Ciberseguridad

1. DESCRIPCIÓN DEL ÁREA TECNOLÓGICA

La ciberseguridad es un pilar fundamental en la construcción de sistemas de información. Esta es una afirmación que todos suscribimos sin duda pero, cuando se trata de hacer algo más que suscribirla, empiezan a surgir los matices. Y es que, verdaderamente, la ciberseguridad es algo complejo de alcanzar.

Y es que los ataques ya no son artesanales, fruto de una mente curiosa. Ni visibles. Los ataques de hoy son silenciosos, prolongados y, por encima de todo, terriblemente automáticos. Tan automáticos, que un nuevo servidor en un proveedor cloud recibe su primer ataque en una media de 10 minutos.

El objetivo ya no es destruir los sistemas, o incapacitarlos. Después de todo, para esto tenemos solución si hemos sido diligentes con las copias de seguridad. El objetivo ahora es introducirse en un sistema y aprovecharse de su capacidad de cómputo, o del acceso a información privada. Estos ataques prolongados en el tiempo se conocen como APTs (Advanced Persistent Threat) y algunas cosas de las que persiguen son: minado de criptomonedas, inclusión en una botnet zombie para ataques distribuidos de denegación de servicio (DDoS), robo de datos, almacenamiento fraudulento de datos (pedofilia, por ejemplo) o uso del equipo de un tercero para cometer ataques sin ser identificado.

Si lo pensamos, es natural. Hemos vivido una explosión tecnológica. En la década de los 90, pocos eran los que manejaban su vida online. Pero hoy día es más bien al contrario, raro es aquel que no maneja su vida online. La cantidad de servidores, aplicaciones y dispositivos ha crecido exponencialmente. Y la cantidad de objetivos también.

Y es que la ciberdelincuencia se ha convertido en un mercado global, que mueve más dinero que el narcotráfico y que la venta de armas, según un estudio publicado en 2019. En 2018 se registraron más de 10.500 millones de incidentes en todo el mundo y se detectaron casi 75.000 nuevos tipos de ataques cibernéticos, niveles nunca vistos anteriormente. En España, se sufrieron más de 90.000 ataques en 2018, o lo que es lo mismo, unos 250 ataques diarios. El impacto económico, a nivel mundial, es de más de un billón de euros.

En la actualidad, la gran cantidad de dispositivos conectados a la red, gracias a la explosión del IoT, y la irrupción de tecnologías disruptivas como Big Data y Machine Learning, están favoreciendo que los ataques sean más complejos y más difíciles de detectar y de detener. Hay una frase en el mundo de la ciberseguridad que dice que existen dos tipos de empresas, aquellas que han sufrido un ataque informático, y aquellas que lo han sufrido pero no se han dado cuenta.

Por otra parte, aunque es cierto que disponemos de herramientas que asisten a los equipos de seguridad en la detección de incidentes (SIEMs, etc.), los nuevos paradigmas de desarrollo de software basados en contenedores invalidan ciertas asunciones que hacen estos sistemas, bajando su efectividad drásticamente.

Además, los ciberdelincuentes están empezando a colaborar, y a trabajar juntos. Hay una cultura de compartición de información e incluso una serie de servicios contratables a un clic de distancia en la Dark Web, lo que ya se le denomina como Ciberdelincuencia as a Service.

Por tanto, es de capital importancia que los desarrollos de software, el mantenimiento de las infraestructuras y las herramientas de detección y gestión de incidentes de ciberseguridad evolucionen y se adapten a esta nueva realidad.

2. EVOLUCIÓN

El futuro de la ciberseguridad pasa, ineludiblemente, por adoptar nuevas tecnologías, y también, nuevos paradigmas. Tecnologías habilitadoras como Big Data, Machine Learning y Blockchain, serán de vital importancia en la construcción de los sistemas de seguridad del futuro. Por otra parte, los nuevos paradigmas de desarrollo de aplicaciones presentan nuevos retos, que los sistemas actuales de ciberseguridad no tienen en cuenta.

Los ciberdelincuentes, en ocasiones un paso por delante de los profesionales de la ciberseguridad, ya están empezando a introducir técnicas basadas en estas nuevas tecnologías que solo pueden ser detenidas con eficacia combatiendo el fuego con fuego.

