No hay nadie que nos quiera atacar

La respuesta habitual de muchos responsables de informática (de informática sí, pero no demasiado responsables) frente a la seguridad es que no tienen que preocuparse en exceso ya que según ellos, su organización no es objetivo de ataque de nadie y por lo tanto se sienten tranquilos respecto a la seguridad de sus servidores.

Obviamente, si eres un banco está claro que eres un objetivo de ataque, ya que albergas dinero, y si alguien consigue realizar una intrusión, obtiene un beneficio económico directo. Si eres un comercio online, a través de éste se puede llegar a disponer de datos de tarjetas bancarias, lo cual también se traslada en dinero. Este tipo de organizaciones ya tienen en su cabeza que son objetivo directo de ataque, y normalmente están al tanto de la seguridad de sus servidores expuestos a Internet.

Pero, si no soy ninguna de estas cosas, porque me dedico a la fabricación artesana de tornillos, ¿soy objetivo de ataque? Pues sí. Usted puede tener enemigos, empleados o ex-empleados disgustados, la competencia (poco ética), proveedores, o clientes que por alguna razón estén disgustados y tengan un particular sentido de la justicia. Pero en fin, usted puede pensar que no estamos en ninguno de estos casos; no tiene empleados o desempleados descontentos, sus clientes y proveedores (y todos sus empleados) le tienen en alta estima, su competencia juega limpio, y además, se lleva usted bien con todo el mundo.

Entonces, ¿por qué me van a atacar a mi, si no le importamos a nadie y nadie nos tiene manía? ¿Quién puede querer perjudicar a mi organización, que no ha roto un plato?

Pues mucha gente; es lo que tiene Internet. Pero, de nuevo: ¿por qué? Pues dejando aparte que su organización muy probablemente maneja dinero, es muy sencillo. Sus servidores disponen de potencia de calculo, almacenamiento, conexión a Internet, y reciben visitas de clientes o usuarios, recursos todos ellos sumamente interesantes para los atacantes; en su mayor parte, quizá no se enfrente a ataques en los que su organización sea el objetivo final, pero sí será víctima de ataques cuyo objetivo es un pez más grande. Pongamos algunos ejemplos de intrusiones, o explotación de vulnerabilidades habituales en Internet:

  • Servidor de correo: Si su servidor de correo está (incorrectamente) configurado para permitir el reenvío de correos de terceros sin autorización, será cuestión de minutos que algún spammer le utilice para desde tu servidor se envíen correos no deseados a medio mundo. Quizá no lo considere un ataque, cuando se vea incluido en listas negras de servidores de correo y los servidores de sus clientes y proveedores le devuelvan los correos, verá que la cosa no tiene demasiada gracia. Sin mencionar la posibilidad de que su servidor de correo sea saturado o le provoquen un DoS.
  • Uso del ancho de banda: Aunque puede no considerarlo un ataque en el sentido más estricto del término (usted no es el atacado), pueden utilizar sus servidores para provocar una denegación de servicio a un tercero, lo que evidentemente influirá en su conectividad y por ejemplo, la disponibilidad de los servicios que ofrece a través de esa línea de Internet.
  • Uso de sus visitas licitas y reputación para redirigir a sus clientes a páginas maliciosas, con virus y troyanos; existen virus y gusanos cuyo ataque se basa en ese propósito. Asimismo, un problema de Cross Site Scripting, de poca relevancia técnica para sus sistemas, puede tener como objetivo incrustar una página web remota con virus y troyanos en su frontal web, con lo que todos los visitantes de éste no suficientemente protegidos serán infectados con el malware. Imagine las consecuencias reputacionales.
  • Uso de un servidor para albergar una pagina de phising, de modo que un servidor de su organización albergue una copia de la página del banco XYZ.
  • Uso de la CPU de los ordenadores y servidores locales para romper contraseñas por fuerza bruta.
  • Uso de los servidores para colocar Bots de IRC, con el objetivo de poder llevar a cabo comunicaciones de manera anónima y secreta. Es habitual encontrarse este tipo de artefactos, y en mi vida profesional el mayor numero de intrusiones ha sido con este cometido.
  • Uso de los servidores para albergar contenidos ilegales, con los posibles problemas que pueden implicar: desde programas pirata, películas, o música, hasta mucho cosas peores.
  • Uso de tu servidor como anonimizador de otros ataques, con lo que los atacantes evitan que se localice su IP origen. Esto le puede meter en un lío legal de cuidado. Además de ello es habitual que una vez atacado el site remoto que era el objetivo final, para evitar dejar rastros formateen completamente el servidor intermedio.
  • Robo de publicidad: Si su organización dispone de banners publicitarios, un ataque reciente se dedica a cambiar la cuenta de publicidad «oficial» por la del atacante para conseguir llevarse los ingresos.
  • Conseguir enlaces o referencias a otro site (esto es otra especie de spam: webspam) para posicionarse bien en los buscadores (SEO). Este tipo de enlaces hay incluso quien los vende.
  • Uso combinado de un sniffer para obtener cuentas de usuarios de su organización: cuentas ftp, cuentas de shell y cuentas de correo electrónico, capturadas y utilizadas por numerosos robots y malware, sin ser en absoluto ataques dirigidos contra su organización, pero de los que es víctima.

Esta lista de posibles ataques es sólo una pequeña muestra de lo que he visto en alguna ocasión, pero no le quepa duda de que los atacantes tienen otras muchas «ideas» para utilizar sus servidores, sin que se trate un ataque dirigido en especifico a su organización. Así pues, tenga usted cuidado ya que cualquier servidor de Internet es objetivo de ataque; hay muchas razones para que le ataquen, y muy probablemente en estos momentos le estén atacando. Sea prudente y no infravalore a los criminales.

Comments

  1. Muy bueno el post. Yo también me he encontrado a gente que piensa así, les digo lo mismo, pero no creo que acabe de convencerles del todo.

    Hay muchos que no saben que la mayoría de los ataques son automáticos y que la única razón de ser ‘atacados’ es por tener software vulnerable y estar expuestos, no porque sean un objetivo en sí mismos.

    Relacionado con el tema, a nivel doméstico pasa algo similar. La gente que tiene el ordenador en su casa con sus cosas piensa que ‘no tienen interés para nadie’. Pero claro, su capacidad de proceso y su conexión sí que tienen interés. Y así tenemos el porcentaje estimado de bots que tenemos.

  2. Más que el responsable de informática, yo diría que el equipo directivo. Y ya puedes explicárselo haciendo el pino si quieres, que no se quieren enterar de las repercusiones económicas, mala imagen y pérdida de confianza entre los usuarios o clientes que un ataque con exito podría provocar.

Trackbacks

  1. […] No hay nadie que nos quiera atacar La respuesta habitual de muchos responsables de informática (de informática sí, pero no demasiado responsables) frente a la seguridad es que no tienen que preocuparse en exceso ya que según ellos, su organización no es objetivo de ataque de nadie y por lo tanto se sienten tranquilos respecto a la seguridad de sus servidores. […]