Preocupaciones para el

2014

Su aliado en seguridad de la informacin

Quizs sea, porque seguridad al 100% no existe, antes de

considerar esta idea como la razn del continuo sufrimiento (siendo
sufrimiento la manifestacin dolorosa a nivel no fsico del xito de
un incidente), primero considere la respuesta al siguiente
interrogante: Qu esperan las organizaciones de una
estrategia de seguridad de la informacin?
Solo en aquellas organizaciones que tienen un claro entendimiento
del por qu y el cmo de la estrategia de seguridad de la
informacin, vivindolo como parte de su da a da, muestran una
postura preventiva. Como organizacin, cuando reaccionamos solo
ante el dolor, aseguramos la posibilidad o facilidad que los autores
materiales e intelectuales de un ataque, es decir, el agente de
amenaza, logre xito en su propsito. Esta postura reactiva, es el
principal facilitador en el xito de todos los ataques cibernticos.

Una mirada general en materia

de seguridad de la informacin a
las organizaciones, revela que
frente a este tema an
predomina la postura
reactiva.
A un nuevo incidente de
seguridad de la informacin
sufrido, se reacciona creando un
control. Al parecer, las victimas
(las organizaciones
atacadas) aprenden con
dolor, se fortalecen cada vez
que viven esta difcil
experiencia. Pero, si cada vez
nos fortalecemos de la fatigosa
experiencia por qu
seguimos sufriendo?

Quienes estn detrs de los ataques han demostrado tener una alta
capacidad de organizacin, y como toda comunidad organizada
(criminal o no) la inteligencia es evolutiva de modo constante. De
forma contrara, en las organizaciones donde prevalece la postura
de reaccin ante el dolor, al interior de su comunidad, la inteligencia,
fruto de la experiencia al vivir incidentes, es no evolutiva. Esto
debido, a que el conocimiento adquirido permanece solo en las
personas que viven esa experiencia, que como fruto de su ciclo de
desarrollo profesional, cambian de responsabilidades e incluso de
organizacin llevndose consigo el conocimiento, lo que dificulta un
aprendizaje evolutivo al interior de las instituciones empresariales,
por lo tanto:

AMENAZA
Inteligente

DEFENSA
Poco Consiente

ATAQUE

EXITOSO

Esta debilidad es abiertamente conocida por los grupos organizados

que actan como agente de amenaza, entienden la reaccin del
mercado de seguridad de la informacin, quien ofrece cada vez
nuevas alternativas de mitigacin a nuevos tipos de ataques, es por
esto, que los agentes de amenaza evolucionan a ataques ms
sutiles y de un nico uso. La estructuracin de un ataque
xitoso no es reutilizada para un mismo objetivo; se ha
observado una misma tcnica y metodologa de ataque para
diversos objetivos, pero para un nico objetivo experimentando
varios ataques exitosos, se ha observado diferentes tcnicas y
metodologas de amenaza por cada uno de ellos.
Los agentes de amenaza son extraordinariamente inteligentes,
entienden las dificultades estructurales o funcionales existentes al