3. CASOS DE USO Y APLICACIONES

3.1 CIBERSEGURIDAD CLÁSICA

 Sistemas

Se ocupa de asegurar la seguridad de los sistemas de información basándose en configuración y gestión de las actualizaciones. Algunas de las competencias que caen dentro de este epígrafe son:

• Inventario de software / hardware.
• Gestión de la configuración.
• Protección frente a malware / ransomware.
• Configuración de email para evitar spam, phishing, etc.
• Configuración de antivirus.
• Gestión de actualizaciones software. 

Redes

Su misión es configurar y monitorizar las redes de la organización para reducir riesgos, acotar daños y detección prematura de ataques. Algunas de las competencias son:

• Monitorización de red para detección de malware
• Web Application Firewalls (WAF).
• Intrusion Detection System (IDS) / Intrusion Detection System (IPS).
• Configuración de red.
• Segmentación de red.
• Anti DoS / DDoS.

 Servicios de seguridad gestionados

Estos sistemas se encargan de recoger información del resto de elementos del sistema, por ejemplo de routers, IDS/IPS o directamente rastreando tráfico de red. Esta información se almacena en repositorios de datos y se analiza en busca de firmas de malware o patrones que hagan suponer que se está recibiendo un ataque. Si se da el caso, salta una alerta a un operador de seguridad, que se hace cargo de su estudio y, si procede, intervención. Algunos de los elementos dentro de los servicios de seguridad gestionados son:

• Security Information and Event Management (SIEM).
• Software Vulnerability Management (SVM).
• Security Operations Center (SOC).

 Conformidad legal

A pesar de ir por detrás de la realidad, cada vez existen más regulaciones que obligan a las empresas a cumplir con un cierto mínimo de seguridad. Existen, además, certificaciones de procesos que garantizan que una empresa cumple con estos requisitos legales, como por ejemplo la ISO 27000, COBIT o CISSP.

 Mobile

Desde hace unos años se utilizan los teléfonos móviles para muchas cosas, entre ellas para recibir el correo profesional, enlazar un directorio de tu equipo corporativo a tu nube personal o incluso utilizar soluciones VPN para acceder a la red corporativa desde casa, o desde fuera de la oficina. Es por ello que los ciberdelincuentes han empezado a explotar las vulnerabilidades de los dispositivos móviles como puntos de entrada hacia datos o redes corporativas. Básicamente, se aplican los mismos riesgos de sistemas, pero específicos para móviles, siendo el malware (muchas veces distribuido a través de los stores oficiales) la principal amenaza.

 Encriptación

En la actualidad, los sistemas informáticos implican, cada vez más, el uso de importantes cantidades de datos que, a menudo, contienen información de carácter privado o sensible. En este tipo de escenarios es crucial manipular estos datos cuidadosamente para evitar consecuencias que podrían ser desastrosas. En el sector industrial, por ejemplo, la revelación de información secreta corporativa a competidores puede provocar grandes pérdidas económicas, así como afectar negativamente a las relaciones de la empresa con sus clientes.

 La criptografía aborda este problema proporcionando diversas técnicas para conseguir comunicaciones seguras, incluso ante la presencia de agentes con intenciones maliciosas. La aplicación de técnicas criptográficas durante la implementación de sistemas informáticos es esencial para garantizar la seguridad de los datos a lo largo de su ciclo de vida, es decir, desde el momento en el que se recogen y almacenan dichos datos, hasta el momento en el que se usan, incluyendo su procesamiento. Un ejemplo ilustrativo es el uso de Infraestructuras de Clave Pública – en inglés Public Key Infrastructures (PKI) – en la banca on-line o en plataformas de comercio electrónico para permitir la transferencia segura de información entre las distintas partes involucradas.

3.2 Tendencias en ciberseguridad

Cloud security

Las estrategias de defensa clásicas se construyen sobre la base de unos axiomas como, por ejemplo, que la dirección IP no cambia o que el número de instancias es constante. La mayoría de las herramientas que asisten en la detección de ataques asumen estos axiomas como ciertos, y es por ello que no son tan eficaces en entornos cloud, o basados en contenedores, en los cuales estas reglas ya sencillamente no aplican.

 Las estrategias de desarrollo basadas en microservicios plantean, además, otros retos. Cuando los desarrollos eran monolíticos, tenían sus desventajas en escalado, pero gozaban de otras ventajas, especialmente en seguridad. Por ejemplo, si había que actualizar un sistema operativo, o algún paquete de un servidor, solo teníamos que actualizarlo en un sitio; o si solo teníamos una instancia de la aplicación, solo teníamos un puerto que proteger, mientras que en un entorno elástico y basado en contenedores podemos tener múltiples instancias corriendo al mismo tiempo.

 Otra diferencia fundamental entre desarrollos monolíticos y microservicios radica en que los primeros usaban poco el tráfico de red, ya que la comunicación se realizaba dentro del programa. Los microservicios, en cambio, se comunican constantemente a través de la red, introduciendo un vector de ataque nuevo a explotar por los ciberdelincuentes.

 Por tanto, tenemos un reto por delante si queremos consolidar el desarrollo basado en contenedores. La industria debe proveer de nuevas herramientas de detección y gestión de amenazas específicas para arquitecturas basadas en contenedores o en cloud.

Inteligencia Artificial aplicada

Es evidente que estamos perdiendo la batalla contra el malware. Los mecanismos de detección de malware están basados en firmas. Básicamente, una vez se detecta un malware por primera vez se obtiene un hash de su ejecutable con MD5, que da como resultado un conjunto de números y letras que sirven como matrícula única de ese malware. Esa matrícula se almacena en una base de datos y, si se detecta otro fichero con la misma firma, se lanza una alerta de detección de malware.

 Este sistema, que parece razonable, no cuenta con una habilidad que tienen los malwares de nueva generación: son capaces de mutar por si mismos. Básicamente, cambian muy frecuentemente su código fuente, lo que modifica su ‘matrícula’ y complica sobremanera su detección.

 Los sistemas clásicos de detección de malware se basan en lo que son y no en lo que hacen. Y es aquí donde entra el Machine Learning. Se plantea el uso de la inteligencia artificial para reconocer el comportamiento del malware en vez de su estructura, entre otros usos como predicción de parámetros de paquetes de red, clasificación de ataques de red (scanning, spoofing, etc.) o algoritmos de clústering para análisis forense.

Blockchain

La tecnología de blockchain se enfoca en dar confianza sobre un medio no confiable. Este fin en sí mismo de la tecnología es prácticamente la definición de ciberseguridad.

Blockchain es un sistema descentralizado, pero la información de las operaciones que se realizan sobre ella está transparente, e indeleblemente, disponible para todos los miembros de esa red.

De ese modo, todos los miembros, o nodos, pueden registrar, escribir y leer datos, y además, esas acciones no solo quedan registradas en el log de blockchain, si no que además no pueden ser repudiadas, de modo que nos aseguramos de que quien ha hecho algo, lo ha hecho verdaderamente, sin poder justificarlo como una suplantación de identidad.

 Además, los datos que circulan por esa blockchain están encriptados para los miembros de esa blockchain, por lo que, aunque sean interceptados por alguien externo a la red, esos datos serán ininteligibles.

 En esencia, la naturaleza distribuida de blockchain no provee de ninguna entrada hackeable, o de ningún punto único de fallo que exponga toda la información. Esto no significa que una blockchain no pueda ser comprometida, pero si significa que, en caso de serlo, solo se verá afectado el conjunto de datos del nodo comprometido, reduciendo mucho el impacto.

 Zero Trust Architecture

En la concepción clásica de los sistemas de información confiamos en que lo que se conecta desde dentro de la red es seguro, mientras que desconfiamos de lo que viene de fuera de red. A este esquema se le denomina castle-and-moat-security, que en castellano sería algo así como seguridad basada en castillo y foso.

 Durante las últimas décadas nos hemos centrado en hacer castillos más altos y fosos más profundos, pero los ciberdelincuentes han demostrado repetidas veces su habilidad para encontrar maneras de saltar el foso y entrar en el castillo.

 Zero Trust Architecture es un modelo de seguridad que requiere de una verificación estricta para cada persona y dispositivo que acceda a los recursos, o a una red privada, independientemente de si estos están ubicados dentro o fuera del perímetro de la red. Los principios en los que se basa esta arquitectura son los siguientes:

 Los atacantes están dentro y fuera de la red.

• Regla de least-privilege-access. Los usuarios solo tienen los permisos que necesitan, ni uno más.
• Microsegmentación de la red.
• Autenticación multifactor (2FA, 3FA, etc…).
• Control estricto de acceso de usuarios. Todo requiere autenticación.
• Control estricto de acceso de dispositivos. Ellos también requieren ser autenticados.
• Monitorización constante del sistema.

Ciberseguridad industrial

Es innegable, Internet también ha llegado a la industria y los cambios que ha provocado en la misma pueden describirse como una revolución, la cuarta revolución industrial. La Industria 4.0 afecta a todos los aspectos de la cadena de valor industrial, incluyendo las comunicaciones industriales y su seguridad.

