INTRODUCCIÓN 2

ANTECEDENTES 4 1995-2000 – ATACANDO AL CLIENTE: ............................................................................................ 4 2001-2004 – ATACANDO AL SERVIDOR: ......................................................................................... 5 AÑO 2004 Y SIGUIENTES – ATACANDO DESDE DENTRO: .................................................................5

LOS PROTAGONISTAS 7 FABRICANTES DE SOFTWARE .......................................................................................................... 7 EMPRESAS ...................................................................................................................................... 9 ATACANTES ...................................................................................................................................10

VECTORES DE ATAQUE 11 INGENIERÍA SOCIAL .......................................................................................................................11 VULNERABILIDADES DEL NAVEGADOR WEB .................................................................................. 12 VULNERABILIDADES DE ACTIVEX ................................................................................................... 12 VULNERABILIDADES DE FORMATO DE ARCHIVO ............................................................................ 13 ATAQUES WEB 2.0 ........................................................................................................................ 14

TENDENCIAS 15 SOFISTICACIÓN DE LOS ATAQUES ................................................................................................. 15 ASPECTO ECONÓMICO ................................................................................................................. 16 WEB 2.0 .........................................................................................................................................16 MOVILIDAD ...................................................................................................................................17

DESAFÍOS 18 PROTECCIÓN UNIFORME ...............................................................................................................18 INFORMES UNIFICADOS .................................................................................................................19 APLICACIÓN CONSISTENTE DE LAS POLÍTICAS ............................................................................... 19 FUGA DE DATOS ............................................................................................................................ 20 AMENAZAS DESCONOCIDAS .........................................................................................................20 COSTE ........................................................................................................................................... 21

SOLUCIONES 21 DEFENSAS BASADAS EN EL CLIENTE .............................................................................................. 21 PASARELAS DE SEGURIDAD WEB ................................................................................................... 22 SEGURIDAD EN LA NUBE ............................................................................................................... 22 Protección uniforme .............................................................................................................. 22 Informesunificados ............................................................................................................... 23 Aplicaciónconsistentedelaspolíticas .................................................................................... 23 Fugadedatos........................................................................................................................ 23 Coste .................................................................................................................................... 23

CONCLUSIÓN 24SUITE PANDA CLOUD PROTECTION 25

1

2

INTRODUCCIÓN

Amedida que las defensas de las empresasevolucionan,tambiénlohacenlosmétodosdeataqueempleadosporaquellosque intentansuperarlas.Estamosentrandoenunaépocaenlaquelosatacanteshandejadodeasaltarlasfortalezasempresarialesdesdefuera.Noleshacefalta, ya estándentro.Gracias al incrementometeóricodelflujodetráficoWebyalalistaimpresionante de vulnerabilidades presentesen las aplicaciones Web que residen en lasmáquinas de los usuarios, éstos se hanconvertido en agentes que facilitan losataquesa lasempresas.Bastaconconvencera un empleado confiado de que visite unapágina Web, para que un hacker puedaconseguir acceso a datos valiosos en elcorazóndeunaredsupuestamentesegura.

Durantedemasiadotiempo,lasempresashanenfocadolamayoríadesusrecursosdeseguridadenlaproteccióndelosservidorescorporativos,ignorandolosriesgosinherentesalosPCsdelosempleados.Enlamedidaenqueloscontrolesdeseguridadpara losservidoresconconexiónanternethanmejorado–graciasalosesfuerzosdelas empresasde software y a los equiposdeseguridaddelascompañías–losatacanteshanempezadoabuscarblancosmásfáciles:PCsconpoca seguridad y usuarios con pocosconocimientos.

Protegercientosdeservidoresconunequipodeadministradores expertos resulta sencillocomparadoconlatareadeofrecerseguridadamilesdePCsyformaralosempleadosquelosutilizan. Y este reto va a ser cada vez máscomplicado dado que los usuarios tienencadavezmásmovilidad,situándosefueradelalcance de la protección de la red local. Loshackers, además, de ser conscientes deesto, disponen de recursos, la motivacióneconómica necesaria y un verdadero ejército

de atacantes. A medida que los ataquesevolucionan, también debe hacerlo laseguridad de las empresas, adoptandosoluciones que proporcionen una protecciónuniforme a todos los usuarios, ya sean PCsdentro de la sede central de la compañía oelportátildeunempleadonavegandopor laWebdesdesucafépreferido.

Lasredescorporativassedescribenamenudocomo si fuesen un caramelo – duro ycrujiente por fuera, blando y masticablepor dentro. Construimos fosos y murosimpenetrables alrededor de la red de laempresa, la fortaleza que guarda nuestrospreciados tesoros digitales. Los atacantes losaben,yaligualqueconelCaballodeTroyade lamitología griega, saben que esmuchomás fácil atacar dicha estructura desdedentro que atravesar múltiples capas deseguridadhastallegaraloro.Adiferencia,sinembargo,delosastutosgriegosqueentraronenTroyaescondidosenelgigantescocaballode madera, los hackers de nuestra épocatienen ya su ejército dentro de nuestrasfortificaciones,esperandolaordendeatacar.Yseguramente,ustedconoceyaestabrigadavirtual por su nombre más común:losempleados.

Es difícil encontrar hoy en día una oficinadonde Internet no sea el recurso másapreciado por los empleados. Internet es unbienimprescindible,yaseaparaenviarcorreoonavegarpor laWeb.Sinembargo, tambiénresultauncampodeminasllenoderiesgosdeseguridad.Haysitiosdephishingqueparecende la nada y se esfuman con la mismavelocidad.Lasredessocialessehanconvertidoenun caldode cultivopara loshackers, conataquesllegandocadadíaenformadespama los buzones de los usuarios o en los

3

comentarios de sus blogs. Y en la era de laWeb 2.0, dónde prima el contenidogeneradoporlosusuarios,lossitioslegítimosse han convertido en tablones de anunciosvirtuales para ataques de contenido activo ybinariosmaliciosos.

Lejosquedanlosdíasenlosquelosatacantesgolpeaban tenazmente contra los recursosperimetrales –servidores Web y de correo-,con la esperanza de encontrar un servidordesactualizado, sin los últimos parches yactualizaciones. Cada vez es más difícilencontrar un servidor con agujeros deseguridad, gracias a que los administradoresderedesyproveedoresdesoftwaresoncadavezmásconscientesdelospeligrosexistentes,ysonmásdiligentesalahoradeimplementarbuenasprácticasdecodificación.Estosedebeengranpartealasdurasleccionesaprendidasen el pasado. Pero, ¿por qué perder tiempobuscando servidores vulnerables en unaempresa, cuando en la misma compañíaexisten miles de usuarios vulnerables?

Duranteaños,lasempresashaninvertidogranparte de su presupuesto de seguridad enproteger sus joyasde lacorona,esdecir, losservidorescorporativos.Despuésdetodo,allíesdonde residen losdatosmás importantes.Han comprado firewalls y sistemas dedetecciónde intrusos (IDS).Hanblindado losservidores yoptimizado los ciclosdeparchespara asegurarse de que los recursos conconexiónalexterioresténapruebade todo.Mientrastanto, laseguridaddelusuariofinalhaquedadoengranparteolvidada.

EsciertoquecadaPCtienesuantivirusyquelos usuarios tienen que leer y firmar unapolíticadeseguridad,peroenelmundoWeb2.0 en el que se puede infectar un PCsimplementeconabrirunapáginaWeb,estasmedidas son de poca utilidad. Proteger unared ya no sólo implica proteger un puñadode servidores en la zona desmilitarizada.Eso es fácil. Lo difícil es proteger amiles deusuarios itinerantes contra ataques cada vezmás dinámicos, y para los cuales quizás noexistanparches.

Figura1–Evolucióndelosvectoresdeataque

4

1 http://www.pandasecurity.com/homeusers/security-info/about-malware/encyclopedia/overview.aspx?idvirus=284922 http://news.zdnet.com/2100-9595_22-517177.html

ANTECEDENTES

Tanto las técnicas empleadas por loshackers, como las medidas protectorasdiseñadaspor losexpertosdeseguridadhanevolucionado a lo largo de los años.Podemos hablar de distintas épocas en lahistoriadelaseguridadinformática,cadaunadeellasmarcadapordiferentesformasdeataque.Sehadicho,yescierto,quelabatallaentrelosatacantes de redes y sus defensores escomo un interminable juego del gato yratón;perolasreglasnodejandecambiar.Esimportante, sin embargo, mirar hacía atrásparaaprenderdelpasadoyalavezmiraralaboladecristalparaanticiparsealoquesenosvieneencima.

