En la actualidad, aproximadamente la mitad de la población mundial accede de algún modo a Internet. Con tantos accesos concurrentes a la red de redes, la posible amenaza de seguridad a los sistemas informáticos crece y se complejiza, a pesar de las diversas y especializadas maneras de contrarrestarlas.
La seguridad de la información en la red es más que un problema de protección de datos, y debe estar básicamente orientada a asegurar la propiedad intelectual y la información importante de las organizaciones y de las personas.
Los riesgos de la información están presentes cuando confluyen fundamentalmente dos elementos: las amenazas de ataques, y las vulnerabilidades de la tecnología; conceptos íntimamente relacionados donde no es posible ninguna consecuencia sin la presencia conjunta de estos.
Las amenazas, en un entorno dinámico de interconectividad, pueden venir de cualquier parte, sea interna o externa, e íntimamente relacionada con el entorno de las organizaciones. Las vulnerabilidades son una debilidad en la tecnología o en los procesos asociados con la información, y como tal, se consideran características propias de los sistemas o de la infraestructura que lo soporta.
Las personas o usuarios de Internet que emplean las tecnologías para vulnerar los sistemas en la red, robar información y/o infectarlos con comportamientos dudosos, son comúnmente conocidos como hackers. Su forma de actuar, por lo general, determina su clasificación en:
- Hacker de Sombrero Blanco (White Hat): éticos, expertos en seguridad informática, especializado en realizar test de intrusión y evaluaciones de seguridad.
- Hacker de Sombrero Negro (Black Hat): también conocidos como crackers, vulneran los sistemas de información con fines maliciosos.
- Hacker de Sombrero Gris (Grey Hat): en ocasiones vulneran la ley, y de forma general no atacan malintencionadamente o con intereses personales, sino que sus motivaciones se relacionan a protestas o desafíos personales.
Para una entidad, la fuga de información provocada por el actuar de algunos de estos usuarios de la red, puede ocurrir deliberadamente como resultado de una acción intencional de algún empleado descontento, como consecuencia de un ciberataque, o inadvertidamente, por un colaborador desprevenido víctima de un software malicioso.
ATAQUES EN UNA RED
La aparición de vulnerabilidades en los sistemas y los métodos de encubrimiento de los atacantes, lo convierten en una práctica en aumento. Algunos de los principales ataques en la red, hacia donde dirigen su mirada los hackers para vulnerar la seguridad, pueden definirse como:
- Malware: El término se refiere de forma genérica a cualquier software malicioso que tiene por objetivo infiltrarse en un sistema para dañarlo. Comúnmente se asocian como tipos de malware a los virus, gusanos y troyanos.
- Virus: Es un código que infecta los archivos del sistema mediante un programa maligno, pero para ello necesita que el usuario lo ejecute directamente. Una vez activo, se disemina por todo el sistema a donde el equipo o cuenta de usuario tenga acceso, desde dispositivos de hardware hasta unidades virtuales o ubicaciones remotas en una red.
- Gusanos: Es un programa que, una vez infectado el equipo, realiza copias de sí mismo y las difunde por la red. A diferencia del virus, no necesita la intervención del usuario, ya que pueden transmitirse utilizando las redes o el correo electrónico. Son difíciles de detectar, pues su objetivo es difundirse e infectar a otros equipos, y no afectan inicialmente el funcionamiento normal del sistema. Su uso principal es el de la creación de redes zombis (botnets), utilizadas para ejecutar acciones de forma remota como ataque de denegación de servicio (DoS) a otro sistema.
- Troyanos: Similares a los virus, sin embargo, mientras que este último es destructivo por sí mismo, el troyano lo que busca es abrir una puerta trasera (backdoor) para favorecer la entrada de otros programas maliciosos. Su misión es precisamente pasar desapercibido e ingresar a los sistemas sin que sea detectado como una amenaza potencial. No se propagan a sí mismos y suelen estar integrados en archivos ejecutables aparentemente inofensivos.
- Spyware: Es un programa espía, cuyo objetivo es recopilar información de un equipo y transmitirlo a una entidad externa sin el consentimiento del propietario. Su trabajo suele ser silencioso, sin dar muestras de su funcionamiento, llegando incluso a instalar otros programas sin que se perciban. Las consecuencias de su infección incluyen, además, pérdida considerable del rendimiento del sistema y dificultad para conectarse a Internet.
