jueves, 16 de junio de 2011

¿Es Segura Internet? (II). Contratando a Jack Sparrow

Comentaba en el anterior post que Internet no es en sí una red segura. Nació en un entorno académico como una propuesta para interconectar redes heterogéneas. Nada hacía pensar que iba a convertirse en el medio de comunicación universal y social que es hoy.

Por este motivo, la seguridad en la navegación por Internet depende de que los usuarios conozcamos y adoptemos unas sencillas prácticas y mecanismos de protección a los que hicimos referencia en la primera parte de este artículo.

Sin embargo, son los proveedores de servicios en Internet, entre los que estamos las Administraciones Públicas, los depositarios de los datos de los ciudadanos y, desde esta responsabilidad, debemos hacer todo lo necesario por garantizar la seguridad de las plataformas web.

Seguridad de las plataformas Web

Desde hace muchos años, todas las grandes organizaciones que ofrecen información y servicios a través de Internet, han establecido zonas de seguridad perimetral.

La idea es:

Si tengo que situar equipos en Internet, pondré por delante de estos equipos una barrera (o firewall) que monitorice y filtre las comunicaciones para evitar tráfico dañino o ataques contra mis servidores de Internet. Además, estableceré otras barreras por detrás de estos equipos para evitar que un atacante pueda acceder a los servidores internos de mi organización.


Estos mecanismos de seguridad perimetral  facilitan el  aplicar políticas de protección del tipo:

No permito que desde Internet se acceda a mis servidores Web con protocolos no autorizados, como Telnet, ftp, etc. Solo permitiré el tráfico Web.

Técnicamente, esto se hace autorizando en los firewall únicamente los protocolos http y https, normalmente sobre los puertos TCP 80 y 443, respectivamente.

Sin embargo, y ahí está el punto más importante, esto no impide a un atacante el acceder al servidor Web con tráfico http o https estándar y realizar alguna acción no autorizada.

Esto nos lleva a la conclusión de que la seguridad Perimetral no evita otros tipos de ataques.

¿Cómo es posible que ocurran ataques?

Si todas las medidas de seguridad fuesen perfectas, no existirían ataques exitosos. Esta afirmación de Perogrullo quiere significar que nuestros sistemas normalmente presentan vulnerabilidades, esto es, deficiencia en su diseño que hace que un atacante, aprovechándose de esta debilidad, pueda realizar un ataque exitoso.

Las empresas que desarrollan sistemas operativos, bases de datos, servidores web, servidores de aplicaciones, etc, lo saben muy bien y corrigen constantemente las vulnerabilidades que presentan sus productos. Periódicamente publican las actualizaciones o parches de seguridad para cada producto corrigiendo las deficiencias encontradas. Es responsabilidad de cada organización aplicar los parches de seguridad y mantener actualizados todos los equipos.

¿Se hace esto realmente?.  Sí….y no.

Las organizaciones más maduras tecnológicamente actualizan todo lo que pueden el software de sus equipos, pero se puede decir que nunca alcanzan el mayor grado de actualización. Esto es en parte por problemas operativos (es un proceso complejo, laborioso, que puede afectar al servicio prestado), pero también por las dependencias entre las distintas versiones de software y de las aplicaciones (para actualizar la versión del servidor de aplicaciones mi equipo de desarrollo debe modificar y probar las aplicaciones corporativas).

Conclusión: Siempre hay software que no está actualizado.

¿Y qué ocurre si un hacker sabe que los servidores web de mi organización no están actualizados y que tienen una vulnerabilidad conocida?  Evidentemente,  aprovecharse de esta situación.

Pero aunque mis servidores estén actualizados, siempre existen vulnerabilidades de día cero, esto es, debilidades que no son públicamente conocidas o para las que no existe aún una solución.

Contratar a Jack Sparrow

Vale, pero estos temas sobre la seguridad  web solo los conocen en profundidad los técnicos y expertos en Seguridad Web. ¿Hay una amenaza real para los que usamos Internet?.

Desgraciadamente, los días de los hackers informáticos amateur, que intentan acceder por diversión a los sistemas informáticos de la CIA se quedaron para las películas.

Actualmente, el mundo de los hackers se ha profesionalizado: Hay mafias organizadas dedicadas al negocio de atacar sitios de Internet, precisamente porque Internet mueve mucho dinero.

Estas mafias en muchos casos se acercan a las Universidades para contratan a los mejores alunmos de las nuevas promociones de licenciados en Informática.

Las vulnerabilidades y los programas para explotarlas se venden en Internet.

Se infectan miles de ordenadores domésticos para poderlos controlar y utilizarlos para realizar un ataque de Denegación de Servicio sobre un objetivo concreto (ej. colapsar una web dirigiendo sobre esta millones de peticiones simultaneas) o amenazar con hacerlo si no se paga una importante suma de dinero..

Se contratan traductores para preparar mensajes falsos simulando una comunicación de nuestros bancos y comprometer nuestras cuentas bancarias por la técnica del Phishing. 

En definitiva, los hackers son ahora profesionales y venden sus servicios por dinero.

¿Qué armas o  técnicas utilizan los modernos piratas telemáticos para conseguir comprometer nuestras Webs?. Lo veremos en parte siguiente de esta serie.

No hay comentarios:

Publicar un comentario

Agradecemos tu comentario