Predicciones anuales de seguridad informática

Leo predicciones de seguridad informática para el siguiente año. Léanlas, con la gran, gran mayoría de ellas se quedarán con un “¿Y luego qué”?

Varias no son predicciones sino que ya están sucediendo. Otras más suenan disparatadas sin base alguna y restaría por ver si las estrategias de seguridad deben de cambiar a partir de que se concreten.
 

Así es que tomar decisiones con base a predicciones no suena muy razonable; y si no se toman decisiones entonces se quedan más en el terreno de “información interesante, pero inútil”.

 

Mi alma está tranquila de que no soy el único que piensa así. Francamente, podríamos vivir cómodamente sin estas predicciones anuales de seguridad que tienen más el objetivo de llenar nuestro tiempo con datos insulsos.

 

Pero es un deporte que disfrutan varios en el campo de seguridad informática y dudo que vayan a dejar de aparecer cada fin de año; supongo que quien las hace se divierte y cree que aumenta su prestigio por haberlas creado. Ahora que lo pienso, supongo que voy a redactar mis predicciones de seguridad para aumentar mi perstigio.

¿Se deben publicar datos robados?

A finales de noviembre del 2014, Sony fue atacado. Esta empresa dedicada al entretenimiento fue objeto de un gran robo de información. Asimismo, los atacantes se las arreglaron para borrar datos de las computadoras de Sony, dejando a los empleados sin poder trabajar normalmente.  

La información robada está siendo publicada en internet por los atacantes sin que los puedan detener, y de hecho hay incertidumbre sobre quién atacó a esta empresa.  

¿Quién es responsable?  

A finales de diciembre, el gobierno de EUA apuntó al gobierno de Corea del Norte como quien directa o indirectamente atacó a Sony y robó los datos. Sin embargo analistas de seguridad informática han puesto lo anterior en duda. La razón por la cual supuestamente Corea del Norte atacó a Sony es por una película que esta empresa iba a poner a disposición de los cines durante el mes de diciembre llamada The Interview, donde parte de la trama es el asesinato del líder de Corea del Norte, Kim Jong Un. 

Supuestamente, el líder de ese país enfureció y de ahí el ataque. Aunque como dije, hay quienes dudan de esta versión. Otros apuntan a que es parte de la estrategia continua de ese país para mantener un clima de tensión internacional en contra de ellos para cuestiones de propagando interna y mantener "enemigos que quieren destruir al país". 

¿Qué se robaron?   

Todo tipo de información. Hasta correos internos donde se pueden leer comentarios comprometedores de ejecutivos de Sony hablando mal del presidente Obama o de actores como Angelina Jolie. También el sueldo que dan a actores, o los esfuerzos de Sony por incrementar sus ventas así como sus estrategias. Asimismo, datos que revelan el enojo de Sony ya que según la empresa, Google no hace lo suficiente por eliminar de sus búsquedas diversos contenidos con derechos de autor. 

También robaron información de los empleados actuales de Sony y de los que ya no están laborando con ellos (números de seguro social, fecha de nacimiento, nombres y apellidos, números telefónicos, prestaciones, planes de jubilación, sueldo de ejecutivos, plan médico y hasta algunas copias de pasaportes). Y por si fuera poco, también robaron películas que todavía no se estrenan y los teléfonos y correos electrónicos de reconocidos actores. 

Sin mencionar cientos de contraseñas de servidores de Sony y de empleados. Cabe mencionar que antes de que saliera toda esta información a la luz, los atacantes intentaron chantajear a Sony con demandas que no han sido clarificadas aún. 

En fin, lo que hicieron los atacantes es extraer una gran cantidad de información y ya "con calma" la han estado analizando y poniendo disponible en internet.  

¿Es correcto publicar la información robada? 

A mediados de diciembre, Sony mostró su molestia y hasta dejando en el aire la posibilidad de demandar a los medios de comunicación que sigan publicando los detalles de la información robada. Por otro lado, hay quienes argumentan que es necesario mantener la libertad de empresa o que al estar publicando los detalles, otras empresas verán lo grave del asunto y elevarán su nivel actual de seguridad informática. 

En mi opinión, no es correcto publicar información robada. Finalmente, es información que no pertenece al público sino a una organización. Si el personal de seguridad de la información de las empresas hacen grandes esfuerzos por mantener protegidos los datos, es por algo. El argumento de que sólo así habrá otras empresas que tomarán medidas al ver la gravedad del robo, creo que no es válido. 

