Por Leticia Pautasio
La problemática de la seguridad de la información tomó un nuevo impulso tras las revelaciones de Edward Snowden, sobre el uso de los datos por parte de las agencias de seguridad estadounidenses. La noticia puso sobre la mesa la problemática de la privacidad y hasta despertó en el ámbito político –con Brasil y Alemania a la cabeza– una serie de proyectos de regulaciones y leyes para evitar el acceso a la información sensible de los ciudadanos. Entre las propuestas figura el establecimiento de centros de datos en territorio brasileño y de la Unión Europea, con el objetivo de que Estados Unidos no puedan acceder a la información allí almacenada.
Los proyectos contemplan el traslado de información de redes sociales como Facebook o servicios como Google a servidores locales. No es una tarea fácil, y por supuesto, llevará su tiempo concretarla, si es que esto sucede.
Mientras tanto, los servicios en la nube continúan en alza, gracias a la posibilidad de contar con alternativas económicas y flexibles a servicios que de otra manera se hace imposible acceder. Pero las tecnologías en la nube ponen la alerta sobre la seguridad de la información. Si bien el mercado ha madurado a lo largo de los años, todavía no se ha resuelto la problemática de la seguridad. En general, las recomendaciones son siempre las mismas: utilizar servicios de empresas confiables –y probadas– y, especialmente, leer las condiciones de uso de los servicios –como siempre, el usuario aparece como el punto más débil–. Saber cuáles son los riesgos a los que se expone al contratar una aplicación o servicio es parte de la estrategia de seguridad, y uno de los ejes principales que hay que tener en cuenta a la hora de llevar adelante un plan integral en materia de seguridad, ya sea para el ámbito corporativo o personal.
Sin duda, nadie podrá evitar que una solicitud de la Justicia obligue a los proveedores de servicios a hacer pública la información de terceros presente en sus servidores, pero sí se pueden fijar pautas de qué tipo de información almacenar en la nube y cuál resguardar en servidores propios. De hecho, la tendencia parece ser a llevar a la nube servicios que no manejan información sensible y dejar el core del negocio dentro de la infraestructura corporativa.
En materia tecnológica, la alternativa que aparece como la principal forma de resguardar la información es la encriptación, tanto en el almacenamiento como en la transmisión de los datos.
Jorge Ceballos
Foco de ataques
Para este año seguirá fuerte la problemática de la movilidad, especialmente a partir de la integración cada vez mayor de los equipos personales al ámbito laboral –BYOD, o trae tu propio dispositivo, traducción de las siglas en inglés– y el aumento del uso de dispositivos móviles para conectarse a Internet. Android seguirá siendo el foco de ataques de los ciberdelincuentes, debido a su alta penetración en el mercado –más de 70% de los equipos móviles tienen este sistema operativo–.
En tanto, los nuevos dispositivos conectados –relojes, pulseras, sensores, automóviles, marcapasos y hasta cafeteras– se muestran como un blanco de nuevos ataques. No obstante, las opiniones de los especialistas sobre el impacto de los ataques en este mercado son diversas: mientras unos consideran que los nuevos dispositivos desde su diseño tienen fallas de seguridad que los hacen más propensos a recibir ataques, otros sostienen que debido a que el mercado es muy incipiente, los delincuentes informáticos no los tendrán como foco de sus ataques. Lo cierto es que en 2013 ya ha habido algunas experiencias de ofensivas contra los dispositivos de “la Internet de las cosas” y se esperan nuevos ataques para este 2014, aunque probablemente seguirán tratándose de casos aislados.
“El consumo de nuevas tecnologías móviles, la colaboración entre socios de negocio, la permanente innovación tecnológica, la mercantilización de IT (ejemplo: cloud computing), el uso de las redes sociales y la necesidad de estar “online”, la globalización y la tercerización extienden los escenarios de riesgo conocidos”, explicó Diego Taich, director del área de Forensic Technology Solutions de PwC Argentina. Para el ejecutivo, el principal problema en materia de seguridad informática es que mientras los riesgos de seguridad de la información han evolucionado y se han intensificado, las estrategias para combatir esos riesgos no le han seguido el ritmo. “Hoy, algunas organizaciones confían a menudo en estrategias de seguridad del ayer para combatir en una larga y poca efectiva batalla contra adversarios altamente capacitados que apalancan sus amenazas en las tecnologías del mañana”, resaltó.
Diego Taich
La clave está, según Taich, en evolucionar de un modelo basado en el cumplimiento, a un modelo de gestión proactiva de las amenazas con un enfoque de priorización y protección de los activos de información más críticos.
La visión integral en materia de seguridad es una de las respuestas frecuentes de los especialistas del sector a la pregunta de cómo proteger la información. Las amenazas son cada vez más complejas y hace falta una visión que integre todas las áreas de la compañía para combatir con éxito las amenazas.
Una visión similar se fomenta desde IRAM, el organismo de normalización y certificación que lleva adelante las implementaciones de certificaciones de calidad en software y sistemas de gestión de la información. “Siempre hay riesgo, el tema es cómo lo gestionamos”, explicó Jorge Ceballos, coordinador de Laboratorios TI del Área Certificaciones de IRAM. En el organismo se trabaja en base a la norma ISO TEC 27.001, que establece los criterios de seguridad para gestionar la información en una organización. Uno de los temas principales, explicó Ceballos, es que solo aquellas personas autorizadas tengan el acceso a la información sensible. Por esto, las organizaciones deben contar con controles de acceso, seguridad física y logística, para mantener su información al resguardo.
El organismo de certificación está trabajando además con el Gobierno de Neuquén en la implementación de un sistema de gestión que permita interconectar la información almacenada en diferentes organismos de Gobierno –y con diferentes aplicaciones y tecnologías– para democratizar el acceso a los datos, pero siempre desde una visión que involucre quién está autorizado para acceder a la información. “Así es cómo logramos pasar a un Gobierno Abierto”, destacó. El sistema es aplicable también a organizaciones que cuenten con una estructura tecnológica compleja y que requieran interconectar sistemas que de otra manera no se podrían comunicar entre sí.
