redseguridad 071

Seguridad en CPD, ese camino a medio recorrer D ecía un buen amigo , director de una pyme puntera en seguridad de la infor- mación, que sus clientes se sorpren- dían cuando pedía una jornada entera sólo para acometer el bastionado de un servidor, siempre dando por sentado que el CPD de la actuación cumpliera con los mínimos necesarios. Yo pienso que se queda corto. Imagínese –si no es ya una realidad– que es el responsable de seguridad de su familia, que en sus manos está la protección de su núcleo familiar. Usted se cercioraría debidamente de mante- ner su casa infranqueable y proveería de las medidas necesarias para que así fuera. Su labor también sería, como no, el control de accesos, confiando a sus familiares más cercanos copias de las llaves para que puedan entrar y salir a su libre disposición. En base a esta suposición, se me ocurren algunas preguntas que, a priori, le concernirían respecto a la responsabilidad que des- empeña: - ¿Dejaría una copia de la llave al amigo de su hijo/a para que entrará siempre que quisiera y con quien qui- siera? - ¿Se gastaría el total asignado para puertas y ventanas en una cerradura en la puerta principal, dejando las demás parcialmente descubiertas? - ¿Confiaría todo su dinero y sus objetos de valor dentro de una misma habitación? Las respuestas son tajantes: no. Sin lugar a dudas, éste es nuestro con- cepto clásico de seguridad en un data center , lo que aprendimos que debemos proteger. Pero es probable que nadie nos contara nada sobre los buzones de correos llenos, que aportan pistas sobre cuándo nuestra casa es más vulnerable. Del mismo modo, hemos oído hablar, como si de una leyenda se tratara, sobre la importancia de que los dispositivos de nuestros hijos no almacenen informa- ción relativa a nuestro hogar o nuestra profesión. Nos somos conscientes de lo que ayudaría tener joyas falsas que sirvan de cebo para engañar a posibles delincuentes e incluso trazar su posición llegado el caso. Disculpen la analogía, quizá infantil, pero creo que rápidamente se han dado cuenta de hacia dónde me quiero dirigir. Tiempos malos Cerramos un bienio especialmente pre- ocupante para la seguridad de la infor- mación. Empresas como Sony, EBay o Ashley Madison han sufrido en sus centros diversos ataques, dando como fruto pérdidas de millones de dólares en el mejor de los escenarios. Si estás compañías han sido vulneradas, con la cantidad de dinero y recursos que gastan en su seguridad, nos podemos imaginar y acertaremos al afirmar que miles de pequeñas empresas son cons- tantemente comprometidas, pero son muy pocas las realmente conscientes de los daños y el alcance de estos ata- ques de forma temprana. Somos precursores de una nueva era en la ciberseguridad; atrás dejamos viejas amenazas en forma de virus y viejos con- ceptos, como ver al atacante como el hacker malo que casualmente “pasaba por ahí”. Se debe tomar conciencia de las nuevas amenazas que acechan a nuestros activos; los viejos virus ahora tornan en potentísimos malwares ofus- cados en el MBR, ransomwares con algoritmos de encriptación SHA256, rescates en bitcoins , botnets , ingeniería social aplicada de forma individual, etcé- tera. Ya no hablamos de hackers , habla- mos de auténticas mafias organizadas con cientos de ingenieros a sueldo y con horario de oficina, genuinos mer- cenarios de la información que explotan opinión 28 red seguridad cuarto trimestre 2015 especial seguridad en entornos CPD monográfico Fernando Martos García Analista colaborador de Ciberseguridad en Telefónica Ingeniería de Seguridad