Lessons Learned from Another Big Breach

Lecciones aprendidas de otra gran filtración

Entrevista con Josh Shaul, vicepresidente de Productos de seguridad de web

Empecemos ofreciendo información previa sobre el problema de las filtraciones de datos del consumidor.

Se trata de un gran problema. Hemos sido testigos de cómo se han robado más de mil millones de registros en lo que va de año, y esto es algo para lo que existen precedentes. En los grandes ataques que salen en las noticias, por ejemplo en los principales retailers, los hackers suelen robar los nombres de usuario y las contraseñas. El fin último es ganar dinero, muchas veces de forma fraudulenta al comprar productos que se pueden vender en el mercado negro. Y el posible fraude no se limita a la empresa objeto de filtraciones. Se extiende a otras empresas online.

He aquí cómo se produce: Los hackers no roban las contraseñas reales. Consiguen versiones criptográficas, o mediante hash, de ellas, representadas como un grupo de 1 y 0. No pueden retroceder para saber cuál es la contraseña real, pero los algoritmos de hash que las organizaciones utilizan para proteger sus contraseñas son muy conocidos. De esta forma, pueden adivinar las contraseñas (y la información adicional que se puede haber añadido a la contraseña antes de usar un algoritmo hash) para, a continuación, ejecutarlas mediante el mismo algoritmo y, a veces, consiguen una coincidencia: el mismo grupo de 1 y 0.

A continuación, se aprovechan del hecho de que la mayoría de nosotros reutilizamos los nombres de usuario o contraseñas, o ligeras variaciones de ellos, en las distintas cuentas. Los atacantes empiezan a utilizar una cantidad masiva de nombres de usuario y contraseñas. Van de un sitio web a otro, de forma sigilosa y distribuida, con la intención de validar las credenciales. Van a los sitios de los principales retailers y encuentran una docena de cuentas que se utilizan allí para, a continuación, ir a un sitio de banca y encontrar las cuentas que se utilizan allí. Luego a un sitio de comercio electrónico, y así sucesivamente.

Estas credenciales validadas son valiosas. Los estafadores reales, normalmente diferentes personas, compran las credenciales y acceden a las cuentas para ganar dinero. En los casos más perjudiciales para los individuos, los defraudadores acceden no solo a cuentas de retailers, sino también a cuentas de correo electrónico personales o de banca online. Las cuentas de correo electrónico pueden ser las llaves del reino, porque, por ejemplo, las contraseñas online para diversas cuentas normalmente se pueden restablecer a través del correo electrónico.

En resumen, esto es un gran problema porque los atacantes y los defraudadores son inteligentes, enrevesados, organizados y automatizados. Las infracciones de datos de gran tamaño son su materia prima.

¿En qué se diferencia la filtración de Equifax?

Los datos robados en la filtración de Equifax pueden encajar perfectamente en el proceso que acabo de describir, pero esto es solo el comienzo del problema. Se ha robado información personal confidencial, no solo los nombres de usuario y las contraseñas, sino también nombres y direcciones y fechas de nacimiento y, lo más importante, números de la seguridad social. Con ese nivel de información, los estafadores pueden directamente intentar registrarse en nuevas cuentas: una nueva cuenta bancaria, un nuevo préstamo, un nuevo servicio de préstamo, así como nuevas cuentas para la adquisición de bienes y servicios. Existe la posibilidad de una ola de robos de identidad nunca antes vista.

La infracción más importante similar fue, probablemente, la de la Oficina de Administración de Personal de EE. UU. de hace unos pocos años. Se robó información personal confidencial de 21,5 millones de empleados federales y contratistas. Curiosamente, no disponemos de mucha información sobre la magnitud del robo de identidad que se produjo. No se verán estadísticas sobre el tema, porque es el tipo de información que las organizaciones que han sufrido ataques no están obligadas a publicar. Sin embargo, muchas de las personas afectadas se suscribieron a servicios de supervisión de crédito, incluido Equifax, para reducir sus riesgos. Ahora muchos de ellos han cerrado el círculo y han visto que sus datos se han vuelto a robar.

¿Cuáles son las implicaciones para las empresas?

Todas las organizaciones que ofrecen servicios online a los consumidores desean proteger a esos clientes y evitar ser parte, aunque sea involuntariamente, de transacciones fraudulentas. Esas transacciones tienen costes directos en lo que respecta a bienes, servicios y dinero robados, además de los costes administrativos para deshacer el daño y restaurar las cuentas de los clientes. El riesgo financiero es enorme.

En el caso de la filtración de Equifax, las empresas se enfrentan a un nuevo nivel de problemas de seguridad específicamente relacionados con el robo de identidad. ¿Cómo garantizar la seguridad de su empresa y sus clientes cuando su información personal deja de ser privada? Y ¿qué ocurre cuando los datos que se han estado utilizando para validar las identidades de los clientes llegan a manos de los delincuentes?