Compartir es resignar a parte de la privacidad
Daniel Rojas, gerente de Mercadeo para Multi Country Latin America en Symantec plantea que las vulnerabilidades aparecen cuándo una tecnología, dispositivo o aplicación está en auge. Por eso, todo lo relacionado con la movilidad y las redes sociales cobran una relevancia especial en materia de seguridad informática. “En las redes sociales, por ejemplo, al compartir la información estamos resignando parte de nuestra privacidad. Es un tema que se ha venido entendiendo en los últimos años, pero aún hay que mejorar mucho en este tema”, afirmó el ejecutivo.
Para Rojas es importante destacar que cuando se habla de seguridad informática “lo que es inseguro no es la herramienta sino la forma en que la usamos”. En el plano empresarial, Rojas sostiene que es importante evaluar quién tiene acceso a la información. “Las Pyme son las que menos reconocen los riesgos, pero poco a poco los usuarios finales vienen tomando conciencia de estos temas”, aseguró.
“Hemos visto en general una preocupación por el tema de la privacidad y, en algunos casos, se está trabajando en regular cómo se guarda la información. En el ámbito empresarial y personal, la clave es tener políticas muy claras para evitar que la información quede en riesgo. Y por supuesto, tener una protección tecnológica comprobada”, afirmó.
El ejecutivo sostuvo que los atacantes están buscando siempre nuevas vulnerabilidades y alertó sobre el uso de dispositivos infectados con aplicaciones que permiten acceder a datos de los teléfonos y que si se conectan a la red corporativa u hogareña se abre una brecha de seguridad.
Kaspersky Lab
El espionaje no es algo nuevo
Aunque quizás las filtraciones que el año pasado hizo Edward Snowden hayan puesto nuevamente al espionaje en el tapete de la opinión pública, hace mucho tiempo que tanto empresas como Gobiernos tienen la tecnología necesaria para espiar a sus blancos más jugosos.
Dmitry Bestuzhev
En el medio de la Guerra Fría, Hollywood supo retratar muy bien a sus espías. Eran del tipo James Bond, con una licencia de la reina para matar a los malos, o extranjeros con acentos raros llevándose secretos militares para la construcción de armas nucleares. Lo cierto es que, más allá de cualquier estereotipo, los espías existen y, aliados con la tecnología, pueden lograr hacerse de secretos e información valiosa de una manera mucho más simple –y remota, sin poner el cuerpo– que antes.
No por nada fueron tan importantes las revelaciones de Edward Snowden: puso de relieve la relación que existe entre las empresas de tecnología y la famosa National Security Agency (NSA). Recientemente, incluso, mencionó en una entrevista con un diario alemán que el Gobierno estadounidense podría estar involucrado en el espionaje industrial. La información alertó al mundo y obligó al Gobierno de Barack Obama a reconocer sus errores y pedir disculpas. Snowden, mientras tanto, es un fugitivo de la justicia estadounidense en su rol de whistleblower.
Dmitry Bestuzhev, director del equipo de Investigación y Análisis de Kaspersky Lab en América latina, sabe una cosa o dos sobre espionaje y filtraciones. Y, a contramano de muchos colegas, no teme entrar de lleno en el tema gubernamental. Reconoce que la seguridad en las empresas y organismos del estado es un tema caliente que “está de moda por lo menos por los últimos siete años” pero que el caso Snowden realmente sacudió el tablero.
“Desde que las revelaciones de Snowden sobre el espionaje y la intercepción de información se hicieron públicas, las empresas se han interesado especialmente en el cifrado de datos tanto almacenados como los que viajan a través de Internet. Todo tipo de seguridad se ha vuelto mucho más popular. Vivimos un boom que realmente ha tenido un efecto muy positivo sobre el sector”.
Un fenómeno también latinoamericano
Pero que sean más populares es una circunstancia. No cambia lo fundamental de la cuestión: que la tecnología para espiar y hackear tanto a empresas como a Gobiernos antagonistas existe desde hace mucho tiempo y, en los últimos años, solo se ha sofisticado más.
“El espionaje siempre existió. Lo que cambió es que con la llegada del uso masivo de Internet, el espionaje convencional se traslada a la capa electrónica. Esto le dio un alcance mucho mayor que antes y ahora varios Gobiernos participan en el espionaje mutuo. Por lo general los blancos no son los ciudadanos, a menos que se trate de figuras prominentes. Por ser ataques dirigidos, no llegan a las masas de una manera descontrolada. Los blancos son elegidos cuidadosamente. En realidad los sectores más vulnerables son aquellos que manejan información crítica. ¿Qué Gobierno o qué sector podría ser blanco de un ataque dirigido que lleva al robo de información? La respuesta es cualquiera”.
Sin embargo, se tiende a pensar que el espionaje está reservado a la elite gubernamental global: potencias que espían a otras potencias para ver en qué están trabajando o si deben reacomodar sus estrategias para servir a un nuevo orden. China ha sido acusada de espionaje online por Estados Unidos; Rusia también. Pero, ¿qué sucede en Latinoamérica, cuna de la octava economía del mundo, Brasil? “Tenemos pruebas de que algunos Gobiernos latinoamericanos ya tienen sus propias campañas de espionaje electrónico. Han sido bastante exitosas, además, porque los ataques son a blancos demasiado críticos y por eso no se ha hablado mucho del tema en la prensa. El problema es que es un tema que encierra, no solo a la tecnología, sino también a la política, la diplomacia, la economía… pocas personas hablan de esto. En el caso de Brasil se anunció un centro de ciberseguridad nacional pero lo cierto es que las verdaderas movidas se toman en secreto”, finaliza Bestuzhev.
Blue Coat
Cuidar el dinero y la reputación
Aunque existen diferentes tipos de cibercriminales, los más peligrosos para las empresas son los que van detrás de la propiedad intelectual o los registros financieros. Pero los atacantes se han sofisticado: hoy trabajan en redes globales, dirigiendo sus ataques a instituciones que mueven mucho dinero.
Ignacio Conti
Amenazas no tradicionales. Esa parece ser la preocupación de las empresas hoy a la hora de acercarse a compañías de ciberseguridad para moldear soluciones a sus necesidades particulares. “Lo que vemos es mucho más interés en la seguridad de problemas nuevos. Hoy nuestro negocio se divide en dos bloques: problemas tradicionales y otros que tienen que ver con filtraciones o intrusiones a sitios de empresas que ponen su código a disposición de todo el mundo. Esto último está generando mucho más interés”, explica Ignacio Conti, Regional Manager de Blue Coat.