Pgina Web: www.digiware.net

Digiware

@DigiwareSA

Preocupaciones para el

2014

interior de una organizacin para apropiar y madurar una

excelente estrategia de seguridad, es ms sencillo para las
organizaciones, adoptar una estrategia de seguridad que
evoluciona dentro de una postura reactiva, esto es lo que
ellos ms aprovechan.
Si bien, las organizaciones soportan su estrategia en
tecnologas facilitadoras de control, estas, las tecnologas,
evolucionan como respuesta a incidentes exitosos,
no a incidentes prevenidos, dejndonos en esa
estrategia siempre un paso atrs. Los esfuerzos de los
agentes de amenaza se concentran en tener de forma
permanente recursos de ataque de un solo uso,
entendiendo que deben ser usados hasta que las
tecnologas evolucionen para detectarlos, una vez esto
ocurre, los abandonan o los desarticulan (para los casos de
las redes de Comando y Control). Los agentes de amenaza
comprenden que las tecnologas de seguridad de la
informacin cada vez evolucionan ms rpido, pero las
organizaciones las integran en ciclos de tiempo amplios
(semestres y aos), el factor resultante, son meses de
posible explotacin dada la ausencia o deficiencia de control
para detectar un nuevo tipo de ataque.
Este esfuerzo persistente de evolucin de las tecnologas y
estrategias de seguridad ante el xito de los ataques, ha
forzado al desarrollo de amenazas de seguridad de difcil
deteccin, as mismo, a una estructura que soporte una
sostenible capacidad de desarrollo, distribucin y
desarticulacin de los ataques y sus herramientas
facilitadoras. Los grupos organizados desde los cuales
surgen o se soportan los agentes de amenaza, se han
estructurado de forma modular, ahora cuentan con
estructuras con propsito focalizado: grupos internos de
desarrollo, grupos de distribucin, grupos de control y
grupos de estrategia de cambio que alinean al grupo de

Su aliado en seguridad de la informacin

desarrollo sobre como guiar los nuevos artefactos

ofensivos, todo una estructura de gerencia de proyectos de
IT.
En los aos venideros, nos enfrentaremos a retos ms
difciles que deben plantear desde ya un cambio sustancial
en el concepto central de la estrategia de seguridad definida
en cada ciclo. Los agentes de amenaza nos conocen, eso les
ayuda a predecir como reaccionamos ante un ataque. Ellos
tienen tiempo, demasiado tiempo para lograr el xito ante
una arremetida, estn organizados y son inteligentes.
Mientras que ellos mantienen la calma durante un ataque,
nosotros ordinariamente nos desesperamos.
Encaramos a una generacin de ataques y amenazas
dinmicas, flexibles y sutiles, que suman a su objeto de
ataque la capacidad de mantenerse siempre oculto. La
flexibilidad y el ocultismo en el ataque son el soporte para la
reincidencia del xito de la amenza, para un mismo objetivo,
una nueva metodologa de ataque cada vez, aprovecha la
conquista en el anterior, y as, cambia o evolucina de forma,
dificultando nuevamente la deteccin y por ende la
contencin. Por eso, cada vez, es ms difcil detectar
Malware.
Malware, lo que realmente preocupa de l: El cdigo
malicioso ha evolucionado a un nivel tal, que obliga a
afrontarlo de un modo no solamente tcnico. La atencin a
un incidente por epidemia de malware no debe aglomerarse
entorno a los sistemas infectados (los pacientes enfermos),
debe identificar el mecanismo usado para su propagacin,
la existencia o no del mecanismo de control remoto, el
objeto de su actividad, los usuarios objetivo y el medio
usado para materializar su propsito. Se ha observado
Cdigo Malicioso que usa aplicaciones de confianza, respeta
su protocolo de comunicacin, solo detectable por los
horarios en que se activa. Un error general en el
Malware sutil es su activacin en horarios no
esperados, ayuda as algunas veces a ser detectado;
debido a que el Cdigo Malicioso se ha desarrollado sobre la
base del concepto de un nico uso (o uso desechable), las
plataformas anti-malware (o antivirus) convencionales no
logran detectarlas en los primeros 6 meses o hasta que la
poblacin de infectados sea significativa (miles de
estaciones comprometidas a nivel mundial) para motivar la
generacin de una firma de identificacin por parte de las
casas fabricantes de estos sistemas. Acta por etapas y
cambia dependiendo de la fase en que se encuentre.
Reconocimiento, Compromiso, Movimiento lateral y