El gusano “I Love You”, identificado por

primera vez el 4 de mayo de 2000, erasimplemente un archivo deVBScript adjuntoaunmensaje conelasunto“I LoveYou”.1Los receptores de este correo estaban tanansiososporaveriguarquienerasuadmiradorsecreto que cientos de miles de máquinasse infectaron en unas pocas horas,mientrasquelosadministradorestuvieronquededicarlargas jornadas a reparar el daño.

La motivación principal de los atacantes enestaépocaeraconseguir famaynotoriedad.Enelcasodelgusano“ILoveYou”,salvo la

1995-2000 – Atacando al cliente:

La era de los gusanos de correo electrónico

Haciafinalesdelmileniopasado,losatacantesaprovecharon la explosión de la popularidaddel correo electrónico combinándola con laingenieríasocialparaempezarunanuevaera:laeradelosgusanosdecorreoelectrónico.Elcorreo electrónico resultaba el medio idealpara los ataques. Mediante el email, unhacker podía enviar archivos adjuntos amilesdeusuarios–específicosoescogidosalazar– con un mínimo esfuerzo y coste.El único desafío consistía en convencer alusuario final de que abriese el adjunto, yen este sentido fuimos testigos de un grandesplieguedecreatividadporpartedelos‘malos’.

sobreescritura de ciertos archivos parapropagarse, el daño en sí mismo erarelativamente pequeño, y quedaba claroque el gusano no había sido diseñado confineseconómicos.DavidL.Smith,elautordelgusano ‘Melissa’ admitió durante su juicioque bautizó el malware con el nombre deuna stripper que había conocido en Florida.Smithtuvoeldudosohonordeserlaprimerapersona en los Estados Unidos en sercondenadaporcrearunprogramamalicioso.2 Loscreadoresdeestosgusanos,asícomolosautoresdelamayoríadelasamenazasdeestaépoca,estabanmotivadosporlacuriosidadoinclusoporsupropioego,peronoporeldinero.

1995-2000 – Atacando al cliente:

Laeradelosgusanosdecorreoelectrónico

Haciafinalesdelmileniopasado,losatacantesaprovecharon la explosión de la popularidaddel correo electrónico combinándola con laingenieríasocialparaempezarunanuevaera:laeradelosgusanosdecorreoelectrónico.Elcorreo electrónico resultaba el medio idealpara los ataques. Mediante el email, unhacker podía enviar archivos adjuntos amilesdeusuarios–específicosoescogidosalazar– con un mínimo esfuerzo y coste. Elúnico desafío consistía en convencer alusuario final de que abriese el adjunto, yen este sentido fuimos testigos de un grandespliegue de creatividad por parte de los‘malos’.Elgusano“ILoveYou”,identificadopor primera vez el 4 demayo de 2000, erasimplementeunarchivodeVBScriptadjuntoaunmensajeconelasunto“ILoveYou”.1Los receptores de este correo estaban tanansiososporaveriguarquienerasuadmiradorsecreto que cientos de miles de máquinasse infectaron en unas pocas horas,mientrasquelosadministradorestuvieronquededicarlargas jornadas a reparar el daño.La motivación principal de los atacantes enestaépocaeraconseguir famaynotoriedad.Enelcasodelgusano“ILoveYou”,salvo lasobreescritura de ciertos archivos parapropagarse, el daño en sí mismo erarelativamente pequeño, y quedaba claroque el gusano no había sido diseñado confineseconómicos.DavidL.Smith,elautordelgusano ‘Melissa’ admitió durante su juicioquebautizóelmalwareconelnombredeunastripper que había conocido en Florida.Smithtuvoeldudosohonordeserlaprimerapersona en los Estados Unidos en sercondenada por crear un programamalicioso. 2 Los creadores de estosgusanos, así como los autores de lamayoríadelasamenazasdeestaépoca,estabanmotivadospor la curiosidado inclusopor supropioego,peronoporeldinero.

2001-2004 – Atacando al servidor:

El‘BigBang’delosgusanos

Lacreacióndeungusanoqueseaprovechasedelaingenuidadhumanaparapropagarsenosuponía un gran reto. Los atacantes selimitabanacrearaplicaciones,yafuesencódigocompilado o scripts interpretados, y lasenviaban por correo a las víctimas con laesperanza de que -con la ayuda de algúntruco de ingeniería social- se ejecutasen.Durantelasiguienteépoca(el‘BigBang’delosgusanos), los atacantes semostraronmuchomás hábiles, aprovechando vulnerabilidadesexistentes en las aplicaciones máspopularesdelosservidores.Afortunadamenteparalosatacantes,nuncafaltabanagujerosdeseguridadenlainfraestructuradeInternetqueexplotar,ylasempresasfacilitabanelprocesocon ciclos de parches muy lentos.

El gusano SQL Slammer, que empezó apropagarse el 25 de enero de 2003, es unejemplo perfecto de cómo se aprovechabanlas vulnerabilidades durante esta época. Elgusano se difundió con tanta rapidez queparalizó zonas enteras de la Web.GraciasenpartealacapacidaddeSlammerdepropagarsea travésdepaquetes individualesUDP, en las fases iniciales de la infección elnúmero de sistemas infectados se duplicabacada 8,5 segundos. 3 Pese a que Microsoftpublicó el parchepara reparar el agujero deseguridad que explotaba SQL Slammer el24 de julio de 2002, 4 numerosos sistemasseguían siendo vulnerables unos seis mesesdespuésde la aparicióndelgusano.YesoapesardequeelinvestigadorDavidLitchfieldhabíapublicadounapruebadeconceptodelexploitdurante el congreso BlackHat Briefings de2002 (concretamente, el 1 de agosto de2002).5

5

3 http://www.wired.com/wired/archive/11.07/slammer.html4 http://www.microsoft.com/technet/security/bulletin/Ms02-039.mspx

Año 2004 y siguientes –Atacando desde dentro:

Laeradela‘motivacióneconómica’

A partir del año 2004, los gusanos depropagación rápida han dejado de sernoticiadeformagradual.¿Significaestoquelosbuenoshanganadolabatalla?¿EslaWeb,derepente,mássegura?No,todolocontrario,losatacantes no han abandonado la lucha;simplemente han adoptado tácticas masadecuadas en un escenario muydinámico. Aunque este escenario hacambiado en parte debido a una mejorprotección de los recursos que danaccesoaInternet,tambiénhacambiadoporlaentradaenescenadelcrimenorganizado.Losatacantes ya no lanzan ataques llamativos.

En su lugar, ya sea aprovechandovulnerabilidades o lanzando ataques deingeniería social, intentan pasardesapercibidos,multiplicandoasíelvalorqueobtienendesusataques.

En enero de 2008 fuimos testigos de unejemplo clarodeestenuevo tipodeataque.Mediante ataques SQL automatizados seinyectócodigomaliciosoenalmenos70.000sitios Web públicos. Los servidores no eranel objetivo final; simplemente ofrecían unaplataforma para el ataque. El códigoinyectadoenestossitiosexplotabanumerosasvulnerabilidades conocidas, instalandokeyloggers en los ordenadores de lasvíctimasquevisitabanlaspáginasWebusandonavegadores vulnerables. Con keyloggersinstalados en miles de PCs, los atacantestenían acceso a gran cantidad de datosconfidenciales: nombres de usuario,contraseñasdeaccesoynúmerosde tarjetasdecrédito.

Este ataque aprovechaba vulnerabilidadescomunes de los servidores Web parainfectar a aquellos que visitaban los sitioscomprometidos. Sin embargo, no siempreresultanecesarioidentificarsitiosvulnerables,comosedemostrócuandoMySpaceselasvioconelgusanoSamy.Samyeraunataquenomalicioso de cross site scripting (XSS) queautomatizaba el proceso de añadir amigosal perfil de Samy Kamkar. 6 El gusano fuelanzado comoun experimentopor parte delchicode19años,yacabóporafectaramasdeunmillóndeusuariosdeMySpace. SamyKamkar salió con libertad condicional y tuvoque realizar servicios a la comunidad porhaberllevadoacabosu‘ataque.’7 Este ataque fue posible gracias a queMySpace, como muchos otros sitios Web2.0, permite a los usuarios añadir su propiocontenidoHTML.Comomedidadeseguridad,yparaprevenirusosmaliciosos,seidentificaybloquea el contenido no deseado, comoJavaScript.

