domingo, 30 de enero de 2011 1 comentarios

El cibercrimen ataca al eslabón más debil, ahora tramitación electrónica.

Hace ya un año que posteé sobre un fraude masivo detectado sobre los sistemas informáticos que permiten a los países gestionar sus cuotas nacionales en relación a la emisión de gases de CO₂ de acuerdo a convenios internacionales (el Protocolo de Kioto y el sistema europeo). Se basa en la gestión de derechos y su adquisición permite poder emitir el equivalente de una tonelada de dióxido de carbono durante un período determinado.

Esta noticia, aunque ha pasado inadvertida en los medios de comunicación, vuelve a primera plana dado que la UE ha cerrado su mercado de emisiones de CO₂ tras un nuevo ataque que había permitido a sus autores lograr hacerse con permisos de emisión por valor de siete millones de euros en la República Checa.

Como se suele decir, el hombre es el único animal que tropieza dos veces en la misma piedra. No hay peor defensor que el que subestima a su atacante y en este caso además, debiera aplicarse el sentido común para detectar que un sitio Web con semejante trascendencia y potencial botín no va a dejar de ser avasallado hasta lograr la fechoría.

Los consultores de seguridad si algo tenemos como característica innata es la capacidad no sólo de pensar cómo se protege un elemento sino también de cómo se ataca. Debemos ser capaces de ponernos en la mente del agresor y detectar cual podría ser su modus operandi. En estos casos siempre considerando que será más listo que nosotros por una sencilla razón: el agresor siempre tiene ventaja. A nosotros nos toca vigilar a todas las ovejas mientras que el lobo sólo tiene que permanecer al acecho, buscar la más débil y atacar en un momento de despiste. Por tanto, hay una descompensación en los esfuerzos de defensa y de ataque a favor del agresor.



Nuestra forma de razonar no es pensar en cómo tienen que hacerse las cosas para que funcionen bien (visión más ingenieríl) sino en cual será la lógica del agresor para vulnerar el sistema. Un buen consultor de seguridad debe ser un buscador de "Talones de Aquiles", de eslabones débiles que pudieran tirar por tierra todo el esfuerzo empleado en fortificar un sistema. Y aunque a veces pueda resultar excesivo o extremadamente paranoico, la realidad luego se encarga de demostrar que precisamente estos pequeños agujeros poco probables son los que acaban generando problemas de seguridad.

En el caso a modo de ejemplo de vigilar las ovejas, el pastor estará atento no solo al rebaño sino también a los sitios por donde pasa y en donde el lobo pudiera tener más fácil salirse con la suya. Esta manera de actuar no es más que la construcción mental de "Arboles de ataque" que sirven para identificar las potenciales vulnerabilidades del sistema de protección o localizar nuevos frentes que debieran ser vigilados.

El caso del mercado del CO₂ debiera servir como ejemplo para nuestras Administraciones Públicas que andan muy dormidas en materia de seguridad de la información. El problema de seguridad de los sitios Web afectados ha sido debido principalmente a la debilidad del sistema de autenticación basada en usuario y contraseña que ha permitido realizar diferentes oleadas de phishing y comprometiendo cuentas de usuarios con privilegios para la adquisición de derechos de emisión.

Precisamente hoy vence el plazo de adecuación de sistemas establecido por la Disposición Transitoria del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. que establece lo siguiente:

Adecuación de sistemas.

1. Los sistemas existentes a la entrada en vigor del presente Real Decreto se adecuarán al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido en la disposición final tercera de la Ley 11/2007, de 22 de junio. Los nuevos sistemas aplicarán lo establecido en el presente Real Decreto desde su concepción.

2. Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicación de lo exigido en el mismo, se dispondrá de un plan de adecuación que marque los plazos de ejecución los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor.

El plan indicado en el párrafo anterior será elaborado con la antelación suficiente y aprobado por los órganos superiores competentes.

3. Mientras no se haya aprobado una política de seguridad por el órgano superior competente serán de aplicación las políticas de seguridad que puedan existir a nivel de órgano directivo.

Es comprensible que los esfuerzos por hacer avanzar la Administración electrónica hagan correr a los responsables en la puesta en marcha de servicios al ciudadano. Sin embargo, no es tan razonable que esa puesta en servicio deba realizarse con un sacrificio de las medidas de seguridad. Al igual que no se les ocurriría habilitar una sede o edificio sin puertas ni ventanas, no debieran lanzarse sitios Web sin las correspondientes mínimas medidas de seguridad. Porque el problema es que una vez se ponen en marcha mientras no se detecten incidentes todo el mundo estará confiado hasta que venga "el lobo" y se lleve por delante a varias ovejas. Eso es lo que ha ocurrido con el mercado del CO2 a nivel europeo, y como ya postee la vez anterior, el fraude fue detectado 18 meses después con una pérdidas estimadas de 5.000 millones de euros. El crimen está muy organizado y se mueve ahora como pez en el agua en materia de nuevas tecnologías. Lo grave de este tipo de robos es que son rápidos y relativamente limpios por lo wue tardan en ser detectados.

