«No hay coincidencias, Delia. Solo la ilusión de coincidencia», explica V a la doctora Surridge justo antes de entregarle su rosa. Se preguntarán por qué escribo sobre V de Vendetta y qué relación guarda con la Seguridad de la Información. Lo cierto es que, mientras releía este –grandioso– comic, no pude evitar reparar en la idea de que, tal como en la vida a los ojos de V, en la (in)seguridad informática no existen las coincidencias.
Y es que detrás de una falla de seguridad usualmente se esconde una secuencia de eventos aislados, cada uno incompetente por sí mismo, pero que aunados en sinergia concluyen con un ataque exitoso dirigido a los activos organizacionales. «Fuerza por la unidad», vociferaba Prothero.
¿Acaso los ataques dirigidos no nos dejan con la percepción de que todo está conectado?
La preparación de un servidor malicioso, la creación de una página para spear phishing, el simple envío de un correo electrónico, una muestra del malware de moda, el colocar en el lugar y momento precisos una unidad de almacenamiento extraíble infectada, un empleado que recibe un enlace acortado de un nuevo contacto en su red social predilecta, otro que encuentra y conecta un dispositivo USB, un tercero que recibe un CV a través de un e-mail, una extraña entrada entre los logs del servidor de archivos o una conexión que atraviesa la red perimetral hacia un equipo desconocido: estas son algunas de las simples acciones e indicios que usualmente construyen los ataques dirigidos de la actualidad.
Claro que existen aquellos atracos informáticos que parecen de película, con complejos exploits o códigos maliciosos arduamente confeccionados para sacar provecho a intrincados componentes de la infraestructura organizacional, pero esa no es la realidad a la que se enfrentan la mayor parte de las empresas latinoamericanas.
Lo cierto es que, mientras la pasada edición del ESET Security Report devela que el malware, el phishing y el fraude son las mayores problemáticas en materia de seguridad informática en la región, las técnicas de infección y propagación utilizadas son conocidas de antaño. En cambio, es la combinación de dichas técnicas y la tenaz perseverancia de los atacantes lo que está poniendo en jaque a las empresas, que no logran hacer frente a una mayor superficie de ataque.
Los responsables de la seguridad somos aquellos que procuramos sostenerla
En la versión fílmica del comic, Finch proclama: «Repentinamente tuve el presentimiento de que todo estaba conectado. Como si pudiese ver todo, una larga cadena de eventos […] un patrón perfecto, desplegado frente a mí». ¿Acaso los ataques dirigidos de hoy no nos dejan con esta misma percepción mientras escarbamos en los rastros que dejaron tras de sí? ¿No parece improbable encontrar coincidencias en seguridad informática, o al menos difícil?
No obstante, esto curiosamente supone buenas noticias. Si los grandes ataques informáticos no son más que la sucesión de simples acciones, entonces asegurar los activos organizacionales contra las APT debiese consistir solo en impedir alguno de los pasos que conforman la ejecución de un ataque –o todos ellos–, mediante la implementación de herramientas que ya conocemos.
Así, un diseño corporativo de seguridad en capas será vital para lograr detener esta sucesión de pequeños acontecimientos lo antes posible, evitando que desencadenen en el robo de información, el compromiso de su integridad o su disponibilidad. La generación de planes de capacitación es vital. También lo serán las herramientas de respaldo, cifrado, detección y autenticación.
Eliminando las coincidencias, solo resta una única concatenación de causas y efectos, y sus agentes de acción. «Si buscan al culpable solo necesitan mirarse al espejo». La seguridad es una perspectiva, del mismo modo que la equidad, la justicia y la libertad para V: los responsables de ella somos aquellos que procuramos sostenerla.