¿Qué debemos aprender del ataque a Lockheed Martin?

Hace aproximadamente un año, escribí un post sobre un interesante experimento realizado por tres investigadores de la Universidad de Michigan, que reveló que la clave privada de cifrado de 1024 bits de RSA podía ser rota con un dispositivo de hardware simple y barato.

Sin embargo, el caso del actual ataque contra el contratista del Pentagono Lockheed Martin narra una historia ligeramente diferente sobre los sistemas de RSA SecurID y su impenetrabilidad, en particular, y sobre la seguridad de las redes, en general. Aunque se podría argumentar que atacar con éxito a un jugador importante en la industria militar y poner en peligro la infraestructura de una organización cuyo propósito es en realidad proporcionar protección son los aspectos más destacados en este caso, creo firmemente que el foco debe ponerse en otra parte. Si dejamos aparte los nombres de los actores involucrados en esta situación problemática, creo que la atención debería centrarse en los siguientes tres aspectos relativos a la seguridad informática:

En primer lugar, el robo de datos de RSA se basa en uno de los más simples (y sin embargo, como vemos, más eficientes) métodos de captura no autorizada de información: una combinación entre una campaña de spam dirigido y un ataque de phishing aprovechando una vulnerabilidad día cero en Adobe Flash. Esto demuestra - una vez más - que los métodos de la vieja escuela siguen siendo válidos y productivos, siempre y cuando exista un eslabón débil en la cadena de seguridad.

Lo cual nos lleva al segundo aspecto importante en este caso, es decir, el factor humano. No importa cómo de avanzado sea un sistema defensivo, todo lo que necesita el ciberdelincuente es un mecanismo perfeccionado de ingeniería social y algunos usuarios crédulos. Esto basta para eludir los filtros de spam o eludir una suite de seguridad, y poner de rodillas a toda una organización.

Por último pero no menos importante, creo que este caso muestra claramente que la seguridad no es un asunto local o individual. En el advenimiento de la Web 3.0, el diseño e implementación de la red y la defensa de los recursos mediante una estrategia insular y sin tener en cuenta la escala de interconexión o, para ser más específico la interdependencia, los dispositivos de seguridad y herramientas de trabajo es tan peligrosa como poner un candado a la puerta y esconder la llave bajo el felpudo