A este proceso se le llama ‘blacklisting’ olistado en lista negra. Sin embargo,resultamuydifícilbloqueartodoelcontenidomalicioso ya que existen numerosos trucosde codificación que pueden emplearse paraevitarlasrestriccionesdeseguridad;unalecciónqueMySpaceaprendiódelaformamásdura.Ambosataquesaprovechabandebilidadesenel servidor para llegar a su objetivo final: elnavegadorWebdeunavictimaconfiada.Estomuestraunatendenciacadavezmáspopularentre losatacantes,yquedebesuéxitoa lafaltadeénfasisenlaimportanciadeprotegerlos navegadores, así como a los beneficioseconómicos que ofrece a los hackers. Estatendenciarequiereademásdeuncambioenelenfoquetradicionaldeseguridadsisequierecombatirlaamenazadeformaefectiva.

5 http://www.blackhat.com/presentations/bh-asia-02/bh-asia-02-litchfield.pdf 6 http://blogoscoped.com/archive/2005-10-14-n81.html7 http://it.slashdot.org/article.pl?sid=07/02/04/1439222

6

LOS PROTAGONISTAS

Fabricantesdesoftware

Durante el ‘Big Bang’ de los gusanos,ninguna empresa, distribuidor de códigoabierto ni comercial se libró del mal tragode tener que explicar a sus clientes que laexistencia de un agujero de seguridaden sus soluciones para empresas habíacomprometido la seguridad de miles deservidores. La mayoría de las veces el dañoera importante y fulgurante, llegando enformadegusanoderápidapropagaciónqueatacaba de forma indiscriminada. Sinembargo, las empresas que sufrían losataques estaban lejos de ser víctimasinocentes. En cada uno de los ejemplostratados anteriormente existían parchesdisponibles para las vulnerabilidadesexplotadas. Se atacaban vulnerabilidadesconocidas, pero pese a ello, dichosataques eran extraordinariamente exitosos gracias a que los ciclos de parches de lasempresaserandemasiadolargos.

En algunos casos se argumentaba que erannecesarioslargosperiodosdetesteoantesdepoderimplementarlosparches,mientrasqueen otros casos, las empresas responsablessimplemente no entendían los riesgos quesuponíanoaplicar losparchesnecesarios.Enmuchos aspectos, estos fueron los buenostiempos–cuandoeldañoeravisible.Aunquecostoso, estaba claro cuando comenzaba yterminadaunataqueytambiénquedabaclaroqué era lo que había que limpiar. Según seavanzahacia laeraen laque losataques sedirigen a usuarios finales específicos y losatacantessonextremadamentecuidadososenmantenerse por debajo del radar, losgusanosquehacíanmucho‘ruido’parecenunauténticolujo.

LosgusanosdelaépocadelBigBangfuerondirectamenteresponsablesdeloscambiosenlas prácticas de desarrollo. Las empresas desoftware se dieron cuenta de que, amenosque se produjera un cambio radical en suforma de desarrollar software, producirsoftwarevulnerableerainevitable.Enningúnsitio tuvo más impacto esta nueva realidadqueenMicrosoft.Despuésdeldescubrimientode embarazosas vulnerabilidades enprácticamente todossusserviciosde Internetmás importantes - explotadas por gusanoscomo Code Red, SQL Slammer y Passer-,Bill Gates emitió un famoso comunicadoexplicando la necesidad de dar másimportancia a la seguridad, disponibilidad yprivacidad de todos los productos desoftware. 8 Este comunicado supuso elcomienzo de la iniciativa ‘TrustworthyComputing’.Microsoft sediocuentadequesiseguíaignorandolosaspectosdeseguridadtrasestoshechosiríadirectaalfracaso.

Laseguridaddebíasertenidaencuentadesdeel primer día. Eso significaba que todas laspersonasinvolucradasenelciclodedesarrollodel software debían ser responsables de laseguridaddeunproducto–nosóloelequipodeseguridad.Estafilosofíallevóalacreacióndel Security Development Lifecycle deMicrosoft, con la arquitectura de MichaelHoward y Steve Lipner. Este ciclo ha tenidocomo resultadounadisminución significativade las vulnerabilidades críticas en lasaplicacionesparaservidoresde lasempresas.Microsoft fue líder también de otro cambioimportanteenestaépoca.Desdeoctubrede2003, la compañía pasó de lanzar parchesde seguridad en intervalos impredecibles ahacerlodeformaregularcadames.9

7

En la actualidad, Microsoft publica susparcheselsegundomartesdecadamesa la1 PM EST. Aunque las empresas no sepanexactamentequées loque se va apublicar,almenospuedenestarsegurasdequeexistepersonaladecuado trabajandoenel testeoydesarrollodelosparchespublicados.

Otra iniciativa fundamental que ahora escomún entre las empresas de software esla creación de equipos de respuesta. Afinales de los años 90, si se descubría unavulnerabilidaddeseguridadenunaaplicacióncomercial, era realmente complicadonotificárseloa la empresaafectadaparaquepudiese publicar el parche correspondiente.

Como mucho, se podía llegar a rastrearel punto adecuado de contacto, pero enese caso no era nada raro encontrarse conprácticas intimidatorias o presiones legalespara que el asunto no saliese a la luz. Sinembargo y una vez más, las empresasaprendieron de sus errores. Se dieroncuentadequelosinvestigadoresindependientespodían ser una valiosa prolongaciónde sus equipos internos de seguridad eimplementaron los recursos necesarios parapromover y facilitar la comunicación entreellos. Hoy día, toda empresa importante deseguridaddisponedeunequiporesponsablede responder a los informes sobrevulnerabilidades y de asegurarse de que sonatendidos.

8 http://news.cnet.com/2009-1001-817210.html9 http://news.cnet.com/Microsoft-releases-monthly-security-fixes/2100-7355_3-5091835.html

8

Empresas

Las empresas han aprendido las leccionesde la época del ‘Big Bang’ de los gusanos.Mientras que, anteriormente, los ciclos deparches de las empresas duraban semanas,e incluso meses, la mayoría de compañíassedancuentaahoradequenoproteger lasvulnerabilidades conocidas mientras loshackers se afanan en crear código paraexplotarlas es peor que la posibilidad deque surjan problemas de incompatibilidad.Además, los equipos de seguridad de lasempresassoncadavezmásdiligentesalahoradereforzarlosservidoresantesdeldesplieguey de realizar exámenes de seguridad tantointernos como por parte de terceros aintervalosregulares.

En loquerespectaa losgastosdeseguridadinformática, históricamente la mayoría defondos se dedicaban a los servidores deseguridad. En los primeros años 90, lasempresas invertían mucho en firewalls paramantener a los ‘malos’ fuera. Sin embargo,en el momento en que fue necesaria unaseguridad más granular, el gasto pasó asistemas de prevención y detección deintrusionesbasadosenred.Segúnavanzamospor la pila de protocolos, las empresas hanoptado por firewalls para las aplicacionesWebypasarelasdeseguridadparaelcorreoelectrónico. Mientras que, en la últimadécada, las empresas han blindado losservidores conaccesoa Internet, el accesoalosequiposdesobremesasehamovidoenladireccióncontraria.

Las máquinas de sobremesa han pasado dealbergar un único y básico navegador WebcapazdedigerirHTML,adisponerdecientosde aplicaciones que se benefician decontenido dinámico Web, actualizaciones,archivos de ayuda y comunicaciones.

De hecho, hoy en día sería realmente difícilencontrar una aplicación moderna que nointeractúe con recursos Web. Al mismotiempo, los empleados demandan cada vezmásteneraccesoalaWebyaquehacetiempoque Internet se ha convertido enun recursocrítico para su trabajo. Sin embargo y pesea todo ello, los gastos informáticos aún noestán en consonancia con este cambio.Másalládelaprotecciónantivirusparaequiposdesobremesa y quizá de los esfuerzos parablindar dichos ordenadores, pocomás se hahechoparaprotegeralosusuariosfinalesdelasamenazasexternas.Losatacantessonmuyconscientesdeestaincoherenciaenlosgastosdeseguridadysusataqueshanevolucionadoparacentrarseen lasmáquinasvulnerablesyfácilmente accesibles de los usuarios finales.