Es que, en definitiva, el negocio ha cambiado. Aquellas tendencias que parecían movilizar el negocio de la ciberseguridad, como Bring Your Own Device, han perdido impulso, por lo menos en la Argentina, para dar espacio a soluciones para áreas más críticas que son los blancos de los ataques dirigidos. “Ciertas soluciones de seguridad son lindas pero tal vez no críticas. En tecnología hay cuestiones más críticas y mandatorias y otras que pueden dejarse para más adelante. El tema de los móviles arrancó con mucha fuerza pero hoy, obviamente, no es tan urgente y queda en segundo plano”.
Para Conti, las preocupaciones hoy son otras: cuidar el dinero. “El mundo de la ciberseguridad cambió. Los hackers ya no desarrollan un virus, los dejan en Internet, y cualquiera puede contagiarse. Ya no se trata de vanagloriarse por el ataque en sí mismo –demostrar que es es un buen hacker– sino de vulnerar a sectores muy específicos, con mucho para perder. Los segmentos que vemos con mayor nivel de problemas son todos los que manejan información confidencial valiosa o tratan el dinero; negocios que manejan datos financieros o propiedad intelectual. Básicamente hoy se busca el dinero, el beneficio económico”.
Aunque algunos países como China o Rusia suelen ser blanco de mala prensa por la cantidad de ataques que salen de sus fronteras, lo cierto es que los cibercriminales hoy se mueven a la par del sistema financiero y obedecen, como ellos, a los mandatos del capital. Es decir: se mueven en redes globales y son, por eso, más difíciles de cazar. “Existen diferentes tipos de atacantes. Los propios empleados, que siempre son un peligro a tener en cuenta. Después están los hacktivistas, que defienden causas políticas como Annonymous; los cibercriminales que buscan el dinero a través de un ataque y, finalmente, quienes están detrás de las ciberguerras, es decir, Estados contra Estados. De esos cuatro los más peligrosos para las empresas son los cibercriminales y esos no tienen fronteras. De hecho, son redes de malware con presencia en Asia, América y Europa. Evidentemente hay grandes focos de este malware, como China, Rusia o Corea del Norte, pero lo cierto es que hoy están globalmente distribuidas”.
Dañar la reputación
Aunque los daños a registros financieros y la potencial pérdida de dinero son los dos drivers más importantes a la hora de invertir en soluciones de ciberseguridad, Conti marca otro que quizás pase inadvertido pero que es igualmente importante para la sustentabilidad del negocio: el daño que los ataques hacen a la reputación.
“Muchas cadenas de retail han tenido grandes problemas con pérdidas de datos de sus consumidores que les confían, en algunos casos, números de tarjetas de crédito. Para el consumidor eso es terrible porque vulnera su privacidad y puede ocasionar daños sobre sus cuentas bancarias o, incluso, sus documentos personales. Esto impacta negativamente en el negocio en el momento pero también afecta sus negocios al largo plazo, porque afecta su imagen y pierden reputación. Los clientes tienen la certeza de que ya no se sienten seguros. Y en el mundo que vivimos eso puede ser letal porque las personas demandan, cada vez más, hacer shopping o pagar cuentas online sin necesidad de acercarse a un lugar físico. Si se quiere seguir en el negocio, la reputación online importa y mucho. Y lamentablemente no se está evaluando ese impacto”.
CertiSur
Doble autenticación y encriptación para 2014
El incremento en el uso de Internet para realizar transacciones financieras y compras de productos y servicios pone sobre el tapete las cuestiones de seguridad. La percepción de mayor necesidad de seguridad fue en aumento en 2014 y las personas comenzaron a hacerse preguntas sobre si los sitios que utilizan para realizar transacciones son seguros.
Por Leticia Pautasio
Néstor Marcowicz
La encriptación de los datos corporativos cobra una nueva relevancia tras el caso Snowden. Además, la necesidad de conocer en el momento en que se accede a los datos si la persona está autorizada o no pone en juego la incorporación de nuevos mecanismos de autenticación.
“En el uso del homebanking, por ejemplo, tenemos un gran tema que es que todavía se sigue operando con contraseña”, explicó Néstor Marcowicz, Project Manager de CertiSur.
Marcowicz reveló que los usuarios están siendo cada vez más conscientes de la problemática de la seguridad en la red y, por lo tanto, comienzan a demandar mejores mecanismos de seguridad.
El ejecutivo planteó que este año se empezará a ver en el mercado el uso de mecanismos de seguridad como herramientas de detección antifraude, que incluyen el análisis de la IP desde la que se está conectando al sistema bancario, el horario típico en que ese cliente se conecta y qué tipo de transacciones realiza habitualmente. En caso de que se detecte una anomalía, el sistema pide automáticamente el uso de algún sistema de seguridad adicional, como pueden ser token o tarjetas de coordenadas. “También vamos a empezar a ver el uso de certificados digitales, que permitan firmar cada transacción que se realice por el canal online”, indicó.
El año pasado el mercado se vio revolucionado por el caso Snowden, que tuvo una amplia difusión en los medios de comunicación. Para el ejecutivo de CertiSur, esta noticia avivó las discusiones en las empresas sobre el acceso a la información corporativa. “Que alguien haya logrado sacar información ha llevado a que las empresas repiensen quiénes están teniendo acceso a los datos corporativos”, explicó.
Impulso para DLP
El caso le dio un nuevo impulso a todas las soluciones de DLP (control de puertos en una computadora) y encriptación. “Hemos visto también un incremento de la demanda de intercambio de información encriptada, para que los Gobiernos o cualquier ente externo no pueda acceder a los datos que se envían, por ejemplo, vía correo electrónico”, señaló.
La problemática del acceso cobra un interés mayor cuando las empresas se salen de los límites que ofrece la red corporativa. El uso de soluciones en la nube y el back up de información en servidores externos permiten reducir costos pero, a la vez, ponen en jaque algunas cuestiones de seguridad. “En la contratación de servicios en la nube es importante tener bien en claro cuáles son las condiciones de servicio y siempre leer la letra chica”, destacó Marcowicz.