Los defraudadores pueden escribir software que intente abrir millones de cuentas nuevas en miles de empresas diferentes. Aunque solo un pequeño porcentaje tenga éxito, están ganando un montón de dinero. También pueden intentar abrir o cambiar las cuentas de la manera tradicional, llamando al centro de llamadas de la empresa y proporcionando toda la información necesaria. Se trata de un problema más difícil de resolver y que requiere más autenticación, pero también es un planteamiento mucho más costoso para los atacantes. Aun así, cuando las ganancias sean bastantes, se encontrarán con el problema de poner a atender el teléfono a personas que suenen auténticas. ¿Cuántas personas del servicio de atención al cliente pueden captar las pequeñas señales que les adviertan de que puedan estar hablando con un estafador, o a cuántas se les ha pedido que se planteen esto?

Los directores ejecutivos y de servicios de información de las organizaciones que prestan servicios basados en Internet que puedan afectar a las finanzas de las personas realmente necesitan reflexionar mucho acerca de cómo pueden asegurarse de que los datos que se filtraron no se están utilizando para convertir sus organizaciones en vehículos para el robo de identidad mediante el otorgamiento de créditos, proporcionando beneficios o devoluciones de impuestos, o consiguiendo ventas para personas que no deberían obtenerlas.

¿Qué deben hacer las empresas para protegerse a sí mismas y a sus clientes?

Desde la filtración de Equifax, cualquier empresa online orientada al consumidor tiene que ser más cautelosa con las cuentas nuevas y los cambios de contraseña, incluso con los iniciados por personas al teléfono. Sería lógico contar con pasos adicionales de autenticación y los consumidores inteligentes los considerarán más como una precaución que como una molestia.

La mayoría de las empresas deben tener herramientas mejoradas para reconocer cuándo son objeto de un ataque por parte de hackers que intentan adivinar sus nombres de usuario y contraseñas. Incluso a pequeña escala, puede dar con ellos si sabe lo que está buscando. También deben mejorar a la hora de distinguir a los seres humanos de los robots. ¿Es el error de inicio de sesión resultado de un error humano al introducir los datos o de suposiciones de un bot? ¿Se está registrando la entidad en una cuenta nueva online con una persona real o un bot con la información robada de algún usuario?

Si se trata de un bot, ¿su comportamiento es correcto? Algunos de los bots son necesarios en su sitio web. Por ejemplo, los clientes utilizan Mint o Yodlee como agregadores de información financiera, y permiten a esos servicios acceder a sus cuentas. Y, si el comportamiento del bot no es correcto, ¿puede mostrarle rápidamente la puerta o llevarlo a un laberinto donde se confunda y el personal de seguridad puede diagnosticar lo que sucede?

Lo que es más importante aún, muchas empresas necesitan una capa adicional de seguridad que proteja sus entornos online. Este envoltorio no necesita saber cuáles son todos sus activos. Necesita ser minucioso a la hora de observar quién llega a su dirección y de reconocer las últimas amenazas.

Esta no es la parte de la historia de la que más se ha hablado, pero es extremadamente importante. Equifax dijo públicamente que había encontrado una vulnerabilidad en sus sistemas. Creía que había creado parches para todos los sistemas con la vulnerabilidad, pero se le pasó uno. Eso fue todo lo que necesitaron. Los atacantes finalmente la encontraron y la usaron.

La lección que debemos aprender es que, incluso aunque esté siendo diligente, identificando los sistemas que son vulnerables y corrigiéndolos en cuanto sea posible, todavía puede que esté pasando por alto algo. Todavía hay posibilidades de error. Su red puede tener sistemas vulnerables que no estén en el inventario, que ni siquiera sabe que existen. Y la creación de parches no es instantánea. Se puede tardar minutos o días en desplegar el software. Los atacantes están atentos a las últimas vulnerabilidades y pueden conseguir acceder mientras usted sigue aplicando parches.

En todos estos casos, una segunda capa de seguridad proporciona una garantía adicional de que, aunque haya pasado por alto algo, aun así seguirá teniendo algún tipo de protección. Equifax pensó que había solucionado el problema y estaba equivocado.

¿Qué otros tipos de organizaciones son posibles objetivos de ataques para robar los datos de los clientes?

Antes de nada, ninguna organización es inmune a los ciberataques, por lo que cualquier persona que realice una actividad online y que almacene datos de clientes es vulnerable. A los ciberdelincuentes les gustaría ir a aquellos lugares que puedan contener muchos datos valiosos. Esto ha supuesto que las otras agencias de crédito, las principales compañías de tarjetas de crédito, y ahora empresas como LifeLock, empresa de protección contra el robo de identidad, se hayan estado publicitando ampliamente e incorporando clientes como respuesta a las últimas filtraciones. Equifax sufrió una filtración, pero cualquiera podría esperar que estas organizaciones contaran con una seguridad "de nivel militar".

Los ciberdelincuentes, como los ladrones de bancos tradicionales, también desearían estar donde esté el dinero, pero las principales instituciones de servicios financieros realizan importantes inversiones para mantener esa seguridad de nivel militar. Están protegiendo sus activos, operaciones y clientes corporativos e individuales de gran valor. Los clientes de retail se benefician del nivel de seguridad presente.

