En el marco del Séptimo bSecure Conference, Carlos Chalico y Ricardo Lira, directivos de Risk Advisory Services de Ernst & Young, recordaron a los más de 250 ejecutivos reunidos los estándares mínimos de seguridad, o Baseline Security Standards (BSS).

“No necesitamos comprar nada para llevarlos a cabo, sería como pagarle al dentista para que nos diga que tenemos que lavarnos los dientes tres veces al día. Pero nos hemos dado cuenta a través de pruebas de penetración de que muchas empresas no los aplican”, dijeron.

Gerente senior de Ernst & Young, Lira dijo en su intervención que las empresas están lejos del estado ideal de la seguridad, sin recursos suficientes, sin gente bien capacitada y sin el patrocinio de la dirección general. Por ello, recomendó a la audiencia que revisen su gestión tanto táctica como estratégica y comiencen por aplicar los estándares básicos mínimos de seguridad.

Los BSS son también conocidos como estándares mínimos de seguridad, línea base estandarizada de controles de seguridad o Hardening inicial. Equivale a mitigar tanto ataques de aquellos que no tienen acceso al sistema como de los que intenten abusar de sus privilegios en el sistema.

Al modelo básico de seguridad por capas, Lira sugirió añadir varios aspectos: virtualización, dispositivos de seguridad, el browser (el nuevo OS), terceros y cómputo en la nube. Y en la capa del sistema operativo considerar usuarios móviles.

A continuación, un resumen de los estándares mencionados por los conferencistas en los distintos niveles del modelo:

Estándares de seguridad básicos a nivel de RED:

-Inventario de dispositivos de telecomunicaciones

-Aplicación de parches (90 días)

-Filtrado a nivel red-zonas de seguridad (separar red de producción/desarrollo/usuarios)

-Identificación y depuración de usuarios (particularmente aquellos con privilegios de admin.)

-Política de contraseñas (vigencia mínima 1 semana/máxima -90 días, longitud mínima: 8 caracteres, complejidad de contraseña, bloqueado de cuenta después de 5 intentos fallidos, histórico: 5)

-Administración remota (SSH en lugar de Telnet)

-Identificación y activación de eventos relevantes de auditoría

-Separación de red alámbrica de red inalámbrica –AAA

A nivel de SISTEMA OPERATIVO:

-Inventario de sistemas operativos (servidor)

-Aplicación de parches (90 días)

-Puertos TCP/UDP únicamente aquellos requeridos.

-Política de contraseñas

-Identificación y depuración de usuarios

A nivel de SISTEMA OPERATIVO (cliente):

-Inventario de equipos cliente

-Aplicación de parches

-identificación y depuración de permisos en archivos y directorios con información críticas y/o sensible

-Puertos TCP/UDP

A nivel de BASES DE DATOS (1):

-Inventario de base de datos

-Aplicación de parches

-Limitar el acceso a la base de datos desde la red

-Identificación y depuración de usuarios

-Política de contraseñas

-Depuración de roles, perfiles, privilegios

-Permisos de ejecución de procedimientos almacenados (stored procedures)

APLICACIÓN, PROCESOS Y GENTE:

En este nivel, Carlos Chalico invitó a los asistentes a la 7ª. edición de la conferencia más importante de seguridad IT a identificar el soporte de la infraestructura, la administración de usuarios, la autenticación.  “En otras palabras, sin boleto no pasas. Hay que revisar periódicamente la asignación de privilegios de acceso y contemplar la verdadera necesidad de tener súper usuarios”, dijo Chalico en su intervención.

Con respecto a las aplicaciones, recordó tener controles aplicativos, preventivos, detectivos y correctivos. “La gente de desarrollo está orientada a generar programas y no está concientizada con el concepto de riesgo. A nivel aplicativo en desarrollos internos enfrentamos problemas de vulnerabilidad. La aplicación será tan segura como la infraestructura de soporte, los procesos relacionados y la gente que la utilice”, dijo el socio del área de Risk Advisory Services.

En cuanto a procesos,  recomendó marcos referenciales como Cobit, las diferentes normas de ISO, y tomar de ellos lo que más valga la pena para cada organización.

Dijo Chalico que los procesos hay que comprenderlos muy bien, identificar los riesgos e identificar los controles que mitiguen esos riesgos, ver que dejen evidencia cuando se ejecutan, monitoreados para ver que efectivamente están funcionando y que permiten tener habilidades de reporteo.

La seguridad de la información debe ser vista a sí misma como un proceso más de la empresa, advirtió el ejecutivo, y los procesos mínimos son: administración de vulnerabilidades, protección de la red y telecomunicaciones, administración de la continuidad de la operación, administración de configuraciones y servicios, cumplimiento y seguridad física.

En cuanto a la gente, Chalico dijo: “Estamos alejados de las áreas de negocio para hacerles ver cómo estamos visualizando la seguridad. El 51% de los directivos de Seguridad en las empresas estadounidenses le reportan la situación de seguridad a niveles C cuando menos en forma trimestral, mientras aquí solo el 35% tiene acceso a esos niveles. El director de seguridad sigue dependiendo del área de Sistemas, pero lo tiene que ver con los demás interesados del negocio”.

De acuerdo con los resultados de la última encuesta de Ernst & Young, el tema gente se está convirtiendo en prioridad de atención de alta demanda. No se tiene la efectividad esperada debido la poca concientización organizacional y la no disponibilidad de recursos humanos capacitados.

¿Qué recomendación hacer? Chalico dijo: “Concientizar, entrenar, contratar, proteger, monitorear, reportar”.

INFORMACIÓN:

-Inventario de activos de información

-Clasificación de información

-Cifrado

-Protección de acceso d dispositivos móviles

-Respaldos periódicos

“Es clave auditar cumplimiento. Tenemos que ver que todo esto permanezca en el tiempo. Clave aplicarlos a todos, a red de usuarios, a red de desarrollo de pruebas y a la red producción. Si no se aplica a todos hay el riesgo de equipos pivote”, dijo a su vez Lira.

Para concluir, Chalico aconsejó: “Aplicar estos estándares básicos, auditarlos para garantizar que en el tiempo continúen aplicados, analizar qué activos requieren mayor número de controles o robustecer los Baseline Security Standards”. No confié en el terror, use su sentido común, la fuerza no lo acompaña. Conozca, comprenda y compare”.

Esto lo dijo Carlos Ayala, consultor de seguridad para TippingPoint en el marco del séptimo b:Secure Conference en la plática Cibercrimen: La última ola, en donde tomó como base el estudio Top Cyber Security Risks dentro del cual la firma  subraya las principales amenazas cibernéticas en la actualidad.

