Ataques dirigidos exigen estrategias complejas para garantizar la seguridad de la información

La prevención es tarea primordial en seguridad de la información. Sin embargo, se habla poco sobre el paso que viene antes de ese movimiento: la identificación de cómo y por cuáles medios la invasión puede ocurrir. En una guerra, por ejemplo, las estrategias de seguridad son complejas, ya que no sirve poner todos sus soldados al Norte si el ejército enemigo invade su país por el Sur. El hecho de desconocer una puerta de acceso por allá no significa que ésta no será utilizada.

Invasores están más listos y profesionalizados que nunca, dejando atrás los ataques genéricos y aleatorios motivados más por reconocimiento que por recompensa. El objetivo, ahora, son altas ganancias financieras o políticas y hay, incluso, hackers especializados en industrias, que se valen de amenazas más avanzadas – llamadas ataques dirigidos – para aumentar las posibilidades de éxito de sus incursiones.

El documento Internet Security Threat Report da Symantec (ISTR) 2015, por ejemplo, revela que el mundo enfrentó un promedio diario de 73 spear-phishing, que, diferentes de los phishings convencionales – que se envían en lote a una lista con miles de contactos distintos – son creados para blancos específicos. A un vendedor, por ejemplo, probablemente no le parecerá raro bajar una presentación institucional de un potencial cliente ni va a creer que allí puede haber un malware.

El ISTR 2015 muestra que colaboradores individuales, pasantes, directores y gerentes fueron blanco de por lo menos un ataque del tipo spear-phishing, durante el último año. Por rama de actividad y siguiendo este orden: manufactura; servicios no tradicionales; finanzas, seguros e inmuebles; servicios profesionales; y venta minorista son las industrias más apuntadas por los invasores.

Datos, tendencias y reportes pueden contener muchas informaciones, pero a la vez, no comunicar nada. Traerlos a la práctica depende de la correlación de ocurrencias de malwares alrededor del globo con lo que sucede en la seguridad de la información de la empresa – todo eso con el mínimo posible de interferencia humana.

Volviendo al ejemplo del territorio en guerra, no se va a gastar una compañía entera de soldados, ametralladoras y todo tipo de artillería para prevenir el ataque de un soldado que, solo, tiene solamente un puñal como arma. Es necesario dar una atención proporcional al nivel de riesgo que cada invasor promueve – a final, un pequeño ataque puede ser sólo una distracción estratégica para dejar que todo un equipo, lleno de armamentos pesados, entre por otro lado. De la misma forma, no sirve dar una superatención a un virus pequeño que ya tiene su vacuna conocida, testeada y aprobada.

Esos datos ya existen. Los logs, como son llamadas las informaciones relativas a los ataques, una vez correlacionados, logran señalar la criticidad de potenciales invasiones. Si los sistemas están bien calibrados, pueden apuntar el riesgo de cada uno de ellos en cada etapa de invasión de la red, para que se priorice solamente lo que es, de hecho, prioridad.

Es necesario ser más rápido y estratega que el invasor. Porque, a diferencia de un territorio físico, en el mundo de la seguridad de la información, las fronteras simplemente no existen. Y los ataques vienen de todos lados.