9

10

10 http://www.newsfactor.com/perl/story/12668.html11 http://www.theregister.co.uk/2001/07/20/code_red_bug_hits_microsoft

Figura2-Irónicamente,elsitiodeWindowsUpdatefueunodelosmuchosafectadosporCodeRed11

Code Red había causado daños valoradosenmásde2milmillonesdedólaresylodeclaró“elmáscaroenlahistoriadeInternet”. 10

Este coste correspondía principalmente alas horas dedicadas a parchear e inoculardelimpiar los daños, el mundo debería habersoltado una expresión colectiva dealivioanteelhechodeque losdañosfuesenrelativamentemenores.

Hoy en día, la mayor parte deprotagonistasde laeradel ‘BigBang’de losgusanos ha desaparecido. Mientras que lasempresas y fabricantes de software puedenreclamar una cierta cantidad de crédito pormejorar el pobre nivel de seguridad que

El objetivo hoy día es permanecer bajo elradar, explotar las vulnerabilidades técnicaso sociales durante el mayor tiempo posibleyhacer lamayorcantidaddedineroposible.Enmuchosaspectos,losgusanoscomoCodeRederanunlujo:sabíamosenquémomentoscomenzaban y terminaban los daños, ycuando finalmente se posaba el polvo, eraevidentedondelimpiar.Hoyendíalosataquessonmuchomásdifícilesdeidentificar.Estoesespecialmente cierto cuando los ataques secentran en un usuario final concreto,máquinas sin protección o con controlesmínimosparadetectarlosataques.

provocótalesataques,hayotrofactorquehajugado un papel importante. Los atacantesestán hoy mejor organizados y estánmotivadosporlaoportunidaddebeneficiarseeconómicamentedesuscreaciones.YanolesinteresaaparecerenlaportadadelWallStreetJournalporhabercreadoungusanoquehayahecho mucho ruido. Cuando uno esconscientedeunataque,puedeprevenirlo.

Atacantes

Lafamaynotoriedadqueunavezinspiraronalosatacanteshansidoreemplazadosporunanueva motivación: el beneficio económico.Enlosúltimosañossehanrealizadoungrannúmero de estudios para tratar decuantificar el daño ocasionado por lasepidemias de códigos peligrosos. En el año2001, NewsFactor calculó que el gusano

11

VECTORES DE ATAQUE

Al igual que el objetivo de los atacantes hapasado de los servidores de Internet a losequiposdesobremesa,portátilesydispositivosmóviles, también su estrategiaha cambiado.

Ingeniería social

Como se ha dicho muchas veces, laseguridadestanfuertecomoelmásdébildeloseslabones de la cadena que la compone.Generalmente, el eslabón más débil es elelemento humano. La ingeniería social,en este contexto, implica intentar obtenerinformación confidencial de los usuariosintentado que hagan cosas que suspolíticas de seguridad deberían impedirleshacer. Es la combinación perfecta: Un cebocuidadosamente seleccionado que empleela ingeniería social puede convencer a losusuarios de que entreguen sus datos oinstalen un programamalicioso que captureinformación y se la envíe a los hackers.Los10exploitsmásimportantesdelaño2007tuvieron como objetivo sitios Web yserviciosconungranvolumendetráficoparallevar a cabo ataques de ingeniería social.

El único obstáculo que un atacante debesuperarparaquetriunfeunataquedeestetipoes convencer al usuario deque acceda aunrecursoWeb.HistóricamenteestoserealizabamediantecorreosdespamqueinundabanlosbuzonesdeentradadelosusuariosconURLs,esperando que un cierto número de elloshiciesen clic en las mismas. Sin embargo,los atacantes están refinando estas tácticas.Se han dado cuenta de que pueden evitarla necesidad de generar tráfico de usuariosincorporando un sitio Web popular alataque.Estánempleandotécnicasdeataqueconsistentesen infectarsitiosWebpopulares

con contenido malicioso, añadir contenidoproporcionadoporusuariosmaliciososasitiosWeb 2.0, o incluso comprar espaciopublicitario. Enmuchos casos el objetivo noes el propio sitio; el sitio es simplemente elmecanismo de propagación del ataque, quetienecomoobjetivoalusuariofinal.

En muchos casos estos ataques noimplican una explotación de tipo técnico.Simplemente se trata de convencer alusuariodequeejecutecódigomaliciosoparaque el ataque tenga éxito. Se podría pensarqueamedidaquelastecnologíasdeseguridadevolucionan y las empresas invierten eneducar a los usuarios finales sobre lasamenazasdeseguridad,eléxitodeestetipode ataque disminuiría con el tiempo. Sinembargo y tristemente, los ataques deingenieríasocialsiguenteniendomuchoéxitoysonrelativamentefácilesderealizarpor losatacantes,sobretodosisetieneencuentaelparadigmadelaWeb2.0:“

Noconstruyasunsiteparatususuarios,dejaque los usuarios construyan un site paraellos mismos”. Los usuarios finales se hanconvertido en desarrolladores Web, y si nose establecen unas restricciones granularesalcontenidoquepuedenañadir,estamismafilosofía, que ha llevado a la explosión delcontenido creado por el propio usuario,puedeserutilizadatambiéncomounvectordeataquemuyeficaz.

Vulnerabilidades del navegador Web

Enjuliode2006,elafamadoinvestigadordeseguridadHDMoore lanzó un controvertidoproyectoconocidocomoelMesdelosFallosdelosNavegadores.13Cadadía,alolargodelmes, Moore revelaba detalles de una nuevavulnerabilidadenunnavegadorWeb.Mooreno tenía comoobjetivoningunaempresaenparticular; de hecho, publicó informaciónsobre vulnerabilidades en Internet Explorer,Mozilla, Safari, Opera y Konqueror. Aunquesus métodos pudieran ser cuestionables,resulta difícil no estar de acuerdo en quealcanzósuobjetivodellamarlaatenciónsobreel pobre estado de la seguridad de losnavegadoresdeInternet.

Los navegadoresWeb se han convertido enunaespeciedenavajasuizavirtual,ofreciendofuncionalidades que van mucho más alláde simplemente visualizar páginas Web.Puedenasimilar fuentesdenoticias, llamaraotras aplicaciones, manejar tecnologíaspropietarias, etc. De hecho, con plug-ins deterceros, la capacidad de los navegadoresWeb es prácticamente ilimitada. Amedidaque ha aumentado la funcionalidad de losnavegadores, también lo ha hecho lacomplejidadde las aplicaciones y ha surgidouna cantidad ingente de vulnerabilidades,muchas de las cuales son de naturalezacrítica y pueden llegar a comprometer porcompleto la seguridad de la máquina host.Incluso las vulnerabilidades que no tienencomo resultado la ejecución de códigopueden tener implicaciones graves.Normalmente los phishers explotan agujerosenlosnavegadoresparamejorarlaefectividadde sus ataques. Aunque los navegadoresdisponen de controles integrados quemuestranalosusuarioslosrecursosalosqueestán accediendo – la barra de direcciones,barradeestado,certificadosSSL,etc.-dichos

controles dejan de ser de confianza en elmomento en el que las vulnerabilidadespermiten manipular dicha información. Losphisherssonmuyconscientesdeesto.

Vulnerabilidades de ActiveX

ActiveX es una tecnología propietaria deMicrosoft que permite crearcomponentes reutilizables de software.Los controles ActiveX pueden sermarcados como ‘safe for scripting’, lo quepermite llamarles desde el navegador WebInternet Explorer (IE). Estatécnica, aunque no ofrece compatibilidadmultiplataforma debido a la naturalezapropietaria de la tecnología, es una formahabitual de ampliar la funcionalidad de IE.Sin embargo, en caso de que dichoscontroles fuesen vulnerables, estoproporcionaría a los atacantes un vectorexcepcional para acceder a la máquinalocal.Sehandescubiertoungrannúmerodedesbordamientos de buffer en loscontrolesActiveX,quepermitenqueunatacanteejecutecódigoarbitrarioenunamáquinalocalsimplementeconvenciendoalavíctimadequenaveguehastaunapáginaWebquecontengaelcódigomalicioso.