“Este estudio fue realizado por 1150 investigadores, los cuales han capturado más de 2000 vulnerabilidades, aunque únicamente 28% han sido aceptadas y clasificadas con el objetivo de proteger los activos de los usuarios,” señaló Ayala.

El experto hizo énfasis  en que  la “motivación” de los cibercriminales son los usuarios finales y su información sensible, personas que en muchos casos tienen bajo nivel de conciencia y educación en ciberseguridad. Su objetivo es realizar ataques a grandes masas, sobre todo de tipo social, de fallas o vulnerabilidades tipo día cero, ambos vectores que no tienen parches de seguridad.

“En la actualidad se llevan malas prácticas de seguridad debido a que no se aplican los parches necesarios y de manera oportuna,” mencionó Carlos Ayala. “La mayoría de los ataques a usuarios finales se llevan a cabo con ingeniería social, aplicaciones web y speerphishing, aprovechándose  de las vulnerabilidades del cliente.”

En entrevista exclusiva con b:Secure Mike Dausin,  investigador en seguridad de Tipping Point afirmó que hoy el cibercrimen es una industria que genera ganancias por arriba de los miles de millones de dólares y la  masificación en la creación y propagación de los códigos maliciosos y ciberataques únicamente acrecentará este dinamismo de negocio clandestino.

“Hay mucho dinero en el mercado del cibercrimen, existe un enorme crecimiento del malware y cada vez es más fácil comprar y armar robos y fraudes electrónicos. Y cada mes más y más personas entran al mundo en línea y junto con ellos el número de mafias en Internet también crece”, apuntó el experto.

Dausin agregó que en los próximos años dado la facilidad para montar ataques veremos en todo el orbe un crecimiento masivo de delitos de extorsión a empresas y usuarios a cambio de beneficios económicos.

“Con el crecimiento de la botnet y la facilidad para hacer ataques de Denegación de Servicios (Dos, por sus siglas en inglés) en los próximos años la extorsión en Internet será  uno de los principales vectores de ataque”, dijo Dausin.

Los expertos de TippingPoint concluyeron que 60% de los ataques vienen en capas aplicativas, y que de este porcentaje dos tercios se hacen por medio de inyecciones SQL, ataques PHP y XSS.

“Es vital e importante estar al día con los parches y soluciones que las diferentes compañías ofrecen para poder contrarrestar o evitar estas amenazas latentes de una manera más eficiente”, subrayaron.

Como bien señaló el conferencista Iaacov Contreras, director de sistemas de Netmedia, las redes sociales tienen sus ventajas: son medios de información ágil que pueden ahorrar tiempo cuando se quiere comunicar algo, te permiten hacer relaciones con gente que maneja los mismos intereses personales y laborales, y sirven como espacios de colaboración y foros de discusión o soporte.

Pero el conferencista Andrés Velázquez, especialista en cómputo forense, marcó a la audiencia que no hay que dejarse engañar por esa cara bonita. Ambos “actores” de esta película hicieron incapié en que el uso de esta dinámica en el entorno laboral incrementan las vulnerabilidades y pueden minimizar la productividad hasta generarse pérdidas millonarias.

“La misión, tal vez imposible, es crear una política que nos ayude a mitigar los riesgos sin perder los beneficios potenciales de las aplicaciones Web 2.0”, dijo Contreras, agregando que tal política debe tener componentes IT y no IT. “Es decir, hay que concientizar a los usuarios, respetando su privacidad, y hay que personalizar la política según las actividades de la empresa y su postura ante el riesgo.”

Por otro lado, no es cuestión de crear esta política y abandonarla sólo como parte de los contratos de nuevos reclutados a la organización. Contreras dejó claro que es muy importante que la política establezca sanciones por escrito, monitorear su cumplimiento, hacer actualizaciones y llevar a cabo campañas de awareness.

En este sentido, la participación de Velázquez con ejemplos prácticos mostró a los asistentes al b:Secure Conference los errores en los que se cae comúnmente. “De niños, los papás nos enseñaron a conducirnos en la calle y a evitar riesgos moviéndonos por zonas seguras. En Internet, nadie nos enseñó a conducirnos; ahí está el problema inicial”, dijo.

Es común que en Twitter, Facebook o redes similares, los usuarios compartan dónde están, qué hacen, cuánto tardarán, quiénes son sus amigos, etc., y como bien  señaló Contreras, de Netmedia, al salir de casa nadie deja un papel pegado en la puerta avisando que salió y que deja la casa sola. ¿Por qué sí lo hacemos en la red?

Esta inseguridad alcanza a la organización cuando, vía las redes sociales, se está compartiendo información confidencial del negocio, o lo que hacen ejecutivos de alto rango, y demás. ¿Qué hacer?

El experto Velázquez está seguro de que en la mayoría de los escenarios es imposible bloquear por completo la práctica actual del Web 2.0 y las redes sociales. “Pero tampoco podemos permitirlas abiertamente”, agregó. Por un lado, la concientización del usuario sirve, “pero además hay que protegernos, involucrando para ello al departamento legal, al de recursos humanos, al área de sistemas y al departamento de seguridad física.

Finalmente, Velázquez invitó a los asistentes, en su mayoría ejecutivos del área de seguridad informática y/o sistemas de las empresas, a buscar lo que los empleados están haciendo públicamente en las redes sociales. “Sabrán quién es el borracho, por qué realmente alguien llegó tarde a la oficina y demás datos que eventualmente pueden ser de utilidad”. No cabe duda que el que busca encuentra.

En lo que fue la conferencia inaugural de la 7º edición del b:Secure Conference, en la Ciudad de México, Vicente explicó que los profesionales de ciberseguridad enfrentan tres retos primordiales para la operación y continuidad de los negocios.

“El ambiente y las empresas han evolucionado. Ya no sólo se trata de tecnología, gente y procesos, hoy los CISO  y las áreas de seguridad enfrentan retos primordiales como la evolución en sus sistemas  de detección y prevención ante escenarios más adversos; que necesitan aprender a cómo proteger una mayor cantidad de información a un menor precios; y que deben promover en sus empresas la seguridad como una habilitador de su empresa”, apuntó Vicente.

En ese sentido el ejecutivo de Cisco dijo que para alcanzar esa transformación las áreas de seguridad deben comenzar a justificar el uso de equipos y plataformas de protección apalancados con un entendimiento real del negocio, no únicamente como personal operativo.

“Ya no basta con tener una estrategia de policía o de guardianes de los datos para demostrar el valor de nuestro trabajo en la empresa necesitamos tener un conocimiento o compresión vital del negocio”, apuntó Vicente.

