“No hay nada gratis, todo lo que no pagas con dinero lo pones con información personal”
ChechPoint anunció una vulnerabilidad descubierta en el chat de Facebook el mismo día de su primer CyberDay celebrado en Madrid, vulnerabilidad subsanada pertinentemente por Facebook, aunque le costó todo un mes revisar y blindar sus infraestructuras escalonadamente.
Un bonito día soleado de junio (si no fuera por los disparados niveles de polen en el aire), en el curioso y laberíntico auditorio de la fundación Giner de los Ríos, fue el que recibió el primer CyberDay organizado por Check Point con ánimo de institucionalizarlo los próximos años. “Y no hacer lo de siempre, venga a PowerPoints, queremos contar con la gente de fuera, no estamos solos en este mercado de la seguridad y todo esto es un ecosistema, no seríamos nada si no fuéramos capaces de trabajar junto a nuestros clientes”, explicaba Mario García, country manager de Check Point Ibérica. “Contar desde sus experiencias cómo se está luchando día a día en esta ciberguerra, y qué estrategias de defensa son las más eficaces. Es un hecho que los ciberataques se vuelven cada vez más frecuentes y los estudios arrojan cifras de incrementos exponenciales día a día –cada hora, por ejemplo, más de cien tipos de malware desconocido o modificados son descargados en el mundo-. O según datos más concretos del ICEX, las compañías españolas podrían estar perdiendo más de 13.000 millones de euros anuales por los ciberataques“.
Desde luego, la recomendación es empezar por lo más básico, y luego con esto claro ir sumando el resto en orden. “Respecto al futuro soy optimista: hace diez años era cuestión de gurús o del friki del sótano, ahora es parte de las vidas digitales y todo el mundo está más concienciados, si bien una política de educación ‘digital’, similar a las campañas de tráfico en prevención de accidentes, haría mucho más”, decía Mario García. “Porque el malware actual, cada día más sofisticado, ya no persigue sólo dinero, sino también, y sobre todo, información y control, hasta el punto de que en muchos casos, la víctima –sea ésta un individuo o una organización– puede no ser ni siquiera consciente de ello, o ser utilizada a su costa para delinquir desde sus dispositivos”.
En este Cyber Day 2016 se repasaron algunas de las herramientas más punteras para paliar este panorama cambiante de amenazas. El enfoque preventivo ha sido un claro protagonista con tecnologías como el sandboxing o la emulación de amenazas, que cada vez están adquiriendo mayor relevancia como barreras de neutralización de ataques. En el caso del malware móvil, por su parte, ya existen soluciones, totalmente transparentes para los usuarios, pero que permiten monitorizar cada dispositivo, analizar su actividad y detectar comportamientos anómalos. “No todos los antivirus son iguales, los hay mejores unos que otros. Proteger el móvil es complejo, no vale cualquier antivirus, incluso un antivirus puede ser bueno en el ordenador, pero no en el móvil. Los PC son sistemas de ficheros, exploras y abres. En un smartphone no sabes dónde está el fichero: los copian, los cambian de nombre y no te enteras… es un sistema de aplicaciones. Un PC se infecta con un archivo malo, un teléfono con una app incorrecta”, avisa el director general de Check Point España y Portugal. “Y es que cuanto más avance la tecnología, más avanzará la sofisticación de las herramientas de los criminales, pero también avanzará la capacidad de neutralizarles. Una buena noticia es que los ciberdelincuentes están siempre muy atareados en planear ataques y espiar a sus vecinos, pero no siempre se aplican el cuento y acaban siendo víctimas también de sus propios agujeros defensivos.
Responsible disclosed
Un tema que destacó Mario García fue el de la “divulgación responsable”. Cuando el equipo de Check Point (y seguramente la mayoría del resto de empresas de seguridad informática mantengan esta netiqueta) encuentra una vulnerabilidad, lo primero que hace es comunicárselo a la empresa afectada, para que sea consciente y consecuente. Se le da un plazo oportuno para que lo arregle, a veces consensuado si el tema es más complejo, como en el caso último de Facebook con sus chats que podían ser modificados los textos y adjuntos.