Pgina Web: www.digiware.net

Digiware

@DigiwareSA

Preocupaciones para el

2014

ocultismo (estado pasivo) son parte de las etapas en las que

el Malware puede intervenir, las etapas se repiten conforme
el objetivo de ataque se defina, de forma simple, se repite el
ciclo segn los antojos de quien est detrs del diseo del
Malware.
La lucha contra el Malware requiere que la estrategia de
seguridad contemple capacidad de simulacin o entornos
controlados que permitan la ejecucin de cdigo, a travs
de esto, observar los procesos invocados y como ellos
actan en un sistema operativo, de esta forma, sobre el
resultado, determinar la presencia de una amenaza objeto
de control. En conjunto con esta capacidad, la visibilidad por
comportamiento es indispensable, no limitada al entorno de
comunicaciones (a nivel de Red), debe incluir el
comportamiento saliente y entrante de correo sobre los
usuarios organizacionales. Al ser el servicio de correo, uno
de los medios ms usados para la propagacin del cdigo
malicioso en cada una de sus etapas de infeccin
(Reconocimiento y Compromiso), observar el flujo de
correo para comprender la relacin y tendencias de fuentes
y destinos e-mail, permite identificar de forma temprana el
inicio en los intentos para comprometer usuarios objeto de
infeccin y sus sistemas.
El Malware es indiferente al role que desempea el usuario
dueo del sistema comprometido, el objetivo incluso
puede ser solo un nico usuario dentro de la
organizacin (quien tiene acceso a informacin o
procesos sensibles), pero la actividad de compromiso puede
ser orientada a una poblacin de usuario ms amplia que al
tamao de usuarios del objetivo final. Se han observado
casos de ataques en los que se usa a un usuario inicial que
se ha comprometido por medio de correo, quien una vez
est bajo el control y poder del agente de amenaza acta
como puente para implicar por otro medio (sistemas de
mensajera instantnea) al usuario objetivo final. As, la
primera oleada de compromiso tiene como propsito llegar
por medio de una segunda o tercera infeccin (con un tipo
diferente de malware) al grupo de usuarios o usuario
objetivo verdadero.

El Cdigo Malicioso se est diseando con el propsito de

no ser detectado, no debe desconcertar confirmar la
presencia de un Malware por medios diferentes a los
sistemas Anti-Virus o sus similares (disponibles en el
entorno empresarial) sin que estos generaren alertas
previas, se dise pensando que eso ocurra. Es esta

Su aliado en seguridad de la informacin

amenaza una de las herramientas facilitadoras de

ataques que mejor representan la inteligencia detrs de
los grupos organizados con este fin. Cuando nos
enfrentamos a esta preocupacin, no debemos olvidar
que existe una mente criminal que motiv su creacin, y
es este factor humano, el que aumenta el grado de
dificultad para lograr contener el fin de un ataque que usa
al Cdigo Malicioso como su catalizador del xito en la
ofensiva. Valore esta amenaza considerando el
factor humano, se cre por una mente humana sin
barreras ticas y/o morales para afectar a
humanos, explotando nuestra debilidad ms
comn: la confianza.

Redes Sociales, nuestros empleados en las redes

versus la seguridad corporativa: Cuando inician las
actividades de reconocimiento, como fase inicial
preparatoria de un embestida ciberntica, las redes
sociales son la fuente de informacin por excelencia.
Nuestros colaboradores ofrecen mas informacin del
ecosistema organizacional a travs de las redes sociales,
que las mismas reas de mercadeo en su anhelo de
posicionar la marca. El deseo natural de progreso
personal por medio del desarrollo profesional en cada
colaborador, y su relacin con las redes sociales de
profesionales, exponen a las empresas a serios riesgos
de seguridad. Los curriculums disponibles en estos
medios, ayudan a la consecucin de nuevas
oportunidades laborales, pero a su vez, suministran
detalles de quienes son los responsables y de qu, as
mismo, informa de los sistemas soportados y operados
dentro de la organizacin a los agentes de amenaza.

