martes, 31 de mayo de 2016

Ataques de Denegación Distribuida de Servicio (DDoS)

Entrevista

Pablo Dubois

Level3

  

 Su compañía – Level 3, proveedor global de servicios de red – produjo recientemente un informe sobre amenazas que reveló que un 12 por ciento de los ataques de Denegación Distribuida de Servicio (DDoS) están dirigidos a Latinoamérica, y que dicho número está creciendo. ¿Qué son los ataques DDoS/qué impacto tienen? ¿A quién apuntan los atacantes? ¿Por qué está creciendo la cantidad de ataques en toda América Latina.

Un ataque DDoS tiene lugar cuando múltiples sistemas inundan el ancho de banda o los recursos de un sistema objetivo, tales como servidores web, computadoras personales o de trabajo, dispositivos móviles o cable módems. Las culpables de este tipo de ataques a menudo son las redes robóticas (Botnets), un grupo de programas conectados a Internet que residen en varios dispositivos que se comunican entre sí para ejecutar las tareas. Las botnets son las encargadas de ejecutar una variedad de acciones perjudiciales, incluyendo la exfiltración de datos, la distribución de software malicioso (malware), el robo de información personal y de propiedad intelectual, y los ataques DDoS.
Los ataques DDoS a menudo son dirigidos contra entidades que dependen de sus servidores web para funcionar, por ejemplo sitios de juego o páginas de venta minorista. Pero los actores maliciosos pueden programar sus botnets para lanzar un ataque DDoS dirigiéndolo contra cualquiera que tenga un servicio conectado a Internet. El único requisito es la infraestructura. Los malos actores necesitan de un ejército de bots y del objetivo conectado a Internet para atacar.
El incremento de la población en los países y del acceso a dispositivos conectados a Internet juega un rol muy importante aquí. Más gente y más dispositivos equivalen a más objetivos para la actividad maliciosa y más víctimas con dispositivos comprometidos. En América Latina, por ejemplo, hemos visto un crecimiento exponencial de los dispositivos conectados a Internet. Leo un reporte citando que tenemos al menos dos dispositivos conectados por persona en América Latina. Eso les provee a los hackers más oportunidades que hace unos años.
¿Qué países de América Latina enfrentan un riesgo mayor para estos tipos de ataques? ¿Por qué?
Según los resultados de nuestra investigación, los países con la mayor cantidad de víctimas son: Brasil, Argentina, México, Venezuela y Chile, en ese orden. Estos cinco países representan el 80 por ciento de las víctimas C2 en América Latina. Los servidores de comando y control, C2, son los cerebros de la operación maliciosa. Los C2 emiten las instrucciones a las máquinas infectadas, las Bots, para que ejecuten un ataque.
Como América Latina continúa invirtiendo en mayor infraestructura, los malos actores han llegado a reconocer la oportunidad y están intentando sacar ventaja dirigiendo más botnets y C2 en la región. Muchas compañías globales, multinacionales tienen operaciones en Latinoamérica. Si sus controles de seguridad no son tan robustos o uniformes como en otras regiones, esto puede convertirse en la puerta de entrada para que un atacante acceda a la infraestructura global de la compañía. Adicionalmente, América Latina es uno de los mercados con el crecimiento más elevado de medios online – redes sociales, video, streaming. Existe una base enorme de usuarios finales. Más dispositivos significan más oportunidades para encontrar y explotar vulnerabilidades.
¿Qué están haciendo los gobiernos para lidiar con el creciente escenario de ciberataques?