En la situación de crisis en la que estamos, lo que menos nos podemos permitir ahora son pérdidas millonarias por descuidos de nuestros servicios Webs que permitan a chorizos internacionales defraudar. Por tanto, o los servicios gozan de esa "seguridad por defecto" que exige el R.D. 3/2010 o nos estamos quietecitos y no lanzamos nuevos portales de tramitación que no reúnan las medidas adecuadas.

Como este año va ser difícil cortar la cinta de construcciones y edificios de grandes presupuestos, mucho me temo que a los políticos les va a tentar vender modernidad y cercanía al ciudadano queriendo alardear de innovación, cambio del modelo productivo y servicios de tramitación telemática. Por tanto, de nuevo, política de fachada y de andamios para vender servicios terminados que se mantienen con palos y cañas.



Porque lo peor para la seguridad es siempre subvestimar al enemigo o refugiarse en una falsa sensación de confianza. Te despiertas del "sueño de la seguridad" con la realidad de descubrir que vivías sólo del teatro de la seguridad. Por tanto, es necesario garantizar la seguridad de todos los eslabones de la cadena por igual o todo el esfuerzo se vendrá al traste. Siempre el más debil será la primera víctima y producirá que el resto de eslabones sean inútiles para el objetivo planteado.

viernes, 7 de enero de 2011 5 comentarios

El negocio de las fugas de información: el caso Renault.

Hoy a salido a la luz una noticia sobre el supuesto caso de espionaje industrial que ha podido sufrir Renault con el diseño de su futuro coche eléctrico. Este no es sino un hecho más que sirve para concienciar a las empresas sobre la importancia que tiene la seguridad de la información dentro del funcionamiento habitual de los procesos de negocio en el siglo XXI, sobre todo, en aquellas que se dedican a la innovación. Cualquier charla que doy sobre seguridad de la información siempre empieza con unas de las primeras frases que aparece en la norma ISO 27002 y es que la información es un activo de toda organización, y como tal, debe ser protegido.

Los datos confidenciales de Renault que han podido ser vendidos, parecen estar relacionados con las investigaciones de la empresa francesa y su socio Nissan sobre las baterías de los automóviles eléctricos de segunda generación. Estos son estudios que tienen que ver con la estrategia de la compañía en los próximos años y que pueden colocar a ambas marcas en las primeras posiciones dentro del futuro mercado del vehículo eléctrico. Tanto es así que ambas marcas han desembolsado en este proyecto cerca de 4.000 millones de euros.

Sin embargo, parece que tres ejecutivos de la compañía han podido suministrar dicha información a agentes intermediarios que finalmente habrían podido acabar vendiendo los documentos en el mercado chino.

Hagamos cuentas por el lado del comprador. Si la información ha costado una inversión de 4.000 millones de euros y a cada directivo se le ingresa en cuenta 1.000 millones, la ecuación para el ladrón de secretos todavía sale con un saldo a favor de 1.000 millones. Ahí es nada.

Hagamos cuentas ahora por el lado del directivo tentado. ¿Cómo de honrado y leal debe ser un trabajador para soportar una tentación de 1.000 millones de euros?. Obviamente para resolver esta ecuación debemos pensar en varios factores. El primero, el nivel de remuneración del empleado que le lleve a garantizar los secretos tan relevantes que le han sido conferidos. Por otro lado, las consecuencias que podría tener dejarse llevar por la tentación y cometer el delito de revelar los secretos. Si 1.000 millones de euros compensan las consecuencias de revelar los secretos, la tentación posiblemente se resuelva con la venta de los datos. Es la ecuación de todo delito: Beneficio - coste o impacto.

No nos engañemos, el espionaje industrial es una de las fuentes más lucrativas dentro de los negocios relacionados con la inseguridad de la información. Hay compañías que están más dispuestas a robar los secretos industriales de sus competidores una vez que estos logran sus éxitos que a invertir en el proceso de la innovación que muchas veces no logra los objetivos y hace que el dinero invertido no se recupere. El robo de datos es, en este caso, una apuesta más segura dado que se invierte una vez logrado el éxito del proceso investigador.

Esto está también relacionado con las reflexiones que hace unos días hacía Bruce Schneier sobre el caso Wikileaks y de las que ya me hice eco hace un par de post. Por más que nuestra profesión trate de identificar las fugas, los puntos por los que la información se escapa hay una cosa que jamás podemos gestionar ni mejorar, la lealtad de las personas que trabajan en las organizaciones. A ello se suma, como apuntaba en los comentarios Joseba Enjuto, que las violaciones de la confidencialidad no son detectables hasta que se evidencia que la información ha sido filtrada (cuando ello deja signos visibles). En el caso del espionaje industrial, muchas veces lo que ocurre es que se producen similitudes sospechosas que dan que pensar aunque no se tengan pruebas.

No es este un tema nuevo pero si un tema recurrente. Lo bueno del blog es que siempre permite mirar hacia atrás y ver que las cosas se siguen repitiendo sin que aprendamos de los tropiezos. Ya en el año 2007 postee sobre una investigación del Gobierno Alemán sobre los casos de espionaje industrial que procedían de Oriente.  Se puede comprobar en las fotografías del diario alemán Spiegel como las similitudes son demasiado casuales como para no sospechar. La industria china es competitiva por el bajo precio de su mano de obra. Sin embargo, todavía no están tan capacitados para inventar. Sin embargo, en el espionaje industrial encuentran el atajo necesario para poder llevar al mercado productos de idénticas prestaciones pero precios mucho más atractivos. Es la forma que tienen, aunque sea haciendo trampas, de lograr hacer crecer su economía. Google este año lo ha sufrido también en sus propias carnes mediante la sofisticada Operación Aurora. Lo que empieza a ser muy claro es que esta forma de actuar forma parte de una estrategia orquestada del sector chino para rivalizar con la industria americana y europea. Os remito al documental de "Documentos TV" sobre "El negocio de lo falso".

Por tanto, tenemos que tener claro que para que la información de una organización esté protegida, se tienen que dar de forma simultanea, coherente y sincronizadas tres pilares esenciales:

  1. Deben implantarse las medidas tecnológicas necesarias para garantizar el uso correcto y autorizado de la información, de acuerdo a los riesgos detectados y la importancia de los activos a proteger. El principio de proporcionalidad como elemento para la toma de decisiones respecto al qué hacer.
  2. Como dice Schneier, la confidencialidad de un secreto está tan garantizada como la lealtad o la confianza que se pueda depositar en las personas que hacen de custodios del mismo. Por tanto, las personas siempre van a ser la clave de toda protección. La tecnología pone los medios pero las personas son las que finalmente hacen eficaces o no dichos mecanismos. 
  3. La auditoría como mecanismo de seguridad, como medida disuasoria con carácter preventivo y como elemento aclaratorio de los hechos con carácter correctivo.
Las empresas y los Gobiernos deben entender que el paso del mundo analógico al digital no solo supone cambiar el papel por archivos electrónicos. Detrás de esta evolución se debe entender que estamos en un nuevo contexto donde la información fluye de forma muy rápida y por tanto, su control es bastante más complejo. La desaparición de las restricciones físicas hacen que el problema tenga que ser abordado desde otras perspectivas y con un robustecimiento y posiblemente endurecimiento de las condiciones de manejo de la información.

El dramaturgo irlandés George Bernard Shaw acuño una frase célebre que representa perfectamente la diferencia entre los negocios basados en mercancías y los basados en el conocimiento.  La frase dice aproximadamente así:  "Si tú tienes una manzana y yo tengo una manzana e intercambiamos manzanas, entonces tanto tú como yo tenemos una manzana. Pero si tú tienes una idea y yo una idea e intercambiamos ideas, entonces ambos tenemos dos ideas".  Por tanto, las mercancías se intercambian pero el conocimiento siempre se comparte.

Y sólo hay dos maneras de aprender este nuevo contexto en la Sociedad de la Información: por las buenas o por las malas. Wikileaks es un ejemplo de aprendizaje por las malas, pero hay muchos ejemplos de aprendizaje por las buenas. Son los casos de aquellas organizaciones que siguen velando y protegiendo adecuadamente sus activos de información y de los que no se conocen incidentes. El problema es que cuando uno lo hace bien tampoco es notorio. Sólo sale a la luz el que comete errores y ve su información expuesta.

Trabajar en seguridad de la información es muy desagradecido porque, si no pasa nada, se supone que es tu trabajo o te acusan de ser demasiado paranoico. Pero si pasa, eres el máximo responsable cuando muchas veces no se implantan las medidas que propones. En fin, hay que asumir que es nuestro contexto y no puede ser de otra forma. Nadie puede felicitarte por haber evitado algo que no se sabrá que podía haber sucedido si no hubieras hecho bien tu trabajo. La prevención nunca tiene esa recompensa, ni en seguridad ni en cualquier otra disciplina. Solo requiere de confianza y decisión por parte de la Dirección de que siempre es mejor evitar que paliar daños.
 
;