pixel_dreams - Fotolia

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Reflexiones sobre la intrusión a Hacking Team

Fausto Cepeda presenta sus comentarios sobre algunas cuestiones relevantes respecto del robo de información a la empresa Hacking Team.

Pensé en bautizar este artículo como "Lecciones aprendidas de la intrusión a Hacking Team”, pero al irlo redactando me di cuenta de que realmente no habían lecciones, sino simplemente comentarios sobre algunas cuestiones que me parecieron relevantes respecto del robo de información a una empresa llamada Hacking Team. De allí el cambio de título.

Pero empecemos por el principio. A inicios de julio, apareció una noticia sobre robo de datos a la compañía que lleva ese nombre y que se dedica a programar software espía y/o exploits para venderlos a clientes de todo tipo, de entre los que destacan agencias gubernamentales de diversos países. Basta usar el buscador y teclear"massive leak hacking team” para encontrar más detalles de esta noticia. Ya puestos en contexto, les presento mis comentarios  sobre este tema:

1. Las contraseñas son un dolor de cabeza, también para los “expertos” 

En la información robada se ven contraseñas aparentemente utilizadas por los empleados de Hacking Team, como, por ejemplo, "Passw0rd", "P4ssword", y para el username c.pozzi el password "CHP0zz1!". De ser cierto, esto indicaría que las contraseñas débiles no solo son característica de los mortales, sino también de los "expertos" en seguridad informática que saben perfectamente los riesgos de usar este tipo de claves no robustas. Pero, al parecer, la cantidad de contraseñas que usamos hoy en día en computadoras y teléfonos inteligentes  nos orilla a ciertos "descuidos".

2. Las mismas contraseñas son usadas en varios servicios

Después de que se supo la lista de contraseñas usadas por personas dentro de Hacking Team, la cuenta de Twitter de Christian Pozzi (empleado de la empresa) fue hackeada, lo que podría indicar que una misma contraseña se usaba para más de un servicio. Nuestro cerebro no está armado para memorizar decenas de claves complejas, así es que, hasta en las mejores familias, se escoge repetir la misma contraseña aquí y allá. Nota: Yo mismo tenía esta práctica, y para tratar de no hacerlo uso el administrador de contraseñas LastPass. Aunque confieso que todavía tengo claves iguales en un par de servicios de menor importancia. Como dije, hasta en las mejores familias sucede.

3. Que alguien sea un buen atacante no significa automáticamente que pueda defenderse bien 

Antes pensaba que un buen atacante, por lógica, también garantizaba una buena defensa, porque si alguien sabía cómo atacar –informáticamente hablando– debería saber cómo alguien más puede hacerle daño y tomar acciones al respecto. Pues bien, esto no es una relación directa, ni una ley, y el ejemplo puede ser Hacking Team. Pero, para poner un contrapeso, les cuento que una vez tuve la fortuna de toparme con un hacker –en su original definición, alguien que domina la tecnología– de los éticos, y me explicó a detalle cómo protegía su infraestructura. Era muy impresionante. Si bien era una infraestructura muy pequeña, tenía controles y procedimientos realmente robustos.

4. Hay debilidades de día cero que no conocemos

Nada nuevo, pero me pareció buena oportunidad para reafirmar esta idea entre todos nosotros. Las “días cero” son debilidades informáticas que carecen de solución, y de este tipo hay varias de las que no sabemos. Del robo de información a Hacking Team derivó que conociéramos, al menos, una nueva debilidad en Adobe Flash de la cual nadie sabía antes de julio. Ahora mismo usamos software con huecos que quizás alguien más conoce, pero que la mayoría de nosotros no (incluidos los fabricantes).

5. La venta de software espía, es ¿legal? 

Dejemos a un lado la parte ética de vender exploits o software espía a clientes (que algunos se atreven a llamar armas informáticas). Desde el punto de vista legal, puede o no serlo dependiendo del país. No me atrevería a nombrar los países en donde se sabe que es ilegal hacerlo, y está especificado en sus leyes, pero parece que en varios países esto no está definido o la empresa le puede dar la vuelta diciendo que es para fines de investigación y no para que el cliente los use contra alguien (aunque sepa que probablemente el cliente abuse de estos términos). Tal vez llegue el día en que debamos tener esta conversación y decidir si legalizar este comercio o no, y bajo qué condiciones.

6. El FBI figura como cliente de Hacking Team

De ser cierto, me queda la duda de por qué el FBI no pide este tipo de "servicios" a la NSA, que sí parece capaz de entregarlos (y hasta de manera gratuita, creo). Ta vez nunca lo sepamos.

7. La prevención eventualmente fallará

Hay que protegernos asumiendo que lo peor pasará. Por eso, pensar en cómo prevenir un ataque es fundamental, pero tener controles que traten de detectar una intrusión oportunamente lo es también. ¿Hacking Team asumió que no sería atacado exitosamente y actuó bajo esa suposición?

Próximos pasos

Si le interesa leer más sobre intrusiones y otras amenazas, puede revisar:

Detección de intrusiones en la nube: Consideraciones sobre la IDS en nubes publicas

La prevención de brechas es posible: Pescatore, RSA Conference 2015

Defiéndase contra las APT con análisis de seguridad de big data

Este artículo se actualizó por última vez en julio 2015

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close