UntípicoequipoconWindowstienecientos,si no miles, de controles ActiveX instalados.Dichos controles pueden haber sidogenerados por desarrolladores deterceros sin prácticas seguras de testeo.Los investigadores se centran en estasdebilidades y desarrollan herramientas queautomatizan el proceso de descubrimientode vulnerabilidades en los controlesActiveX.Estas herramientas están diseñadas par

12

mutar los datos estándar de entrada de lasaplicaciones y monitorizar la aplicación dedestinoparadeterminarsiconsigueprocesarlos datosmutados o fracasa y queda en unestado vulnerable. La aparición deherramientas fáciles de utilizar comoCOMRaider 14 y AxMan 15, ha llevado aldescubrimiento de un gran número devulnerabilidades de ActiveX, muchas de lascualessonaccesiblesparaatacantesremotosvíaIE.

Vulnerabilidades de formato de archivo

Los formatos de los archivos, como losprotocolos de red, son reglas predefinidaspara la comunicación. Estas reglas definenla estructura de los datos a enviar entre losordenadores y siempre que tanto elemisor como el receptor se adhieran a laestructura definida, se podrá creararchivos en una máquina y leerlos en otra.Sin embargo, ¿qué pasa cuando elemisor se aleja de dicho formato?¿Qué sucede si se cambian bits aquí y allí?¿Puede la máquina receptora interpretar elarchivo?¿Descartaráelarchivo,odarálugaraunavulnerabilidadensusesfuerzosporleerlo?

Las vulnerabilidades de formato dearchivosonunaclaseúnicadevulnerabilidadyaquelosarchivosnosoncódigoejecutableynormalmente no se les considera unaamenaza. Sin embargo, se ha descubiertoque los archivos mal formados pueden darlugar a vulnerabilidades en las aplicacionesempleadasparainterpretarlos.Estosuponeunimportantedesafíoparaaquellosquetienenlatareadeprotegerlasredes.Mientrasquelas

aplicaciones antivirus contienen normalmen-te identificadores para detectar formatosconocidos de archivos malformados, se hanproducido numerosas situaciones en las quesehanexplotadovulnerabilidadesdedía0,ovulnerabilidadesdesconocidasde formatodearchivo,parallevaracavoataquesdirigidos.

En estos ataques, el atacante envía unarchivo malicioso a la víctima bien comoadjuntoaunmensajedecorreoelectrónicoopublicándolo en un sitio web. En elmomento en que la aplicación vulnerableque debe interpretarlo abre dicho archivo,normalmente al hacer doble clic sobre elmismo, se explota el fallo de seguridad.Bloquear todos los tipos de archivos queresultan potencialmente vulnerables no esuna solución realista contra este tipo deataqueyaquesehadescubiertoestetipodevulnerabilidad en todos los tipos dearchivosmásutilizados,incluyendoformatosdeaudio,vídeoydocumentos.Estosataqueshansupuesto un importante desafío paraMicrosoft ya que se han descubiertovulnerabilidades en formatos de archivosutilizados por las aplicaciones deMicrosoft Office. Dada la popularidad deaplicaciones como Word, Excel, yPowerPointenlosentornoscorporativos,estetipodearchivossuponeunodelosvectoresdeataquemásútilessobrelosindividuosdeunaempresa.

13

Ataques Web 2.0

El término Web 2.0 no describe unatecnologíaenconcreto;serefierealaevolucióneneldesarrolloderecursosWebpormotivostécnicos y sociales. Una nueva variedad detecnologías como AJAX y Rich InternetApplications (p. ej. Adobe Flash yMicrosoft SilverLight) está haciendo que lasaplicacionesWebseanmuchomásinteractivasyamigables. Poco a poco, esta transiciónestá borrando las líneas que separan lasfuncionalidadesdelasaplicacionesWebydelas aplicaciones tradicionales de sobremesa.

Aunque las tecnologías Web 2.0 no hangenerado nuevos tipos de ataques, estamosviendo una aparición de vulnerabilidadestípicas de las aplicacionesWeb tradicionalesenaplicacionesWeb2.0.Estosucedeporlossiguientes motivos:

Amenudonoaprendemosdenuestrospropioserrores.Enmuchasocasioneslasempresasseprecipitanenadoptarnuevas tecnologías sintener en cuenta las consecuencias que estopuede tener desde el punto de vista de laseguridad. Aunque las aplicacionesWeb 2.0puedenydebenserseguras,sonnuevasparaungrannúmerodedesarrolladoresquedebenaprenderrápidamenteadesarrollarproyectosconlasmismassindetenerseensuseguridad.Además,estastecnologíassonnuevasparalospropios profesionales de la seguridad, cuyosconocimientosyherramientaspuedennosersuficientes aún para la tarea de descubrirvulnerabilidades tradicionales en un nuevoentorno.

Otro aspecto a tener en cuenta con lossitiosWeb2.0esquesuponenuncambioconrespecto a la dinámica tradicional de dónde

transcurren los procesos. En una aplicaciónWeb tradicional, todos los procesos tienenlugar en la nube (aplicación y servidores debases de datos), mientras que losresultadossemuestranenelnavegadorWeb.

Las tecnologías RIA y AJAX producenaplicacionesconmayorcapacidadderespuestaprincipalmente porque liberan al navegadordelastareasdeprocesamiento.Alhacerlo,lalógicadelaaplicación,queantesnoquedabaexpuesta al usuario final, queda ahoradisponibleaaquellosquequieraninvestigarelcódigo de la parte cliente. Esto en sí notieneporqueserunproblema,siemprequelosdesarrolladoresconozcanlasconsecuenciasdedicha estructura.Mientras que en el pasadolosdesarrolladoresnoteníanquepreocuparsepor el hechode exponer datos ouna lógicasensibleyaquenuncasalíadelservidor,ahorayanodisponendeeselujo.Laseguridadqueprocedíademantenerdatosenlaoscuridadyanoesposible.

14

TENDENCIAS

Sofisticacióndelosataques

La batalla entre los atacantes y los que nosdefienden de ellos es una lucha sin fin. Amedida que las empresas de seguridaddesarrollan tecnologías innovadoras paraidentificar y evitar los ataques,aquellosquelosllevanacabobuscanmétodosigualmente innovadores de evadirlas.MuchosdelosataquesWebquemáséxitohantenido hasta el día de hoy han sidorelativamente poco sofisticados,aprovechándose de técnicas de ingenieríasocial. De hecho, ciertamente da miedopensar en la gran cantidad de ataques quehan tenido éxito sin necesidad de utilizartécnicas sofisticadas. Sin embargo, a medi-da que mejoran las defensas y los usuariosfinalesestáncadavezmás informadossobretemas de seguridad, los atacantes se estándandocuentadequedebensubirelniveldesofisticación.

Enlosúltimosañoshemosvistolaaparicióndeuna serie de tendencias relacionadas con lasofisticacióndelosataques.Losatacantescadavezutilizanmáslasvulnerabilidadesdedía0.Dichos ataques se basan en vulnerabilidadesque han sido descubiertas recientemente aveces por los propios atacantes o bienadquiridas en mercados ilegales.De cualquiera de las formas, las defensasbasadas en identificadores resultan inútilesante dichos ataques, ya que sólo es posiblegenerar identificadores en respuesta a unvectordeataqueconocido. Las redes de bots también se hanconvertidoenunadelasarmasfavoritasdeloshackers.Lasredesdebotsestánformadasporcientosdemilesdehostsinfectadosconocidoscomo‘zombies’,querecibeninstruccionesdeservidores de control. Las redes de botsse han convertido en una amenaza muy

poderosa debido a su resistencia yflexibilidad. Son extremadamente difíciles deneutralizarensutotalidaddebidoasunaturalezadescentralizada y pueden ser utilizadas paraprácticamente todo tipo de ataque. En elmomento en que un equipo comprometidose convierte en un ‘zombie’, los atacantesdejan de estar interesados en su contenido.Ensulugar,seinteresanporsusciclosdeCPU,ciclos que utilizan como les viene en ganapara enviar spam, llevar a cabo ataques dedenegación de servicio, fraudes de tipoclick-thru o cualquier otra acción maliciosaqueel‘pastordebots’deseerealizar.

