Debo confesar algo: odio escribir sobre filtraciones de datos. Son tan frecuentes en estos días que estoy seguro de que todos hemos sido perjudicados por varias vulneraciones, ya sea que seamos conscientes de ello o no. Tengo la sensación de que por cada filtración de datos que es informada en los medios, hay cientos de los cuales las personas nunca oyen hablar o las empresas ni siquiera se dan cuenta.
El fenómeno de la filtración de datos se intensificará con el tiempo. Por lo tanto, entre más especialistas de infosec puedan instruir a las empresas para las que trabajan e implementar las prácticas recomendadas, mejor podremos protegerlas de los peores efectos de una vulneración.
En la serie Security Bytes, comparto los consejos más inteligentes de los especialistas en seguridad de alto nivel. Esta vez hablé con especialistas en ciberseguridad que fueron lo suficientemente valientes como para compartir conmigo sus historias sobre filtración de datos. Cada especialista tuvo que lidiar de primera mano con un incidente de filtración de datos. He mantenido algunos detalles de forma anónima, debido a que el tema es delicado. Pero el conocimiento que aquí se proporciona puede ayudarle a responder a las filtraciones de datos de manera más efectiva.
La pregunta:
¿Qué hizo cuando se enfrentó a una filtración de datos críticos?
Daniel Ruf, Desarrollador y Consultor de Seguridad
Las respuestas iniciales son esenciales para contener una filtración de datos. Daniel Ruf fue contratado para trabajar para un propietario anónimo de un proyecto. Ruf describió lo primero que sucedió que condujo al descubrimiento de una filtración de datos. Sus acciones rápidas y cuidadosas son un gran ejemplo de cómo manejar una vulnerabilidad.
“Una noche, mediante una alerta de monitoreo del sistema, me di cuenta de que el CPU estaba siendo utilizado al 99 por ciento en nuestro servidor raíz, lo cual causó un impacto en la disponibilidad de otros sitios web que utilizan el mismo servidor. Informé al propietario del proyecto del sitio web pirateado y después comencé mi primer análisis. Posteriormente, incluí en la lista negra la dirección IP del atacante, bloqueé su acceso al sistema y después eliminé los procesos sospechosos. Archivé tantos archivos como pude del servidor web del propietario del proyecto para analizarlos posteriormente y llevé a cabo una verificación de integridad del sistema, luego informé al propietario del proyecto.
“¿El culpable? Una instancia de CMS pirateada. No me informaron sobre la creación de esta instancia que después utilizó diferentes webshells para iniciar los ataques, incluida la minería maliciosa de criptomonedas (criptominería ilegal), la cual agotó todos nuestros recursos informáticos disponibles”.
Los principales factores que condujeron a la vulneración fueron el uso de contraseñas débiles y reutilizadas, y la falta general de medidas de seguridad sólidas. ¡No dejen que esto les pase a ustedes!
Teagan M, profesional de seguridad, fundador de Green Duck Consulting, LLC
Teagan describió la filtración de datos que debió enfrentar. Esta es una forma común en que las personas pueden comprometer sus datos en el trabajo. Las empresas más pequeñas y las nuevas empresas deben tener cuidado de ser más exhaustivas sobre su seguridad y darse cuenta de que no se trata solo de un problema que se puede resolver simplemente con ayuda de la tecnología.
“Una fuente autorizada tuvo acceso a un entorno de correo electrónico no autorizado y esto ocurrió, la primera vez, durante cuatro semanas. Esta empresa era muy desorganizada y trataba la seguridad como un problema de cumplimiento normativo en vez de como una función empresarial necesaria.
“Las credenciales de la cuenta de usuario probablemente fueron capturadas por un ataque de phishing, y los atacantes establecieron una regla de reenvío de correo electrónico para enviar todos los correos electrónicos a una cuenta Gmail controlada por el atacante. La segunda vez que sucedió fue igual, pero los atrapé mucho antes. Fue después del segundo incidente cuando la empresa finalmente siguió mi recomendación de implementar 2FA (autenticación de dos factores). Esto evento ocasionó una exposición que hizo necesario que la empresa tuviera que notificar acerca del incidente, de acuerdo con las leyes estatales de privacidad de datos.
“Esta era una pequeña empresa que estaba creciendo rápidamente. Carecían de liderazgo donde lo necesitaban y tampoco querían invertir en los especialistas en seguridad que necesitaban. Contrataron y despidieron a una sucesión de analistas de seguridad debido a un nivel gerencial débil e inexperto en el área de seguridad, y a un deseo de solo cumplir con los requisitos de las auditorías, en vez de garantizar la protección de la empresa.
“Consideraron que la seguridad era un problema tecnológico y siguieron comprando servicios y equipos sin tener un plan claro sobre cómo integrarlos o administrarlos. Tomaron su estrategia de los representantes de ventas en vez de planificar adecuadamente su propio camino.
“Trabajé estrechamente con el nivel gerencial para tratar de mejorar su programa y todo el tiempo me enfrentaba a resistencias. Aseguraban priorizar la seguridad, pero no permitían las acciones ni brindaban el empoderamiento necesario. Las cosas comenzaron a cambiar un poco hacia el final de mi estancia allí, pero para ese momento me sentía agotado y necesitaba irme para preservar mi propio estado mental”.
Esta ingenuidad a la que Teagan se enfrentó es una de las razones por las que las vulneraciones de los datos son tan alarmantemente frecuentes.
“BM“, ex analista de Infosec
Es importante recordar que las grandes empresas también necesitan mejorar la seguridad de sus datos. BM comparte con nosotros una lección útil para ayudar a cualquier persona a proteger sus datos en cualquier área.
“BM” trabajó anteriormente como analista, ingeniero de seguridad y más tarde como consultor, para varias empresas. Ha efectuado análisis forenses de datos post vulneración, respuesta a incidentes y clasificación de incidentes. “BM” describió una vulnerabilidad con la que debió lidiar.
“Cuando era asesor, me enviaron a una compañía del listado Fortune 500 para un evento de respuesta a incidente. Su sistema estaba totalmente comprometido y el atacante amenazaba al CEO de la empresa con exponer la vulneración. Tomamos un vuelo de inmediato.
“Durante toda una semana, mi gerente y yo revisamos los registros de seguridad y desarrollamos un plan de corrección para la empresa. Aunque la empresa era muy valiosa, contaba con un personal de TI relativamente pequeño. Gran parte de nuestro trabajo consistió en informar al equipo sobre lo que sucedió exactamente, revisar sus registros y trabajar junto con ellos para actualizar su infraestructura. Por ejemplo, usaban versiones obsoletas de Windows en toda su red.
“Afortunadamente, se determinó que fue un incidente menor. Se trataba más bien de un hacker novato que utilizaba software descargado de Internet para explotar versiones desactualizadas de Windows. Esto se convirtió en una semana completa de más de veinte horas de trabajo y numerosas conversaciones para determinar qué podría haberse hecho mejor”.
¿Más de veinte horas de trabajo al día? ¡Eso es ridículo! Es importante formar a todos los empleados en conocimientos sobre seguridad. Y también debe hacerse un uso más efectivo del personal de seguridad, no permita que este tipo de situaciones se conviertan en crisis, a tal grado que asesores externos deban resolverlo.
Sameep Agarwal, Asesor de Seguridad de la Información y Evaluador de Penetración
Ya he hablado antes con Sameep sobre sus experiencias en cuanto a la filtración de datos, y me informa que ha tenido varias a lo largo de su carrera. En esta historia se muestra cómo los conflictos personales pueden interferir con la respuesta a los incidentes y por qué deben superarse.
“El proveedor proporcionó un servidor para alojar una aplicación web específica en una zona de prueba. Un día, el equipo de seguridad lanzó una alerta sobre una aplicación que no se había probado ni verificado. Se decidió que, dado que había prisa en configurar el hosting, la actividad de fortalecimiento del servidor, que requiere por lo menos menos cinco días hábiles, no podría completarse. Por lo tanto, nunca se permitió el acceso a Internet al servidor de la zona de prueba durante la inicialización.
“Dado que el representante del proveedor no estaba presente en el sitio del cliente, se solicitó acceso al servidor para la administración remota. Esto también se planteó como un riesgo de seguridad, pero fue ignorado por la agencia federal.
“Las operaciones comenzaron en el servidor de destino. Después de tres días, se instalaron algunas actualizaciones de Microsoft sin verificar el paquete de actualizaciones. El servidor virtual estaba alojado en hardware obsoleto que había sido extraído de un proyecto gubernamental anterior que tenía muchos defectos críticos. Dado que el servidor físico estaba fuera de servicio, no fue registrado en el inventario de la agencia federal. Esto significaba que la prevención de intrusiones y los clientes antimalware no estaban instalados, pero el mismo estaba accesible desde su infraestructura de red.
“El atacante instaló la aplicación de escritorio de Telegram y se unió al grupo de hackers iraníes en Telegram. Comenzaron a descargar aplicaciones para permanecer anónimos, tales como herramientas proxy, VPN y bots. Posteriormente, el atacante agregó muchos diccionarios y listas combinadas que contienen contraseñas comunes de aplicaciones para hackear cuentas de redes sociales como Instagram y cuentas de juegos como Fortnite.
“El tráfico del servidor afectado no fue interceptado por el firewall debido a las excepciones configuradas por la agencia federal. Y debido a esta excepción, no se pudo detectar fácilmente la filtración de datos.
“La investigación de la agencia de inteligencia concluyó que el equipo azul (los especialistas en seguridad defensiva) creó muchas excepciones basadas en relaciones personales para complacer al jefe de la agencia federal. Los hallazgos clave en seguridad por parte del equipo rojo (los especialistas en pruebas de seguridad) fueron ignorados una y otra vez. El investigador sugirió hacer una investigación a fondo sobre las intenciones del personal involucrado y la mentalidad que permitió que ocurrieran los ataques, incluso después de que la inteligencia de seguridad previa estuviera disponible un mes antes”.
A menudo las personas son el eslabón más débil en el área de seguridad. Es importante contar con personal de TI que tenga integridad y el nivel correcto de formación en seguridad.
Cómo proteger su empresa de las filtraciones de datos
Las filtraciones de datos no son de naturaleza meramente tecnológica, también son problemas causados por personas. El riesgo que representan ciberatacantes es significativo, desde hackers novatos hasta amenazas avanzadas persistentes (APT). Nada de esto me sorprende. Lo que me sorprendió fue cómo las empresas con las que trabajaban los entrevistados empeoraron los problemas de filtración de datos por falta de integridad personal, o, a veces, simplemente por descuido.
Las empresas deben comenzar a tomar la seguridad más en serio e invertir dinero, tiempo y esfuerzo para proteger mejor sus datos y, por ende, los de sus clientes.
Tengo la esperanza de que al compartir estas historias con ustedes, los especialistas en ciberseguridad estén mejor preparados para lo (no tan) bueno, lo malo y lo feo de la respuesta a incidentes de filtración de datos.