Más vulnerables son empresas como los grandes retailers, que tienen muchos datos de consumidores, pero que no cuentan con los márgenes de beneficio y los fondos necesarios, o puede que aún no con la motivación, para ofrecer la protección que podrían. Hay una discrepancia entre el valor de los datos que proteger y la seguridad que pueden permitirse. Estas organizaciones deberían estar volviendo a evaluar sus posturas y estrategias de seguridad teniendo en cuenta la filtración de Equifax y la cantidad de datos afectados de sus clientes.

A nivel gubernamental, el fisco de EE. UU. es probablemente el principal objetivo. Tiene información de todos los contribuyentes, y tiene toda la información que un defraudador podría desear. Cuenta, claro está, con una seguridad sólida, que permite tanto proteger los datos como detectar el robo de identidad. Pero también tiene sus fallos. Los organismos encargados de la asignación de beneficios, como Medicare, parecen ser mejores a la hora de proteger que de prevenir el fraude, pero su desafío es mayor por el hecho de que las reclamaciones fraudulentas adoptan muy diversas formas.

Un sector en una posición delicada es el de la sanidad. Las organizaciones de proveedores y las empresas intermediarias cuentan con una enorme cantidad de información personal de ciudadanos, además de la información clínica en sus historiales médicos electrónicos. Están sometidas a una gran presión por parte de la Ley de Transferibilidad y Responsabilidad de Seguros Médicos (HIPAA) para proteger los datos personales de los pacientes. Pero también tienen una conflicto importante entre los gastos clínicos y de otro tipo. Los médicos y las organizaciones de proveedores están centrados en la salud de los pacientes, así es como funcionan. Por tanto, prefieren gastar en tecnología clínica que en tecnología de seguridad o de la información. Tuve una conversación muy interesante con el director de servicios de información de un importante centro médico, quien dijo: "Mi mayor preocupación es que alguien que venga a mi hospital enfermo salga sano, pero es mucho peor que vengan debido a lo sucedido con sus datos".

Ha hablado sobre la ciberdelincuencia como si fuese un negocio.

Eso es exactamente lo que es, y es un gran negocio con diferentes modelos de negocio. Algunos delitos cibernéticos, incluidos muchos ataques patrocinados por el Estado, son equivalentes al espionaje industrial. Los atacantes quieren robar datos técnicos, secretos comerciales u otra información propiedad de corporaciones y agencias gubernamentales. Hay ataques muy diferentes que pretenden interrumpir la actividad empresarial mediante la detención de servidores, redes y sitios web. Estos son a menudo realizados por "hacktivistas" o usuarios contrariados.

La ciberdelincuencia de la que estamos hablando hoy, que comienza con el robo de datos de gran cantidad de consumidores distintos, probablemente va sobre ganar dinero. El daño a las operaciones comerciales y a la reputación de las empresas afectadas es una consecuencia. Esta versión de la ciberdelincuencia tiene sus propios mercados y cadena de suministro:
  • Los hackers buscan y usan las vulnerabilidades de los sistemas corporativos para robar y vender grandes cantidades de datos sobre las personas.
  • Los intermediarios compran datos de comercio al por mayor y ponen a la gente y al software a trabajar y validar las credenciales del consumidor, o bien a completar los datos necesarios para el robo de identidad. Esencialmente recopilan y aportan valor a los datos.
  • Los estafadores especializados compran esos datos validados y los monetizan a través de diversos canales de robo de retail, fraude financiero o beneficios del gobierno y fraude fiscal.
La cadena de suministro cuenta con el apoyo de todo un ecosistema, incluidos desarrolladores de software con herramientas y hackers que se pueden contratar. Hay servicios que permiten convertir los datos robados en dinero, para convertir los bienes robados en dinero y para ocultar la actividad de hackers. Y este ecosistema tiene como moneda el bitcoin.

Tenga en cuenta también que la ciberdelincuencia es un negocio ininterrumpido. Los hackers trabajan constantemente, pero con dos ritmos. Su objetivo son empresas específicas e intentan usar las vulnerabilidades recién descubiertas antes de que se puedan corregir. Los hackers son pescadores a la búsqueda de peces grandes. Pero también suelen trabajar sin descanso en segundo plano, lanzando una gran red y esperando pacientemente a que cualquier pescado salga a la superficie, incluidas antiguas vulnerabilidades para las que no se hayan aplicado parches completos.

Este puede ser el punto más importante para los directores ejecutivos, de servicios de información y de seguridad, así como para los directivos en general a raíz de la filtración de Equifax: conocer a su enemigo. No está tratando con hackers aislados, sino con ciberdelincuentes bien organizados y con recursos, que se dedican a defraudar a los individuos y a las organizaciones a las que prestan servicios. Y el suyo es un sector en crecimiento. No subestime su capacidad, inventiva o imaginación sobre dónde, cuándo y cómo robar datos valiosos.

Related CIO Content