La noticia se convirtió en escándalo en corrillos de la seguridad TI en todo el mundo, nuestro país no escapa a ello. Más de uno se pregunta qué es lo que pasó con la cadena de hoteles más grande del mundo que invierte millonarias sumas en seguridad en todo sentido. Tarjetas de crédito, mails, pasaportes, entre otros datos fueron hackeados a más de 500 millones de usuarios de los hoteles Marriott, Westin, Hyatt, entre otros vía su red llamada Starwood.
¿Hay acaso lecciones que podamos sacar de estos lamentables acontecimientos?, acá se los contamos amigo lector y en calidad de exclusivo. Consultamos a Gabriel Lazo y Walter Cuestas, reconocidos expertos en seguridad TI y señalan que… sigamos leyendo el desplegado.
La vulnerabilidad del Marriott
Gabriel lazo Canazas de la firma Enhacke y Walter Cuestas Agramonte de la empresa Open – Sec, son reconocidos expertos nacionales en seguridad TI.
(americasistemas.com.pe. Lima, Perú – 05 de diciembre 2018) Lazo Canazas señala que si bien es una organización, multinacional, que invierte muchísimo dinero en TI, pero eso no necesariamente significa que invierta en ciberseguridad.
Recordemos que si bien, hay una crecida en cuanto a la cantidad y alcance de los ataques informáticos en la actualidad, no necesariamente todas las industrias se están protegiendo a la misma velocidad que los ataques. Mover un brazo grande de TI, con operaciones de escala global, es mucho más complicado de hacer que en una empresa mediana o grande, pero solamente con operaciones nacionales. En los últimos casos mencionados, empresas no tan grandes cuentan con un mayor dinamismo y capacidad de respuesta ante incidentes.
Cuestión de tiempo
Por otro lado, las empresas deben de aprender que, sin importar el rubro en el que estén, tarde o temprano serán atacadas. Es solo cuestión de tiempo. Para aquellas que se encuentran sin nada implementado, pues tendrán que poner manos a la obra rápidamente iniciando sus actividades y procesos de seguridad de la información e incluso en paralelo, algunas acciones de robustecimiento en ciberseguridad.
Cuando empresas medianas o grandes nos llaman, nosotros tenemos una serie de servicios que son un fast-track o procesos acelerados para tratar de lograr hitos importantes en tiempos más reducidos. Si las empresas ya tienen algunos procesos de seguridad/ciberseguridad en marcha, haría falta testearlos, auditarlos y afinarlos. Otra medida que recomendamos y hacemos como servicio son las de implementación de guías y procedimientos de respuesta a incidentes informáticos. Para esto obviamente ya hay que tener algún nivel de funcionalidad en términos de ciberseguridad.
Finalmente, recordar que estas guías por lo general llevan un ciclo definido de: preparación, detección y análisis, contención y erradicación, recuperación y, finalmente, actividades post-incidente. Este tipo de actividades y servicios tienen el objetivo de mejorar y reducir métricas de ciberseguridad críticas como: tiempo de detección, tiempo de respuesta y valuación de riesgo por host impactado.
Walter Cuestas Agramonte
Cuestas señala que lo del Marriott muestra varias cosas ya conocidas desde hace años, más que los anteriores desde que han reportado en este incidente y no es otra cosa que APT (Advanced Persistent Threat).
Este tipo de ataques, comúnmente no van hacia la principal (Marriott) si no por alguna del grupo (Starwood) o un aliado/partner que se presente más debil. Incluso un artículo que leí mencionaba la opinión de un analista donde recordaba que para fines del 2015 andaban en plena adquisición (Marriott compró Starwood) y que habría que ver si Starwood vino ya con su “valor agregado”.
Los usos de esa información sustraída son multiples, más allá de los números de tarjetas de crédito, otros como los IDs (pasaportes) son elementos de validación de operaciones en muchos países y comercios casi únicos.
El reporte de Marriott mismo indica que esa información sensible se encontraba encriptada y que el atacante hubiese requerido acceso a las llaves correspondiente en una suerte de explicación de haber estado usando claves asimétricas, pero, terminan diciendo que no pueden negar que si haya tenido acceso a ambas, con lo cual, es como decir que si lo tuvo. Esto demuestra, una vez más, que los escenarios de ataque deben estar basados en situaciones reales a nivel de infraestructura y aplicaciones, ambas, no una u otra.
Un par de indicadores que se usan en los ejercicios de red teaming son el tiempo para detectar (TTD) que ha sido excesivo en este incidente y el tiempo para mitigar (TTM) donde nadie podrá saber porque una cosa es la noticia del momento y otra es cuando en realidad detectaron el incidente.
Las investigaciones que se están haciendo podrán dar mas detalles sobre la parte operativa, no necesariamente sobre la parte técnica o al menos no en gran detalle.
La seguridad dominada por el facilismo
Los problemas de seguridad son muy comunes en todo el mundo y en diferentes tipos de organizaciones. Desde mi punto de vista, el asunto sigue siendo el mismo de siempre: el mundo de seguridad está dominado por el facilismo. Todos prefieren afiatarse en seguir buenas prácticas de gestión (incluso con certificaciones) y confiar en tecnologías de protección que no sirven contra un ataque hecho por seres humanos (sumemos en ese facilismo creer que machine learning y/o artificial intelligence sirven para algo en un ataque “manual”).
Es más fácil establecer un “gobierno” y definir políticas que hacer un verdadero aseguramiento de los sistemas, mantener bien configurados los componentes de seguridad, monitorear bien los sistemas (críticos y no críticos), mantener personal entrenado en las técnicas que usan los atacantes (no en correr herramientas si no en pensar como atacante).
Así que no importan cuantos millones se invierta si lo hacen mal, necesitan ponerse en los zapatos del atacante porque no hay otra forma de prevenir y aun así no olvidar que NO existe seguridad perfecta.
No creo que las empresas locales o foráneas tomen conciencia a partir de este incidente, así que no habrán lecciones. La única forma en que las organizaciones hacen un correcto manejo de la seguridad tecnológica es cuando, como organización, hay una firme convicción de hacer las cosas bien hechas, no a medias ni para el marketing.
¿Acaso no han visto ese comercial de una marca de tarjetas que dice que han sometido a más de 500 pruebas de seguridad sus sistemas? Es una burla o lo han hecho mal: En un proceso de certificación bien hecho, bien estructurado, primero se definen las pruebas que se realizaran y ahí ya se sabe cuántas son, de forma exacta, no “mas de 500….”, eso es para el comercial.