Para ello, dijo, existen factores o elementos que pueden transformarse en habilitadores para el valor de ciberseguridad o, por el contrario barreras para su crecimiento. Tales como el crecimiento de la industralización de IT, la expansión de los dispositivos móviles y el crecimiento de los servicios en la nube.

“Hoy, enfrentamos factores  clave en la adopción másica de los recursos de IT en todos los negocios sin importar su tamaño, el uso creciente de los servicios web 2.0 y de comunicaciones unificadas, así como el uso masivo de los dispositivo móviles en el mundo”, citó el experto de Cisco.

La empresa estima que en el caso de dispositivos móviles para finales de 2011 se conectarán más de 1.3 mil  millones de equipos portátiles nuevos a Internet, todos y cada uno de estos con información sensible para los usuarios y también para las empresas.

Sin embargo, son datos que muchas veces las empresas a penas comienzan a lidiar en la manera o forma en la que deben protegerlos o resguardarlos del robo de información, las vulnerabilidades o los ciberataques.

Lo mismo sucede con el crecimiento de servicio web 2.0, entre ellos el uso de video el cual, según Vicente representará 80% de todo el tráfico en internet para finales de 2010. Canal que pocas veces es analizado por los sistemas de seguridad, peor que ya ha comenzado a ser aprovechable por los cibercriminales para ocultar códigos maliciosos.

“Los riesgos van a seguir evolucionando y seguirán siendo un problema constante y alarmante para las empresas, pero hay que entender que muchas veces somos nosotros los responsables de la seguridad los que fallamos en proteger la información del negocio porque no nos damos tiempo para entender cómo funcionan todos los procesos y ambientes de la empresa”, subrayó.

En el marco del Séptimo bSecure Conference organizado por Netmedia, Adrián Palma, director general Integridata, dijo a los asistentes que las organizaciones deben responder a preguntas tales como qué realmente pueden subir a la nube, si los auditores requerirán mayor especialización y alcance en las auditorias, cómo puede ser probada la privacidad en el cumplimiento normativo, cómo se mantendrá el control de la información y de los niveles de servicio, así como preguntarse qué pasaría si el proveedor fuera adquirido por otra compañía.

Asimismo recomendó considerar si se utilizará la nube para información sensitiva y que, de hecho, habría que asumir la seguridad del cómputo en la nube tal como ya lo hacen con su centro de datos.

“Deben preguntarse si están listos. ¿Están listas las aplicaciones?, ¿ya definió dónde estarán los datos, cómo serán protegidos, si se verá afectado el servicio con sus clientes y cuál será su estrategia de salida si no funciona, para que sea lo menos dolorosa para ambas partes”, dijo.

Por su parte, el abogado especialista en derecho informático Joel Gómez reconoció que el cómputo en la nube es un tema que genera muchas expectativas, mucha discusión y también incertidumbre, debido a que actualmente no hay leyes ni tratados internacionales que regulen el cómputo en la nube, por lo que hasta ahora el único instrumento es un contrato entre las partes, adviritió.

“La ley se mueve más lento que la tecnología. La aplicación de viejas leyes a nuevas tecnologías genera incertidumbre. Por el momento, los contratos son la respuesta a los vacíos legales. La idea es que sean justos (los contratos), que no sean unilateralmente redactados, que sean negociados con los usuarios. No se vale hacer un contrato para todos sus clientes porque todos son diferentes”, afirmó.

El especialista en derecho informático ejemplificó los riesgos de contratos unilaterales desventajosos para el cliente con los contratos de las empresas de almacenamiento físico de archivos en méxico, las cuales solo se comprometen a devolver el valor del papel resguardado en caso de pérdida.

Algunos aspectos legales del cómputo en la nube descritos por Gómez son la creación de monopolios y oligopolios que llevarían a elaborar contratos unilaterales y poco ventajosos para los clientes, la confidencialidad de la seguridad de la información, los riesgos de la privacidad de la información, así como el uso de información en la nube para litigar investigaciones gubernamentales.

En el aspecto contractual, opinó el abogado, la organización que desea contratar cómputo en la nube debe saber si su información residirá en un solo servidor o si estará viviendo en distintas partes de la nube de forma dinámica.

Gómez aconsejó que si la orgazación decidiera eliminar su información almacenada en la nube, el cliente debería especificar en el contrato que, si lo requiere, el proveedor también la eliminará.

” Además el cliente debe saber en qué países podría residir su información, sobre todo por cuestiones legales. Además, es necesario pactar lo relativo a las auditorias para que el cliente pueda verificar que el proveedor de cómputo en la nube está cumpliendo con lo pactado en el contrato, incluyendo niveles de servicio, si se encuentra especificado”, abundó.

Aspectos de seguridad que deben tomarse en cuenta antes de subir a la nube

Adrián Palma llamó la atención de los asistentes al indicar que la principal preocupación de los usuarios empresariales cuando piensan en cómputo en la nube es en dónde vivirán los datos, si lo manejará un tercero, si ofrecerá seguridad y cumplimiento a normativas, cómo se manejarán los privilegios de acceso, la disponibilidad de los datos, la viabilidad del proveedor como atributos de servicio y prácticas de seguridad, así como si le garantiza reducir el riesgo.

De acuerdo con IDC, la mayor preocupación de las organizaciones en el tema es la seguridad, seguida del desempeño de sus aplicaciones desde la nube.

Joel Gómez sugirió a los asistentes que al acercarse a un proveedor de cloud computing indage sobre qué medidas de seguridad tiene, si se encripta la información, si su infraestructura está libre de malware como el spyware y si es segura la transferencia de la información, por ejemplo.

Las empresas deberán definir qué información es confidencial y cuál no, cuál debe cumplir con normas de privacidad y cuál no, coincidieron los expertos.

“Los riesgos en materia de privacidad varían significativamente de un proveedor a otro, cada uno define una política de privacidad que puede tener diversas aristas. Cada industria, de hecho, enfatiza los activos de información de manera distinta”, señaló Gómez

La misma ley en México define qué información es confidencial o de cuál debe guardarse su privacidad para evitar problemas legales.

La ley de Propiedad Industrial en México dice a la letra en su artículo 82 que “el secreto industrial es toda información de aplicación industrial o comercial que guarde una persona física o moral con caracter de confidencial que le signifique obtener o mantener una ventaja competitiva o económica frente a terceros en la realización de actividades económicas y respecto de la cual haya adoptado los medios o sistemas suficientes para preservar su confidencialidad y el acceso restringido a la misma.”

Razones a favor y encontra de la nube

Inicio rápido, escalabilidad, agilidad del negocio, desarrollo más rápido del producto, no hay gastos adicionales como mantenimiento o actualizaciones.

Por qué no. Ancho de banda puede estropear el presupuesto. El desempeño de la aplicación puede deteriorarse, si los datos no cumplen o satisfacen los requerimientos de seguridad en la nube, demasiado grande para escalar.

Retos de seguridad.

1. Triángulo CIA

2. Guías y normativas a ser adoptadas.

3. Procedimientos que se emplearán para poder migrar hacia la nube.

4. Privacidad.

5. Debe tenerse un plan de recuperación de desastres.

La semana pasada Google volvió a ser demandado en Rhode Island, Estados Unidos, por la supuesta violación a las leyes de privacidad y protección de la información con su nuevo servicio Buzz, que combina el correo electrónico Gmail con un ambiente de redes sociales.

“Google intencionalmente ha excedido su autorización para acceder y controlar información privada y confidencial” indicó el demandante Andranik Souvalianre. Su abogado, Peter N. Wasyly prefirió no hacer declaración alguna acerca del daño hecho a su cliente.

La demanda indica que “Google, a través de su herramienta de redes sociales Buzz, ha revelado ilegalmente las comunicaciones privadas de sus clientes y registros, incluyendo pero no limitandose a la importación automática  y no autorizada de los contactos privadods de correo electrónico de sus cliente en la red de social de Buzz. Ha planteado preocupaciones sobre la privacidad incluyendo, pero no limitándose, a la importación automática no autorizada de los contactos privados de correo electrónico de sus usuarios y mostrándola a amigos e importando sin autorización las fotos privadas de sus clientes a la red social de Buzz.”

Esta no es la primera vez que Google presenta problemas con este nuevo servicio, anteriormente se vio obligado a modificar, mejorar y ajustar los controles de privacidad de su red social después de innumerables quejas por parte de los usuarios.

Aunque esto no lo es todo. Unos días después del lanzamiento de Buzz el Centro de Privacidad de la Información Electrónica (EPIC, por sus siglas en inglés) en Canadá documentó una queja contra Google Buzz en el mismo sentido ante la Comisión Federal de Comercio, pues sus acciones no tienen efecto alguno contra la empresa.

 Un día antes de que la demanda fuera impuesta por Souvalianre, EPIC hizo una enmienda en su queja contra Google ante la Comisión en donde argumenta que Google violó sus políticas de privacidad de Gmail, al usar la lista de contactos de sus usuarios e información relacionada de Gmail en un servicio distinto, el cual es Buzz.

En el siglo XXI el cibercrimen ya no se trata de programadores expertos en informática en busca de fama, sino de entes empresariales con estructuras y cadenas de suministro bien establecidas que han encontrado en el robo de información un mercado con un valor anual por arriba de los 1,000 billones de dólares, asegura reporte de la firma de seguridad Imperva.

El estudio titulado The Industrialization of Hacking subraya que la delincuencia en Internet se ha convertido en una industria cuyo valor en propiedad confidencial e intelectual robada rebasó los 1,000 billones de dólares durante 2009 y, en dentro de la que los profesionales en el desarrollo de códigos maliciosos pueden captar ganancias multimillonarias.

“Del mismo modo, que durante el siglo XIX la Revolución Industrial aceleró y desarrolló los métodos para pasar del ensamblado simple a la producción en masa, la industria actual del cibercrimen ha sufrido una transformación similar, en busca de su automatización, escalabilidad y rentabilidad”, cita el texto de Imperva.

Contrario al interés por penetrar infraestructuras empresariales con el uso de códigos maliciosos, los expertos de Imperva aseguran que los cibercriminales actualmente buscan la manera de robar los datos confidenciales, controlando las aplicaciones que transmiten estos archivos, muchas de las cuales operan sobre la nube de Internet.

“Hoy, la complejidad, trabajo en equipo y coordinación global de las organizaciones delictivas en la red, así como su nivel de educación asemejan mucho a la manera de operar que tienen los cárteles de la droga”, explican los autores del estudio de Imperva.

Así, el principal mecanismo o motor de ataques, según Imperva, son las redes bot, programas maliciosos que infectan la computadora del usuario y permiten al criminal el control remoto de la máquina para realizar envíos masivos de malware y spam o manipular los motores de búsqueda con el mismo nivel de eficiencia que el algoritmo de Google.

Análisis de firmas de seguridad como McAfee estiman que actualmente existen más de 14 millones de computadores infectadas por botnets en todo el orbe y en la gran mayoría de los casos los usuarios ignoran que su máquina forma parte de una red criminal.

Ante el crecimiento en el uso de servicios y plataformas en Internet, analistas en seguridad apuntan que durante 2009 60% de los ciberataques iban dirigidos a las aplicaciones web.

Tales son un vector de ataque con un alto nivel de riesgo, pues el análisis de Imperva enfatiza que 92% de estas aplicaciones web tienen una o más vulnerabilidades que pueden ser explotadas por los cibercriminales, particularmente las consideradas como inyección de SQL.

Este tipo de vulnerabilidades, afirma Imperva, son muy utilizadas por los delincuentes informáticos pues facilita el robo de información a través de fraudes al insertar código adicional en el lenguaje de programación de la aplicación.

La división de seguridad de IBM estima que en los últimos doces meses el número de ataques de inyección SQL se disparó a más de 250,000 por día y este tópico ya representa 30% de las conversaciones que los hackers sostienen en los sitios de chat clandestinos en la red.

Si no es a través de inyección SQL, el uso de ataques de Denegación de Servicios (DoS, por sus siglas en inglés) también se coloca como una de las principales vertientes para la generación de ingresos para la industria del cibercrimen.

Los DoS permiten a los atacantes ejecutar miles o millones de peticiones a los servidores de una empresa con el fin de saturar su carga de trabajo y tumbar su operación. Así, de manera similar a  un secuestro los criminales pueden inhabilitar el servicio de una compañía hasta que esta pague un rescate para cesar el ataque.

De igual forma, los Denail of Service se colocan como la principal arma de ataque en materia de ciberguerra o ciberactivismo político. Cabe recordar que durante 2008 y 2009 diversos cibercriminales rusos tumbaron sitios gubernamentales de Georgia con ataques DoS, durante su conflicto bélico por la provincia de Osetia del Sur.

Conozca la cadena de suministro del cibercriminal

Con el fin de comprender más afondo la estructura de las organizaciones criminales en Internet, Imperva define tres personajes claves en la cadena de suministro detrás de todo proceso o intento de robo de información.

1. Los investigadores: expertos en informática que analizan y descubren la vulnerabilidades en las aplicaciones y sistemas operativos, para luego venderlas al mejor postor en a través de subastas ilegales en la web.
2. Los granjeros: personas dedicadas a sembrar o cultivar la mayor cantidad de botnets en todo el mundo mediante vulnerabilidades en aplicaciones web, el robo de claves de acceso o con la diseminación de correo basura con malware oculto.
3. Los dealers o despachadores: Son quienes menos conocimiento informático pueden tener dado que únicamente rentan las redes bot o compran las vulnerabilidades a los investigadores para robar información sensible, que su vez revenden en Internet.

Contrario a las críticas que ha recibido el explorador web de Microsoft Internet Explorer 8 (IE8) por su alto nivel de vulnerabilidades y  fallas en código que han sido aprovechados por los cibercriminales, un reporte de  NNS  Labs lo coloca como el browser más seguro en contra de ataques de ingeniería social.

El análisis titulado Web Browser Security Socially-Engineered comparó los niveles de detección de ataques basados en plataformas  sociales de las cinco aplicaciones de navegación web disponibles en el mercado; IE8 de Microsoft, Safari de Apple, Firefox de Mozilla, Chrome de Google y Opera.

En esta ocasión NSS Labs abordó el tema de la seguridad contra sitios con malware de tipo social, utilizado en plataformas como Facebook, Twiiter, MySpace, YouTube entre otros y que, de acuerdo con Symantec será una de los principales vectores de ataque durante 2010 debido a su rápido y constante crecimiento en la web.

“Aunque no todos los ataques son entregados a través de ingeniería social, mucha de la distribución de códigos maliciosos se está dando a través de la web con el fin de evadir los sistemas de detección actuales. Se estima que, actualmente 53% del malware se distribuye vía Internet, contra 12% que lo hace mediante correo electrónico”, cita el reporte de NSS Labs.

Durante más de 18 días en pruebas constante de 24/7 el laboratorio analizó la eficacia de estos exploradores para detectar sitios maliciosos que pudieran burlar la confianza del usuario y con esto instalar y correr malware en sus computadoras.

De acuerdo con el estudio comparativo de exploradores contra ataques de tipo social, después de analizar 562 sitios  Internet Explorer 8 se mantuvo a la cabeza de la lista al detectar y detener el 85% de los ataques, lo que lo colocó 56 puntos porcentuales en nivel de detección por arriba del segundo lugar.

A su vez, Safari 4 de Apple y Mozilla Firefox 3.5.7 detuvieron ambos 29% de estos ataques, seguidos por Google Chrome 4.0.249.78 que fue capaz de detectar 17%, y Opera 10.10 que detuvo menos del 1% del malware.

El estudio fue revelado en el 2010 RSA Security Conference en San Francisco y fue diseñado después de evaluar más de 12,000 sitios con estas características de los cuales, después de varias pruebas sólo quedaron 562, que sí cumplían con la descripción de sitios con ataques de tipo social.

Cabe recordar que la seguridad de Internet Explorer ha sido criticada últimamente a raíz de las vulnerabilidades de día cero, que han permitido la ejecución de ataques como “Operación Aurora”, misma que obligó a Microsoft a liberar un parche de seguridad para la aplicación.

Así como las campañas publicitarias para prevenir el consumo de tabaco y alcohol impactaron en la mente de los ciudadanos de todo el orbe, Estados Unidos planea poner el ejemplo en educación y protección en Internet, con el desarrollo de la campaña publicitaría sobre ciberseguridad más importante hasta el momento, explicó Janet Napolitano, secretaria de Seguridad Interna de Estados Unidos.

En  su conferencia magistral durante el RSA Conference 2010 en la ciudad de San Francisco, Napolitano pidió el apoyo de los casi 17,000 asistentes y expertos en el desarrollo de sistemas de seguridad para que aporten sus ideas y conocimientos sobre cómo educar a los población en general sobre los riesgos y peligros en un mundo altamente digitalizado.

“Necesitamos de su apoyo, de su conocimiento, del poder de su cerebro, sabemos que estamos trabajando en el desarrollo  de mejores sistemas de prevención y detección  contra la amenazas cibernéticas, pero creemos que es vital poder promocionar el tema de ciberseguridad para el pueblo americano”, afirmó Napolitano.

Pero la invitación no viene únicamente acompañada de buenos deseos, pues Napolitano mencionó que el Departamento de Seguridad Interna ha desarrollado un concurso de talento que tiene como base la búsqueda de las mejores ideas y conceptos para educar a los estadunidenses en el tema de seguridad IT.

“Estamos seguros  que  hay grandes ideas de ustedes y allá afuera y queremos escucharlas. Tengo la seguridad que esta campaña tendrá el mismo impacto y difusión que el que han tenido otras estrategias de  publicidad sobre prevención e información de temas como el tabaquismo y alcoholismo”, compartió.

A través del sitio oficial del  Department of Homeland Security, (DHS) el organismo gubernamental ha colocado las bases para el desarrollo de la Campañas de educación nacional en ciberseguridad, la cual aceptará proyecto e ideas hasta el 30 de abril y comenzara a difundirse a partir del mes de octubre en todo el territorio nacional.

Napolitano informó que el concurso  tomará en cuenta el uso de herramientas y tecnologías Web 2.0, el cuidado y protección de los datos, el trabajo en equipo, el impacto y distribución del mensaje y  la retroalimentación del público.

“Tenemos retos difíciles  en materia de ciberseguridad desde instituciones federales, sector privado hasta las persona que entran a la web son blanco de ataque para estas amenazas. Tenemos que trabajar juntos para solucionarlo, movernos rápido, de manera innovadora y tratar de poner el ejemplo, como lo hemos hecho en ocasiones anteriores”, apuntó Napolitano.

Desarrollen software más seguro

Junto con su petición de apoyo para el concurso la secretaria del DHS exigió a los asistentes al RSA Conference a buscar una manera de desarrollar soluciones y sistemas de seguridad mucho más avanzados, sencillos de usar y transparentes.

“Se tienen que  redoblar los esfuerzos para incrementar seguridad en los productos que ustedes hacen, en un nivel de desempeño  que nos permite crear un sistema de protección de alto nivel”, comentó.

Napolitano comentó que todo nueva solución de seguridad deben contemplar tres niveles o pilares de funcionamiento: automatización para su fácil manejo, debe ser interoperable  compatible con el resto de los sistemas y tiene que asegurar los niveles de privacidad y autenticación de los usuarios.

“Hemos progresado  en mejorar la infraestructura del gobierno para responder a amenazas y vulnerabilidades que afecten a nuestro país, el DHS, el sector privado y academia son un componente ideal para la protección del espacio digital de la nación” subrayó Napolitano.