15

Aspecto económico

Atacarycontrolarrecursosinformáticossehaconvertido en una actividad creciente yeconómicamenterentableyque,aligualquecualquier otronegocio, da cabida aungrannúmero de individuos, cada uno de ellosesperando obtener su parte del pastel. Porello, se ha producido una evolución de laseconomías estructuradas ‘underground’que cobijan a este tipo de sujetos. En laactualidad,existeunacantidadrelativamentepequeña de personas en este mundilloclandestino que dispongan de losconocimientos necesarios para descubrirvulnerabilidades que puedan serexplotadas. Tales conocimientos no sonnecesarios siempre y cuando seesté dispuesto a pagar por ellos.El 5 de enero de 2006 Microsoft publicóde forma precipitada un parche fuera de suciclo habitual de publicación de parches deseguridad.16¿Larazón?Enlosdíasanterioresadichapublicación,sehabíadescubiertoqueunavulnerabilidadmuyextendidadeformatodearchivoenlasaplicacionesdeMicrosoftquemostrabanimágenesWMFnosóloseestabaexplotando de forma activa, sino que elcódigo que permitía explotarla se estabavendiendo en el mercado negro por 4.00017 dólares aproximadamente. Este hechofue una señal clara del crecimiento de talesmercados.

Hoy día, disponer del dinero y de lasconexiones adecuadas puede dar acceso acódigos maliciosos, números de tarjeta decrédito,oherramientasparalarealizacióndeataques. Sin embargo, la preocupación másimportante es el aumento y popularidad delusodelasredesdebots.Másqueadquirirlosproductos necesarios para llevar a cabo suspropios ataques, los criminales estárecurriendo a los pastores de redes debots para acceder a ciertos servicios

(infraestructuras potentes y establecidas deredes de bots empleadas para realizar unagranvariedaddeataques).Lospastoresdelasredesdebots sededicanaalquilar losciclosde CPU creados por ellosmismos, a preciosreducidos que van desde los $10/hora. 18

Web 2.0

Ademásdeloscambiostécnicos,lasinfluenciassociales también están contribuyendo a lallamada revolución Web 2.0. Mientras quelaWeb1.0secentrabaenlatransferenciadenegocios tradicionales a Internet, la Web2.0 está generando modelos de negociocompletamente nuevos. Los sitios Web 2.0se centran en conectar a los usuarios entresí (p.ej. Facebook yMySpace) y promover elcontenido creado por los propios usuarios(p.ej. YouTube y Flickr). Desde el punto devista de la seguridad, esta transición haaumentando en gran medida lacomplejidad de las aplicaciones Web y haincrementado la superficie total de ataque,yaquelosusuarioshanpasadodesermerosobservadoresaparticipantesenelprocesodeconstruccióndelossitiosWeb.

Los sitios Web 2.0 se basan en la mismaestructura subyacente de las páginasWeb anteriores, aunque añaden capas decomplejidad y llevan gran parte de lalógicade lasaplicacionesalnavegadorWeb.Como resultado, las vulnerabilidades de lasaplicaciones Web tradicionales son másdifíciles de identificar. Dada la naturalezainterconectadade laRed, losservidoresWebvulnerablessirvenamenudoparaatacaralosusuariosquevisitandichossitios.Tomemoselejemplo de los ataques de Cross SiteScripting, una de las vulnerabilidades más

16

presentes en los sitios Web actuales. Si lossitios son capaces de aceptar datosintroducidos por los usuarios pero nodesinfectan adecuadamente dichoscontenidos, los hackers pueden utilizarlenguajes como JavaScript para ejecutarcódigoenelnavegadorWebde lasvíctimas.Una vez un atacante consigue forzar laejecucióndecódigodescript,puedecontrolarelnavegadordelavíctima.Estopuedellevaralrobodeinformaciónconfidencial,larealizacióndeacciones no deseadas o incluso al uso delnavegador de la víctima como herramientapara lanzarataquescontraotrossistemasdelaredinterna.

Movilidad

Mientrasquelasadvertenciasdeataquesate-léfonosmóvilesnohanpasadonuncadesersóloeso,advertencias,laverdadesquelasituación está cambiando. Los teléfonosmóviles nunca han sido objetivos atractivosdebido a la gran cantidad de sistemasoperativos que existen y a su limitadafuncionalidad. Así como un atacantepodíainvertirdineroendesarrollaruncódigomalicioso para una máquina de Windowsy tener al instante un objetivo consistenteen millones de ordenadores con conexionescontinúas a Internet, la situación era biendistinta en el caso de los móviles.

Amedidaquelaindustriasehaconcentradoenunpuñadodeplataformas(Symbian,RIM,Windows Mobile y OS X iPhone), laperspectiva de desarrollar códigos para lasmismas empieza a ser más atractiva. Porotro lado, las aplicaciones para móviles handejado de ser versiones ‘lite’ y simplificadascon funcionalidades mínimas. Mobile Safari,por ejemplo, el navegador integrado pordefecto en el iPhone, es un completonavegadorAJAXcapazdeprocesarlasmismaspáginasWebque losequiposdesobremesa.Esmás, comparte parte del código utilizadopor sus hermanos mayores. Por lo tanto,desde el punto de vista de un atacante, elmismo exploit que utiliza una vulnerabilidadde AJAX en un sitio Web para infectar elnavegador Safari, puede convertirse enun código malicioso multi-plataforma queataque también a los usuarios de móviles.Esta tendencia sólo será mayoritaria cuandolasplataformasmóvilesseanmássofisticadasy comiencen a almacenarmás ymás datos.Losteléfonosmóvilesyanosonsóloteléfonosmóviles–sonpequeñosportátiles.

17

Figura3–InfraestructuratípicadelaseguridadWeb

DESAFÍOS

El tráfico Web se ha convertido en elprincipal medio de acceder a losrecursosde Internetdebidoalhechodequeprácticamente todas las redes corporativaspermiten el tráfico de salida por lospuertos TCP 80 (HTTP) y 443 (HTTPS).Aplicaciones que en el pasado sebeneficiabandeotrosprotocolosempleanenlaactualidad el protocolo HTTP(S)exclusivamenteoalmenostienenlacapacidaddecambiar a HTTP(S) en caso deque las rutas alternativas esténbloqueadas por los firewalls de laempresa. A medida que el tráfico Webha ganado en importancia en la redcorporativa,tambiénlohahecholanecesidaddeprotegerlo.Enredesgrandesydistribuidas,lamonitorización y protección de dicho tráficoentrañamuchosdesafíos.

empresas. Dada la naturaleza propietariade tales tecnologías y la falta de solucionesde alta gama de un único fabricante, lasempresas se ven obligadas a administrarcada vez más aplicaciones de software yappliances de hardware para asegurar laseguridad Web de su red. Tal y como seve en la figura 3, una única solicitud orespuestaWebdebeatravesarmediadocenadesoluciones de seguridad independientesantesdeentrarosalirdelareddelaempresa.Aesto seuneelhechodeque lasempresasdisponen demúltiples pasarelas de Internet.Por otro lado, dichaspasarelas pueden estarbajouncontroldescentralizadoohabersidoañadidasalainfraestructurageneralmedianteadquisiciones, por lo que no essorprendente que se den situaciones enlas que una empresa trabaje con múltiples

18

Protección uniforme

LaseguridadWebsiguesiendounaindustriaenpermanenteevolución,ycomotal,hayungrannúmerodesoluciones‘standalone’enelmercadodesarrolladas por una gran cantidad de

tecnologías de seguridad Web de variasempresas, desplegadas en variasubicaciones. En tales circunstancias esdifícil, pero no imposible, ofrecer protecciónuniformeentodaslasubicaciones.

Informes unificados

Junto al desafío de administrar tecnologíasdescentralizadas en distintas ubicaciones, seañadelacomplicacióndenodisponerdeinformesunificados.Resultamuycomplicadogestionarriesgos cuando no se dispone de una visióncompleta del entorno. Aunque un grannúmero de empresas de Gestión deInformación de Seguridad (SIM) han dadoel paso de unificar los informes de susaplicaciones de seguridad individuales,con cada empresa empleando sus propiosestándares de generación de informes, sóloson capaces de unificar aquellos datos queseanconsistentesentrelasdistintasempresas.

Los enormes archivos de log que eltráfico Web puede generaraumentan la dificultad de generar enormesunificados. Un usuario individual puederegistrar fácilmente decenas de miles detransaccionesWebenunsolodía.Asíque,enel caso de las grandes empresas, incluso losarchivosdelogdiariossevuelveninmanejables.Además,hayquecombinardichosinformesenunsistemacentralizadodeinformación,puntoenelcualinclusolaprospecciónbásicadedatossevuelveunaimposibilidad.¿Dequésirveunafuncióndegeneracióndeinformesquetarde10horasenejecutarlasconsultasabasesdedatos relacionales necesarias para un únicoinforme?

