miércoles, 24 de mayo de 2017

Secuestro de Archivos


Secuestrar a alguien o a algo que es valioso para uno, es un crimen lucrativo para los delincuentes ya que se aprovechan del cariño o la necesidad de tener algo. En esta ocasión nos vamos a concentrar en el problema digital que significa el hecho de no tener a la mano nuestros archivos porque fueron secuestrados.

¿Qué significa que secuestren nuestros archivos? Pues bien, empecemos por el principio. Existe una técnica bien conocida en el área de seguridad informática que le llaman “cifrar”. Es un mecanismo para proteger la confidencialidad de la información para que solo quienes tengan la llave puedan acceder a ella. Es como tener en un baúl nuestros bienes más preciados y tener una o más llaves para que solo uno o un grupo de personas puedan abrirlo y tener acceso a esos bienes. Este concepto lo tenemos desde hace ya tiempo en los ambientes digitales y que ha servido y sigue siendo de utilidad todos los días para las personas que usamos dispositivos digitales y redes de comunicación.
Ahora bien, esta técnica para cifrar archivos está orientada a “los buenos” que tratan de proteger la información de las personas y evitar que sus datos sean vistos por entidades ajenas. Pero al igual que un arma que puede ser bien usada por un policía para fines benéficos o por un criminal para asaltar, la técnica del cifrado de archivos también puede tener otro lado de la moneda cuando cibercriminales la usan para delinquir.
Los delincuentes cifran la información de usuarios pero ellos se quedan con la llave. Y piden rescate para liberarla con el fin de “abrir” el baúl donde está la información. Si no hay pago, no hay llave. Y de hecho, al estar tratando con delincuentes, no hay garantía de que aun habiendo pago, sí vayan a dar la llave; estamos en la incertidumbre.
Los delincuentes apuestan a que los usuarios tendrán tantos deseos de recuperar sus datos que acabarán pagando.  También apuestan a que el usuario no tendrá bien protegido su equipo o no tendrá respaldos de su información. Porque al secuestrar archivos de trabajo, fotos, tesis, reportes, información contable, planos de edificios, etc., saben que causan un daño. 
Y que el usuario no desea trabajar horas y horas para volver a producir los documentos secuestrados. O quieren tener acceso a su información de años a atrás que les sirve como referencia, por ejemplo. O tan simple como que hay datos como las fotos familiares que son irremplazables y no hay copia (respaldo). U otros datos corporativos que simplemente son también irremplazables porque son auditables o los necesitamos por ley o para trabajar con ellos y son imprescindibles.
Ahí es donde entran los delincuentes: apuestan a que más de uno querrá pagar el rescate. Ahora solo necesitan secuestrar la mayor cantidad de computadoras posible para maximizar sus ganancias: aunque solo un porcentaje bajo esté dispuesto a pagar ya ganaron si la cantidad de sistemas se cuenta en miles o millones.
Los delincuentes crean entonces un código malicioso que le llamaremos “ransomware” que es un término proveniente del inglés. Este código malicioso infectará computadoras y como dijimos, entre más, mejor; y está especializado en secuestrar archivos. 
Así es que todo se vale para infectar: enviar correos con adjuntos maliciosos, pedir a los usuarios que entren a sitios malignos o mejor aún: infectar computadoras sin que el usuario siquiera deba de llevar a cabo una acción.
Hace no poco tiempo todos nos enteramos por las noticias de un código malicioso llamado “WannaCry”. En varios medios noticiosos aparecieron notas describiendo que los usuarios reportaban una pantalla roja que decía que sus archivos habían sido secuestrados y pedía dinero en 3 días o duplicaría la cantidad de rescate. 
Se trata precisamente de un “ransomware”. Y por cierto y como ya dijimos, este código malicioso tenía todos los elementos más nefastos: secuestra los archivos más preciados, los delincuentes conservan la llave, infecta una gran cantidad de equipos en poco tiempo y sin participación del usuario; por eso sus efectos negativos alrededor del mundo. 
Este “ransomware” WannaCry aprovecha una vulnerabilidad informática de sistemas operativos de Windows, para la cual de hecho ya había una solución que había sido publicada por Microsoft antes de la aparición de WannaCry. 
Sin embargo muchas empresas y usuarios en casa no la tenían instalada, ya sea porque lo dejaron para “después” o porque no reciben parches de seguridad de manera automática o porque tienen un Windows pirata, entre otras razones.

