos permite ser más productivos más allá de nuestro escritorio pero tiene, igualmente, enormes riesgos que es necesario gestionar. Por ello, una gestión del perímetro ‘extendido’ es una visión que compartimos e invitamos a todas las organizaciones a gestionar las amenazas en múltiples dimensiones.
P. La Web 2.0 se plantea como otra de las posibles vías de entrada para los ciberdelincuentes. ¿Cómo pueden aprovecharse éstos de las redes sociales y cómo hay que combatirlos?
R. Web 2.0 es una de las revoluciones más importantes de Internet en la última década. Creo que estamos viviendo la definición de un nuevo concepto de aportación personal al contenido y servicios como YouTube, Facebook, MySpace, etc. son ejemplos evidentes de que existe una ‘personalización’ de los contenidos de Internet. Sin embargo, esta iniciativa también representa oportunidades para que spammers, hackers, etc. continúen intentando lucrarse por estos medios. Recientemente, ha habido ataques utilizando algunos servicios muy populares de vídeo On-Demand e incluso virus que han explotado vulnerabilidades de aplicaciones de vídeo 2.0. Creo que, dada la ‘novedad’ de esta nueva dimensión de Internet, sufriremos todavía muchos ataques utilizando estos medios.
P. ¿Los bots se diversificarán y evolucionarán o ya no hay que tenerles tanto respeto?
R. Los bots seguirán siendo utilizados para llegar a ciertos usuarios por la escalabilidad que aportan en Internet. En mi opinión, estamos lejos de que desaparezcan porque, de nuevo, utilizando economías de escala, todavía son ‘lucrativos’.
P. Por último, ¿el adware continuará su lento pero inexorable declive?
R. Sin duda, es una forma de ataque que ha encontrado la horma de su zapato con tecnologías que minimizan su impacto y creo que se reducirá este tipo de ataque.
P. ¿Cuáles son las principales oportunidades de negocio que se le presentan al canal de distribución? ¿Qué papel debe desempeñar en este ámbito?
R. Las empresas están identificando la seguridad de sus sistemas como uno de los aspectos críticos desde la perspectiva de riesgo de negocio.
Los proyectos de seguridad forman parte, cada vez más, de los planes directores de las empresas y se incluyen como parte de una estrategia estudiada y definida que minimiza y gestiona estos riesgos como “riesgos de negocio”. Desde mi punto de vista esto es enormemente positivo.
Desde una perspectiva más técnica, los grandes dominios de seguridad en los que se están moviendo las empresas son los siguientes:
- Gestión de la continuidad: En la medida en que la tecnología es el eje sobre el que gira el día a día del negocio de las empresas actuales, cada vez es más habitual que la seguridad se focalice en garantizar que el negocio no se pare… Y esto está absolutamente ligado con la disponibilidad de los sistemas y la recuperación ante posibles desastres
- La gestión de las amenazas digitales: En un mercado cada vez más globalizado y orientado a ‘la Red global’ es cada vez más importante garantizar que podemos obtener todas las oportunidades de este mercado, gestionando adecuadamente los riesgos y amenazas del mismo.
- La gestión de la identidad: Cuando la relación física con clientes, proveedores y socios es cada vez menos necesaria y la relación electrónica con ellos es la evolución natural, necesitaremos ser más capaces de identificar de la forma más transparente y sencilla, pero también robusta, quién es quién en cada una de las etapas de nuestros negocios y cómo les permitimos interactuar con nuestros sistemas. Se trata de la gestión efectiva de las 4As: autenticación, autorización, administración y auditoría.
Nos sumamos a esta iniciativa y publicamos en nuestro blog una entrevista a Ramsés Gallego, nuestro Director General de Security & Risk Management, sobre el tema “Amenazas y Seguridad en 2008”.
P. A modo de balance del año 2007, en tu opinión Ramsés, ¿cuáles han sido las grandes amenazas a la seguridad de los pasados doce meses?
R. Lamentablemente, las grandes amenazas del 2007 en el ámbito de seguridad han continuado teniendo al usuario como objetivo y medio para lograr un beneficio económico. Los sitios web con actividad de fraude electrónico han crecido exponencialmente y todo aquello relacionado con ataques que utilizan la ingeniería social para lograr su meta han continuado en alza. Así, los ataques de phising, los correos con contenido malicioso, el spam basado en imágenes que ofertan productos, en algunos casos ilegales o inexistentes, y la evolución de éste, el spam basado en .pdfs, han representado un número importante en el ránking de peligros. Todas estas amenazas impactan en la productividad y eficacia de los puestos de trabajo de los usuarios.
