"El crimen en internet es la tercera fuerza lucrativa detrás de la prostitución y el tráfico de drogas".
"Para una empresa que aloja una página y no quiere que se la "desfiguren" o roben los datos, es necesario auditarla".
"No hay recursos suficientes para plantear una seguridad seria. O bien se dejan las auditorías a medias"
Son algunos de los titulares que nos deja esta entrevista con Sergio de los Santos, ingeniero técnico en informática de sistemas, certificado CISA y Auditor PCI (Qualified Securit Assesor). Coordina varios servicios en Hispasec y es el responsable del boletín diario de seguridad más veterano en español, una-al-día. Veamos la entrevista al completo:
 |
| De los Santos, experto en Seguridad Web. |
Eres consultor de seguridad en Hispasec, y posees más de 10 años de experiencia en el ámbito de la seguridad online y, de hecho, eres el autor del/anuario "Una-al-día: 12 años de seguridad" y "Máxima seguridad en Windows: Secretos Técnicos" ¿Cómo dirías que ha cambiado la seguridad online en esta década? En concreto, ¿se han perfeccionado los ataques?, ¿también se ha mejorado la defensa, o sea, la seguridad?
Hace 10 años la seguridad se centraba en el perímetro. Se intentaba sobre todo proteger a los sistemas que daban la cara a internet (correo, web, DNS...). Las empresas hablaban de VPN, DMZ, red perimetral, y los ataques llegaban por el compromiso de los servidores. Hoy en día esto sigue ocurriendo, pero después de tanto tiempo centrándose en este tipo de seguridad, y la aparición de la nube (trasladar los servicios a terceros y evitar los servidores propios), el malware que afecta a este tipo de sistemas y los atacantes, lo tienen más complejo.
A medida que avanzaba el concepto de web 2.0 y la nube, la "acción" se traslada al navegador del usuario, desde donde se abre la ventana al mundo y, por tanto, a los peligros. Ahora el problema está en los ataques directos al usuario en la red interna, y estos suelen venir a través de los programas que utiliza y que son ahora los que "dan la cara" a internet. Así para un atacante es mucho más sencillo enviar un fichero adjunto o invitar a la víctima a que visite una web con un navegador vulnerable, que eludir toda la seguridad del perímetro.
Por tanto, los ataques no es solo que se perfeccionen, sino que acuden al punto más débil, y siempre funcionan (como la naturaleza) en función de la ley del mínimo esfuerzo que habla de que, si el objetivo concreto no te importa, debes ir a por los que menos "energía" conlleven.
La seguridad ha mejorado en el sentido de que ya hay objetivos son más complejos de conseguir, pero en contraposición se han añadido nuevos huecos que están aprovechando. Por tanto, aunque en diferente configuración, en suma no ha mejorado mucho.
Lo que sí han mejorado sustancialmente es el nivel técnico del malware.
En una entrevista reciente, hablas de la mafia y la industria del malware. ¿Somos conscientes de ello?
No. El usuario todavía piensa que no hay nada que interese en su ordenador y que el malware es un juego. Nada más lejos de la realidad. En su ordenador hay o bien contraseñas, o bien datos o bien recursos. Las contraseñas son vendidas, los datos secuestrados (puede que no interesen al atacante, pero seguro que le interesan al dueño...) y los recursos explotados. Cada ordenador es interesante, aunque parezca que no tiene nada.
Y por supuesto, todo esto se engloba dentro de una economía con una vida propia. En estos momentos, según la policía, el crimen en general en internet es la tercera fuerza lucrativa detrás de la prostitución y el tráfico de drogas.
¿Qué hay que hacer para evitar que los hackers exploten las vulnerabilidades de una web?
Para una empresa que aloja una página y no quiere que se la "desfiguren" o roben los datos, es necesario auditarla. Adelantarse a lo que intentará el atacante, pero realizado por una empresa contratada y con la confianza de que no se hará daño.
También concienciar a los administradores y usuarios, puesto que junto con la web en sí, serán el objetivo. Por ejemplo un atacante podrá intentar, en vez de atacar a la web directamente, entrar en el equipo personal del administrador y robarle le contraseña. De hecho estos son los métodos más usados.
Para evitar que un usuario quede infectado por los atacantes, es necesario fundamentalmente:
- Actualizar todos los programas en cuanto es posible.
- Bastionar los programas activando sus opciones de seguridad. Informarse de cómo hacerlo y de qué protegen.
- Conocer qué nuevos programas están siendo atacados y cómo protegerse, estar al tanto de las noticias al respecto.
¿Crees que existe suficiente conciencia entre las empresas con web sobre la necesidad de proteger su página de los ataques?
Sí, pero no hay recursos suficientes para plantear una seguridad seria. O bien dejan las auditorías "a medias". Sería necesario una concienciación global y una auditoría a todos los puntos de la cadena. Dejarlo a medias significa que el atacante irá por el punto más vulnerable.
¿Crees que se realizan suficientes escaneos de vulnerabilidades en las páginas web?
No. Es necesaria una auditoría anual y manual, tanto de las páginas web como de los administradores, probando su nivel de concienciación y protección en los equipos desde donde las administran.
Precisamente dejarlo en manos de un análisis "automático" y un escaneo periódico es la garantía del fracaso.
¿Qué vaticinas para el año 2013?, ¿por dónde atacarán los hackers?
Seguirán las grandes fugas masivas de datos desde empresas reconocidas, como ha venido ocurriendo en los últimos dos años. También continuarán los niveles masivos de infección de malware (en torno al 50% de los Windows españoles).
Parece que el marcado del móvil será el siguiente objetivo. Crece más que el de sobremesa, y allí donde los usuarios naveguen, estará la amenaza.
....
Web de Security Guardian: http://www.security-guardian.com/
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian
