Seguridad Informática: Tipos de ataque (Parte II)

En la captura de pantalla puede apreciarse un conjunto de

documentos del CSI (Center of Internet Security).

Errores en configuraciones 

El caso de las configuraciones, ya sean del sistema operativo o de las aplicaciones, también constituye un punto sensible, dado que por más seguro que sea un software, una mala configuración puede tornarlo tan maleable como un papel. Pensemos en un ejemplo muy elemental, como sería un antivirus: su configuración deficiente podría hacer que cumpliera su función de manera poco efectiva, provocando que una buena herramienta terminara por traducirse en una mala solución y, por ende, en una brecha de seguridad. Aquí reside el peligro; ni siquiera las herramientas de protección y seguridad son fiables en sí mismas solo por su función. 

Esto podría producir algo muy grave, pero que suele darse con frecuencia tanto en el ambiente corporativo como en el personal: una falsa sensación de seguridad. Si bien con el paso del tiempo las empresas han incorporado cada vez más medidas de seguridad en sus configuraciones de fábrica, un atacante, como primera medida, tratará de aprovecharse de las configuraciones estándar, ya sean aplicaciones, equipos informáticos, dispositivos de red, etcétera. Por ejemplo, si un panel de administración web se instala con un conjunto de credenciales de acceso por defecto y estas no son modificadas, cualquiera que conozca dichas credenciales podrá acceder. 

No perdamos de vista que en Internet existe una gran cantidad de sitios que presentan contraseñas por defecto de aplicaciones y dispositivos, por ejemplo, http://cirt.net/ passwords. En este sitio podremos encontrar, clasificados por fabricante, una gran variedad de dispositivos con sus claves predefinidas. La solución más efectiva a estos problemas, sin dudas, es el hardening. Este proceso consiste en utilizar las propias características de dispositivos, plataformas y aplicaciones para aumentar sus niveles de seguridad. 

Cerrar puertos que no son imprescindibles, deshabilitar protocolos y funciones que no se utilicen, cambiar parámetros por defecto y eliminar usuarios que no sean necesarios son solo algunos ejemplos sencillos de un proceso de hardening. En el ámbito corporativo, como resultado de este proceso y luego de un análisis exhaustivo de sus propios sistemas, surge una serie de configuraciones mínimas indispensables para obtener el mejor nivel de seguridad sin perder de vista los requerimientos de negocio de la organización. 

Este conjunto de configuraciones se documenta y recibe el nombre de baseline, ya que describe cuáles son las necesarias para que los equipos y las aplicaciones implementen las recomendaciones propuestas por las buenas prácticas de seguridad y, a su vez, estén alineadas con los objetivos de negocio. En función de lo comentado previamente, podemos notar que deben existir diversos baselines, uno por cada aplicación o sistema. De esta forma, por ejemplo, tendremos un baseline para sistemas Microsoft Windows 2008, otro para Ubuntu Server, otro para routers Cisco, etc. Pero a su vez, también podríamos tener un baseline para MS SQL 2005, que deberá contemplar todos los puntos del baseline de Windows Server 2008; uno para servidores de correo sendmail, que deberá contemplar los puntos de baseline de Ubuntu Server, y otros más. 

La implementación de baselines permite garantizar que todos los sistemas estén estandarizados en sus configuraciones y que posean el mejor nivel de seguridad en función de los requerimientos del negocio. 

Errores en protocolos 

Otro problema, tal vez más grave pero menos frecuente con el que podemos enfrentarnos, es que los errores estén directamente en los protocolos. Esto implica que, sin importar la implementación, el sistema operativo, ni la configuración, algo que se componga de dicho protocolo podría verse afectado. El ejemplo clásico es el Transmission Control Protocol/Internet Protocol (TCP/IP), una suite de protocolos tan efectiva y flexible, que, luego de más de tres décadas de existencia, aún perdura y continúa en uso. 

El problema aquí es que, en su momento, a principios de los años 70, su diseño no obedecía a aspectos de seguridad por determinados motivos propios de su objetivo de uso, y con toda razón. Con el tiempo, su utilización se extendió a tal punto, que comenzó a ser implementado de maneras que el propio esquema permitía, pero para fines que no había sido pensado en un principio, de modo que se transformó en un arma de doble filo. A pesar de esto, TCP/IP nunca ha estado en dudas, ya que todos los fallos se han ido corrigiendo o bien se mitigaron sus efectos a partir de las mejoras realizadas por las implementaciones; incluso, el modelo de referencia Open System Interconnection (OSI) se basó en él. 

Por otro lado, la masividad que tiene el protocolo hace que su reemplazo sea imposible en la práctica. Como podemos imaginar, dado que existen centenares de protocolos, hay, a la vez, muchas posibilidades de encontrar fallos en ellos. El problema más grave es que un error en el diseño de uno implica que las situaciones sean potencialmente incorregibles, y que deben realizarse modificaciones a distintos niveles para resolverlo, incluyendo a veces su variación total o parcial, o su reemplazo por otro más seguro. Dentro de esta rama de errores, también incluimos los protocolos y algoritmos criptográficos, que, como veremos, tienen un alto nivel de complejidad y pueden producir huecos de seguridad realmente muy grandes dada la función de protección para la que son utilizados.