Pero no siempre los perjudicados están por la labor, sea por la razón que sea, casos se expusieron de eBay o Apple, y es cuando Check Point publica la vulnerabilidad. “Nosotros ponemos el contador a cero, y contamos los días, a veces los hay que lo arreglan en un día, y otros tardan 275 días. Es en ese entorno de colaboración donde queremos ir un paso más allá, y entre todos, hacer una red más segura: LG, Cisco, Palo Alto sí han respondido; según tarden en corregir, así es su preocupación”, dice Mario García. “Pero nos preocupa mucho el tema de los wearables, los fabricantes tienen hoy más prisa por sacar antes un producto nuevo que por probarlo y securizarlo. Los drones, los ciberjuguetes, el Internet de las Cosas… Menos mal que el I+D nos va a salvar. Disponemos de la colaboración de más de 500 start-ups silenciosas en Israel especializadas en seguridad, que no venden y que seguramente no van a vender nunca si no es que las compre alguien, pero que generan un caldo de cultivo experimentando con tecnologías en fase embrionaria pero muy interesante, y ese ecosistema es el que queremos potenciar”.
Caballo de troya de las empresas
De todas formas no nos llevemos las manos a la cabeza: el Windows del ordenador se actualiza todos los días, y a nadie le extraña que se corrijan 35 vulnerabilidades. Incluso hay sitios hackers especializados en explotar sólo las vulnerabilidades de Microsoft, esperando a que se anuncien, para rascar de esa masa indeterminada de ordenadores que no se actualizan tan a menudo. “¿Hasta cuánto pagarías por todos los datos que tienes en el móvil? Teléfonos que todos sabemos que si queremos pasar de 16 a 32 o 64 GB de memoria implica soltar 200 euros más… Teléfonos que se han convertido en la manera más fácil de entrar en las empresas, y éstas ya van tarde debido al auge del BYOD… Teléfonos donde sueles tener encerrado lo más importante de tu vida y de tu trabajo…”, apunta Mario García. “Pues los ciberdelincuentes sí han hecho sus números. ¿200 euros? Multiplícalo por 30 millones de smartphones que habrá en España: un negocio de 6.000 millones de euros, con que sólo consigan que caiga el 1%, ya son 60 millones, 10.000 millones de las antiguas pesetas”.
Esto con los ransomware tipo CryptoLocker que te secuestra la información y te piden un rescate a cambio de las claves. Pero otro vector de riesgo muy común es la pérdida física del móvil. “En Check Point sabemos que el tiempo medio de respuesta y reporte de un ordenador portátil echado en falta es de dos horas. El de un móvil es mucho más… me lo habré dejado en el bar, en casa de mi suegra… llamo, volveré a llamar, pasa un día… tienes la esperanza de que vaya a aparecer solo o te lo traiga un taxista, pasa otro día… ¡No se reporta hasta pasados dos días!”, relata Michael Shaulov, director del Área de Movilidad en Check Point.
Las amenazas llegan al móvil a través de tres vectores de ataque principales: descarga de apps infectadas, acceso a redes WiFi no seguras para un man-in-the-middle, y exploits inoculados para el sistema operativo o hacer bypass al antivirus. “Las amenazas móviles suponen ya un desafío particular y especialmente importante en los entornos corporativos, que vieron cómo los ataques a teléfonos móviles crecieron un 30% en 2015”, especifica Michael Shaulov.
Las amenazas del móvil más comunes han sido los conocidos como spyphones: un malware especializado en detectar la lista de contactos, coordenadas, micro, cam… “¡La cantidad de amigos y competidores que pagarían 60 dólares por esa información!”, dice. Le siguen los anuncios fraudulentos y los SMS “premium”. “Muchos localizados en Asia, infectan a miles de usuarios y recaban millones de dólares siguiendo la marcha del sol, después Europa y América. Pero los que más están evolucionando son los que logran introducirse en las tiendas oficiales de descargas esperando que algún incauto se los baje: juegos cutres, linternas… Por ejemplo, Viking Horde, no es un buen juego, su rate es pésimo, pero ahí está esperando que alguien se lo descargue, su objetivo no es que te o pases bien, sino infectarte. O la linterna que te pide permiso para tener acceso a tu lista de contactos y correos, ¿para qué lo necesita?”, pregunta Shaulov. “Incluso apps legales como Spotify se les da permiso para coger las claves de Facebook y te lo lee todo. No hay nada gratis, todo lo que no pagas con dinero lo pones con información personal”.
La mejor manera de protegerse es construyendo bloques y una combinación de estrategias dinámica y estáticamente. “Hay que hacer un esfuerzo en prácticas de uso y gestión del MDM; realizar contenedores seguros que encapsulen los workplaces corporativos; para amenazas conocidas, el uso de antivirus específicos para el móvil y de apps reputadas; y para amenazas desconocidas o de día cero, la prevención y creación de infraestructuras de seguimiento que vaya más allá de un antivirus”, aconseja Shaulov. “Por ejemplo, el análisis de conductas sospechosas y patrones de tráfico, haciendo un chequeo de los pasos que tiene que ejecutar un pdf en el orden que debe”.