Pgina Web: www.digiware.net

Digiware

@DigiwareSA

Preocupaciones para el

2014

De esta forma, se perfilan los objetivos en sus entornos

personales, ambientes comnmente debiles en materia
de seguridad de la informacin; a travs de una falsa
oportunidad laboral, en una actividad de ingeniera social
bien estructurada, se le enva al interesado (objetivo
inicial del ataque) formularios cargados con artefactos de
control malicioso, solicitando al usuario objetivo,
suministre en el documento digital la informacin que
demuestre su experiencia, pero su verdadero fin, est en
esperar que sea descargado y ejecutado en el equipo
organizacional usado por la victima desde su hogar, un
lugar de bajo control, logrando que el xtio del ataque
inicial sea mayor.
El ejercicio de ataque inicial, permite insertar puertas
traseras que posteriormente sern usadas una vez el
sistema comprometido regresa al ambiente
organizacional, facilitando la evacin de los controles
detectivos y preventivos. A travs de este ataque
focalizado, los agentes de amenaza logran insertar en las
empresas sistemas de comando y control, o drones,
desde los cuales, inician sus actividades maliciosas mas
relevantes (fraude o robo de informacin).
Incluso, colaboradores externos que sostienen una
relacin directa con la organizacin, a nivel IT, pueden
suministrar aspectos internos por medio de las redes
sociales. Al documentar en su experiencia laboral las
organizaciones clientes y sistemas que han soportado,
describen detalles valiosos para los agentes de amenaza.
Pueden incluso ser el objetivo inicial en un ataque;
cuando se experimentan fallos tcnolgicos, este
colaborador externo ingresa a la organizacin victima
usando sistemas previamente comprometidos
(dispositivos de almacenamiento USB y Laptos), que al
ser usados durante una emergencia, generalmente
saltan los controles preventivos de la organizacin en su
aspiracin para recuperar el fallo en el menor tiempo
posible. Prevalece el deseo de superar el defecto IT ante
la necesidad de proteccin, combinacin perfecta para el
xito de un ataque sofisticado.
Usando un camino similar al de los agentes de amenaza,
en sus etapas de perfilamiento focalizado, la estrategia
de seguridad de la informacin debe identificar

Su aliado en seguridad de la informacin

tempranamente la informacin que se entrega al dominio

pblico (redes sociales) desde los usuarios de inters,
denominados en los planes de respuesta a incidentes
como los Actores de Riesgo.
Esta actividad preventiva debe estar combinada con
planes para concienzar sobre los riesgos que se derivan al
exponer informacin abiertamente sobre Internet. El
entendimiento del uso adecuado de los recursos de redes
sociales disponibles para de los actores de riesgo ayudan
a dificultar la elaboracin de los ataques.
La inteligencia de los grupos organizados de amenaza,
una vez ms se demuestra a un nivel muy alto, tanto que
logran desarrollar Cdigo Malicioso especfico segn el
perfil identificado del usuario, como de los sistemas
informticos asociados a la organizacin. Esta capacidad
granular de desarrollar artefactos segn el objetivo hace
considerablemente difcil la deteccin, lo que no se
identifica no se contiene. Estamos as en el nivel de la
!Felz Ignorancia! Feliz la organizacin por no saber que
es atacado tanto como el agente de amenaza por lograr
un ataque oculto, una felicidad compartida, pero
definitivamente no una relacin de gana y gana.
La simbiosis de Malware y Redes Sociales es tan
exitosa que debe ser considerada una de las
principales preocupaciones mas relevantes en los
planes de seguridad de la informacin del corto
plazo, no es algo que preocupe para un maana, es algo
que preocupa hoy!
Creer que no te pasar a ti; la falsa sensacin de
seguridad, el eslabn ms dbil despus del
usuario: Sin entrar en un tono sensacionalista, el nivel
de xito en los ataques se incrementa, la capacidad
contnua para desarrollar mecanismos evasivos por parte
de los atacantes preocupa en gran medida.
Este continuo crecimiento, se combina con la falta de
sensibilizacin por parte de las organizaciones, quienes
consideran que no son tan importantes para ser objeto
de un ataque avanzado. Creer que no te pasar, afianza
la postura reactiva de forma natural dentro del plan
estratgico de seguridad de la informacin. Pasan de la
prevencin a un estado pasivo, estado en el que solo se