El secuestro de archivos es en más de una ocasión posible gracias a las malas prácticas de usuarios o áreas de tecnología en empresas. Por ejemplo en este caso en particular de WannaCry la acción preventiva era “sencilla”: instalar el parche de seguridad de Microsoft para Windows y de esta manera el “ransomware” perdía su poder y capacidad de infectar…era todo lo que había que hacer. 
Así es que aprendamos la lección y no dejemos para mañana el parche o el respaldo que podamos aplicar hoy.

miércoles, 19 de abril de 2017

Destrucción de Documentos

Crear información. Transferir esos datos. Usarlos para un objetivo útil. Y al final destruirlos. Simplifiqué al máximo el ciclo de la información y en este artículo quiero enfocarme en ese último paso que en muchas corporaciones puede no llevarse a cabo consistentemente. O tal vez nunca se haga.


Los documentos que tiramos a la basura contienen todo tipo de información desde la banal hasta la confidencial. Y si mientras “vive” en nuestras computadoras o archiveros le damos un tratamiento acorde a su sensibilidad (¿verdad?), no también deberíamos de hacer lo mismo al final de su vida?

Pero el primer problema es que la gente sepa que debe destruirlos. El segundo es que ¡no hay destructoras de papel! Buscamos y buscamos en los pasillos de la empresa y no hallamos uno. “Creo que vi uno en Legal, pero no sé si sigue ahí”, nos dice un colega. 

La existencia de estos aparatos empieza a sonar como leyenda urbana; muchos dicen haberlos visto pero no hay uno a la vista. Así es que acabamos interrumpiendo nuestra búsqueda abruptamente y prefiriendo tomar al toro por los cuernos. “Lo haré yo, usando las manos lo trituraré y es el mismo efecto que la dichosa máquina esa”.

Pero pocas veces tenemos el cuidado necesario para realmente romper esos papeles sensibles en partes que realmente no sean recuperables. Así es que la mayoría de las veces rompemos los papeles un par de veces con las manos y listo, ya están destruidos y a la basura. 

Pero tal vez en este punto estén pensando: “¿Momento, por qué tanto lío por papeles que van a la basura? ¿Qué loco va a estar hurgando en mi basura?” Pues al perecer sí hay locos. Los hay tantos que en inglés hasta existe un término: “dumpster diving”. 

Bucear en la basura es un método efectivo para encontrar oro en la forma de papeles impresos. ¿O suponemos que nuestra corporación maneja información tan poco importante que nadie va a echarse un clavado a la basura en busca de datos útiles para un fin malicioso? Reflexionemos dos veces la respuesta.

Por lo tanto parece no ser suficiente romper documentos a mano limpia. Inclusive cuando uno lo hace usando un aparato que hace “tiras” cada papel arrojado, no hay seguridad de que sea irrecuperable. 

¿No me creen? Busquen en internet “recover shredded paper” o “Unshredder”. Se sorprenderán de lo que encontrarán. Por ejemplo software que ayuda a un actor malicioso a escanear el papel destruido y trata de hacer sentido reconstruyendo cada pedazo de papel aparentemente desconectado del resto. 

Y es que bueno, cuando uno hace tiras una hoja, pues el contenido sigue estando ahí revuelto entre otras tiras de papel, así es que basta paciencia para armar el rompecabezas con curitas y poder volver a tener acceso a la preciada información. 

No por algo en las películas cuando el enemigo va a tomar una embajada, empieza a salir humo de los papeles quemados. Porque no los hacen tiras.

Destruir los documentos a través de “confeti” es más efectivo, pero como siempre, si ni siquiera hay una cultura de destruir papeles en la corporación, de nada sirve el último aparatito de moda o que haya el rumor de que existe uno en “Legal”. 


Así es que a revisar la política de destrucción de papel en la empresa y ver cómo se está implementando para determinar si hay cultura de eliminación de documentos, si hay suficientes aparatos y si realmente sirven para su propósito.

