El reciente ataque a Sony Pictures puede servir para que cualquier empresa o usuario pueda aprender lecciones valiosas en temas de ciberseguridad. Cuando dejas de lado las cuestiones políticas y los comentarios sobre las disputas entre estados y la privacidad de las estrellas de Hollywood, hay algunas observaciones que resultan interesantes.
1. No utilices el correo electrónico para el envío de información confidencial
Si te preguntas por qué, es que no has leído los correos que los atacantes encontraron en los ordenadores de Sony Pictures y que han ido filtrando durante las últimas semanas. Estos se unen a los innumerables correos e imágenes embarazosas o incriminantes que se han ido filtrando durante los últimos años procedentes de todo tipo de empresas y gobiernos.
Conforme se van amontonando las demandas contra Sony Pictures, los demandantes ya tienen pruebas suficientes de la falta de seguridad presente en la empresa. Estas evidencias incluyen el informe de un auditor tecnológico bastante crítico que fue compartido usando correo electrónico mediante un adjunto sin cifrar.
Solo para que quede claro: el correo electrónico no es un canal seguro de comunicación. Por defecto, los correos viajan en texto plano, pudiendo ser leídos por cualquiera que esté espiando en cualquiera de las muchas conexiones y servidores por los que viaja, y los correos que enviamos son solo tan seguros como el ordenador del que lo recibe. Por lo que respecta a compartir documentos privados como adjuntos de correos sin cifrado, esto debería estar en contra de las políticas de empresa, con severas repercusiones para quien no las cumpla, ya sean ejecutivos de alto rango o trabajadores a tiempo parcial.
Una buena regla a adoptar sería no incluir nada en una comunicación por medios digitales que no querrías que viera tu madre (o tus enemigos). En estos momentos y en un futuro próximo, nadie puede garantizar que estas comunicaciones digitales no serán robadas, filtradas, citadas en un juicio o hechas públicas de cualquier otra forma. Esto también se aplica a mensajes de texto, comentarios en páginas webs, mensajes en un foro e imágenes compartidas. En otras palabras, esto es ciber-higiene básica que ha formado parte del sentido común durante décadas, algo que hace más grave el hecho de que Sony Pictures lo ignorase.
2. No des acceso total a todo el mundo
Lo hemos dicho antes y lo diremos otra vez: clasifica tus documentos y segmenta tus redes. Sony Pictures podría haberse ahorrado un montón de problemas si hubiese estado utilizando un sistema de clasificación que etiquetara los documentos como contratos con actores y directores como confidenciales, así como una política que prohibiese guardar estos documentos en una base de datos accesible desde Internet.
Muchas son las organizaciones que han ido aumentando sus redes teniendo en mente la disponibilidad de los datos, dándole acceso a todo y a todos. Desafortunadamente, eso también incluye a los atacantes externos, por mucho que solo haya un pequeño agujero en tus ciberdefensas.
Las redes deben estar segmentadas, con controles de acceso entre ellas para limitar quién puede ver qué. La empresa Target aprendió esta lección de la forma más dura el año pasado, cuando los atacantes descubrieron que era posible acceder a los terminales de pago situados en las tiendas mediante un portal de proveedores. Nunca es mal momento para auditar tus redes en busca de conexiones no autorizadas y accesos sin filtros previos.
3. No guardes tus contraseñas en un fichero llamado contraseñas
Este consejo es tan obvio como el que dice: “No escribas las contraseñas de acceso a tu ordenador en un post-it pegado a tu monitor”. Sí, las contraseñas son un incordio, pero hay métodos seguros para gestionarlas. El fallo de Sony Pictures a la hora de aplicar una política que evite el almacenamiento de contraseñas en texto plano legible por cualquiera probablemente sea uno de los argumentos principales usados en el tribunal, cuando los empleados que han visto cómo se vulneraba su privacidad acusen a Sony de negligencia.
4. No ignores los avisos y los riesgos
Muchos usuarios de ordenadores ya conocen este consejo: si algo parece malo, no lo ignores. Toma una captura de pantalla, escribe el mensaje de error, llama a tu servicio de soporte técnico, realiza un análisis del sistema con un antivirus. Muchas veces resulta no ser nada o incluso puede que se trate de alguna característica de la cual no tenías noticia. Sin embargo, otras veces puede significar que alguien te esté atacando.
Muchas partes del imperio Sony han estado bajo ataque durante años y muchos de estos ataques han tenido éxito. Eso debería haber enseñado a los responsables TI de Sony que la seguridad era una prioridad, incluso antes de animarse a producir una película que tenía el 100% de probabilidades de molestar al menos a una nación con armamento nuclear y que ya era sospechosa de llevar a cabo ciberataques. Analicemos estas declaraciones:
“He perdido la cuenta del número de veces en las que las propiedades online de Sony han sido atacadas (no dispongo de tantos dedos), pero ha vuelto a ocurrir. Bases de datos utilizadas para gestionar sonypictures.com, sonybmg.nl y sonybmg.be han sido comprometidas… utilizando técnicas de SQL injection. Ser vulnerable a una inyección SQL es lo suficientemente embarazoso de por sí, pero lo que hace este ataque mucho peor es que los datos que se han visto comprometidos tienen una importante característica en común: incluían contraseñas en texto plano.”
Esas fueron declaraciones de Peter Bright en un artículo publicado en Ars Technica en junio de 2011. Tres años después, en junio de 2014, Sony Pictures lanzó el teaser tráiler de “The Interview”, una película que muestra al dictador de Corea del Norte explotando tras ser alcanzado su helicóptero por un misil. En otras palabras, Sony fue avisada de antemano, pero no se preparó como debía. Hemos visto una historia de débil seguridad combinada con fallos estrepitosos a la hora de solucionar problemas antes de proceder con un proyecto que estaba destinado a causar malestar en, al menos, una parte del mundo.
5. Ni un día más sin un plan de respuesta ante incidentes
Cuando las noticias de la intrusión en Sony Pictures empezaron a filtrarse, la respuesta de la empresa demostró una falta de planificación. Las acciones que se tomaron fueron a veces contradictorias o incendiarias. Resumiendo, la empresa demostró que carecía completamente de un plan de respuesta ante incidentes, curioso proceder cuando uno de los avisos más repetidos en los últimos años ha sido: “No se trata de si te atacan, sino de cuándo lo harán”.
En resumen, cualquier organización responsable pondría en marcha un plan de respuesta ante una fuga de información y lo aplicaría tan pronto como esta sucediese. Aquí tenemos un ejemplo de consejos ante incidentes que está disponible de forma gratuita en el siguiente enlace: NIST Special Publication 800-61 Revision 2: Computer Security Incident Handling Guide o la Guía de seguridad de las TIC del CCN-CERT.
Conclusión
Algunos de los consejos que hemos dado parecen obvios y básicos, pero eso no debería hacernos olvidar que Sony Pictures ha sido atacada por un grupo de criminales. Aprender lecciones de un hecho como este no es lo mismo que culpar a la víctima de todo lo malo que le haya sucedido. Olvidarse de cerrar la puerta del coche no te hace responsable si lo roban.
No deberíamos aceptar nunca que la comisión de un delito es inevitable como, del mismo modo, hay muchos niveles de víctimas en un delito de esta magnitud. Los trabajadores actuales y pasados de Sony que han visto cómo se ha atentado contra su privacidad tienen todo el derecho del mundo a reclamar ante una empresa que no ha aplicado las medidas de seguridad para proteger a sus empleados.
Josep Albors a partir de un post de Stephen Cobb en WeLiveSecurity