Aplicación consistente de las políticas

Los informes recogen los resultados delsistema de seguridad. Los datos deentradadedichosistemasonlaspolíticas,quedefinenlaposturadelaempresaencuantoalaseguridad. Al igual que ocurre con losinformes, cuando se trabaja con unavariedaddesolucionesdemúltiplesempresasenubicaciones dispersas, puede que no seaposible aplicar las políticas de un modoconsistente.

Si las distintas delegacionesdeuna empresaempleansolucionesdedistintosproveedores,alfinal laempresaseveráobligadaaaplicaruna ‘política de compromiso’ debido a lasdistintas funcionalidades. La presencia defunciones de seguridad descentralizastambién complica las cosas y hace que alfinal cada oficina aplique las políticas queconsidera oportunas. Incluso en el caso delosdepartamentosdeseguridadquepuedandisfrutar del lujo de tener un controlcentralizado sobre las políticas, así como deappliancesdeseguridadconsistentesentodala empresa, puede resultar muy complicadoasegurarquetodosloscambiosseaplicandeforma consistente en todas las ubicaciones.

19

Fuga de datos

Gracias en parte al poder cada vez mayor deiniciativas de carácter normativo como HIPPAo GLBA, la detección y neutralización de laspérdidas de datos se está convirtiendo enuna de las prioridades principales de losResponsables de Seguridad de lasempresas.Apartedelcumplimientonormativo,elproblema se complica aún más por lafacilidadconlasquesepuedetransferirinformaciónsensiblemásalládelasfronterasdelaredinternadelaempresa. Ya sea de forma intencionada o no,resulta muy sencillo transferir datosmediantelaWeb,elcorreoelectrónico,lamensajeríainstantánea o los clientes P2P. Las empresasnecesitan soluciones unificadas que puedanasegurar el cumplimiento y aplicación depolíticasdeProteccióndelasFugasdeDatos(DLP)entodaslastecnologíasypasarelasdeInternetdelaempresa.

Amenaza1s desconocidas

A menudo se dice que no se puede evitaraquello que no se conoce. Esto no es del todocierto, aunque siempre que los atacantesdispongan de la ventaja de tener conocimientopropietariosobreunataque,lasreglasdeljuegocambian. Muchas de las tecnologías deseguridad actuales se basan solamente enidentificadores – en cuyo caso es necesarioconocerunataqueparagenerarunidentificadorque lodetecte.Hoydía sedescubrenynegociacon vulnerabilidades de día 0 en el mercadonegromuchoantesdequesecreenydistribuyanlos identificadores y parches correspondientes.Lasmedidasdeseguridaddebenirmásalládelosidentificadores para analizar los comportamien-tosdelasredesypoderdiferenciarentretráfico‘bueno’y‘malo’.Enunmundoenelquesurgenamenazasmixtas todos los días, las solucionesbasadas en identificadores proporcionan unaprotecciónlimitada.

También es posible combatir las amenazasdesconocidasmedianteel‘principiodeprivilegiomínimo o más restrictivo’: una antiguaregla del mundo de la seguridad que amenudo se ignora para apaciguar a losusuarios finales. ¿Es razonable que un usuariofinal solicite acceso a su cliente favorito demensajeríainstantánea(MI)?Probablementeno.Puede que dicha petición tenga un propósitoprofesionaltotalmentelegítimoeinclusoaunqueno fuese así, nohayquedesdeñar el hechodemantener felicesa losempleados.Sinembargo,¿puede aumentar un elemento adicional desoftwareelpeligroalqueseexponelaempresa?Por supuesto.

Cada elemento tecnológico adicional que seañade a una red aumenta la probabilidad deheredar código vulnerable. Resulta necesarioalcanzar un equilibrio. Un modo de alcanzardichocompromisoconsisteenpermitiraccesoaaplicaciones adicionales, pero controlando sufuncionalidad. Por ejemplo, sería posibledesplegar ese mismo cliente de mensajeríainstantánea pero de forma controlada. Lasempresas necesitan soluciones que, porejemplo, permitan conversaciones de textomediante mensajería instantánea perorestrinjan la descarga de archivos. De estaforma se protegería contra los ataques deingeniería social que intentan convencer a losusuarios de que descarguen y ejecutenarchivos. El control granular de lasaplicaciones Web y aplicaciones desobremesaofreceopcionesquevanmásalládelsimplepermitir/denegar.

20

Coste

A medida que Internet se vuelve máscomplejaysurgennuevosvectoresdeataque,tambiénaparecennuevoscostesasociadosconla implementación de un sistema robusto deseguridad. Hace tiempo que pasaron los díasenlosqueunfirewallyalgúnsoftwareantivirusde sobremesaeranprotección suficiente.Hoydía,lasempresasadquierenappliancesparaelanálisis antivirus online, la proteccióncontra fugas, el filtrado de URLS, lainspecciónSSL,lageneracióndeinformes,etc.CadanuevoappliancerequieredeunainversiónadicionaldecapitalquehayqueduplicarencadapasareladeInternet,yestecostenocontemplalashorasnecesariasparadesplegarymantenerlasolución.Lasempresasbuscanconvertir losgastosfijosyamenudoinesperadosencostesvariablesypredecibles.

SOLUCIONES

La protección y control del tráfico Webgenerado por los usuarios ha dejado deser una opción para las empresas, es unanecesidad.Lacuestión,portanto,essabercómoafrontar este desafío de forma queproporcioneelmayorcontroldelaformamáseconómica.

Defensas basadas en el cliente

Este término se refiere a soluciones desoftware que residen directamente en lamáquina cliente, de diversas maneras.Por ejemplo, es poco probable encontrarhoy día un equipo de sobremesa en unaempresaquenodispongadeunmotorantivirusinstalado.Ademásdeesto,cadavezsonmáspopulares los sistemas anti-spyware einclusolosfirewallsysistemadedeteccióndeintrusiones en el host (HIPS), con ciertasfuncionalidades embebidas directamente enel sistema operativo sin que sean necesariassoluciones de terceros. Sin embargo, lamayor parte de estas protecciones estándiseñadas para proteger a las propiasmáquinas de ataques externos directos. Noestán diseñadas para detectar o evitarataquesWebprovocadosporlasaccionesdelospropios usuarios. Tomemos, por ejemplo,un ataque de cross-site scripting (XSS) queenvíe las credenciales de autenticación delusuarioaunservidorcontroladoporunatacantecuando la víctima acceda a un sitio Webvulnerable. En un caso como éste, lavulnerabilidad existe en el servidor Web, noen la máquina cliente. Sin embargo, es elusuarioelqueseveafectado.Enuncasoasí,ninguna de las tecnologías de seguridaddel lado del cliente que hemos mencionadoanteriormentehubiera sido capazde evitar elataque.

21

Las dos desventajas inmediatas quepresenta cualquier protección instaladaen el lado del cliente son la instalación ymantenimiento de la solución y la falta decontrol sobre su uso. En las grandesempresas, la instalación manual de lasaplicaciones cliente resulta inviabledebidoalesfuerzoycostequeconlleva.Estoesparticularmente evidente en el caso de losempleados remotos que nunca se desplazanfísicamentealaempresa.Ademásestaelcasode los usuarios que quieren evitar la accióndelassolucionesdelladodelcliente,noporrazones maliciosas, sino para escapar de laacción de un motor antivirus demasiadoagresivo que les impide realizar su trabajo.

Pasarelas de seguridad Web

El mercado actual de las pasarelas deseguridad Web (WSG) consisteprincipalmente en fabricantes de appliancesque construyen soluciones basadas enproxies de alto rendimiento diseñadas parainspeccionar el tráfico de entrada y salida.Los appliances WSG residen en una o máspasarelas de Internet a lo largo de laempresaypresentanunaclaraventajasobrelasdefensas basadas en el cliente: los usuariosfinales no pueden desactivarlas. Aunquesiempre se las ha considerado como unaprotección complementaria más que unaalternativa a las defensas en el cliente comolos motores AV de sobremesa en los HIPS,lasWSGsofrecenalasempresasmáscontrolsobre el tráficoWeb ymejoran por tanto laseguridad de la red ante la cada vezmayorcantidaddeamenazasdeInternet.

