Qué pasó en materia de ciberseguridad en 2011
En breve saldrán numerosos informes acerca de qué pasó en materia de ciberseguridad en el recién finalizado 2011. Con este post no tengo intención de enmendar a ninguno de esos amplios y justificados estudios, sólo contaros lo que viví el año pasado, y que puede resumirse en una cosa: GRACIAS SEÑORES DE LA PRENSA GENERAL.
Anonymous: desde el año 2006, intentamos “evangelizar” en la importancia del desarrollo de aplicaciones seguras (no sólo buenas, bonitas y baratas). Gracias a la propaganda que le han dado los medios a Anonymous y otros “ciberactivistas”, ahora todo el mundo sabe lo que es un ataque DDoS, y que para conseguir robar información desde el exterior no hay que ser un hacker experto, sino que puedes conseguir el código en internet. Por fin las empresas (algunas) han empezado a preocuparse por securizar las aplicaciones (no sólo por poner firewalls) y aplicar procesos para el ciclo de vida de desarrollo de aplicaciones seguras (y de desarrollo seguro de aplicaciones).
Las fotos de Scarlet Johansson desnuda: En su artículo en la revista SIC de junio, nuestro compañero Alfonso Martín Palma ya lo avisaba: Conforme ha crecido el uso de dispositivos móviles inteligentes (smartphones), los riesgos asociados a su uso también han experimentado un crecimiento sin precedentes (tanto el malware como la pérdida de datos). Esto es debido a que los malos siempre intentan conseguir más con el menor esfuerzo. ¿Qué era lo más abundante hasta hace poco? PCs con Windows. ¿Qué hay ahora más? Smartphones. Por eso también ha crecido tantísimo el malware para Apple (ante el auge de iPhones, iPads, etc.).
Según Gartner, se esperaba que las ventas de teléfonos inteligentes en 2011 superaran los 461 millones de unidades (por encima de las ventas de PCs), y que las ventas combinadas de teléfonos inteligentes y tabletas fuesen un 44% mayores que las de PCs. A esto se suma que casi todo el mundo tiene un antivirus en su PC, pero ¿cuántos tenéis antimalware en vuestro móvil o contraseña para desbloquearlo? Seguro que ahora Scarlet sí.
SCADA: Quizá el 2011 será recordado como el año en que fuimos testigos de la aparición de Duqu, sucesor de Stuxnet. Los operadores de infraestructuras críticas y los proveedores de seguridad, llevamos años peleando por que las empresas fabricantes de sistemas de control industrial implanten la seguridad en sus procesos de desarrollo de productos. Ataques como Night Dragon (atacando compañías petroleras y de energía desde el año 2009 y hasta ahora), o el hecho de que en 2008 un grupo de ‘hackers’ consiguiese vulnerar el sistema informático del Colisinador de Hadrones (el LHC), o los ciberataques a Estonia en la primavera de 2007 (primer ciberataque contra las infraestructuras de un país entero), pasaron prácticamente desapercibidos para el público general. Desde Stuxnet, todo el mundo sabe lo que son las Amenazas Avanzadas Persistentes (APTs, por sus siglas en inglés), o qué es un SCADA y un PLC (términos que sólo usábamos los ingenieros industriales). Por ello y ante el “clamor” popular, los fabricantes de estos sistemas de control industrial ya no responden categóricamente “si implantas un antimalware cerca dejo de dar soporte”.
La Crisis: A pesar de que el 2011 fue un año de intrusiones externas, los encargados de seguridad TIC ya han comenzado a poner su atención en las personas que trabajan en el interior de las organizaciones, y por varias causas:
- La proliferación de dispositivos móviles, y en especial los personales que se están incorporando al uso laboral ¿cuántos accedéis a los sistemas de vuestra empresa desde el ordenador de casa, o habéis puesto la tarjeta SIM en el iPhone que os han traído los Reyes Magos, o conectáis a la red corporativa la tableta que trajo Papá Noel…?.
- Debido a los recortes salariales hay malestar entre los empleados, a los que es más fácil “comprar” para que ayuden al robo de información (bien para la competencia, bien para cibermafias).
- Debido a la crisis, hay EREs y despidos, por lo que, además del robo de información, está el riesgo de los que simplemente quieran hacer daño por “venganza”.
Ciberseguridad: como decía en mi post anterior, este término aún no está en la RAE (a enero de 2011 sigue sin estar), pero desde Q2 de 2011 todos los que trabajamos en Seguridad Lógica, o Seguridad de las TIC, tenemos nuevo nombre: somos ciberseguridad.