En las últimas semanas, hemos visto un incremento muy notable en los “hackeos” (violación a sistemas de información) de empresas alrededor del mundo; pero realmente ¿cuántas de ellas estaban preparadas para poder realizar un cómputo forense y cuántas otras ni siquiera saben que esto les sucede?
Primero fue PlayStation Network (PSN) de Sony, red donde muchos niños y adultos como nosotros dedicamos nuestros tiempo libre al sano esparcimiento de ganar Copas del Mundo con el Chicharito o salvando a la humanidad de terribles amenazas terroristas, alienígenas o mutantes.
Pero lo que le sucedió a Sony nada tiene que ver con un videojuego, pues la violación a sus sistemas expuso millones de tarjetas de crédito y datos personales, 77 millones para ser exactos, de los usuarios de la red un evento que dejó en total asombro y desconcierto a medios de comunicación y aquellos que hacemos uso de dicho servicio.
( Así que si usted, su hijo, primo o amigo colocó su tarjeta de crédito en dicho sistema para comprar add-ons o nuevos juegos en línea le recomiendo que cancele esa tarjeta y solicite una nueva al banco)
Sin embargo, haciendo una investigación desde la perspectiva forense, encontré con asombro que había cierto desconcierto por el tiempo que le tomó a Sony el compartir y avisar de dicha situación. Por un lado, comentaban que era porque no había un firewall y que los servidores usados no habían sido actualizados en un largo periodo de tiempo; cosa que no es raro escuchar en países de América Latina, pero sí de un monstruo como Sony. Y por otro lado, que habían demorado demasiado debido a que los examinadores forenses no habían tenido los resultados antes de tiempo. Pues sí, hay que echarles la culpa a los examinadores forenses…
Pero considero, desde mi humilde punto de vista, que esto conlleva a pensar más en el incidente y cómo fue tratado.
Se dice, en el inframundo de los examinadores forenses, que inicialmente Sony desconectó de la red aquellos servidores en los que se apreciaba un comportamiento anómalo; pero poco a poco fueron más los afectados, momento en el que la firma tomó la decisión de llamar a los especialistas forenses digitales para determinar por qué estaba sucediendo y qué se podía hacer detener dicha situación. Fue entonces cuando se detectó un archivo llamado Anonymous en el que figuraba un texto alusivo a esa organización de “hackers” o hackivistas; sin embargo, hasta el momento de la escritura de este texto, nadie se ha acreditado dicho “atentado”.
Al ver que fueron varios servidores los afectados, se dice, que se realizó cómputo forense únicamente en par de ellos, ya que no sería posible realizar en todo los equipos afectados al mismo tiempo, ni tampoco podían detener el servicio completamente.
Esta situación es impresionante y me hace preguntarme: ¿acaso, una empresa como Sony no cuenta con un equipo de respuesta a incidentes de un nivel internacional y con procedimientos establecidos tanto de reacción como de preparación antes de que este incidente se diera? Yo pensaba que del Río Bravo para arriba siempre tenían procedimientos, por lo menos eso pensaba después de todo el show para acreditar la certificación CISSP.
No pasaba una semana cuando vuelven a atacar otra filial de la empresa; después otras, luego a Honda, Acer y Nintendo se han sumado a la lista (algunas con mayores consecuencias que otros)
Primera vez que veo que pasa algo así en tan poco tiempo. Es como si Estados Unidos no reforzara la seguridad de sus fronteras después de haber eliminado a Osama Bin Laden. Si el niño ha caído en el pozo, pues buscamos como cerrar los pozos de nuestra casa para que no pase otra vez.
Hablando de Bin Laden, se encontraron 10 computadoras, se dice que más de 2.7 TB de información y que la forma de enviar las
comunicaciones vía email era escribiéndolas en modo texto, para que uno de sus colaboradores lo enviara desde diferentes puntos de conexión alrededor de Afganistán. Por lo menos tenía una idea de lo que el cómputo forense podría hacer.
Muchas cosas en poco tiempo, muchas historias y pocos que le ponen atención al tema.
Pero entonces, ¿dónde está la moraleja de esto? No le eche la culpa al de sistemas, ni al administrador de red, ni al de seguridad. Mejor trabajemos en conjunto para entender que el trabajo del oficial de seguridad de la información está para establecer las mejores prácticas, guías y estándares internos que deben ser cumplidos por sistemas y las otras áreas de IT y que todos, junto con el área forense digital, conforman un equipo de respuesta a incidentes que permite mantener un orden en este caos que muchas veces tenemos dentro de la organización.
No olvidemos las fugas de información, que todo lo que hacemos queda registrado, que la inteligencia competitiva es una realidad y que todavía nos falta ver más cosas al respecto.
Yo sólo sé, que si usted se dedica a la seguridad de la información. Usted y yo tendremos trabajo por un muy buen tiempo…
Andrés Velázquez es un mexicano especialista en delitos informáticos, presidente y fundador de MaTTica; y cuenta con las certificaciones CISSP, GCFA, ACE, IAM, IEM y BS7799. Síguelo en @cibercrimen
SÍGUENOS
© 2011 Netmedia S.A. de C.V.
Políticas de privacidad
Sócrates 128 4to piso, Polanco
CP 11560, México D.F.
Tel: 2629 7260