Mientras el Consorcio Internacional de Periodistas de Investigación (ICIJ) acaba de hacer pública una base de datos con más de 200.000 personas y compañías con estructuras "offshore", las firmas de abogados se preguntan: ¿Qué medidas puedo implementar para ofrecer mayor seguridad a mis clientes?
John Doe –comúnmente traducido al español como Juan Nadie- es uno de los alias más usados de la Historia, aunque ahora mismo asociemos el nombre a la persona interna de Mossack Fonseca que originó la filtración conocida como Panama Papers o Papeles de Panamá.
El Doe panameño empleó ese nombre para contactar al periódico alemán Süddeutsche Zeitung y entregarle 2,6 terabytes de información con documentos confidenciales de la firma de abogados en la que trabajaba.
Por su seguridad y anonimato, exigió que no hubiera encuentros personales y que todos los mensajes intercambiados con los periodistas fuesen encriptados. Gran previsión que no empleó su víctima, Mossack Fonseca.
Sin embargo, esta falla no es problema de una firma aislada, es un mal que afecta a todo el sector. No hace mucho se reveló que las 48 firmas jurídicas más prestigiosas del mundo estaban en la lista de objetivos del ciber criminal ruso Oleras.
¿Soy un blanco fácil?
El director en Barcelona (España) de la consultora internacional Russell Reynolds, Diego Esteban, saltó hace poco a los medios con una frase demoledora: “Hay dos tipos de empresa: la que ha sufrido un ataque informático y la que no se ha enterado”. Esta casi apocalíptica afirmación deja a todo el que la escucha con un sentimiento de angustia compartido: ¿Será verdad? ¿Está mi empresa entre aquellas que han sido o pueden ser espiadas y saqueadas de datos?
Sin embargo, poca gente hace algo al respecto. De hecho, Martín Elizalde, socio de Foresenics, cree que el error más común en ciberseguridad es pensar que “a mi organización no le va a pasar”.
Foresenics es una empresa argentina que realiza investigaciones y administra la información digital de los estudios jurídicos. Antes de ser socio de la firma, Elizalde ya había vivido en primera persona ataques a algunas de las empresa en las que había trabajado, principalmente fraudes internos de empleados desleales “que aprovechan la falta de controles y medidas de seguridad adecuadas”.
Su experiencia personal se suma a su trayectoria dentro de Foresenics, donde han detectado una pauta entre los casos que llegan a su oficina: la mayoría son firmas jurídicas que, sin saberlo, se han convertido en blanco fácil de hackers o ataques externos, tal y como indica el Informe Anual de Seguridad Cisco 2015. “Los abogados almacenan un tesoro de información sensible de sus clientes, sin extremar la seguridad. Siempre es más fácil atacarlos a ellos que a alguno de esos clientes”.
Tras los Papeles de Panamá, Elizalde ha notado un aumento de preocupación por la ciberseguridad “y no sólo por parte de los abogados, sino por parte de sus clientes; me parece que es el fin de la edad de la inocencia”. Con lo cual recomienda dos medidas fundamentales: Actitud vigilante y un buen plan de control de daños.
Esa creciente intranquilidad se nota especialmente en las empresas con sede o actividades en Panamá. “Una consultora internacional nos encomendó un plan para determinar las debilidades de firmas en ese país y acompañarlas en el proceso de mejoramiento de la seguridad”. En al menos un caso, incluyó la adaptación del cliente a las disposiciones de las normas ISO 27.001, un estándar para la seguridad de la información aprobado en 2005 por la International Organization for Standardization y por la comisión International Electrotechnical Commission que especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI).
Admite, por tanto, que después del incidente de Mossack Fonseca, los clientes de Foresenics están cada vez más dispuestos a implementar nuevas medidas de seguridad, “aunque hay empresas que no cambian su cultura de trabajo aún después de sufrir un ataque”.
Ataques externos: rompiendo la barrera
En un primer momento, cuando la firma empezó a aparecer en los medios de comunicación debido a la fuga de información sensible, Mossack Fonseca adjudicó la causa a un ataque externo a su servidor de correo electrónico. Y, aunque el propio informante interno ha confirmado ya la filtración intencional y sus motivos, quedó expuesta esa debilidad y la necesidad de sacarla al ruedo.
Desde Hacking Panamá, opinan que la publicación de los Papeles de Panamá responde a la combinación de factores internos y externos que demuestran que “no se cumplieron las políticas de seguridad recomendadas para una firma de abogados multinacional de esta importancia”. Y alegan que una filtración de este tamaño implica el uso de técnicas de hacking avanzadas como el dump -información sacada de un servidor o base de datos- de los correos.
“Lo más probable es que fuera un ataque interno, lo que implica un trabajo organizado entre alguien de dentro de la organización con personas de fuera”, opina André Conte, CEO de Hacking Panamá.
Entre los ataques externos más comunes, Conte destaca los tres más habituales en Panamá:
1. Los DDoS
En resumen, consiste en la saturación de la red para dejar fuera de línea un negocio. DDoS son las siglas de Distributed Denial of Service, es decir, se ataca al servidor desde muchos ordenadores para que deje de funcionar. Sería algo así como recibir a 100 personas en un restaurante con capacidad para 20; lo que supone que los camareros acaben atendiendo más lentamente a los clientes, que estos tengan que esperar y que, como resultado final, puede que el personal acabe tan saturado que cierre sus puertas. Traducido a un servidor informático, este acabaría por colgarse y dejar de funcionar.
