Malware City/Blog/

Jun
14
Archivado en
Miscelanea

¿Qué debemos aprender del ataque a Lockheed Martin?

14 junio 2011
Reflexiones sobre el factor humano y el sistema de autenticación SecurID de RSA

Hace aproximadamente un año, escribí un post sobre un interesante experimento realizado por tres investigadores de la Universidad de Michigan, que reveló que la clave privada de cifrado de 1024 bits de RSA podía ser rota con un dispositivo de hardware simple y barato.

Sin embargo, el caso del actual ataque contra el contratista del Pentagono Lockheed Martin narra una historia ligeramente diferente sobre los sistemas de RSA SecurID y su impenetrabilidad, en particular, y sobre la seguridad de las redes, en general. Aunque se podría argumentar que atacar con éxito a un jugador importante en la industria militar y poner en peligro la infraestructura de una organización cuyo propósito es en realidad proporcionar protección son los aspectos más destacados en este caso, creo firmemente que el foco debe ponerse en otra parte. Si dejamos aparte los nombres de los actores involucrados en esta situación problemática, creo que la atención debería centrarse en los siguientes tres aspectos relativos a la seguridad informática:

En primer lugar, el robo de datos de RSA se basa en uno de los más simples (y sin embargo, como vemos, más eficientes) métodos de captura no autorizada de información: una combinación entre una campaña de spam dirigido y un ataque de phishing aprovechando una vulnerabilidad día cero en Adobe Flash. Esto demuestra - una vez más - que los métodos de la vieja escuela siguen siendo válidos y productivos, siempre y cuando exista un eslabón débil en la cadena de seguridad.

Lo cual nos lleva al segundo aspecto importante en este caso, es decir, el factor humano. No importa cómo de avanzado sea un sistema defensivo, todo lo que necesita el ciberdelincuente es un mecanismo perfeccionado de ingeniería social y algunos usuarios crédulos. Esto basta para eludir los filtros de spam o eludir una suite de seguridad, y poner de rodillas a toda una organización.

Por último pero no menos importante, creo que este caso muestra claramente que la seguridad no es un asunto local o individual. En el advenimiento de la Web 3.0, el diseño e implementación de la red y la defensa de los recursos mediante una estrategia insular y sin tener en cuenta la escala de interconexión o, para ser más específico la interdependencia, los dispositivos de seguridad y herramientas de trabajo es tan peligrosa como poner un candado a la puerta y esconder la llave bajo el felpudo




Balanceándome en el filo y hasta tarde (por favor consulte “ madrugada”) leyendo (ficción y literatura de estudios comparativos, sobre todo) con adicción a Internet, el celo genuino para mis brillantes estudiantes y una pasión por los últimos...

Comentar Aquí

Nombre:

E-mail:

Sitio Web:

Su dirección de e-mail no será publicada