Muy buenas a todos, a lo largo de los años el mundo de la ciberseguridad ha ido adquiriendo un importante peso en las compañías de todo el mundo. Desde los años 60-70, cuando los primeros malware comenzaron a presentar al mundo los estragos que podrían causar en un sistema infectado, hasta las últimas vulnerabilidades descubiertas en estos años como heartbleed (2014) o shellshock (2014), han ayudado a que numerosas compañías que no invertían ni un euro en seguridad más allá de los ya integrados entre la sociedad, software antivirus, comiencen a comprender que la seguridad no es un destino, sino un camino -un proceso-. Un proceso que no está basado en una moda pasajera. Es un proceso que tiene una gran complejidad, y un difícil ROI. El pan de cada día de muchos directores de seguridad se basa en hacer ver al comité de dirección de sus respectivas compañías el por qué se debe invertir en seguridad, cuando su retorno de inversión no es algo tan palpable como pueda ser la adquisición de una impresora, o de un router wireless. Si nunca ocurre nada en una compañía, el comité puede pensar que su seguridad es adecuada, aunque la realidad sea la contraria, y si por el contrario ocurre un incidente, quizás sea tarde, y sea un desastre difícilmente salvable. A lo largo de los años he visto en numerosas ocasiones estos dos puntos de vista, así como muchos otros que en próximos artículos me gustaría seguir compartiendo con vosotros. Pero esta no es la batalla que quería presentaros hoy. Hoy quería hablaros de Vigilancia Digital, y su importancia en el ROI de la ciberseguridad.
La vigilancia digital, como su nombre indica, se basa en la vigilancia del mundo digital, es decir, en la monitorización de los sucesos que ocurren en el mundo de los 0s y los 1s, tanto en la red de redes, Internet, como dentro de nuestro perímetro de seguridad. Hay muchas empresas que, ajenas a la realidad, solo monitorizan su perímetro de red, es decir, disponen de distintos sistemas como por ejemplo IDS, SIEM, sondas, etc. para determinar si existe una amenaza interna como por ejemplo un malware, que haya infectado un equipo corporativo y se encuentre enviando spam indiscriminadamente. Pero sin embargo, cierran los ojos ante lo que ocurre fuera de las barreras de seguridad de su organismo, que es uno de los focos principales de problemas tras los insiders.
Internet es muy grande, y no se pueden poner puertas al campo, en eso estaremos todos de acuerdo. Y buscar potenciales amenazas que puedan afectar a nuestra organización en Internet cual Sherlock Holmes buscando una aguja en un pajar puede resultar casi de ciencia ficción. Pero la realidad es otra, los seres humanos somos seres que nos solemos regir por la repetición, repetimos nuestros pasos, repetimos nuestros caminos y repetimos nuestros comportamientos prácticamente sin pensarlo, somos seres automáticos. Esto quiere decir que presentamos patrones similares y predecibles. Solemos utilizar las mismas redes sociales de forma constante, compartimos datos en los mismos foros, en los mismos blocs de notas virtuales (o páginas de pastes), chateamos a través de las mismas plataformas, y un largo etcétera. Como veis, el campo se va acotando, y aunque el terreno de juego aún es grande, la vigilancia digital es una ciencia que nos ayudará a rastrear este terreno de una forma viable. Un claro ejemplo son las identidades falsas que muchos creamos para evitar que nos identifiquen en determinado foro, o en determinada red social. Pero al final, sin darnos cuenta y por mera costumbre, repetimos esos nicknames o nombres y apellidos ficticios, dejando un patron rastreable.
¿Y cómo se aplica esto de la Vigilancia Digital? Pongamos algunos ejemplos; a los responsables de seguridad patrimonial podría preocuparles que alguno de sus empleados pueda sufrir un incidente, y por ello puede interesarles monitorizar en redes sociales posibles zonas "peligrosas" antes de enviar a uno de sus trabajadores a determinado lugar, a los responsables de seguridad lógica puede que les interese que alguien pueda estar organizando una denegación de servicio en algún foro, red social, irc, telegram, etc. o un ataque coordinado, al departamento de prevención del fraude puede que le interese que alguien esté comerciando de forma ilícita en foros de TOR con productos sustraídos ilegalmente de la empresa (virtuales o físicos), y un largo etcétera. Todo esto es rastreable en un servicio de vigilancia digital, nadie dice que sea fácil, y es un campo poblado de falsos positivos, pero la Vigilancia Digital, ejecutada a través de OSINT, con buenas tecnologías y sobretodo buenos analistas, puede dar inesperadas alegrías a una empresa.
Sin embargo, hay una gran cantidad de compañías que viven con una venda en los ojos, y no hay nada peor que quien no quiere ver. Por suerte no es algo extendido, pero si quien está a los mandos del aparato no quiere ver la realidad, y no muestra interés por tener emails y credenciales de sus empleados en los últimos volcados de Adobe (https://lastpass.com/adobe/), de LinkedIn (http://pastebin.com/qkykpGxU), o incluso bases de datos volcadas sin querer por sus equipos de desarrollo cuando consultaban una duda en un foro de developers ( ), que probablemente cuenten con credenciales que coincidan con las contraseñas que utilizan en sus emails corporativos, en ese usuario de dominio que por política "cómoda" de la empresa, nunca se obliga a cambiar a los empleados, "para que no se quejen mucho", porque total se la apuntan en un post-it "que esconden bajo el teclado", o que utiliza cierta aplicación de la empresa, que aunque es crítica se encuentra accesible por Internet sin necesidad de VPN "para favorecer la movilidad" y el BYOD, o incluso que coincide con ese CMS (sustituyan estas letras por Wordpress, Joomla, Drupal, Liferay, Prestashop, etc. etc.) que se utiliza como core del sitio web y de la intranet corporativa.
La Vigilancia Digital es una moda, pero no es pasajera. Llegó hace varios años para quedarse y quitar la venda de los creyentes, de los que escuchan y de los que saben que tras la barrera de sus caros firewalls "hay algo más". En realidad desde que comenzó a extenderse la realización de auditorías de hacking ético, era habitual con herramientas como maltego, dnsenum, anubis, foca, etc. revisar posibles fugas de información existentes en Internet, sencillas eso sí, como pueda ser un email filtrado, pero ya era algo que se trabajaba. Hoy en día, con las capacidades de procesamiento y de almacenamiento que nos dan entornos big data, nosql y clusters avanzados, tenemos la posibilidad de extraer, descargar y almacenar cantidades ingentes de datos de redes sociales, foros, redes p2p, tor, ... y procesarlas en nuestro sistema mediante avanzados algoritmos para extraer la aguja de ese pajar, que nos ayude a determinar porque una contraseña de nuestros empleados ha acabado en Paste Guru (http://pasteguru.com), o porqué determinado documento "se ha escapado de nuestra política de marcado", "nuestro DLP", y ha acabado en Dropbox...
Cómo muchos sabéis, llevo algunos años evangelizando sobre los beneficios de la Vigilancia Digital, pero con este post no quiero vender ningún producto, lo que pretendo es hacer ver a quién tiene poder de decisión sobre seguridad en las empresas, a que sepan que en Internet acaban centenares de datos de nuestras empresas, aún sin querer, y si no hacemos nada para remediarlo, se pueden convertir en una pelota muy grande que algún día aplaste nuestro negocio.
Saludos!