miércoles, 19 de abril de 2017

Destrucción de Documentos

Crear información. Transferir esos datos. Usarlos para un objetivo útil. Y al final destruirlos. Simplifiqué al máximo el ciclo de la información y en este artículo quiero enfocarme en ese último paso que en muchas corporaciones puede no llevarse a cabo consistentemente. O tal vez nunca se haga.


Los documentos que tiramos a la basura contienen todo tipo de información desde la banal hasta la confidencial. Y si mientras “vive” en nuestras computadoras o archiveros le damos un tratamiento acorde a su sensibilidad (¿verdad?), no también deberíamos de hacer lo mismo al final de su vida?

Pero el primer problema es que la gente sepa que debe destruirlos. El segundo es que ¡no hay destructoras de papel! Buscamos y buscamos en los pasillos de la empresa y no hallamos uno. “Creo que vi uno en Legal, pero no sé si sigue ahí”, nos dice un colega. 

La existencia de estos aparatos empieza a sonar como leyenda urbana; muchos dicen haberlos visto pero no hay uno a la vista. Así es que acabamos interrumpiendo nuestra búsqueda abruptamente y prefiriendo tomar al toro por los cuernos. “Lo haré yo, usando las manos lo trituraré y es el mismo efecto que la dichosa máquina esa”.

Pero pocas veces tenemos el cuidado necesario para realmente romper esos papeles sensibles en partes que realmente no sean recuperables. Así es que la mayoría de las veces rompemos los papeles un par de veces con las manos y listo, ya están destruidos y a la basura. 

Pero tal vez en este punto estén pensando: “¿Momento, por qué tanto lío por papeles que van a la basura? ¿Qué loco va a estar hurgando en mi basura?” Pues al perecer sí hay locos. Los hay tantos que en inglés hasta existe un término: “dumpster diving”. 

Bucear en la basura es un método efectivo para encontrar oro en la forma de papeles impresos. ¿O suponemos que nuestra corporación maneja información tan poco importante que nadie va a echarse un clavado a la basura en busca de datos útiles para un fin malicioso? Reflexionemos dos veces la respuesta.

Por lo tanto parece no ser suficiente romper documentos a mano limpia. Inclusive cuando uno lo hace usando un aparato que hace “tiras” cada papel arrojado, no hay seguridad de que sea irrecuperable. 

¿No me creen? Busquen en internet “recover shredded paper” o “Unshredder”. Se sorprenderán de lo que encontrarán. Por ejemplo software que ayuda a un actor malicioso a escanear el papel destruido y trata de hacer sentido reconstruyendo cada pedazo de papel aparentemente desconectado del resto. 

Y es que bueno, cuando uno hace tiras una hoja, pues el contenido sigue estando ahí revuelto entre otras tiras de papel, así es que basta paciencia para armar el rompecabezas con curitas y poder volver a tener acceso a la preciada información. 

No por algo en las películas cuando el enemigo va a tomar una embajada, empieza a salir humo de los papeles quemados. Porque no los hacen tiras.

Destruir los documentos a través de “confeti” es más efectivo, pero como siempre, si ni siquiera hay una cultura de destruir papeles en la corporación, de nada sirve el último aparatito de moda o que haya el rumor de que existe uno en “Legal”. 


Así es que a revisar la política de destrucción de papel en la empresa y ver cómo se está implementando para determinar si hay cultura de eliminación de documentos, si hay suficientes aparatos y si realmente sirven para su propósito.

Watering Holes

Todos hemos visto el canal “Animal Planet” donde no solo hay videos de perros y gatos divertidos, sino que también y principalmente, documentales sobre animales. Mis favoritos son en donde los protagonistas son los leones…felinos fascinantes! En fin, en uno de estos episodios explicaron algunas de las técnicas de caza de estos depredadores y una llamó mi atención. Era época de sequía y no había muchos lugares para que los animales pudieran beber agua, así es que lo leones implementaron un plan inteligente. 