De acuerdo con el Grupo de Delitos Telemáticos de la Guardia Española, Mariposa podría una de las redes de computadoras zombie más grande que se haya detectado y desmantelado.

La botnet fue armada gracias a un troyano que fue comprado en el mercado de malware, cuya distribución permitió el control de las computadoras ’secuestradas’.  Según las investigaciones, Mariposa apareció en Diciembre de 2008 alcanzando en tan sólo un año muy altas tasas de infección.  La proliferación del virus utilizó una vulnerabilidad en el navegador de Internet Explorer de Microsoft y otras puertas de entrada como MSN Messenger y unidades de almacenamiento (USB).

Los ciberdelincuentes se hicieron de un cúmulo de información personal, así como contraseñas y datos financieros a través de PC zombies, para luego vender los datos confidenciales a terceros.

Después de su descubrimiento en mayo del año pasado, se formó un grupo de trabajo integrado por Panda Security, el Grupo de Delitos Telemáticos de la Guardia Civil y técnicos de Defence Intelligence, de manera paralela a las investigaciones que el FBI de Estados Unidos comenzó a realizar.

Dichos investigadores localizaron a un grupo conocido como “DDP Team” (Días de Pesadillas Team), el cual fue responsable de comprar el troyano para después controlarlo y distribuirlo.

El pasado 23 de diciembre se logró bloquear a nivel internacional la botnet e  identificar al responsable del grupo. Gracias a un error cometido por parte de uno de los integrantes, se logró la detección de tres de ellos, comunicaron las autoridades españolas.

El máximo responsable de la red Netkairo o Hamlet1917 de 31 años de edad, fue detenido el 3 de febrero, en Balmaseda, España. Johny Loleante de 30 años residía en Molina de Segura, en Murcia, España. Finalmente, Ostiator de 25 años de Santiago de Compostela, también en la península ibérica. Ya han sido puestos a disposición judicial y se enfrentan a penas de hasta seis años de prisión.

El salón general de congresos del RSA Conference 2010, que hasta un par de horas albergaba cerca de 17,000 almas, ahora se encontraba a  poco más de la mitad de su capacidad.

En el escenario el recién nombrado coordinador de Ciberseguridad del Consejo Nacional de la oficina del Presidente de la Casa Blanca, Schmidt, ocupaba el escenario y anunciaba el cambio más importante desde su ingreso como mano de derecha en tema de seguridad IT para Barack Obama, la desclasificación de la Iniciativa Nacional Comprensiva para Ciberseguridad (CNCI, por su siglas en inglés) y su acceso, a través de la Web, a todo el Orbe.

“El presidente Obama  ha identificado la ciberseguridad como uno de los temas más serios para la economía  y una de los mayores retos que enfrenta nuestra nación, pero como gobierno  y como país no estamos preparados adecuadamente para enfrentarlo”, apuntó Schmidt.

Para enfrentar el cambiante y global escenario del cibercrimen y la seguridad IT el funcionario afirmó que el gobierno necesita trabajar de la mano con todos los involucrados en la materia como el sector privado y la academia, pero una colaboración que sólo puede ser posible, dijo, con transparencia y comunicación.

“He recibido la orden y aprobación de que a partir del  2 de marzo el documento con el plan CNCI sea desclasificado y puesto al alcance de todos los involucrados en la materia, pero también de la sociedad en general. No podemos resolver este problema global sin transparencia y claridad nuestros procesos”, dijo Schmidt.

Así, a través del sitio Web de la Casa Blanca, la coordinación de ciberseguridad liberó al público el CNCI, un documento que contiene los 12 puntos establecidos por la administración de Barack Obama para establecer un plan de acción contra el fenómeno del cibercrimen y la ciberseguridad

El texto contiene tres líneas centrales de desarrollo: uno, el desarrollo línea de defensa efectiva contra las amenazas inmediatas, dos defender todo el espectro del gobierno estadunidense contra las amenazas y reforzar el ambiente de ciberseguridad del país.

Entre las iniciativas más destacadas dentro del CNCI se encuentran el manejo de las redes federales como una red única y con acceso confiables, el desarrollo de un sistema de detección de intrusos con sensores en toda la infraestructura, la creación de sistemas de prevención de intrusos en el sistema federal.

Además de iniciativas como mayores esfuerzos en investigación y desarrollo de ciberseguridad, desplegar contrainteligencia en seguridad IT, expandir la educación en la materia para la población en general e incrementar la protección en las redes clasificadas del gobierno.

“La transparencia y las alianzas son temas que deben ir de la mano y con la finalidad de ser exitosos en el combate contra la amenazas informáticas actuales debemos mantener un trabajo continuo por mantener, innovar y confiar en nuestras alianzas no sólo con todos los niveles de gobierno, sino también con la industria y el pueblo americano en general”, subrayó Schmidt.

Así, minutos antes de dejar el escenario del RSA Conference 2010, Schmidt reconoció que en los próximos años el mundo de la ciberseguridad sufrirá grandes cambios y, que entre ellos, está la labor de entender que el combate al cibercrimen es un tema de todos, donde cada actor “tiene que jugar un papel central si el cambio que buscamos en verdad es para bien”.

El cómputo en la nube uno de los paradigmas más prometedores en el mundo de las tecnologías de la información de los últimos 20 años podría morir antes de nacer si la seguridad IT no juega un papel central en el manejo y cuidado de los datos.

“En un mundo de servicios en la nube debemos trabajar como nunca para proteger nuestra infraestructura porque no podemos permitir que el cuidado de la información digital  se nos salga de las manos  y no  la podamos controlar”, afirmó Arthur Coviello, vicepresidente ejecutivo de RSA, la división de seguridad de EMC.

Durante la inauguración del RSA Conference 2010, un evento que reune a más de 17,000 profesionales, expertos, matemáticos, criptógrafos y autoridades en la ciudad de San Francisco, Coviello aseguró que el fenómeno del cloud computing es uno de los fenómenos más expansivos y revolucionarios dentro de la industria de IT de los últimos años.

“Estamos estamos en un visión elevada, expansiva y  conectada  hacia la transformación del mundo de IT con el cómputo en la nube, porque por primera vez las empresas se quitan de encima el componente que por años ha mantenido la inversión en tecnología limitada; el mantenimiento. Al fin los negocios pueden invertir su presupuesto de IT en verdadero innovación y no en lidiar con darle continuidad a su infraestructura actual”, compartió.

