Video: Historia de la seguridad industrial (Noviembre 2024)
Mirando hacia atrás, 2013 se sintió como una montaña rusa, ya que pasábamos de buenas a malas noticias cada pocas semanas: violaciones de datos, privacidad, ciberespionaje, espionaje gubernamental, malware avanzado, arrestos significativos, funciones de seguridad mejoradas, etc.
La mayor historia, o más bien, una serie de historias, del año gira en torno a los documentos que el ex contratista de la Agencia de Seguridad Nacional, Edward Snowden, robó y lanzó a los medios. Sin embargo, no fue la única historia importante de 2013. Por primera vez, una compañía de seguridad presentó un caso definitivo de cómo China espía a las empresas estadounidenses, y el gobierno de los Estados Unidos discutió oficialmente el tema con el gobierno chino. La policía obtuvo algunas victorias significativas, rompiendo un gran anillo de robo de tarjetas de crédito y arrestando al creador del Blackhole Exploit Kit. Las violaciones de datos continuaron, pero la violación de Experian destacó el problema de los corredores de datos que agregan información personal. Los usuarios habituales comenzaron a hablar sobre la privacidad en línea cuando los usuarios de Google Glass salieron a la calle. Las empresas se comprometieron a mejorar las prácticas de seguridad, como cifrar los datos en tránsito, implementar la autenticación de dos factores y ser más transparentes sobre la información que proporciona al gobierno.
El año 2013 fue muy ocupado tanto para profesionales de la seguridad como para individuos. Aquí hay una revisión de las importantes historias de seguridad del año, sin ningún orden en particular.
Programas secretos de vigilancia de la NSA
Podríamos llenar una columna completa con nada más que las revelaciones de la NSA. Los artículos iniciales sobre el programa de recolección de registros telefónicos fueron lo suficientemente impactantes, pero parece que cada revelación posterior es más explosiva que antes. La agencia espió la actividad en la Web, espió el tráfico hacia y desde los centros de datos de Google y Yahoo, interceptó envíos para instalar spyware y puertas traseras en equipos electrónicos, y supuestamente espió a líderes de otros países y jugadores. Mientras que el jefe de la NSA, el general Keith Alexander, continúa insistiendo en que la agencia actúa dentro de sus límites y que tuvo cuidado de preservar las libertades civiles, los llamados a la reforma son cada vez más fuertes. El Congreso está debatiendo qué hacer con el problema de la NSA, un juez federal conservador dictaminó, en Klayman v. Obama, que el programa de registros telefónicos de la NSA posiblemente violó la Cuarta Enmienda, y el panel independiente seleccionado por la Casa Blanca recomendó la NSA los programas deben ser reducidos.
Un grupo de gigantes tecnológicos, incluidos Tim Cook de Apple, Eric Schmidt de Google y Marissa Mayer de Yahoo hablaron con el presidente Barack Obama sobre sus preocupaciones con respecto a las actividades de la NSA. AOL, Apple, Facebook, Google, LinkedIn, Twitter, Yahoo y Microsoft se unieron para exigir que, si bien los gobiernos deben tomar medidas para proteger la seguridad de sus ciudadanos, "las leyes y prácticas actuales deben ser reformadas".
Más compañías están publicando informes de transparencia para revelar qué tipo de información entregan al gobierno, y el servicio de correo electrónico cifrado Lavabit se cerró para evitar tener que entregar información sobre sus usuarios. RSA, la división de seguridad de EMC, actualmente defiende su reputación luego de un informe de Reuters de que le tomó $ 10 millones a la NSA para impulsar un algoritmo criptográfico comprometido en sus productos de seguridad.
China, China, China
Estamos tan cautivados por las oleadas de información que salen sobre las actividades de la NSA que es fácil olvidar que comenzamos 2013 con un informe explosivo que describe el papel de China en el ciberespionaje. El informe APT1 de Mandiant fue la primera declaración definitiva que establecía claramente lo que los ciberatacantes de China estaban haciendo para entrar en las redes comerciales y gubernamentales de los EE. UU. El informe describió cómo estos atacantes robaron propiedad intelectual, instalaron puertas traseras y sistemas dañados.
Poco después de la publicación del informe, varios funcionarios del gobierno hablaron sobre las actividades de China. En mayo, el Informe Anual del Pentágono sobre China culpó directamente al gobierno de esa nación por los ataques gubernamentales y militares contra los Estados Unidos. El presidente Obama incluso mencionó las acusaciones durante una reunión con Xi Jinping, el presidente de China. El gobierno chino incluso acusó a los Estados Unidos de hacer esencialmente lo mismo. (¿Un poco de presagio para Snowden?)
Ataques contra medios de comunicación
Los medios fueron atacados este año, con The New York Times, Washington Post y Wall Street Journal revelando que habían sido infectados con malware sofisticado. El dedo sospechoso señaló: ¿dónde más? China. El ejército electrónico sirio se fue de juerga contra las cuentas de Twitter de The Onion, Guardian y otros medios. La publicación falsa en la cuenta de Twitter de AP, "Rompiendo: dos explosiones en la Casa Blanca y Barack Obama está herido", incluso causó una pequeña falla en el mercado de valores, con el Dow Jones cayendo temporalmente 140 puntos.