 La Industria 4.0 no puede entenderse sin la convergencia IT/OT, esto es la integración de los sistemas de tecnología de la información (IT), utilizados para computación centrada en datos, con sistemas de tecnología operacional (OT), utilizados para supervisar eventos, procesos, dispositivos y realizar ajustes en las operaciones empresariales e industriales.

Gracias a esta convergencia, las fábricas tradicionales están evolucionando hacia el concepto de fábrica inteligente o “Smart Factory”, instalación de producción que se encuentra altamente digitalizada y conectada.

 La fábrica inteligente se extiende fuera de sus muros a través de herramientas como el Cloud Computing (ofertas de nube en ancho de banda para almacenamiento, aplicaciones y servicios, donde el valor de confidencialidad y la propiedad de los datos es destacada), el Big Data (tratamiento de información de grandes volúmenes de datos a alta velocidad, ayudando a tomar decisiones) y las redes sociales (twitter, facebook, lindekin, youtube…, permite el diálogo, la comunicación y el intercambio de información con clientes y proveedores).

 Hay que añadir además, la llegada del IoT (Internet of Things), que ha supuesto un nuevo paradigma de gran conectividad con mínimas barreras, donde el bajo coste es una de las características más relevantes. Sin embargo, la industria presenta una situación completamente distinta donde la seguridad, la fiabilidad y la latencia siguen siendo primordiales, y donde detener los sistemas por fallos o tareas de mantenimiento no es una opción. Esto no es de extrañar puesto que estas características afectan directamente a la calidad y eficiencia de los procesos y productos, lo que repercute directamente en el beneficio final de la empresa. Además, un fallo puede desencadenar consecuencias severas que afecten a la seguridad de los operarios o los bienes de la empresa. Este alto nivel de requisitos técnicos y de negocio actúa como filtro de entrada para estas nuevas tecnologías: aquellas tecnologías IoT capaces de superar este filtro y ofrecer garantías de funcionamiento para entornos críticos de negocio pasan a denominarse Industrial-IoT (IIoT).

 Es evidente que la adopción de todas estas tecnologías por el mundo industrial, ha supuesto que un gran flujo de información fluya desde las factorías hacia el exterior y viceversa, en un entorno tradicionalmente con muchas carencias en materia de ciberseguridad, por lo que se han convertido en un claro objetivo para los cibercriminales que quieren llevar a cabo ataques, como por ejemplo, el robo masivo de datos sensibles, tanto personales como corporativos; ataques de denegación de servicio distribuidos (DDoS, de sus siglas en inglés) contra servicios de terceros en Internet; ataques de bloqueo/secuestro de dispositivos, que pueden llegar a bloquear infraestructuras críticas o de seguridad nacional/internacional, y ataques de manipulación de dispositivos que pueden tener un impacto ciberfísico y causar daños materiales a la infraestructura y a los usuarios o a la población en general.

 Por todos estos motivos, la industria se ha visto obligada a evolucionar en materia de ciberseguridad, pasando del habitual “air gap”, aislamiento de las redes OT de las IT a adoptar estrategias de defensa en profundidad, tan habituales en redes corporativas IT, en las que se protege a los activos de la organización con más de una medida de seguridad, por lo que para que un atacante llegue a un dato o información, deberá vulnerar más de una medida de seguridad. Usualmente estas barreras son:

• Acceso físico. Controles de acceso al personal, inhabilitación física de puertos de dispositivos no utilizados, …
• Sistemas actualizados. Los sistemas deben estar actualizados para evitar vulnerabilidades conocidas.
• Seguridad de red. Los dispositivos de seguridad cada vez están más avanzados y tienen mayor funcionalidad., por lo que requieren de las mismas atenciones que los sistemas IT no industriales.
• Análisis de vulnerabilidades (hacking ético). Periódicamente se deben llevar a cabo análisis de vulnerabilidades para revisar el estado de los servicios tanto internos como externos. En ámbitos como el de la banca esto es un requisito normativo. Para mantener los servicios lo más seguros posible es fundamental conocer cuáles pueden ser las debilidades actuales
• Concienciación. Es necesario informar a los usuarios de cómo deben de aplicar correctamente las políticas de seguridad de la organización, de nada sirve invertir miles de euros en sistemas de defensa perimetral, si estos son víctimas de un phishing o exponen sus contraseñas a la vista de todos en un post-it en su pantalla.