- AdWare: Su función principal es la de mostrar publicidad. Aunque su intención no es la de dañar equipos, es considerado por algunos una clase de spyware, ya que puede llegar a recopilar y transmitir datos para estudiar el comportamiento de los usuarios y orientar mejor el tipo de publicidad.
- Ransomware: Este es uno de los más sofisticados y modernos ataques, ya que lo que hace es secuestrar datos (encriptándolos) y pedir un rescate por ellos. Normalmente, se solicita una transferencia en dinero electrónico (bitcoins), para evitar el rastreo y localización. Este tipo de ciberataque va en aumento y es uno de los más temidos en la actualidad.
- Escaneo de Puertos: Técnica empleada para auditar dispositivos y redes con el fin de conocer que puertos están abiertos o cerrados, los servicios que son ofrecidos, así como comprobar la existencia de algún corta fuegos (firewall), la arquitectura de la red, o el sistema operativo, entre otros aspectos. Su empleo permite al atacante realizar un análisis preliminar del sistema y sus vulnerabilidades, con miras a algún otro tipo de ataque, pues cada puerto abierto en un dispositivo, es una potencial puerta de entrada al mismo.
- Phishing: No es un software, se trata más bien de diversas técnicas de suplantación de identidad para obtener datos privados de las víctimas, como contraseñas o datos bancarios. Los medios más utilizados son el correo electrónico, mensajería o llamadas telefónicas, y se hacen pasar por alguna entidad u organización conocida, solicitando datos confidenciales, para posteriormente utilizarse por terceros en beneneficio propio.
- Botnets (Redes de robots): Son computadoras o dispositivos conectados a la red (teléfonos inteligentes, tabletas, etc.) infectados y controlados remotamente, que se comportan como robots (bots) o “zombis”, quedando incorporados a redes distribuidas, las cuales envían de forma masiva mensajes de correo “spam” o código malicioso, con el objetivo de atacar otros sistemas o dejarlos fuera de servicio.
- Denegación de Servicios: Tiene como objetivo inhabilitar el uso de un sistema o computadora, con el fin de bloquear el servicio para el que está destinado. Los servidores web poseen la capacidad de resolver un número determinado de peticiones o conexiones de usuarios de forma simultánea, en caso de superar ese número, comienzan a ralentizarse o incluso bloquearse y desconectarse de la red. Existen dos técnicas para este ataque: la denegación de servicio o DoS (Denial of Service) y la denegación de servicio distribuido o DDoS (Distributed Denial of Service); la diferencia entre ambos es el número de ordenadores que realizan el ataque. En el primero, las peticiones masivas al servicio se realizan desde una misma máquina o dirección IP, consumiendo así los recursos que ofrece el servicio hasta que no tiene capacidad de respuesta y comienza a rechazar peticiones (denegar el servicio); en el segundo, las peticiones o conexiones se realizan empleando un gran número de computadoras o direcciones IP, todas al mismo tiempo y hacia el mismo servicio objeto del ataque, de forma general, las computadoras que lo realizan se encuentran infestadas, formando parte de una botnet, y comportándose como zombis.
- Ataque MITM (Man In The Middle): Conocido como “Hombre en el Medio”, ocurre cuando una comunicación entre dos sistemas es interceptada por una entidad externa simulando una falsa identidad. En este sentido, el atacante tiene control total de la información que se intercambia, pudiendo manipularla a voluntad, sin que el emisor y el receptor lo perciban rápidamente. Es común que se realice empleando redes WIFI públicas y abiertas, y es muy peligroso ya que se puede obtener información sensible de las víctimas, y es difícil identificarlo si no se poseen unos mínimos conocimientos sobre el tema.
A modo general, para poder llevar a cabo alguno de estos ataques, los intrusos deben disponer de los medios técnicos, los conocimientos y las herramientas adecuadas, deben contar con una determinada motivación o finalidad, y se tiene que dar además una oportunidad que facilite el desarrollo del ataque, como podría ser un fallo en la seguridad del sistema informático elegido.