P. En líneas generales, ¿cuáles son los principales riesgos a los que nos enfrentamos en 2008?
R. Existe una tendencia evidente por parte de los creadores de ataques y es la utilización de más de un vector de comunicación para conseguir el éxito de la amenaza. En mi opinión, empezamos a ver cómo las amenazas empiezan a estar ‘mezcladas’ y es cada vez más frecuente recibir un correo que en sí mismo no es dañino pero que nos invita a visitar una página web que sí lo es. Así, algunos filtros de correo dejarían pasar dicho mensaje desde un punto de contenido (no contiene ningún fichero adjunto ni otro contenido perjudicial) pero, en realidad, sólo es un ‘medio’ para lograr llegar al usuario y hacer que el ‘fin’ (la página web en cuestión que sí es perjudicial) sea alcanzado. Esto obliga a las empresas a comprender todavía más si cabe la necesidad de defensas multicapa y, sobretodo, que contemple más de un vector de comunicación (incluso protección de puertos de entrada y salida físicos).
Por otra parte, el mayor reto en seguridad consideramos que continúa siendo la gestión efectiva de la seguridad y la visibilidad en global de la misma dentro la corporación. Hasta ahora, las organizaciones se han centrado en protegerse de manera efectiva y eso, aún siendo correcto porque minimiza el impacto de cualquier amenaza, requiere un nuevo paso y la búsqueda de la eficiencia en la gestión. Es por ello por lo que predicamos con la idea de que en la necesaria alineación de seguridad con el negocio, empieza a ser tan importante ser efectivo como ser eficiente y sólo las herramientas de gestión centralizada de la seguridad y los cuadros mandos nos permitirán obtener una imagen completa de los riesgos a los que está expuesto un cliente y dónde invertir el primer Euro en seguridad para minimizar el impacto de las amenazas a las que se expone, insisto, en más de un vector de comunicación.
P. Vayamos por partes. Comencemos por el phising y el robo de datos. ¿Va a seguir tan en boga como hasta ahora, o cada vez estamos más preparados para hacerle frente?
R. El phising es uno de los ataques más complejos que existen porque utiliza, mayoritariamente, la ingeniería social para tener éxito y el coste de un ataque de este tipo es mínimo. A pesar de que existen iniciativas para acabar con él y, gracias al apoyo de los proveedores de servicios, ISPs, etc., las actividades delictivas que tienen que ver con la suplantación de la personalidad y la identidad digital continuarán creciendo ya que juegan con algo que no podemos controlar a corto plazo y es la posibilidad de que alguien crea que su banco o una organización financiera le invita a visitar tal página web de manera insegura y le pide que introduzca sus datos para ‘comprobaciones rutinarias’. Igualmente, en materia de legislación para actuar contra los creadores de ataques de phising también que tenemos que evolucionar ya que no sólo afecta a las regulaciones de nuestro país sino que tiene un ámbito internacional.
P. En cuanto al spam, ¿seguiremos sufriendo la avalancha de correo basura que inunda nuestra bandeja e-mail cada día?
R. Hay dos respuestas muy claras a esta pregunta: la creación de spam continuará creciendo pero es igualmente cierto que la tecnología y las protecciones en diferentes niveles o capas han evolucionado de manera tan efectiva que me permito afirmar que es posible minimizar la recepción de correo spam o incluso eliminarlo. Existen aproximaciones a la protección efectiva – y eficiente – del spam que hacen que dichos ataques nunca lleguen a los buzones de los usuarios e incluso hay proveedores que firman por contrato la efectividad del bloqueo de spam por encima del 98% lo que hace que podamos obtener firmes garantías – contractuales – de la efectividad de las soluciones. De esta manera, aunque dichos ataques evolucionan con nuevas técnicas (spam basado en imágenes, basado en .pdfs,…), los filtros de reputación, técnicas heurísticas de escaneo y la utilización de múltiples motores de búsqueda permiten eliminar casi en su totalidad la recepción de ataques spam.
P. Otras voces sostienen que una de las peores amenazas es el malware enviado a través de la mensajería instantánea. ¿Cuál es tu opinión al respecto?
R. Cuando hablaba de diferentes vectores de comunicación, por supuesto estaba considerando la mensajería instantánea como un vector adicional al que, por desgracia, no se le presta la atención que merece desde un punto de protección.
La mensajaría instantánea es un método más de interacción con otros usuarios por el que podemos intercambiar cualquier tipo de fichero, dato, etc. y eso lo hace especialmente sensible a la ejecución de código malicioso…sin la inspección a la que se somete el intercambio de información vía correo electrónico, por ejemplo.
Y es que, ¿hay que considerar la mensajería instantánea como corrreo o como web?; porque, en su mayoría, la mensajería instantánea ocurre ‘tunelada’ por el puerto 80 y eso es el vector de comunicaciones web y no el de email y no tiene los mismos filtros ni atención que le dedicamos a otros vectores. Esto hace que, de nuevo, nos obliguemos a ampliar nuestras miras de protección y considerar la disciplina de seguridad en múltiples capas y en múltiples dimensiones o vectores de comunicación.
P. ¿Qué puedes decirnos acerca de la seguridad inalámbrica? ¿Cuáles son los mayores retos a que se enfrentan las empresas en este sentido?
R. La seguridad inalámbrica puede representar un agujero de seguridad muy importante en las compañías y es absolutamente imprescindible que cualquier proyecto que incluya este tipo de comunicación considere un apartado de securización como necesario. Normalmente, la aproximación de un proyecto de comunicación wireless responde a una necesidad de negocio, evolución hacia nuevos retos y llegada de las comunicaciones de manera más sencilla para la organización pero se descuida la seguridad de ese entorno. Existen muchos casos en los que, aprovechando una conexión inalámbrica se ha podido llegar hasta el corazón de la organización por no haber considerado de manera correcta la autenticación y autorización de los usuarios en esa red.
P. Con respecto a los dispositivos móviles, ¿qué es lo que más debemos temer (por ejemplo, se habla mucho de mophophising o spammobile)?
R. Vivimos en un mundo cada vez más lleno de dispositivos que son una extensión de nuestro puesto de trabajo. La cantidad de tecnología que un individuo medio lleva encima en el día a día es increíble y las posibilidades de ésta es impresionante: cámaras, teléfonos, portátiles, PDAs, navegadores, etcétera. Esto genera, por una parte, ventajas importantes para que la comunicación sea pervasiva y nos permite ser más productivos más allá de nuestro escritorio pero tiene, igualmente, enormes riesgos que es necesario gestionar. Por ello, una gestión del perímetro ‘extendido’ es una visión que compartimos e invitamos a todas las organizaciones a gestionar las amenazas en múltiples dimensiones.
P. La Web 2.0 se plantea como otra de las posibles vías de entrada para los ciberdelincuentes. ¿Cómo pueden aprovecharse éstos de las redes sociales y cómo hay que combatirlos?
R. Web 2.0 es una de las revoluciones más importantes de Internet en la última década. Creo que estamos viviendo la definición de un nuevo concepto de aportación personal al contenido y servicios como YouTube, Facebook, MySpace, etc. son ejemplos evidentes de que existe una ‘personalización’ de los contenidos de Internet. Sin embargo, esta iniciativa también representa oportunidades para que spammers, hackers, etc. continúen intentando lucrarse por estos medios. Recientemente, ha habido ataques utilizando algunos servicios muy populares de vídeo On-Demand e incluso virus que han explotado vulnerabilidades de aplicaciones de vídeo 2.0. Creo que, dada la ‘novedad’ de esta nueva dimensión de Internet, sufriremos todavía muchos ataques utilizando estos medios.
P. ¿Los bots se diversificarán y evolucionarán o ya no hay que tenerles tanto respeto?
R. Los bots seguirán siendo utilizados para llegar a ciertos usuarios por la escalabilidad que aportan en Internet. En mi opinión, estamos lejos de que desaparezcan porque, de nuevo, utilizando economías de escala, todavía son ‘lucrativos’.
P. Por último, ¿el adware continuará su lento pero inexorable declive?
R. Sin duda, es una forma de ataque que ha encontrado la horma de su zapato con tecnologías que minimizan su impacto y creo que se reducirá este tipo de ataque.
P. ¿Cuáles son las principales oportunidades de negocio que se le presentan al canal de distribución? ¿Qué papel debe desempeñar en este ámbito?
R. Las empresas están identificando la seguridad de sus sistemas como uno de los aspectos críticos desde la perspectiva de riesgo de negocio.
Los proyectos de seguridad forman parte, cada vez más, de los planes directores de las empresas y se incluyen como parte de una estrategia estudiada y definida que minimiza y gestiona estos riesgos como “riesgos de negocio”. Desde mi punto de vista esto es enormemente positivo.
Desde una perspectiva más técnica, los grandes dominios de seguridad en los que se están moviendo las empresas son los siguientes:
- Gestión de la continuidad: En la medida en que la tecnología es el eje sobre el que gira el día a día del negocio de las empresas actuales, cada vez es más habitual que la seguridad se focalice en garantizar que el negocio no se pare… Y esto está absolutamente ligado con la disponibilidad de los sistemas y la recuperación ante posibles desastres
- La gestión de las amenazas digitales: En un mercado cada vez más globalizado y orientado a ‘la Red global’ es cada vez más importante garantizar que podemos obtener todas las oportunidades de este mercado, gestionando adecuadamente los riesgos y amenazas del mismo.
- La gestión de la identidad: Cuando la relación física con clientes, proveedores y socios es cada vez menos necesaria y la relación electrónica con ellos es la evolución natural, necesitaremos ser más capaces de identificar de la forma más transparente y sencilla, pero también robusta, quién es quién en cada una de las etapas de nuestros negocios y cómo les permitimos interactuar con nuestros sistemas. Se trata de la gestión efectiva de las 4As: autenticación, autorización, administración y auditoría.