Watering Holes

Todos hemos visto el canal “Animal Planet” donde no solo hay videos de perros y gatos divertidos, sino que también y principalmente, documentales sobre animales. Mis favoritos son en donde los protagonistas son los leones…felinos fascinantes! En fin, en uno de estos episodios explicaron algunas de las técnicas de caza de estos depredadores y una llamó mi atención. Era época de sequía y no había muchos lugares para que los animales pudieran beber agua, así es que lo leones implementaron un plan inteligente. 

En lugar de ir detrás de manadas de búfalos y demás víctimas, decidieron aguardar alrededor de un abrevadero. Ahí encontraron sombra de la vegetación que crece cerca de esos lugares y obvio, agua a disposición. Faltaba la comida. El plan era que esta vez no tenían que salir a buscarla por todas partes porque ¡la comida llegaba a ellos!

Los animales, en su búsqueda del vital líquido, llegaban por docenas al abrevadero. No tenían muchas opciones si no deseaban morir de sed. Así es que en el momento menos pensado mientras tranquilamente bebían, de pronto salía un grupo de leonas estratégicamente posicionadas para al menos abatir a una presa. 

Gran plan. 

Y con poco esfuerzo lograban su cometido en diversas ocasiones, hasta cierto punto de manera “fácil”. Probablemente desde hace cientos o miles de años los depredadores ejecutan esta técnica de caza. Nació el ataque “watering hole”.

Los atacantes cibernéticos ya han estado usando esta manera de cazar por varios años. Claro, no andan en búsqueda de búfalos ni cebras, sino de víctimas informáticas. ¿Cómo funciona su ataque?
Empecemos por al abrevadero a donde las víctimas deben de ir por algo que necesitan. En este caso es un sitio web válido. Por ejemplo, el depredador desea cazar a personas relacionadas con la seguridad física. 

Entonces infecta un sitio web de venta de armas, o uniformes o de normatividad relacionada a ese ramo. Sabe que sus víctimas irán a visitar tarde o temprano este tipo de sitios válidos porque necesitan conseguir información o hacer una compra.

O por ejemplo si el atacante desea “conseguir” doctores, infecta un sitio legítimo relacionado a medicamentos, conferencias médicas o nuevos estudios clínicos. Sabe que los doctores irán a estos sitios porque es parte de sus funciones. 

Necesitan ir al abrevadero. Una vez que la computadora del doctor visita el sitio web legítimo pero comprometido, a su computadora le llega un virus que infecta al equipo de cómputo. El doctor ahora y sin saberlo, bajó una infección informática a su equipo de cómputo que fue cazado por el depredador. 

Ahora el sistema no solo es usado por el médico, sino también por “el león” que hace y deshace a placer. Roba información del galeno. O tal vez haga que el sistema comprometido envíe correos tipo “spam”. También el objetivo puede ser conocer el avance de un estudio médico de vanguardia para un fin malicioso. 

La computadora está en poder del atacante. Está a su disposición.
El ataque “watering hole” no involucró ir a buscar a las víctimas. Ellas solas fueron por necesidad a visitar la página web legítima sin necesidad de que el atacante las forzara, no tuvo que hace uso de otras técnicas más tardadas y tal vez menos efectivas. 

Este tipo de ataque funciona muy bien cuando el agente malicioso quiere ir contra computadoras de cierto grupo de personas. Gente de seguridad física, ingenieros civiles, investigadores académicos o diseñadores automotrices.

Es un ataque difícil de prevenir porque el hacker arremete contra sitios web válidos con los cuales la gente trabaja y no es posible simplemente cortarles la comunicación. Inclusive en ocasiones la comunicación hacia esos sitios legítimos tiene una seguridad informática relajada porque, bueno, después de todo son sitios web genuinos de los cuales nadie sospecharía. Todos asumimos que esas páginas web son seguras. Que no nos enviarán un virus porque confiamos en ellas.


-->
Es un abrevadero seguro. Tiene lo que necesitamos. Hay vegetación alrededor de él que nos da confianza y paz, además se ve muy tranquilo y ningún depredador tendría la osadía de estar espiándonos y buscando el momento justo para ir detrás de nosotros. Piénsenlo la próxima vez que visiten su sitio web preferido y de confianza.