Para el ejecutivo la alternativa siempre será el uso de soluciones de encriptación para evitar que los proveedores de servicios en la nube accedan a la información almacenada en sus servidores. “El problema en este caso es: ¿cómo lo uso? Por ejemplo, un error muy común es que las claves de encriptación no se manejen localmente, sino que estén en el mismo servidor que tiene la información encriptada. Si alguien quiere acceder a los datos, se le hace muy fácil”, explicó.
De todas maneras, en el caso del cloud computing, Marcowicz alerta que hay que tener en cuenta que en el caso de que un juez de Estados Unidos pida información a un proveedor de servicios en la nube, este deberá cumplir con la justicia estadounidense y facilitarle los datos solicitados.
Nuevos dispositivos conectados
Uno de los puntos claves de 2014 en materia de seguridad informática tiene que ver con el creciente uso de nuevos dispositivos conectados a la red. Televisores inteligentes, pulseras, relojes y hasta electrodomésticos han comenzado a integrarse a la red de redes. “Los desarrolladores no piensan estos dispositivos con adición de seguridad, ni siquiera con la posibilidad de actualizarlos para agregar parches”, resaltó Marcowicz. El ejecutivo afirmó que aún hace falta que pase una etapa de madurez hasta que este tipo de dispositivos se conviertan en equipos seguros.
“En 2013 ya comenzamos a ver los primeros ataques a SmarTV, cámaras de seguridad y hasta dispositivos para monitorear bebés. Seguramente en 2014 seguiremos viendo nuevos ataques a este tipo de dispositivos”, resaltó.
Eset
Mundo móvil: crecimiento exponencial de las amenazas
La privacidad de los datos en Internet y los ataques a dispositivos móviles serán los dos focos de atención en materia de seguridad informática en 2014. Las amenazas para Android no paran de crecer y los teléfonos inteligentes y las tabletas seguirán siendo los principales dispositivos afectados.
Camilo Gutiérrez
El incremento del uso de los dispositivos móviles como teléfonos inteligentes y tabletas –y la cantidad cada vez mayor de información que se guarda en estos equipos– los convierte en uno de los principales focos de los ciberdelincuentes. La tendencia comenzó hace unos años y no se espera que cese durante 2014. De hecho, en el último año ya se empezaron a ver amenazas tradicionales de equipos de escritorio que hoy están migrando hacia dispositivos móviles.
“Android seguirá siendo el blanco de las amenazas porque es el sistema operativo más difundido. 80% de los equipos en uso tiene el sistema operativo de Google”, apuntó Camilo Gutiérrez, especialista en Awareness & Research de Eset. El ejecutivo planteó que este año se verá un aumento de malware enfocado específicamente a equipos móviles “porque cada vez van a tener información más valiosa y sensible”.
El mundo móvil reclama soluciones de seguridad integrada. Los clientes reclaman herramientas de protección contra virus, firewall y antispam, todo desde una única solución. “Los usuarios requieren una solución que contenga una serie de herramientas para proteger sus dispositivos y que, además, no le consuma muchos recursos en sus equipos”, indicó.
Con el uso cada vez mayor de los equipos móviles para guardar información corporativa y personal, creció también la demanda de soluciones de encriptación de dispositivos móviles, para evitar el acceso de terceros a la información almacenada, explicó el especialista de Eset.
Gutiérrez destacó que los ataques irán dirigidos a aquellos lugares en donde haya mayor concentración de gente utilizando la tecnología. “La Internet de las cosas aún no está masificada, pero sin duda cuando comience a masificarse veremos un aumento de los ataques”, explicó. Por ahora, los casos que se puedan conocer de ataques a este tipo de dispositivos móviles serán aislados.
La privacidad
Pero la seguridad no solo se requiere en el mundo móvil. Gutiérrez señaló que uno de los temas fundamentales de este 2014 será la privacidad de Internet. “El caso Snowden puso en evidencia la problemática sobre qué tan segura es esa información en Internet”, afirmó.
El especialista destacó que los temas de privacidad en la red tienen tres aristas para analizar: la tecnológica –¿qué tan segura es la tecnología que están utilizando los proveedores en la nube?–, la legislativa –¿qué tan expuestos quedamos los usuarios cuando aceptamos los términos y condiciones de un servicio?– y la informática –¿cuáles son las amenazas que tienen por objetivo el robo de información?–.
El crecimiento de los sistemas de almacenamiento en la nube y la posibilidad de estar siendo vigilados por la agencia de seguridad estadounidense alertó a la población –que empezó a preocuparse por temas que antes no tenían en cuenta como compartir datos privados en Internet– y hasta los Gobiernos comenzaron a demandar mayor regulación del mercado.
Gutiérrez consideró que los Gobiernos tendrán un papel fundamental en la petición por mayor regulación. “Brasil se mostró muy preocupado por la privacidad de sus ciudadanos en Internet”, señaló Gutiérrez. De hecho, desde el Gobierno de Dilma Rousseff se pidió la creación de datacenters en territorio brasileño, con el objetivo de almacenar allí toda la información que las redes sociales y otras compañías tengan de los ciudadanos brasileños, en vez de que estas se encuentren almacenadas en centros de datos ubicados en territorio estadounidense. Para este año, se espera que las discusiones continúen y se abra el juego para incluir nuevas soluciones de seguridad de los datos.
RSA, división de Seguridad de EMC
Con el foco puesto en la seguridad y la privacidad
La seguridad en la nube y la privacidad de los datos aparecen como una de las preocupaciones de los tomadores de decisiones. La seguridad se muestra como el principal elemento diferenciador a la hora de elegir un proveedor de cloud computing.
Marcos Nehme
Cloud computing, big data y redes sociales son los entornos dominantes en esta era. Estas tendencias, sumadas a la movilidad, son las bases en los que hay que pensar la problemática de la seguridad, indicó Marcos Nehme, Systems Engineer Manager de América latina y el Caribe de RSA, la división de seguridad de EMC. “La adopción de software as a service ha venido aumentando de manera muy grande y la infraestructura como servicio también experimentará un crecimiento para este año”, destacó.
Una encuesta patrocinada por EMC y realizada a tomadores de decisiones de empresas mostró cuáles son las principales preocupaciones de las compañías: 43% de los encuestados admitió estar preocupado por el acceso de terceros a las aplicaciones de la empresa, y 40% indicó que su preocupación es la seguridad en el acceso móvil a la red corporativa. Marcos Nehme asegura que este año se verá una interacción entre seguridad y privacidad, que modificará definitivamente los pronósticos realizados para 2014.