El ataque DDoS tiene variantes como, por ejemplo, el slow read, que realizaría lo antes dicho muy lentamente para que el servidor consuma más recursos por cada conexión.
Cómo protegerse:
En primer lugar, es fundamental tener los antivirus actualizados. También se recomienda analizar en tiempo real el tráfico del servidor e identificar los paquetes IP ilegítimos, dejando acceder a los paquetes IP legítimos.
2. Defacement
Consiste en desfigurar el sitio web de una empresa y dejar un mensaje negativo a la compañía. El atacante accede por algún error de programación de la página, por un bug en el propio servidor o por una mala administración de la página.
Cómo protegerse:
En primer lugar, se debería reforzar las contraseñas de acceso a los servidores web usando contraseñas seguras (combinar letras, números, mayúsculas y caracteres especiales) y no repitiéndolas para varios servicios diferentes. Si siempre usa la misma contraseña, piense en todo a lo que podrá acceder una vez la averigüen.
Además, es fundamental el cortafuegos (o firewall) para la protección de los servidores, mantener actualizada la protección de dichos servidores con las más recientes versiones, revisar el código html empleado en su página web así como implementar una política de control de calidad y seguridad del código de los programas o los sistemas desarrollados internamente.
Si se ofrece servicios a terceros y se recibe información de estos, es recomendable crear una política de verificación de los archivos para evitar la incrustación de código malicioso.
3. Filtraciones de información
Los ataques externos pueden ser motivados por un fallo de seguridad interno que no tiene porqué ser intencionado sino que puede ser provocado por un mal manejo de los permisos de usuarios en la empresa, organizados por el departamento de IT y auditoría.
Cómo protegerse:
La firma debería contar con un oficial de seguridad informática con verdadero conocimiento de la seguridad de la empresa, que establezca políticas de seguridad internas. Además, “siempre es positivo auditar la empresa interna y externamente al menos una vez cada seis meses”, según indica Conte.
En el caso de la filtración a través del hackeo de servidores de correo, Foresenics recomienda “actualizar los servidores y servicios de correo, cifrar los emails y proteger la infraestructura con medidas avanzadas”.Desde dentro: la mano que abre la puerta
En el informe DBIR 2016 (Data Breach Investigations Report) de la empresa de comunicaciones Verizon, se indica que la mayoría de los ataques cibernéticos contra empresas son externos. John Shier, asesor de seguridad de Sophos, concuerda, pero reconoce que los ataques internos generalmente tienen un impacto mucho mayor: “Una fuente interna privilegiada siempre sabrá dónde buscar y qué datos son de mayor valor”.
Los casos de filtración interna pueden producirse intencionalmente, por negligencia de un empleado, o por un fallo tecnológico en los sistemas o protocolos de seguridad informática.
En las empresas grandes hay más presupuesto y más personal informático para vigilar esas tres fallas, lo que las debería situar en una mejor posición frente a los ciberataques. Sin embargo, “con más activos llegan también más oportunidades de perder algo o desconfigurarlo”, argumenta Shier. Y añade: “Un atacante motivado siempre tomará la ruta más fácil”, es decir, buscará la brecha de seguridad por la que sacar la información de la empresa.
“Gracias a algunas leyes de notificación de violación que tiene alguna información sobre el problema, pero estas leyes no cubren todos los sectores y todos los países que no los tienen”. Por eso, desde Sophos desglosan una serie de medidas corporativas que se deben seguir para evitar los problemas más comunes debido a fallas internas:
- La encriptación de las comunicaciones
Debemos asegurarnos de que el cifrado se aplica a todos los datos que enviamos y que es permanente. Si el archivo enviado se copia y se envía desde otro email, debe permanecer cifrado.
- Los privilegios de acceso
Si el usuario decide descifrar el documento y copiarlo, es necesario que haya un registro de quién tiene acceso. Además, no todos los usuarios deben tener los mismos privilegios; no todo el mundo necesita tener acceso a todo. Sophos recomienda dar solo acceso a los datos que cada empleado necesita para desempeñar su trabajo.
- Auditoría periódica
La auditoría le podrá decir quién de las personas con acceso a datos sensibles ha incurrido en un incumplimiento de las normas internas o si se ha producido alguna otra incidencia que nada tiene que ver con los empleados.
“Demasiadas empresas todavía no hacen suficiente hincapié en estos tres puntos”, lamenta Shier, quien advierte: “Una fuente interna, motivada y privilegiada siempre va a ser un problema para las empresas. Si mi intención es robar datos, voy a hacerlo de una forma que esté dentro del ámbito de aplicación de las tecnologías de seguridad instaladas”.
En resumen, lo mejor que una empresa puede hacer es tratar de reforzar su seguridad, reaccionar rápidamente a los incidentes, y solucionar los puntos débiles antes de tener un problema real. Sin embargo, John Shier, insiste en dejar claro que “tomar todas estas medidas reducirán la probabilidad de un ataque interno o externo pero nunca eliminarán la posibilidad de ser atacado. La ciberseguridad se debe probar, remediar, y probar de nuevo; nunca será algo que podremos instalar y olvidarnos de ella”.
}
Add new comment