La seguridad de la información está en boca de todos. Es una necesidad que ha pasado de ser exclusiva de grandes corporaciones, gobiernos y sectores especialmente sensibles, para pasar a ser de aplicación a todo tipo de compañías e incluso a los propios ciudadanos. No obstante, esta democratización de la seguridad de la información ha evolucionado de la mano de las amenazas y de los riesgos inherentes de su naturaleza, trasladándose actividades reprobables e incluso ilegales en muchos casos a este nuevo escenario (fraude, robo, espionaje, extorsión, mercado negro, acoso “online” y un largo etcétera). En paralelo, los conocimientos y las tecnologías empleadas por aquellos que llevan a cabo estas prácticas “oscuras”, también lo han hecho.
Es una evolución similar a la de los antivirus. Hoy en día existen “enjambres de malware” sobrevolando la red esperando cualquier resquicio para infectarnos, por lo que es impensable no tener instalado un software antivirus, antimalware o anti-espía, si bien es ya insuficiente.
De manera similar, cuando hace una década el nivel de seguridad disponiendo de un firewall adecuadamente configurado en la entrada/salida de nuestra red era suficiente, ahora puede ya no serlo. Igualmente sucede cuando se llevaban a cabo pruebas de intrusión (penetration tests o pentests en inglés) anuales por parte de las organizaciones. Cuando entonces se auditaban las buenas prácticas de seguridad de una compañía, esta práctica era un signo inequívoco de la madurez y del elevado nivel de seguridad de una organización.
No obstante, hoy en día puede resultar insuficiente. Homólogamente sucede con los aspectos relativos a la monitorización de seguridad de los sistemas. Hace unos años, la recogida de ciertos registros y eventos (logs) básicos de seguridad era suficientes, al igual que su revisión de una manera más o menos periódica y en muchas ocasiones incluso de forma manual. Hoy en día, en la gran mayoría de los casos, el mantener esos escasos controles puede hacer que podamos sufrir una debacle al más puro estilo “Hacking Team” o “Mossack Fonseca”, donde una intrusión continuada supone la filtración de Gigas y Gigas de información, además del escarnio público de una compañía.
Estos aspectos siguen vigentes hoy en día, pero todo ha evolucionado. Todo madura y estas medidas por sí solas no son suficientes. Las amenazas y el riesgo se han incrementado inexorablemente.
La adopción de soluciones de monitorización de seguridad o seguridad gestionada mediante Centros de Operación de Seguridad (Security Operation Centers – SOC, en inglés) está en alza, ya que sobre el papel cubren los mismos objetivos de supervisión de seguridad, de manera continuada, y a un coste más razonable que las tradicionales pruebas de intrusión.
Estos servicios se basan en un control continuo de los eventos de seguridad que continuamente ocurren en los sistemas de la empresa. Mediante la instalación de software específico para esta tarea y sensores en la red o en dispositivos, se recogen los registros de eventos (logs) para su análisis y clasificación automáticos, pudiendo así conocer la naturaleza de los distintos eventos acaecidos en tiempo real, para la posterior revisión por técnicos expertos. El acceso a esta información otorga la capacidad de detectar intentos de intrusión en el momento en el que estos se están produciendo.
Es sin duda un cambio de paradigma en la seguridad, totalmente necesario, ya que proporciona la capacidad de defenderse ante nuevas vulnerabilidades que aparezcan durante los periodos entre los tests de intrusión que llevan a cabo las organizaciones. El símil con el mundo “real” sería la alarma que tenemos instalada en casa conectada a la central de alarmas. A nivel de experiencias propias, en las empresas en las cuales proporcionamos estos servicios de monitorización, se han sorprendido al conocer todas aquellas circunstancias de las que eran totalmente ajenas hasta ese momento y como eventos peligrosos sucedían “a las puertas” o incluso dentro de sus redes y sistemas. Esto ha hecho que dispongan de mucha más información para actuar y reaccionar en caso de brecha con el menor impacto posible, amén de detectar mejoras secundarias en el rendimiento de la red y de las aplicaciones a través del conocimiento del tráfico.
Todos hemos vivido muchos años sin esas medidas de seguridad, pero actualmente esas “alarmas” son una necesidad real y más que justificada. Sin embargo, su propia naturaleza hace que, aunque sean imprescindibles frente a ataques masivos de carácter automático, basados en estándares y patrones actuales, no hace que sean infalibles frente a posibles ataques dirigidos con elevada intervención manual por parte de los posibles atacantes, por lo que no debemos abandonar las “viejas y buenas prácticas”.
Es por ello que para un conocimiento completo del estado de la seguridad de nuestras organizaciones, que permita reforzarla al máximo, es recomendable hacer uso combinado de ambas medidas como dos ejes de un mismo motor: los pentest periódicos y la monitorización continuada de seguridad.
José Miguel Cardona Pastor