“Estos años estuvimos hablando de la tendencia del BYOD (trae tu propio dispositivo, bring your own device), pero ahora vemos una evolución hacia BYOI, bring your own identity, es decir, trae tu propia identidad”, destacó Nehme. Para el ejecutivo, la tendencia es hacia sistemas que permitan gestionar la identidad a través de una estrategia de seguridad. La evolución es a sistemas con mayor integración de las identidades, gestionadas por sus propios individuos. “Ahora las personas podrán tener control de su propia identidad”, destacó.
El foco de este año es un retorno a la amenaza interna. “Los acontecimientos de los últimos años ponen este tema en el centro de la cuestión. Se calcula que 80% de los ataques provienen de amenazas internas”, indicó. “Es un tema que va a regresar muy fuertemente. Creemos que este año las compañías van a invertir mucho más en este tema”, señaló el ejecutivo de RSA.
La respuesta a las amenazas informáticas, para Nehme, incluye la necesidad de aprovechar el volumen de datos disponible, generando seguridad contextual y consciente. “Las corporaciones o las empresas no deben confiar en que el usuario final tiene conciencia. No es el usuario final el que tiene que pensar cómo actuar ante una falla de seguridad”, destacó. La clave está en crear un ecosistema de seguridad inteligente, que permita administrar los riesgos y generar respuestas rápidas ante posibles incidentes. “Las compañías deben tener estrategias para actuar rápidamente ante una amenaza”, destacó.
Los nuevos problemas de seguridad demandan una integración de big data, la nube y los análisis de datos para poder predecir incidentes y actuar rápidamente en caso de un ataque a la corporación.
“La estrategia de implementar seguridad tiene que ser puesta en el futuro, no podemos ver solo lo que está pasando hoy”, afirmó el especialista.
El futuro está nublado
Los cuestionamientos a la seguridad en la nube pueden ser un freno para el impulso de esta tecnología. Por este motivo, Nehme consideró que los Gobiernos y las empresas deben repensar la nube pública y afirmó que los proveedores de cloud computing deberán estar atentos a los temas de seguridad. “La seguridad en la nube va a convertirse en un diferenciador competitivo para los proveedores en la nube”, determinó.
Nehme resaltó que este año será un punto de inflexión en cuanto al malware en redes móviles. “Las empresas tienen cada vez más acceso móvil a las aplicaciones de negocio. Eso, sumado a la banca móvil, hace que el malware crezca rápidamente”, indicó el especialista de RSA. A estos problemas se le sumará la creciente red de dispositivos conectados a Internet, que provocará una sofisticación de los ataques, con efectos destructivos. “Los temores pueden ser exagerados, pero lo mejor siempre es estar preparado”, resaltó el ejecutivo.
Grupo Datco
Seguridad informática con mayor protagonismo
El aumento de software malicioso para el entorno móvil hace que crezca la preocupación por la seguridad informática. Las empresas piden cada vez más sistemas de seguridad, con el objetivo de proteger la información sensible.
Gerardo Dionofrio
La nube y la movilidad siguen siendo los principales temas en seguridad informática. Fernanda Bruno, directora de Consultoría, y Gerardo Dionofrio, consultor en seguridad de la información de Grupo Datco, aseguraron que en los últimos años ha crecido la inversión en seguridad informática por parte de las empresas. “Los empresarios se están dando cuenta del valor agregado de contar con sistemas de seguridad informática. Es un tema que va a tomar un protagonismo cada vez mayor”, afirmó Gerardo Dionofrio.
El hecho es que en los últimos años, y con la aparición de la movilidad, ha crecido sustancialmente el software malicioso, especialmente en dispositivos móviles. “Han aumentado los ataques y el malware ha ido evolucionando y perfeccionándose”, comentó el especialista. Dionofrio precisó que 85% del malware desarrollado en 2013 estaba destinado al sistema operativo Android.
Por este motivo, las empresas tienen a su cargo la definición de dos políticas: primero, si soportan este tipo de dispositivos, y segundo, si lo hacen, cómo van a hacer para que la pérdida de información sea mínima. “Uno de los puntos a tener en cuenta es la educación del usuario en cuanto a la instalación de aplicaciones. El usuario acepta condicionamiento en pos de obtener software gratuito, pero hay que ver qué permisos se le está dando a esa aplicación porque se puede perder el control total del celular”, explicó.
Políticas específicas
Al mismo tiempo, el uso de tabletas y teléfonos inteligentes para almacenar información corporativa trae consigo la problemática de qué sucederá con la información en caso de pérdida del dispositivo. “Al aceptar el uso de un equipo móvil se deben bajar políticas específicas de seguridad”, señaló Gerardo Dionofrio.
En el caso de los nuevos dispositivos conectados, Dionofrio no encuentra aún una brecha de seguridad. “En el caso de los relojes inteligentes, por ejemplo, funcionan con el celular mediante una conexión bluetooth”, resaltó. En tanto, en cuanto a la adopción de sensores para las tareas industriales, Dionofrio señaló que la clave es dar seguridad a la forma en que se comunican los dispositivos y se transfiere la información. “En estos casos es recomendable el uso de cifrado y UPN”, señaló.
En cuanto a los servicios en la nube, la tendencia a ofrecer servicios más seguros está en crecimiento. “En América latina la utilización de la nube viene más lenta, pero creo que algunos mitos van a empezar a eliminarse. En 2014 se esperan más adiciones a la nube y vamos a ver a los proveedores cada vez más enfocados en el tema de seguridad”, explicó Fernanda Bruno.
Sin embargo, los ejecutivos de Datco aseguran que no hay una tendencia en cuanto al uso de la nube. “Los bancos, por ejemplo, no pueden utilizar la nube porque por regulación los datos no pueden ser almacenados fuera del país”, resaltó Gerardo Dionofrio. En tanto, Fernanda Bruno agregó que las empresas no se animan a poner información sensible en la nube, pero destacó que sí están utilizando este tipo de servicios para aplicaciones de recursos humanos, por ejemplo.
“No hay una tendencia clara”, aseguró. Para Dionofrio, la cuestión es analizar en qué situaciones la nube es conveniente para cada empresa.
Dionofrio también destacó que en los últimos años han avanzado los métodos de detección de amenazas. “Los antivirus, por ejemplo, han evolucionado como para llegar a determinar comportamientos de los usuarios. Estos sistemas permiten llevar un termómetro sobre el uso que hacen los usuarios del dispositivo y ante cualquier anomalía enviar alarmas”, remarcó.
Fortinet
Desde la red hay que dar seguridad
La variedad de dispositivos conectados a Internet dificulta la posibilidad de agregar seguridad al final de la cadena y se requieren redes y canales cada vez más seguros. La industria y los Gobiernos se unen para combatir las amenazas a la seguridad de la información.
“Venimos de unos años en que casos como el de Snowden y Wikileaks abrieron la agenda de seguridad informática, incluso para el público en general que no está acostumbrado a hablar de estos temas”, señaló Gonzalo García, gerente de territorio Cono Sur de Fortinet. El ejecutivo planteó que en los últimos años la seguridad informática dejó de estar asociada al ámbito empresarial para pasar a ser un tema de preocupación del público en general. “Este año vamos a empezar a ver un trabajo conjunto entre agencias de seguridad, organismos de defensa y Gobiernos nacionales para combatir la problemática de los botnets, que afectan especialmente al público en general”, resaltó García.
Al mismo tiempo, García destacó que desde el sector privado, las empresas del sector deben trabajar desde organizaciones como First (Forum of Incident) –de la que Fortinet es parte– para combatir las amenazas a la seguridad de la información. “En First recibimos y compartimos información de vulnerabilidades y colaboramos con información, análisis y research”, explicó.
Las previsiones para este 2014 de Fortinet incluyen un aumento de amenazas como botnets, denegación de servicio (DNS) y ataques dirigidos a organizaciones. “Este año vamos a ver herramientas de mitigación de amenazas complejas y mecanismos de detección y prevención de amenazas dirigidas”, explicó
De lo móvil a las redes
En el ámbito empresarial, el auge de la Internet de las Cosas llevará a que el malware salte de un ambiente móvil a las redes industriales. “En 2013 se creció mucho en movilidad desde lo conceptual pero este año vamos a ver un crecimiento en la ejecución”, destacó.
Si bien aún no hay ataques dirigidos especialmente a equipos electrónicos conectados a Internet, García considera que se debe pensar hacia adelante cuándo se decide la estrategia de seguridad de una compañía.
“Hace unos 10 años la seguridad informática tenía tres pilares: antivirus, firewall y VPN. Pero en los últimos años comenzaron a aparecer nuevos términos como ATP y también nuevas problemáticas”, aseguró García. El ejecutivo planteó que las preocupaciones más extendidas son la capacidad de controlar aplicaciones y la posibilidad de contar con redes inalámbricas seguras.
“La seguridad tiene que estar definitivamente en la red. No se puede poner en el dispositivo porque cuando se tiene en cuenta la cantidad de ellos que existen, dar seguridad a cada uno se vuelve impracticable”, destacó. Para Gonzalo García, la clave es que cuando un dispositivo está en transacciones con la red lo haga desde un canal seguro.
Al mismo tiempo, García reveló que las empresas deben trabajar para minimizar la cantidad de información confidencial que se puede almacenar en un dispositivo. “Una de las soluciones es contar con escritorios virtuales remotos, que permiten que la información no salga de las barreras de la empresa”, afirmó.
El ejecutivo resaltó que, además, desde hace más de un año, existe la capacidad de identificar desde la red qué usuarios y con qué tipo de dispositivos están conectados. De esta manera, se pueden aplicar políticas de seguridad diferenciadas y niveles de acceso. “Hay que trabajar en una estrategia sobre el uso de dispositivos y crear políticas de seguridad”, remarcó.
Otra de las posibilidades que tienen las compañías para mantener la seguridad en un entorno móvil es aplicar remotamente políticas de seguridad a dispositivos que se encuentren comprometidos, afirmó García.
En cuanto a la seguridad en la nube, García reveló que Fortinet ha incorporado dispositivos de virtual appliance que permiten contar con la misma infraestructura de seguridad física en un entorno virtual.
Level 3
Certificaciones y mejores prácticas
Una de los principales retos de la seguridad informática es generar un sistema de best practise para resguardar la información de los usuarios. La movilidad se configura como uno de los blancos de ataques de los ciberdelincuentes y la nube va tomando cada vez más protagonismo a la hora de analizar una estrategia de seguridad.
“Una de las problemáticas fundamentales es el tema de la privacidad y el uso de aplicaciones en la nube tanto en lo personal como en lo corporativo”, resumió Martín Fuentes, LATAM Security Services Manager Datacenter, Security & Outsourcing, de Level 3. El ejecutivo asegura que la aparición de los servicios en la nube y su consecuente eliminación de las fronteras de las redes privadas marcó un hito en la problemática de la seguridad corporativa.
“Para 2016 se estima que 30% de la información de los usuarios esté en la nube, cuando en 2011 era solo 7%”, explicó Fuentes. El concepto de cloud computing está cada vez más avanzado y las empresas están cada día más proclives a tomar servicios basados en la nube.
El caso Snowden y la sospecha de que Estados Unidos analizan información de los usuarios almacenada en la nube pusieron sobre la mesa la cuestión de la privacidad. “Estos casos colaboran muchísimo con que la gente tome conciencia sobre el uso de recursos no controlados. El caso Snowden llevó a que la gente se pregunte si sus datos están seguros”, planteó el ejecutivo de Level 3.
Fuentes, sin embargo, destaca que más allá de la tecnología, existe un punto crítico que tiene que ver con la concientización de las personas. Por eso, asegura que casos de gran relevancia como el de Snowden se configuran como situaciones que hacen que las personas comiencen a tomar conciencia del riesgo. “El eslabón más débil sigue siendo el usuario”, explicó Fuentes. Para el ejecutivo, la clave es que el usuario tenga conciencia del riesgo al que se enfrenta llevando la información a la nube y publicando datos en Internet. “Creo que más allá de las regulaciones, el papel fundamental lo tienen las empresas de garantizar seguridad en la información”, explicó.
Encriptación y usuarios
El ejecutivo de Level 3 asegura que hay una falta de “recomendaciones, mejores prácticas y certificaciones” y apuntó que todavía existen muchas opiniones encontradas sobre como dar seguridad en la nube. “Tenemos normas internacionales como las ISO, tenemos regulaciones internacionales para operaciones con tarjetas de crédito, pero falta todavía un best practise”, destacó Martín Fuentes.
En el plano tecnológico, todos coinciden en que la encriptación es uno de los temas más importantes, pero siempre queda el componente del usuario en la problemática de la seguridad. “Uno de los puntos más importantes es que el usuario sepa qué está aceptando cuándo acepta los términos y condiciones de una aplicación”, explicó.
Capítulo especial es la Internet de las cosas y la movilidad. Martín Fuentes consideró que los dispositivos móviles seguirán siendo el punto en donde se enfocarán los ataques. “El celular es el punto central de la información, está en el centro de todo”, resaltó Fuentes. El ejecutivo explicó que a medida en que toda la información confluya en los dispositivos móviles, seguirán siendo el blanco de los ataques de los ciberdelincuentes. “Tendemos a concentrar toda la información en un mismo dispositivo y no siempre tomamos medidas de seguridad”, resaltó.
A esta situación, señaló Fuentes, se agrega el uso cada vez más extendido del BYOD (bring your own device, trae tu propio dispositivo). De esta manera, los usuarios utilizan los dispositivos personales para acceder a recursos corporativos “Todo esto da un entorno sumamente amplio y muy difícil de controlar”, afirmó.
Para el futuro, Fuentes prevé que la multiplicidad de dispositivos conectados a la red será uno de los principales temas a considerar a la hora de planear una estrategia de seguridad informática. “En general, lo que ocurre con estos nuevos dispositivos es que los desarrolladores dejan la cuestión de la seguridad para el final, y se centran en la usabilidad. Internet de las cosas va a ser, sin duda, una problemática a analizar en el futuro”, resaltó.
Red Hat
La comunidad como garantía de la seguridad
La estrategia de seguridad en una empresa parte desde la elección del software. Muchas empresas eligen soluciones de código abierto para sus servicios críticos, por la confiabilidad que ofrece el sistema operativo en cuanto a seguridad.
Roberto Stainbach
“Linux es la base de las soluciones de código abierto y cuando se trata de seguridad, es por excelencia la elección correcta”, afirmó Roberto Stainbach, Senior Product Manager, Infrastructure, Cloud and Virtualiztion para América latina de Red Hat, una compañía especializada en software libre. Para el ejecutivo, lo primordial en materia de seguridad es contar con una plataforma estable y segura. “Las soluciones open source estándar contienen, por ejemplo, Identity Management, encriptación, autenticación, auditoría, control de acceso, entre otros”, señaló Stainbach.
Sin embargo, quizás lo más interesante de un sistema de código abierto es la posibilidad de que cualquier persona pueda examinar el software para encontrar fallas de seguridad. “Linux se encuentra en constante innovación, revisión y homologación por parte de las empresas que trabajan en y con este sistema operativo y por las comunidades de desarrollo, que hace que el ciclo de producción se caracterice por una disminución en tiempo entre la detección y la corrección de los bugs”, precisó. La disponibilidad del código fuente facilita la revisión profunda y la auditoría por parte de todos los usuarios –y eso ineludiblemente hace que la seguridad mejore–.
Como Linux es la base de las soluciones de código abierto, las tecnologías de cloud computing o big data heredan estas características de seguridad y las potencian. Red Hat provee soluciones de código abierto a la Bolsa de Comercio de Nueva York, la Caja de Valores de Buenos Aires, Anses, Nación Servicios, la Bolsa Mexicana de Valores y el Instituto Federal Electoral de México, entre otros.
La empresa asegura que han reparado en un solo día 98% de las antiguas fallas en seguridad detectadas en los últimos cinco años. La solución Red Hat Enterprise Linux, por ejemplo, posee controles físicos, técnicos y administrativos para proveer niveles de control rigurosos sobre los archivos, los procesos, los usuarios y las aplicaciones en el sistema.
Vulnerabilidad
“La típica pregunta que recibimos mucho hoy en día es: al ser open source, ¿es más vulnerable que un software cerrado? Y la respuesta es no. Si existiese una puerta trasera en Linux ya lo sabríamos”, aseguró el ejecutivo. Stainbach afirmó, igualmente, que no solo se trata del nivel del sistema operativo, sino de las perspectivas de productos.
El ejecutivo planteó que el “efecto Snowden” ha sido muy positivo para el open source en la región “debido a la transparencia y seguridad inherente a lo que significa. “La adopción del open source es la principal tendencia que viene creciendo desde hace unos años, y cobrará un impulso fuerte en 2014 ligado a la tendencia del cloud”, afirmó Stainbach. Desde Red Hat, aseguran que más allá de la utilización de la tecnología de software libre en países y Gobiernos, los grandes proveedores de cloud y grandes empresas, como Amazon, Rackspace, Google y Facebook, han basado sus arquitecturas en plataformas open source.
“Las nuevas tendencias de soluciones como big data y cloud tienen su mayor desarrollo en tecnologías open source, y están aportando muchísimo en temas de seguridad, como es el análisis en tiempo real de las vulnerabilidades, comportamientos y sobre todo, en seguridad inherente al sistema operativo”, resaltó.
El ejecutivo planteó que junto con big data, la capacidad de realizar un análisis rápido de grande volúmenes de datos multidimensionales en tiempo real tiene un gran potencial para el análisis y la prevención de ataques. “Con esta información los modelos analíticos pueden determinar si el tráfico de un usuario es válido en base a su comportamiento, e identificar anomalías, falso tráfico, ataques e intrusiones, todo en tiempo real, lo que permite responder con una lógica a las amenazas, manejando el historial de acciones y procesos de todo lo que ocurre en tiempo real en máquinas e individuos dentro y fuera de la red; básicamente, hablamos de indexación, almacenamiento, procesamiento de información, búsqueda en tiempo real, y análisis predictivo”, subrayó.
McAffe
“El mundo móvil es una carrera que no tiene fin”
Sergio Pilla, Sales Engineer de la firma, asegura que este año, los dispositivos móviles seguirán siendo el foco de los ataques de los ciberdelincuentes. La falta de conciencia en el uso de estos equipos y un volumen creciente de amenazas dirigidas a dispositivos móviles configuran el escenario para la seguridad informática.
Sergio Pilla
Este año, el eslabón más débil en materia de seguridad informática seguirá estando en los dispositivos móviles. Smartphones y tabletas seguirán apareciendo como los principales focos de los ataques informáticos, y principalmente la plataforma Android, que es también la más utilizada. Sin embargo, Sergio Pilla, Sales Engineer para la Argentina, Uruguay, y Paraguay de McAffe, consideró que los ataques de ingeniería social cobrarán mayor relevancia este año.
Los ataques de ingeniería social son amenazas de avanzada y persistentes, que atacan no ya al dispositivo sino a la persona. “Se trata de obtener la mayor cantidad posible de información de la víctima”, apuntó Pilla. Este tipo de ataques están relacionados con los problemas de robo de identidad y uso de la información privada. La información recopilada por ataques de este tipo puede utilizarse para direccionar publicidad, pero también para cometer delitos tanto en el mundo virtual como el real.
Pilla asegura que no hay que descuidar la problemática del malware en computadoras personales y servidores, que se mantendrá en el próximo año, impulsado por vulnerabilidades en los sistemas operativos más recientes y plataformas de base como virtualización.
Según un informe divulgado por McAffe, en los últimos dos trimestres informados, el crecimiento del malware nuevo para PC se estancó, mientras que la aparición de muestras nuevas en Android aumentó 33%. Como las empresas y consumidores siguen migrando al espacio móvil, la compañía espera observar amenazas destinadas especialmente para este tipo de dispositivos, y ataques dirigidos a las vulnerabilidades en las comunicaciones de campo cercano (NFC) y ataques que dañan las aplicaciones válidas para expropiar datos sin ser detectados.
Estas tendencias, se complementan con el desarrollo cada vez mayor del ramsonware –amenazas que buscan tener el control de los equipos informáticos con el objetivo de pedir al usuario un rescate económico a cambio de devolver el acceso a su computadora o sus archivos– y un crecimiento sostenido de la atracción por las monedas virtuales, que se convierten en uno beneficio atractivo para los ciberdelincuentes. Las monedas virtuales como Bitcoins le proporcionan a los ciberdelincuentes una infraestructura de pagos anónima y sin reglamentar que necesitan para sustraer dinero a sus víctimas.
“Cuando uno analiza los ataques, lo fundamental es ver qué beneficios puede obtener un atacante”, explicó Pilla.
Dos preocupaciones
En el ámbito empresarial, las preocupaciones de los clientes se agrupan en dos grupos: mobile y cloud. “El mundo mobile evoluciona tan rápidamente que es una carrera que no tiene fin”, apuntó Pilla. Mientras que en el mundo del cloud computing, si bien es algo que ya está consolidado en el mercado, los usuarios suelen sentirse incompletos. “Hoy la mayoría de las condiciones que ofrecen los proveedores de cloud son en términos de SLA –acuerdo de nivel de servicio– pero faltan herramientas de seguridad, autenticación robusta y comandos y control. Cuando se trata de servicios remotos, aquí está el desafío”, resaltó Sergio Pilla.
Si bien estas son las tendencias generales, cada industria en particular tiene preocupaciones diferentes. “Hay industrias que tienen que cuidarse más por cuestiones normativas y hay otras que tienen mucho riesgo de fraude, por ejemplo”, explicó Pilla.
El ejecutivo de McAffe resaltó que el caso Snowden puso en los diarios temas que, hasta ahora, solo se hablaba en los pasillos de algunas empresas. Los hechos recientes mostraron una preocupación por la capacidad que tienen algunas organizaciones y entes estatales para acceder a información sensible.
En las organizaciones, asegura Pilla, parte del problema en materia de seguridad informática es el nivel de conciencia de sus empleados. “Es muy complejo lograr un nivel de conciencia en las organizaciones, más cuando estamos corriendo por detrás de la tecnología”, afirmó. Pilla destacó que en general, en el uso de tecnologías ya instaladas como el e-mail, es más fácil que una persona se cuide. “Cualquier persona conoce los riesgos y sabe qué tipo de información compartir por e-mail y cuál no. Pero aún no tiene claro qué información se puede compartir en el teléfono móvil”, resaltó.
Druidics
Aplicaciones maliciosas son el riesgo principal
Federico Massa, Security Consultant & Researcher de la firma, aseguró que en los últimos años se vio un aumento de las amenazas en los dispositivos móviles y aparecieron otras específicas para el mercado latinoamericano, en países como México, Chile y la Argentina.
Federico Massa
El ejecutivo planteó que uno de los riesgos principales está asociado con la descarga e instalación de aplicaciones maliciosas. “Siempre hay que descargar aplicaciones de sitios de confianza y tiendas oficiales”, afirmó.
A esta situación se le suma el avance del BYOD y una tendencia cada vez mayor de empresas que comienzan a desarrollar sus propias aplicaciones móviles. “Estos desarrollos no están exentos de vulnerabilidades”, afirmó. Una de los fuertes de Druidics está en la realización de servicios de pentesting (test de seguridad), para corroborar que las aplicaciones desarrolladas por las empresas sean seguras.
“La seguridad en los dispositivos debe trabajarse de manera integral”, señaló.
Los nuevos dispositivos inteligentes como autos, heladeras, sistemas de refrigeración, marcapasos o SmarTv, pueden contener vulnerabilidades informáticas. “Hay que tener en cuenta que las empresas que desarrollen este tipo de dispositivos deben poner foco en la seguridad. Yo creo que todavía hay una falta de conciencia”, afirmó.
Pero la falta de conciencia y, en especial, la actualización sobre las nuevas vulnerabilidades, no solo ataca a los desarrolladores de aplicaciones y software. Druidics cree que existe brecha también dentro de los propios expertos en IT. Por eso, desarrolló una nueva página web para que los gerentes de IT se capaciten en seguridad. La idea es mantener actualizado a los expertos de IT en cuanto a amenazas, vulnerabilidades y ataques, con el objetivo de reducir la exposición. “En este mercado siempre se está un paso atrás. La idea es que mediante el foro se puedan actualizar y conocer las nuevas tendencias”, resaltó el ejecutivo de Druidics.
