Buscar

2012/03/12

Anonymous pone la seguridad corporativa bajo la lupa

Los hackers que operan bajo el nombre Anonymous (Anónimo) han estado provocando a una compañía privada tras otra desde hace dos años.
Roban archivos de los sistemas informáticos corporativos y, en ciertas ocasiones, como es el caso de Stratfor , la semana última, colocan los mensajes de correo electrónico en Internet para que todos los puedan ver.
El hackeo a Stratfor, para el cual Anonymous aseguró haber unido fuerzas con WikiLeaks, reiteró una clara lección sobre la era del omnipresente "hactivismo", es decir, el hackeo como una forma de protesta.
A pesar del arresto de docenas de miembros sospechosos de Anonymous y de sus seguidores en diversos lugares del mundo, el tema está lejos de aplacarse. La mayoría de sus objetivos corporativos no han sido dañados irreparablemente por los ataques.
En cambio, lo que Anonymous ha hecho, dijeron los expertos en la gran conferencia sobre seguridad informática de RSA, que tuvo lugar aquí la semana última, es hacer sonar la alarma sobre el estado de desprotección de los sistemas informáticos corporativos.
En líneas generales, los robos llevados a cabo por Anonymous sacan ventaja de la distancia que existe entre los agujeros informáticos y los crédulos seres humanos. Los hackers descubren las claves débiles y aprovechan los mensajes de correo electrónico que no están encriptados. Persuaden a los empleados de las compañías (con uno es suficiente) para que hagan clic en sitios web deshonestos o para que divulguen información confidencial, en un ejercicio que es conocido como "ingeniería social".
"Anonymous es un llamado de atención", dijo Roger Cressey, quien es el vicepresidente senior de Booz Allen Hamilton, una firma consultora de defensa e inteligencia que fue atacada por el grupo durante el verano (boreal) pasado. "Cualquier compañía que se regodea y dice que no es un objetivo o que no es susceptible de sufrir un ataque está negándose completa y absolutamente a la realidad".
Es más, una compañía que es objetivo de Anonymous también puede ser objetivo de un adversario mucho más poderoso. Las tácticas de la ingeniería social que los miembros de Anonymous han utilizado repetidamente son, con frecuencia, similares a las empleadas por los hackers criminales y por quienes, patrocinados por el estado, penetran en los sistemas de las compañías con el propósito de robar valiosos secretos, ya sea para obtener ganancias monetarias o para conseguir ventajas competitivas.
Anonymous atrae la atención del público y, por extensión, la atención de ejecutivos y accionistas. Coloca un rostro (o más bien, una máscara) a un problema mucho más perjudicial: el espionaje on line.
"Los ataques que llevan a cabo son insignificantes en comparación con todo lo asociado a la nación y a los estados y a los grupos delictivos", expresó Eddie Schwartz, el jefe de seguridad de RSA, la firma que organizó la conferencia sobre seguridad informática y que también fabrica dispositivos de seguridad, los cuales fueron el objetivo de una violación de la privacidad muy publicitada por parte de hackers supuestamente respaldados por el estado. "Hay un despertar. Hay mucha más visibilidad en la prensa".
Un ataque llevado a cabo por Anonymous puede dejar un daño cuantificable. En el año 2010, sus activistas irrumpieron en los sistemas de Sony y dieron a conocer nombres y números de tarjetas de crédito de millones de clientes. La multinacional japonesa anunció en mayo último que solucionar eso le costaría 170 millones de dólares. El año pasado, el colectivo hacker consiguió la clave de un ejecutivo de la firma de seguridad HBGary y accedió a una gran cantidad de mensajes internos de correo electrónico de la compañía.
Las noticias sobre la violación de la privacidad en la firma de análisis geopolítico Stratfor comenzaron a circular en la víspera de Navidad, cuando el sitio de la compañía fue desfigurado. Al principio, un grupo llamado Antisec, que es una rama de Anonymous, se adjudicó la responsabilidad de los hechos y anunció que había ingresado a la red de la compañía. El grupo publicó los nombres, direcciones y detalles de las tarjetas de crédito de 75.000 personas que se habían suscripto a los boletines de noticias de Stratfor. Pronto llegaron referencias de 860.000 cuentas de usuarios, de los cuales no todos pueden haber sido suscriptores pagos.