Tan simple como que a quien le robaron su información no es responsable de crear concientización en el resto de la industria; no es su papel y no tiene por qué hacerlo. Además de que si de lecciones hablamos, estimo que basta con saber el tipo de información robada para conocer su gravedad tal cual acabo de hacer hace unos párrafos arriba, y no es necesario saber los detalles y pensar que sólo así se crea conciencia. 

Así es que en esta situación estoy con Sony. 

La información robada es eso: información robada. Es como si un ladrón entrara a nuestra casa y sacara fotos de nuestros estados de cuenta, credencial del IFE, tarjetas de crédito, actas de nacimiento, pasaportes, propiedades, facturas de autos, certificados escolares y sacara fotos de nuestro domicilio. Y luego este maleante creara una página web donde pusiera toda esta información disponible para quien quisiera verla o guardarla en su computadora. Así es que como ven, no sólo está el hecho de que hayan forzado su entrada ilegalmente a nuestro domicilio. 

Creo que a nadie de nosotros nos gustaría que pusieran información personal y confidencial a disposición de todo mundo, no importa si son famosos o como yo, un simple ciudadano. Esa es información personal y nadie quiere que ande por ahí libre y disponible por internet. 

En conclusión, la información de las organizaciones no es pública, excepto la que por ley o normatividad así lo deba de ser; el resto no lo es, punto. Y nadie debe de publicar información robada, sólo por el simple hecho de que alguien más la hurtó. 

No más seguridad, sino mejor seguridad

TechTarget me hizo el favor de publicar este artículo, espero lo disfruten.

Apunta tu contraseña en un postit

Es común que vaya a conferencias de seguridad informática y que el presentador hable del mal hábito que tienen los usuarios de escribir sus contraseñas en papeles, en especial los llamados postit. Todo el público ríe y se complace de este viejo chiste entre los profesionales de seguridad como diciendo "oh sí, el eslabón más débil es el usuario". De tanto escucharlo, va perdiendo gracia con el tiempo y a pesar de que lo usan cada vez menos, es hasta cierto punto típico ver este ejemplo de las postit.

Sinceramente yo casi no he visto en últimos tiempos a usuarios escribiendo sus contraseñas y dejándolas al lado de su computadora. Y por otro lado, también he llegado a pensar que bajo ciertas circunstancias y condiciones, de hecho escribir una contraseña en un papel no está del todo mal. 

Por ejemplo, traer una contraseña en la cartera no supone demasiado riesgo. Uno la utiliza cuando es necesario y la vuelve a guardar; ante la pérdida el atacante no sabrá que esa contraseña es para un servicio en específico (GMail, cuenta de Facebook, cuenta corporativa). 

Obviamente sólo hay que apuntar la contraseña sin ninguna pista de para qué servicio es válida. Tampoco escribir el nombre de usuario (username). Y un truco adicional: memorizar una fácil cadena de caracteres y añadirla al final de la contraseña compleja escrita en el papel: por ejemplo si apunto "AwG32#m" y memorizo "Blindado2014", simplemente cuando me piden la contraseña, copio la del papel y añado la cadena que me fue fácil de memorizar: "AwG32#mBlindado2014". 

Hasta puedo tener una lista de diferentes contraseñas complejas apuntadas a las que siempre les agregue la misma cadena de caracteres fáciles de memorizar. 

Otro ejemplo de bajo riesgo sería escribir una contraseña y dejarla en casa resguardada, para que en caso de que se nos olvide, podamos recuperarla.  

Lo cierto es que cuando empezó la era de la computación personal, eran un par de contraseñas las que un usuario debía de aprenderse. 

Hoy en día todo ha cambiado, y hay un PIN para cada tarjeta bancaria que usamos, redes sociales, cuentas corporativas y hasta para desbloquear el teléfono: no es difícil llegar a tener más de 50 contraseñas actualmente. No es de sorprendernos que los usuarios traten de hacer su vida más fácil y apunten contraseñas en papeles o bien, seleccionan una misma contraseña fácil para todo servicio que la pide y por cierto, nunca la cambian. 

Y si bien dije que hay  algunos casos específicos en donde es válido apuntar contraseñas en papales bajo ciertas circunstancias y condiciones, también hay claramente ejemplos donde es pésima idea hacer esto. Un caso de ellos sería que tuviéramos una laptop corporativa. 

Pero el usuario de la laptop, por comodidad, escribe su contraseña en un papel y la deja dentro del maletín de la laptop o pegado a ella. Bueno, no nos debe de sorprender que cuando alguien que se haya robado la laptop encuentra el equipo y además ahí mismo está la contraseña para acceder a los datos, pues simplemente podrá teclearla y acceder a la información. Ante esta situación no hay nada qué hacer, el equipo protegido por contraseña la tiene ahí mismo para facilitare la vida al atacante. 