Los gobiernos están tomando medidas para proteger su infraestructura y a sus ciudadanos. No hace falta decir que la información confidencial y nacional de carácter sensible de los gobiernos debe ser protegida, sin embargo, la cuestión es muchísimo más amplia. Cada uno de nosotros tiene una responsabilidad frente a nuestra postura sobre la ciberseguridad en el trabajo y en los hogares. La gobernanza de la seguridad es un tema continuo. Ninguno de nosotros puede marcar un casillero y seguir adelante. Debemos estar atentos para evaluar nuestro riesgo y tolerancia frente a la seguridad, de manera consistente.
Una de las formas que tienen las empresas para lograr este objetivo es a través de la colaboración entre todos los sectores; compartiendo la información sobre la amenaza en sí misma, no las víctimas. En América Latina por ejemplo, estamos trabajando con los líderes de seguridad para implementar un sistema para compartir información accionable que las empresas puedan utilizar para auto-protegerse. Este abordaje, conjuntamente con otros Proveedores de Servicios de Internet, fabricantes de hardware y software, para compartir información, nos ayuda a anticiparnos a las amenazas y a trabajar para frenar a los atacantes antes de que puedan avanzar.

Usted tiene base en Argentina –¿qué está haciendo el gobierno argentino en particular para lidiar con esta amenaza? ¿Cree usted que otros países de Latinoamérica deberían imitar este modelo como un buen ejemplo respecto de qué hacer?

Sabe, es interesante. En 1994, Argentina fue uno de los primeros países en formar un CSIRT[1] nacional. Trabajamos en eso, y en 2011 comenzamos a operar bajo la órbita del Programa Nacional de Infraestructuras Críticas de Información y Ciberseguridad (ICIC). Recientemente el ICIC, en conjunto con varios organismos, instituciones académicas y el sector privado, desarrolló un documento preliminar para una Estrategia Nacional de Ciberseguridad. Está a la espera de su aprobación por el organismo gubernamental correspondiente.
Otros países de la región, por ejemplo Brasil y Colombia, cuentan con una Estrategia de Ciberseguridad equivalente donde cada uno de estos países emplea sus propias definiciones y límites de acción a nivel país para la seguridad. ¿Qué significa esto para la región? Creo que demuestra el compromiso de todos con la ciberseguridad y la implementación de herramientas que nos darán mayor seguridad, pero también considero que demuestra una gran área de oportunidad para que todos nosotros aunemos esfuerzos en la creación e implementación de una visión común para toda Latinoamérica. 

¿Qué significa esto para las empresas de los Estados Unidos radicadas en América Latina o que están analizando hacerlo? ¿Deberían ser cautelosos?

No. El clima de negocios en Latinoamérica nunca ha sido mejor. América Latina ofrece una riqueza de oportunidades a los negocios de los Estados Unidos. Si hay algo que hemos aprendido, es precisamente que los cibercriminales no conocen de límites ni fronteras. No importa el lugar donde tenga su negocio, lo que importa es el modo de hacer negocios. Yo le aconsejaría a cualquier compañía, independientemente del lugar hacia donde quieran expandirse, que se aseguren de que exista una postura uniforme de seguridad global comprobada.
Hoy en día, algunas organizaciones protegen su infraestructura a través de una complicada infraestructura de firewalls y dispositivos especializados de seguridad, creando puntos de vulnerabilidad y cargas operativas que pueden verse exacerbadas ante la falta de personal de seguridad. Un abordaje con múltiples tecnologías requiere monitoreo y mantenimiento de cada dispositivo. Esto sumado a la falta de integración tecnológica hace que el día a día de la gestión de las amenazas se convierta en un verdadero desafío, uno que pone a las compañías en riesgo.
Invitaría a las organizaciones a dar un paso hacia atrás y a ejecutar una evaluación de riesgo identificando las áreas que presentan mayores amenazas. Otra área a considerar es la seguridad basada en la red, que posibilita un verdadero ‘clean pipe’ y la capacidad de instalarse con otras soluciones de seguridad, como los firewalls y la prevención de pérdida de datos. Finalmente, las organizaciones necesitan una visión de su ecosistema de amenazas. Entender quiénes son los atacantes y qué información es la que procuran obtener nos ayudará a prevenir los ataques y a abordar las vulnerabilidades en el sistema de ciberseguridad.



[1] CSIRT (Computer Security Incident Response Team, Equipo de Respuesta ante Incidentes  de Seguridad)