IBM presenta los resultados de su último Informe semestral X-Force 2013 sobre tendencias y riesgos de seguridad según el cual los directores de seguridad de la información (CISOs) deben mejorar su conocimiento sobre el panorama cambiante de las vulnerabilidades y los ataques, como las tecnologías para teléfonos inteligentes y redes sociales, con el fin de combatir más eficazmente las amenazas de seguridad emergentes.
Estos directores son conscientes de que los ataques pueden causar un gran daño a una empresa. Además, aquellas vulnerabilidades conocidas que no tienen parche en aplicaciones web, en el software del servidor o en el dispositivo, siguen favoreciendo las brechas un año tras otro.
No obstante, este último informe X-Force también resalta que los atacantes están perfeccionando sus habilidades, obteniendo así mayores beneficios. Estos atacantes están aprovechándose de la confianza de los usuarios en lo referente a nuevos ámbitos como los medios sociales, la tecnología móvil y los ataques “water hole” (el atacante hace un perfil de las víctimas y los sitios que visita, comprueba la vulnerabilidad de estos sitios y después inyecta un HTML o JavaScript).
A continuación destacamos los resultados más interesantes del informe en este sentido:
Aumento en la explotación de las relaciones de confianza
En la primera mitad de 2013, los atacantes han continuado centrándose en explotar las relaciones de confianza a través de las redes sociales, yendo desde el spam de aspecto profesional hasta el envío de enlaces maliciosos que parecen ser de amigos o personas a las que uno “sigue”. Estos ataques funcionan, sirviendo de punto de entrada en las organizaciones. Para defenderse, las redes sociales han tomado medidas más proactivas examinando previamente los enlaces incluidos en publicaciones/mensajes públicos y privados.
Asimismo, los delincuentes están vendiendo cuentas en sitios de redes sociales, unas de personas reales cuyas credenciales han sido puestas en peligro y otras creadas para resultar creíbles mediante perfiles realistas y una red de contactos. Como mínimo sirven para inflar los “me gusta” de una página o falsificar opiniones; aunque hay usos más insidiosos como ocultar la identidad de alguien para llevar a cabo actos criminales – el equivalente digital de un DNI falso, pero con amigos testimoniales que se suman al engaño.
Según el informe X-Force de IBM se espera que las aplicaciones de ingeniería social se vuelvan más sofisticadas a medida que los atacantes crean redes de identidades complejas y afinan el arte de engañar a las víctimas. Si bien cada vez hay más avances y controles tecnológicos y se siguen puliendo y utilizando los casos de éxito para formación, en última instancia, a través de un usuario confiado se pueden sortear todas las barreras que implementan los profesionales de la seguridad.
Envenenando el “water hole”
Cada vez más los atacantes centran su plan de ataque en aquellos sitios web de interés especial para un grupo selecto de objetivos potenciales y que no siempre cuentan con soluciones y políticas de seguridad sólidas o, incluso si disponen de éstas, merece la pena asumir el coste de descubrir cómo atravesarlas por tener la oportunidad de comprometer la base de usuarios.
Estos ataques de “water hole” son un ejemplo excelente de sofisticación operacional para alcanzar a objetivos que no eran vulnerables anteriormente. Al comprometer el sitio principal y utilizarlo para colocar malware, los atacantes son capaces de acceder a víctimas más expertas que podrían reconocer un ataque de phishing, pero no sospecharían que los sitios en los que confían puedan ser maliciosos.
Técnicas de distracción y desviación
Los ataques distribuidos de denegación de servicio (DDoS) pueden utilizarse como distracción, permitiendo a los atacantes vulnerar otros sistemas en la empresa mientras el personal de TI se ve obligado a tomar decisiones difíciles en función del riesgo, posiblemente sin ver todo el alcance de lo que está sucediendo. Los atacantes han sofisticado sus técnicas en el área de DDoS con métodos que aumentan la capacidad del ancho de banda, una forma actual y potente de detener el negocio interrumpiendo el servicio online, así como nuevas técnicas para evadir la mitigación de DDoS.
Dado que el alcance y la frecuencia de las brechas en la información continúan teniendo una trayectoria ascendente, es más importante que nunca volver a los fundamentos básicos de la seguridad. Aunque la mitigación técnica es una necesidad, concienciar a los usuarios de toda la empresa de que la seguridad es una actitud y no algo aislado, puede contribuir enormemente a reducir estos incidentes.