Otro caso similar sería dejar al lado de la computadora nuestra contraseña del equipo, o un papel que diga "Twitter JuanPerez, password XXmiTwitter2014", no hay que ser un genio para saber qué tipo de contraseña es. 

Yo en lo personal soy usuario de LastPass. Es una aplicación excelente para guardar todas las contraseñas que tengo, y que me sería imposible memorizar (porque tengo una contraseña por servicio y la mayoría son complejas). 

Las puedo acceder en mi iPhone o vía web. Adicionalmente tengo apuntadas en un papel un par de contraseñas importantes, dicho papel lo tengo bien resguardado en casa y uso la técnica arriba mencionada, la que comenté de agregar una cadena memorizada al final. 

En conclusión, ante la problemática de tener una enorme cantidad de contraseñas hoy en día, podemos auxiliarnos de apuntar algunas contraseñas en papel, pero sólo bajo ciertas circunstancias y condiciones para evitar darle una ventaja al atacante. 

Y otra solución  mejor es usar alguna aplicación segura como la que recomendé de LastPass para resguardar contraseñas complejas y únicas por servicio.

Cursos de Pentest de Offensive Security

No me gustan los cursos de pentest del CEH. Y luego de conocer los de Offensive Security (OffSec), el CEH me gusta menos, al punto de ya no recomendarlo salvo que quieras una introducción light al tema.

Los cursos de OffSec son totalmente prácticos, y de que aprendes, aprendes. Para mí, está garantizado. De hecho los cursos tienen un roadmap: desde el más sencillo (que no lo es) hasta el más avanzado (que es de muy alto nivel).

No quiero decir que conozco todos los cursos nacionales y en el extranjero de pentest, de hecho no los conozco. Pero recomiendo ampliamente los de OffSec. De hecho si tomas el más “básico” llamado PWK (Penetration Testing with Kali Linux) te convencerás de lo que digo.

Y sí, los de OffSec son los creadores de BackTrack y Kali, por si era necesario mencionarlo.

Y por cierto, hay un curso de pentest de una “empresa” aquí en México del cual me han hablado pestes. No una sino varias personas. Yo en lo personal me iría con cursos de más renombre, como los que ofrece OffSec.

Dime cómo lo configuras y operas y te diré si es seguro

Apareció una noticia titulada “Home Depot blames security breach on Windows, senior executives given new MacBooks and iPhones”. El artículo cometa que el hackeo a HomeDepot EUA se concretó gracias a una debilidad en Windows. Que ya tenía parche, pero que no fue aplicado suficientemente rápido. Y que en relación a su desconfianza a Windows, a los ejecutivos les darán dispositivos Apple, en el entendido de que son más seguros.

No entiendo. En primer lugar, el hackeo fue a la infraestructura de HomeDepot, el hecho de que provean equipos Apple  a los ejecutivos en qué ayuda a prevenir otro hackeo similar? Pues bien por lo ejecutivos, pero la infraestructura no se beneficia en nada.

Tampoco entiendo el hecho implícito de que “Windows es más inseguro y los sistemas de Apple son seguros”. No es que me guste la seguridad de Microsoft que viene por default, pero honestamente, si configuras bien y operas adecuadamente un Windows, un OS X o un Linux, todos tendrán un nivel de seguridad razonable (y la cerza en el pastel es instalar dos que tres productos de seguridad básicos).
Así es que en lugar de andar cambiando de sistemas operativos, mejor configúrenlos bien (hardening) y den un par de charlas de concientización a esos ejecutivos. La medida de cambiar a Apple se me hace poco efectiva y entra más en los terrenos publicitarios/apariencias.

Y por último. Noten que el hackeo a la infraestructura de HomeDepot fue por un parche que ya había salido pero no había sido aplicado. Nada de días cero. Luego entonces, lo que sí sirve en verdad es echarle un ojo a los procedimientos de aplicación de parches. ¿No creen?

Seguridad al trabajar con Laptos fuera de la Empresa

Si bien las tabletas son cada vez más populares, las laptops siguen siendo una herramienta vital para empleados de todas las organizaciones. El hecho de que cuenten con teclados, una amplia pantalla y una batería de razonable duración, las hace ideal para trabajar en ellas. Y si un empleado cuenta con uno de estos dispositivos, probablemente significa que la usa fuera de la empresa. Ya sea en las oficinas de un cliente, mientras espera que despegue su vuelo o en el hotel al que se trasladó para realizar un trabajo. 