En lugar de ir detrás de manadas de búfalos y demás víctimas, decidieron aguardar alrededor de un abrevadero. Ahí encontraron sombra de la vegetación que crece cerca de esos lugares y obvio, agua a disposición. Faltaba la comida. El plan era que esta vez no tenían que salir a buscarla por todas partes porque ¡la comida llegaba a ellos!

Los animales, en su búsqueda del vital líquido, llegaban por docenas al abrevadero. No tenían muchas opciones si no deseaban morir de sed. Así es que en el momento menos pensado mientras tranquilamente bebían, de pronto salía un grupo de leonas estratégicamente posicionadas para al menos abatir a una presa. 

Gran plan. 

Y con poco esfuerzo lograban su cometido en diversas ocasiones, hasta cierto punto de manera “fácil”. Probablemente desde hace cientos o miles de años los depredadores ejecutan esta técnica de caza. Nació el ataque “watering hole”.

Los atacantes cibernéticos ya han estado usando esta manera de cazar por varios años. Claro, no andan en búsqueda de búfalos ni cebras, sino de víctimas informáticas. ¿Cómo funciona su ataque?
Empecemos por al abrevadero a donde las víctimas deben de ir por algo que necesitan. En este caso es un sitio web válido. Por ejemplo, el depredador desea cazar a personas relacionadas con la seguridad física. 

Entonces infecta un sitio web de venta de armas, o uniformes o de normatividad relacionada a ese ramo. Sabe que sus víctimas irán a visitar tarde o temprano este tipo de sitios válidos porque necesitan conseguir información o hacer una compra.

O por ejemplo si el atacante desea “conseguir” doctores, infecta un sitio legítimo relacionado a medicamentos, conferencias médicas o nuevos estudios clínicos. Sabe que los doctores irán a estos sitios porque es parte de sus funciones. 

Necesitan ir al abrevadero. Una vez que la computadora del doctor visita el sitio web legítimo pero comprometido, a su computadora le llega un virus que infecta al equipo de cómputo. El doctor ahora y sin saberlo, bajó una infección informática a su equipo de cómputo que fue cazado por el depredador. 

Ahora el sistema no solo es usado por el médico, sino también por “el león” que hace y deshace a placer. Roba información del galeno. O tal vez haga que el sistema comprometido envíe correos tipo “spam”. También el objetivo puede ser conocer el avance de un estudio médico de vanguardia para un fin malicioso. 

La computadora está en poder del atacante. Está a su disposición.
El ataque “watering hole” no involucró ir a buscar a las víctimas. Ellas solas fueron por necesidad a visitar la página web legítima sin necesidad de que el atacante las forzara, no tuvo que hace uso de otras técnicas más tardadas y tal vez menos efectivas. 

Este tipo de ataque funciona muy bien cuando el agente malicioso quiere ir contra computadoras de cierto grupo de personas. Gente de seguridad física, ingenieros civiles, investigadores académicos o diseñadores automotrices.

Es un ataque difícil de prevenir porque el hacker arremete contra sitios web válidos con los cuales la gente trabaja y no es posible simplemente cortarles la comunicación. Inclusive en ocasiones la comunicación hacia esos sitios legítimos tiene una seguridad informática relajada porque, bueno, después de todo son sitios web genuinos de los cuales nadie sospecharía. Todos asumimos que esas páginas web son seguras. Que no nos enviarán un virus porque confiamos en ellas.


-->
Es un abrevadero seguro. Tiene lo que necesitamos. Hay vegetación alrededor de él que nos da confianza y paz, además se ve muy tranquilo y ningún depredador tendría la osadía de estar espiándonos y buscando el momento justo para ir detrás de nosotros. Piénsenlo la próxima vez que visiten su sitio web preferido y de confianza.

martes, 3 de enero de 2017

La importancia de las políticas de seguridad de la información


¿Qué es una política de seguridad de la información? Son lineamientos que reflejan la postura de una organización ante la necesidad de proteger su información. La política establecerá de manera general qué deben hacer los empleados y qué no, para preservar la confidencialidad, integridad y disponibilidad de los activos de información.



¿Debe de haber contraseñas para acceder a las computadoras? ¿Un usuario puede desinstalar un antivirus? ¿Un administrador de sistemas puede realizar un cambio en la configuración de un servidor sin avisar a nadie? Esta es la serie de temas que bien podría abordar la política para que quedaran claros los lineamientos que rigen la seguridad de la información en una empresa.

Sabemos ya qué es una política. ¿Pero quién la necesita? La respuesta es fácil. Todas las organizaciones. Es como preguntar qué país necesita leyes. Tal vez unos tengan leyes muy amplias, otros las tendrán muy generales pero es un hecho que habrá algún tipo de ley. Lo mismo pasa con la política de seguridad de la información.

Idealmente esta política debe de formalizarse, vigilar que se siga y sancionarse si no la cumplimos. La primera parte de “formalización” es para que no sea un papel sin valor o un pliego de buenos deseos que ojalá alguien cumpla.
De alguna manera hay que ver que tenga esa fuerza y cada organización tendrá sus mecanismos para formalizarla. La segunda parte referente a que “vigilemos que se siga” es donde debe de haber alguien que verifique su seguimiento.
Es como el reglamento de tránsito: una parte es que exista el documento y que sea formal, y otra parte es que haya agentes de tránsito vigilando su cumplimiento. La última parte de sancionarse es obvia y es cuando la patrulla levanta una infracción a un conductor que no respetó la luz roja del semáforo.

La política es importante para tener lo que comúnmente se llama “las reglas del juego”. Así habrá un orden y dirección. Los empleados deben seguirla para evitar que la Alta Dirección deje este asunto de seguridad de la información al criterio particular de cada persona.

Y si bien una política es importante, también podemos caer en errores al implementarla, por ejemplo:

  • ¿Debe llamarse política de seguridad de la información? El nombre de este documento es lo de menos. Lo importante es el espíritu de la política. Pueden llamarle “lineamiento”, “norma” o “pautas”, siempre y cuando contenga las “reglas del juego”.
  • ¿Debe de ser un solo documento? No nos equivoquemos buscando un solo documento maestro que aglutine todas las reglas de la política. Estas reglas bien pueden estar dispersas en diversos documentos con diferentes nombres. De nueva cuenta, lo de menos es tener un solo documento o doce: lo importantes es el espíritu de la política, difundirla y seguirla.
  • ¿Debemos de llenarnos de reglas? Imagino una política kilométrica, con todo tipo de lineamientos a seguir para miles de actividades de todo tipo. A eso le llamaríamos sobre-regulación y el primer problema que enfrentaría una política así sería tener tiempo para si quiera leerla.
  • ¿Debe de ser específica? La política tiene generalidades, no pormenores. Para aquellos asuntos que valga la pena tratarse al detalle, deberán existir otros mecanismos que describan el procedimiento o actividad específica y sí, siempre alineado a la política general.

En conclusión, si no hay reglas, regirá el caos. Cada quién hará lo que crea que es correcto con argumentos propios de por qué si debería o no debería de hacerse esto o aquello y la protección de la información quedará a la deriva.
La importancia de la política radica precisamente en eso: en poner orden, en generar lineamientos orientados a la protección de uno de los activos más importantes que es la información que manejan las organizaciones.

jueves, 27 de octubre de 2016

El Internet de las Cosas ¿Seguras?

¿Qué es el internet de las cosas? El Internet of Things (IoT) es un término usado para todos aquellos aparatos diferentes a una computadora que tienen conexión a internet. Ejemplos sobran. Un refrigerador, una cámara de vigilancia vía web, una tele de las llamadas “inteligentes”, tal vez una lavadora o un tostador de pan. Son aparatos que tienen internet para diversos propósitos (por cierto, muchos de ellos, en verdad, inútiles). 


Está la cámara que sin necesidad de una computadora envía video a internet para que el usuario lo pueda ver en su teléfono. O el refrigerador que “sabe”: ya no tiene leche y la compra automáticamente en el supermercado. ¿Un tostador? Todavía no entiendo para qué querría un tostador tener internet, pero eso no importa, no hay que quedarse atrás en esta moda de “todo conectado a internet”.

Hasta aquí todo va bien. Suena conveniente tener una cámara directamente conectada a internet. O adquirir la ya conocida tele con “apps” de internet para ver cómodamente y a la hora que uno quiera la serie de The Walking Dead. ¿Qué podría salir mal?

La respuesta es conocida: la seguridad. Los fabricantes de estos aparatos tienen en mente que sus productos funcionen para venderlos lo mejor posible. Pero no tienen a la seguridad informática como una de sus prioridades. O bien carecen de una seguridad aceptable, o de plano no tienen nada que los protejan.

Pero no nos quedemos en la teoría diciendo lo peligroso que podrían ser estos aparatos conectados a internet si Júpiter está alineado con Marte y Saturno. ¿Necesitamos alineación de planetas? No, en el mes de octubre un proveedor de internet sufrió un embate llamado “denegación de servicio”. 

Es como sucede cuando regresamos de Cuernavaca en un puente: miles y miles de autos queriendo pasar por la caseta de cobro para entrar a la Ciudad de México en un corto periodo de tiempo. Las casetas no se dan abasto. 

Los autos crearon una denegación de servicio porque por más que las casetas atiendan rápido e inclusive abran un par más de ellas, los autos siguen llegando. Y el servicio está degradado a tal punto que en cierto sentido, está negado. De ahí el término de denegación de servicio.

Lo que hacen los criminales en línea es de manera artificial enviar miles y miles de autos maliciosos a las casetas de cobro, para que los verdaderos vacacionistas tarden tanto en pasar la caseta que será casi como si la caseta estuviera cerrada. Denegación de servicio. 

El truco radica en cómo crear autos maliciosos de manera artificial en cantidades exorbitantes para enviarlos a la caseta de cobro. Aquí es donde entran nuestros amigos del internet de las cosas.

Imaginen a esa cámara conectada directamente a internet. Supongamos que tiene una contraseña xc3511 para poder administrarla. Pero lo malo es que esa es por default, de esas que el fabricante pone en todos los modelos de un producto. 

Basta que el hacker averigüe la contraseña de una para saber que todas las cámaras de ese modelo de ese fabricante tiene la misma por default xc3511 para poder entrar al dispositivo como administrador y adueñarse de la cámara. 

Ahora creará un programa malicioso: buscará una y otra vez con rapidez este tipo de cámaras conectadas a internet. Y una vez que el programa las halle, de inmediato realiza una conexión con el password por default todopoderoso y ¡kaputt! 

Miles de cámaras son controladas por el hacker. Y así hace con televisiones u otros aparatos conectados a internet que son vulnerables y que pueden ser controlados.

¿Ven a dónde va la historia? Los autos maliciosos son las cámaras y refrigeradores controlados por el hacker. La caseta de cobro es en este caso el proveedor de internet Dyn que presta servicios de conexión a por ejemplo Twitter. 

Este proveedor sufrió en octubre una denegación de servicio de millones de dispositivos haciéndole peticiones de red inútiles con el fin de que los clientes de Dyn no obtuvieran el servicio de conexión. El virus que contagió a cámaras y demás dispositivos en la red tiene nombre: Mirai. Para más información de este suceso, busquen “Dyn DoS mirai”.

Es todo un reto mantener a las computadoras con una seguridad razonable, donde no existan contraseñas por default y tengan sus parches de seguridad. Imagínense ahora el reto de dejar en manos de los usuarios el hecho de cambiar las contraseñas por default de sus tostadores de pan. Y de estarles aplicando parches de software de seguridad a la cámara web o al refrigerador.


Me pregunto si los fabricantes del llamado internet de la cosas aprendieron la lección de hace ya varias décadas donde los sistemas de cómputo surgieron sin una seguridad en mente. Y eso costó y sigue costando caro a todos los que usamos la red. 

El internet de las cosas nos parecerá algo conveniente “¡qué idea tan buena que mi foco tenga conexión a internet!” Pero tras bambalinas es un juguete más conectado con nula o mediocre seguridad informática y donde sin así quererlo, estaremos participando en ataques a gran escala contra internet, cortesía de nuestro tostador y tele “inteligente”.