jueves, 16 de octubre de 2014

Los descuidos se pagan caros

”Los descuidos se pagan caros”. Desde ese hombre que deja a su perro dentro del coche en pleno verano para ir a hacer la compra, pasando por aquellos transeúntes que deciden cruzar por el paso de cebra sin mirar a ambos lados. Los descuidos están a la orden del día, y lamentablemente, algunos de ellos se pagan con creces.


Es lo que ha pasado recientemente con POODLE, el nombre que recibe la vulnerabilidad de un protocolo de comunicación segura de hace 15 años ¿Seguimos usándolo porque no hay alternativa? Nada más lejos de la realidad. El descuido de seguir permitiendo la retrocompatibilidad de versiones antiguas en versiones del protocolo actuales permite que toda comunicación segura pueda ser interferida y escuchada.

¿Qué pasa cuando metemos en la ecuación una eclosión de nuevos dispositivos diseñados cada uno por su madre y por su padre? Que acaban por aparecer informes como el de Akamai, enfocado en la evolución de ataques DDoS, y que ha encontrado vulnerabilidades críticas en buena parte de los dispositivos conectados basados en Plug and Play (los conectas y “mágicamente” ya funcionan). Dispositivos que pueden servir como terminales zombies tan útiles como cualquier otro para cualquier maldad que se te ocurra.

¿Y si incluimos además riesgo bancario? El descuido puede salir caro, como le ocurría en estos días a MBIA Inc, una proveedora de seguros de bonos, cuya subsidiaria Cutwater Asset Management tuvo un descuido que permitió que los buscadores indexaran cientos de documentos  con instrucciones sobre cómo autorizar nuevas cuentas, formularios y números de fax internos.

Para todos esos descuidos, nunca está demás recordar algunos puntos a considerar para mitigar el impacto financiero de un robo de datos. Guardar la información en lugares seguros, utilizar tarjetas de débito para compras, securizar las cuentas y conexiones a servicios (en especial los bancarios), tener cuidado con las WIFIs públicas y los dispositivos que no son nuestros y acordarse que todo lo que pasa por internet no es privado (incluso el email), son algunos de ellos.

Curiosa es la evolución del malware en los últimos años, que ha pasado de herramientas con fines reputacionales o activistas hacia una industria del cibercrimen y la ciberguerra. Entre esta última, por el blog de Kaspersky debaten sobre los peligros de esa nueva oleada de malware diseñado por agencias de inteligencia y bandas de cibercriminales con muchísimos recursos, y que cuentan con un nivel de sofisticación alarmante. Malware como arma militar, que se salta fácilmente todas las protecciones pasivas de nuestros sistemas, y que se aprovechan de descuidos humanos para tejer una red de control y espionaje que parece sacada de una película de ciencia ficción.

Y terminamos con un llamamiento. Esta vez a todos aquellos hackers que nos leéis, para informaros que la RootedCon, uno de los eventos de seguridad informática más conocido de España, celebrado en Madrid a principios de Marzo, abre su fase de Call for Papers. Si estás enfrascado en una investigación revolucionaria, si quieres contar las anécdotas que has vivido en tu empresa, este es el mejor momento para hacerlo.

Los descuidos salen caros. Ten en mente esta frase, y que te acompañe en todo proyecto al que te enfrentes. Mantente alerta, sé curioso sin pecar de confianza y que ello no te cause más preocupación que la necesaria. Que la vida solo dura unos años.

¡Feliz jueves!

0 comentarios:

Publicar un comentario