Es importante mencionar que el hecho de que una computadora salga de una empresa, presenta retos adicionales a la de un equipo de escritorio que permanece dentro de las instalaciones. 

La razón es simple y es el hecho de que la laptop está expuesta a nuevos riesgos cuando está en movimiento. El típico que se me viene a la mente es el extravío de la laptop, por ejemplo al momento de pasar por los filtros de seguridad de un aeropuerto o bien, fue olvidada al lado de la mesa de un restaurante o café. El otro que se me viene a la mente es el robo, ya sea que el equipo sea dejado en una valet parking y después nos encontremos con el típico “aquí no había nada de valor, joven”; o bien, que vayamos por la calle y suframos un asalto. 

Son algunos ejemplos de riesgos que no están presentes en la computadora de escritorio de nuestra oficina. Así es que surge la pregunta de qué hacer ante esta situación, por lo que a continuación presento algunas recomendaciones a seguir para proteger al equipo: 

Mantener el software actualizado: la laptop tiene un sistema operativo (por ejemplo Windows) y aplicaciones (Word o Adobe Reader) que deben de ser actualizadas al menos una vez al mes. 

Respaldar la información: los datos en la laptop pueden perderse si el equipo sufre algún desperfecto físico o si es robado, por lo que es importante respaldar la información en discos duros externos, DVD o servicios seguros en la nube. 

Cifrar la información: dentro de la laptop está toda una gama de archivos, correos y fotos que son parte del trabajo que una persona realiza para una empresa. Existen varias soluciones gratuitas y comerciales para proteger (cifrar) la información que está dentro de la laptop. 

Evitar Wifi: es común encontrarse con redes inalámbricas WiFi, muchas de ellas gratuitas. Estas redes tienen diferentes niveles de seguridad y las hay desde cero seguridad hasta aquellas con una seguridad de “default” que supuestamente es segura, pero que no lo es. Mejor evitarlas y conectarse a Internet por otros medios (a menos que sepamos la diferencia entre conectarse a una red WiFi sin seguridad, una WiFi WEP supuestamente "segura" y una WiFi WPA realmente segura). 

Instalar y actualizar un antivirus:  hoy en día sobra decir respecto a la necesidad de tener un antivirus en un equipo de cómputo y que diariamente se actualice automáticamente. Considerar la instalación de una suite de seguridad que tiene controles adicionales como detección de intrusos o firewall, por ejemplo. 

Atender mensajes de seguridad: por ejemplo, cuando usamos el equipo y navegamos por internet con él, nos llegaremos a topar con mensajes de seguridad que nos advierten respecto a un riesgo. Lejos de darle “aceptar” e ignorar el mensaje, es mejor atenderlo y seguir su recomendación. 

Evitar ser promiscuo: al navegar por internet nos encontraremos con ilimitadas tentaciones de aplicaciones que podemos instalar. Las hay para escuchar música, escribir notas, administrar nuestro correo o entrar a redes sociales. Es mejor seguir las políticas de tecnologías de información de la empresa o bien, preguntar al personal de Sistemas. No queremos instalar virus o aplicaciones fraudulentas, cierto? 

Rechazar a los USB: un medio de infección importante hoy en día es todos aquellos virus que se transmiten vía USB. Y si uno de estos bichos se enfrenta a nuestro antivirus apagado, desactualizado o deshabilitado, tendremos una infección. Es mejor evitarlos y sólo introducir nuestros propios USB y recibir archivos de otras personas por otra vía (por ejemplo, correo). 

Operar como usuario: cuando introducimos nuestro nombre de usuario y contraseña, abrimos una sesión en el equipo y es importante que sea con privilegios de "Usuario" y no de "Administrador". Es fácil saber cuál estamos usando: si podemos instalar cualquier programa en el equipo y hacer todo tipo de acciones sin restricciones, probablemente significa que  estamos como "Administradores". Para los virus y código malicioso es ideal encontrarse con una sesión con privilegios de "Administrador" porque podrá ejecutar todas sus acciones maliciosas sin limitaciones. 

En concusión, los riesgos de seguridad informática que tienen las laptops no son idénticas a las de un equipo de escritorio, por lo que es importante aplicar medidas adicionales de protección. Revise cuáles de las recomendaciones que le he dado son pertinentes para su entorno corporativo y asesórese del personal de TI de su empresa ante cualquier duda.