Valoración
  • Actualmente 4 de 5 Estrellas.
Tu valoración
  • Actualmente 4 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Mª del Carmen Ortega Solís, Gerente de Negocio de Servicios Gestionados en Ingenia

La defensa en profundidad

La banca electrónica es un servicio muy delicado donde el usuario es cualquier persona que tenga una cuenta bancaria y acceso a Internet. Los usuarios potenciales son muchos y no todos pueden tener el navegador actualizado ni saben de protocolos o configuraciones.

En octubre de 2014 se publicó una vulnerabilidad relacionada con el protocolo SSL 3.0 denominada Poodle. Descubierta por un grupo de investigadores de Google, fue muy difundida debido a que permitía descifrar fácilmente mensajes que debían ser “seguros”. Pero el SSL 3.0 tenía ya más de 15 años. Entonces, ¿por qué había que preocuparse de ella? Los protocolos TLS (Transport Layer Security) llevaban tiempo funcionando con un sistema de cifrado más seguro y habían evolucionado hasta en tres versiones (1.0, 1.1 y 1.2).

El ataque para explotar esta vulnerabilidad se realizaba en dos fases. La primera, que es la verdadera fortaleza del mismo, consistía en aprovechar la compatibilidad que mantenían los navegadores para adaptar su operatividad ante la variedad infinita de sitios que hay en Internet. Si un navegador intentaba establecer una conexión segura con el protocolo más fuerte y la misma fallaba, comenzaba a probar con otros más débiles hasta obtener la negociación requerida y visitar el sitio; de esta manera, se forzaba el uso del protocolo vulnerable.

La protección era actualizar o configurar los servidores web para que no permitiesen accesos con cifrados débiles o cambiar la configuración del navegador. Una configuración en el servidor limitada al último protocolo disponible suponía que muchos usuarios tuvieran que actualizar sus navegadores o dejarían de tener servicio, y ello incluía administraciones y empresas en las que el usuario no decidía su política de actualización.

Esto es un ejemplo ilustrativo que a estas alturas está superado en las organizaciones con una gestión de la seguridad responsable. Con posterioridad a Poodle se han detectado más vulnerabilidades que han afectado a los protocolos más seguros, cada una con su impacto.

El objetivo del ejemplo es mostrar cómo la seguridad no es un tema unilateral que es cosa de los expertos. Hay que tener en cuenta quiénes son los “clientes” de Internet y encontrar un equilibrio entre la seguridad del servicio y la permisividad en las condiciones exigidas a los usuarios. Obviamente, no es lo mismo una web informativa en puro html que un servicio con intercambio de información sensible; todo en su justa medida.

¿Qué ocurre con la banca electrónica? Se trata de un servicio muy delicado donde el usuario es cualquier persona que tenga una cuenta bancaria y acceso a Internet. Los usuarios potenciales son muchos y no todos pueden tener el navegador actualizado ni saben de protocolos o configuraciones.

A todos los responsables de seguridad les encantaría tener un formulario de acceso al servicio en el que se pidiese hasta la huella dactilar. Y que para hacer una operación hubiese que pasar siete controles. Pero, entonces, la centralita de atención al usuario se colapsaría de llamadas.

A esto se une que los cambios tecnológicos en este sector evolucionan constantemente. Desde un móvil se pueden realizar (según las distintas entidades) operaciones, compras, pagos en establecimientos, anular tarjetas, etc. Y lo que nos queda por inventar…

Defensa en profundidad

Entonces, ¿qué hay que hacer para mantener los servicios seguros? La recomendación es poner en práctica lo que se conoce como “defensa en profundidad”; esto es, no se pone una barrera sino todas, de manera que si en ese equilibrio seguridad-funcionalidad hay un punto de debilidad, no pueda ser explotado porque el resto de medidas lo haga imposible. Las barreras son:

  • Seguir unas normas de programación y buenas prácticas para desarrollos seguros, prestando especial atención a los sitios de intercambio de información (formularios), campos de entrada en la URL, gestión de sesiones y flujos de navegación, así como realizar análisis periódicos de código fuente.
  • Sistemas bastionados. Esto es, configurar los sistemas y aplicaciones relacionados con el servicio para eliminar aquellos elementos innecesarios que pueden comprometer la seguridad: controlar permisos de escritura o subida de ficheros en sitios que no lo necesitan, ejecución de servicios utilizando usuarios con privilegios acotados, modificación de rutas por defecto, etc.
  • Sistemas actualizados. Las actualizaciones de sistemas a veces son triviales, pero otras suponen cambios que hay que planificar cuidadosamente y no se pueden llevar a cabo de un día para otro. Si la actualización es sencilla no hay que pensarlo dos veces: actualizar. Y en el caso de que no lo sea y el sistema se muestre vulnerable, se han de estudiar formas alternativas de paliar la vulnerabilidad. Si aun así no es posible evitarla, se debe analizar el impacto en el servicio y el riesgo que supone en la seguridad para proceder o no con la actualización.
  • Dispositivos de seguridad perimetral. Los dispositivos de seguridad cada vez están más avanzados y tienen mayor funcionalidad. Es imprescindible un buen cortafuegos con una correcta política de accesos (y si hay dos barreras, mejor). Y a partir de ahí, todo es bienvenido: cortafuegos de aplicación, gestores de ancho de banda, IPS (Intruder Prevention System) o los novedosos NAC (Network Access Control). La posibilidad que dan estos dispositivos es infinita y una correcta gestión, configuración y disposición en la red pueden ayudar a evitar muchas de las vulnerabilidades publicadas, dando un plazo asequible para la actualización de los sistemas sin afectar a los usuarios.
  • Análisis de vulnerabilidades (hacking ético). Periódicamente se deben llevar a cabo análisis de vulnerabilidades para revisar el estado de los servicios tanto internos como externos. En ámbitos como el de la banca esto es un requisito normativo. Para mantener los servicios lo más seguros posible es fundamental conocer cuáles pueden ser las debilidades actuales
  • Herramientas SIEM. Las herramientas SIEM (Security Information and Event Management) son grandes aliadas para centralizar los numerosos logs y alertar de cualquier situación anómala o sospechosa.
  • Monitorización de servicios. La visión del usuario se puede conocer a través de un sistema de monitorización, generalmente con herramientas automáticas que avisan de cualquier anomalía o lentitud en el servicio, además de otros parámetros configurables que pueden ser indicativos de un problema de seguridad.
  • Concienciación. A los usuarios hay que informarles de lo que no pueden hacer, como proporcionar sus contraseñas en algún sitio distinto de la web habitual o acceder a servicios bancarios a través de un enlace en un correo electrónico. Afortunadamente, los bancos tienen muchos controles que evitan que un pirata informático pueda acceder a tu dinero aunque lograra capturar las claves, como los sistemas de doble autenticación para la realización de operaciones.

Gestión y coordinación

En definitiva, si una barrera falla debe haber otros controles que puedan evitar que una vulnerabilidad sea difícilmente explotable o permitan monitorizar los intentos de explotarla y alertar a tiempo.

Para que esto funcione ha de existir una buena gestión de la seguridad que va desde la persona que está en atención al cliente hasta los técnicos expertos y responsables –que, finalmente, toman las decisiones–, pasando por el servicio de primer nivel del SOC (Security Operation Center).

Si hay una buena gestión y coordinación entre todas las partes, al menos se lo pondremos difícil al hacker. Y si alguna vez logra explotar alguna vulnerabilidad, lograremos que se sienta cual “ratón enjaulado” y no pueda hacer nada más que decir: “vale, ya la he explotado. ¿Y?”.  

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual