Mariano Largo, director security operation de S21sec
Ante la proliferación de ataques informáticos de los últimos tiempos, hemos entrevistado a Mariano Largo, especialista de la compañía S21sec, sobre la probable evolución del panorama.
P-El phising no es nada nuevo, aunque el periodo de Semana Santa ha cosechado el récord de este tipo de malware. ¿Qué evolución prevén de cara al presente año respecto a este tipo de estafas?
R-Desde S21sec, conocemos el fenómeno del Phishing desde hace tiempo y hemos observado que la misma situación que se produjo en Semana Santa se ha producido en otras ocasiones, en vísperas de Fin de semana o de un puente largo. Lo que ha sucedido en esta ocasión es que la noticia ha llegado a los medios de comunicación.
Sobre la evolución hemos detectado que comienzan a mejorar la apariencia de los correos electrónicos y de los sitios web a los que se dirige a los afectados y algo que es extremadamente importante, se empiezan a realizar ataques a organizaciones mas pequeñas y menos protegidas, dado que las grandes organizaciones tienen en la actualidad totalmente procedimentada la respuesta a estos ataques.
P-¿Qué medidas ha dispuesto S21sec para hacer frente a esta amenaza?
R-Nuestra organización viene prestando servicios anti-phishing desde el último trimestre del año pasado, para algunos de nuestros clientes y en resumen nuestros servicios se centran en tres aspectos básicos:
-Prevención donde intentamos definir con nuestros clientes una política de comunicación, que centralice el envío de información a sus usuarios, intentando con ello no crear confusión con múltiples cuentas de correo que dirijan información al cliente y con la realización de auditorias periódicas que impidan como se ha dado en algún caso que el delincuente pueda utilizar la página de la entidad para realizar el ataque.
-Detección en donde contamos con motores de búsqueda específicos que son capaces de revisar y auditar la web permanentemente y nos lanzan alarmas cuando se crean dominios que pueden ser una amenaza, o se ponen en la red algunas páginas muy similares a las de nuestros clientes. Además, contamos con las herramientas necesarias para detectar el envió masivo de los correos electrónicos que dan lugar al ataque. La utilización de estas herramientas nos permite en muchos casos detectar el incidente en el día 0, es decir en el momento en el que el delincuente comienza a prepararlo.
-Respuesta, S21sec se ha integrado en una red de SOC a nivel mundial que permite en un primer lugar monitorizar la amenaza desde el día 0 si es detectada y por supuesto si el ataque se produce, proceder al cierre del site o del dominio atacante en tiempos record. El último de ellos fue cerrado en algo menos de tres horas y debemos tener en cuenta que el register estaba en Rusia y el site en China.
P-¿Cómo debe comportarse el usuario ante un ataque informático?
R-Básicamente el usuario nunca debe contestar a estos e-mail ya que las entidades financieras jamás le pedirían datos confidenciales a través de este medio, de la misma manera que el empleado de un banco nunca te pedirá el PIN de tu tarjeta de crédito. De todas maneras, comienzan a existir otros tipos de ataque donde el delincuente consigue envenenar los DNS de resolución de los proveedores de acceso a Internet, consiguiendo redireccionar al usuario a páginas Web similares a las de la entidad pero fraudulentas. Desde S21sec hemos desarrollado las herramientas necesarias para contrarrestar este tipo novedoso de ataques que se empieza a conocer como Pharming.
P-Está claro que el desarrollo de Internet a gran escala pasa por dotarla de una seguridad que en estos momentos parece lejana. ¿Es esta percepción del estado caótico actual de la Red una ilusión?¿Es realmente insegura la Red para ser tomada como algo “serio”?
R-En la vida tenemos muchas actuaciones que son peligrosas de por si y normalmente tomamos precauciones y generamos programas de prevención e información de los riesgos. No podemos dudar que Internet como otros aspectos de la vida genera riesgos, pero estos se ven muy mermados si el usuario tiene la información adecuada y es prudente en la utilización de su identidad en la red. En estos momentos estamos generando mini-cursos online que alguno de nuestros clientes colgaran en su web para ir trasmitiendo a sus usuarios la información adecuada.
P-La abundancia de ataques informáticos ¿es una cuestión de “malas intenciones” individuales y colectivas o atiende también a fuertes deficiencias estructurales?
R-Cuando las amenazas en la red eran los virus, normalmente eran malas intenciones individuales de personas que trataban de ensalzar su ego con la generación de nuevos virus que se propagaran rápidamente. Cuado hablamos de este otro tipo de ataques se trata de grupos organizados o mafias y sin duda cuando este tipo de actores entra en acción las medidas a tomar deben ser otras aunque éstas sean caras y complejas y entre otras podríamos hablar de firma electrónica o autenticaciones que requieran de algún dispositivo y no solo de algo que conocen los usuarios, sino “algo que se y algo que poseo”.
P-¿Se tiene alguna apreciación del prototipo de phisher en particular o de atacante en general?
R-En este momento muchos de los atacantes son personas de los países del este con una formación muy importante pero con una situación económica en sus países bastante delicada. Creo que es lo mismo en el mundo real y continuamente se descubren y desmantelan mafias con origen en los países del este.
P-¿Debemos acostumbrarnos a soportar el phishing y el spam como si de propaganda en nuestro buzón físico se tratara?
R-Realmente cuando hablamos del spam estamos hablando de algo que ocurre muy similar en el mundo real. Conozco muchas comunidades que no permiten el acceso a los carteros comerciales. En cuanto al phishing creo que es algo que evolucionará, se transformará pero no dejará de haber intentos de estafa, timos, etc.
P-Por último, dénos la receta para mantener nuestro ordenador libre de todo ataque.
R-Utilizar las medidas y herramientas adecuadas, preocuparnos de adonde accedemos, reinstalar nuestra máquina de vez en cuando, mantener actualizado el equipo y no olvidar que hasta una cookie es un ataque a nuestra intimidad ya que de alguna manera controla nuestro comportamiento. Con todo esto no olvidemos nunca las ventajas que Internet nos ofrece, solo seamos prudentes.