16/06/2011 12:10:00
URI RIVNER, DE RSA: "VIVIMOS UNA GUERRA FRÍA DE CIBERESPIONAJE ENTRE NACIONES"
Mercè Molist
La compañía israelí RSA,
referente mundial en seguridad informática, se convertía recientemente
en actor secundario de lo que parece una novela ciberpunk: tropas
virtuales de élite entraron en su red corporativa y robaron código que
usaron para espiar a sus clientes, fabricantes de armamento del
ejército de los Estados Unidos. Uri Rivner, representante de RSA,
propone defenderse poniendo patas arriba las doctrinas de seguridad
cibernética de los últimos 15 años.
La RSA dio a conocer el ataque
en marzo. Los asaltantes buscaban información sobre su producto
estrella, SecureID, que usan 40 millones de personas. Es un aparato que
genera contraseñas para que trabajadores del exterior puedan entrar en
la red corporativa. Los delincuentes robaron el código que las genera,
haciéndose de golpe con la llave de las redes de cientos de grandes
empresas. En abril, dos contratistas del ejército de EEUU, Lockheed
Martin y L-3, denunciaban intrusiones relacionadas con esto.
Uri Rivner, Director de Nuevas
Tecnologias del Área de Protección de Identidades de RSA, asegura que
"estamos en una nueva guerra fría, con naciones que se espían las unas
a las otras". Es fácil deducirlo cuando, dice, "vemos cada vez más
ataques que buscan la propiedad intelectual de las corporaciones, de
los militares y de la infraestructura crítica".
Rivner se niega a caer en el
tópico de que el atacante sea China: "Todo el mundo está jugando a
esto, estados y no estados, grandes actores, incluso terroristas, es un
juego a lo grande, con objetivos a lo grande, operaciones quirúrgicas
muy concretas y alto presupuesto". Según Rivner, la motivación no es
económica, sino política.
Quienes perpetran estos ataques
son "equipos de élite, como los Navy Seals que mataron a Bin Laden",
explica Rivner. La intrusión en RSA fue tan compleja que no había
defensa posible, asegura: "Grandes corporaciones, con grandes
presupuestos en seguridad y muy bien protegidas, han sufrido ataques
parecidos y ni se han enterado. Nosotros al menos nos hemos dado
cuenta".
Los mercenarios obtuvieron
información sobre algunos empleados de la compañía en redes sociales
como LinkedIn. A partir de estos datos, les mandaron mensajes con
archivos adjuntos que podrían interesarles. Uno pinchó en el adjunto y
se desencadenó un proceso que infectó y dio el control de su ordenador
a los atacantes, amén de paso franco a la red de RSA.
"Es un ataque cada vez más
común, en los últimos dos años unas cien corporaciones lo han sufrido",
explica Rivner. En vez de perder el tiempo buscando agujeros en las
'murallas' que rodean las redes, se asaltan los ordenadores de las
personas autorizadas a entrar en ellas desde el exterior. Los
cortafuegos, detectores de intrusos y otros programas que defienden el
perímetro no sirven para nada ante estos modernos Caballos de Troya.
"La filosofía en seguridad
informática de los últimos quince años ha sido concentrar la inversión
en las defensas perimetrales, dejando el interior menos protegido",
asegura Rivner. Algo que se está demostrando obsoleto: "Hay que
defender también el interior, asumir que tienes alguien dentro que va a
hacer actividades maliciosas, monitorizar qué hacen los empleados para
detectar movimientos extraños".
Así fue como en RSA
descubrieron el ataque: "Notamos una actividad irregular en la red
interna, algo muy débil, parecía más un programa estropeado que un
ataque; al tener todas las "cámaras" apuntando a fuera no podíamos ver
qué pasaba dentro, dónde estaban, cuántos eran, qué hacían..". ¿Cuántas
empresas pueden haber sido atacadas de la misma forma y no saberlo?.
Rivner no responde.
RSA ha sido muy criticada por
dar poca infomación y tarde sobre el asalto. El experto asegura que dar
más habría sido una "irresponsabilidad". En cambio, habla hasta
cansarse de la lección aprendida: "Hay que defender el interior de las
redes, además de usar tecnologías de virtualización para entrar en
ellas".
Rivner presenta la
virtualización como la panacea ante estos ataques: el empleado que
quiera acceder a la red corporativa desde su ordenador en el exterior
debe entrar en un entorno virtual que funciona como puente y mucho más
difícil de infectar con programas maliciosos que su ordenador físico.
¿Productos como SecureID ya no serán entonces necesarios? "Claro que
sí, siempre se necesitará identificarse, también en estos entornos",
sonríe el experto, con cara de negocio redondo.
¿QUIÉN DA MÁS?
El grupo que atacó a la RSA
forma parte de una élite que, según Uri Rivner, "vive de este tipo de
trabajos desde hace años". Gente preparada, con gran experiencia y
buenos técnicos. Pero no son los únicos que pueden poner de rodillas a
las grandes corporaciones, asegura: "Hay 'botnets' (redes de
ordenadores troyanizados) que tienen datos de millones de personas.
Aunque sólo les interesan los financieros, tienen de todo tipo porque
el programa espía lo coge todo, también datos sobre las empresas en las
que trabajan", explica Rivner.
El experto asegura que "el 90%
de los empleados de las grandes corporaciones de Fortune 500 tienen
instalado un troyano llamado Zeus, el más popular hasta ahora". Por
tanto, si el empleado está infectado, cuando entra en la red de la
empresa el troyano entra también. Esta situación es producto de ataques
aleatorios, nadie ha infectado a este empleado porque trabaje en un
empresa determinada, pero a veces se "pesca" algo interesante.
"Quien maneja la botnet que ha
"pescado" por ejemplo a un alto cargo va al mercado negro y dice:
'Tengo a un ejecutivo de "El País", ¿cuánto quieres por él?', ya que a
través de él entrarás en la red de "El País", no necesitarás atacarla
porque ya estarás dentro, y además tendrás información privilegiada",
explica. Rivner se atreve a pronosticar: "Pronto veremos como los
gobiernos trabajan con los criminales, quienes les dirán: "Tenemos un
troyano instalado en un contratista del ejército, ¿quién está
interesado?".
RSA
http://www.rsa.com/
Copyright 2011 Mercè Molist.
Verbatim copying, translation
and distribution of this entire article is permitted in any digital and
no commercial medium, provide this notice is preserved.
<<