El ataque contra el sitio web del New York Times, donde la SEA logró cambiar la configuración del sistema de nombres de dominio del sitio, destacó cuán fácilmente los atacantes podrían interferir con las operaciones web. El SEA en este ataque ni siquiera hackeó la red: el grupo logró este ataque a través del phishing de lanza.
Centrarse en la seguridad de la aplicación
La Ley del Cuidado de Salud a Bajo Precio y el lanzamiento del sitio web de intercambio de atención médica pusieron en primer plano la importancia de las pruebas de seguridad. Los profesionales de seguridad saben lo importante que es probar las aplicaciones para detectar problemas de seguridad antes de ponerlas en funcionamiento, pero cuando el tiempo corre y el tiempo se agota para enviar el producto a tiempo, la seguridad queda en el camino. Algunos de los problemas identificados en HealthCare.gov después de su lanzamiento fallido plantearon la posibilidad de que los atacantes apunten al sitio. Hubo informes de que las personas estaban viendo información confidencial perteneciente a otros usuarios en el sitio.
Los ejecutivos que siguieron toda la saga probablemente no serán tan rápidos para omitir las pruebas de seguridad la próxima vez que tengan una implementación importante de la aplicación. O eso esperamos.
Ataques distribuidos de denegación de servicio
DDoS no es nuevo, pero este año vimos dos desarrollos importantes. DDoS se usaba frecuentemente contra sitios financieros, especialmente como parte de la Operación Ababil, pero los atacantes ampliaron sus objetivos para incluir otras industrias. Uno de los ataques más grandes del año fue contra Spamhaus en marzo, con picos de 300 gbps.
Principales arrestos por delitos cibernéticos
En mayo, el Fiscal Federal para el Distrito Este de Nueva York anunció en mayo cargos en un atraco bancario de $ 45 millones que involucra información de cuenta robada. La banda supuestamente pirateó las instituciones financieras para robar información de la cuenta y luego retiró millones de dólares de los cajeros automáticos.
En julio, el Fiscal Federal de Nueva Jersey acusó a otra red de delitos cibernéticos por violar las redes informáticas de al menos 17 minoristas, instituciones financieras y procesadores de pagos importantes para robar más de 160 millones de números de tarjetas de crédito y débito. Las redes dirigidas incluyeron Nasdaq, 7-Eleven, Visa y JC Penney, entre otros.
Las autoridades rusas afirmaron haber arrestado a Paunch, el creador del Blackhole Exploit Kit. Los expertos en seguridad creen que con el arresto, hay un vacío que los ciberdelincuentes están luchando por llenar. "Sin un sucesor claro de Blackhole, las pandillas de delincuentes cibernéticos pueden estar invirtiendo en otros lugares para compensar la pérdida de ingresos debido a mecanismos de entrega menos sofisticados para el malware", dijo Alex Watson, director de investigación de seguridad de Websense.
Ataques de orificios de riego
Los ataques a los pozos de agua fueron bastante prominentes este año, con sitios web pirateados para comprometer a los empleados de las principales firmas tecnológicas como Facebook, Apple, Microsoft y Twitter, así como contra contratistas de defensa y empleados del gobierno. Estos ataques de abrevaderos aprovecharon las vulnerabilidades de día cero en Internet Explorer, Java y otras tecnologías de uso común.
También se descubrieron ataques en pozos de agua contra activistas pro-tibetanos, ya que los atacantes atacaron a personas de habla china que visitaban la Administración Central Tibetana y la Fundación de Hogares Tibetanos, así como el sitio web uigur mantenido por la Asociación Islámica del Este de Turkistán.
Violación de datos de Experian
Tendemos a recordar la última violación importante de datos y olvidamos todos los otros que vinieron antes. Si bien la reciente violación de datos sufrida por Target en la que se comprometieron casi 40 millones de números de tarjetas de débito y crédito durante la temporada de compras navideñas es bastante importante, la violación de datos más aterradora que involucra información del usuario fue la violación de datos de Experian.
Experian es una de las organizaciones en el negocio de comprar y vender información personal: números de seguridad social, direcciones, detalles de cuentas bancarias. Esta información fue vendida a una red de delincuencia en el extranjero, según una investigación realizada por el escritor de seguridad Brian Krebs. La violación también destacó el hecho de que muchos sistemas de autenticación basados en el conocimiento, donde se les pide a las personas que verifiquen su identidad diciendo qué automóvil poseen, o dónde solían vivir, ahora son aún más vulnerables.
La gente se despierta con la privacidad en línea
Cuando Google desenvolvió el futuro de la tecnología portátil con su primera ola de "exploradores" de Google Glass, la gente se asustó. Las personas finalmente se dieron cuenta del impacto que el reconocimiento facial y la capacidad de publicar cualquier cosa en línea podrían tener en su privacidad. ¿Es el futuro de la tecnología uno donde no hay privacidad, o donde las personas pueden ser expulsadas de restaurantes y otros establecimientos por ser una amenaza para la privacidad?
Ya miramos hacia el 2014, con nuestras predicciones para nuevos ataques, una Internet nacional, pagos en línea, seguridad móvil e Internet de las cosas. Bienvenido a 2014. ¿Será un año de incertidumbre o victorias? Quédese con Security Watch en el nuevo año mientras seguimos los altibajos de la seguridad.
