lunes, 9 de enero de 2012

Reflexiones sobre tendencias del 2011 y pronósticos para el 2012

Como anunciaba en el post anterior y como viene siendo tradicional en el cambio de año, toca revisar las tendencias detectadas del año saliente 2011 y hablar de lo que puede verse en el año 2012.
Por las fechas en las que estamos, la comunidad bloguera ya ha hecho este tipo de reflexiones y voy a tratar de aportar algo nuevo al respecto hablando más de tendencias que de lo sucedido. De los resumenes del año, el que más me gusta por lo exhaustivo y pormenorizado es que el que ha hecho Hispasec en sus Una-al-dia y que ha segmentado en trimestres en los post 1, 2, 3 y 4. Respecto a lo sucedido a lo largo del 2011, se pueden destacar los siguientes puntos:
  • Este ha sido el año en el que peligrosamente los virus informáticos han saltado del mundo de la informática del PC a las tecnologías SCADA. Los especímenes Stuxnet y Duqu han hecho temblar ahora a los sectores industriales que pueden verse afectados por malware. 
  • Stuxnet y Duqu también son representativos de una nueva tendencia que es la especialización y orientación de los ataques hacia objetivos selectivos. En este año hemos podido ver como la amenaza de la intrusión informática a afectado a empresas muy emblemáticas como Sony, Google o  RSA o Startfor. El objetivo de los ataques selectivos básicamente han sido dos: En primer lugar el robo de grandes volúmenes de datos de carácter personal, sobre todo vinculados a información que permita acceso a servicios financieros o pago mediante tarjetas de crédito para realizar fraude y en segundo lugar el robo de propiedad intelectual muy concreta que además en el caso de RSA ha comprometido la seguridad de un mecanismo de autenticación empleado por las empresas más concienciadas y que como consecuencia ha podido generar como efecto colateral el robo de información en empresas que se pensaban protegidas por emplear metodos de autenticación fuerte empleado las tecnologías de RSA-id.
  • Este año también hemos podido ver en el lodazal de los incidentes de seguridad a Entidades emisoras de certificados (PKI). Primero Comodo y posteriormente Diginotar han visto comprometidas diferentes piezas de la infraestructura de clave pública y se han tenido que revocar ramas enteras del árbol de certificación. En el caso de Diginotar además, al verse comprometido el certificado raíz, ha supuesto el cese de actividad de esta Entidad que ya no se ha recuperado del incidente.
  • En España este año ha sido especialmente importante en materia de regulación de la seguridad. El vencimiento de plazos del R.D. 3/2010 del Esquema Nacional de Seguridad, la reforma del Código Penal que puede afectar en materia de fuga de datos a las personas jurídicas también  y la publicación de la Ley 8/2011 por la que se establecen medidas para la Protección de las Infraestructuras Críticas  y el R.D. 704/2011 por la que se aprueba el Reglamento para la Protección de las Infraestructuras Críticas seguramente darán mucho que hablar en este 2012.
  • Por último destacar que este año el hacktivismo (yo lo llamaría mejor cibercrimen) ha empezado a mostrar que se quiere erigir como un cuarto poder amenazando o publicando información delicada que compromete a organismos o revela datos sobre gestiones irregulares que éstos realizan. Anonymous es quizás la red más popular aunque Luzsec también ha tenido un papel destacado. Lo que si pone de manifiesto este hecho es que la "información es poder" y si ciertos ciudadanos con unas habilidades y conocimientos técnicos son capaces de acceder a las cloacas de las empresas y administraciones públicas pueden obtener datos sensibles, muchas instituciones pueden tener que dar explicaciones de cosas que hasta la fecha manejaban como "secretos".  Además cuentan con servicios como Pastebin.com que se prestan al juego de dar difusión de la información robada a modo de Wikileaks del hacking. En algunos de estos casos la información robada puede acabar comprometiendo la vida de personas, como publicó Chema Alonso en la entrada Hackers publican la BBDD de escoltas de Presidencia.
En cuanto a los pronósticos, me ha gustado mucho el post de Paolo Paseri donde aparece una tabla resumen de predicciones de los principales fabricantes de productos de seguridad y un diagrama de barras con las tendencias pronosticadas que más se repiten.


Las estadísticas sobre las predicciones realizadas tiene esta gráfica:

Yo como en estos últimos años solo puedo extraer una conclusión: los malos irán allá donde haya dinero facil y donde el crimen tecnológico de guante blanco les permita generar unos ingresos rápidos con poco esfuerzo y de difícil investigación
¿Los medios? Los que sean fáciles de aplicar y sencillos de emplear para estos fines. Seguramente veremos bastantes cosas en materia de aplicaciones en smartphones porque su uso está creciendo de forma vertiginosa y son plataformas donde todavía no hay cultura de la prevención proactiva. Serán pocos los que instalen en sus terminales aplicaciones antimalware. En este sentido, el Android Market por su ausencia de controles y su gran crecimiento en número de usuarios será en este caso "el Microsoft del mundo PC", con la desventaja de que a Google esta guerra le pilla relativamente de nuevas y tendrá que aprender rápido la necesidad de la gestión de la seguridad sobre sus plataformas.
Otra novedad posiblemente sea Cibercrimen as Service (CaaS) del que ya se empiezan a ver algunos ejemplos. Si los malos montan sus plataformas de hacking para sus usos particulares, ¿por qué no alquilarselas a terceros y seguir ingresando dinero por ello?
Además, todos estos servicios obviamente contarán con material didáctico sobre cómo emplearlos con sus videos explicativos en Youtube y sus tarifas con precios por duración de la denegación de servicio.



Los que nos dedicamos a este mundo a lo largo del 2012 seguiremos oyendo por parte de nuestros clientes que eso de la seguridad y el hacking es ciencia ficción, que nunca pasa nada y que la seguridad no tiene retorno de inversión. El problema es simplemente una "gestión de la incertidumbre" o "el riesgo" pero la causa que subyace detrás de todo esto es que el ser humano del siglo XXI sigue pensando con los instintos del mundo primate y sólo es capaz de valorar las amenazas que afectan a su integridad física. No somos capaces de estimar los riesgos que nos pueden venir por un cable Ethernet. Se seguirán ignorando estos hechos a pesar de que las tendencias de los últimos años empiezan a revelar que al "iceberg de la seguridad" ya se le empieza a ver su verdadero tamaño, que el mundo del cibercrimen es cada vez más consciente de este "nuevo poder" y que toda organización puede ser una víctima directa del hacking o un efecto colateral en unas pruebas de concepto. Y para aquellos que siguen pensando que nunca pasa nada y que todo esto sigue siendo algo muy "irreal", sólo hay que consultar el time-line del hacking del 2011 que ha recogido Paolo Paserí donde se pueden ver los costes de la inseguridad. Los daños que pueda sufrir una empesa superan en mucho y de forma inmediata los costes de las medidas preventivas. Sólo evitando un incidente se pueden justificar la aplicación de las medidas.


Sin embargo, para aquellos que se siguen manteniendo en el discurso de que la seguridad no tiene retorno de inversión y que no tiene sentido protegerse frente a algo que sencillamente no ocurre, yo les haría una pregunta, ¿Por qué se invierte en Defensa? ¿No hace más de 50 años que en España no hay una guerra? 
Los datos sobre el coste del programa Eurofighter por ejemplo, son para poner los pelos de punta y muy envidiables para el mundo de la seguridad lógica. 

El coste inicial del Programa Eurofighter para España asciende a 10.795,4 millones de euros, de los que 1.598,7 millones corresponderían a la fase de I+D y los restantes 9.196,7 millones a la de producción de las aeronaves. El coste unitario de un EurofighterTyphoon de la llamada trancha 2 – segunda fase de producción – se estima en unos 80,3 millones de euros (algo más de 13.360 millones de las antiguas pesetas)
Posiblemente el despliegue de toda la infraestructura necesaria para la cyberdefensa de España (Un SOC gubernamental con un despliegue de tecnologías SIEM a lo largo de las diferentes instituciones más relevantes) podría ser similar al de UN SOLO AVION EUROFIGHTER. Y cual de las dos piezas de defensa protege más al pueblo español, ¿Un avión surcando el cielo o un "Security Operation Center" (SOC) vigilando todas nuestras infraestructuras críticas? 



2 comentarios:

Audea dijo...

Excelente el resumen del año y muy ilustrativa la referencia al coste de los eurofighters en relación con un SOC bien preparado. Seguramente nos falta mentalizarnos sobre la dependencia que la seguridad de cualquier país tiene de las redes y sistemas de información. Y en especial, mentalizarnos de que el "arte" de la guerra ha incluido ya de forma definitiva en su "catálogo de servicios" los ataques a sistemas de información como elemento fundamental que puede hacer más daño (o al menos casi el mismo) que la más potente de las armas de destrucción masiva.

Camila dijo...

Siempre que se hable de la seguridad de la informacion, me interesa el tema. Me dedico al tema de la confiabilidad y seguridad informática, pero también me intereso por los distintos seguros de la sociedad. Estoy muy vinculada con rsa

 
;