Pgina Web: www.digiware.net

Digiware

@DigiwareSA

Preocupaciones para el

2014

espera a que algo pase, pues al no ser tan importantes

supuestamente no sern atacados, qu justica as un
esfuerzo para prevenir?
Los ataques no depende del nivel de importancia de la
organizacin. Todos estamos expuestos a ser atacados y
con total seguridad seremos atacados. Los atacantes
requieren de recursos o herramientas de ataque de
forma permanente, por eso, sostienen un continuo
empeo en desarrollar artefactos, pero para que
funcionen se requiere de redes de distribucin, como
mnimo necesitan esto.
Por esta razn, todos estamos expuetos a sufrir un
ataque, podemos ser objetivos en un plan de ampliacin
de sus redes de distribucin y control, al igual que,
objetivos en ataques de mayor impacto. La focalizacin
del ataque es indiferente a la importancia de los usuarios
u organizacin. El simple hecho de tener sistemas de
procesamiento conectados a Internet, nos vuelve
atractivos en los planes ambiciosos y estratgicos de los
grupos organizados de amenaza.
Por que los pases trabajan con mayor velocidad
para tener capacidad de defensa en el espacio
ciberntico? Es un hecho, la amenaza en el
ciberespacio crece, creer que no sern atacados es un
gravsimo error.
Las organizaciones invierten tiempo y presupuesto
financiero en sistemas de correlacin, pero,
lamentablemente sin un claro entendimiento del
beneficio esperado en ello. Al lograr una capacidad de
visibilidad (principio fundamental en una estrategia de
seguridad preventiva) sin contar con una capacidad de
respuesta de incidentes se lograr el fracaso en la
estrategia de seguridad. Cuando se declaran eventos
(sucesos que potencialmente pueden materializar un
incidente desde la nueva capacidad de visibilidad al
interior de las organizaciones, en compaas que
sostienen una creencia en no ser atacados (falta de una
adecuada sensibilizacin), la organizacin en su
conjunto, facilita el xito del ataque posterior, es este,
quizs, el principal fundamento de los fracasos de los
proyectos de correlacin en las organizaciones.
Al menos cada 3 aos, una compaa vivir un incidente

Pgina Web: www.digiware.net

Digiware

@DigiwareSA

Su aliado en seguridad de la informacin

de seguridad de alto impacto que pondr a prueba su

capacidad de respuesta a incidentes. El tiempo de
recuperacin depender de esta capacidad, en esto se
encuentra el nivel de dolor al vivir un incidente
exitoso.
Pocas estrategias de seguridad incluyen o consideran
como un aspecto fundamental a la visibilidad de los
actuales y prximos ataques que son y sern de difcil
deteccin. Por el momento, observar el comportamiento
en el ecosistema organizacional ( a nivel de sistemas de
informacin y sus usuarios) complementa las deficiencias
conocidas y no conocidas que tiene los controles
tecnolgicos de seguridad ante nuevos tipos de
amenazas. La visibilidad es necesaria.
Lo anterior otorga pasos adelantados de contencin, se
gana algo de tiempo antes que un ataque logre el xito,
esto permite a las organizaciones pasar a una postura
preventiva. Evalu sus actuales capacidades de
respuesta a incidentes (todos las etapas: Deteccin,
Analisis y Contencin).

Tenga f! tarde o
temprano ser atacado,
probablemente ya lo fu,
pero an no lo sabe.
Observe la problemtica del
Malware como algo mas que
un aspecto exclusivamente
tcnico, identifique en ello
sus factores de riesgo,
internos y externos (sus
proveedores con acceso
sensible) y preparelos para
que entiendan el significado
de ser potencialmente un
objetivo.

FABIN ZAMBRANO
Director DigiSOC