Tendencias en seguridad 2014

0

Concluímos nuestra serie de artículos sobre modas y evolución de fenómenos de seguridad para este año 2014. En muchos casos se trata de fenómenos ya presentes en 2013 y también, en muchos casos, seguirán desarrollándose más allá de este año, ya que vienen para quedarse. En nuestra anterior entrega comentamos los peligros que suponen el BYOD, Phishing y Spam y los riesgos de publicar cosas en Internet, entre otros.

Violaciones de confidencialidad

Las violaciones de confidencialidad, que podemos recordar con el caso Snowden a la cabeza, seguidas por otras acciones llevadas a cabo por grupos cmo Anonymous, siguen al alza. Lo más curioso es que la mayoría ni siquiera son intencionadas, pues se deben a fallos del personal que utiliza las herramientas y deja espacios no protegidos. Esto incluye de forma especialmente cercana las redes sociales.

Luego está el mayor problema, y es que el mercado negro donde se hace compra/venta de secretos empresariales está en plena ebullición. Por eso es probable que sigan creciendo este tipo de comportamientos. Los pagos son demasiado jugosos para mucha gente. Estos secretos muchas veces acaban derivando en que los hackers ganan acceso a una máquina propiedad de la empresa, desde donde obtienen sin problemas los derechos para completar su actividad.

Los problemas de seguridad en la nube son patentes

Problemas en la nube

Otro problema en alza este 2014. Hay que entender que la computación cloud y servicios derivados son normalmente humo y espejos. Últimamente, un servicio o producto cloud es un cliente ejecutándose en un equipo situado en alguna parte, que puede ser accesible desde un enace privado o la web pública. La mayoría de proveedores cloud se apoyan en la virtualización para ganar escalabilidad y reducir costes. Pero lo que no se reduce es el riesgo:  hay promesas de mayor seguridad, cifrado de almacenamiento o transacciones, etc. Pero dada la naturaleza del servicio remoto , las conexiones, los sistemas operativos, aplicaciones, soluciones de encriptado y los recursos compartidos, existen muchas variables que podrían resultar arriesgadas.

La mayoría de proveedores cloud se ponen “guapos” ante el cliente cuando se trata de seguridad, pero siempre puede quedar algo fuera de su planificación, algo que salga mal o funcione de forma indebida y nos comprometa. Mucho cuidado con esto.

Ingeniería Social

Continuará creciendo tanto en número com en complejidad. Los ataques de ingeniería social atacan, normalmente, al eslabón más débil en la cadena de comunicación de una empresa: los empleados. Son la última linea de defensa, ya que suelen tener la potestad para decidir si violan la seguridad.

Estos ataques viven una mejora constante, apoyados por tácticas psicológicas probadas, estudiando el comportamiento humano e incluso creando proyectos piloto de consumo interno, para poder asaltar sus objetivos específicos.

La ingeniería social es un tipo de ataque que puede lanzarse contra unos pocos o contra muchos. Puede ser genérico o muy segmentado. Se puede enfocar hacia la recopilación de información o el acceso lógico/físico a sistemas críticos. Puede ser implementado en períodos cortos o largos de tiempo, empezar dentro o fuera de la red, llevado a cabo por un individuo o por una comunidad…infinitas posibilidades.

Viñeta que refleja perfectamente los problemas asociados a la red

Por su singularidad no podemos acuñar un término que defina perfectamente que es la Ingenieria Social, así que diremos que es un ataque que saca ventaja de las debilidades humanas.

La privacidad perdida

Ahora todo y todos estamos conectados a Internet, y vamos a estar más y más conectados, lo que va a suponer más perdidas en cuanto a privacidad. Ahora compartimos más que nunca en la red, y muchos no se habrán dado cuenta de lo que sucede.

Las mayoría de compañías están modificando sibilinamente sus políticas de privacidad, dejándonos, de forma predeterminada, con unos ajustes más públicos que privados, podríamos decir.

El fín de la era de la Criptografía de Claves Públicas

2013 nos trajo el primer síntoma de que el tiempo de RSA se está agotando. RSA es el algoritmo más conocido y utilizado a nivel mundial para claves criptográficas públicas. Fué el primer modelo de su tipo y data de 1977. El problema es que un grupo de hackers fué capaz, recientemente, de hacerse con varias claves privadas de empresas. El ataque, por el momento, es ciertamente aleatorio. (la clave de un objetivo específico no podría ser rota)

Criptografía clásica

Este tipo de ataque funciona de forma similar a los que pretenden romper contraseñas. Un “crackeo” de contraseña requiere que el atacante posea el hash de la contraseña objetivo. Entonces el atacante podrá lanzar una herramienta especial para generar (o extraer de una lista) una serie de contraseñas posibles. Se procederá entonces al “hashing” con cada una de ellas y comparado dicho hash con el obtenido del original. El éxito llegará si se consigue que ambas coincidan.

El ataque a RSA se lanza teniendo en cuenta que el hacker precisa cuantas claves públicas de 1024 bits pueda localizar. Entonces usará un generador de números aleatorios para crear claves privadas. Después se ejecuta cada clave mediante el proceso RSA para obtener la clave pública asociada. Por último, cada clave generada es comparada con la colección de claves públicas filtradas en la red.

El problema es que se espera que, dentro de poco tiempo, los delincuentes sea capaces de atacar a una clave privada específica, en lugar de hacerlo de forma aleatoria como hasta ahora. A medida que el hardware se desarrolla (y como lo hace!) se irán popularizando más y más estos ataques.

Industrias con claves públicas, junto con CAs o Entidades de Certificación ya han migrado a claves públicas de 2048 bits, como respuesta a este tipo de ataques aleatorios. Tarde o temprano serán alcanzados y habrá que migrar el modelo, solo han ganado tiempo.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR