Ataque inteligente
Las empresas disfrutan de los beneficios de Internet de las Cosas o Inteligencia Artificial, pero pocas toman conciencia de que en esas innovaciones anidan los futuros ciberataques. Cómo protegerse.
Si tan solo usaras esa inteligencia para hacer el bien”, le planteó alguna vez Superman a su archirrival Lex Luthor, sorprendido porque Luthor decidió emplear algo tan positivo y productivo para hacer algo tan malo. En algún punto, lo mismo ocurre con las nuevas tecnologías y su utilización por parte de hackers: la nube, la movilidad, Internet de las Cosas (IOT) y hasta la Inteligencia Artificial (IA) son fuente de innumerables beneficios para las organizaciones. Pero también el nido donde se están gestando ataques informáticos cada vez más complejos y difíciles de detener.
“Antes de 2000, los atacantes necesitaban en gran medida acceso físico a los sistemas para causar daños”, cuenta Federico Tandeter, director de Accenture para Sudamérica de Habla Hispana. “La introducción de nuevas tecnologías ha erosionado las defensas tradicionales de los sistemas”, agrega.
“Los CIOS y dueños de negocios necesitan pensar la seguridad de manera holística para sus centros de datos extendidos, es decir, infraestructuras de cómputo que abarquen nubes privadas, públicas y distribuidas”, define Satyam Vaghani, VP de Tecnología de Nutanix, especializada en habilitar a los equipos de IT a construir arquitecturas multicloud.
Los riesgos relacionados con la computación en la nube ya son conocidos. “La no certeza del control de la información en comparación con sus beneficios sigue generando resquemores en mover la operación de IT allí”, recuerda Carlos Castañeda, responsable de Preventa de Ciberseguridad de Unisys Latinoamérica. Sin embargo, siempre aparecen nuevos riesgos. Como el que identifica Vaghani, aso- ciado con el desarrollo de aplicaciones basado en microservicios en la nube. “Una gran cantidad de servicios más pequeños pueden actualizarse y ser modificados con mayor rapidez que los sistemas de software monolíticos, por lo que las organizaciones que no cuentan con una infraestructura de seguridad específica, si permiten que cada servicio configure su propia seguridad para agilizar el desarrollo de software, se obtiene una vulnerabilidad intrínseca, desigual y difícil de corregir”.
El número de dispositivos y sensores distribuidos en campo que envían información a sistemas centrales, o IOT, es una verdadera fuente de oportunidades para los cibercriminales. “IOT ha mostrado ser el eslabón más débil de la cadena, algo que se vio el año pasado en el último ciberataque global. Y son justamente los dispositivos IOT los que crecen a mayor ritmo”, cuenta Carlos Abril CEO de la consultora especializada en transformación digital Atos para la Argentina, Colombia y Uruguay.
Por lo pronto, IOT supone la convergencia de IT con las tecnologías operacionales (OT). “Un ataque en la red OT podría desencadenar eventos que llegan a los sistemas de negocio y una infección de malware en la capa de IT podría extenderse hasta los procesos de automatización y derivar en graves problemas operacionales”, sostiene Tandeter.
Denise Giusto Bilic, especialista en seguridad informática de ESET Latinoamérica, sostiene que para prevenir los ata-
ques a estos equipos deben tenerse en cuenta dos aspectos. El primero es el técnico, “donde implementar la seguridad en la plataforma constituye un reto considerable, ya que las técnicas tradicionales de seguridad –como el filtrado, el cifrado y la autenticación– pueden consumir una enorme capacidad de procesamiento y ancho de banda, lo que puede sobrecargar los sistemas”. El segundo tiene que ver con la concientización de los usuarios: “La creación de un plan de capacitación sobre riesgos de seguridad es vital para minimizar la posibilidad de un ataque exitoso”.
Christian O’flaherty, gerente de Desarrollo Regional para Latinoamérica de Internet Society, agrega una tercera pata: la seguridad en las aplicaciones móviles y los servicios de backend que soportan los dispositivos o sensores de IOT. “Muchas empresas utilizan dispositivos de nivel de usuario, como televisores inteligentes o geolocalizadores, sin considerar que no están construidos con las mismas protecciones que los corporativos”, dice. También recomienda mirar a largo plazo: “Es necesario comprender las capacidades del ciclo de vida del producto y lo que hará cuando ya no sea actualizable o seguro o cómo se hará la transición de los datos adquiridos si es necesaria”.
Prestar atención
Una debilidad de los productos IOT estaría… en los mismos productos. “La falta de un estándar a nivel de industria y regulaciones recién en desarrollo hacen que en la mayoría de los dispositivos el nivel de seguridad sea insuficiente”, explica Santiago Pontiroli, analista de Seguridad en Kaspersky Lab. “El problema es que, en algunos casos, el desconocimiento de esa tecnología por parte de los fabricantes los llevó a cometer errores que podrían generar que la vulnerabilidad de un solo dispositivo se expanda a todos los producidos”, coincide Norberto Marinelli, fundador y CEO de Certisur, empresa que provee servicios de confianza para garantizar las transacciones sobre redes públicas como Internet.
¿Cuáles son las claves para hacer más seguro un esquema IOT? Debe garantizarse la protección de los sensores que emiten información sin intervención humana, con políticas que van desde mantener actualizado el software o el firmware del dispositivo ante las últimas vulnerabilidades detectadas por el fabricante hasta el monitoreo y la detección de accesos no autorizados al equipo, pasando por mecanismos estrictos y minuciosos de acceso, tanto remoto como en campo (deben tener sistemas de alarma o monitoreo, o estar en construcciones con protección).