PREVENCIÓN DE ATAQUES A UNA RED
Para mantener un cierto grado de protección de la información conectada a la red, las organizaciones, entidades y personas en general, deben comprender que su seguridad, y las formas en que esta se trata de vulnerar, mejoran constantemente; por tanto, lo principal y primero es entender cómo pueden sucederse estos ataques y en qué consisten dichas amenazas, con el fin de poder remediarlas de la mejor forma posible.
Existen diferentes formas efectivas para lidiar y mitigar los ataques que pueden sucederse en una red. En función del tipo de ataque, algunas de ellas son:
- Malware, Adware y Spyware: Instalar en los dispositivos un software antivirus, como primera protección, mantenerlo actualizado, como segunda, y realizar escaneos periódicos como tercera. Ejecutar parches de seguridad en los sistemas operativos que se empleen, realizar copias se seguridad de los datos, emplear contraseñas diferentes y bien formadas para cada servicio al que se accede, configurar adecuadamente la seguridad de los navegadores, y no descargar de la red aplicaciones o archivos de procedencia desconocida.
- Ramsonware: La primera recomendación es tener actualizado el sistema operativo y todas las soluciones de seguridad, así como el antivirus y el cortafuego personal habilitado (firewall); evitar los accesos administrativos desde fuera de la entidad, y en caso necesario, permitirlos sólo mediante protocolos seguros. Activar la visualización de las extensiones de los ficheros para evitar ejecución de código dañino camuflado como ficheros legítimos no ejecutables, deshabilitar las macros en los documentos, educar a los usuarios de la red para reconocer amenazas antes de abrir archivos adjuntos enviados por correo electrónico, y realizar copias periódicas de respaldo de información para sistemas críticos.
- Escaneo de Puertos: Una forma efectiva es cerrar los puertos o servicios que no se utilizan en los sistemas, siempre que sea posible, emplear puertos no conocidos para determinadas aplicaciones (y no los configurados por defecto), tener configurado un corta fuegos (firewall), y silenciar o desinformar las respuestas a encuestas de puertos.
- Phishing: Se recomienda a los usuarios de la red ir despacio ante cada acción, sin importar la urgencia que se emplee en los mensajes que se reciben; investigar los hechos y sospechar de cualquier comunicación no solicitada o desconocida. Rechazar y no responder ninguna solicitud de información confidencial como contraseñas o tarjetas de crédito, así como nunca descargar ni ejecutar archivos adjuntos de personas desconocidas.
- Botnets: Es necesario cambiar regularmente las contraseñas de acceso, incluido el routerde conexión; mantener actualizado el sistema operativo y el antivirus instalado, evitar realizar descargas P2P o vía Torrent porque, en muchas ocasiones, es la principal vía de entrada para estas infecciones, así como limitar el acceso a sitios cuya seguridad resulte sospechosa.
- Denegación de Servicios (DoS): Se deben bloquear direcciones IP que no se empleen, así como deshabilitar puertos y servicios de red innecesarios, aplicar filtros de enrutamiento, permitiendo solo el acceso al tráfico deseado, realizar una efectiva política de contraseñas, así como establecer la cantidad de ancho de banda a emplear por los usuarios.
- Man In The Middle (MITM): La variante más adecuada es encriptar el tráfico que se envía por redes abiertas. Para ello se utilizan las redes virtuales privadas (VPN) y se emplea para los documentos la Infraestructura de las Llaves Públicas (PKI), Certificados Digitales, y una Entidad Certificadora, lo que contribuye a proteger los documentos enviados y confirmar la identidad de los usuarios mediante el cifrado de los mensajes. Una PKI establece un esquema de confianza en el cual ambas partes de una comunicación electrónica confían en un ente emisor para que verifique y confirme la identidad de ambas.
De manera global, la última década ha sido testigo del cambio de paradigma en que los atacantes buscan explotar vulnerabilidades dentro de las organizaciones y las infraestructuras de redes.
Con el fin de contrarrestar estos ataques, las políticas de seguridad persiguen constantemente aprender de ellos para estar lo mejor preparados posibles, y en este sentido, intentar garantizar confianza y tranquilidad a los usuarios de la red, sobre el empleo de sus datos, finanzas y propiedades intelectuales.