25 octubre 2016

Opinión sobre el ataque a DYN

(Cross-posted con el blog de ISACA Madrid, aquí)

El incidente de estos días con el servicio DNS de DYN ha puesto de manifiesto algunos aspectos relacionados con la ciberseguridad que deberían hacernos reflexionar sobre cómo la tecnología evoluciona y las garantías que incorpora. En esta ocasión lo “único” que ha pasado es que no se ha podido acceder a algunos servicios que, al fin y al cabo, no eran esenciales (redes sociales, periódicos online, servicios de streaming, etc.) pero podría haber sido diferente, qué duda cabe.
Pero, como decíamos, al margen de los detalles del incidente, lo que ha pasado y cómo ha pasado, hay algunos elementos de fondo sobre los que es necesario reflexionar:
  • Se lleva mucho tiempo hablando de la seguridad en entornos industriales y, por extensión, sobre los dispositivos del denominado “Internet de las Cosas” (o IoT por sus siglas en inglés, Internet of Things). Pero parece ser que, inútilmente, porque este incidente ha puesto de manifiesto que siguen siendo dispositivos que cuentan con medidas de seguridad muy básicas y que, desde luego, no se han diseñado teniendo en cuenta la seguridad como uno de sus elementos fundamentales. Es contradictorio observar como los equipos industriales, en general, son diseñados, fabricados e instalados observando altísimas medidas de seguridad (resistencia a presiones, temperaturas, etc., funcionamiento en modo de fallo, apagado seguro…) pero el software de estos mismos equipos no pasa por un proceso equivalente de securización (recomendamos la lectura del documento publicado por ISACA hace unos meses titulado: Sistemas de Control Industrial: Un Manual Básico para el Resto de Nosotros).
    Evidentemente, se impone la evolución tecnológica y probar todos los avances con la mayor rapidez posible, pero este incidente debería enseñarnos que estos dispositivos pueden llegar a ser tremendamente peligrosos: (i) porque interactúan con los elementos físicos de nuestro alrededor pudiendo llegar a causar daños físicos; o (ii) su elevado volumen hace que puedan llegar a ser utilizados, como ha sido el caso, como canal para lanzar ataques a terceros objetivos. Por este motivo, tanto usuarios como Administraciones deberían ser consciente de estos riesgos para utilizar / permitir solo aquellos dispositivos que les ofrezcan garantías de seguridad suficientes. De lo contrario, estaremos contribuyendo a crear una sociedad tecnológicamente insegura que puede afectar al deseo de la sociedad de utilizar dicha tecnología.
  • Por otra parte, la utilización masiva de dispositivos incluye aquellos que están instalados en grandes corporaciones, pero también en pequeñas empresas e incluso en los hogares. Queremos resaltar este aspecto, puesto que, en muchas ocasiones, cuando las Administraciones piensan en establecer medidas de ciberseguridad existe la tendencia a dirigirlas únicamente a grandes corporaciones (véase sino la recién aprobada Directiva NIS que excluye explícitamente a las PYME) cuando éstas pueden ser utilizadas, tanto como un fin en sí mismo (puesto que por ser pequeñas no significa que no gestionen recursos importantes) como un medio para acceder a terceros (ya que pueden estar prestando servicios a grandes compañías o incluso a la Administración).
    Desde un punto de vista de gestión del riesgo, es evidente que el impacto de las PYME puede que sea indirecto pero, desde luego, no es despreciable y su impacto puede llegar a ser muy significativo, por lo que no parece un criterio relevante para decidir si una empresa tiene que tomar medidas de ciberseguridad o no. Por ejemplo, en el ámbito de la seguridad vial, el elemento discriminador es la posesión de vehículos industriales: Aquellas empresas que utilicen vehículos industriales han de someterlos a las verificaciones de seguridad oportunas cada 6 meses, ¿por qué no un enfoque parecido en el ámbito de la ciberseguridad? (recomendamos la lectura del documento de ISACA, “Transformando la Ciberseguridad con COBIT5” para un análisis más detallado de estos temas).
  • Y, abundando en algo que introducíamos en el punto anterior, este incidente también debería hacernos pensar con mucho más detalle sobre la dependencia que tienen los servicios con terceros (en este caso del proveedor del servicio de DNS). A estas alturas de la evolución de Internet, todo está conectado. Nuestras comunicaciones dependen de una compañía de telecomunicaciones, posiblemente un tercero nos ayuda a mantener y administrar nuestros sistemas, los desarrollos son ejecutados por terceros, incluso puedo que algún proceso corporativo sea ejecutado por un experto externo, etc… en definitiva, nuestra seguridad es tan fuerte como el más débil de todos ellos, o dicho de otra forma, no sirve de nada que nuestra parte sea más robusta si no lo son el resto de piezas del engranaje. Por este motivo, es necesario trabajar sobre la ciberseguridad en la cadena de suministro como una de las piezas clave en los próximos años para asegurar la ciberresiliencia de nuestra organización (para una mayor información, de nuevo recomendamos la lectura de un documento de ISACA, “La Empresa Ciberresiliente: Lo que el Consejo de Administración Tiene que Preguntar”).
  • Finalmente, algo que ya sabíamos, pero que vuelve a ponerse de manifiesto es que no hay enemigo pequeño. La asimetría de los ataques de ciberseguridad es más que evidente y el enemigo, por muy pequeño que sea, puede infligir un daño de dimensiones incalculables… por este motivo, cuando en los análisis de riesgos tratamos de estimar las probabilidades de los escenarios no debemos perder de vista que hay impactos que por muy improbables que nos parezcan no podemos obviarlos simplemente por su baja probabilidad, porque los cisnes negros existen, así que, trabajemos todos los escenarios y en ciberseguridad, sobre todo, los de baja probabilidad y alto impacto porque nadie quiere que su sistema desaparezca porque no consideró que algo altamente improbable acabe sucediendo. Quizás en nuestro mapa de riesgos pueda aparecer como ‘despreciable’ pero debemos tener un plan B por si acaba sucediendo… la continuidad de la organización nos lo acabará agradeciendo; máxime cuando muchos de estos ataques no responden, en absoluto, a hechos aleatorios, sino a ataques intencionados y completamente dirigidos. Esto hace que debamos replantearnos esa “baja” probabilidad, con el tiempo la persistencia, malicia y complejidad de los ataques terminan elevando notablemente su probabilidad (también para saber más sobre este tema, recomendamos la lectura de un par de documentos de ISACA: “Advanced Persistent Threats: How to Manage the Risk to your Business” y “Responding to Targeted Cyberattacks”).
En definitiva, veamos el lado positivo de las cosas y pensemos que este incidente servirá para mejorar nuestra preparación y capacidad de respuesta a este tipo de ataques en el futuro.

...¿Todavía no me sigues en twitter.com/antonio_ramosga?