“También debe implementarse un SOC (Security Operation Center) que permita detectar desvíos sospechosos en el funcionamiento de la red, como la aparición de dispositivos no autorizados o cambios en el volumen de tráfico, para identificar si hay datos del sensor que se pierden o son manipulados”, apunta Tandeter.
“Debe evitarse la conexión punto a punto. Si, por ejemplo, existe la posibilidad de manejar todo mediante el uso de APIS, es imprescindible contar con un API Management que detecte e impida ataques”, recomienda Hernán Conosciuto, arquitecto senior de Soluciones de Ciberseguridad, Nube y Almacenamiento de Red Hat.
Avast anunció Smart Life, una herramienta de seguridad para IOT que utiliza IA para identificar y bloquear las amenazas. “Por ejemplo, si un termostato de calefacción se enciende a una hora inusual y transmite datos en alto volumen a un país desconocido, Smart Life podrá apagar el dispositivo y alertar al usuario”, explica Michal Salat, director de Inteligencia de Amenazas de la compañía.
Seamos inteligentes
La IA es una tecnología cuyo poder aún es difícil de estimar. En términos de seguridad de la información, puede jugar a favor, tal como relata Abril. “La gran cantidad de objetos a proteger hace que replanteemos muchos paradigmas de segu-
ridad y hayamos desarrollado nuevos con- ceptos como la seguridad predictiva y prescriptiva y estemos trabajando en la encriptación homomórfica cuántica, todo apoyado en herramientas de machine intelligence y quantum learning machine”. Pero también en contra, según Octavio Duré, gerente de Ingeniería de Software de Vmware: “Las estadísticas indican que un dispositivo IOT colocado en la red es atacado dentro de los primeros veinte minutos de vida. La tecnología de IA da a estas amenazas más poder y no hay protección capaz de evitarlo. Lo mejor que podemos hacer es mitigar el impacto evitando que los ataques se propaguen”.
¿Qué ocurriría si la IA llega a la producción de virus? “Hay casos donde el malware emplea técnicas avanzadas para efectuar ataques sigilosos y evolucionados capaces de tener un análisis más profundo de la situación y del comportamiento de los usuarios logrando entender y conocer los intereses y hábitos de sus víctimas, llegando a imitarlas, creando situaciones terroríficas con comportamientos anó-
malos que implican grandes crímenes cibernéticos”, define Adriana Jiménez Soler, especialista de Producto de la firma de soluciones y telecomunicaciones IFX.
“Algunos investigadores demostraron que técnicas como el machine learning pueden ser utilizadas para automatizar ataques inteligentes contra la infraestructura de una compañía y otros concibieron escenarios avanzados de ingeniería social en los que la IA es utilizada para imitar el léxico de una persona y ganar la confianza de otra”, cuenta Giusto Bilic. Castañeda indica que en la literatura se encuentra desde hace unos años el concepto Artificially Intelligent Virus (AIV), que revisa la vinculación de tecnologías de IA a malware: “El problema de la utilización IA en un virus o malware es que requeriría toneladas de recursos como CPU y memoria para ejecutarse”.
“No conocemos ningún malware que aproveche la IA, pero hubo una competencia en 2016 llamada Darpa Cyber Grand Challenge, donde el objetivo era crear un sistema de ataque y defensa que atacara de forma autónoma el software enemigo y se protegiera de los ataques”, relata Salat. “Los resultados muestran que es técnicamente posible, aunque todavía es bastante pesado”.
Futuro imperfecto
“Nada previene que los desarrolladores de malware utilicen la misma tecnología para generar malware más poderoso y difícil de combatir: el futuro de la seguridad informática podría incluir malware inteligente tratando de no ser detectado por soluciones inteligentes”, define Tandeter.
La gran pregunta es hasta qué punto será posible combatir un malware inteligente. “Al igual que el cerebro, es difícil saber exactamente cómo aprende la IA, lo que dificulta la seguridad. Controlar los datos de los cuales se alimentan los sistemas es un primer paso, ya que hacerlo le da al propietario cierto control de lo que la IA puede aprender”, detalla Salat.
Mientras tanto, algunas empresas siguen peleando contra virus de los ’80. “Es necesario desterrar que una solución de seguridad va a resolver todas las vulnerabilidades. Eso ya no existe más”, indica Pablo Dubois, gerente de Productos de Seguridad del proveedor de comunicaciones Centurylink para América latina. “Las soluciones se deben plantear en modelos de capas, protegiendo cada una y teniendo en mente que posiblemente ya se hayan vulnerado, por lo que es necesario considerar cómo controlar o minimizar ese riesgo”, agrega.
“Es imposible impedir al 100 por ciento cualquier ataque, por lo que es tan o más importante saber cómo actuar ante un hecho que prevenirlo”, dice. “Los especialistas deben estar preparados para enfrentarlo”, amplía Conosciuto.
“Ya existe un gran atraso en la seguridad de los activos físicos y lógicos de las empresas, en especial en empresas locales. Cuanto más se invierte en digital transformation y se piensa sólo en los procesos de negocios y no en la seguridad, ese riesgo crece exponencialmente”, advierte Abril.
La seguridad de la información amenaza con desafíos nuevos y poderosos mientras las empresas aún no resolvieron el escenario del pasado inmediato. ¿Es posible resolver este dilema. Jiménez Soler concluye: “Hay dos tipos de empresas. Las que ya fueron hackeadas y las que todavía no lo saben”.