Las WSGs no están sin embargo libres dedesventajas. Se trata de un appliance

adicional que desplegar y administrar. Esnecesario desplegar una appliance individualen cada una de las pasarelas deInternet, lo que no sólo aumenta los gastosglobales sino que, en el caso de las

grandesempresas,puedellevaraunafaltadeinformes unificados. Incluso aunqueresultaraposiblelaunificacióndelosinformes,elvolumen ingente de entradas de logs haríaimposiblelaprospeccióndedatos.

Seguridad en la nube

Los desarrollos basados en la nube o lassoluciones SaaS para la seguridad de losnavegadores Web ofrecen algunasventajas únicas. Los sectores de CRM (p.ej.Salesforce) y ERP (p.ej. NetSuite) hancomenzado a evolucionar haciamodelos de computación en la nube parabeneficiarsedeventajastalescomolafacilidaddeusoyunmenorcostetotaldepropiedad.LassolucionesSaaSseestánbeneficiandodeestasmismasventajasparalaseguridadWebenelladodelcliente.

Protección uniforme

LosappliancesespecificadosenlaFigura3sonofrecidosporunagrancantidaddeempresasdeseguridad.NoexisteunúnicofabricantequesealíderentodaslasáreasdelmercadoWSG.Por tanto, las empresas se enfrentan a unadifícilelección:optarporunproveedorúnicoy aceptar soluciones con funcionalidades desegundo nivel, o elegir la mejor soluciónen cada categoría y lidiar con las posiblesincompatibilidades entre las soluciones. Alfinal, las empresas se ven forzadas a elegir

22

entreelmenordedosmales.Sinembargo,en

laactualidadestánsurgiendosolucionesSaaSqueofrecenmásfuncionalidadesentodaslasáreas indicadasen laFigura3,ygestionadasdesdeunúnicointerfazWeb.

Informes unificados

Graciasaquetodoeltráficopasaporlamismainfraestructuragestionada,elproveedordelasoluciónSaaSpuederesolverelproblemadelaunificacióndelogs.Desdeelpuntodevistadelusuariofinal,esposiblevisualizarloslogsde todas las pasarelas y usuariosmóviles delaempresayrealizartareasdeprospeccióndedatosdesdeelfrontaldeunaaplicaciónWeb.

Aplicación consistente de las políticas

Las soluciones SaaS no sufren losproblemasderivadosdedesplegarpolíticasaunamultitud de dispositivos responsables de sucumplimiento. Todo el tráfico Web de laempresa es redireccionado a través depasarelas geográficamente dispersas queaplican las políticas consolidadas definidasporlaempresa.Deestemodo,seaplicaunaprotección uniforme a todo el tráfico Webindependientementede suorigen. Todos loscambiosqueserealizansobrelaspolíticasdeseguridadserealizanenunaúnicaubicación,a través de una interfazWeb. Por tanto, nose requiere de un software propietario paraadministrarelsistema.

Fuga de datos

Las fugas de datos plantean riesgos encuanto a la confidencialidad y cumplimientonormativo. Aunque las soluciones DLPbasadas en appliances ofrecen unnivel de protección razonable contra dichosriesgos, presentan problemas a la hora deaplicar una política uniforme en todas laspasarelas,yencuantoalaunificacióndeinformes.Estos desafíos son particularmenteexigenteseneláreadelafugadedatos,dondelafaltadecumplimientonormativopuedetenerimportantes consecuencias. Las solucionesbasadas en SaaS, en las que toda lainformación fluye a través de unainfraestructura centralizada, resuelven estascuestiones.

Coste

Al trasladar la tecnología desde la redinterna de la empresa a la nube, una parteimportantedelgastodecapitalseconvierteenungastovariableporusuario.Porlotanto,ademásdepasardeunoscostesfijosaunosvariables,lassolucionesbasadasenlanubeofrecenuncoste total de propiedad menor, debido engran parte a la eliminación de las tareas dedespliegueymantenimientodelosappliancesadquiridos.

23

CONCLUSIÓN

A medida que los atacantes cambian susobjetivos, también lo hacen aquellos cuyatarea consiste en defender los activos de lared. La red de la empresa ya no se concibecomo una fortaleza solitaria e impenetrable.Ha evolucionado hasta convertirse en unainfraestructura distribuida no sólo entérminos de oficinas remotas, sino tambiéncon la existencia de un mayor número deempleados móviles poseedores de valiososactivos digitales. La meta ya no esúnicamentemanteneralejadosalos‘malos’.LasempresasnecesitanadministrarelaccesoWebde losusuariosfinalesafindeevitarque losatacantes puedan reclutar a sus empleadossin que se de cuenta para que les hagan eltrabajosucio.Todoesto,sinimponercontrolesdemasiadorestrictivossobreempleadoscadavezmásautosuficientes,ybuscandomantenerunequilibrioentreunaplantillasegurayalavezproductiva.

Como todo el tráfico Web pasa por lospuertos 80 (HTTP) y 443 (HTTPS), lasempresas no pueden permitirse el lujo dedejardesprotegidasestaspuertasdeentrada.Eldesafío al que se enfrentan consiste enidentificar soluciones económicas que denrespuesta a la multitud de amenazas querodean al tráfico Web de los usuarios.Aunque las defensas basadas en elcliente como los antivirus y anti-spyware desobremesa y los sistemas HIPS seguiránsiendo controles importantes para laseguridad de las empresas, nunca seránsoluciones adecuadas para ofrecer unaprotección completa. Está claro que lasempresas deben ser capaces también deadministrartodosutráficoWeb.Estonosóloincluye el tráficoque entra y sale de la LANde la empresa, sino también el tráfico hacia

y de portátiles y usuarios móviles, así comocualquierdispositivomóvilquetengaaccesoalosactivosdelacompañía.

Aunque la industria de las pasarelas deseguridad de Internet (WSG) hasurgidoparadarrespuestaaestedesafío,lassoluciones basadas en appliances seguiránenfrentándose a las limitacionesimpuestasporunosempleadoscadavezmásdistribuidos. Lograr una protecciónuniforme, con informes unificados y quepermita la aplicación de políticas deforma consistente puede ser complicadocuando se gestionan múltiples pasarelas.Ademásdeesto,resultaimposibleprotegeralosusuarios remotos que acceden a Internetde forma directa, sin utilizar la VPN de laempresa. A medida que lascomunicaciones corporativas siguenavanzando hacia las soluciones Web, laimportancia de administrar el tráfico deInternet ya no sólo afecta al campo de laseguridad sino también a la proteccióncontra las fugas de datos y al control delanchodebanda.Lagestióndeestetráficosehaconvertido en una tarea difícil y costosa.Aunque las soluciones basadas enappliances han abierto el camino en elmercado de las WSGs, las empresas seestándandocuentadelasventajasquesuponepasarse a una proveedor que ofrezca unasolución única con protección y controluniforme de todo el tráfico Webindependientemente de la ubicación o eldispositivo.Asícomolassolucionesenlanubey SaaS se están convirtiendo en líderes delmercadoenotrasindustrias,estáclaroquelasventajas de este modelo se estánhaciendo evidentes también en el mercadoWSG.

24

SUITE PANDA CLOUD PROTECTION

Panda Cloud Internet Protection espartedelasuitePandaCloudProtection,unacompleta solución de seguridad SaaS queprotege losprincipalespuntosdeentradadeamenazas -endpoints, correo electrónico ytráfico Web- contra el malware, spam,cross-sitescriptingyotrosataquesavanzadosWeb2.0,medianteunasoluciónligera,seguraysencilla.

Estasuitedeseguridadestábasadaenlanube,ofreciendo máxima protección, reduciendoel gasto y aumentando la productividad. Lasoluciónsedespliegaencuestióndeminutosy se gestiona de forma sencilla gracias a laintuitivaConsoladeAdministraciónenlaNubeúnicadePanda.

La suite Panda Cloud Protection sebeneficiadelagrancapacidaddelaInteligenciaColectiva:unsistemabasadoenlanubequealmacena 21 terabytes de conocimiento yexperiencia obtenido directamente demillones de usuarios. Panda CloudProtectionofreceproteccióncompletaparaelmundoreal,nointrusivaeinstantáneacontraelmalwareconocidoydesconocido.

Panda Cloud Protection se beneficia delpoderdelanubeparaproporcionarprotecciónentiemporealcontralasamenazasconocidasy desconocidas en cualquier momento y encualquierlugar,graciasalpoderdelaConsoladeAdministraciónenlaNube.

25