Sin embargo, mencionó que bajo ese escenario el componente de ciberseguridad jugará el papel central como inhibidor o habilitador de los servicios en la nube, toda vez que el ejecutivo aseguró que 51% de los CIO de todo el  orbe miran la falta o ausencia de seguridad IT como la principal limitante para migrar su infraestructura a la nube de Internet.

En ese sentido, el ejecutivo de EMC y RSA comentó que es necesario que las empresas de seguridad tenga un papel central para fomentar el crecimiento de este fenómeno.

“Nuestra labor, como expertos, es asegurar que los niveles de protección  estén  construidos  dentro de  todos los procesos y servicios que van a la a nube y desde su nacimiento, para que el usuario este tranquilo con la seguridad de sus datos y que puedan tener confianza en el cloud computing, aunque  literalmente no lo pueda ver”, enfatizó Coviello.

Aunque el ejecutivo no elaboró mucho en el  objetivo de la compañía para el desarrollo de un cómputo en la nube confiable, sí aseguró que RSA apalancará sus esfuerzos con el resto de las tecnologías de EMC  en almacenamiento y virtualización con VMware.

“La virtualización juega  un papel central en el futuro del  cómputo en la nube,  es el motor propela para que las organizaciones asuman está tecnología.  Si integramos seguridad en la capa virtual estamos entregando una infraestructura de información  con la capacidad de  entregar datos en tiempo real sobre quién, cuándo y dónde están accediendo a la información y no por simple identidades” aseguró.

A pesar de la necesidad por la integración y desarrollo de sistemas seguros Coviello  subrayó que las empresas deben trabajar mucho en el desarrollo  de mejores  prácticas, generar nuevas procesos y políticas claras en torno a la renta o migración de servicios en la nube.

“La seguridad de la información debe de ser un habilitador para que el cómputo en la nube aproveche al máximo la ventajas de internet, un cambio que sin duda convertirá  los modelos actuales de IT, pero que traerá consigo nuevas formas de eficiencia, agilidad y colaboración para las organizaciones de todo el mundo. Luego de 15 años en esta industria estoy seguro que tenemos la capacidad para hacerlo”, dijo.

Dime con quién eres…

En el siglo XXI con el fenómeno del cómputo en la nube en el escenario  la información digital ha alcanzado un nivel de flexibilidad que no tenía desde hace más de dos décadas, gracias el desarrollo y evolución de plataformas como los dispositivos móviles y las redes sociales, explicó Enrique Salem, presidente mundial de Symantec.

Sin embargo, es una flexibilidad que no ha venido ausente de riesgos, pues Salem mencionó que actualmente los criminales tienen  la capacidad de robar información de la manera más efectiva, directa y precisa.

“Hoy, la premisa de que la información es el  activo más valioso de la compañía no es falsa, estudios reciente de Symantec muestran que en todo el mundo más de 75% de las empresas han sufrido uno o varios ciberataques a su infraestructura y, lo que es peor aún es que 100% de la compañías reconocieron sufrir un tipo de pérdida  a consecuencia de dichos ataques”, citó Salem.

Lo cierto es que el robo de información de las compañías ya no tienen que ver con cantidad, sino con calidad pues el presidente de Symantec mencionó que los delincuentes van en busca de datos de propiedad intelectual, archivos de acceso personales  o bancarios.

Nivel de robo de podría incrementarse en los próximos meses a medida que los ambientes empresariales se vuelven más heterogéneos y dinámicos derivados de la fuerte adopción de teléfonos inteligentes y redes sociales.

“En estos escenarios donde los datos corren en diversos niveles y se puede acceder a ella desde múltiples aristas las empresas enfrenta el riesgo de cómo manejarla y asegurarla  estos archivos, sin importa de dónde provenga, quién la genere, modifique o acceda a ella”, explicó.

Retos que no puede resolverse bajo los sistemas de seguridad basados en firmas de detección de códigos maliciosos y malware debido al incontrolable ritmo de expansión y propagación de los mismos.

Según Salem, tan sólo en 2008 la firma agregó más de 1.6 millones de firmas maliciosos,  cantidad incluso mayor a la sumatoria de los 12 años anteriores, para 2009 la cifra se elevó a más de 2.9 millones de firmas.

Diversas empresas de seguridad han confirmado que el ciclo de vida de un malware no rebasa las cinco horas y que en algunos casos en menos de un día este puede mutar varias veces para pasar desapercibido por sistemas de detección basado en firmas digitales.

“Nos es posible darse abasto ante el crecimiento y ciclo de vida de los códigos maliciosos debemos trabajar bajo un esquema de reputación que nos permita  prevenir y no sólo reaccionar ante los incidentes y riesgos”, afirmó.

Una iniciativa que no es nuevo ni para Symantec ni para el resto de los jugadores en el mercado, que desde el año pasado comenzaron a desarrollar sistema de reputación de sitios web, listas blancas o negras de aplicaciones y programas.

A la fecha esta tecnología ya cuenta con más de 1,000 millones de evaluaciones de reputación y le ha permitido a Symantec elevar 15% el rango de detección en sus soluciones de seguridad.

Puede parecer en simple mensaje directo, DM, como ya le dice la comunidad de Twitter de todo el orbe, sin embargo en el enlace que promete llevar al usuario a un video o imagen chistosa se alberga un sitio de phishing, que ya ha comprometido las claves de usuarios de la red social en todo el mundo.

El impacto por el más reciente fraude de phishing en Twitter obligó a la compañía, por segunda ocasión, a pedir que sus usuarios cambien sus datos personales y contraseña de acceso en caso de hayan caído víctimas del engaño de phishing y que estén enterados o no de que su cuenta fue comprometida.

En el blog oficial de la red social de microblogging  Isaac “Biz” Stone, uno de los cofundadores y directos creativo de Twitter escribió el pasado 26 de febrero “Eviten engaños de phishing”.

“En las últimos días, Twitter ha ayudado a sus usuarios que han caído víctimas del ataque de phishing. Un fraude en el que los atacantes intentan mediante engaños adquirir información de tu cuenta de Twitter como tu nombre de usuario y contraseña”, cita el ejecutivo.

Stone agrega en el texto del blog que el ataque inicia mediante el envió de un DM (Direct Message) proveniente de alguno de los miembros de tu Time Line o usuarios que sigues.

El DM, explica el texto de Stone,  puede decir frases como ‘LOL ¿acaso eres tú?’, seguido de un link que te lleva al sitio parecido la página principal de Twitter y te solicita introduzcas tu nombre de usuarios y clave de acceso. Si lo haces los atacantes pueden, entrar a tu cuenta y engañar a más gente como lo hicieron contigo.

El ejecutivo de la empresa incluso reconoce que el proceso para comprometer credenciales de acceso en Twitter afecta el nivel de confianza en los usuarios por los  DM y sugiere que los “twitteros” tengan cuidado a quien siguen en la red social.

“Diseñamos el sistema de Mensajes Directos para que sólo las cuentas que sigues te puedan mandar DM y evitar el nivel de comunicaciones basura. Nuestro equipo de seguridad elimina cuentas de spam todos los días, aun así recomendamos a nuestros usuarios que analicen primero, antes de seguir miles de  usuarios indiscriminadamente”, subraya Stone en el blog.

Los políticamente incorrectos

El fraude de phishing en Twitter dejó entre ver que la cultura y educación en seguridad no respeta países, razas, color, sexo o incluso profesión.

Esto, luego de que diversas agencias de noticias londinenses detectaran que entre los afectados por el fraude hubo varios políticos británicos, cuya cuentas en Twitter tenía mensajes explícitos de índole sexual.

Según los datos publicados uno de los afectados fue Ed Miliband, ministro de energía del Reino Unido, quien público en su cuenta tras descubrir los mensajes apócrifos.

“Oh cielos, parece ser que he caído víctima del más reciente fraude de phishing en Twitter”.

Trampa en la que no sólo cayó Miliband, pues la líder de la Cámara Baja del Reino Unido, Harriet Harman reconoció que su cuenta envío mensajes DM falsos a algunos de sus seguidores.

Aunque el contenido de estos mensajes no fue revelado, la Harman publicó en su cuenta en Twitter que ella “jamás mandaría algo así”.

Twitter se ha colocado como una de las plataformas sociales web con mayor crecimiento en los últimos años. De acuerdo a un reporte publicado por la firma de análisis Nielsen tan sólo en diciembre de 2009 el número de usuarios usando la plataforma ascendió a más de 18.1 millones, un crecimiento de 579% en comparación con el mismo mes, pero de 2008.

Aunque el número de vulnerabilidades en aplicaciones, sistemas y servicios Web se redujo de manera notable en 2009, el número de sitios maliciosos creció 345%, al compararse con la cifras de 2008, de acuerdo con el reporte X-Force Trend and Risk Report realizado por la división de seguridad de IBM.

Según los datos entregados el año pasado se registraron un total de 6.601 nuevas amenazas detectadas, lo cual significa 11% menos que en 2008, también se registró una disminución de las vulnerabilidades en exploradores Web, tipo Firefox, Internet Explorer y Safari sin parches de seguridad.

El reporte arrojó que la cantidad de peligros cibernéticos críticos se ha visto reducido comparado con años anteriores, reflejo, según el estudio, de que los distribuidores de software de seguridad se han vuelto más responsables con el tema de amenazas en la red.

“La industria de la computación está mejorando cada vez más al desarrollar software de seguridad y responder a las constantes vulnerabilidades,” dijo Tom Cross gerente de Investigación IBM X-Force en el reporte. “Sin embargo, la actividades en los ataques se está expandiendo a un ritmo acelerado.”

Por ejemplo el número de sitios maliciosos creció 345% en 2009 comparado con 2008 según el reporte. Así como los volúmenes de spam y phishing que registraron su mayor aumento en la segunda mitad del año.

De acuerdo con el reporte los ataques con phishing disminuyeron dramáticamente a principios del 2009, pero retomaron sus niveles para el tercer cuarto del año. Septiembre pasado estos niveles incluso sobrepasaron los registrados durante los 12 meses de 2008.

Las vulnerabilidades en las aplicaciones web representaban la categoría más grande de amenazas en la red, según el reporte X-Force Trend and Risk Report.

Y aunque los desarrolladores de las aplicaciones y servicios web han realizado un buen trabajo en cubrir la mayoría de las vulnerabilidades con parches de seguridad, el principal problema se encuentran en los plug-ins, que corren en dentro de estas, pues sus creadores no liberan actualizaciones de seguridad tan periódicamente.

Los principales tipos de vulnerabilidades que afectaban las aplicaciones web durante 2009 fueron aquellas utilizando cross-site scripting (XSS) y que también contenían inyecciones SQL, cita el análisis de IBM.

Las empresas deben encargarse de analizar sus redes de manera que se pueda detectar cualquier tipo de anormalidad o vulnerabilidad en sus aplicaciones web, dijo Cross de IBM.

Asimismo, agregó el experto, se debe buscar proteger los sistemas contra cualquier ataque con inyecciones SQL por medio de herramientas para prevención de intrusos.

“Si aún no se ha buscado eliminar vulnerabilidades de inyecciones SQL de su red definitivamente están siendo un blanco para cualquier ataque,” mencionó Cross. “No hay duda alguna de eso.”

El crecimiento de las plataformas móviles, como los teléfonos inteligentes en todo el orbe ha puesto sobre la mesa la necesidad por desarrollar mejores técnicas de detección para limitar el impacto de programas espías como los rootkits, explicaron  Liviu Iftode y Vinod Ganapathy, profesores de ciencias en computación de la Universidad Rutgers en New Brunswick, Nueva Jersey

A través de un estudio divulgado por la Universidad titulado Rootkits on Smart Phones: Attacks and Implications los investigadores comentaron que los celulares se han convertido en presas fáciles para este tipo de códigos maliciosos, de la misma forma que su contraparte las computadoras.

Los rootkits se consideran una peligrosa clase de malware que tienen la habilidad de permanecer en el sistema operativo durante largos periodos y completamente inadvertidos a la mayoría de las soluciones de seguridad,  mencionó Ganapathy

Una vez dentro del núcleo del sistema afectan el funcionamiento de la máquina y actúan como puerta de entrada para otro tipo de códigos maliciosos.

El riesgo dijo Iftode es que el impacto de los rootkits en los teléfonos celulares va mas allá del simple robo de información, pues el atacante eventualmente podría interceptar y redirigir llamadas, reducir la vida de la batería del dispositivo e identificar la localización del usuario por medio del GPS.

“Estos son sólo algunos ejemplos de los posibles ataques,” dijo Ganapathy. “Está en la creatividad del atacante crear nuevas formas para aprovecharse de la interfaz de los teléfonos inteligentes.”

Los expertos también  mencionaron que la localización de los rootkits dentro  de los dispositivos móviles es mucho más compleja que en las computadoras, dado que los métodos de detección no aplican para la misma plataforma.

Actualmente los profesores se encuentran investigando soluciones potenciales para contrarrestar estas amenazas y evitar su posible propagación.

Sin embargo, confesaron que el desarrollo y presentación de un resultado eficaz contra este tipo de malware todavía podría tardar  varios años.