Maria Campos, Country Manager de Stonesoft Ibérica

La Unión Europea se ha propuesto imponer penas cada vez más severas a los ciber espías y hackers para aumentar la seguridad de datos y redes. Sin embargo, para que la ley sea efectiva, primero hay que dar con los autores de estas amenazas, y ahí es donde reside el principal reto de la industria de seguridad TI en el campo de las Técnicas de Evasión Avanzadas (AET). Los hackers utilizan esta nueva forma de ataque, combinando las diferentes técnicas de evasión para encubrir sus ataques, y así penetrar en las redes sin ser detectados, disponiendo del tiempo suficiente para buscar una fuga de seguridad o información que no se encuentre adecuadamente protegida.

El descubrimiento de las AETs por parte de Stonesoft ha suscitado críticas de aquellos que no las consideran como una amenaza de TI real. Solo puedo añadir al respecto que sería ingenuo minimizar y pasar por alto este riesgo. Los detalles de este descubrimiento se han compartido con el CERT-FI en Finlandia que coordina la vulnerabilidad de la amenaza y con ICSA Labs que ha validado y confirmado el riesgo de estas técnicas de evasión, desconocidas hasta ahora. El hecho de que en la actualidad no existan pruebas de ataques reales que utilizan este método, es principalmente, porque las AETs no dejan ningún rastro en los sistemas de seguridad convencionales: los piratas informáticos más experimentados tiene los medios y conocimientos necesarios para realizar este tipo de técnicas sin dejar huella. Al mismo tiempo, el ejemplo del código malicioso Zeus muestra que el propio conocimiento de los piratas informáticos es un producto de gran valor para otros delincuentes que genera grandes ganancias. Al final, sólo es una cuestión de tiempo y recursos disponibles, si se hace caso omiso de las AETs, los delincuentes cibernéticos irán un paso por delante.

Los ataques mediante AETs son muy elaborados y requieren de un gran conocimiento, pero esto no significa que sean menos probables. Los hacker bien organizados, utilizan estas técnicas de evasión para hacerse con información crítica que podrían vender en el mercado negro, lo que supondría una gran suma de dinero. Tampoco pueden excluirse la posibilidad de ataques por motivos políticos. Esto podría afectar a grandes empresas y organizaciones, situadas en el punto de mira de los piratas profesionales, cuya información se almacena en organismos gubernamentales, bancos o instituciones militares. Teniendo en cuenta el volumen de las AETs posibles, no existe ninguna red que cuente con un 100% de protección contra ellas en este momento, ya que la búsqueda de la combinación correcta de una AET equivale más o menos a la búsqueda un grano de arena en 500.000 vías lácteas.

Stonesoft no quiere que cunda el pánico con el descubrimiento de las AETs, pero la amenaza que suponen para los sistemas de TI debe ser tomado muy en serio. En este momento, la mayoría de sistemas de seguridad están indefensos antes un ataque de este tipo, lo que hace imprescindible una revisión más amplia, no solo con la gestión de parches o la incorporación de bases de datos bajo contraseñas. Por esta razón, es aún más importante que los proveedores de seguridad de TI trabajen juntos para desarrollar una protección eficaz contra las AETs, antes de que los piratas informáticos utilicen en masa este método. Nos gustaría impulsar la concienciación de este problema y, para ellos, hemos creado una plataforma comunitaria abierta en www.antievasion.com con el objetivo de facilitar el intercambio de información y responder a cualquier pregunta, tanto para los expertos en seguridad, como para las empresas.