Mary Landesman, investigadora de seguridad senior de Cisco, quien ha estudiado muy de cerca la violación de la privacidad en Stratfor, dijo que el ataque parece haber sido doble: un ataque relativamente común, conocido como inyección SQL, a cuatro servidores que almacenaban mensajes de correo electrónico desde hace varios años, y también una violación de un vulnerable sistema de e-commerce (comercio electrónico) con terceros que Stratfor habría usado para procesar los datos de sus suscriptores pagos.
Las vulnerabilidades de una compañía, ya sean humanas o mecánicas, son mucho más fáciles de detectar, destacó Landesman, si una gran cantidad de ladrones conspiran para realizar actos de piratería. "Cuantos más ojos miran, mayor es la posibilidad de tener éxito", expresó.
Pronto, los clientes se encontraron con compras que habían sido hechas utilizando los números de las tarjetas robadas. Entonces, comenzaron a recibir notificaciones por correo electrónico que afirmaban ser enviados por George Friedman, el jefe ejecutivo de Stratfor, y que llegaban con un software malicioso adjunto. Friedman anunció posteriormente que Stratfor no había enviado los e-mails y la compañía dejó de cobrar por sus subscripciones, lo que había sido su principal fuente de ganancias.
A esto le siguió una demanda colectiva, por la cual se acusaba a la compañía de negligencia al momento de almacenar de manera segura la información sobre sus clientes y de no notificarlos rápidamente del robo.
En su respuesta a dicha demanda, Stratfor dijo que había informado al FBI en cuanto se enteró del hecho, el 7 de diciembre.
Lo que sucedió más recientemente en relación con la violación de la privacidad de la información en Stratfor se inició el último domingo, cuando WikiLeaks comenzó a dar a conocer los contenidos de las comunicaciones internas por e-mails de la compañía. Stratfor por su parte se rehusó a hacer una distinción entre los e-mails que dice pueden haber sido "falsificados" y aquellos que eran "auténticos".
Stratfor no accedió a dar una entrevista.
Los funcionarios encargados de hacer cumplir la ley, en la conferencia de RSA, expresaron frustración por no poder frenar el inicio de dichos ataques. Quizás sea difícil hallar a quienes participan en esto. Y, con frecuencia, son menores de edad, que no son enjuiciados tan agresivamente como los adultos.
El jefe de la Oficina Federal de Investigaciones (FBI, por su sigla en idioma inglés), Robert Mueller, borró una nota anónima sobre la amenaza de ataques digitales a compañías estadounidenses. "Hay solamente dos tipos de compañías", dijo Mueller en un discurso de apertura en la conferencia, "las que fueron hackeadas y las que lo serán".
Aunque parezca mentira, a pesar de la cantidad de ataques y de una industria de la seguridad que está ansiosa por vender sus servicios, una encuesta sobre las compañías estadounidenses más importantes muestra que ni sus más altos ejecutivos ni los miembros de sus directorios están directamente involucrados en las decisiones relacionadas con la seguridad de sus datos.
Según los resultados más recientes de una encuesta anual llevada a cabo por la Universidad Carnegie Mellon, los cuales fueron dados a conocer la semana última, más del 70 por ciento de los encuestados dijeron que, ocasionalmente, raramente o nunca revisaban sus políticas de seguridad o controlaban al personal vinculado con la información más importante.
Todavía resta ver de qué manera el ataque perjudicará a Stratfor a largo plazo. Si HBGary sirve como guía, es posible recuperarse. HBGary sufrió un lamentable embate el año último cuando miles de sus e-mails internos fueron publicados en Internet.
Aaron Barr, el jefe ejecutivo de su compañía hermana, HBGary Federal, quien provocó la ira de Anonymous al jactarse de haber penetrado en su anonimato, renunció. Pero a finales del mes de febrero, a pesar del hackeo, HBGary fue adquirida por ManTech, un importante contratista de defensa con base en Virginia, que también había sido hackeada por Anonymous en agosto último.

No hay comentarios: